使用 IAM 控管存取權

這個頁面說明如何設定 Cloud Customer Care 支援服務的存取控管機制。

事前準備

• 您必須訂閱 Standard 支援服務、Enhanced 支援服務或 Premium 支援服務。
• 您必須具備 Google Cloud 組織的組織管理員角色 (roles/resourcemanager.organizationAdmin)。

什麼是身分與存取權管理 (IAM)

Google Cloud 提供 IAM 功能，可對特定Google Cloud 資源授予更精細的存取權，避免未經授權者存取其他資源。IAM 採用最小權限安全原則，可確保您僅授予使用者必要的資源存取權限。

您可以設定 IAM 政策，控管「哪些使用者」(身分) 具備「哪些資源」的「何種存取權」(角色)，透過 IAM 政策授予主體特定角色，讓對方擁有特定權限。舉例來說，您可以將特定資源 (例如專案) 的技術支援檢視者角色 (roles/cloudsupport.techSupportViewer) 指派給某個 Google 帳戶，這個帳戶就有權查看該專案中的客服案件，但是無權管理。

存取權注意事項

請注意，如果您原來採用舊版白銀級、爍金級或白金級支援方案，現已無法再透過 Google Cloud支援中心 (GCSC) 存取客服案件。啟用 Standard、Enhanced 或 Premium 支援服務後，您可以授予使用者、群組或網域 IAM 角色，藉此管理轉移後的案件存取權。

組織層級案件

您可以在組織或專案中建立 Customer Care 案件。

如要管理組織層級的案件，使用者「必須」擁有組織層級的 resourcemanager.organizations.get 權限，否則無法在 Google Cloud 控制台中選取組織。

授予這項權限最簡單的方法，是授予使用者組織的 roles/resourcemanager.organizationViewer 角色。這個角色只會授予 resourcemanager.organizations.get 權限。

注意：授予使用者 Organization Viewer 角色，與在組織層級授予使用者 Viewer 角色並不相同，這一點常讓人混淆。Organization Viewer 角色不會授予使用者查看所有組織資源的權限，只允許使用者查看組織是否存在。

此外，使用者也必須具備相關的技術支援 IAM 權限，詳情請參閱以下章節。

Customer Care IAM 角色

使用 IAM 時，每位支援使用者都必須具備適當權限，才能查看及管理案件和使用者。您只要將使用者新增至某個 IAM 角色、屬於該角色的群組或指派給該角色的網域，使用者便會獲得對應的權限。

下表列出 Cloud Customer Care 使用者可用的 IAM 角色、各資源的相關權限，以及可套用權限的最低資源層級。

Role	Permissions
Support Account Administrator (roles/cloudsupport.admin) Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information. Lowest-level resources where you can grant this role: Organization	cloudsupport.accounts.* cloudsupport.accounts.create cloudsupport.accounts.delete cloudsupport.accounts.get cloudsupport.accounts.getIamPolicy cloudsupport.accounts.getUserRoles cloudsupport.accounts.list cloudsupport.accounts.purchase cloudsupport.accounts.setIamPolicy cloudsupport.accounts.update cloudsupport.accounts.updateUserRoles cloudsupport.operations.get cloudsupport.properties.get resourcemanager.organizations.get
Tech Support Editor (roles/cloudsupport.techSupportEditor) Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.	billing.resourceAssociations.list cloudasset.assets.searchAllResources cloudsupport.properties.get cloudsupport.techCases.* cloudsupport.techCases.create cloudsupport.techCases.escalate cloudsupport.techCases.get cloudsupport.techCases.list cloudsupport.techCases.update resourcemanager.projects.get resourcemanager.projects.list
Tech Support Viewer (roles/cloudsupport.techSupportViewer) Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.	cloudsupport.properties.get cloudsupport.techCases.get cloudsupport.techCases.list resourcemanager.projects.get resourcemanager.projects.list
Support Account Viewer (roles/cloudsupport.viewer) Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information. Lowest-level resources where you can grant this role: Organization	cloudsupport.accounts.get cloudsupport.accounts.getUserRoles cloudsupport.accounts.list cloudsupport.properties.get

如要將使用者、群組或網域新增至角色，請參閱「授予 IAM 角色」。

支援帳戶管理員

具備支援帳戶管理員角色 (roles/cloudsupport.admin) 的使用者，可以管理已購買的支援服務和帳單設定。

支援帳戶管理員負責管理組織支援帳戶的各項政策，包括：

• 指派新的支援使用者
• 修改現有支援使用者的角色
• 管理支援服務帳單

這個角色只能在組織層級授予。

支援帳戶檢視者

支援帳戶檢視者角色 (roles/cloudsupport.viewer) 可以查看服務的帳戶資訊，但除非獲派技術支援檢視者或技術支援編輯者角色，否則無法檢視或編輯客服案件。

這個角色只能在組織層級授予。

技術支援編輯者

技術支援編輯者角色 (roles/cloudsupport.techSupportEditor) 可管理客服案件，包括檢視、建立、更新、提報及結案。

您可以在組織、資料夾和專案層級授予這個角色。舉例來說，如果將特定專案的技術支援編輯者角色授予某個 Google 群組，這個群組的所有成員就能管理該專案的客服案件。

您也可以在資源階層的多個層級授予這個角色，為巢狀資源建立不同的權限。舉例來說，如果您同時具有組織層級的技術支援檢視者角色，以及專案層級的技術支援編輯者角色，就能檢視組織的所有客服案件，但只能編輯該專案的案件。

技術支援檢視者

技術支援檢視者角色 (roles/cloudsupport.techSupportViewer) 可以檢視客服案件和帳戶資訊。

這個角色可以在組織、專案和資料夾層級設定。舉例來說，您可以在專案中的特定資料夾上，將技術支援檢視者角色授予指定的 Google 群組，允許該群組的成員檢視該資料夾中的客服案件。

授予 IAM 角色

使用者、Google 群組或網域必須具備組織的 resourcemanager.organizations.setIamPolicy 權限，才能將使用者新增至 Customer Care IAM 角色。將組織管理員角色 (roles/resourcemanager.organizationAdmin) 授予使用者或群組，對方就能獲得這項權限。

舉例來說，如果組織希望具備支援帳戶管理員角色的使用者，「也」有權在其他 Customer Care IAM 角色中新增及移除使用者和群組，組織管理員可以採取下列做法：

• 為多名使用者建立 Google 群組 (MyCompanySupportAdmins)。
• 將組織管理員角色指派給該 Google 群組 (MyCompanySupportAdmins)。
• 將支援帳戶管理員角色指派給該 Google 群組 (MyCompanySupportAdmins)。

在這個例子中，Google 群組 (MyCompanySupportAdmins) 的成員可以指派組織的 IAM 角色給使用者和群組，因為在授予組織管理員角色的同時，也授予了該群組 setIamPolicy 權限。有新的支援帳戶管理員加入組織時，將對方新增至這個 Google 群組 (MyCompanySupportAdmins)，即可授予所需角色。

如要將 IAM 角色授予使用者、群組或網域，請按照下列步驟操作：

1. 前往 Google Cloud 控制台的「IAM」頁面。
   前往「IAM」頁面。

2. 按一下頂端選單中的「Add」(新增)。

3. 指定使用者、Google 群組或網域。

4. 選取「Support」(支援) 角色。依據安全性最佳做法，強烈建議您只授予主體所需的最小權限。

5. 按一下「Save」(儲存)。

後續步驟

瞭解如何在Google Cloud 控制台中管理客服案件。