Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) und Berechtigungen beschrieben, die Sie zum Kauf und zur Verwaltung kommerzieller Produkte in Cloud Marketplace benötigen.
Mit IAM verwalten Sie die Zugriffssteuerung. Sie legen fest, wer (Identität) welchen Zugriff (Rolle) auf welche Ressource hat. Bei kommerziellen Anwendungen auf Cloud Marketplace benötigen Nutzer in Ihrer Google Cloud-Organisation IAM-Rollen, um sich für Cloud Marketplace-Pläne anzumelden und Änderungen an Abrechnungstarifen vorzunehmen.
- Weitere Informationen zur Abrechnungsverwaltung für Cloud Marketplace-Produkte
- Weitere Informationen zu den Faktoren, die sich auf Ihre Rechnung auswirken
- Grundlegende Konzepte von IAM
- Hierarchie von Google Cloud-Ressourcen
Hinweise
- Installieren Sie die gcloud CLI, um Cloud Marketplace-Rollen und ‑Berechtigungen mit
gcloud
zu gewähren. Andernfalls können Sie Rollen mithilfe der Google Cloud Console zuweisen.
IAM-Rollen zum Kaufen und Verwalten von Produkten
Wir empfehlen, die IAM-Rolle Abrechnungskontoadministrator Nutzern zuzuweisen, die Dienste aus Cloud Marketplace kaufen.
Nutzer, die auf die Dienste zugreifen möchten, müssen mindestens die Rolle Betrachter haben.
Wenn Sie die Berechtigungen der Nutzer genauer steuern möchten, können Sie benutzerdefinierte Rollen erstellen, deren Berechtigungen Sie erteilen möchten.
Produktspezifische Anforderungen
Wenn Sie die folgenden Dienste in einem Google Cloud-Projekt verwenden möchten, benötigen Sie die Rolle Project Editor (Projektbearbeiter):
- Google Cloud Dataprep von Trifacta
- Neo4j Aura Professional
Liste der IAM-Rollen und -Berechtigungen
Sie können Nutzern eine oder mehrere der folgenden IAM-Rollen zuweisen. Abhängig von der Rolle, die Sie Nutzern zuweisen, müssen Sie die Rolle auch einem Google Cloud-Rechnungskonto, einer Organisation oder einem Projekt zuweisen. Weitere Informationen finden Sie unter Nutzern IAM-Rollen zuweisen.
Rolle | Berechtigungen |
---|---|
Administrator von Konfigurationen für Commerce Business Enablement Beta( Administrator von Konfigurationsressourcen für verschiedene Anbieter |
commercebusinessenablement.
commercebusinessenablement.
commercebusinessenablement. commercebusinessenablement. resourcemanager. resourcemanager.projects.get resourcemanager.projects.list |
Commerce Business Enablement PaymentConfig-Administrator Beta( Administration der Zahlungskonfigurationsressource |
commercebusinessenablement.
resourcemanager.projects.get resourcemanager.projects.list |
Commerce Business Enablement PaymentConfig-Betrachter Beta( Betrachter der Zahlungskonfigurationsressource |
commercebusinessenablement. resourcemanager.projects.get resourcemanager.projects.list |
Commerce Business Enablement Reseller Discount Admin Beta( Gewährt Administratorzugriff auf Reseller-Rabattangebote |
commercebusinessenablement.
commercebusinessenablement. commercebusinessenablement.
commercebusinessenablement.
resourcemanager. resourcemanager.projects.get resourcemanager.projects.list |
Commerce Business Enablement Reseller Discount Viewer Beta( Gewährt Lesezugriff auf Reseller-Rabattangebote |
commercebusinessenablement.
commercebusinessenablement. commercebusinessenablement. commercebusinessenablement. resourcemanager. resourcemanager.projects.get resourcemanager.projects.list |
Betrachter von Konfigurationen für Commerce Business EnablementBeta( Betrachter der Konfigurationsressource für verschiedene Anbieter |
commercebusinessenablement.
commercebusinessenablement.
commercebusinessenablement. commercebusinessenablement. resourcemanager. resourcemanager.projects.get resourcemanager.projects.list |
Betrachter von Katalogangeboten für Händler Beta( Ermöglicht das Aufrufen von Angeboten |
commerceoffercatalog.*
|
Commerce Organization Governance-Administrator Beta( Vollständiger Zugriff auf Organization Governance APIs |
commerceorggovernance.*
resourcemanager.projects.get resourcemanager.projects.list |
Commerce Organization Governance-Betrachter Beta( Vollständiger Zugriff auf schreibgeschützte Organization Governance APIs. |
commerceorggovernance. commerceorggovernance. commerceorggovernance. commerceorggovernance. commerceorggovernance. resourcemanager.projects.get resourcemanager.projects.list |
Betrachter von Handelspreisverwaltungs-Ereignissen Beta( Berechtigung zum Ansehen wichtiger Ereignisse für ein Angebot |
commerceprice.events.*
resourcemanager.projects.get resourcemanager.projects.list |
Administrator von Private Offers-Handelspreisverwaltung Beta( Lässt das Verwalten von Private Offers zu |
commerceprice.*
resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list |
Betrachter von Handelspreisverwaltung Beta( Ermöglicht die Anzeige von Angeboten, kostenlosen Testversionen und Artikelnummern |
commerceprice. commerceprice. resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list |
Commerce Producer-Administrator Beta( Gewährt vollständigen Zugriff auf alle Ressourcen in der Cloud Commerce Producer API. |
commercebusinessenablement. resourcemanager.projects.get resourcemanager.projects.list |
Commerce Producer-Betrachter Beta( Gewährt Lesezugriff auf alle Ressourcen in der Cloud Commerce Producer API. |
commercebusinessenablement. resourcemanager.projects.get resourcemanager.projects.list |
Manager von Nutzer-Beschaffungsberechtigungen Beta( Ermöglicht es, Berechtigungen zu verwalten sowie Dienststatus für ein Nutzerprojekt zu aktivieren, zu deaktivieren und zu prüfen. |
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.
consumerprocurement.
consumerprocurement.
orgpolicy.policy.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.operations.get serviceusage.services.disable serviceusage.services.enable serviceusage.services.get serviceusage.services.list |
Betrachter von Nutzer-Beschaffungsberechtigungen Beta( Ermöglicht es, Berechtigungen und Dienststatus für ein Nutzerprojekt zu prüfen. |
consumerprocurement. consumerprocurement.
consumerprocurement.
consumerprocurement. consumerprocurement. orgpolicy.policy.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list |
Betrachter von Nutzer-Beschaffungsereignissen Beta( Berechtigung zum Ansehen wichtiger Ereignisse für ein Angebot |
consumerprocurement.events.*
|
Administrator von Nutzer-Beschaffungsaufträgen Beta( Ermöglicht es, Käufe zu verwalten. |
billing.accounts.get billing.accounts.getIamPolicy billing.accounts.list billing. billing.credits.list billing. commerceoffercatalog.*
consumerprocurement.accounts.*
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.events.*
consumerprocurement.
consumerprocurement.orders.*
|
Betrachter von Nutzer-Beschaffungsaufträgen Beta( Ermöglicht es, Käufe zu prüfen. |
billing.accounts.get billing.accounts.getIamPolicy billing.accounts.list billing.credits.list commerceoffercatalog.*
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.orders.get consumerprocurement. |
Administrator von Nutzer-Beschaffungen Beta( Ermöglicht es, Käufe und Einwilligungen sowohl auf Rechnungskonto- als auch auf Projektebene zu verwalten. |
billing.accounts.get billing.accounts.getIamPolicy billing.accounts.list billing. billing.credits.list billing. commerceoffercatalog.*
consumerprocurement.*
orgpolicy.policy.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.operations.get serviceusage.services.disable serviceusage.services.enable serviceusage.services.get serviceusage.services.list |
Betrachter von Nutzer-Beschaffungen Beta( Ermöglicht die Überprüfung von Käufen, Einwilligungen und Berechtigungen sowie Dienststatus für ein Nutzerprojekt. |
billing.accounts.get billing.accounts.getIamPolicy billing.accounts.list billing.credits.list commerceoffercatalog.*
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.
consumerprocurement.
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.orders.get consumerprocurement. orgpolicy.policy.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list |
Nutzern IAM-Rollen zuweisen
Aus den Rollen der Tabelle oben müssen die Rollen consumerprocurement.orderAdmin
und consumerprocurement.orderViewer
auf Rechnungskonto- oder Organisationsebene und die Rollen consumerprocurement.entitlementManager
und consumerprocurement.entitlementViewer
auf Projekt- oder Organisationsebene zugewiesen werden.
Führen Sie einen der folgenden Befehle aus, um Nutzern mit gcloud
Rollen zuzuweisen:
Organisation
Sie benötigen die Rolle resourcemanager.organizationAdmin
, um Rollen auf Organisationsebene zuzuweisen.
gcloud organizations add-iam-policy-binding organization-id \
--member=member --role=role-id
Die Platzhalterwerte sind:
- organization-id: Die numerische ID der Organisation, der Sie die Rolle zuweisen.
- member: Der Nutzer, dem Sie Zugriff gewähren.
- role-id: Die Rollen-ID aus der vorherigen Tabelle.
Rechnungskonto
Sie benötigen die Rolle billing.admin
, um Rollen auf Rechnungskonto-Ebene zuzuweisen.
gcloud beta billing accounts set-iam-policy account-id \
policy-file
Die Platzhalterwerte sind:
- account-id: Ihre Rechnungskonto-ID, die Sie auf der Seite Rechnungskonten verwalten abrufen können.
- policy-file: Eine IAM-Richtliniendatei im JSON- oder YAML-Format. Die Richtliniendatei muss die Rollen-IDs aus der vorherigen Tabelle und die Nutzer enthalten, denen Sie die Rollen zuweisen.
Projekt
Sie benötigen die Rolle resourcemanager.folderAdmin
, um Rollen auf Projektebene zuzuweisen.
gcloud projects add-iam-policy-binding project-id \
--member=member --role=role-id
Die Platzhalterwerte sind:
- project-id: Das Projekt, dem Sie die Rolle zuweisen.
- member: Der Nutzer, dem Sie Zugriff gewähren.
- role-id: Die Rollen-ID aus der vorherigen Tabelle.
Informationen zum Zuweisen von Rollen für Nutzer mit der Google Cloud Console finden Sie in der IAM-Dokumentation unter Nutzern Zugriff auf Ressourcen erteilen, ändern und entziehen.
Benutzerdefinierte Rollen mit Cloud Marketplace verwenden
Wenn Sie die Berechtigungen, die Sie Nutzern gewähren, genau steuern möchten, können Sie benutzerdefinierte Rollen mit den gewünschten Berechtigungen erstellen.
Wenn Sie eine benutzerdefinierte Rolle für Nutzer erstellen, die Dienste in Cloud Marketplace erwerben, muss die Rolle die folgenden Berechtigungen für das Abrechnungskonto enthalten, mit dem sie Dienste erwerben:
billing.accounts.get
, wird normalerweise mit der Rolleroles/consumerprocurement.orderAdmin
zugewiesen.consumerprocurement.orders.get
, wird normalerweise mit der Rolleroles/consumerprocurement.orderAdmin
zugewiesen.consumerprocurement.orders.list
, wird normalerweise mit der Rolleroles/consumerprocurement.orderAdmin
zugewiesen.consumerprocurement.orders.place
, wird normalerweise mit der Rolleroles/consumerprocurement.orderAdmin
zugewiesen.consumerprocurement.accounts.get
, wird normalerweise mit der Rolleroles/consumerprocurement.orderAdmin
zugewiesen.consumerprocurement.accounts.list
, wird normalerweise mit der Rolleroles/consumerprocurement.orderAdmin
zugewiesen.consumerprocurement.accounts.create
, wird normalerweise mit der Rolleroles/consumerprocurement.orderAdmin
zugewiesen.
Auf Partner-Websites mit Einmalanmeldung (SSO) zugreifen
Bestimmte Marketplace-Produkte unterstützen die Einmalanmeldung (SSO) auf der externen Website eines Partners. Autorisierte Nutzer innerhalb der Organisation haben auf der Produktdetailseite Zugriff auf die Schaltfläche "BEI PROVIDER VERWALTEN". Mit dieser Schaltfläche werden Nutzer auf die Website des Partners weitergeleitet. In einigen Fällen werden Nutzer aufgefordert, sich über Google anzumelden. In anderen Fällen werden die Nutzer in einem gemeinsamen Kontokontext angemeldet.
Für den Zugriff auf die SSO-Funktion rufen Nutzer die Detailseite des Produkts auf und wählen ein geeignetes Projekt aus. Das Projekt muss mit einem Rechnungskonto verknüpft sein, für das der Tarif erworben wurde. Weitere Informationen zur Verwaltung von Marketplace-Abos finden Sie unter Abrechnungstarife verwalten.
Darüber hinaus muss der Nutzer im ausgewählten Projekt ausreichende IAM-Berechtigungen haben. Für die meisten Produkte ist derzeit die roles/consumerprocurement.entitlementManager
(oder die roles/editor
einfache Rolle) erforderlich.
Minimale Berechtigungen für bestimmte Produkte
Die folgenden Produkte können mit unterschiedlichen Berechtigungen arbeiten, um auf SSO-Funktionen zuzugreifen:
- Apache Kafka in Confluent Cloud
- DataStax Astra für Apache Cassandra
- Elastic Cloud
- Neo4j Aura Professional
- Redis Enterprise Cloud
Für diese Produkte können Sie die folgenden minimalen Berechtigungen verwenden:
consumerprocurement.entitlements.get
consumerprocurement.entitlements.list
serviceusage.services.get
serviceusage.services.list
resourcemanager.projects.get
Diese Berechtigungen werden normalerweise mit den Rollen roles/consumerprocurement.entitlementManager
oder roles/consumerprocurement.entitlementViewer
erteilt.