Controllo dell'accesso con IAM

Questa pagina spiega come configurare il controllo dell'accesso per i servizi di assistenza clienti Google Cloud.

Prima di iniziare

Che cos'è Identity and Access Management (IAM)

Google Cloud offre IAM, che ti consente di concedere un accesso più granulare a determinate risorseGoogle Cloud e impedisce l'accesso indesiderato ad altre risorse. Con IAM puoi adottare il principio di sicurezza del privilegio minimo e quindi concedere solo l'accesso necessario alle tue risorse.

IAM ti consente di controllare chi (identità) ha quale accesso (ruoli) a quale risorsa impostando le policy IAM. Le policy IAM assegnano uno o più ruoli specifici a un'entità, concedendo a quest'ultima determinate autorizzazioni. Ad esempio, per una determinata risorsa, come un progetto, puoi assegnare il ruolo Tech Support Viewer (roles/cloudsupport.techSupportViewer) a un Account Google e questo account può visualizzare le richieste di assistenza nel progetto, ma non può gestirle.

Considerazioni sull'accesso

Se hai eseguito la transizione dall'assistenza Silver, Gold o Platinum, tieni presente che le richieste di assistenza non sono più accessibili tramite il Google CloudSupport Center (GCSC). Dopo aver attivato l'assistenza Standard, Avanzata o Premium, puoi gestire l'accesso alle richieste di assistenza di cui è stata eseguita la transizione concedendo i ruoli IAM a utenti, gruppi o domini.

Richieste a livello di organizzazione

Le richieste di assistenza clienti possono essere create all'interno di organizzazioni o progetti.

Per gestire le richieste a livello di organizzazione, l'utente deve disporre dell'autorizzazione resourcemanager.organizations.get a livello dell'organizzazione, altrimenti non potrà selezionare l'organizzazione nella console Google Cloud .

Il modo più semplice per concedere questa autorizzazione è assegnare all'utente il ruolo roles/resourcemanager.organizationViewer nell'organizzazione. Questo ruolo concede solo l'autorizzazione resourcemanager.organizations.get.

NOTA: concedere a un utente il ruolo Organization Viewer non equivale a concedergli il ruolo Viewer a livello dell'organizzazione. Questo è un punto che spesso genera confusione. Il ruolo Organization Viewer non consente all'utente l'accesso in visualizzazione alle risorse all'interno dell'organizzazione, ma solo di vedere che l'organizzazione esiste.

Inoltre, l'utente deve disporre delle autorizzazioni IAM di Assistenza tecnica pertinenti, descritte nelle sezioni seguenti.

Ruoli IAM dell'assistenza clienti

Con IAM, ogni utente di assistenza deve disporre delle autorizzazioni appropriate per visualizzare e gestire richieste e utenti. Gli utenti ricevono queste autorizzazioni quando vengono aggiunti a un ruolo IAM, a un gruppo che appartiene a un ruolo o a un dominio assegnato a un ruolo.

La tabella riportata di seguito elenca i ruoli IAM disponibili per gli utenti dell'assistenza clienti Google Cloud, le autorizzazioni associate alle risorse e il livello di risorsa più basso a cui puoi applicare le autorizzazioni.

Role Permissions

(roles/cloudsupport.admin)

Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.*

  • cloudsupport.accounts.create
  • cloudsupport.accounts.delete
  • cloudsupport.accounts.get
  • cloudsupport.accounts.getIamPolicy
  • cloudsupport.accounts.getUserRoles
  • cloudsupport.accounts.list
  • cloudsupport.accounts.purchase
  • cloudsupport.accounts.setIamPolicy
  • cloudsupport.accounts.update
  • cloudsupport.accounts.updateUserRoles

cloudsupport.operations.get

cloudsupport.properties.get

resourcemanager.organizations.get

(roles/cloudsupport.techSupportEditor)

Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

billing.resourceAssociations.list

cloudasset.assets.searchAllResources

cloudsupport.properties.get

cloudsupport.techCases.*

  • cloudsupport.techCases.create
  • cloudsupport.techCases.escalate
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • cloudsupport.techCases.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.techSupportViewer)

Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

cloudsupport.properties.get

cloudsupport.techCases.get

cloudsupport.techCases.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.viewer)

Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.get

cloudsupport.accounts.getUserRoles

cloudsupport.accounts.list

cloudsupport.properties.get

Per aggiungere un utente, un gruppo o un dominio a un ruolo, consulta Concedi ruoli IAM.

Support Account Administrator

Gli utenti con il ruolo Support Account Administrator (roles/cloudsupport.admin) possono gestire il servizio di assistenza acquistato e la relativa fatturazione.

Il Support Account Administrator è responsabile dell'amministrazione delle policy per l'account di assistenza dell'organizzazione, tra cui:

  • Assegnare nuovi utenti di assistenza
  • Modificare i ruoli per gli utenti di assistenza esistenti
  • Gestire la fatturazione dell'assistenza

Questo ruolo può essere concesso solo a livello di organizzazione.

Support Account Viewer

Il ruolo Support Account Viewer (roles/cloudsupport.viewer) può visualizzare le informazioni dell'account per il servizio. Non può visualizzare o modificare le richieste di assistenza; per farlo, deve disporre del ruolo Tech Support Viewer o Tech Support Editor.

Questo ruolo può essere concesso solo a livello di organizzazione.

Tech Support Editor

Il ruolo Tech Support Editor (roles/cloudsupport.techSupportEditor) può gestire le richieste di assistenza, tra cui visualizzazione, creazione, aggiornamento, riassegnazione e chiusura delle richieste.

Puoi concedere questo ruolo a livello di organizzazione, cartella e progetto. Ad esempio, se concedi il ruolo di Tech Support Editor a un gruppo Google in un progetto specifico, tutti i membri del gruppo possono gestire le richieste di assistenza per quel progetto.

Puoi anche concedere questo ruolo a più livelli della gerarchia delle risorse per stabilire autorizzazioni diverse per le risorse nidificate. Ad esempio, se disponi del ruolo Tech Support Viewer per l'organizzazione e del ruolo Tech Support Editor per un progetto, puoi visualizzare le richieste di assistenza in tutta l'organizzazione, ma puoi modificare solo le richieste per il progetto.

Tech Support Viewer

Il ruolo Tech Support Viewer (roles/cloudsupport.techSupportViewer) può visualizzare le richieste di assistenza e le informazioni dell'account.

Questo ruolo può essere impostato a livello di organizzazione, progetto e cartella. Ad esempio, puoi concedere il ruolo Tech Support Viewer a un gruppo Google su una cartella specifica all'interno di un progetto, il che consente ai membri di quel gruppo di visualizzare le richieste di assistenza nella cartella.

Concedi ruoli IAM

Gli utenti, i gruppi Google o i domini devono disporre dell'autorizzazione resourcemanager.organizations.setIamPolicy sull'organizzazione per aggiungere utenti ai ruoli IAM dell'assistenza clienti. Puoi concedere questa autorizzazione a un utente o a un gruppo assegnando il ruolo Organization Administrator (roles/resourcemanager.organizationAdmin).

Ad esempio, se la tua organizzazione vuole che gli utenti a cui è stato concesso il ruolo Support Account Administrator possano anche aggiungere e rimuovere utenti e gruppi dagli altri ruoli IAM di assistenza clienti, l'Organization Administrator può eseguire le seguenti operazioni:

  • Creare un gruppo Google per gli utenti (AmministratoriAssistenzaAzienda).
  • Assegnare al gruppo Google (AmministratoriAssistenzaAzienda) il ruolo Organization Administrator.
  • Assegnare al gruppo Google (AmministratoriAssistenzaAzienda) il ruolo Support Account Administrator.

Nell'esempio, i membri del gruppo Google (AmministratoriAssistenzaAzienda) possono assegnare utenti e gruppi ai ruoli IAM nell'organizzazione perché al gruppo è stata concessa l'autorizzazione setIamPolicy con la concessione del ruolo Organization Administrator. Man mano che nuovi Support Account Administrator entrano a far parte dell'organizzazione, aggiungili al gruppo Google (AmministratoriAssistenzaAzienda) per concedere loro i ruoli desiderati.

Per concedere un ruolo IAM a un utente, un gruppo o un dominio:

  1. Nella console Google Cloud , vai alla pagina IAM.
    Vai alla pagina IAM

  2. Nel menu in alto, fai clic su Aggiungi.

  3. Specifica un utente, un gruppo Google o un dominio.

  4. Seleziona un ruolo di assistenza. Ti consigliamo vivamente di concedere all'entità il minor numero di privilegi necessario per rispettare le best practice sulla sicurezza.

  5. Fai clic su Salva.

Passaggi successivi

Scopri come gestire le richieste di assistenza nella consoleGoogle Cloud .