In questa pagina vengono descritti i ruoli e le autorizzazioni di Identity and Access Management (IAM) necessari per acquistare e gestire prodotti commerciali su Cloud Marketplace.
Con IAM puoi gestire il controllo dell'accesso definendo chi (identità) ha quale accesso (ruolo) per quale risorsa. Per le app commerciali su Cloud Marketplace, gli utenti della tua organizzazione Google Cloud richiedono ruoli IAM per registrarsi ai piani Cloud Marketplace e apportare modifiche ai piani di fatturazione.
- Scopri di più sulla gestione della fatturazione per i prodotti Cloud Marketplace.
- Scopri di più sui fattori che influiscono sulla fattura.
- Scopri i concetti alla base di IAM.
- Scopri di più sulla gerarchia delle risorse Google Cloud.
Prima di iniziare
- Per concedere ruoli e autorizzazioni di Cloud Marketplace utilizzando
gcloud
, installa l'interfaccia a riga di comando gcloud. In caso contrario, puoi concedere i ruoli utilizzando la console Google Cloud.
Ruoli IAM per l'acquisto e la gestione dei prodotti
Ti consigliamo di assegnare il ruolo IAM Amministratore di fatturazione (roles/billing.admin
) agli utenti che acquistano servizi da Cloud Marketplace.
Gli utenti che vogliono accedere ai servizi devono avere almeno il ruolo di Visualizzatore progetto (roles/viewer
).
Se hai bisogno di un controllo più granulare sulle autorizzazioni degli utenti, puoi creare ruoli personalizzati con le autorizzazioni che vuoi concedere.
Elenco di ruoli e autorizzazioni IAM
Puoi concedere agli utenti uno o più dei seguenti ruoli IAM. A seconda del ruolo che concedi agli utenti, devi anche assegnarlo a un account di fatturazione, a un'organizzazione o a un progetto Google Cloud. Per maggiori dettagli, consulta la sezione Concessione dei ruoli IAM agli utenti.
Role | Permissions |
---|---|
Commerce Business Enablement Configuration Admin Beta( Admin of Various Provider Configuration resources |
commercebusinessenablement.
commercebusinessenablement.
commercebusinessenablement. commercebusinessenablement. resourcemanager. resourcemanager.projects.get resourcemanager.projects.list |
Commerce Business Enablement PaymentConfig Admin Beta( Administration of Payment Configuration resource |
commercebusinessenablement.
commercebusinessenablement.
resourcemanager.projects.get resourcemanager.projects.list |
Commerce Business Enablement PaymentConfig Viewer Beta( Viewer of Payment Configuration resource |
commercebusinessenablement. commercebusinessenablement. resourcemanager.projects.get resourcemanager.projects.list |
Commerce Business Enablement Rebates Admin Beta( Provides admin access to rebates |
commercebusinessenablement.
commercebusinessenablement.
commercebusinessenablement.
|
Commerce Business Enablement Rebates Viewer Beta( Provides read-only access to rebates |
commercebusinessenablement. commercebusinessenablement. commercebusinessenablement. commercebusinessenablement. commercebusinessenablement. |
Commerce Business Enablement Reseller Discount Admin Beta( Provides admin access to reseller discount offers |
commercebusinessenablement.
commercebusinessenablement. commercebusinessenablement. commercebusinessenablement.
commercebusinessenablement.
commercebusinessenablement.
resourcemanager. resourcemanager.projects.get resourcemanager.projects.list |
Commerce Business Enablement Reseller Discount Viewer Beta( Provides read-only access to reseller discount offers |
commercebusinessenablement.
commercebusinessenablement. commercebusinessenablement. commercebusinessenablement. commercebusinessenablement. commercebusinessenablement. commercebusinessenablement. resourcemanager. resourcemanager.projects.get resourcemanager.projects.list |
Commerce Business Enablement Configuration Viewer Beta( Viewer of Various Provider Configuration resource |
commercebusinessenablement.
commercebusinessenablement.
commercebusinessenablement. commercebusinessenablement. resourcemanager. resourcemanager.projects.get resourcemanager.projects.list |
Commerce Offer Catalog Offers Viewer Beta( Allows viewing offers |
commerceoffercatalog.*
|
Commerce Organization Governance Admin Beta( Full access to Organization Governance APIs |
commerceorggovernance.*
resourcemanager.projects.get resourcemanager.projects.list |
Commerce Organization Governance Viewer Beta( Full access to Organization Governance read-only APIs. |
commerceorggovernance. commerceorggovernance. commerceorggovernance. commerceorggovernance. commerceorggovernance. commerceorggovernance. resourcemanager.projects.get resourcemanager.projects.list |
Commerce Price Management Events Viewer Beta( Allows viewing key events for an offer |
commerceprice.events.*
resourcemanager.projects.get resourcemanager.projects.list |
Commerce Price Management Private Offers Admin Beta( Allows managing private offers |
commerceagreementpublishing.*
commerceprice.*
resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list |
Commerce Price Management Viewer Beta( Allows viewing offers, free trials, skus |
commerceagreementpublishing. commerceagreementpublishing. commerceagreementpublishing. commerceagreementpublishing. commerceprice. commerceprice. resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list |
Commerce Producer Admin Beta( Grants full access to all resources in Cloud Commerce Producer API. |
commercebusinessenablement. resourcemanager.projects.get resourcemanager.projects.list |
Commerce Producer Viewer Beta( Grants read access to all resources in Cloud Commerce Producer API. |
commercebusinessenablement. resourcemanager.projects.get resourcemanager.projects.list |
Consumer Procurement Entitlement Manager Beta( Allows managing entitlements and enabling, disabling, and inspecting service states for a consumer project. |
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.
consumerprocurement.
consumerprocurement.
orgpolicy.policy.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.operations.get serviceusage.services.disable serviceusage.services.enable serviceusage.services.get serviceusage.services.list |
Consumer Procurement Entitlement Viewer Beta( Allows inspecting entitlements and service states for a consumer project. |
consumerprocurement. consumerprocurement.
consumerprocurement.
consumerprocurement. consumerprocurement. orgpolicy.policy.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list |
Consumer Procurement Events Viewer Beta( Allows viewing key events for an offer |
consumerprocurement.events.*
|
Consumer Procurement Order Administrator Beta( Allows managing purchases. |
billing.accounts.get billing.accounts.getIamPolicy billing.accounts.list billing. billing.credits.list billing. commerceoffercatalog.*
consumerprocurement.accounts.*
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.events.*
consumerprocurement.
consumerprocurement.orders.*
|
Consumer Procurement Order Viewer Beta( Allows inspecting purchases. |
billing.accounts.get billing.accounts.getIamPolicy billing.accounts.list billing.credits.list commerceoffercatalog.*
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.orders.get consumerprocurement. |
Consumer Procurement Administrator Beta( Allows managing purchases, consents at both billing account and project level. |
billing.accounts.get billing.accounts.getIamPolicy billing.accounts.list billing. billing.credits.list billing. commerceoffercatalog.*
consumerprocurement.*
orgpolicy.policy.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.operations.get serviceusage.services.disable serviceusage.services.enable serviceusage.services.get serviceusage.services.list |
Consumer Procurement Viewer Beta( Allows inspecting purchases, consents and entitlements and service states for a consumer project. |
billing.accounts.get billing.accounts.getIamPolicy billing.accounts.list billing.credits.list commerceoffercatalog.*
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.
consumerprocurement.
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.orders.get consumerprocurement. orgpolicy.policy.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list |
Concessione di ruoli IAM agli utenti
Secondo i ruoli nella tabella riportata sopra, i ruoli consumerprocurement.orderAdmin
e consumerprocurement.orderViewer
devono essere assegnati a livello di account di fatturazione, mentre i ruoli consumerprocurement.entitlementManager
e consumerprocurement.entitlementViewer
devono essere assegnati a livello di progetto o organizzazione.
Per concedere i ruoli agli utenti utilizzando gcloud
, esegui uno dei seguenti comandi:
organizzazione
Devi avere il ruolo resourcemanager.organizationAdmin
per assegnare ruoli a livello di organizzazione.
gcloud organizations add-iam-policy-binding organization-id \
--member=member --role=role-id
I valori segnaposto sono:
- organization-id: l'ID numerico dell'organizzazione per cui stai concedendo il ruolo.
- member: l'utente a cui stai concedendo l'accesso.
- role-id: l'ID del ruolo, dalla tabella precedente.
account di fatturazione
Devi avere il ruolo billing.admin
per assegnare ruoli a livello di account di fatturazione.
gcloud beta billing accounts set-iam-policy account-id \
policy-file
I valori segnaposto sono:
- account-id: l'ID del tuo account di fatturazione, che puoi trovare nella pagina Gestisci account di fatturazione.
- policy-file: un file di criteri IAM in formato JSON o YAML. Il file dei criteri deve contenere gli ID ruolo della tabella precedente e gli utenti a cui stai assegnando i ruoli.
progetto
Per assegnare ruoli a livello di progetto devi avere il ruolo resourcemanager.folderAdmin
.
gcloud projects add-iam-policy-binding project-id \
--member=member --role=role-id
I valori segnaposto sono:
- project-id: il progetto per cui stai concedendo il ruolo.
- member: l'utente a cui stai concedendo l'accesso.
- role-id: l'ID del ruolo, dalla tabella precedente.
Per concedere i ruoli agli utenti utilizzando la console Google Cloud, consulta la documentazione IAM su Concessione, modifica e revoca dell'accesso per gli utenti.
Utilizzo dei ruoli personalizzati con Cloud Marketplace
Se vuoi avere un controllo granulare sulle autorizzazioni che concedi agli utenti, puoi creare ruoli personalizzati con le autorizzazioni che vuoi concedere.
Se stai creando un ruolo personalizzato per gli utenti che acquistano servizi da Cloud Marketplace, il ruolo deve includere queste autorizzazioni per l'account di fatturazione che utilizzano per acquistare servizi:
billing.subscriptions.create
ebilling.accounts.get
, che in genere vengono concessi con il ruoloroles/billing.admin
.consumerprocurement.orders.get
, che in genere viene concesso con il ruoloroles/consumerprocurement.orderAdmin
.consumerprocurement.orders.list
, che in genere viene concesso con il ruoloroles/consumerprocurement.orderAdmin
.consumerprocurement.orders.place
, che in genere viene concesso con il ruoloroles/consumerprocurement.orderAdmin
.consumerprocurement.accounts.get
, che in genere viene concesso con il ruoloroles/consumerprocurement.orderAdmin
.consumerprocurement.accounts.list
, che in genere viene concesso con il ruoloroles/consumerprocurement.orderAdmin
.consumerprocurement.accounts.create
, che in genere viene concesso con il ruoloroles/consumerprocurement.orderAdmin
.
Accesso ai siti web dei partner con Single Sign-On (SSO)
Alcuni prodotti Marketplace supportano il Single Sign-On (SSO) al sito web esterno di un partner. Gli utenti autorizzati all'interno dell'organizzazione hanno accesso a un pulsante "GESTISCI SU PROVIDER" nella pagina dei dettagli del prodotto. Questo pulsante indirizza gli utenti al sito web del partner. In alcuni casi, agli utenti viene chiesto di accedere con Google. In altri casi, gli utenti hanno eseguito l'accesso in un contesto di account condiviso.
Per accedere alla funzionalità SSO, gli utenti devono accedere alla pagina dei dettagli del prodotto e selezionare un progetto appropriato. Il progetto deve essere collegato a un account di fatturazione in cui è stato acquistato il piano. Per maggiori dettagli sulla gestione dei piani Marketplace, vedi Gestione dei piani di fatturazione.
Inoltre, l'utente deve disporre di autorizzazioni IAM sufficienti all'interno del progetto selezionato. Per la maggior parte dei prodotti, attualmente è obbligatorio il roles/consumerprocurement.entitlementManager
(o il ruolo di base roles/editor
).
Autorizzazioni minime per prodotti specifici
I seguenti prodotti possono operare su un insieme diverso di autorizzazioni per accedere alle funzionalità SSO:
- Apache Kafka su Confluent Cloud
- DataStax Astra per Apache Cassandra
- "Elastic Cloud
- Neo4j Aura Professional
- Redis Enterprise Cloud
Per questi prodotti, puoi utilizzare le seguenti autorizzazioni minime:
consumerprocurement.entitlements.get
consumerprocurement.entitlements.list
serviceusage.services.get
serviceusage.services.list
resourcemanager.projects.get
Queste autorizzazioni vengono in genere concesse con i ruoli roles/consumerprocurement.entitlementManager
o roles/consumerprocurement.entitlementViewer
.