Cette page décrit les rôles et les autorisations de gestion de l'authentification et des accès (IAM) dont vous avez besoin pour acheter et gérer des produits commerciaux sur Cloud Marketplace.
Avec Cloud IAM, vous gérez le contrôle des accès en définissant qui (identité) dispose de quel type d'accès (rôle) pour quelle ressource. Pour les applications commerciales sur Cloud Marketplace, les utilisateurs de votre Google Cloud organisation ont besoin de rôles IAM pour s'inscrire aux forfaits Cloud Marketplace et pour modifier les forfaits.
Avant de commencer
- Pour accorder des rôles et des autorisations Cloud Marketplace à l'aide de
gcloud, installez la gcloud CLI. Sinon, vous pouvez attribuer des rôles à l'aide de la console Google Cloud.
Rôles IAM pour l'achat et la gestion de produits
Nous vous recommandons d'attribuer le rôle IAM Administrateur du compte de facturation aux utilisateurs qui achètent des services depuis Cloud Marketplace.
Les utilisateurs qui souhaitent accéder aux services doivent disposer au minimum du rôle Lecteur.
Pour un contrôle plus précis sur les autorisations des utilisateurs, vous pouvez créer des rôles personnalisés avec les autorisations que vous souhaitez accorder.
Exigences spécifiques aux produits
Pour utiliser les services suivants dans un projet Google Cloud , vous devez disposer du rôle Éditeur de projet:
- Google Cloud Dataprep by Trifacta
- Neo4j Aura Professional
Liste des autorisations et des rôles IAM
Vous pouvez attribuer aux utilisateurs un ou plusieurs des rôles IAM suivants.
Selon le rôle que vous attribuez aux utilisateurs, vous devez également attribuer le rôle à un Google Cloud compte de facturation, une organisation ou un projet. Pour en savoir plus, consultez la section Attribuer des rôles IAM aux utilisateurs.
| Role |
Permissions |
Commerce Business Enablement Configuration Admin
Beta
(roles/commercebusinessenablement.admin)
Admin of Various Provider Configuration resources
|
commercebusinessenablement.leadgenConfig.*
commercebusinessenablement.leadgenConfig.getcommercebusinessenablement.leadgenConfig.update
commercebusinessenablement.partnerAccounts.*
commercebusinessenablement.partnerAccounts.getcommercebusinessenablement.partnerAccounts.list
commercebusinessenablement.partnerInfo.get
commercebusinessenablement.resellerConfig.*
commercebusinessenablement.resellerConfig.getcommercebusinessenablement.resellerConfig.update
commercebusinessenablement.resellerRestrictions.*
commercebusinessenablement.resellerRestrictions.listcommercebusinessenablement.resellerRestrictions.update
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.list
|
Commerce Business Enablement PaymentConfig Admin
Beta
(roles/commercebusinessenablement.paymentConfigAdmin)
Administration of Payment Configuration resource
|
commercebusinessenablement.partnerInfo.get
commercebusinessenablement.paymentConfig.*
commercebusinessenablement.paymentConfig.getcommercebusinessenablement.paymentConfig.update
resourcemanager.projects.get
resourcemanager.projects.list
|
Commerce Business Enablement PaymentConfig Viewer
Beta
(roles/commercebusinessenablement.paymentConfigViewer)
Viewer of Payment Configuration resource
|
commercebusinessenablement.partnerInfo.get
commercebusinessenablement.paymentConfig.get
resourcemanager.projects.get
resourcemanager.projects.list
|
Commerce Business Enablement Rebates Admin
Beta
(roles/commercebusinessenablement.rebatesAdmin)
Provides admin access to rebates
|
commercebusinessenablement.operations.*
commercebusinessenablement.operations.cancelcommercebusinessenablement.operations.deletecommercebusinessenablement.operations.getcommercebusinessenablement.operations.list
commercebusinessenablement.partnerInfo.get
commercebusinessenablement.refunds.*
commercebusinessenablement.refunds.cancelcommercebusinessenablement.refunds.createcommercebusinessenablement.refunds.deletecommercebusinessenablement.refunds.getcommercebusinessenablement.refunds.listcommercebusinessenablement.refunds.startcommercebusinessenablement.refunds.update
|
Commerce Business Enablement Rebates Viewer
Beta
(roles/commercebusinessenablement.rebatesViewer)
Provides read-only access to rebates
|
commercebusinessenablement.operations.get
commercebusinessenablement.operations.list
commercebusinessenablement.partnerInfo.get
commercebusinessenablement.refunds.get
commercebusinessenablement.refunds.list
|
Commerce Business Enablement Reseller Discount Admin
Beta
(roles/commercebusinessenablement.resellerDiscountAdmin)
Provides admin access to reseller discount offers
|
commercebusinessenablement.partnerAccounts.*
commercebusinessenablement.partnerAccounts.getcommercebusinessenablement.partnerAccounts.list
commercebusinessenablement.partnerInfo.get
commercebusinessenablement.resellerConfig.get
commercebusinessenablement.resellerDiscountConfig.get
commercebusinessenablement.resellerDiscountOffers.*
commercebusinessenablement.resellerDiscountOffers.cancelcommercebusinessenablement.resellerDiscountOffers.createcommercebusinessenablement.resellerDiscountOffers.list
commercebusinessenablement.resellerPrivateOfferPlans.*
commercebusinessenablement.resellerPrivateOfferPlans.cancelcommercebusinessenablement.resellerPrivateOfferPlans.createcommercebusinessenablement.resellerPrivateOfferPlans.deletecommercebusinessenablement.resellerPrivateOfferPlans.getcommercebusinessenablement.resellerPrivateOfferPlans.listcommercebusinessenablement.resellerPrivateOfferPlans.publishcommercebusinessenablement.resellerPrivateOfferPlans.update
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.list
|
Commerce Business Enablement Reseller Discount Viewer
Beta
(roles/commercebusinessenablement.resellerDiscountViewer)
Provides read-only access to reseller discount offers
|
commercebusinessenablement.partnerAccounts.*
commercebusinessenablement.partnerAccounts.getcommercebusinessenablement.partnerAccounts.list
commercebusinessenablement.partnerInfo.get
commercebusinessenablement.resellerConfig.get
commercebusinessenablement.resellerDiscountConfig.get
commercebusinessenablement.resellerDiscountOffers.list
commercebusinessenablement.resellerPrivateOfferPlans.get
commercebusinessenablement.resellerPrivateOfferPlans.list
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.list
|
Commerce Business Enablement Configuration Viewer
Beta
(roles/commercebusinessenablement.viewer)
Viewer of Various Provider Configuration resource
|
commercebusinessenablement.leadgenConfig.get
commercebusinessenablement.partnerAccounts.*
commercebusinessenablement.partnerAccounts.getcommercebusinessenablement.partnerAccounts.list
commercebusinessenablement.partnerInfo.get
commercebusinessenablement.resellerConfig.get
commercebusinessenablement.resellerRestrictions.list
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.list
|
Commerce Offer Catalog Offers Viewer
Beta
(roles/commerceoffercatalog.offersViewer)
Allows viewing offers
|
commerceoffercatalog.*
commerceoffercatalog.agreements.getcommerceoffercatalog.agreements.listcommerceoffercatalog.documents.getcommerceoffercatalog.documents.listcommerceoffercatalog.offers.get
|
Commerce Organization Governance Admin
Beta
(roles/commerceorggovernance.admin)
Full access to Organization Governance APIs
|
commerceorggovernance.*
commerceorggovernance.collectionRequestApprovals.listcommerceorggovernance.collectionRequestApprovals.reviewcommerceorggovernance.collections.createcommerceorggovernance.collections.deletecommerceorggovernance.collections.getcommerceorggovernance.collections.listcommerceorggovernance.collections.updatecommerceorggovernance.consumerSharingPolicies.getcommerceorggovernance.consumerSharingPolicies.updatecommerceorggovernance.organizationSettings.getcommerceorggovernance.organizationSettings.updatecommerceorggovernance.populateCollectionJobs.createcommerceorggovernance.populateCollectionJobs.listcommerceorggovernance.populateCollectionJobs.runcommerceorggovernance.populateCollectionJobs.updatecommerceorggovernance.services.getcommerceorggovernance.services.listcommerceorggovernance.services.request
consumerprocurement.entitlements.*
consumerprocurement.entitlements.getconsumerprocurement.entitlements.list
resourcemanager.projects.get
resourcemanager.projects.list
|
Governed Marketplace User
Beta
(roles/commerceorggovernance.user)
Full access to Governed Marketplace features.
|
commerceorggovernance.services.*
commerceorggovernance.services.getcommerceorggovernance.services.listcommerceorggovernance.services.request
consumerprocurement.entitlements.*
consumerprocurement.entitlements.getconsumerprocurement.entitlements.list
resourcemanager.projects.get
resourcemanager.projects.list
|
Commerce Organization Governance Viewer
Beta
(roles/commerceorggovernance.viewer)
Full access to Organization Governance read-only APIs.
|
commerceorggovernance.collections.get
commerceorggovernance.collections.list
commerceorggovernance.consumerSharingPolicies.get
commerceorggovernance.organizationSettings.get
commerceorggovernance.populateCollectionJobs.list
commerceorggovernance.services.get
commerceorggovernance.services.list
consumerprocurement.entitlements.*
consumerprocurement.entitlements.getconsumerprocurement.entitlements.list
resourcemanager.projects.get
resourcemanager.projects.list
|
Commerce Price Management Events Viewer
Beta
(roles/commercepricemanagement.eventsViewer)
Allows viewing key events for an offer
|
commerceprice.events.*
commerceprice.events.getcommerceprice.events.list
resourcemanager.projects.get
resourcemanager.projects.list
|
Commerce Price Management Private Offers Admin
Beta
(roles/commercepricemanagement.privateOffersAdmin)
Allows managing private offers
|
commerceagreementpublishing.*
commerceagreementpublishing.agreements.createcommerceagreementpublishing.agreements.deletecommerceagreementpublishing.agreements.getcommerceagreementpublishing.agreements.listcommerceagreementpublishing.agreements.updatecommerceagreementpublishing.documents.createcommerceagreementpublishing.documents.deletecommerceagreementpublishing.documents.getcommerceagreementpublishing.documents.listcommerceagreementpublishing.documents.update
commerceprice.*
commerceprice.events.getcommerceprice.events.listcommerceprice.privateoffers.cancelcommerceprice.privateoffers.createcommerceprice.privateoffers.deletecommerceprice.privateoffers.getcommerceprice.privateoffers.listcommerceprice.privateoffers.publishcommerceprice.privateoffers.sendEmailcommerceprice.privateoffers.update
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.get
serviceusage.services.list
|
Commerce Price Management Viewer
Beta
(roles/commercepricemanagement.viewer)
Allows viewing offers, free trials, skus
|
commerceagreementpublishing.agreements.get
commerceagreementpublishing.agreements.list
commerceagreementpublishing.documents.get
commerceagreementpublishing.documents.list
commerceprice.privateoffers.get
commerceprice.privateoffers.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.get
serviceusage.services.list
|
Commerce Producer Admin
Beta
(roles/commerceproducer.admin)
Grants full access to all resources in Cloud Commerce Producer API.
|
commercebusinessenablement.partnerInfo.get
resourcemanager.projects.get
resourcemanager.projects.list
|
Commerce Producer Viewer
Beta
(roles/commerceproducer.viewer)
Grants read access to all resources in Cloud Commerce Producer API.
|
commercebusinessenablement.partnerInfo.get
resourcemanager.projects.get
resourcemanager.projects.list
|
Consumer Procurement Entitlement Manager
(roles/consumerprocurement.entitlementManager)
Allows managing entitlements and enabling, disabling, and inspecting service states for a consumer
project.
|
commerceoffercatalog.offers.get
consumerprocurement.consents.check
consumerprocurement.consents.grant
consumerprocurement.consents.list
consumerprocurement.consents.revoke
consumerprocurement.entitlements.*
consumerprocurement.entitlements.getconsumerprocurement.entitlements.list
consumerprocurement.freeTrials.*
consumerprocurement.freeTrials.createconsumerprocurement.freeTrials.getconsumerprocurement.freeTrials.list
orgpolicy.policy.get
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.disable
serviceusage.services.enable
serviceusage.services.get
serviceusage.services.list
|
Consumer Procurement Entitlement Viewer
(roles/consumerprocurement.entitlementViewer)
Allows inspecting entitlements and service states for a consumer project.
|
commerceoffercatalog.offers.get
consumerprocurement.consents.check
consumerprocurement.consents.list
consumerprocurement.entitlements.*
consumerprocurement.entitlements.getconsumerprocurement.entitlements.list
consumerprocurement.freeTrials.get
consumerprocurement.freeTrials.list
orgpolicy.policy.get
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.get
serviceusage.services.list
|
Consumer Procurement Events Viewer
(roles/consumerprocurement.eventsViewer)
Allows viewing key events for an offer
|
consumerprocurement.events.*
consumerprocurement.events.getconsumerprocurement.events.list
|
Consumer Procurement License Pool Editor
(roles/consumerprocurement.licensePoolEditor)
Allows managing license pools and license assignments.
|
consumerprocurement.licensePools.*
consumerprocurement.licensePools.assignconsumerprocurement.licensePools.enumerateLicensedUsersconsumerprocurement.licensePools.getconsumerprocurement.licensePools.unassignconsumerprocurement.licensePools.update
|
Consumer Procurement License Pool Viewer
(roles/consumerprocurement.licensePoolViewer)
Allows viewing license pools and license assignments.
|
consumerprocurement.licensePools.enumerateLicensedUsers
consumerprocurement.licensePools.get
|
Consumer Procurement Order Administrator
(roles/consumerprocurement.orderAdmin)
Allows managing purchases.
|
billing.accounts.get
billing.accounts.getIamPolicy
billing.accounts.list
billing.accounts.redeemPromotion
billing.credits.list
billing.resourceAssociations.create
commerceoffercatalog.*
commerceoffercatalog.agreements.getcommerceoffercatalog.agreements.listcommerceoffercatalog.documents.getcommerceoffercatalog.documents.listcommerceoffercatalog.offers.get
consumerprocurement.accounts.*
consumerprocurement.accounts.createconsumerprocurement.accounts.deleteconsumerprocurement.accounts.getconsumerprocurement.accounts.list
consumerprocurement.consents.check
consumerprocurement.consents.grant
consumerprocurement.consents.list
consumerprocurement.consents.revoke
consumerprocurement.events.*
consumerprocurement.events.getconsumerprocurement.events.list
consumerprocurement.licensePools.*
consumerprocurement.licensePools.assignconsumerprocurement.licensePools.enumerateLicensedUsersconsumerprocurement.licensePools.getconsumerprocurement.licensePools.unassignconsumerprocurement.licensePools.update
consumerprocurement.orderAttributions.*
consumerprocurement.orderAttributions.getconsumerprocurement.orderAttributions.listconsumerprocurement.orderAttributions.update
consumerprocurement.orders.*
consumerprocurement.orders.cancelconsumerprocurement.orders.getconsumerprocurement.orders.listconsumerprocurement.orders.modifyconsumerprocurement.orders.place
|
Consumer Procurement Order Viewer
(roles/consumerprocurement.orderViewer)
Allows inspecting purchases.
|
billing.accounts.get
billing.accounts.getIamPolicy
billing.accounts.list
billing.credits.list
commerceoffercatalog.*
commerceoffercatalog.agreements.getcommerceoffercatalog.agreements.listcommerceoffercatalog.documents.getcommerceoffercatalog.documents.listcommerceoffercatalog.offers.get
consumerprocurement.accounts.get
consumerprocurement.accounts.list
consumerprocurement.consents.check
consumerprocurement.consents.list
consumerprocurement.licensePools.enumerateLicensedUsers
consumerprocurement.licensePools.get
consumerprocurement.orderAttributions.get
consumerprocurement.orderAttributions.list
consumerprocurement.orders.get
consumerprocurement.orders.list
|
Consumer Procurement Administrator
(roles/consumerprocurement.procurementAdmin)
Allows managing purchases, consents at both billing account and project level.
|
billing.accounts.get
billing.accounts.getIamPolicy
billing.accounts.list
billing.accounts.redeemPromotion
billing.credits.list
billing.resourceAssociations.create
commerceoffercatalog.*
commerceoffercatalog.agreements.getcommerceoffercatalog.agreements.listcommerceoffercatalog.documents.getcommerceoffercatalog.documents.listcommerceoffercatalog.offers.get
consumerprocurement.*
consumerprocurement.accounts.createconsumerprocurement.accounts.deleteconsumerprocurement.accounts.getconsumerprocurement.accounts.listconsumerprocurement.consents.allowProjectGrantconsumerprocurement.consents.checkconsumerprocurement.consents.grantconsumerprocurement.consents.listconsumerprocurement.consents.revokeconsumerprocurement.entitlements.getconsumerprocurement.entitlements.listconsumerprocurement.events.getconsumerprocurement.events.listconsumerprocurement.freeTrials.createconsumerprocurement.freeTrials.getconsumerprocurement.freeTrials.listconsumerprocurement.licensePools.assignconsumerprocurement.licensePools.enumerateLicensedUsersconsumerprocurement.licensePools.getconsumerprocurement.licensePools.unassignconsumerprocurement.licensePools.updateconsumerprocurement.orderAttributions.getconsumerprocurement.orderAttributions.listconsumerprocurement.orderAttributions.updateconsumerprocurement.orders.cancelconsumerprocurement.orders.getconsumerprocurement.orders.listconsumerprocurement.orders.modifyconsumerprocurement.orders.place
orgpolicy.policy.get
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.disable
serviceusage.services.enable
serviceusage.services.get
serviceusage.services.list
|
Consumer Procurement Viewer
(roles/consumerprocurement.procurementViewer)
Allows inspecting purchases, consents and entitlements and service states for a consumer project.
|
billing.accounts.get
billing.accounts.getIamPolicy
billing.accounts.list
billing.credits.list
commerceoffercatalog.*
commerceoffercatalog.agreements.getcommerceoffercatalog.agreements.listcommerceoffercatalog.documents.getcommerceoffercatalog.documents.listcommerceoffercatalog.offers.get
consumerprocurement.accounts.get
consumerprocurement.accounts.list
consumerprocurement.consents.check
consumerprocurement.consents.list
consumerprocurement.entitlements.*
consumerprocurement.entitlements.getconsumerprocurement.entitlements.list
consumerprocurement.freeTrials.get
consumerprocurement.freeTrials.list
consumerprocurement.licensePools.enumerateLicensedUsers
consumerprocurement.licensePools.get
consumerprocurement.orderAttributions.get
consumerprocurement.orderAttributions.list
consumerprocurement.orders.get
consumerprocurement.orders.list
orgpolicy.policy.get
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.get
serviceusage.services.list
|
Attribuer des rôles IAM aux utilisateurs
À partir des rôles dans le tableau ci-dessus, vous devez attribuer les rôles consumerprocurement.orderAdmin et consumerprocurement.orderViewer au niveau du compte de facturation ou de l'organisation, et consumerprocurement.entitlementManager et consumerprocurement.entitlementViewer doivent être attribués au niveau du projet ou de l'organisation.
Pour attribuer des rôles aux utilisateurs à l'aide de gcloud, exécutez l'une des commandes suivantes :
Organisation
Vous devez disposer du rôle resourcemanager.organizationAdmin pour attribuer des rôles au niveau de l'organisation.
gcloud organizations add-iam-policy-binding organization-id \
--member=member --role=role-id
Les valeurs d'espaces réservés sont les suivantes :
- organization-id : ID numérique de l'organisation pour laquelle vous attribuez le rôle.
- member : utilisateur auquel vous accordez l'accès.
- role-id : ID du rôle dans le tableau précédent.
Compte de facturation
Vous devez disposer du rôle billing.admin pour attribuer des rôles au niveau du compte de facturation.
gcloud beta billing accounts set-iam-policy account-id \
policy-file
Les valeurs d'espaces réservés sont les suivantes :
- account-id : votre ID de compte de facturation, que vous pouvez obtenir sur la page Gérer les comptes de facturation.
- policy-file : fichier de stratégie IAM, au format JSON ou YAML. Le fichier de stratégie doit contenir les ID des rôles du tableau précédent et les utilisateurs auxquels vous attribuez ces rôles.
Projet
Vous devez disposer du rôle resourcemanager.folderAdmin pour attribuer des rôles au niveau du projet.
gcloud projects add-iam-policy-binding project-id \
--member=member --role=role-id
Les valeurs d'espaces réservés sont les suivantes :
- project-id : projet pour lequel vous attribuez le rôle.
- member : utilisateur auquel vous accordez l'accès.
- role-id : ID du rôle dans le tableau précédent.
Pour attribuer des rôles aux utilisateurs à l'aide de la console Google Cloud, consultez la documentation IAM sur Accorder, modifier et révoquer les accès des utilisateurs.
Utiliser des rôles personnalisés avec Cloud Marketplace
Si vous souhaitez contrôler avec précision les autorisations que vous accordez aux utilisateurs, vous pouvez créer des rôles personnalisés avec les autorisations que vous souhaitez accorder.
Si vous créez un rôle personnalisé pour les utilisateurs qui achètent des services dans Cloud Marketplace, ce rôle doit inclure les autorisations suivantes pour le compte de facturation qu'ils utilisent pour acheter des services:
Accéder aux sites Web des partenaires avec l'authentification unique (SSO)
Certains produits Marketplace sont compatibles avec l'authentification unique (SSO, Single Sign-On) sur le site Web externe d'un partenaire. Les utilisateurs autorisés de l'organisation ont accès à un bouton "GÉRER LE FOURNISSEUR" sur la page des détails du produit. Ce bouton redirige les utilisateurs vers le site Web du partenaire. Dans certains cas, les utilisateurs sont invités à se connecter avec Google. Dans d'autres cas, les utilisateurs sont connectés dans le contexte d'un compte partagé.
Pour accéder à la fonctionnalité SSO, les utilisateurs doivent accéder à la page d'informations du produit et sélectionner un projet approprié. Le projet doit être associé au compte de facturation dans lequel le forfait a été souscrit. Pour en savoir plus sur la gestion des forfaits Marketplace, consultez la page Gérer les modes de facturation.
De plus, l'utilisateur doit disposer d'autorisations IAM suffisantes dans le projet sélectionné. Pour la plupart des produits, le rôle de base roles/consumerprocurement.entitlementManager (ou roles/editor) est actuellement requis.
Autorisations minimales pour des produits spécifiques
Les produits suivants peuvent fonctionner sur un ensemble d'autorisations différent pour accéder aux fonctionnalités SSO:
- Apache Kafka sur Confluent Cloud
- DataStax Astra pour Apache Cassandra
- Elastic Cloud
- Neo4j Aura Professional
- Cloud Redis Enterprise
Pour ces produits, vous pouvez utiliser les autorisations minimales suivantes :
consumerprocurement.entitlements.getconsumerprocurement.entitlements.listserviceusage.services.getserviceusage.services.listresourcemanager.projects.get
Ces autorisations sont généralement accordées avec les rôles roles/consumerprocurement.entitlementManager ou roles/consumerprocurement.entitlementViewer.
