Controllo dell'accesso con IAM

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

In questa pagina vengono descritti i ruoli e le autorizzazioni di Identity and Access Management (IAM) necessari per acquistare e gestire i prodotti commerciali su Cloud Marketplace.

Con IAM puoi gestire il controllo dell'accesso definendo chi (identità) ha quale accesso (ruolo) per quale risorsa. Per le app commerciali su Cloud Marketplace, gli utenti della tua organizzazione Google Cloud richiedono i ruoli IAM per registrarsi ai piani di Cloud Marketplace e apportare modifiche ai piani di fatturazione.

Prima di iniziare

  • Per concedere i ruoli e le autorizzazioni di Cloud Marketplace utilizzando gcloud, installa l'interfaccia a riga di comando gcloud. In caso contrario, puoi concedere ruoli utilizzando la console Google Cloud.

Ruoli IAM per acquisto e gestione di prodotti

Ti consigliamo di assegnare il ruolo IAM Amministratore di fatturazione (roles/billing.admin) agli utenti che acquistano servizi da Cloud Marketplace.

Gli utenti che vogliono accedere ai servizi devono disporre almeno del ruolo Visualizzatore progetto (roles/viewer).

Se hai bisogno di un controllo più granulare sulle autorizzazioni degli utenti, puoi creare ruoli personalizzati con le autorizzazioni che vuoi concedere.

Elenco di ruoli e autorizzazioni IAM

Puoi concedere agli utenti uno o più dei seguenti ruoli IAM. A seconda del ruolo concesso agli utenti, devi anche assegnarlo a un account di fatturazione, un'organizzazione o un progetto Google Cloud. Per i dettagli, consulta la sezione Concessione di ruoli IAM agli utenti.

Ruolo Autorizzazioni

(roles/commercebusinessenablement.admin)

Amministratore di varie risorse di configurazione del provider

commercebusinessenablement.leadgenConfig.*

  • commercebusinessenablement.leadgenConfig.get
  • commercebusinessenablement.leadgenConfig.aggiorna

resourcemanager.projects.get

resourcemanager.projects.list

(roles/commercebusinessenablement.paymentConfigAdmin)

Amministrazione della risorsa di configurazione dei pagamenti

commercebusinessenablement.paymentConfig.*

  • commercebusinessenablement.paymentConfig.get
  • commercebusinessenablement.paymentConfig.Aggiorna

resourcemanager.projects.get

resourcemanager.projects.list

(roles/commercebusinessenablement.paymentConfigViewer)

Visualizzatore della risorsa di configurazione dei pagamenti.

commercebusinessenablement.paymentConfig.get

resourcemanager.projects.get

resourcemanager.projects.list

(roles/commercebusinessenablement.viewer)

Visualizzatore di varie risorse di configurazione del provider

commercebusinessenablement.leadgenConfig.get

resourcemanager.projects.get

resourcemanager.projects.list

(roles/commerceoffercatalog.offersViewer)

Consente di visualizzare le offerte

catalogofferoffer.*

  • commerceoffercatalog.documents.get
  • commerceoffercatalog.offers.get

(roles/commerceorggovernance.admin)

Accesso completo alle API Organization Governance

commerceorggovernance.*

  • commerceorggovernance.raccolte.crea
  • commerceorggovernance.raccolte.elimina
  • commerceorggovernance.raccolte.get
  • commerceorggovernance.raccolte.list
  • commerceorggovernance.raccolte.Aggiorna
  • commerceorggovernance.Criteri di condivisione del consumatore.get
  • commerceorggovernance.criteri di condivisione dei consumatori.aggiornamento
  • commerceorggovernance.organizationSettings.scarica
  • commerceorggovernance.organizationSettings.aggiorna
  • commerceorggovernance.services.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/commerceorggovernance.viewer)

Accesso completo alle API Organization Governance di sola lettura.

commerceorggovernance.raccolte.get

commerceorggovernance.raccolte.list

commerceorggovernance.Criteri di condivisione del consumatore.get

commerceorggovernance.organizationSettings.scarica

commerceorggovernance.services.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/commercepricemanagement.privateOffersAdmin)

Consente di gestire le offerte private

priceprice.*

  • commerceprice.privateoffers.annulla
  • commerceprice.privateoffers.crea
  • commerceprice.privateoffers.elimina
  • commerceprice.privateoffers.get
  • commerceprice.list:
  • commerceprice.privateoffers.pubblica
  • commerceprice.privateoffers.aggiorna

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.get

serviceusage.services.list

(roles/commercepricemanagement.viewer)

Consente di visualizzare offerte, prove gratuite e SKU

commerceprice.privateoffers.get

commerceprice.list:

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.get

serviceusage.services.list

(roles/commerceproducer.admin)

Concede l'accesso completo a tutte le risorse nell'API Cloud Commerce Producer.

resourcemanager.projects.get

resourcemanager.projects.list

(roles/commerceproducer.viewer)

Concede l'accesso in lettura a tutte le risorse nell'API Cloud Commerce Producer.

resourcemanager.projects.get

resourcemanager.projects.list

(roles/consumerprocurement.entitlementManager)

Consente di gestire i diritti e di abilitare, disabilitare e ispezionare gli stati dei servizi per un progetto consumer.

diritti di acquisto dei consumatori..*

  • diritti di approvvigionamento consumer.diritti.get
  • diritti privati.dei diritti.elenco

approvvigionamento consumer.Prove gratuite.*

  • consumerprocurement.freeTrials.crea
  • consumerprocurement.freeTrials.scarica
  • consumerprocurement.freeTrials.

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.operations.get

serviceusage.services.disable

serviceusage.services.enable

serviceusage.services.get

serviceusage.services.list

(roles/consumerprocurement.entitlementViewer)

Consente di ispezionare diritti e stati di servizio per un progetto consumer.

diritti di acquisto dei consumatori..*

  • diritti di approvvigionamento consumer.diritti.get
  • diritti privati.dei diritti.elenco

consumerprocurement.freeTrials.scarica

consumerprocurement.freeTrials.

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.get

serviceusage.services.list

(roles/consumerprocurement.orderAdmin)

Consente di gestire gli acquisti.

Contiene 6 autorizzazioni proprietario

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.list

fatturazione.account.redeempromotion

billing.credits.list

billing.resourceAssociations.create

catalogofferoffer.*

  • commerceoffercatalog.documents.get
  • commerceoffercatalog.offers.get

consumerprocurement.accounts.*

  • consumerprocurement.account.crea
  • consumerprocurement.account.elimina
  • consumerprocurement.account.get
  • consumerprocurement.account.elenco

consumerprocurement.consents.seleziona

consenso dei consumatori.concedi.concedi

consumerprocurement.consents.list

consumerprocurement.consensi.revoca

consumatori.order Attributions.*

  • consumerprocurement.orderAttribuziones.get
  • consumerprocurement.orderAttributions.elenco
  • consumerprocurement.orderAttributions.aggiornamento

consumerprocurement.orders.*

  • consumerprocurement.ordini.annulla
  • consumerprocurement.orders.get
  • consumerprocurement.list.
  • consumerprocurement.ordini.modifica
  • ordini dei consumatori.effettui.effettui

(roles/consumerprocurement.orderViewer)

Consente di ispezionare gli acquisti.

Contiene 4 autorizzazioni del proprietario

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.list

billing.credits.list

catalogofferoffer.*

  • commerceoffercatalog.documents.get
  • commerceoffercatalog.offers.get

consumerprocurement.account.get

consumerprocurement.account.elenco

consumerprocurement.consents.seleziona

consumerprocurement.consents.list

consumerprocurement.orderAttribuziones.get

consumerprocurement.orderAttributions.elenco

consumerprocurement.orders.get

consumerprocurement.list.

(roles/consumerprocurement.procurementAdmin)

Consente di gestire gli acquisti e i consensi sia a livello di account di fatturazione sia a livello di progetto.

Contiene 7 autorizzazioni del proprietario

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.list

fatturazione.account.redeempromotion

billing.credits.list

billing.resourceAssociations.create

catalogofferoffer.*

  • commerceoffercatalog.documents.get
  • commerceoffercatalog.offers.get

approvvigionamento consumer.*

  • consumerprocurement.account.crea
  • consumerprocurement.account.elimina
  • consumerprocurement.account.get
  • consumerprocurement.account.elenco
  • consumerprocurement.consents.allowProjectGrant
  • consumerprocurement.consents.seleziona
  • consenso dei consumatori.concedi.concedi
  • consumerprocurement.consents.list
  • consumerprocurement.consensi.revoca
  • diritti di approvvigionamento consumer.diritti.get
  • diritti privati.dei diritti.elenco
  • consumerprocurement.freeTrials.crea
  • consumerprocurement.freeTrials.scarica
  • consumerprocurement.freeTrials.
  • consumerprocurement.orderAttribuziones.get
  • consumerprocurement.orderAttributions.elenco
  • consumerprocurement.orderAttributions.aggiornamento
  • consumerprocurement.ordini.annulla
  • consumerprocurement.orders.get
  • consumerprocurement.list.
  • consumerprocurement.ordini.modifica
  • ordini dei consumatori.effettui.effettui

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.operations.get

serviceusage.services.disable

serviceusage.services.enable

serviceusage.services.get

serviceusage.services.list

(roles/consumerprocurement.procurementViewer)

Consente di esaminare gli acquisti, i consensi, i diritti e gli stati dei servizi per un progetto consumer.

Contiene 4 autorizzazioni del proprietario

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.list

billing.credits.list

catalogofferoffer.*

  • commerceoffercatalog.documents.get
  • commerceoffercatalog.offers.get

consumerprocurement.account.get

consumerprocurement.account.elenco

consumerprocurement.consents.seleziona

consumerprocurement.consents.list

diritti di acquisto dei consumatori..*

  • diritti di approvvigionamento consumer.diritti.get
  • diritti privati.dei diritti.elenco

consumerprocurement.freeTrials.scarica

consumerprocurement.freeTrials.

consumerprocurement.orderAttribuziones.get

consumerprocurement.orderAttributions.elenco

consumerprocurement.orders.get

consumerprocurement.list.

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.get

serviceusage.services.list

Concessione di ruoli IAM agli utenti

Nei ruoli della tabella riportata sopra, i ruoli consumerprocurement.orderAdmin e consumerprocurement.orderViewer devono essere assegnati a livello di account di fatturazione o organizzazione e i ruoli consumerprocurement.entitlementManager e consumerprocurement.entitlementViewer devono essere assegnati a livello di progetto o organizzazione.

Per concedere i ruoli agli utenti utilizzando gcloud, esegui uno dei seguenti comandi:

Organizzazione

Devi avere il ruolo resourcemanager.organizationAdmin per assegnare i ruoli a livello di organizzazione.

gcloud organizations add-iam-policy-binding organization-id \
--member=member --role=role-id

I valori segnaposto sono:

  • organization-id: l'ID numerico dell'organizzazione per cui stai concedendo il ruolo.
  • member: l'utente a cui vuoi concedere l'accesso.
  • role-id: l'ID del ruolo nella tabella precedente.

Account di fatturazione

Devi avere il ruolo billing.admin per assegnare i ruoli a livello di account di fatturazione.

gcloud beta billing accounts set-iam-policy account-id \
policy-file

I valori segnaposto sono:

Progetto

Devi avere il ruolo resourcemanager.folderAdmin per assegnare i ruoli a livello di progetto.

gcloud projects add-iam-policy-binding project-id \
--member=member --role=role-id

I valori segnaposto sono:

  • project-id: il progetto per il quale stai concedendo il ruolo.
  • member: l'utente a cui vuoi concedere l'accesso.
  • role-id: l'ID del ruolo nella tabella precedente.

Per concedere ruoli agli utenti utilizzando la console Google Cloud, consulta la documentazione IAM su concessione, modifica e revoca dell'accesso per gli utenti.

Utilizzo dei ruoli personalizzati con Cloud Marketplace

Se vuoi un controllo granulare sulle autorizzazioni che concedi agli utenti, puoi creare ruoli personalizzati con le autorizzazioni che vuoi concedere.

Se crei un ruolo personalizzato per gli utenti che acquistano servizi da Cloud Marketplace, deve includere queste autorizzazioni per l'account di fatturazione che utilizzano per acquistare i servizi:

Accedere ai siti web partner con Single Sign-On (SSO)

Alcuni prodotti del Marketplace supportano il Single Sign-On (SSO) al sito web esterno di un partner. Gli utenti autorizzati all'interno dell'organizzazione hanno accesso a un pulsante "GESTISCI SU PROVIDER" nella pagina dei dettagli del prodotto. Questo pulsante indirizza gli utenti al sito web del partner. In alcuni casi, agli utenti viene richiesto di accedere con "Google". In altri casi, gli utenti accedono a un account condiviso.

Per accedere alla funzionalità SSO, gli utenti devono andare alla pagina dei dettagli del prodotto e selezionare un progetto appropriato. Il progetto deve essere collegato a un account di fatturazione in cui è stato acquistato il piano. Per i dettagli sulla gestione dei piani di Marketplace, consulta Gestione dei piani di fatturazione.

Inoltre, l'utente deve disporre di autorizzazioni IAM sufficienti nel progetto selezionato. Per la maggior parte dei prodotti, attualmente è richiesto il ruolo roles/consumerprocurement.entitlementManager (o roles/editordi base).

Autorizzazioni minime per prodotti specifici

I seguenti prodotti possono funzionare su diversi insiemi di autorizzazioni per accedere alle funzionalità SSO:

  • Apache Kafka su Confluent Cloud
  • DataStax Astra per Apache Cassandra
  • "Elastic Cloud
  • Neo4j Aura Professional
  • Cloud aziendale Redis

Per questi prodotti, puoi utilizzare le seguenti autorizzazioni minime:

  • consumerprocurement.entitlements.get
  • consumerprocurement.entitlements.list
  • serviceusage.services.get
  • serviceusage.services.list
  • resourcemanager.projects.get

Queste autorizzazioni vengono di solito concesse con i ruoli roles/consumerprocurement.entitlementManager o roles/consumerprocurement.entitlementViewer.