本页面介绍如何为 Cloud Customer Care 的支持服务配置访问权限控制。
准备工作
- 您必须拥有标准支持服务、增强型支持服务或高级支持服务服务。
- 您必须具有 Google Cloud 组织的组织管理员角色 (
roles/resourcemanager.organizationAdmin)。
什么是 Identity and Access Management (IAM)?
Google Cloud 提供 IAM,可让您分配对特定 Google Cloud 资源的精细访问权限,并防止对其他资源进行不必要的访问。IAM 允许您采用最小权限安全原则,您只需授予对您资源的必要访问权限。
IAM 允许您通过设置 IAM 政策来控制谁(身份)对哪些资源具有什么访问权限(角色)。IAM 政策向主账号授予特定角色,从而为主账号提供特定权限。例如,对于项目等特定资源,您可以为 Google 账号指定 Tech Support Viewer 角色 (roles/cloudsupport.techSupportViewer),以便该账号可以查看项目中的支持案例,但无法管理支持案例。
访问权限注意事项
如果您已从白银级、黄金级或白金级支持转换,请注意,支持案例无法再通过 Google Cloud 支持中心 (GCSC) 访问。启用标准、增强型或高级支持服务后,您可以通过向用户、群组或网域授予 IAM 角色来管理对已转换案例的访问权限。
组织级支持请求
您可以在组织或项目中创建 Customer Care 支持请求。
为了管理组织级别的案例,用户必须在组织级别拥有 resourcemanager.organizations.get 权限,否则将无法在 Google Cloud 控制台中选择组织。
授予此权限的最简单方法是向用户授予组织的 roles/resourcemanager.organizationViewer 角色。此角色仅授予 resourcemanager.organizations.get 权限。
注意:向用户授予 Organization Viewer 角色与在组织级层向用户授予 Viewer 角色不同。这是一个常见的混淆点。Organization Viewer 角色不授予用户查看组织内任何资源的权限,而是仅允许用户看到组织存在。
此外,用户必须拥有相关的技术支持 IAM 权限,具体如以下部分所述。
Customer Care IAM 角色
使用 IAM 时,每个支持用户都必须拥有查看和管理案例及用户的适当权限。将用户添加到 IAM 角色、属于角色的群组或分配给角色的网域时,用户将获得这些权限。
下表列出了 Cloud Customer Care 用户可以使用的 IAM 角色,资源的关联权限以及您可以应用这些权限的最低资源层级。
| Role | Permissions |
|---|---|
Support Account Administrator( Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information. Lowest-level resources where you can grant this role:
|
|
Tech Support Editor( Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information. |
|
Tech Support Viewer( Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information. |
|
Support Account Viewer( Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information. Lowest-level resources where you can grant this role:
|
|
要向角色添加用户、群组或网域,请参阅授予 IAM 角色。
Support Account Administrator
具有 Support Account Administrator 角色 (roles/cloudsupport.admin) 的用户可以管理购买的支持服务及其结算方式。
支持账号管理员负责管理组织支持账号的政策,包括:
- 分配新的支持用户
- 修改现有支持用户的角色
- 管理支持结算
此角色只能在组织层级授予。
Support Account Viewer
Support Account Viewer 角色 (roles/cloudsupport.viewer) 可以查看服务的帐号信息。他们无法查看或修改支持案例;他们必须获得 Tech Support Viewer 或 Tech Support Editor 角色才能具有此等权利。
此角色只能在组织层级授予。
Tech Support Editor
Tech Support Editor 角色 (roles/cloudsupport.techSupportEditor) 可管理支持案例,包括查看、创建、更新、升级和关闭案例。
您可以在组织、文件夹和项目级层授予此角色。例如,如果将 Tech Support Editor 角色授予特定项目的 Google 群组,则该群组的所有成员都可以管理该项目的支持案例。
您还可以在资源层次结构的多个级层授予此角色,以便为嵌套资源建立不同的权限。例如,如果您拥有组织级层的 Tech Support Viewer 角色和某个项目的 Tech Support Editor 角色,您可以查看整个组织的支持案例,但仅能修改该项目的案例。
Tech Support Viewer
Tech Support Viewer 角色 (roles/cloudsupport.techSupportViewer) 可以查看支持案例和账号信息。
您可以在组织、项目和文件夹级层设置此角色。例如,您可以将 Tech Support Viewer 角色授予项目内特定文件夹级层的 Google 群组,以便该群组成员可以查看该文件夹中的支持案例。
授予 IAM 角色
用户、Google 群组或网域必须拥有组织级层的 resourcemanager.organizations.setIamPolicy 权限才能将用户添加到 Customer Care IAM 角色。您可以向用户或群组授予 Organization Administrator 角色 (roles/resourcemanager.organizationAdmin),从而将权限授予该用户或群组。
例如,如果您的组织既希望用户获得 Support Account Administrators 角色,又希望用户可以在其他 Customer Care IAM 角色中添加和移除用户和群组,那么 Organization Administrator 可以提供以下权限:
- 为用户创建 Google 群组 (MyCompanySupportAdmins)。
- 为 Google 群组 (MyCompanySupportAdmins) 分配 Organization Administrator 角色。
- 为 Google 群组 (MyCompanySupportAdmins) 分配 Support Account Administrator 角色。
在该示例中,Google 群组的成员 (MyCompanySupportAdmins) 可以为组织中的 IAM 角色分配用户和群组,因为群组在获授 Organization Administrator 角色时已获得 setIamPolicy 权限。新的 Support Account Administrators 加入组织时,请将其添加到 Google 群组 (MyCompanySupportAdmins),以便为其授予所需角色。
要向用户、群组或网域授予 IAM 角色,请执行以下操作:
在 Google Cloud 控制台中,前往 IAM 页面。
转到 IAM 页面。从顶部菜单点击添加。
指定用户、Google 网上论坛或网域。
选择支持角色。按照确保安全性的最佳做法,我们强烈建议向主账号授予其所需的最小权限。
点击保存。
后续步骤
了解如何在 Google Cloud 控制台中管理支持请求。