Nesta página, descrevemos os papéis e permissões de gerenciamento de identidade e acesso (IAM) necessários para comprar e gerenciar produtos comerciais no Cloud Marketplace.
O IAM permite gerenciar o controle de acesso ao definir quem (identidade) tem qual acesso (papel) a que recurso. Para aplicativos comerciais no Cloud Marketplace, os usuários na sua organização do Google Cloud precisam de papéis do IAM para se inscrever em planos do Cloud Marketplace e fazer alterações nos planos de faturamento.
- Saiba como gerenciar o faturamento de produtos do Cloud Marketplace.
- Saiba mais sobre os fatores que afetam sua fatura.
- Saiba mais sobre os conceitos básicos do IAM.
- Saiba mais sobre a hierarquia de recursos do Google Cloud.
Antes de começar
- Para conceder papéis e permissões do Cloud Marketplace usando
gcloud
, instale a CLI gcloud. Caso contrário, conceder papéis usando o console do Google Cloud.
Papéis do IAM para compra e gerenciamento de produtos
Recomendamos que você atribua Administrador da conta de faturamento papel do IAM para usuários que estão comprando serviços no Cloud Marketplace.
Os usuários que querem acessar os serviços precisam ter, no mínimo, o papel de Leitor.
Para ter um controle mais granular sobre as permissões dos usuários, crie papéis personalizados com as permissões que você quer conceder.
Requisitos específicos do produto
Para usar os serviços a seguir em um projeto do Google Cloud, você precisa ter a função de Editor do projeto:
- Google Cloud Dataprep da Trifacta
- Neo4j Aura Professional
Lista de papéis e permissões do IAM
É possível conceder aos usuários um ou mais dos papéis do IAM a seguir. Dependendo do papel que você está concedendo aos usuários, é necessário atribuir o papel a uma conta, organização ou projeto de faturamento do Google Cloud. Para detalhes, consulte a seção Como conceder papéis do IAM aos usuários.
Papel | Permissões |
---|---|
Administrador da configuração de ativação de negócios comerciais Beta( Administrador de vários recursos de configuração do provedor |
commercebusinessenablement.
commercebusinessenablement.
commercebusinessenablement. commercebusinessenablement. resourcemanager. resourcemanager.projects.get resourcemanager.projects.list |
Administrador da configuração de pagamento de ativação de negócios comerciais Beta( Administração do recurso de configuração de pagamento |
commercebusinessenablement.
resourcemanager.projects.get resourcemanager.projects.list |
Leitor de configuração de pagamento de negócios comerciais Beta( Visualizador do recurso de configuração de pagamento |
commercebusinessenablement. resourcemanager.projects.get resourcemanager.projects.list |
Administrador beta de descontos para revendedores de ativação de negócios comerciais( Concede acesso de administrador às ofertas de desconto para revendedores |
commercebusinessenablement.
commercebusinessenablement. commercebusinessenablement.
commercebusinessenablement.
resourcemanager. resourcemanager.projects.get resourcemanager.projects.list |
Leitor beta de descontos para revendedores de ativação de negócios comerciais( Concede acesso somente leitura às ofertas de desconto para revendedores |
commercebusinessenablement.
commercebusinessenablement. commercebusinessenablement. commercebusinessenablement. resourcemanager. resourcemanager.projects.get resourcemanager.projects.list |
Leitor de configuração de ativação de negócios comerciais Beta( Leitor de vários recursos de configuração do provedor |
commercebusinessenablement.
commercebusinessenablement.
commercebusinessenablement. commercebusinessenablement. resourcemanager. resourcemanager.projects.get resourcemanager.projects.list |
Leitor de ofertas do catálogo de ofertas comerciais Beta( Permite visualizar ofertas |
commerceoffercatalog.*
|
Administrador de governança da organização comercial Beta( Acesso total às APIs de governança da organização |
commerceorggovernance.*
resourcemanager.projects.get resourcemanager.projects.list |
Leitor de governança comercial da organização Beta( Acesso total às APIs somente leitura de governança da organização. |
commerceorggovernance. commerceorggovernance. commerceorggovernance. commerceorggovernance. commerceorggovernance. resourcemanager.projects.get resourcemanager.projects.list |
Leitor de eventos de gerenciamento de preços comerciais Beta( Permite ler os principais eventos de uma oferta |
commerceprice.events.*
resourcemanager.projects.get resourcemanager.projects.list |
Administrador de ofertas privadas de gerenciamento de preços comerciais Beta( Permite gerenciar ofertas privadas |
commerceprice.*
resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list |
Leitor de gerenciamento de preços comerciais Beta( Permite visualizar ofertas, avaliações gratuitas e SKUs. |
commerceprice. commerceprice. resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list |
Administrador Beta do produtor comercial Beta( Concede acesso total a todos os recursos na API Cloud Commerce Producer. |
commercebusinessenablement. resourcemanager.projects.get resourcemanager.projects.list |
Leitor de produtores comerciais Beta( Concede acesso de leitura a todos os recursos na API Cloud Commerce Producer. |
commercebusinessenablement. resourcemanager.projects.get resourcemanager.projects.list |
Gerente de direito de compra do consumidor Beta( Permite gerenciar direitos e ativar, desativar e inspecionar estados de serviço em um projeto de consumidor. |
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.
consumerprocurement.
consumerprocurement.
orgpolicy.policy.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.operations.get serviceusage.services.disable serviceusage.services.enable serviceusage.services.get serviceusage.services.list |
Leitor de direito de compra do consumidor Beta( Permite inspecionar direitos e estados de serviço para um projeto de consumidor. |
consumerprocurement. consumerprocurement.
consumerprocurement.
consumerprocurement. consumerprocurement. orgpolicy.policy.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list |
Leitor de eventos de compras do consumidor Beta( Permite ler os principais eventos de uma oferta |
consumerprocurement.events.*
|
Administrador de pedidos de compras do consumidor Beta( Permite gerenciar compras. |
billing.accounts.get billing.accounts.getIamPolicy billing.accounts.list billing. billing.credits.list billing. commerceoffercatalog.*
consumerprocurement.accounts.*
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.events.*
consumerprocurement.
consumerprocurement.orders.*
|
Leitor de pedidos de compras do consumidor Beta( Permite inspecionar compras. |
billing.accounts.get billing.accounts.getIamPolicy billing.accounts.list billing.credits.list commerceoffercatalog.*
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.orders.get consumerprocurement. |
Administrador de compras do consumidor Beta( Permite gerenciar compras e consentimentos no nível da conta de faturamento e do projeto. |
billing.accounts.get billing.accounts.getIamPolicy billing.accounts.list billing. billing.credits.list billing. commerceoffercatalog.*
consumerprocurement.*
orgpolicy.policy.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.operations.get serviceusage.services.disable serviceusage.services.enable serviceusage.services.get serviceusage.services.list |
Leitor de compras pessoaisnsumer Procurement Viewer Beta( Permite inspecionar compras, consentimentos e direitos, bem como estados de serviço em um projeto de consumidor. |
billing.accounts.get billing.accounts.getIamPolicy billing.accounts.list billing.credits.list commerceoffercatalog.*
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.
consumerprocurement.
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.orders.get consumerprocurement. orgpolicy.policy.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list |
Como conceder papéis do IAM aos usuários
Com base nas funções na tabela acima, os papéis
consumerprocurement.orderAdmin
e consumerprocurement.orderViewer
precisam ser atribuídos no nível da conta de faturamento ou da organização, e os
papéis consumerprocurement.entitlementManager
e consumerprocurement.entitlementViewer
precisam ser atribuídos no nível do projeto ou da organização.
Para conceder papéis a usuários usando gcloud
, execute um dos seguintes comandos:
Organização
Você precisa ter o papel resourcemanager.organizationAdmin
para atribuir papéis no nível da organização.
gcloud organizations add-iam-policy-binding organization-id \
--member=member --role=role-id
Os valores do marcador são:
- organization-id: o ID numérico da organização para a qual você está concedendo o papel.
- member: o usuário a que você está concedendo acesso.
- role-id: o ID do papel da tabela anterior.
Conta de faturamento
Você precisa ter o papel billing.admin
para atribuir papéis no nível da conta de faturamento.
gcloud beta billing accounts set-iam-policy account-id \
policy-file
Os valores do marcador são:
- account-id: o ID da sua conta de faturamento, que você encontra na página Gerenciar contas de faturamento.
- policy-file: um arquivo de política do IAM, no formato JSON ou YAML. O arquivo de política precisa conter os IDs do papel da tabela anterior e os usuários aos quais você está atribuindo os papéis.
Projeto
Você precisa ter o papel resourcemanager.folderAdmin
para atribuir papéis no nível do projeto.
gcloud projects add-iam-policy-binding project-id \
--member=member --role=role-id
Os valores do marcador são:
- project-id: o projeto que você está concedendo ao papel.
- member: o usuário a que você está concedendo acesso.
- role-id: o ID do papel da tabela anterior.
Para conceder funções a usuários usando o console do Google Cloud, consulte a documentação do IAM sobre Como conceder, alterar e revogar acesso a usuários.
Como usar papéis personalizados com o Cloud Marketplace
Para ter um controle granular sobre as permissões que você concede aos usuários, crie papéis personalizados com as permissões que você quer conceder.
Se você estiver criando um papel personalizado para usuários que compram serviços do Cloud Marketplace, o papel precisará incluir estas permissões para a conta de faturamento usada para comprar serviços:
billing.accounts.get
, que normalmente é concedido com o papelroles/consumerprocurement.orderAdmin
.consumerprocurement.orders.get
, que normalmente é concedido com o papelroles/consumerprocurement.orderAdmin
.consumerprocurement.orders.list
, que normalmente é concedido com o papelroles/consumerprocurement.orderAdmin
.consumerprocurement.orders.place
, que normalmente é concedido com o papelroles/consumerprocurement.orderAdmin
.consumerprocurement.accounts.get
, que normalmente é concedido com o papelroles/consumerprocurement.orderAdmin
.consumerprocurement.accounts.list
, que normalmente é concedido com o papelroles/consumerprocurement.orderAdmin
.consumerprocurement.accounts.create
, que normalmente é concedido com o papelroles/consumerprocurement.orderAdmin
.
Como acessar sites de parceiros com Logon único (SSO)
Alguns produtos do Marketplace são compatíveis com o SSO para o site externo de um parceiro. Os usuários autorizados da organização têm acesso a um botão "GERENCIAR NO PROVEDOR" na página de detalhes do produto. Esse botão direciona os usuários ao site do parceiro. Em alguns casos, os usuários são solicitados a "Fazer login com o Google". Em outros casos, os usuários acessam um contexto de conta compartilhada.
Para acessar o recurso de SSO, os usuários acessam a página de detalhes do produto e selecionam um projeto apropriado. O projeto precisa estar vinculado a uma conta de faturamento em que o plano foi comprado. Para detalhes sobre o gerenciamento de planos do Marketplace, consulte Como gerenciar planos de faturamento.
Além disso, o usuário precisa ter permissões de IAM suficientes no projeto
selecionado. Para a maioria dos produtos, o roles/consumerprocurement.entitlementManager
(ou
roles/editor
papel básico) é obrigatório no momento.
Permissões mínimas para produtos específicos
Os seguintes produtos podem operar em um conjunto diferente de permissões para acessar os recursos do SSO:
- Apache Kafka no Confluent Cloud
- DataStax Astra para Apache Cassandra
- Elastic Cloud
- Neo4j Aura Professional
- Redis Enterprise Cloud
Para esses produtos, use as seguintes permissões mínimas:
consumerprocurement.entitlements.get
consumerprocurement.entitlements.list
serviceusage.services.get
serviceusage.services.list
resourcemanager.projects.get
Essas permissões geralmente são concedidas com os
papéis roles/consumerprocurement.entitlementManager
ou
roles/consumerprocurement.entitlementViewer
.