Control de acceso con IAM

En esta página, se describen las funciones y los permisos de Identity and Access Management (IAM) que necesitas para comprar y administrar soluciones comerciales en Cloud Marketplace.

Para administrar el control de acceso con la IAM, define quién (identidad) tiene qué acceso (función) a qué recurso. En el caso de las apps comerciales de Cloud Marketplace, los usuarios de tu organización de Google Cloud necesitan funciones de IAM para registrarse en los planes de Cloud Marketplace y realizar cambios en los planes de facturación.

Antes de comenzar

  • Para otorgar funciones y permisos de Cloud Marketplace mediante gcloud, instala la CLI de gcloud. De lo contrario, puedes otorgar funciones con la consola.

Funciones de IAM para la compra y la administración de productos

Te recomendamos que asignes la función de administrador de facturación (roles/billing.admin) de Cloud IAM a los usuarios que compran servicios desde Cloud Marketplace.

Los usuarios que quieran acceder a los servicios deben tener la función de lector de proyectos (roles/viewer), como mínimo.

Si necesitas un control más detallado sobre los permisos de los usuarios, puedes crear funciones personalizadas con los permisos que deseas otorgar.

Lista de funciones y permisos de IAM

Puedes otorgar a los usuarios una o más de las siguientes funciones de IAM. Según la función que les otorgues a los usuarios, también debes asignarla a un proyecto, organización cuenta de Facturación de Google Cloud. Para obtener más detalles, consulta la sección sobre Otorga funciones de IAM a los usuarios.

Función Permisos

Visualizador de ofertas del catálogo de ofertas de comerciobeta
(roles/commerceoffercatalog.offersViewer)

Permite ver ofertas

  • commerceoffercatalog.*

Administrador de ofertas privadas de administración de precios de comercio Beta
(roles/commercepricemanagement.privateOffersAdmin)

Permite administrar ofertas privadas

  • commerceprice.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list

Visualizador de administración de precios de comerciobeta
(roles/commercepricemanagement.viewer)

Permite ver ofertas, pruebas gratuitas y SKU

  • commerceprice.privateoffers.get
  • commerceprice.privateoffers.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list

Administrador de autorizaciones de adquisición de consumidores Beta
(roles/consumerprocurement.entitlementManager)

Permite administrar autorizaciones y habilitar, inhabilitar e inspeccionar estados de servicio para un proyecto de consumidor.
  • consumerprocurement.entitlements.*
  • consumerprocurement.freeTrials.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.operations.get
  • serviceusage.services.disable
  • serviceusage.services.enable
  • serviceusage.services.get
  • serviceusage.services.list

Visualizador de autorizaciones de adquisición de consumidores Beta
(roles/consumerprocurement.entitlementViewer)

Permite inspeccionar autorizaciones y estados de servicio para un proyecto de consumidor.
  • consumerprocurement.entitlements.*
  • consumerprocurement.freeTrials.get
  • consumerprocurement.freeTrials.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list

Administrador de pedidos de adquisición de consumidores Beta
(roles/consumerprocurement.orderAdmin)

Permite administrar las compras.
  • commerceoffercatalog.*
  • consumerprocurement.accounts.*
  • consumerprocurement.consents.*
  • consumerprocurement.orderAttributions.*
  • consumerprocurement.orders.*

Visualizador de pedidos de adquisición de consumidores Beta
(roles/consumerprocurement.orderViewer)

Permite inspeccionar las compras.
  • commerceoffercatalog.*
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list
  • consumerprocurement.consents.check
  • consumerprocurement.consents.list
  • consumerprocurement.orderAttributions.get
  • consumerprocurement.orderAttributions.list
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list

Otorga funciones de IAM a los usuarios

A partir de las funciones en la tabla anterior, las funciones consumerprocurement.orderAdmin y consumerprocurement.orderViewer se deben asignar a nivel de la organización o de la organización, y las funciones consumerprocurement.entitlementManager y consumerprocurement.entitlementViewer se deben asignar a nivel de proyecto o de la organización.

Para otorgar funciones a los usuarios con gcloud, ejecuta uno de los siguientes comandos:

Organización

Debes tener la función resourcemanager.organizationAdmin para asignar funciones a nivel de organización.

gcloud organizations add-iam-policy-binding organization-id \
--member=member --role=role-id

Los valores de marcador de posición son los siguientes:

  • organization-id: El ID numérico de la organización para la que otorgas la función.
  • member: es el usuario al que le otorgas el acceso.
  • role-id: es el ID de la función, que se encuentra en la siguiente tabla.

Cuenta de facturación

Debes tener la función billing.admin para asignar funciones a nivel de cuenta de facturación.

gcloud beta billing accounts set-iam-policy account-id \
policy-file

Los valores de marcador de posición son los siguientes:

Proyecto

Debes tener la función resourcemanager.folderAdmin para asignar funciones a nivel de proyecto.

gcloud projects add-iam-policy-binding project-id \
--member=member --role=role-id

Los valores de marcador de posición son los siguientes:

  • project-id: es el proyecto al que le otorgas la función.
  • member: es el usuario al que le otorgas el acceso.
  • role-id: es el ID de la función, que se encuentra en la siguiente tabla.

Para otorgar funciones a los usuarios que usan la consola, consulta la documentación de IAM sobre Cómo otorgar, cambiar y revocar el acceso a los usuarios.

Usa funciones personalizadas con Cloud Marketplace

Si deseas tener un control detallado de los permisos que otorgas a los usuarios, puedes crear funciones personalizadas con los permisos que deseas otorgar.

Si quieres crear una función personalizada para los usuarios que compran servicios en Cloud Marketplace, debes incluir los siguientes permisos en la cuenta de facturación que usan para comprar servicios:

Cómo acceder a sitios web de socios con inicio de sesión único (SSO)

Algunos productos de Marketplace admiten el inicio de sesión único (SSO) en un sitio web externo de un socio. Los usuarios autorizados de la organización tienen acceso a un botón “ADMINISTRAR EN EL PROVEEDOR” en la página de detalles del producto. Este botón dirige a los usuarios al sitio web del socio. En algunos casos, se les solicita a los usuarios que accedan con Google. En otros casos, los usuarios acceden en un contexto de cuenta compartida.

Para acceder a la función de SSO, los usuarios deben navegar a la página de detalles del producto y seleccionar un proyecto adecuado. El proyecto debe estar vinculado a una cuenta de facturación en la que se haya comprado el plan. Para obtener detalles sobre la administración de planes de Marketplace, consulta Administra los planes de facturación.

Además, el usuario debe tener suficientes permisos de IAM dentro del proyecto seleccionado. Por el momento, se requiere la función básica de roles/editor para la mayoría de los productos.

Permisos mínimos para productos específicos

Los siguientes productos pueden operar en un conjunto de permisos diferente para acceder a las capacidades de SSO:

Para estos productos, puedes usar los siguientes permisos mínimos:

  • consumerprocurement.entitlements.get/get
  • consumerprocurement.entitlements.get/list
  • serviceusage.services.get/get
  • serviceusage.services.get/list
  • resourcemanager.projects.get

Por lo general, estos permisos se otorgan con las funciones roles/consumerprocurement.entitlementManager o roles/consumerprocurement.entitlementViewer.