Controllo dell'accesso con IAM

Questa pagina descrive i ruoli e le autorizzazioni di Identity and Access Management (IAM) necessari per acquistare e gestire prodotti commerciali su Cloud Marketplace.

IAM consente di gestire il controllo dell'accesso definendo chi (identità) ha accesso (ruolo) per quale risorsa. Per le app commerciali su Cloud Marketplace, gli utenti della tua organizzazione Google Cloud richiedono che i ruoli IAM vengano registrati ai piani di Cloud Marketplace e che apportino modifiche ai piani di fatturazione.

Prima di iniziare

  • Per concedere i ruoli e le autorizzazioni di Cloud Marketplace utilizzando gcloud, installa l'interfaccia a riga di comando gcloud. In alternativa, puoi concedere i ruoli utilizzando la console.

Ruoli IAM per l'acquisto e la gestione dei prodotti

Ti consigliamo di assegnare il ruolo Amministratore IAM (roles/billing.admin) agli utenti che acquistano servizi da Cloud Marketplace.

Gli utenti che vogliono accedere ai servizi devono disporre del ruolo Visualizzatore progetto (roles/viewer).

Se hai bisogno di un controllo più granulare sulle autorizzazioni degli utenti, puoi creare ruoli personalizzati con le autorizzazioni che vuoi concedere.

Elenco di ruoli e autorizzazioni IAM

Puoi concedere agli utenti uno o più dei seguenti ruoli IAM. A seconda del ruolo che concedi agli utenti, devi anche assegnarlo a un account di fatturazione, un'organizzazione o un progetto Google Cloud. Per informazioni dettagliate, consulta la sezione Concedere i ruoli IAM agli utenti.

Ruolo Autorizzazioni

Visualizzatore offerte catalogo di offerte di e-commerce beta
(roles/commerceoffercatalog.offersViewer)

Consente di visualizzare le offerte

  • commerceoffercatalog.offers.get

Amministrazione offerte private gestione prezzi commerciali beta
(roles/commercepricemanagement.privateOffersAdmin)

Consente di gestire le offerte private

  • commerceprice.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list

Visualizzatore gestione prezzi commerciali beta
(roles/commercepricemanagement.viewer)

Consente di visualizzare offerte, prove gratuite e SKU

  • commerceprice.privateoffers.get
  • commerceprice.privateoffers.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list

Gestione diritti di approvvigionamento consumatori Beta
(roles/consumerprocurement.entitlementManager)

Consente di gestire i diritti e di abilitare, disabilitare e ispezionare gli stati dei servizi per un progetto consumer.

  • consumerprocurement.entitlements.*
  • consumerprocurement.freeTrials.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.operations.get
  • serviceusage.services.disable
  • serviceusage.services.enable
  • serviceusage.services.get
  • serviceusage.services.list

Visualizzatore diritto di approvvigionamento consumatori Beta
(roles/consumerprocurement.entitlementViewer)

Consente di ispezionare i diritti e gli stati dei servizi per un progetto consumer.

  • consumerprocurement.entitlements.*
  • consumerprocurement.freeTrials.get
  • consumerprocurement.freeTrials.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list

Amministratore ordini per l'approvvigionamento dei consumatori Beta
(roles/consumerprocurement.orderAdmin)

Consente di gestire gli acquisti.

  • commerceoffercatalog.offers.get
  • consumerprocurement.accounts.*
  • consumerprocurement.orderAttributions.*
  • consumerprocurement.orders.*

Visualizzatore ordine di approvvigionamento consumatori beta
(roles/consumerprocurement.orderViewer)

Consente di ispezionare gli acquisti.

  • commerceoffercatalog.offers.get
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list
  • consumerprocurement.orderAttributions.get
  • consumerprocurement.list Attributions.list
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list

Concessione di ruoli IAM agli utenti

Dai ruoli nella tabella riportata sopra, i ruoli consumerprocurement.orderAdmin e consumerprocurement.orderViewer devono essere assegnati a livello di account di fatturazione o organizzazione e i ruoli consumerprocurement.entitlementManager e consumerprocurement.entitlementViewer devono essere assegnati a livello di progetto o organizzazione.

Per concedere ruoli agli utenti utilizzando gcloud, esegui uno dei seguenti comandi:

Organizzazione

Per assegnare i ruoli a livello di organizzazione, devi disporre del ruolo resourcemanager.organizationAdmin.

gcloud organizations add-iam-policy-binding organization-id \
--member=member --role=role-id

I valori segnaposto sono:

  • organization-id: l'ID numerico dell'organizzazione per cui vuoi concedere il ruolo.
  • member: l'utente a cui concedi l'accesso.
  • role-id: l'ID ruolo della tabella precedente.

Account di fatturazione

Devi avere il ruolo billing.admin per assegnare i ruoli a livello di account di fatturazione.

gcloud beta billing accounts set-iam-policy account-id \
policy-file

I valori segnaposto sono:

Progetto

Devi avere il ruolo resourcemanager.folderAdmin per assegnare i ruoli a livello di progetto.

gcloud projects add-iam-policy-binding project-id \
--member=member --role=role-id

I valori segnaposto sono:

  • project-id: il progetto per cui stai concedendo il ruolo.
  • member: l'utente a cui concedi l'accesso.
  • role-id: l'ID ruolo della tabella precedente.

Per concedere i ruoli agli utenti utilizzando la console, consulta la documentazione IAM su concessione, modifica e revoca dell'accesso per gli utenti.

Utilizzo dei ruoli personalizzati con Cloud Marketplace

Se vuoi un controllo granulare sulle autorizzazioni che concedi agli utenti, puoi creare ruoli personalizzati con le autorizzazioni che vuoi concedere.

Se stai creando un ruolo personalizzato per gli utenti che acquistano servizi da Cloud Marketplace, questo deve includere le seguenti autorizzazioni per l'account di fatturazione utilizzato per acquistare i servizi:

Accesso ai siti web partner con Single Sign-On (SSO)

Alcuni prodotti del Marketplace supportano il servizio Single Sign-On (SSO) per un sito web esterno di un partner. Gli utenti autorizzati all'interno dell'organizzazione hanno accesso a un pulsante "GESTISCI SU PROVIDER" nella pagina dei dettagli del prodotto. Questo pulsante indirizza gli utenti al sito web del partner. In alcuni casi, agli utenti viene chiesto di "accedere con Google". in altri casi, gli utenti hanno effettuato l'accesso a un account condiviso.

Per accedere alla funzionalità SSO, gli utenti devono accedere alla pagina dei dettagli del prodotto e selezionare un progetto appropriato. Il progetto deve essere collegato a un account di fatturazione in cui è stato acquistato il piano. Per informazioni dettagliate sulla gestione del piano Marketplace, consulta Gestire i piani di fatturazione.

Inoltre, l'utente deve disporre di autorizzazioni IAM sufficienti nel progetto selezionato. Per la maggior parte dei prodotti, il roles/editor ruolo di base è attualmente richiesto.

Autorizzazioni minime per prodotti specifici

I seguenti prodotti possono funzionare con un set di autorizzazioni diverso per accedere alle funzionalità SSO:

Per questi prodotti, puoi utilizzare le seguenti autorizzazioni minime:

  • consumerprocurement.entitlements.get/get
  • consumerprocurement.entitlements.get/list
  • serviceusage.services.get/get
  • serviceusage.services.get/list
  • resourcemanager.projects.get

Queste autorizzazioni di solito vengono concesse con i ruoli roles/consumerprocurement.entitlementManager o roles/consumerprocurement.entitlementViewer.