Controle de acesso para o Cloud Marketplace

Nesta página, descrevemos os papéis e permissões de gerenciamento de identidade e acesso (IAM) necessários para comprar e gerenciar soluções comerciais no Cloud Marketplace.

O IAM permite gerenciar o controle de acesso ao definir quem (identidade) tem qual acesso (papel) a que recurso. Para aplicativos comerciais no Cloud Marketplace, os usuários na sua organização do Google Cloud precisam de papéis do IAM para se inscrever em planos do Cloud Marketplace e fazer alterações nos planos de faturamento.

Antes de começar

  • Para conceder papéis e permissões do Cloud Marketplace usando gcloud, instale o SDK do Cloud. Caso contrário, conceda papéis usando o Console do Cloud.

Papéis do IAM para a compra e o gerenciamento de soluções

Recomendamos que você atribua o papel do IAM de administrador de faturamento (roles/billing.admin) aos usuários que estão comprando serviços do Cloud Marketplace.

Os usuários que querem acessar os serviços precisam ter, no mínimo, o papel de Leitor do projeto (roles/viewer).

Se precisar de um controle mais granular sobre as permissões dos usuários, crie papéis personalizados com as permissões que você quer conceder.

Lista de papéis e permissões do IAM

É possível conceder aos usuários um ou mais dos papéis do IAM a seguir. Dependendo do papel que você está concedendo aos usuários, também é necessário atribuir o papel a uma conta, organização ou projeto de faturamento do Google Cloud. Para detalhes, consulte a seção sobre Como conceder papéis do IAM aos usuários.

Papel Nome Descrição Permissões Menor recurso
roles/consumerprocurement.entitlementManager Gerente de direito de compra do consumidor Beta Permite gerenciar direitos e ativar, desativar e inspecionar estados de serviço em um projeto de consumidor.
  • consumerprocurement.entitlements.*
  • consumerprocurement.freeTrials.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.operations.get
  • serviceusage.services.disable
  • serviceusage.services.enable
  • serviceusage.services.get
  • serviceusage.services.list
roles/consumerprocurement.entitlementViewer Leitor de direito de compra do consumidor Beta Permite inspecionar direitos e estados de serviço para um projeto de consumidor.
  • consumerprocurement.entitlements.*
  • consumerprocurement.freeTrials.get
  • consumerprocurement.freeTrials.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list
roles/consumerprocurement.orderAdmin Administrador de pedidos de compras do consumidor Beta Permite gerenciar compras.
  • consumerprocurement.accounts.*
  • consumerprocurement.orders.*
roles/consumerprocurement.orderViewer Leitor de pedidos de compras do consumidor Beta Permite inspecionar compras.
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list

Como conceder papéis de IAM aos usuários

Com base nas funções na tabela acima, os papéis consumerprocurement.orderAdmin e consumerprocurement.orderViewer precisam ser atribuídos no nível da conta de faturamento ou da organização, e os papéis consumerprocurement.entitlementManager e consumerprocurement.entitlementViewer precisam ser atribuídos no nível do projeto ou da organização.

Para conceder papéis a usuários usando gcloud, execute um dos seguintes comandos:

Organização

Você precisa ter o papel resourcemanager.organizationAdmin para atribuir papéis no nível da organização.

gcloud organizations add-iam-policy-binding org-name \
--member=member --role=role-id

Os valores do marcador são:

  • org-name: a organização a que você está concedendo o papel.
  • member: o usuário a que você está concedendo acesso.
  • role-id: o ID do papel da tabela anterior.

Conta de faturamento

Você precisa ter o papel billing.admin para atribuir papéis no nível da conta de faturamento.

gcloud beta billing accounts set-iam-policy account-id \
policy-file

Os valores do marcador são:

Projeto

Você precisa ter o papel resourcemanager.folderAdmin para atribuir papéis no nível do projeto.

gcloud projects add-iam-policy-binding project-id \
--member=member --role=role-id

Os valores do marcador são:

  • project-id: o projeto que você está concedendo ao papel.
  • member: o usuário a que você está concedendo acesso.
  • role-id: o ID do papel da tabela anterior.

Para conceder papéis a usuários usando o Console do Cloud, consulte a documentação do IAM sobre Como conceder, alterar e revogar acesso a usuários.

Como usar papéis personalizados com o Cloud Marketplace

Para ter um controle granular sobre as permissões que você concede aos usuários, crie papéis personalizados com as permissões que você quer conceder.

Se você estiver criando um papel personalizado para usuários que compram serviços do Cloud Marketplace, o papel precisará incluir estas permissões: