Cloud Marketplace のアクセス制御

このページでは、Cloud Marketplace で商用プロダクトを購入して管理するために必要な Identity and Access Management（IAM）のロールと権限について説明します。

IAM では、誰（ID）がどのリソースに対してどのようなアクセス権（ロール）を持つかを定義することにより、アクセス制御を管理します。Cloud Marketplace 上の商用アプリの場合、Google Cloud 組織のユーザーは、Cloud Marketplace プランへの登録および料金プランの変更を行うために IAM ロールが必要です。

始める前に

gcloud を使用して Cloud Marketplace のロールと権限を付与するには、Cloud SDK をインストールします。それ以外の場合は、Cloud Console を使用してロールを付与できます。

プロダクトの購入と管理に必要な IAM のロール

Cloud Marketplace からサービスを購入するユーザーには、課金管理者（roles/billing.admin）IAM ロールを割り当てることをおすすめします。

サービスにアクセスするユーザーには、少なくともプロジェクト閲覧者（roles/viewer）のロールが必要です。

ユーザー権限をきめ細かく制御する必要がある場合は、付与する権限を使用してカスタムロールを作成できます。

IAM のロールと権限のリスト

次の IAM ロールの 1 つまたは複数をユーザーに付与できます。ユーザーに付与するロールに応じて、Google Cloud の請求先アカウント、組織、プロジェクトにもロールを割り当てる必要があります。詳細については、ユーザーに IAM ロールを付与するをご覧ください。

ロール	役職	説明	権限
`roles/commerceoffercatalog.offersViewer`	Commerce Offer Catalog クーポン閲覧者 ^{アルファ版}	オファーを表示をできます	commerceoffercatalog.*
`roles/commercepricemanagement.privateOffersAdmin`	Commerce Price Management Private Offers 管理者 ^{アルファ版}	プライベートオファーの管理を許可	commerceprice.* resourcemanager.projects.get resourcemanager.projects.list
`roles/commercepricemanagement.viewer`	Commerce Price Management 閲覧者 ^{アルファ版}	クーポン、無料試用、SKU を表示できます	commerceprice.privateoffers.get commerceprice.privateoffers.list resourcemanager.projects.get resourcemanager.projects.list
`roles/consumerprocurement.entitlementManager`	Consumer Procurement Entitlement 管理者^ベータ版	エンタイトルメントを管理し、コンシューマプロジェクトのサービス状態の有効化、無効化、検査を行うことができます。	consumerprocurement.entitlements.* consumerprocurement.freeTrials.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.operations.get serviceusage.services.disable serviceusage.services.enable serviceusage.services.get serviceusage.services.list
`roles/consumerprocurement.entitlementViewer`	Consumer Procurement Entitlement 閲覧者^ベータ版	ユーザープロジェクトのエンタイトルメントとサービスの状態を検査できます。	consumerprocurement.entitlements.* consumerprocurement.freeTrials.get consumerprocurement.freeTrials.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list
`roles/consumerprocurement.orderAdmin`	Consumer Procurement Order 管理者^ベータ版	購入を管理できます。	commerceoffercatalog.* consumerprocurement.accounts.* consumerprocurement.orders.*
`roles/consumerprocurement.orderViewer`	Consumer Procurement Order 閲覧者^ベータ版	購入を検査できます。	commerceoffercatalog.* consumerprocurement.accounts.get consumerprocurement.accounts.list consumerprocurement.orders.get consumerprocurement.orders.list

ユーザーに IAM ロールを付与する

前のテーブルのロールから、consumerprocurement.orderAdmin ロールと consumerprocurement.orderViewer ロールは請求先アカウントレベルまたは組織レベルで割り当てる必要があります。consumerprocurement.entitlementManager ロールと consumerprocurement.entitlementViewer ロールは、プロジェクトレベルまたは組織レベルで割り当てる必要があります。

gcloud を使用してユーザーにロールを付与するには、次のいずれかのコマンドを実行します。

組織

組織レベルでロールを割り当てるには、resourcemanager.organizationAdmin が必要です。

gcloud organizations add-iam-policy-binding org-name \
--member=member --role=role-id

プレースホルダの値は次のとおりです。

org-name: ロールが付与される組織。
member: アクセス権が付与されるユーザー。
role-id: 前のテーブルからのロール ID。

請求先アカウント

請求先アカウントレベルでロールを割り当てるには、billing.admin が必要です。

gcloud beta billing accounts set-iam-policy account-id \
policy-file

プレースホルダの値は次のとおりです。

account-id: 請求先アカウント ID。[請求先アカウントの管理] ページで取得できます。
policy-file: JSON または YAML 形式の IAM ポリシーファイル。ポリシーファイルには、前のテーブルのロール ID と、ロールを割り当てるユーザーが含まれている必要があります。

プロジェクト

プロジェクトレベルでロールを割り当てるには、resourcemanager.folderAdmin が必要です。

gcloud projects add-iam-policy-binding project-id \
--member=member --role=role-id

プレースホルダの値は次のとおりです。

project-id: ロールが付与されるプロジェクト。
member: アクセス権が付与されるユーザー。
role-id: 前のテーブルからのロール ID。

Cloud Console を使用してユーザーにロールを付与するには、ユーザーのアクセス権の付与、変更、取り消しに関する IAM ドキュメントをご覧ください。

Cloud Marketplace でのカスタムロールの使用

ユーザーに付与する権限を細かく制御するには、付与したい権限のみを持つカスタムロールを作成します。

Cloud Marketplace からサービスを購入するユーザー用のカスタムロールを作成する場合、ロールには次の権限を含める必要があります。

billing.subscriptions.create と billing.accounts.get。通常は roles/billing.admin ロールで付与されます。
consumerprocurement.orders.place（通常、roles/consumerprocurement.orderAdmin ロールに付与されます）。
consumerprocurement.accounts.create（通常、roles/consumerprocurement.orderAdmin ロールに付与されます）。