Control de acceso con la IAM

En esta página, se explica cómo configurar el control de acceso para los servicios de asistencia de Atención al cliente de Cloud.

Antes de comenzar

¿Qué es Identity and Access Management (IAM)?

Google Cloud ofrece IAM, que te permite otorgar acceso más detallado a recursos específicos deGoogle Cloud y evita el acceso no deseado a otros recursos. IAM te permite adoptar el principio de privilegio mínimo de seguridad, de manera que puedes otorgar solo el acceso necesario a tus recursos.

IAM te permite configurar políticas para controlar quién (identidad) tiene qué acceso (roles) a qué recurso a través de la configuración de políticas de IAM. Las políticas de IAM otorgan roles específicos a una cuenta principal, lo que le otorga algunos permisos. Por ejemplo, para un recurso determinado, como un proyecto, puedes asignar el rol de Visualizador de asistencia técnica (roles/cloudsupport.techSupportViewer) a una Cuenta de Google. Esa cuenta puede visualizar casos de asistencia del proyecto, pero no administrarlos.

Consideraciones de acceso

Si migraste desde la asistencia de nivel Plata, Oro o Platino, ten en cuenta que ya no puedes acceder a los casos de asistencia a través de Google Cloud Support Center (GCSC). Después de habilitar la Asistencia estándar, mejorada o premium, puedes administrar el acceso a los casos migrados otorgando los roles de IAM a usuarios, grupos o dominios.

Casos del nivel de la organización

Los casos de Atención al cliente pueden crearse dentro de organizaciones o proyectos.

Para administrar este tipo de casos, el usuario debe contar con el permiso resourcemanager.organizations.get a nivel de la organización. De lo contrario, no podrá seleccionar la organización en la consola de Google Cloud .

La forma más sencilla de otorgar este permiso es asignarle al usuario el rol de roles/resourcemanager.organizationViewer en la organización. Este rol solo otorga el permiso resourcemanager.organizations.get.

NOTA: Otorgar a un usuario el rol de Organization Viewer, pero esto no es lo mismo que otorgarle el rol de Viewer a nivel de la organización. Este es un punto que suele generar confusión. El rol de Organization Viewer no le otorga al usuario acceso para ver ningún recurso dentro de la organización, solo le permite ver que la organización existe.

Además, el usuario debe tener los permisos de IAM de asistencia técnica correspondientes, los cuales se describen en las siguientes secciones.

Roles de IAM de Atención al cliente

Con IAM, cada usuario de asistencia debe tener los permisos adecuados para ver y administrar casos y usuarios. Los usuarios obtienen estos permisos cuando los agregas a un rol de IAM, a un grupo que pertenece a un rol o a un dominio asignado a un rol.

En la siguiente tabla, se enumeran los roles de IAM disponibles para los usuarios de Atención al cliente de Cloud, los permisos asociados y los recursos más bajos a los que puedes aplicar los permisos.

Role Permissions

(roles/cloudsupport.admin)

Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.*

  • cloudsupport.accounts.create
  • cloudsupport.accounts.delete
  • cloudsupport.accounts.get
  • cloudsupport.accounts.getIamPolicy
  • cloudsupport.accounts.getUserRoles
  • cloudsupport.accounts.list
  • cloudsupport.accounts.purchase
  • cloudsupport.accounts.setIamPolicy
  • cloudsupport.accounts.update
  • cloudsupport.accounts.updateUserRoles

cloudsupport.operations.get

cloudsupport.properties.get

resourcemanager.organizations.get

(roles/cloudsupport.techSupportEditor)

Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

billing.resourceAssociations.list

cloudasset.assets.searchAllResources

cloudsupport.properties.get

cloudsupport.techCases.*

  • cloudsupport.techCases.create
  • cloudsupport.techCases.escalate
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • cloudsupport.techCases.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.techSupportViewer)

Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

cloudsupport.properties.get

cloudsupport.techCases.get

cloudsupport.techCases.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.viewer)

Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.get

cloudsupport.accounts.getUserRoles

cloudsupport.accounts.list

cloudsupport.properties.get

Para agregar un usuario, grupo o dominio a un rol, consulta Cómo otorgar roles de IAM.

Administrador de cuentas de asistencia

Los usuarios con el rol de Administrador de cuentas de asistencia (roles/cloudsupport.admin) pueden administrar el servicio de asistencia adquirido y la forma en que se factura.

El Administrador de cuentas de asistencia es responsable de administrar las políticas de la cuenta de asistencia de la organización, incluidas las siguientes opciones:

  • Asignar usuarios nuevos de asistencia
  • Modificar los roles de los usuarios de asistencia existentes
  • Administrar la asistencia de facturación

Este rol solo se puede otorgar en el nivel de organización.

Visualizador de cuentas de asistencia

Los usuarios con el rol de visualizador de cuentas de asistencia (roles/cloudsupport.viewer) pueden ver la información de la cuenta del servicio. No pueden ver ni editar los casos de asistencia; para ello, se les debe asignar un rol de Editor o Visualizador de asistencia técnica.

Este rol solo se puede otorgar en el nivel de organización.

Editor de asistencia técnica

El rol de Editor de asistencia técnica (roles/cloudsupport.techSupportEditor) puede administrar casos de asistencia, cómo ver, crear, actualizar, derivar y cerrar casos.

Puedes otorgar este rol a nivel de la organización, la carpeta y el proyecto. Por ejemplo, si otorgas el rol de Editor de asistencia técnica a un Grupo de Google en un proyecto específico, todos los miembros del grupo podrán administrar los casos de asistencia de dicho proyecto.

También puedes otorgar este rol en varios niveles de la jerarquía de recursos, lo que te permite establecer permisos diferentes para los recursos anidados. Por ejemplo, si tienes el rol de Visualizador de asistencia técnica en la organización y de Editor de asistencia técnica en un proyecto, puedes ver casos de asistencia en toda la organización, pero solo podrás editar casos del proyecto.

Visualizador de asistencia técnica

Los usuarios con el rol de Visualizador de asistencia técnica (roles/cloudsupport.techSupportViewer) pueden ver los casos de asistencia y la información de la cuenta.

Este rol se puede establecer en los niveles de organización, proyecto y carpeta. Por ejemplo, puedes otorgar el rol de Visualizador de asistencia técnica a un Grupo de Google en una carpeta específica en un proyecto, lo que permite que los miembros de ese grupo vean los casos de asistencia en la carpeta.

Otorga roles de IAM

Los usuarios, los Grupos de Google o sus dominios deben contar con el permiso resourcemanager.organizations.setIamPolicy en la organización para agregar usuarios a los roles de IAM de la Atención al cliente. Puedes otorgarle a un usuario o grupo ese permiso a través del rol de Administrador de la organización (roles/resourcemanager.organizationAdmin).

Por ejemplo, si tu organización desea que los usuarios que tengan el rol de Administradores de cuentas de asistencia también puedan agregar y quitar usuarios y grupos de roles de IAM de Atención al cliente, el Administrador de la organización puede hacer lo siguiente:

  • Crear un Grupo de Google para los usuarios (MyCompanySupportAdmins)
  • Asignar el rol de Administrador de la organización al Grupo de Google (MyCompanySupportAdmins)
  • Asignar el rol de Administrador de cuentas de asistencia al Grupo de Google (MyCompanySupportAdmins)

En el ejemplo, los miembros del Grupo de Google (MyCompanySupportAdmins) pueden asignar usuarios y grupos a los roles de la IAM en la organización porque se les otorgó el permiso setIamPolicy cuando se les asignó el rol de Administrador de la organización. A medida que los nuevos Administrador de cuentas de asistencia se unan a la organización, agrégalos al Grupo de Google (MyCompanySupportAdmins) para otorgarles los roles deseados.

Para otorgar el rol de IAM a un usuario, grupo o dominio, haz lo siguiente:

  1. En la consola de Google Cloud , dirígete a la página IAM.
    Ir a la página IAM

  2. En el menú superior, haz clic en Agregar.

  3. Especifica un usuario, un Grupo de Google o un dominio.

  4. Seleccionar un rol de asistencia. Para una mejor seguridad, se recomienda brindarle al miembro la menor cantidad de privilegios que necesite.

  5. Haz clic en Guardar.

¿Qué sigue?

Obtén información para administrar casos de asistencia en la consola deGoogle Cloud .