Zugriffssteuerung mit IAM

Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) und Berechtigungen beschrieben, die Sie zum Kauf und zur Verwaltung kommerzieller Produkte in Cloud Marketplace benötigen.

Mit IAM verwalten Sie die Zugriffssteuerung. Sie legen fest, wer (Identität) welchen Zugriff (Rolle) auf welche Ressource hat. Bei kommerziellen Anwendungen auf Cloud Marketplace benötigen Nutzer in Ihrer Google Cloud-Organisation IAM-Rollen, um sich für Cloud Marketplace-Pläne anzumelden und Änderungen an Abrechnungstarifen vorzunehmen.

Hinweise

  • Installieren Sie die gcloud CLI, um Cloud Marketplace-Rollen und -Berechtigungen mit gcloud zu gewähren. Andernfalls können Sie Rollen über die Google Cloud Console zuweisen.

IAM-Rollen zum Kaufen und Verwalten von Produkten

Wir empfehlen, die IAM-Rolle "Abrechnungsadministrator" (roles/billing.admin) Nutzern zuzuweisen, die Dienste aus Cloud Marketplace kaufen.

Nutzer, die auf die Dienste zugreifen möchten, müssen mindestens die Rolle "Projektbetrachter" (roles/viewer) haben.

Wenn Sie eine umfassendere Kontrolle über die Berechtigungen der Nutzer benötigen, können Sie benutzerdefinierte Rollen erstellen, deren Berechtigungen Sie erteilen möchten.

Liste der IAM-Rollen und -Berechtigungen

Sie können Nutzern eine oder mehrere der folgenden IAM-Rollen zuweisen. Abhängig von der Rolle, die Sie Nutzern zuweisen, müssen Sie die Rolle auch einem Google Cloud-Rechnungskonto, einer Organisation oder einem Projekt zuweisen. Weitere Informationen finden Sie unter Nutzern IAM-Rollen zuweisen.

Rolle Berechtigungen

(roles/commercebusinessenablement.admin)

Administrator von Konfigurationsressourcen für verschiedene Anbieter

commercebusinessenablement.leadgenConfig.*

  • commercebusinessenablement.leadgenConfig.get
  • commercebusinessenablement.leadgenConfig.update

commercebusinessenablement.partnerAccounts.*

  • commercebusinessenablement.partnerAccounts.get
  • commercebusinessenablement.partnerAccounts.list

commercebusinessenablement.partnerInfo.get

commercebusinessenablement.resellerConfig.get

resourcemanager.organizations.get

resourcemanager.projects.get

resourcemanager.projects.list

(roles/commercebusinessenablement.paymentConfigAdmin)

Administration der Zahlungskonfigurationsressource

commercebusinessenablement.paymentConfig.*

  • commercebusinessenablement.paymentConfig.get
  • commercebusinessenablement.paymentConfig.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/commercebusinessenablement.paymentConfigViewer)

Betrachter der Zahlungskonfigurationsressource

commercebusinessenablement.paymentConfig.get

resourcemanager.projects.get

resourcemanager.projects.list

(roles/commercebusinessenablement.resellerDiscountAdmin)

Gewährt Administratorzugriff auf Reseller-Rabattangebote

commercebusinessenablement.partnerAccounts.*

  • commercebusinessenablement.partnerAccounts.get
  • commercebusinessenablement.partnerAccounts.list

commercebusinessenablement.partnerInfo.get

commercebusinessenablement.resellerConfig.get

commercebusinessenablement.resellerDiscountOffers.*

  • commercebusinessenablement.resellerDiscountOffers.cancel
  • commercebusinessenablement.resellerDiscountOffers.create
  • commercebusinessenablement.resellerDiscountOffers.list

resourcemanager.organizations.get

resourcemanager.projects.get

resourcemanager.projects.list

(roles/commercebusinessenablement.resellerDiscountViewer)

Gewährt Lesezugriff auf Reseller-Rabattangebote

commercebusinessenablement.partnerAccounts.*

  • commercebusinessenablement.partnerAccounts.get
  • commercebusinessenablement.partnerAccounts.list

commercebusinessenablement.partnerInfo.get

commercebusinessenablement.resellerConfig.get

commercebusinessenablement.resellerDiscountOffers.list

resourcemanager.organizations.get

resourcemanager.projects.get

resourcemanager.projects.list

(roles/commercebusinessenablement.viewer)

Betrachter der Konfigurationsressource für verschiedene Anbieter

commercebusinessenablement.leadgenConfig.get

commercebusinessenablement.partnerAccounts.*

  • commercebusinessenablement.partnerAccounts.get
  • commercebusinessenablement.partnerAccounts.list

commercebusinessenablement.partnerInfo.get

commercebusinessenablement.resellerConfig.get

resourcemanager.organizations.get

resourcemanager.projects.get

resourcemanager.projects.list

(roles/commerceoffercatalog.offersViewer)

Ermöglicht das Aufrufen von Angeboten

commerceoffercatalog.*

  • commerceoffercatalog.documents.get
  • commerceoffercatalog.offers.get

(roles/commerceorggovernance.admin)

Vollständiger Zugriff auf Organization Governance APIs

commerceorggovernance.*

  • commerceorggovernance.collections.create
  • commerceorggovernance.collections.delete
  • commerceorggovernance.collections.get
  • commerceorggovernance.collections.list
  • commerceorggovernance.collections.update
  • commerceorggovernance.consumerSharingPolicies.get
  • commerceorggovernance.consumerSharingPolicies.update
  • commerceorggovernance.organizationSettings.get
  • commerceorggovernance.organizationSettings.update
  • commerceorggovernance.services.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/commerceorggovernance.viewer)

Vollständiger Zugriff auf schreibgeschützte Organization Governance APIs.

commerceorggovernance.collections.get

commerceorggovernance.collections.list

commerceorggovernance.consumerSharingPolicies.get

commerceorggovernance.organizationSettings.get

commerceorggovernance.services.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/commercepricemanagement.eventsViewer)

Berechtigung zum Ansehen wichtiger Ereignisse für ein Angebot

commerceprice.events.*

  • commerceprice.events.get
  • commerceprice.events.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/commercepricemanagement.privateOffersAdmin)

Lässt das Verwalten von Private Offers zu

commerceprice.*

  • commerceprice.events.get
  • commerceprice.events.list
  • commerceprice.privateoffers.cancel
  • commerceprice.privateoffers.create
  • commerceprice.privateoffers.delete
  • commerceprice.privateoffers.get
  • commerceprice.privateoffers.list
  • commerceprice.privateoffers.publish
  • commerceprice.privateoffers.update

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.get

serviceusage.services.list

(roles/commercepricemanagement.viewer)

Ermöglicht die Anzeige von Angeboten, kostenlosen Testversionen und Artikelnummern

commerceprice.privateoffers.get

commerceprice.privateoffers.list

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.get

serviceusage.services.list

(roles/commerceproducer.admin)

Gewährt vollständigen Zugriff auf alle Ressourcen in der Cloud Commerce Producer API.

commercebusinessenablement.partnerInfo.get

resourcemanager.projects.get

resourcemanager.projects.list

(roles/commerceproducer.viewer)

Gewährt Lesezugriff auf alle Ressourcen in der Cloud Commerce Producer API.

commercebusinessenablement.partnerInfo.get

resourcemanager.projects.get

resourcemanager.projects.list

(roles/consumerprocurement.entitlementManager)

Ermöglicht es, Berechtigungen zu verwalten sowie Dienststatus für ein Nutzerprojekt zu aktivieren, zu deaktivieren und zu prüfen.

consumerprocurement.consents.check

consumerprocurement.consents.grant

consumerprocurement.consents.list

consumerprocurement.consents.revoke

consumerprocurement.entitlements.*

  • consumerprocurement.entitlements.get
  • consumerprocurement.entitlements.list

consumerprocurement.freeTrials.*

  • consumerprocurement.freeTrials.create
  • consumerprocurement.freeTrials.get
  • consumerprocurement.freeTrials.list

orgpolicy.policy.get

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.operations.get

serviceusage.services.disable

serviceusage.services.enable

serviceusage.services.get

serviceusage.services.list

(roles/consumerprocurement.entitlementViewer)

Ermöglicht es, Berechtigungen und Dienststatus für ein Nutzerprojekt zu prüfen.

consumerprocurement.consents.check

consumerprocurement.consents.list

consumerprocurement.entitlements.*

  • consumerprocurement.entitlements.get
  • consumerprocurement.entitlements.list

consumerprocurement.freeTrials.get

consumerprocurement.freeTrials.list

orgpolicy.policy.get

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.get

serviceusage.services.list

(roles/consumerprocurement.eventsViewer)

Berechtigung zum Ansehen wichtiger Ereignisse für ein Angebot

consumerprocurement.events.*

  • consumerprocurement.events.get
  • consumerprocurement.events.list

(roles/consumerprocurement.orderAdmin)

Ermöglicht es, Käufe zu verwalten.

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.list

billing.accounts.redeemPromotion

billing.credits.list

billing.resourceAssociations.create

commerceoffercatalog.*

  • commerceoffercatalog.documents.get
  • commerceoffercatalog.offers.get

consumerprocurement.accounts.*

  • consumerprocurement.accounts.create
  • consumerprocurement.accounts.delete
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.grant

consumerprocurement.consents.list

consumerprocurement.consents.revoke

consumerprocurement.events.*

  • consumerprocurement.events.get
  • consumerprocurement.events.list

consumerprocurement.orderAttributions.*

  • consumerprocurement.orderAttributions.get
  • consumerprocurement.orderAttributions.list
  • consumerprocurement.orderAttributions.update

consumerprocurement.orders.*

  • consumerprocurement.orders.cancel
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • consumerprocurement.orders.modify
  • consumerprocurement.orders.place

(roles/consumerprocurement.orderViewer)

Ermöglicht es, Käufe zu prüfen.

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.list

billing.credits.list

commerceoffercatalog.*

  • commerceoffercatalog.documents.get
  • commerceoffercatalog.offers.get

consumerprocurement.accounts.get

consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.list

consumerprocurement.orderAttributions.get

consumerprocurement.orderAttributions.list

consumerprocurement.orders.get

consumerprocurement.orders.list

(roles/consumerprocurement.procurementAdmin)

Ermöglicht es, Käufe und Einwilligungen sowohl auf Rechnungskonto- als auch auf Projektebene zu verwalten.

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.list

billing.accounts.redeemPromotion

billing.credits.list

billing.resourceAssociations.create

commerceoffercatalog.*

  • commerceoffercatalog.documents.get
  • commerceoffercatalog.offers.get

consumerprocurement.*

  • consumerprocurement.accounts.create
  • consumerprocurement.accounts.delete
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list
  • consumerprocurement.consents.allowProjectGrant
  • consumerprocurement.consents.check
  • consumerprocurement.consents.grant
  • consumerprocurement.consents.list
  • consumerprocurement.consents.revoke
  • consumerprocurement.entitlements.get
  • consumerprocurement.entitlements.list
  • consumerprocurement.events.get
  • consumerprocurement.events.list
  • consumerprocurement.freeTrials.create
  • consumerprocurement.freeTrials.get
  • consumerprocurement.freeTrials.list
  • consumerprocurement.orderAttributions.get
  • consumerprocurement.orderAttributions.list
  • consumerprocurement.orderAttributions.update
  • consumerprocurement.orders.cancel
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • consumerprocurement.orders.modify
  • consumerprocurement.orders.place

orgpolicy.policy.get

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.operations.get

serviceusage.services.disable

serviceusage.services.enable

serviceusage.services.get

serviceusage.services.list

(roles/consumerprocurement.procurementViewer)

Ermöglicht die Überprüfung von Käufen, Einwilligungen und Berechtigungen sowie Dienststatus für ein Nutzerprojekt.

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.list

billing.credits.list

commerceoffercatalog.*

  • commerceoffercatalog.documents.get
  • commerceoffercatalog.offers.get

consumerprocurement.accounts.get

consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.list

consumerprocurement.entitlements.*

  • consumerprocurement.entitlements.get
  • consumerprocurement.entitlements.list

consumerprocurement.freeTrials.get

consumerprocurement.freeTrials.list

consumerprocurement.orderAttributions.get

consumerprocurement.orderAttributions.list

consumerprocurement.orders.get

consumerprocurement.orders.list

orgpolicy.policy.get

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.get

serviceusage.services.list

Nutzern IAM-Rollen zuweisen

Aus den Rollen der Tabelle oben müssen die Rollen consumerprocurement.orderAdmin und consumerprocurement.orderViewer auf Rechnungskonto- oder Organisationsebene und die Rollen consumerprocurement.entitlementManager und consumerprocurement.entitlementViewer auf Projekt- oder Organisationsebene zugewiesen werden.

Führen Sie einen der folgenden Befehle aus, um Nutzern mit gcloud Rollen zuzuweisen:

Organisation

Sie benötigen die Rolle resourcemanager.organizationAdmin, um Rollen auf Organisationsebene zuzuweisen.

gcloud organizations add-iam-policy-binding organization-id \
--member=member --role=role-id

Die Platzhalterwerte sind:

  • organization-id: Die numerische ID der Organisation, der Sie die Rolle zuweisen.
  • member: Der Nutzer, dem Sie Zugriff gewähren.
  • role-id: Die Rollen-ID aus der vorherigen Tabelle.

Rechnungskonto

Sie benötigen die Rolle billing.admin, um Rollen auf Rechnungskonto-Ebene zuzuweisen.

gcloud beta billing accounts set-iam-policy account-id \
policy-file

Die Platzhalterwerte sind:

  • account-id: Ihre Rechnungskonto-ID, die Sie auf der Seite Rechnungskonten verwalten abrufen können.
  • policy-file: Eine IAM-Richtliniendatei im JSON- oder YAML-Format. Die Richtliniendatei muss die Rollen-IDs aus der vorherigen Tabelle und die Nutzer enthalten, denen Sie die Rollen zuweisen.

Projekt

Sie benötigen die Rolle resourcemanager.folderAdmin, um Rollen auf Projektebene zuzuweisen.

gcloud projects add-iam-policy-binding project-id \
--member=member --role=role-id

Die Platzhalterwerte sind:

  • project-id: Das Projekt, dem Sie die Rolle zuweisen.
  • member: Der Nutzer, dem Sie Zugriff gewähren.
  • role-id: Die Rollen-ID aus der vorherigen Tabelle.

Informationen zum Zuweisen von Rollen für Nutzer über die Google Cloud Console finden Sie in der IAM-Dokumentation unter Zugriff für Nutzer gewähren, ändern und widerrufen.

Benutzerdefinierte Rollen mit Cloud Marketplace verwenden

Wenn Sie die Berechtigungen, die Sie Nutzern gewähren, genau steuern möchten, können Sie benutzerdefinierte Rollen mit den gewünschten Berechtigungen erstellen.

Wenn Sie eine benutzerdefinierte Rolle für Nutzer erstellen, die Dienste von Cloud Marketplace kaufen, muss die Rolle die folgenden Berechtigungen für das Rechnungskonto enthalten, das sie für den Kauf von Diensten verwenden:

Auf Partner-Websites mit Einmalanmeldung (SSO) zugreifen

Bestimmte Marketplace-Produkte unterstützen die Einmalanmeldung (SSO) auf der externen Website eines Partners. Autorisierte Nutzer innerhalb der Organisation haben auf der Produktdetailseite Zugriff auf die Schaltfläche "BEI PROVIDER VERWALTEN". Mit dieser Schaltfläche werden Nutzer auf die Website des Partners weitergeleitet. In einigen Fällen werden Nutzer aufgefordert, sich über Google anzumelden. In anderen Fällen werden die Nutzer in einem gemeinsamen Kontokontext angemeldet.

Für den Zugriff auf die SSO-Funktion rufen Nutzer die Detailseite des Produkts auf und wählen ein geeignetes Projekt aus. Das Projekt muss mit einem Rechnungskonto verknüpft sein, für das der Tarif erworben wurde. Weitere Informationen zur Verwaltung von Marketplace-Abos finden Sie unter Abrechnungstarife verwalten.

Darüber hinaus muss der Nutzer im ausgewählten Projekt ausreichende IAM-Berechtigungen haben. Für die meisten Produkte ist derzeit die einfache Rolle roles/consumerprocurement.entitlementManager (oder die einfache Rolle roles/editor) erforderlich.

Minimale Berechtigungen für bestimmte Produkte

Die folgenden Produkte können mit unterschiedlichen Berechtigungen für den Zugriff auf SSO-Funktionen arbeiten:

  • Apache Kafka in Confluent Cloud
  • DataStax Astra für Apache Cassandra
  • Elastic Cloud
  • Neo4j Aura Professional
  • Redis Enterprise Cloud

Für diese Produkte können Sie die folgenden minimalen Berechtigungen verwenden:

  • consumerprocurement.entitlements.get
  • consumerprocurement.entitlements.list
  • serviceusage.services.get
  • serviceusage.services.list
  • resourcemanager.projects.get

Diese Berechtigungen werden normalerweise mit den Rollen roles/consumerprocurement.entitlementManager oder roles/consumerprocurement.entitlementViewer erteilt.