En esta página, se describen las funciones y los permisos de Identity and Access Management (IAM) que necesitas para comprar y administrar soluciones comerciales en Cloud Marketplace.
Para administrar el control de acceso con la IAM, define quién (identidad) tiene qué acceso (función) a qué recurso. En el caso de las apps comerciales de Cloud Marketplace, los usuarios de tu organización de Google Cloud necesitan funciones de IAM para registrarse en los planes de Cloud Marketplace y realizar cambios en los planes de facturación.
- Obtén más información sobre cómo administrar la facturación de los productos de Cloud Marketplace.
- Obtén información sobre los factores que afectan tu factura.
- Obtén más información sobre los conceptos básicos de IAM.
- Obtén información sobre la jerarquía de los recursos de Google Cloud.
Antes de comenzar
- Para otorgar roles y permisos de Cloud Marketplace con
gcloud
, instala la CLI de gcloud. De lo contrario, puedes otorgar roles con la consola de Google Cloud.
Funciones de IAM para la compra y la administración de productos
Te recomendamos que asignes el rol de IAM de Administrador de la cuenta de facturación a los usuarios que compran servicios desde Cloud Marketplace.
Los usuarios que quieran acceder a los servicios deben tener, como mínimo, el rol de visualizador.
Para tener un control más detallado sobre los permisos de los usuarios, puedes crear funciones personalizadas con los permisos que deseas otorgar.
Requisitos específicos del producto
Para usar los siguientes servicios en un proyecto de Google Cloud, debes tener el rol de Editor de proyectos:
- Google Cloud Dataprep de Trifacta
- Neo4j Aura Professional
Lista de funciones y permisos de IAM
Puedes otorgar a los usuarios una o más de las siguientes funciones de IAM. Según la función que les otorgues a los usuarios, también debes asignarla a un proyecto, organización cuenta de Facturación de Google Cloud. Para obtener más detalles, consulta la sección sobre Otorga funciones de IAM a los usuarios.
Función | Permisos |
---|---|
Administrador de configuración para la habilitación de la actividad comercial Beta( Puede administrar varios recursos de configuración del proveedor |
commercebusinessenablement.
commercebusinessenablement.
commercebusinessenablement. commercebusinessenablement. resourcemanager. resourcemanager.projects.get resourcemanager.projects.list |
Administrador de PaymentConfig para la habilitación de la actividad comercial Beta( Administración del recurso de configuración de pago |
commercebusinessenablement.
resourcemanager.projects.get resourcemanager.projects.list |
Visualizador de PaymentConfig para la habilitación de la actividad comercial Beta( Puede visualizar los recursos de configuración de pagos. |
commercebusinessenablement. resourcemanager.projects.get resourcemanager.projects.list |
Administrador de descuentos para revendedores para la habilitación empresas de comercio beta( Proporciona acceso de administrador a las ofertas de descuento de revendedores. |
commercebusinessenablement.
commercebusinessenablement. commercebusinessenablement.
commercebusinessenablement.
resourcemanager. resourcemanager.projects.get resourcemanager.projects.list |
Visualizador de descuentos para revendedores para la habilitación de empresas de comercio beta( Proporciona acceso de solo lectura a ofertas de descuentos de revendedores. |
commercebusinessenablement.
commercebusinessenablement. commercebusinessenablement. commercebusinessenablement. resourcemanager. resourcemanager.projects.get resourcemanager.projects.list |
Visualizador de configuración para la habilitación de la actividad comercial Beta( Puede ver varios recursos de la configuración del proveedor |
commercebusinessenablement.
commercebusinessenablement.
commercebusinessenablement. commercebusinessenablement. resourcemanager. resourcemanager.projects.get resourcemanager.projects.list |
Visualizador de ofertas del catálogo de ofertas de comercio Beta( Permite ver ofertas |
commerceoffercatalog.*
|
Administrador de la administración de la organización de comercio Beta( Acceso completo a las API de administración de la organización |
commerceorggovernance.*
resourcemanager.projects.get resourcemanager.projects.list |
Visualizador de la administración de la organización de comercio Beta( Acceso completo a las API de solo lectura de la administración de la organización. |
commerceorggovernance. commerceorggovernance. commerceorggovernance. commerceorggovernance. commerceorggovernance. resourcemanager.projects.get resourcemanager.projects.list |
Visualizador de eventos de administración de precios de comercio Beta( Permite ver los eventos clave de una oferta |
commerceprice.events.*
resourcemanager.projects.get resourcemanager.projects.list |
Administrador de ofertas privadas de administración de precios de comercio Beta( Permite administrar ofertas privadas |
commerceprice.*
resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list |
Visualizador de administración de precios de comercio Beta( Permite ver ofertas, pruebas gratuitas y SKU |
commerceprice. commerceprice. resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list |
Administrador de Commerce Producer Beta( Otorga acceso completo a todos los recursos de la API de Cloud Commerce Producer. |
commercebusinessenablement. resourcemanager.projects.get resourcemanager.projects.list |
Visualizador de Commerce Producer Beta( Otorga acceso de lectura a todos los recursos de la API de Cloud Commerce Producer. |
commercebusinessenablement. resourcemanager.projects.get resourcemanager.projects.list |
Administrador de autorizaciones de adquisición de consumidores Beta( Permite administrar autorizaciones y habilitar, inhabilitar e inspeccionar estados de servicio para un proyecto de consumidor. |
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.
consumerprocurement.
consumerprocurement.
orgpolicy.policy.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.operations.get serviceusage.services.disable serviceusage.services.enable serviceusage.services.get serviceusage.services.list |
Visualizador de autorizaciones de adquisición de consumidores Beta( Permite inspeccionar autorizaciones y estados de servicio para un proyecto de consumidor. |
consumerprocurement. consumerprocurement.
consumerprocurement.
consumerprocurement. consumerprocurement. orgpolicy.policy.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list |
Visualizador de eventos de adquisición de consumidores Beta( Permite ver los eventos clave de una oferta |
consumerprocurement.events.*
|
Administrador de pedidos de adquisición de consumidores Beta( Permite administrar las compras. |
billing.accounts.get billing.accounts.getIamPolicy billing.accounts.list billing. billing.credits.list billing. commerceoffercatalog.*
consumerprocurement.accounts.*
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.events.*
consumerprocurement.
consumerprocurement.orders.*
|
Visualizador de pedidos de adquisición de consumidores Beta( Permite inspeccionar las compras. |
billing.accounts.get billing.accounts.getIamPolicy billing.accounts.list billing.credits.list commerceoffercatalog.*
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.orders.get consumerprocurement. |
Administrador de adquisición de consumidores Beta( Permite administrar compras y consentimientos a nivel de la cuenta de facturación y del proyecto. |
billing.accounts.get billing.accounts.getIamPolicy billing.accounts.list billing. billing.credits.list billing. commerceoffercatalog.*
consumerprocurement.*
orgpolicy.policy.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.operations.get serviceusage.services.disable serviceusage.services.enable serviceusage.services.get serviceusage.services.list |
Visualizador de adquisición de consumidores Beta( Permite inspeccionar compras, consentimientos y autorizaciones, y estados de servicio para un proyecto de consumidor. |
billing.accounts.get billing.accounts.getIamPolicy billing.accounts.list billing.credits.list commerceoffercatalog.*
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.
consumerprocurement.
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.orders.get consumerprocurement. orgpolicy.policy.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list |
Otorga funciones de IAM a los usuarios
A partir de las funciones en la tabla anterior, las funciones consumerprocurement.orderAdmin
y consumerprocurement.orderViewer
se deben asignar a nivel de la organización o de la organización, y las funciones consumerprocurement.entitlementManager
y consumerprocurement.entitlementViewer
se deben asignar a nivel de proyecto o de la organización.
Para otorgar funciones a los usuarios con gcloud
, ejecuta uno de los siguientes comandos:
Organización
Debes tener la función resourcemanager.organizationAdmin
para asignar funciones a nivel de organización.
gcloud organizations add-iam-policy-binding organization-id \
--member=member --role=role-id
Los valores de marcador de posición son los siguientes:
- organization-id: Es el ID numérico de la organización a la que le otorgas el rol.
- member: es el usuario al que le otorgas el acceso.
- role-id: es el ID de la función, que se encuentra en la siguiente tabla.
Cuenta de facturación
Debes tener la función billing.admin
para asignar funciones a nivel de cuenta de facturación.
gcloud beta billing accounts set-iam-policy account-id \
policy-file
Los valores de marcador de posición son los siguientes:
- account-id: es el ID de la cuenta de facturación, que puedes obtener en la página de administración de cuentas de facturación.
- policy-file: es un archivo de política de IAM, en formato JSON o YAML. El archivo de políticas debe contener los ID de la funciones de la siguiente tabla y los usuarios a los que les asignas las funciones.
Proyecto
Debes tener la función resourcemanager.folderAdmin
para asignar funciones a nivel de proyecto.
gcloud projects add-iam-policy-binding project-id \
--member=member --role=role-id
Los valores de marcador de posición son los siguientes:
- project-id: es el proyecto al que le otorgas la función.
- member: es el usuario al que le otorgas el acceso.
- role-id: es el ID de la función, que se encuentra en la siguiente tabla.
Para otorgar roles a los usuarios mediante la consola de Google Cloud, consulta la documentación de IAM Otorga, cambia y revoca el acceso a los usuarios.
Usa funciones personalizadas con Cloud Marketplace
Si deseas tener un control detallado de los permisos que otorgas a los usuarios, puedes crear funciones personalizadas con los permisos que deseas otorgar.
Si creas un rol personalizado para usuarios que compran servicios desde Cloud Marketplace, este debe incluir los siguientes permisos para la cuenta de facturación que usan para comprar servicios:
billing.accounts.get
, que suele otorgarse con la funciónroles/consumerprocurement.orderAdmin
consumerprocurement.orders.get
, que suele otorgarse con la funciónroles/consumerprocurement.orderAdmin
consumerprocurement.orders.list
, que suele otorgarse con la funciónroles/consumerprocurement.orderAdmin
consumerprocurement.orders.place
, que suele otorgarse con la funciónroles/consumerprocurement.orderAdmin
consumerprocurement.accounts.get
, que suele otorgarse con la funciónroles/consumerprocurement.orderAdmin
consumerprocurement.accounts.list
, que suele otorgarse con la funciónroles/consumerprocurement.orderAdmin
consumerprocurement.accounts.create
, que suele otorgarse con la funciónroles/consumerprocurement.orderAdmin
Cómo acceder a los sitios web de los socios con el inicio de sesión único (SSO)
Ciertos productos de Marketplace admiten el inicio de sesión único (SSO) en el sitio web externo de un socio. Los usuarios autorizados de la organización tienen acceso al botón "ADMINISTRAR EN EL PROVEEDOR" en la página de detalles del producto. Este botón dirige a los usuarios al sitio web del socio. En algunos casos, se les solicita a los usuarios que accedan con Google. En otros casos, los usuarios acceden en un contexto de cuenta compartida.
Para acceder a la función de SSO, los usuarios navegan a la página de detalles del producto y seleccionan un proyecto adecuado. El proyecto debe estar vinculado a una cuenta de facturación en la que se haya comprado el plan. Para obtener más información sobre la administración de planes de Marketplace, consulta Administra los planes de facturación.
Además, el usuario debe tener permisos de IAM suficientes en el proyecto seleccionado. Actualmente, para la mayoría de los productos, se requiere el rol básico roles/consumerprocurement.entitlementManager
(o roles/editor
).
Permisos mínimos para productos específicos
Los siguientes productos pueden operar en un conjunto diferente de permisos para acceder a las funciones de SSO:
- Apache Kafka en Confluent Cloud
- DataStax Astra para Apache Cassandra
- Elastic Cloud
- Neo4j Aura Professional
- Redis Enterprise Cloud
Para estos productos, puedes usar los siguientes permisos mínimos:
consumerprocurement.entitlements.get
consumerprocurement.entitlements.list
serviceusage.services.get
serviceusage.services.list
resourcemanager.projects.get
Por lo general, estos permisos se otorgan con los roles roles/consumerprocurement.entitlementManager
o roles/consumerprocurement.entitlementViewer
.