Cette page décrit les rôles et les autorisations de gestion de l'authentification et des accès (IAM) dont vous avez besoin pour acheter et gérer des produits commerciaux sur Cloud Marketplace.
Avec Cloud IAM, vous gérez le contrôle des accès en définissant qui (identité) dispose de quel type d'accès (rôle) pour quelle ressource. Pour les applications commerciales sur Cloud Marketplace, les utilisateurs de votre Google Cloud organisation ont besoin de rôles IAM pour s'inscrire aux forfaits Cloud Marketplace et pour modifier les forfaits.
- Découvrez comment gérer la facturation des produits Cloud Marketplace.
- En savoir plus sur les facteurs ayant une incidence sur votre facture.
- Découvrez les concepts fondamentaux d'IAM.
- En savoir plus sur la hiérarchie des ressources Google Cloud
Avant de commencer
- Pour accorder des rôles et des autorisations Cloud Marketplace à l'aide de
gcloud, installez la gcloud CLI. Sinon, vous pouvez attribuer des rôles à l'aide de la console Google Cloud .
Rôles IAM pour l'achat et la gestion de produits
Nous vous recommandons d'attribuer le rôle IAM Administrateur du compte de facturation aux utilisateurs qui achètent des services depuis Cloud Marketplace.
Les utilisateurs qui souhaitent accéder aux services doivent disposer au minimum du rôle Lecteur.
Pour un contrôle plus précis sur les autorisations des utilisateurs, vous pouvez créer des rôles personnalisés avec les autorisations que vous souhaitez accorder.
Exigences spécifiques aux produits
Pour utiliser les services suivants dans un projet Google Cloud , vous devez disposer du rôle Éditeur de projet:
- Google Cloud Dataprep by Trifacta
- Neo4j Aura Professional
Liste des autorisations et des rôles IAM
Vous pouvez attribuer aux utilisateurs un ou plusieurs des rôles IAM suivants. Selon le rôle que vous attribuez aux utilisateurs, vous devez également attribuer le rôle à un Google Cloud compte de facturation, une organisation ou un projet. Pour en savoir plus, consultez la section Attribuer des rôles IAM aux utilisateurs.
| Role | Permissions |
|---|---|
Commerce Business Enablement Configuration Admin Beta( Admin of Various Provider Configuration resources |
|
Commerce Business Enablement PaymentConfig Admin Beta( Administration of Payment Configuration resource |
|
Commerce Business Enablement PaymentConfig Viewer Beta( Viewer of Payment Configuration resource |
|
Commerce Business Enablement Rebates Admin Beta( Provides admin access to rebates |
|
Commerce Business Enablement Rebates Viewer Beta( Provides read-only access to rebates |
|
Commerce Business Enablement Reseller Discount Admin Beta( Provides admin access to reseller discount offers |
|
Commerce Business Enablement Reseller Discount Viewer Beta( Provides read-only access to reseller discount offers |
|
Commerce Business Enablement Configuration Viewer Beta( Viewer of Various Provider Configuration resource |
|
Attribuer des rôles IAM aux utilisateurs
À partir des rôles dans le tableau ci-dessus, vous devez attribuer les rôles consumerprocurement.orderAdmin et consumerprocurement.orderViewer au niveau du compte de facturation ou de l'organisation, et consumerprocurement.entitlementManager et consumerprocurement.entitlementViewer doivent être attribués au niveau du projet ou de l'organisation.
Pour attribuer des rôles aux utilisateurs à l'aide de gcloud, exécutez l'une des commandes suivantes :
Organisation
Vous devez disposer du rôle resourcemanager.organizationAdmin pour attribuer des rôles au niveau de l'organisation.
gcloud organizations add-iam-policy-binding organization-id \
--member=member --role=role-id
Les valeurs d'espaces réservés sont les suivantes :
- organization-id : ID numérique de l'organisation pour laquelle vous attribuez le rôle.
- member : utilisateur auquel vous accordez l'accès.
- role-id : ID du rôle dans le tableau précédent.
Compte de facturation
Vous devez disposer du rôle billing.admin pour attribuer des rôles au niveau du compte de facturation.
gcloud beta billing accounts set-iam-policy account-id \
policy-file
Les valeurs d'espaces réservés sont les suivantes :
- account-id : votre ID de compte de facturation, que vous pouvez obtenir sur la page Gérer les comptes de facturation.
- policy-file : fichier de stratégie IAM, au format JSON ou YAML. Le fichier de stratégie doit contenir les ID des rôles du tableau précédent et les utilisateurs auxquels vous attribuez ces rôles.
Projet
Vous devez disposer du rôle resourcemanager.folderAdmin pour attribuer des rôles au niveau du projet.
gcloud projects add-iam-policy-binding project-id \
--member=member --role=role-id
Les valeurs d'espaces réservés sont les suivantes :
- project-id : projet pour lequel vous attribuez le rôle.
- member : utilisateur auquel vous accordez l'accès.
- role-id : ID du rôle dans le tableau précédent.
Pour attribuer des rôles aux utilisateurs à l'aide de la console Google Cloud , consultez la documentation IAM sur Accorder, modifier et révoquer les accès des utilisateurs.
Utiliser des rôles personnalisés avec Cloud Marketplace
Si vous souhaitez contrôler avec précision les autorisations que vous accordez aux utilisateurs, vous pouvez créer des rôles personnalisés avec les autorisations que vous souhaitez accorder.
Si vous créez un rôle personnalisé pour les utilisateurs qui achètent des services dans Cloud Marketplace, ce rôle doit inclure les autorisations suivantes pour le compte de facturation qu'ils utilisent pour acheter des services:
billing.accounts.get, généralement attribué avec le rôleroles/consumerprocurement.orderAdmin.consumerprocurement.orders.get, généralement attribué avec le rôleroles/consumerprocurement.orderAdmin.consumerprocurement.orders.list, généralement attribué avec le rôleroles/consumerprocurement.orderAdmin.consumerprocurement.orders.place, généralement attribué avec le rôleroles/consumerprocurement.orderAdmin.consumerprocurement.accounts.get, généralement attribué avec le rôleroles/consumerprocurement.orderAdmin.consumerprocurement.accounts.list, généralement attribué avec le rôleroles/consumerprocurement.orderAdmin.consumerprocurement.accounts.create, généralement attribué avec le rôleroles/consumerprocurement.orderAdmin.
Accéder aux sites Web des partenaires avec l'authentification unique (SSO)
Certains produits Marketplace sont compatibles avec l'authentification unique (SSO, Single Sign-On) sur le site Web externe d'un partenaire. Les utilisateurs autorisés de l'organisation ont accès à un bouton "GÉRER LE FOURNISSEUR" sur la page des détails du produit. Ce bouton redirige les utilisateurs vers le site Web du partenaire. Dans certains cas, les utilisateurs sont invités à se connecter avec Google. Dans d'autres cas, les utilisateurs sont connectés dans le contexte d'un compte partagé.
Pour accéder à la fonctionnalité SSO, les utilisateurs doivent accéder à la page d'informations du produit et sélectionner un projet approprié. Le projet doit être associé au compte de facturation dans lequel le forfait a été souscrit. Pour en savoir plus sur la gestion des forfaits Marketplace, consultez la page Gérer les modes de facturation.
De plus, l'utilisateur doit disposer d'autorisations IAM suffisantes dans le projet sélectionné. Pour la plupart des produits, le rôle de base roles/consumerprocurement.entitlementManager (ou roles/editor) est actuellement requis.
Autorisations minimales pour des produits spécifiques
Les produits suivants peuvent fonctionner sur un ensemble d'autorisations différent pour accéder aux fonctionnalités SSO:
- Apache Kafka sur Confluent Cloud
- DataStax Astra pour Apache Cassandra
- Elastic Cloud
- Neo4j Aura Professional
- Cloud Redis Enterprise
Pour ces produits, vous pouvez utiliser les autorisations minimales suivantes :
consumerprocurement.entitlements.getconsumerprocurement.entitlements.listserviceusage.services.getserviceusage.services.listresourcemanager.projects.get
Ces autorisations sont généralement accordées avec les rôles roles/consumerprocurement.entitlementManager ou roles/consumerprocurement.entitlementViewer.