Control de acceso para Cloud Marketplace

En esta página, se describen las funciones y los permisos de Cloud Identity and Access Management (Cloud IAM) que necesitas para comprar y administrar soluciones comerciales en Cloud Marketplace.

Para administrar el control de acceso mediante Cloud IAM, define quién (identidad) tiene qué acceso (función) a qué recurso. En el caso de las apps comerciales en Cloud Marketplace, los usuarios de tu organización de Google Cloud necesitan funciones de Cloud IAM para registrarse en los planes de Cloud Marketplace y realizar cambios en los planes de facturación.

Antes de comenzar

  • Para asignar las funciones y los permisos que se describen en esta guía, instala el SDK de Cloud.

Funciones de Cloud IAM para la compra y la administración de soluciones

Te recomendamos que asignes la función de administrador de facturación (roles/billing.admin) de Cloud IAM a los usuarios que compran servicios desde Cloud Marketplace.

Los usuarios que quieran acceder a los servicios deben tener la función de lector de proyectos (roles/viewer), como mínimo.

Usa funciones personalizadas con Cloud Marketplace

Si deseas tener un control detallado de los permisos que otorgas a los usuarios, puedes crear funciones personalizadas con los permisos que deseas otorgar.

Si creas una función personalizada para usuarios que compran servicios desde Cloud Marketplace, esta debe incluir los siguientes permisos:

Lista de funciones y permisos de Cloud IAM

Puedes asignar una o más de las siguientes funciones a los usuarios en tu organización de Google Cloud. Si necesitas tener un control más detallado de los permisos de los usuarios, considera crear funciones personalizadas con los permisos que deseas otorgar.

Según las funciones que asignes a los usuarios, debes asignarlas a la cuenta de facturación, la organización o el proyecto de Google Cloud.

Obtén información sobre la jerarquía de los recursos de Google Cloud.

Desde las funciones que se incluyen en la siguiente tabla, las funciones consumerprocurement.orderAdmin y consumerprocurement.orderViewer se deben asignar a nivel de cuenta o de facturación, y las funciones consumerprocurement.entitlementManager y consumerprocurement.entitlementViewer se pueden asignar a nivel de proyecto o de organización.

Para otorgar funciones a los usuarios, ejecuta uno de los siguientes comandos de gcloud:

Organización

Debes tener la función resourcemanager.organizationAdmin para asignar funciones a nivel de organización.

gcloud organizations add-iam-policy-binding org-name \
--member=member --role=role-id

Los valores de marcador de posición son los siguientes:

  • org-name: es la organización a la que le otorgas la función.
  • member: es el usuario al que le otorgas el acceso.
  • role-id: es el ID de la función, que se encuentra en la siguiente tabla.

Cuenta de facturación

Debes tener la función billing.admin para asignar funciones a nivel de cuenta de facturación.

gcloud beta billing accounts set-iam-policy account-id \
policy-file

Los valores de marcador de posición son los siguientes:

Proyecto

Debes tener la función resourcemanager.folderAdmin para asignar funciones a nivel de proyecto.

gcloud projects add-iam-policy-binding project-id \
--member=member --role=role-id

Los valores de marcador de posición son los siguientes:

  • project-id: es el proyecto al que le otorgas la función.
  • member: es el usuario al que le otorgas el acceso.
  • role-id: es el ID de la función, que se encuentra en la siguiente tabla.

Obtén más información sobre cómo otorgar, cambiar y revocar el acceso de los usuarios.

ID de función Cargo Descripción Permisos
consumerprocurement.orderAdminAlfa Administrador de pedidos de adquisición de consumidores Proporciona permisos para comprar servicios administrados de aplicaciones desde Cloud Marketplace. Esta función también les permite a los usuarios aceptar ofertas privadas. Esta función debe otorgarse a nivel de organización o de cuenta de facturación.
  • consumerprocurement.orders.place
  • consumerprocurement.orders.cancel
  • consumerprocurement.orders.modify
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • consumerprocurement.accounts.create
  • consumerprocurement.accounts.delete
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list
consumerprocurement.orderViewerAlfa Visualizador de pedidos de adquisición de consumidores Proporciona permisos para ver los pedidos de Cloud Marketplace realizados para la cuenta de facturación. Esta función se debe asignar a nivel de cuenta de facturación o de organización.
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list
consumerprocurement.entitlementManagerAlfa Administrador de autorizaciones de adquisición de consumidores Proporciona permisos para habilitar o inhabilitar los planes de facturación y para registrarte con el fin de obtener pruebas gratuitas. Esta función se debe asignar a nivel de proyecto.
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.operations.get
  • serviceusage.services.enable
  • serviceusage.services.disable
  • serviceusage.services.get
  • serviceusage.services.list
  • consumerprocurement.entitlements.get
  • consumerprocurement.entitlements.list
  • consumerprocurement.freeTrials.create
  • consumerprocurement.freeTrials.get
  • consumerprocurement.freeTrials.list
consumerprocurement.entitlementViewerAlfa Visualizador de autorizaciones de adquisición de consumidores Proporciona permisos para ver los planes de facturación de Cloud Marketplace de un proyecto. Esta función se debe asignar a nivel de proyecto o de organización.
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list
  • consumerprocurement.entitlements.get
  • consumerprocurement.entitlements.list
  • consumerprocurement.freeTrials.get
  • consumerprocurement.freeTrials.list