In questa pagina vengono descritti i ruoli e le autorizzazioni di Identity and Access Management (IAM) necessari per acquistare e gestire i prodotti commerciali su Cloud Marketplace.
Con IAM puoi gestire il controllo dell'accesso definendo chi (identità) ha quale accesso (ruolo) per quale risorsa. Per le app commerciali su Cloud Marketplace, gli utenti della tua organizzazione Google Cloud richiedono i ruoli IAM per registrarsi ai piani di Cloud Marketplace e apportare modifiche ai piani di fatturazione.
- Scopri di più sulla gestione della fatturazione per i prodotti Cloud Marketplace.
- Scopri di più sui fattori che influiscono sulla fattura.
- Scopri i concetti di base di IAM.
- Scopri di più sulla gerarchia delle risorse Google Cloud.
Prima di iniziare
- Per concedere i ruoli e le autorizzazioni di Cloud Marketplace utilizzando
gcloud
, installa l'interfaccia a riga di comando gcloud. In caso contrario, puoi concedere ruoli utilizzando la console Google Cloud.
Ruoli IAM per acquisto e gestione di prodotti
Ti consigliamo di assegnare il ruolo IAM Amministratore di fatturazione (roles/billing.admin
) agli utenti che acquistano servizi da Cloud Marketplace.
Gli utenti che vogliono accedere ai servizi devono disporre almeno del ruolo Visualizzatore progetto
(roles/viewer
).
Se hai bisogno di un controllo più granulare sulle autorizzazioni degli utenti, puoi creare ruoli personalizzati con le autorizzazioni che vuoi concedere.
Elenco di ruoli e autorizzazioni IAM
Puoi concedere agli utenti uno o più dei seguenti ruoli IAM. A seconda del ruolo concesso agli utenti, devi anche assegnarlo a un account di fatturazione, un'organizzazione o un progetto Google Cloud. Per i dettagli, consulta la sezione Concessione di ruoli IAM agli utenti.
Ruolo | Autorizzazioni |
---|---|
Amministratore configurazione configurazione commerciale di Commerce beta( Amministratore di varie risorse di configurazione del provider |
commercebusinessenablement.
resourcemanager.projects.get resourcemanager.projects.list |
Amministratore configurazione pagamenti per abilitazione attività commerciali beta( Amministrazione della risorsa di configurazione dei pagamenti |
commercebusinessenablement.
resourcemanager.projects.get resourcemanager.projects.list |
Visualizzatore PaymentConfig per abilitazione attività commerciali beta( Visualizzatore della risorsa di configurazione dei pagamenti. |
commercebusinessenablement. resourcemanager.projects.get resourcemanager.projects.list |
Visualizzatore configurazione di Commercio Business Beta( Visualizzatore di varie risorse di configurazione del provider |
commercebusinessenablement. resourcemanager.projects.get resourcemanager.projects.list |
Visualizzatore offerte catalogo offerte commerciali beta( Consente di visualizzare le offerte |
catalogofferoffer.*
|
Amministratore governance organizzazione commerciale beta( Accesso completo alle API Organization Governance |
commerceorggovernance.*
resourcemanager.projects.get resourcemanager.projects.list |
Visualizzatore governance dell'organizzazione Commerce beta( Accesso completo alle API Organization Governance di sola lettura. |
commerceorggovernance. commerceorggovernance. commerceorggovernance. commerceorggovernance. commerceorggovernance. resourcemanager.projects.get resourcemanager.projects.list |
Amministratore offerte private di gestione dei prezzi di Commerce beta( Consente di gestire le offerte private |
priceprice.*
resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list |
Visualizzatore gestione dei prezzi di Commerce beta( Consente di visualizzare offerte, prove gratuite e SKU |
commerceprice. commerceprice. resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list |
Amministratore producer Commerce beta( Concede l'accesso completo a tutte le risorse nell'API Cloud Commerce Producer. |
resourcemanager.projects.get resourcemanager.projects.list |
Visualizzatore producer Commerce beta( Concede l'accesso in lettura a tutte le risorse nell'API Cloud Commerce Producer. |
resourcemanager.projects.get resourcemanager.projects.list |
Gestore diritti di approvvigionamento consumer beta( Consente di gestire i diritti e di abilitare, disabilitare e ispezionare gli stati dei servizi per un progetto consumer. |
diritti di acquisto dei consumatori.
approvvigionamento consumer.
resourcemanager.projects.get resourcemanager.projects.list serviceusage.operations.get serviceusage.services.disable serviceusage.services.enable serviceusage.services.get serviceusage.services.list |
Visualizzatore diritti di approvvigionamento consumer beta( Consente di ispezionare diritti e stati di servizio per un progetto consumer. |
diritti di acquisto dei consumatori.
consumerprocurement. consumerprocurement. resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list |
Amministratore ordine approvvigionamento consumer beta( Consente di gestire gli acquisti. Contiene 6 autorizzazioni proprietario |
billing.accounts.get billing.accounts.getIamPolicy billing.accounts.list
fatturazione. billing.credits.list
billing. catalogofferoffer.*
consumerprocurement.accounts.*
consumerprocurement. consenso dei consumatori. consumerprocurement. consumerprocurement.
consumatori.
consumerprocurement.orders.*
|
Visualizzatore ordini di approvvigionamento consumer beta( Consente di ispezionare gli acquisti. Contiene 4 autorizzazioni del proprietario |
billing.accounts.get billing.accounts.getIamPolicy billing.accounts.list billing.credits.list catalogofferoffer.*
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.orders.get consumerprocurement. |
Amministratore approvvigionamento consumer beta( Consente di gestire gli acquisti e i consensi sia a livello di account di fatturazione sia a livello di progetto. Contiene 7 autorizzazioni del proprietario |
billing.accounts.get billing.accounts.getIamPolicy billing.accounts.list
fatturazione. billing.credits.list
billing. catalogofferoffer.*
approvvigionamento consumer.*
resourcemanager.projects.get resourcemanager.projects.list serviceusage.operations.get serviceusage.services.disable serviceusage.services.enable serviceusage.services.get serviceusage.services.list |
Visualizzatore approvvigionamento consumer beta( Consente di esaminare gli acquisti, i consensi, i diritti e gli stati dei servizi per un progetto consumer. Contiene 4 autorizzazioni del proprietario |
billing.accounts.get billing.accounts.getIamPolicy billing.accounts.list billing.credits.list catalogofferoffer.*
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.
diritti di acquisto dei consumatori.
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.orders.get consumerprocurement. resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list |
Concessione di ruoli IAM agli utenti
Nei ruoli della tabella riportata sopra, i ruoli consumerprocurement.orderAdmin
e consumerprocurement.orderViewer
devono essere assegnati a livello di account di fatturazione o organizzazione e i ruoli consumerprocurement.entitlementManager
e consumerprocurement.entitlementViewer
devono essere assegnati a livello di progetto o organizzazione.
Per concedere i ruoli agli utenti utilizzando gcloud
, esegui uno dei seguenti comandi:
Organizzazione
Devi avere il ruolo resourcemanager.organizationAdmin
per assegnare i ruoli a livello di organizzazione.
gcloud organizations add-iam-policy-binding organization-id \
--member=member --role=role-id
I valori segnaposto sono:
- organization-id: l'ID numerico dell'organizzazione per cui stai concedendo il ruolo.
- member: l'utente a cui vuoi concedere l'accesso.
- role-id: l'ID del ruolo nella tabella precedente.
Account di fatturazione
Devi avere il ruolo billing.admin
per assegnare i ruoli a livello di account di fatturazione.
gcloud beta billing accounts set-iam-policy account-id \
policy-file
I valori segnaposto sono:
- account-id: il tuo ID account di fatturazione, che puoi trovare nella pagina Gestisci account di fatturazione.
- policy-file: un file di criteri IAM, in formato JSON o YAML. Il file dei criteri deve contenere gli ID ruolo della tabella precedente e gli utenti a cui vuoi assegnare i ruoli.
Progetto
Devi avere il ruolo resourcemanager.folderAdmin
per assegnare i ruoli a livello di progetto.
gcloud projects add-iam-policy-binding project-id \
--member=member --role=role-id
I valori segnaposto sono:
- project-id: il progetto per il quale stai concedendo il ruolo.
- member: l'utente a cui vuoi concedere l'accesso.
- role-id: l'ID del ruolo nella tabella precedente.
Per concedere ruoli agli utenti utilizzando la console Google Cloud, consulta la documentazione IAM su concessione, modifica e revoca dell'accesso per gli utenti.
Utilizzo dei ruoli personalizzati con Cloud Marketplace
Se vuoi un controllo granulare sulle autorizzazioni che concedi agli utenti, puoi creare ruoli personalizzati con le autorizzazioni che vuoi concedere.
Se crei un ruolo personalizzato per gli utenti che acquistano servizi da Cloud Marketplace, deve includere queste autorizzazioni per l'account di fatturazione che utilizzano per acquistare i servizi:
billing.subscriptions.create
ebilling.accounts.get
, che di solito vengono concessi con il ruoloroles/billing.admin
.consumerprocurement.orders.place
, che in genere viene concesso con il ruoloroles/consumerprocurement.orderAdmin
.consumerprocurement.accounts.create
, che in genere viene concesso con il ruoloroles/consumerprocurement.orderAdmin
.
Accedere ai siti web partner con Single Sign-On (SSO)
Alcuni prodotti del Marketplace supportano il Single Sign-On (SSO) al sito web esterno di un partner. Gli utenti autorizzati all'interno dell'organizzazione hanno accesso a un pulsante "GESTISCI SU PROVIDER" nella pagina dei dettagli del prodotto. Questo pulsante indirizza gli utenti al sito web del partner. In alcuni casi, agli utenti viene richiesto di accedere con "Google". In altri casi, gli utenti accedono a un account condiviso.
Per accedere alla funzionalità SSO, gli utenti devono andare alla pagina dei dettagli del prodotto e selezionare un progetto appropriato. Il progetto deve essere collegato a un account di fatturazione in cui è stato acquistato il piano. Per i dettagli sulla gestione dei piani di Marketplace, consulta Gestione dei piani di fatturazione.
Inoltre, l'utente deve disporre di autorizzazioni IAM sufficienti nel progetto selezionato. Per la maggior parte dei prodotti, attualmente è richiesto il ruolo roles/consumerprocurement.entitlementManager
(o roles/editor
di base).
Autorizzazioni minime per prodotti specifici
I seguenti prodotti possono funzionare su diversi insiemi di autorizzazioni per accedere alle funzionalità SSO:
- Apache Kafka su Confluent Cloud
- DataStax Astra per Apache Cassandra
- "Elastic Cloud
- Neo4j Aura Professional
- Cloud aziendale Redis
Per questi prodotti, puoi utilizzare le seguenti autorizzazioni minime:
consumerprocurement.entitlements.get
consumerprocurement.entitlements.list
serviceusage.services.get
serviceusage.services.list
resourcemanager.projects.get
Queste autorizzazioni vengono di solito concesse con i ruoli roles/consumerprocurement.entitlementManager
o roles/consumerprocurement.entitlementViewer
.