Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) und Berechtigungen beschrieben, die Sie zum Kauf und zur Verwaltung kommerzieller Produkte in Cloud Marketplace benötigen.
Mit IAM verwalten Sie die Zugriffssteuerung. Sie legen fest, wer (Identität) welchen Zugriff (Rolle) auf welche Ressource hat. Bei kommerziellen Anwendungen auf Cloud Marketplace benötigen Nutzer in Ihrer Google Cloud Organisation IAM-Rollen, um sich für Cloud Marketplace-Pläne anzumelden und Änderungen an Abrechnungstarifen vorzunehmen.
- Weitere Informationen zur Abrechnungsverwaltung für Cloud Marketplace-Produkte
- Weitere Informationen zu den Faktoren, die sich auf Ihre Rechnung auswirken
- Grundlegende Konzepte von IAM
- Weitere Informationen zur Hierarchie von Google Cloud Ressourcen
Hinweise
- Installieren Sie die gcloud CLI, um Cloud Marketplace-Rollen und ‑Berechtigungen mit
gcloudzu gewähren. Andernfalls können Sie Rollen mithilfe der Google Cloud -Konsole zuweisen.
IAM-Rollen zum Kaufen und Verwalten von Produkten
Wir empfehlen, die IAM-Rolle Abrechnungskontoadministrator Nutzern zuzuweisen, die Dienste aus Cloud Marketplace kaufen.
Nutzer, die auf die Dienste zugreifen möchten, müssen mindestens die Rolle Betrachter haben.
Wenn Sie die Berechtigungen der Nutzer genauer steuern möchten, können Sie benutzerdefinierte Rollen erstellen, deren Berechtigungen Sie erteilen möchten.
Produktspezifische Anforderungen
Wenn Sie die folgenden Dienste in einem Google Cloud Projekt verwenden möchten, benötigen Sie die Rolle Projektbearbeiter:
- Google Cloud Dataprep von Trifacta
- Neo4j Aura Professional
Liste der IAM-Rollen und -Berechtigungen
Sie können Nutzern eine oder mehrere der folgenden IAM-Rollen zuweisen. Abhängig von der Rolle, die Sie Nutzern zuweisen, müssen Sie die Rolle auch einem Google Cloud Rechnungskonto, einer Organisation oder einem Projekt zuweisen. Weitere Informationen finden Sie unter Nutzern IAM-Rollen zuweisen.
| Role | Permissions |
|---|---|
Commerce Business Enablement Configuration Admin Beta( Admin of Various Provider Configuration resources |
|
Commerce Business Enablement PaymentConfig Admin Beta( Administration of Payment Configuration resource |
|
Commerce Business Enablement PaymentConfig Viewer Beta( Viewer of Payment Configuration resource |
|
Commerce Business Enablement Rebates Admin Beta( Provides admin access to rebates |
|
Commerce Business Enablement Rebates Viewer Beta( Provides read-only access to rebates |
|
Commerce Business Enablement Reseller Discount Admin Beta( Provides admin access to reseller discount offers |
|
Commerce Business Enablement Reseller Discount Viewer Beta( Provides read-only access to reseller discount offers |
|
Commerce Business Enablement Configuration Viewer Beta( Viewer of Various Provider Configuration resource |
|
Nutzern IAM-Rollen zuweisen
Aus den Rollen der Tabelle oben müssen die Rollen consumerprocurement.orderAdmin und consumerprocurement.orderViewer auf Rechnungskonto- oder Organisationsebene und die Rollen consumerprocurement.entitlementManager und consumerprocurement.entitlementViewer auf Projekt- oder Organisationsebene zugewiesen werden.
Führen Sie einen der folgenden Befehle aus, um Nutzern mit gcloud Rollen zuzuweisen:
Organisation
Sie benötigen die Rolle resourcemanager.organizationAdmin, um Rollen auf Organisationsebene zuzuweisen.
gcloud organizations add-iam-policy-binding organization-id \
--member=member --role=role-id
Die Platzhalterwerte sind:
- organization-id: Die numerische ID der Organisation, der Sie die Rolle zuweisen.
- member: Der Nutzer, dem Sie Zugriff gewähren.
- role-id: Die Rollen-ID aus der vorherigen Tabelle.
Rechnungskonto
Sie benötigen die Rolle billing.admin, um Rollen auf Rechnungskonto-Ebene zuzuweisen.
gcloud beta billing accounts set-iam-policy account-id \
policy-file
Die Platzhalterwerte sind:
- account-id: Ihre Rechnungskonto-ID, die Sie auf der Seite Rechnungskonten verwalten abrufen können.
- policy-file: Eine IAM-Richtliniendatei im JSON- oder YAML-Format. Die Richtliniendatei muss die Rollen-IDs aus der vorherigen Tabelle und die Nutzer enthalten, denen Sie die Rollen zuweisen.
Projekt
Sie benötigen die Rolle resourcemanager.folderAdmin, um Rollen auf Projektebene zuzuweisen.
gcloud projects add-iam-policy-binding project-id \
--member=member --role=role-id
Die Platzhalterwerte sind:
- project-id: Das Projekt, dem Sie die Rolle zuweisen.
- member: Der Nutzer, dem Sie Zugriff gewähren.
- role-id: Die Rollen-ID aus der vorherigen Tabelle.
Informationen zum Zuweisen von Rollen für Nutzer mit der Google Cloud Console finden Sie in der IAM-Dokumentation unter Nutzern Zugriff auf Ressourcen erteilen, ändern und entziehen.
Benutzerdefinierte Rollen mit Cloud Marketplace verwenden
Wenn Sie die Berechtigungen, die Sie Nutzern gewähren, genau steuern möchten, können Sie benutzerdefinierte Rollen mit den gewünschten Berechtigungen erstellen.
Wenn Sie eine benutzerdefinierte Rolle für Nutzer erstellen, die Dienste in Cloud Marketplace erwerben, muss die Rolle die folgenden Berechtigungen für das Abrechnungskonto enthalten, mit dem sie Dienste erwerben:
billing.accounts.get, wird normalerweise mit der Rolleroles/consumerprocurement.orderAdminzugewiesen.consumerprocurement.orders.get, wird normalerweise mit der Rolleroles/consumerprocurement.orderAdminzugewiesen.consumerprocurement.orders.list, wird normalerweise mit der Rolleroles/consumerprocurement.orderAdminzugewiesen.consumerprocurement.orders.place, wird normalerweise mit der Rolleroles/consumerprocurement.orderAdminzugewiesen.consumerprocurement.accounts.get, wird normalerweise mit der Rolleroles/consumerprocurement.orderAdminzugewiesen.consumerprocurement.accounts.list, wird normalerweise mit der Rolleroles/consumerprocurement.orderAdminzugewiesen.consumerprocurement.accounts.create, wird normalerweise mit der Rolleroles/consumerprocurement.orderAdminzugewiesen.
Auf Partner-Websites mit Einmalanmeldung (SSO) zugreifen
Bestimmte Marketplace-Produkte unterstützen die Einmalanmeldung (SSO) auf der externen Website eines Partners. Autorisierte Nutzer innerhalb der Organisation haben auf der Produktdetailseite Zugriff auf die Schaltfläche "BEI PROVIDER VERWALTEN". Mit dieser Schaltfläche werden Nutzer auf die Website des Partners weitergeleitet. In einigen Fällen werden Nutzer aufgefordert, sich über Google anzumelden. In anderen Fällen werden die Nutzer in einem gemeinsamen Kontokontext angemeldet.
Für den Zugriff auf die SSO-Funktion rufen Nutzer die Detailseite des Produkts auf und wählen ein geeignetes Projekt aus. Das Projekt muss mit einem Rechnungskonto verknüpft sein, für das der Tarif erworben wurde. Weitere Informationen zur Verwaltung von Marketplace-Abos finden Sie unter Abrechnungstarife verwalten.
Darüber hinaus muss der Nutzer im ausgewählten Projekt ausreichende IAM-Berechtigungen haben. Für die meisten Produkte ist derzeit die roles/consumerprocurement.entitlementManager (oder die roles/editor
einfache Rolle) erforderlich.
Minimale Berechtigungen für bestimmte Produkte
Die folgenden Produkte können mit unterschiedlichen Berechtigungen arbeiten, um auf SSO-Funktionen zuzugreifen:
- Apache Kafka in Confluent Cloud
- DataStax Astra für Apache Cassandra
- Elastic Cloud
- Neo4j Aura Professional
- Redis Enterprise Cloud
Für diese Produkte können Sie die folgenden minimalen Berechtigungen verwenden:
consumerprocurement.entitlements.getconsumerprocurement.entitlements.listserviceusage.services.getserviceusage.services.listresourcemanager.projects.get
Diese Berechtigungen werden normalerweise mit den Rollen roles/consumerprocurement.entitlementManager oder roles/consumerprocurement.entitlementViewer erteilt.