使用 IAM 控制访问权限

本页面介绍了如何为 Cloud Customer Care 的支持服务配置访问权限控制。

准备工作

什么是 Identity and Access Management (IAM)?

Google Cloud 提供 IAM,可让您分配对特定 Google Cloud 资源的精细访问权限,并防止对其他资源进行不必要的访问。IAM 允许您采用最小权限安全原则,您只需授予对您资源的必要访问权限。

IAM 允许您通过设置 IAM 政策来控制(身份)对哪些资源具有什么访问权限(角色)。IAM 政策向主帐号授予特定角色,从而为主帐号提供特定权限。例如,对于项目等特定资源,您可以为 Google 帐号指定 Tech Support Viewer 角色 (roles/cloudsupport.techSupportViewer),以便该帐号可以查看项目中的支持案例,但无法管理支持案例。

访问权限注意事项

如果您已从白银级、黄金级或白金级支持转换,请注意,支持案例无法再通过 Google Cloud 支持中心 (GCSC) 访问。启用标准、增强型或高级支持服务后,您可以通过向用户、群组或网域授予 IAM 角色来管理对已转换案例的访问权限。

Customer Care IAM 角色

使用 IAM 时,每个支持用户都必须拥有查看和管理案例及用户的适当权限。将用户添加到 IAM 角色、属于角色的群组或分配给角色的网域时,用户将获得这些权限。

下表列出了 Cloud Customer Care 用户可以使用的 IAM 角色,资源的关联权限以及您可以应用这些权限的最低资源层级。

角色 权限

Support Account Administrator
(roles/cloudsupport.admin)

可以在不授予支持案例访问权限的情况下管理支持帐号。 如需了解详情,请参阅 Cloud Support 文档

您可以授予此角色的最低级层资源:

  • 组织
  • cloudsupport.accounts.*
  • cloudsupport.operations.*
  • cloudsupport.properties.*
  • resourcemanager.organizations.get

Tech Support Editor
(roles/cloudsupport.techSupportEditor)

拥有对技术支持案例的完整读写权限(适用于 GCP 客户服务和 Google 地图支持团队)。

  • cloudsupport.properties.*
  • cloudsupport.techCases.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Tech Support Viewer
(roles/cloudsupport.techSupportViewer)

拥有对技术支持案例的只读权限(适用于 GCP 客户服务和 Google 地图支持团队)。

  • cloudsupport.properties.*
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Support Account Viewer
(roles/cloudsupport.viewer)

拥有支持帐号详细信息的只读权限。此角色不允许查看案例。

您可以授予此角色的最低级层资源:

  • 组织
  • cloudsupport.accounts.get
  • cloudsupport.accounts.getUserRoles
  • cloudsupport.accounts.list
  • cloudsupport.properties.*

要向角色添加用户、群组或网域,请参阅授予 IAM 角色

Support Account Administrator

拥有支持帐号管理员角色 (roles/cloudsupport.admin) 的用户可以管理所购买的支持服务及其结算方式。

支持帐号管理员负责管理组织支持帐号的政策,包括:

  • 分配新的支持用户
  • 修改现有支持用户的角色
  • 管理支持结算

此角色只能在组织层级授予。

Support Account Viewer

Support Account Viewer 角色 (roles/cloudsupport.viewer) 可以查看服务的帐号信息。他们无法查看或修改支持案例;他们必须获得 Tech Support Viewer 或 Tech Support Editor 角色才能具有此等权利。

此角色只能在组织层级授予。

Tech Support Editor

Tech Support Editor 角色 (roles/cloudsupport.techSupportEditor) 可管理支持案例,包括查看、创建、更新、升级和关闭案例。

您可以在组织、文件夹和项目级层授予此角色。例如,如果将 Tech Support Editor 角色授予特定项目的 Google 群组,则该群组的所有成员都可以管理该项目的支持案例。

您还可以在资源层次结构的多个级层授予此角色,以便为嵌套资源建立不同的权限。例如,如果您拥有组织级层的 Tech Support Viewer 角色和某个项目的 Tech Support Editor 角色,您可以查看整个组织的支持案例,但仅能修改该项目的案例。

Tech Support Viewer

Tech Support Viewer 角色 (roles/cloudsupport.techSupportViewer) 可以查看支持案例和帐号信息。

您可以在组织、项目和文件夹级层设置此角色。例如,您可以将 Tech Support Viewer 角色授予项目内特定文件夹级层的 Google 群组,以便该群组成员可以查看该文件夹中的支持案例。

授予 IAM 角色

用户、Google 群组或网域必须拥有组织级层的 resourcemanager.organizations.setIamPolicy 权限才能将用户添加到 Customer Care IAM 角色。您可以向用户或群组授予 Organization Administrator 角色 (roles/resourcemanager.organizationAdmin),从而将权限授予该用户或群组。

例如,如果您的组织既希望用户获得 Support Account Administrators 角色,又希望用户可以在其他 Customer Care IAM 角色中添加和移除用户和群组,那么 Organization Administrator 可以提供以下权限:

  • 为用户创建 Google 群组 (MyCompanySupportAdmins)。
  • 为 Google 群组 (MyCompanySupportAdmins) 分配 Organization Administrator 角色。
  • 为 Google 群组 (MyCompanySupportAdmins) 分配 Support Account Administrator 角色。

在该示例中,Google 群组的成员 (MyCompanySupportAdmins) 可以为组织中的 IAM 角色分配用户和群组,因为群组在获授 Organization Administrator 角色时已获得 setIamPolicy 权限。新的 Support Account Administrators 加入组织时,请将其添加到 Google 群组 (MyCompanySupportAdmins),以便为其授予所需角色。

要向用户、群组或网域授予 IAM 角色,请执行以下操作:

  1. 在 Google Cloud Console 中,转到 IAM 页面。
    转到 IAM 页面

  2. 从顶部菜单点击添加

  3. 指定用户、Google 网上论坛或网域。

  4. 选择支持角色。按照确保安全性的最佳做法,我们强烈建议向主账号授予其所需的最小权限。

  5. 点击保存

后续步骤

了解如何在 Google Cloud Console 中管理支持请求