Questa pagina descrive i ruoli e le autorizzazioni di Identity and Access Management (IAM) necessari per acquistare e gestire prodotti commerciali su Cloud Marketplace.
IAM consente di gestire il controllo dell'accesso definendo chi (identità) ha accesso (ruolo) per quale risorsa. Per le app commerciali su Cloud Marketplace, gli utenti della tua organizzazione Google Cloud richiedono che i ruoli IAM vengano registrati ai piani di Cloud Marketplace e che apportino modifiche ai piani di fatturazione.
- Scopri di più sulla gestione della fatturazione per i prodotti Cloud Marketplace.
- Scopri di più sui fattori che influiscono sulla fattura.
- Scopri i concetti di base di IAM.
- Scopri la gerarchia delle risorse di Google Cloud.
Prima di iniziare
- Per concedere i ruoli e le autorizzazioni di Cloud Marketplace utilizzando
gcloud
, installa l'interfaccia a riga di comando gcloud. In alternativa, puoi concedere i ruoli utilizzando la console.
Ruoli IAM per l'acquisto e la gestione dei prodotti
Ti consigliamo di assegnare il ruolo Amministratore IAM
(roles/billing.admin
)
agli utenti che acquistano servizi da
Cloud Marketplace.
Gli utenti che vogliono accedere ai servizi devono disporre del ruolo Visualizzatore progetto
(roles/viewer
).
Se hai bisogno di un controllo più granulare sulle autorizzazioni degli utenti, puoi creare ruoli personalizzati con le autorizzazioni che vuoi concedere.
Elenco di ruoli e autorizzazioni IAM
Puoi concedere agli utenti uno o più dei seguenti ruoli IAM. A seconda del ruolo che concedi agli utenti, devi anche assegnarlo a un account di fatturazione, un'organizzazione o un progetto Google Cloud. Per informazioni dettagliate, consulta la sezione Concedere i ruoli IAM agli utenti.
Ruolo | Autorizzazioni |
---|---|
Visualizzatore offerte catalogo di offerte di e-commerce
beta
Consente di visualizzare le offerte |
|
Amministrazione offerte private gestione prezzi commerciali
beta
Consente di gestire le offerte private |
|
Visualizzatore gestione prezzi commerciali
beta
Consente di visualizzare offerte, prove gratuite e SKU |
|
Gestione diritti di approvvigionamento consumatori
Beta
Consente di gestire i diritti e di abilitare, disabilitare e ispezionare gli stati dei servizi per un progetto consumer. |
|
Visualizzatore diritto di approvvigionamento consumatori
Beta
Consente di ispezionare i diritti e gli stati dei servizi per un progetto consumer. |
|
Amministratore ordini per l'approvvigionamento dei consumatori
Beta
Consente di gestire gli acquisti. |
|
Visualizzatore ordine di approvvigionamento consumatori
beta
Consente di ispezionare gli acquisti. |
|
Concessione di ruoli IAM agli utenti
Dai ruoli nella tabella riportata sopra, i ruoli
consumerprocurement.orderAdmin
e consumerprocurement.orderViewer
devono essere assegnati a livello di account di fatturazione o organizzazione e i ruoli
consumerprocurement.entitlementManager
e consumerprocurement.entitlementViewer
devono essere assegnati a livello di progetto o organizzazione.
Per concedere ruoli agli utenti utilizzando gcloud
, esegui uno dei seguenti comandi:
Organizzazione
Per assegnare i ruoli a livello di organizzazione, devi disporre del ruolo resourcemanager.organizationAdmin
.
gcloud organizations add-iam-policy-binding organization-id \
--member=member --role=role-id
I valori segnaposto sono:
- organization-id: l'ID numerico dell'organizzazione per cui vuoi concedere il ruolo.
- member: l'utente a cui concedi l'accesso.
- role-id: l'ID ruolo della tabella precedente.
Account di fatturazione
Devi avere il ruolo billing.admin
per assegnare i ruoli a livello di account di fatturazione.
gcloud beta billing accounts set-iam-policy account-id \
policy-file
I valori segnaposto sono:
- account-id: il tuo ID account di fatturazione, che puoi ottenere dalla pagina Gestisci account di fatturazione.
- policy-file: un file dei criteri IAM in formato JSON o YAML. Il file del criterio deve contenere gli ID dei ruoli presenti nella tabella precedente e gli utenti a cui vuoi assegnarli.
Progetto
Devi avere il ruolo resourcemanager.folderAdmin
per assegnare i ruoli a livello di progetto.
gcloud projects add-iam-policy-binding project-id \
--member=member --role=role-id
I valori segnaposto sono:
- project-id: il progetto per cui stai concedendo il ruolo.
- member: l'utente a cui concedi l'accesso.
- role-id: l'ID ruolo della tabella precedente.
Per concedere i ruoli agli utenti utilizzando la console, consulta la documentazione IAM su concessione, modifica e revoca dell'accesso per gli utenti.
Utilizzo dei ruoli personalizzati con Cloud Marketplace
Se vuoi un controllo granulare sulle autorizzazioni che concedi agli utenti, puoi creare ruoli personalizzati con le autorizzazioni che vuoi concedere.
Se stai creando un ruolo personalizzato per gli utenti che acquistano servizi da Cloud Marketplace, questo deve includere le seguenti autorizzazioni per l'account di fatturazione utilizzato per acquistare i servizi:
billing.subscriptions.create
ebilling.accounts.get
, che di solito vengono assegnati con il ruoloroles/billing.admin
.consumerprocurement.orders.place
, che in genere viene concessa con il ruoloroles/consumerprocurement.orderAdmin
.consumerprocurement.accounts.create
, che in genere viene concessa con il ruoloroles/consumerprocurement.orderAdmin
.
Accesso ai siti web partner con Single Sign-On (SSO)
Alcuni prodotti del Marketplace supportano il servizio Single Sign-On (SSO) per un sito web esterno di un partner. Gli utenti autorizzati all'interno dell'organizzazione hanno accesso a un pulsante "GESTISCI SU PROVIDER" nella pagina dei dettagli del prodotto. Questo pulsante indirizza gli utenti al sito web del partner. In alcuni casi, agli utenti viene chiesto di "accedere con Google". in altri casi, gli utenti hanno effettuato l'accesso a un account condiviso.
Per accedere alla funzionalità SSO, gli utenti devono accedere alla pagina dei dettagli del prodotto e selezionare un progetto appropriato. Il progetto deve essere collegato a un account di fatturazione in cui è stato acquistato il piano. Per informazioni dettagliate sulla gestione del piano Marketplace, consulta Gestire i piani di fatturazione.
Inoltre, l'utente deve disporre di autorizzazioni IAM sufficienti nel progetto selezionato. Per la maggior parte dei prodotti, il
roles/editor
ruolo di base è attualmente richiesto.
Autorizzazioni minime per prodotti specifici
I seguenti prodotti possono funzionare con un set di autorizzazioni diverso per accedere alle funzionalità SSO:
- Apache Kafka su Cloud Confluent
- DataStax Astra per Apache Cassandra
- Nuvola elastica
- Neo4j Aura Professional
- Redis Enterprise Cloud
Per questi prodotti, puoi utilizzare le seguenti autorizzazioni minime:
consumerprocurement.entitlements.get/get
consumerprocurement.entitlements.get/list
serviceusage.services.get/get
serviceusage.services.get/list
resourcemanager.projects.get
Queste autorizzazioni di solito vengono concesse con i ruoli roles/consumerprocurement.entitlementManager
o roles/consumerprocurement.entitlementViewer
.