En esta página, se describen las funciones y los permisos de Cloud Identity and Access Management (Cloud IAM) que necesitas para comprar y administrar soluciones comerciales en Cloud Marketplace.
Para administrar el control de acceso mediante Cloud IAM, define quién (identidad) tiene qué acceso (función) a qué recurso. En el caso de las apps comerciales en Cloud Marketplace, los usuarios de tu organización de Google Cloud necesitan funciones de Cloud IAM para registrarse en los planes de Cloud Marketplace y realizar cambios en los planes de facturación.
- Obtén más información sobre cómo administrar la facturación de los productos de Cloud Marketplace.
- Obtén información sobre los factores que afectan tu factura.
- Obtén información sobre los conceptos básicos de Cloud Identity and Access Management.
Antes de comenzar
- Para asignar las funciones y los permisos que se describen en esta guía, instala el SDK de Cloud.
Funciones de Cloud IAM para la compra y la administración de soluciones
Te recomendamos que asignes la función de administrador de facturación (roles/billing.admin) de Cloud IAM a los usuarios que compran servicios desde Cloud Marketplace.
Los usuarios que quieran acceder a los servicios deben tener la función de lector de proyectos (roles/viewer), como mínimo.
Usa funciones personalizadas con Cloud Marketplace
Si deseas tener un control detallado de los permisos que otorgas a los usuarios, puedes crear funciones personalizadas con los permisos que deseas otorgar.
Si creas una función personalizada para usuarios que compran servicios desde Cloud Marketplace, esta debe incluir los siguientes permisos:
billing.subscriptions.create, que suele otorgarse con la funciónroles/billing.adminconsumerprocurement.orders.place, que suele otorgarse con la funciónroles/consumerprocurement.orderAdminconsumerprocurement.accounts.create, que suele otorgarse con la funciónroles/consumerprocurement.orderAdmin
Lista de funciones y permisos de Cloud IAM
Puedes asignar una o más de las siguientes funciones a los usuarios en tu organización de Google Cloud. Si necesitas tener un control más detallado de los permisos de los usuarios, considera crear funciones personalizadas con los permisos que deseas otorgar.
Según las funciones que asignes a los usuarios, debes asignarlas a la cuenta de facturación, la organización o el proyecto de Google Cloud.
Obtén información sobre la jerarquía de los recursos de Google Cloud.
Desde las funciones que se incluyen en la siguiente tabla, las funciones consumerprocurement.orderAdmin y consumerprocurement.orderViewer se deben asignar a nivel de cuenta o de facturación, y las funciones consumerprocurement.entitlementManager y consumerprocurement.entitlementViewer se pueden asignar a nivel de proyecto o de organización.
Para otorgar funciones a los usuarios, ejecuta uno de los siguientes comandos de gcloud:
Organización
Debes tener la función resourcemanager.organizationAdmin para asignar funciones a nivel de organización.
gcloud organizations add-iam-policy-binding org-name \
--member=member --role=role-id
Los valores de marcador de posición son los siguientes:
- org-name: es la organización a la que le otorgas la función.
- member: es el usuario al que le otorgas el acceso.
- role-id: es el ID de la función, que se encuentra en la siguiente tabla.
Cuenta de facturación
Debes tener la función billing.admin para asignar funciones a nivel de cuenta de facturación.
gcloud beta billing accounts set-iam-policy account-id \
policy-file
Los valores de marcador de posición son los siguientes:
- account-id: es el ID de la cuenta de facturación, que puedes obtener en la página de administración de cuentas de facturación.
- policy-file: es un archivo de políticas de Cloud IAM, en formato JSON o YAML. El archivo de políticas debe contener los ID de la funciones de la siguiente tabla y los usuarios a los que les asignas las funciones.
Proyecto
Debes tener la función resourcemanager.folderAdmin para asignar funciones a nivel de proyecto.
gcloud projects add-iam-policy-binding project-id \
--member=member --role=role-id
Los valores de marcador de posición son los siguientes:
- project-id: es el proyecto al que le otorgas la función.
- member: es el usuario al que le otorgas el acceso.
- role-id: es el ID de la función, que se encuentra en la siguiente tabla.
Obtén más información sobre cómo otorgar, cambiar y revocar el acceso de los usuarios.
| ID de función | Cargo | Descripción | Permisos |
|---|---|---|---|
consumerprocurement.orderAdminAlfa |
Administrador de pedidos de adquisición de consumidores | Proporciona permisos para comprar servicios administrados de aplicaciones desde Cloud Marketplace. Esta función también les permite a los usuarios aceptar ofertas privadas. Esta función debe otorgarse a nivel de organización o de cuenta de facturación. |
|
consumerprocurement.orderViewerAlfa |
Visualizador de pedidos de adquisición de consumidores | Proporciona permisos para ver los pedidos de Cloud Marketplace realizados para la cuenta de facturación. Esta función se debe asignar a nivel de cuenta de facturación o de organización. |
|
consumerprocurement.entitlementManagerAlfa |
Administrador de autorizaciones de adquisición de consumidores | Proporciona permisos para habilitar o inhabilitar los planes de facturación y para registrarte con el fin de obtener pruebas gratuitas. Esta función se debe asignar a nivel de proyecto. |
|
consumerprocurement.entitlementViewerAlfa |
Visualizador de autorizaciones de adquisición de consumidores | Proporciona permisos para ver los planes de facturación de Cloud Marketplace de un proyecto. Esta función se debe asignar a nivel de proyecto o de organización. |
|