Controle de acesso

O Suporte Premium permite configurar o controle de acesso ao suporte do Cloud para organizações que usam o Identity and Access Management (IAM).

Para adquirir o Suporte Premium para sua organização, entre em contato com seu representante de vendas do Google Cloud ou solicite um.

Pré-requisitos

  • É necessário assinar um plano Suporte Premium.
  • É necessário ter uma organização do Google Cloud e acesso à organização.
  • É necessário ter o papel de administrador da organização (roles/resourcemanager.organizationAdmin) para sua organização do Google Cloud.

O que é IAM

O Google Cloud oferece IAM, que permite conceder acesso mais granular a recursos específicos do Google Cloud e impede o acesso indesejado a outros recursos. Com o IAM, é possível adotar o princípio de segurança do menor privilégio (em inglês) para conceder apenas o acesso necessário aos recursos.

Por meio da definição de políticas do IAM, você pode controlar quem (identidade) tem qual acesso (papéis) a qual recurso. As políticas do IAM concedem papéis específicos a um membro do projeto, dando à identidade algumas permissões. Por exemplo, para um determinado recurso, como um projeto, é possível atribuir o papel de visualizador de suporte técnico (roles/cloudsupport.techSupportViewer) a uma Conta do Google. Com essa conta, é possível visualizar casos de suporte no projeto, mas gerenciar casos de suporte não é.

Considerações sobre o acesso

Ao conceder papéis aos usuários, tenha em mente as seguintes considerações de acesso.

Acesso à Central de suporte

Clientes que migraram para o Suporte Premium de planos de suporte Silver, Gold ou Platinum, perdem a possibilidade de acessar os casos de suporte por meio da Central de suporte do Google Cloud (GCSC). Depois que o Suporte Premium for ativado, os casos migrados só poderão ser acessados na página de suporte do Console do Google Cloud.

Papéis de suporte do IAM

Com o IAM, cada usuário do plano de Suporte Premium precisa ter as permissões apropriadas para visualizar e gerenciar casos e usuários. Os usuários recebem essas permissões quando você as adiciona a um papel do IAM, a um grupo que pertence a um papel ou a um domínio atribuído a um papel.

A tabela a seguir lista os papéis do IAM disponíveis para os usuários do suporte do Cloud, as permissões associadas a determinados recursos e o nível mais baixo de recursos a que é possível aplicar as permissões.

Papel Nome Descrição Permissões Menor recurso
roles/cloudsupport.admin Administrador de conta de suporte Permite o gerenciamento de uma conta de suporte sem conceder acesso ao Histórico de consultas. Para mais informações, consulte a documentação de suporte do Cloud.
  • cloudsupport.accounts.*
  • cloudsupport.operations.*
  • cloudsupport.properties.*
Organização
roles/cloudsupport.techSupportEditor Editor de suporte técnico Acesso total de leitura/gravação a casos de suporte técnico (apenas para atendimento a clientes Premium).
  • cloudsupport.properties.*
  • cloudsupport.techCases.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudsupport.techSupportViewer Leitor de suporte técnico Acesso somente leitura a casos de suporte técnico (apenas para atendimento a clientes Premium).
  • cloudsupport.properties.*
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudsupport.viewer Leitor de conta de suporte Acesso somente leitura aos detalhes de uma conta de suporte. Não permite ver casos.
  • cloudsupport.accounts.get
  • cloudsupport.accounts.getUserRoles
  • cloudsupport.accounts.list
  • cloudsupport.properties.*
Organização

Para adicionar um usuário, grupo ou domínio a um papel, consulte Como adicionar usuários a papéis de suporte do Cloud IAM.

Administrador da conta de suporte

Os usuários com o papel de administrador da conta de suporte (roles/cloudsupport.admin) gerenciam o plano de suporte comprado e como ele é faturado.

Esse papel só pode ser atribuído no nível da organização.

Leitor da conta de suporte

O papel de visualizador de conta de suporte (roles/cloudsupport.viewer) permite visualizar as informações da conta de suporte. Não é possível visualizar ou editar casos de suporte. Para isso, é necessário atribuir um papel de visualizador ou de editor de suporte técnico.

Esse papel só pode ser atribuído no nível da organização.

Editor de suporte técnico

O papel de editor de suporte técnico (roles/cloudsupport.techSupportEditor) permite visualizar, editar e escalonar casos de suporte.

É possível conceder esse papel nos níveis de organização, pasta e projeto. Por exemplo, é possível conceder o papel de editor de suporte técnico a um grupo do Google em um projeto específico, o que permite que os membros visualizem, criem, atualizem, escalonem e fechem casos de suporte para esse projeto.

Também é possível conceder esse papel em vários níveis da hierarquia de recursos para estabelecer permissões diferentes para recursos aninhados. Por exemplo, se você tiver o papel de visualizador de suporte técnico para a organização e de editor de suporte técnico em um projeto, poderá visualizar os casos de suporte na organização, mas editar apenas os casos para o projeto.

Leitor de suporte técnico

O papel de visualizador de suporte técnico (roles/cloudsupport.techSupportViewer) permite visualizar casos de suporte e informações da conta.

É possível definir esse papel nos níveis de organização, projeto e pasta. Por exemplo, é possível conceder o papel de visualizador de suporte técnico a um grupo do Google em uma pasta específica de um projeto, o que permite que os membros visualizem os casos de suporte na pasta.

Como adicionar usuários aos papéis de suporte do IAM

Os usuários, grupos do Google ou domínios precisam ter a permissão resourcemanager.organizations.setIamPolicy na organização para adicionar usuários aos papéis de suporte do IAM. É possível dar essa permissão a usuários ou grupos concedendo a eles o papel de administrador da organização (roles/resourcemanager.organizationAdmin).

Por exemplo, se sua organização quiser que os usuários que receberam o papel de administrador de conta de suporte também consigam adicionar e remover usuários e grupos de outros papéis de suporte do IAM, o administrador da organização poderá fazer o seguinte:

  • Criar um Grupo do Google para os usuários (MyCompanySupportAdmins).
  • Atribuir ao Grupo do Google (MyCompanySupportAdmins) o papel de administrador da organização.
  • Atribuir ao Grupo do Google (MyCompanySupportAdmins) o papel de administrador de conta de suporte.

No exemplo, os membros do Grupo do Google (MyCompanySupportAdmins) podem atribuir papéis do IAM a usuários e grupos na organização, porque o grupo recebeu a permissão setIamPolicy quando o papel de administrador da organização foi concedido. À medida que os novos administradores de conta de suporte entrarem na organização, adicione-os ao Grupo do Google (MyCompanySupportAdmins) para conceder a eles os papéis desejados.

Para adicionar um usuário, grupo ou domínio a um papel de suporte do IAM, siga estas etapas.

  1. Faça login na página de administração e IAM do Console do Google Cloud como um administrador da organização.
    Acessar a página de administração e IAM do Console do Cloud

  2. Selecione Suporte no menu lateral.

  3. Selecione o papel a ser atribuído:

    • Administrador de conta de suporte
    • Visualizador de conta de suporte
    • Editor de suporte técnico
    • Visualizador de suporte técnico
  4. Especifique os usuários, grupos ou domínios a serem adicionados.

A seguir

Entenda como gerenciar casos de suporte no Console do Google Cloud.