Cette page décrit les rôles et les autorisations de gestion de l'authentification et des accès (IAM) dont vous avez besoin pour acheter et gérer des produits commerciaux sur Cloud Marketplace.
Avec Cloud IAM, vous gérez le contrôle des accès en définissant qui (identité) dispose de quel type d'accès (rôle) pour quelle ressource. Pour les applications commerciales sur Cloud Marketplace, les utilisateurs de votre organisation Google Cloud ont besoin de rôles IAM pour s'inscrire aux forfaits Cloud Marketplace et pour modifier les forfaits.
- Découvrez comment gérer la facturation des produits Cloud Marketplace.
- En savoir plus sur les facteurs ayant une incidence sur votre facture.
- Découvrez les concepts fondamentaux d'IAM.
- Découvrez la hiérarchie des ressources Google Cloud.
Avant de commencer
- Pour accorder des rôles et des autorisations Cloud Marketplace à l'aide de
gcloud
, installez la gcloud CLI. Sinon, vous pouvez attribuer des rôles à l'aide de la console Google Cloud.
Rôles IAM pour l'achat et la gestion de produits
Nous vous recommandons d'attribuer le rôle IAM Administrateur du compte de facturation aux utilisateurs qui achètent des services depuis Cloud Marketplace.
Les utilisateurs qui souhaitent accéder aux services doivent disposer au minimum du rôle Lecteur.
Pour un contrôle plus précis sur les autorisations des utilisateurs, vous pouvez créer des rôles personnalisés avec les autorisations que vous souhaitez accorder.
Exigences spécifiques aux produits
Pour utiliser les services suivants dans un projet Google Cloud, vous devez disposer du rôle Éditeur de projet:
- Google Cloud Dataprep by Trifacta
- Neo4j Aura Professional
Liste des autorisations et des rôles IAM
Vous pouvez attribuer aux utilisateurs un ou plusieurs des rôles IAM suivants. Selon le rôle que vous attribuez aux utilisateurs, vous devez également attribuer le rôle à un compte de facturation, une organisation ou un projet Google Cloud. Pour en savoir plus, consultez la section Attribuer des rôles IAM aux utilisateurs.
Rôle | Autorisations |
---|---|
Administrateur de configuration pour l'assistance commerciale Commerce Bêta( Administrateur de diverses ressources de configuration du fournisseur |
commercebusinessenablement.
commercebusinessenablement.
commercebusinessenablement. commercebusinessenablement. resourcemanager. resourcemanager.projects.get resourcemanager.projects.list |
Administrateur de configuration de paiement pour l'assistance commerciale Commerce Bêta( Administration des ressources de configuration de paiement |
commercebusinessenablement.
resourcemanager.projects.get resourcemanager.projects.list |
Lecteur de configuration de paiement pour l'assistance commerciale Commerce Bêta( Lecteur de ressources de configuration de paiement |
commercebusinessenablement. resourcemanager.projects.get resourcemanager.projects.list |
Administrateur de remises revendeur pour l'assistance commercialebêta( Fournit un accès administrateur aux offres de remise revendeur |
commercebusinessenablement.
commercebusinessenablement. commercebusinessenablement.
commercebusinessenablement.
resourcemanager. resourcemanager.projects.get resourcemanager.projects.list |
Lecteur de remises revendeur pour l'assistance commercialebêta( Fournit un accès en lecture seule aux offres de remise revendeur |
commercebusinessenablement.
commercebusinessenablement. commercebusinessenablement. commercebusinessenablement. resourcemanager. resourcemanager.projects.get resourcemanager.projects.list |
Lecteur de configuration d'assistance commerciale Commerce Bêta( Lecteur de diverses ressources de configuration du fournisseur |
commercebusinessenablement.
commercebusinessenablement.
commercebusinessenablement. commercebusinessenablement. resourcemanager. resourcemanager.projects.get resourcemanager.projects.list |
Lecteur d'offres du catalogue des offres Commerce Bêta( Autorise l'affichage des offres |
commerceoffercatalog.*
|
Administrateur de la gouvernance de l'organisation Commerce Bêta( Accès complet aux API Organization Governance |
commerceorggovernance.*
resourcemanager.projects.get resourcemanager.projects.list |
Lecteur de la gouvernance de l'organisation Commerce Bêta( Accès complet aux API Organization Governance en lecture seule. |
commerceorggovernance. commerceorggovernance. commerceorggovernance. commerceorggovernance. commerceorggovernance. resourcemanager.projects.get resourcemanager.projects.list |
Lecteur d'événements de gestion des prix Commerce Bêta( Permet d'afficher les événements clés d'une offre |
commerceprice.events.*
resourcemanager.projects.get resourcemanager.projects.list |
Administrateur d'offres privées de gestion des prix Commerce Bêta( Permet de gérer les offres privées |
commerceprice.*
resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list |
Lecteur de gestion des prix Commerce Bêta( Permet d'afficher des offres, des essais gratuits, des codes SKU |
commerceprice. commerceprice. resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list |
Administrateur de producteurs Commerce Bêta( Accorde un accès complet à toutes les ressources de l'API Cloud Commerce Producer. |
commercebusinessenablement. resourcemanager.projects.get resourcemanager.projects.list |
Lecteur de producteurs Commerce Bêta( Accorde un accès en lecture à toutes les ressources de l'API Cloud Commerce Producer. |
commercebusinessenablement. resourcemanager.projects.get resourcemanager.projects.list |
Gestionnaire des droits d'approvisionnement des consommateurs Bêta( Permet de gérer les droits et d'activer, de désactiver et d'inspecter les états de service pour un projet destiné à un consommateur. |
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.
consumerprocurement.
consumerprocurement.
orgpolicy.policy.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.operations.get serviceusage.services.disable serviceusage.services.enable serviceusage.services.get serviceusage.services.list |
Lecteur des droits d'approvisionnement des consommateurs Bêta( Permet d'inspecter les droits et les états de service pour un projet destiné à un consommateur. |
consumerprocurement. consumerprocurement.
consumerprocurement.
consumerprocurement. consumerprocurement. orgpolicy.policy.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list |
Lecteur d'événements d'approvisionnement des consommateurs Bêta( Permet d'afficher les événements clés d'une offre |
consumerprocurement.events.*
|
Administrateur des commandes d'approvisionnement des consommateurs Bêta( Permet de gérer les achats. |
billing.accounts.get billing.accounts.getiamPolicy billing.accounts.list billing. billing.credits.list billing. commerceoffercatalog.*
consumerprocurement.accounts.*
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.events.*
consumerprocurement.
consumerprocurement.orders.*
|
Lecteur des commandes d'approvisionnement des consommateurs Bêta( Permet d'inspecter les achats. |
billing.accounts.get billing.accounts.getiamPolicy billing.accounts.list billing.credits.list commerceoffercatalog.*
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.orders.get consumerprocurement. |
Administrateur d'approvisionnement des consommateurs Bêta( Permet de gérer les achats et les autorisations au niveau du compte de facturation et du projet. |
billing.accounts.get billing.accounts.getiamPolicy billing.accounts.list billing. billing.credits.list billing. commerceoffercatalog.*
consumerprocurement.*
orgpolicy.policy.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.operations.get serviceusage.services.disable serviceusage.services.enable serviceusage.services.get serviceusage.services.list |
Lecteur d'approvisionnement des consommateurs Bêta( Permet d'inspecter les achats, autorisations, droits et états de service pour un projet destiné à un consommateur. |
billing.accounts.get billing.accounts.getiamPolicy billing.accounts.list billing.credits.list commerceoffercatalog.*
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.
consumerprocurement.
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.orders.get consumerprocurement. orgpolicy.policy.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list |
Attribuer des rôles IAM aux utilisateurs
À partir des rôles dans le tableau ci-dessus, vous devez attribuer les rôles consumerprocurement.orderAdmin
et consumerprocurement.orderViewer
au niveau du compte de facturation ou de l'organisation, et consumerprocurement.entitlementManager
et consumerprocurement.entitlementViewer
doivent être attribués au niveau du projet ou de l'organisation.
Pour attribuer des rôles aux utilisateurs à l'aide de gcloud
, exécutez l'une des commandes suivantes :
Organisation
Vous devez disposer du rôle resourcemanager.organizationAdmin
pour attribuer des rôles au niveau de l'organisation.
gcloud organizations add-iam-policy-binding organization-id \
--member=member --role=role-id
Les valeurs d'espaces réservés sont les suivantes :
- organization-id : ID numérique de l'organisation pour laquelle vous attribuez le rôle.
- member : utilisateur auquel vous accordez l'accès.
- role-id : ID du rôle dans le tableau précédent.
Compte de facturation
Vous devez disposer du rôle billing.admin
pour attribuer des rôles au niveau du compte de facturation.
gcloud beta billing accounts set-iam-policy account-id \
policy-file
Les valeurs d'espaces réservés sont les suivantes :
- account-id : votre ID de compte de facturation, que vous pouvez obtenir sur la page Gérer les comptes de facturation.
- policy-file : fichier de stratégie IAM, au format JSON ou YAML. Le fichier de stratégie doit contenir les ID des rôles du tableau précédent et les utilisateurs auxquels vous attribuez ces rôles.
Projet
Vous devez disposer du rôle resourcemanager.folderAdmin
pour attribuer des rôles au niveau du projet.
gcloud projects add-iam-policy-binding project-id \
--member=member --role=role-id
Les valeurs d'espaces réservés sont les suivantes :
- project-id : projet pour lequel vous attribuez le rôle.
- member : utilisateur auquel vous accordez l'accès.
- role-id : ID du rôle dans le tableau précédent.
Pour attribuer des rôles aux utilisateurs à l'aide de la console Google Cloud, consultez la documentation IAM sur Accorder, modifier et révoquer les accès des utilisateurs.
Utiliser des rôles personnalisés avec Cloud Marketplace
Si vous souhaitez contrôler avec précision les autorisations que vous accordez aux utilisateurs, vous pouvez créer des rôles personnalisés avec les autorisations que vous souhaitez accorder.
Si vous créez un rôle personnalisé pour les utilisateurs qui achètent des services dans Cloud Marketplace, ce rôle doit inclure les autorisations suivantes pour le compte de facturation qu'ils utilisent pour acheter des services:
billing.accounts.get
, généralement attribué avec le rôleroles/consumerprocurement.orderAdmin
.consumerprocurement.orders.get
, généralement attribué avec le rôleroles/consumerprocurement.orderAdmin
.consumerprocurement.orders.list
, généralement attribué avec le rôleroles/consumerprocurement.orderAdmin
.consumerprocurement.orders.place
, généralement attribué avec le rôleroles/consumerprocurement.orderAdmin
.consumerprocurement.accounts.get
, généralement attribué avec le rôleroles/consumerprocurement.orderAdmin
.consumerprocurement.accounts.list
, généralement attribué avec le rôleroles/consumerprocurement.orderAdmin
.consumerprocurement.accounts.create
, généralement attribué avec le rôleroles/consumerprocurement.orderAdmin
.
Accéder aux sites Web des partenaires avec l'authentification unique (SSO)
Certains produits Marketplace sont compatibles avec l'authentification unique (SSO, Single Sign-On) sur le site Web externe d'un partenaire. Les utilisateurs autorisés de l'organisation ont accès à un bouton "GÉRER LE FOURNISSEUR" sur la page des détails du produit. Ce bouton redirige les utilisateurs vers le site Web du partenaire. Dans certains cas, les utilisateurs sont invités à se connecter avec Google. Dans d'autres cas, les utilisateurs sont connectés dans le contexte d'un compte partagé.
Pour accéder à la fonctionnalité SSO, les utilisateurs doivent accéder à la page d'informations du produit et sélectionner un projet approprié. Le projet doit être associé au compte de facturation dans lequel le forfait a été souscrit. Pour en savoir plus sur la gestion des forfaits Marketplace, consultez la page Gérer les modes de facturation.
De plus, l'utilisateur doit disposer d'autorisations IAM suffisantes dans le projet sélectionné. Pour la plupart des produits, le rôle de base roles/consumerprocurement.entitlementManager
(ou roles/editor
) est actuellement requis.
Autorisations minimales pour des produits spécifiques
Les produits suivants peuvent fonctionner sur un ensemble d'autorisations différent pour accéder aux fonctionnalités SSO:
- Apache Kafka sur Confluent Cloud
- DataStax Astra pour Apache Cassandra
- Elastic Cloud
- Neo4j Aura Professional
- Cloud Redis Enterprise
Pour ces produits, vous pouvez utiliser les autorisations minimales suivantes :
consumerprocurement.entitlements.get
consumerprocurement.entitlements.list
serviceusage.services.get
serviceusage.services.list
resourcemanager.projects.get
Ces autorisations sont généralement accordées avec les rôles roles/consumerprocurement.entitlementManager
ou roles/consumerprocurement.entitlementViewer
.