IAM を使用したアクセス制御

このページでは、Cloud カスタマーケアのサポート サービスへのアクセス制御を構成する方法について説明します。

始める前に

Identity and Access Management(IAM)とは

Google Cloud には IAM 機能があります。これにより、特定の Google Cloud リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不正なアクセスを防ぐことができます。IAM を使用すると、セキュリティに関する最小権限の原則を導入できるため、リソースに対する必要なアクセス権のみ付与できます。

IAM は、IAM ポリシーを設定することで、(ID)がどのようなアクセス権(ロール)をどのリソースに対して持つのかを制御できるようにします。IAM ポリシーは、特定のロールをプリンシパルに付与することで、そのプリンシパルに特定の権限を付与します。たとえば、プロジェクトなどのリソースの場合、テクニカル サポート閲覧者のロール(roles/cloudsupport.techSupportViewer)を割り当てられた Google アカウントの使用者は、プロジェクトでサポートケースを表示できますが、サポートケースの管理はできません。

アクセスに関する考慮事項

シルバー、ゴールド、プラチナの各サポートから移行した場合は、Google Cloud サポート センター(GCSC)からはサポートケースにアクセスできなくなっていることにご注意ください。スタンダード サポート、エンハンスト サポートまたはプレミアム サポートを有効にしたら、ユーザー、グループまたはドメインに IAM のロールを付与することで、移行されたケースへのアクセスを管理できます。

組織レベルのケース

カスタマーケア ケースは、組織またはプロジェクト内で作成できます。

組織レベルのケースを管理するには、ユーザーが組織レベルで resourcemanager.organizations.get 権限を持っている必要があります。そうしないと、Google Cloud コンソールで組織を選択できなくなります。

この権限を付与する最も簡単な方法は、組織の roles/resourcemanager.organizationViewer ロールをユーザーに付与することです。このロールには resourcemanager.organizations.get 権限のみが付与されます。

注: ユーザーに Organization Viewer ロールを付与することは、組織レベルで Viewer ロールをユーザーに付与することとは異なります。これはよくある混乱点です。Organization Viewer ロールでは、組織内のリソースを表示するアクセス権は付与されません。組織が存在することを確認できるだけです。

また、ユーザーには、次のセクションで説明する関連するテクニカル サポート IAM 権限が必要です。

カスタマーケア IAM ロール

IAM では、すべてのサポート ユーザーに、ケースとユーザーを表示して管理するための適切な権限が必要です。IAM の役割、役割に属するグループ、または役割に割り当てられたドメインにユーザーを追加すると、これらの権限がユーザーに付与されます。

Cloud カスタマーケア ユーザーが使用できる IAM のロール、各リソースに関連付けられている権限、権限を適用できる最小限のリソースレベルを次の表に示します。

Role Permissions

(roles/cloudsupport.admin)

Allows management of a support account without giving access to support cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.*

  • cloudsupport.accounts.create
  • cloudsupport.accounts.delete
  • cloudsupport.accounts.get
  • cloudsupport.accounts.getIamPolicy
  • cloudsupport.accounts.getUserRoles
  • cloudsupport.accounts.list
  • cloudsupport.accounts.purchase
  • cloudsupport.accounts.setIamPolicy
  • cloudsupport.accounts.update
  • cloudsupport.accounts.updateUserRoles

cloudsupport.operations.get

cloudsupport.properties.get

resourcemanager.organizations.get

(roles/cloudsupport.techSupportEditor)

Full read-write access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

billing.resourceAssociations.list

cloudasset.assets.searchAllResources

cloudsupport.properties.get

cloudsupport.techCases.*

  • cloudsupport.techCases.create
  • cloudsupport.techCases.escalate
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • cloudsupport.techCases.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.techSupportViewer)

Read-only access to technical support cases (applicable for GCP Customer Care and Maps support). See the Cloud Support documentation for more information.

cloudsupport.properties.get

cloudsupport.techCases.get

cloudsupport.techCases.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudsupport.viewer)

Read-only access to details of a support account. This does not allow viewing cases. See the Cloud Support documentation for more information.

Lowest-level resources where you can grant this role:

  • Organization

cloudsupport.accounts.get

cloudsupport.accounts.getUserRoles

cloudsupport.accounts.list

cloudsupport.properties.get

ユーザー、グループ、ドメインをロールに追加するには、IAM ロールを付与するをご覧ください。

サポート アカウント管理者

サポート アカウント管理者のロールを持つユーザー(roles/cloudsupport.admin)は、購入したサポート サービスとお支払い方法を管理できます。

サポート アカウント管理者は、以下に示すような、組織のサポート アカウントに関するポリシーを管理します。

  • 新しいサポート ユーザーの割り当て
  • 既存のサポート ユーザーの役割の変更
  • サポート請求の管理

この役割は、組織レベルでのみ付与できます。

サポート アカウント閲覧者

サポート アカウント閲覧者のロール(roles/cloudsupport.viewer)は、そのサービスのアカウント情報を表示できます。サポートケースを表示または編集するには、テクニカル サポート閲覧者またはテクニカル サポート編集者のロールを割り当てます。

この役割は、組織レベルでのみ付与できます。

テクニカル サポート編集者

テクニカル サポート編集者のロール(roles/cloudsupport.techSupportEditor)では、サポートケースの表示、作成、更新、エスカレーション、終了など、サポートケースを管理できます。

このロールは、組織レベル、フォルダレベル、プロジェクト レベルで付与できます。たとえば、特定のプロジェクトの Google グループにテクニカル サポート編集者のロールを付与すると、そのグループのすべてのメンバーが、そのプロジェクトのサポートケースを管理できます。

リソース階層の複数のレベルでこのロールを付与して、ネストされたリソースに対して異なる権限を設定することもできます。たとえば、組織のテクニカル サポート閲覧者のロールとプロジェクトのテクニカル サポート編集者のロールを持っているユーザーは、組織全体のサポートケースを表示できますが、編集できるのはプロジェクトのケースのみです。

テクニカル サポート閲覧者

テクニカル サポート閲覧者のロール(roles/cloudsupport.techSupportViewer)を持つユーザーはサポートケースとアカウント情報を表示できます。

このロールは組織レベル、プロジェクト レベル、フォルダレベルで設定できます。たとえば、プロジェクト内の特定フォルダの Google グループにテクニカル サポート閲覧者のロールを付与すると、そのグループのメンバーはフォルダ内のサポートケースを表示できるようになります。

IAM ロールの付与

カスタマーケア IAM のロールにユーザーを追加するには、ユーザー、Google グループ、またはドメインに組織の resourcemanager.organizations.setIamPolicy 権限が付与されている必要があります。この権限を付与するには、ユーザーまたはグループに組織管理者のロールを付与します(roles/resourcemanager.organizationAdmin)。

たとえば、サポート アカウント管理者ロールを持つユーザーが他のカスタマーケア IAM のロールに対してもユーザーおよびグループの追加と削除を行えるようにする必要がある場合、組織管理者は次のことを行えます。

  • Google グループ(MyCompanySupportAdmins)を作成して該当するユーザーを追加します。
  • この Google グループ(MyCompanySupportAdmins)に組織管理者ロールを割り当てます。
  • この Google グループ(MyCompanySupportAdmins)にサポート アカウント管理者ロールを割り当てます。

この例では、Google グループ(MyCompanySupportAdmins)に組織管理者ロールが付与されたときに setIamPolicy 権限が付与されているため、このグループのメンバーは組織の IAM のロールにユーザーとグループを割り当てることができます。新しいサポート アカウント管理者が組織に加わったときは、この Google グループ(MyCompanySupportAdmins)に追加して必要なロールを付与します。

ユーザー、グループ、またはドメインに IAM のロールを付与するには:

  1. Google Cloud コンソールの [IAM] ページに移動します。
    [IAM] ページに移動

  2. トップメニューで、[追加] をクリックします。

  3. ユーザー、Google グループ、またはドメインを指定します。

  4. [サポート] ロールを選択します。最善のセキュリティを得るため、必要最小限の権限をプリンシパルに付与することを強くおすすめします。

  5. [保存] をクリックします。

次のステップ

Google Cloud コンソールでサポートケースを管理する方法を確認する。