Questa pagina descrive i ruoli e le autorizzazioni di Identity and Access Management (IAM) necessari per acquistare e gestire i prodotti commerciali su Cloud Marketplace.
Con IAM, gestisci il controllo dell'accesso definendo chi (identità) ha quale accesso (ruolo) per quale risorsa. Per le app commerciali su Cloud Marketplace, gli utenti della tua Google Cloud organizzazione devono disporre di ruoli IAM per registrarsi ai piani di Cloud Marketplace e apportare modifiche ai piani di fatturazione.
- Scopri come gestire la fatturazione per i prodotti di Cloud Marketplace.
- Scopri i fattori che influiscono sulla tua fattura.
- Scopri i concetti di base di IAM.
- Scopri la gerarchia delle Google Cloud risorse.
Prima di iniziare
- Per concedere i ruoli e le autorizzazioni di Cloud Marketplace utilizzando
gcloud, installa l'interfaccia a riga di comando gcloud. In caso contrario, puoi assegnare i ruoli utilizzando la Google Cloud console.
Ruoli IAM per l'acquisto e la gestione dei prodotti
Ti consigliamo di assegnare il ruolo IAM Amministratore account di fatturazione agli utenti che acquistano servizi da Cloud Marketplace.
Gli utenti che vogliono accedere ai servizi devono disporre almeno del ruolo Visualizzatore.
Per un controllo più granulare sulle autorizzazioni degli utenti, puoi creare ruoli personalizzati con le autorizzazioni che vuoi concedere.
Requisiti specifici del prodotto
Per utilizzare i seguenti servizi in un Google Cloud progetto, devi disporre del ruolo Editor del progetto:
- Google Cloud Dataprep di Trifacta
- Neo4j Aura Professional
Elenco di ruoli e autorizzazioni IAM
Puoi concedere agli utenti uno o più dei seguenti ruoli IAM. A seconda del ruolo che concedi agli utenti, devi anche assegnarlo a un Google Cloud account di fatturazione, a un'organizzazione o a un progetto. Per maggiori dettagli, consulta la sezione Concedere ruoli IAM agli utenti.
| Role | Permissions |
|---|---|
Commerce Business Enablement Configuration Admin Beta( Admin of Various Provider Configuration resources |
|
Commerce Business Enablement PaymentConfig Admin Beta( Administration of Payment Configuration resource |
|
Commerce Business Enablement PaymentConfig Viewer Beta( Viewer of Payment Configuration resource |
|
Commerce Business Enablement Rebates Admin Beta( Provides admin access to rebates |
|
Commerce Business Enablement Rebates Viewer Beta( Provides read-only access to rebates |
|
Commerce Business Enablement Reseller Discount Admin Beta( Provides admin access to reseller discount offers |
|
Commerce Business Enablement Reseller Discount Viewer Beta( Provides read-only access to reseller discount offers |
|
Commerce Business Enablement Configuration Viewer Beta( Viewer of Various Provider Configuration resource |
|
Concedere ruoli IAM agli utenti
Tra i ruoli riportati nella tabella sopra, i ruoli consumerprocurement.orderAdmin e consumerprocurement.orderViewer devono essere assegnati a livello di account di fatturazione o di organizzazione, mentre i ruoli consumerprocurement.entitlementManager e consumerprocurement.entitlementViewer devono essere assegnati a livello di progetto o di organizzazione.
Per concedere i ruoli agli utenti utilizzando gcloud, esegui uno dei seguenti comandi:
Organizzazione
Per assegnare i ruoli a livello di organizzazione, devi disporre del ruolo resourcemanager.organizationAdmin.
gcloud organizations add-iam-policy-binding organization-id \
--member=member --role=role-id
I valori segnaposto sono:
- organization-id: l'ID numerico dell'organizzazione per cui concedi il ruolo.
- member: l'utente a cui stai concedendo l'accesso.
- role-id: l'ID ruolo della tabella precedente.
Account di fatturazione
Per assegnare i ruoli a livello di account di fatturazione, devi disporre del ruolo billing.admin.
gcloud beta billing accounts set-iam-policy account-id \
policy-file
I valori segnaposto sono:
- account-id: l'ID account di fatturazione, che puoi recuperare dalla pagina Gestisci account di fatturazione.
- policy-file: un file di criteri IAM in formato JSON o YAML. Il file di criteri deve contenere gli ID ruolo della tabella precedente e gli utenti a cui assegni i ruoli.
Progetto
Per assegnare i ruoli a livello di progetto, devi disporre del ruolo resourcemanager.folderAdmin.
gcloud projects add-iam-policy-binding project-id \
--member=member --role=role-id
I valori segnaposto sono:
- project-id: il progetto per cui concedi il ruolo.
- member: l'utente a cui stai concedendo l'accesso.
- role-id: l'ID ruolo della tabella precedente.
Per concedere ruoli agli utenti che utilizzano la Google Cloud console, consulta la documentazione IAM su Concedere, modificare e revocare l'accesso per gli utenti.
Utilizzo di ruoli personalizzati con Cloud Marketplace
Se vuoi un controllo granulare sulle autorizzazioni concesse agli utenti, puoi creare ruoli personalizzati con le autorizzazioni che vuoi concedere.
Se crei un ruolo personalizzato per gli utenti che acquistano servizi da Cloud Marketplace, il ruolo deve includere le seguenti autorizzazioni per l'account di fatturazione utilizzato per acquistare i servizi:
billing.accounts.get, che in genere viene concesso con il ruoloroles/consumerprocurement.orderAdmin.consumerprocurement.orders.get, che in genere viene concesso con il ruoloroles/consumerprocurement.orderAdmin.consumerprocurement.orders.list, che in genere viene concesso con il ruoloroles/consumerprocurement.orderAdmin.consumerprocurement.orders.place, che in genere viene concesso con il ruoloroles/consumerprocurement.orderAdmin.consumerprocurement.accounts.get, che in genere viene concesso con il ruoloroles/consumerprocurement.orderAdmin.consumerprocurement.accounts.list, che in genere viene concesso con il ruoloroles/consumerprocurement.orderAdmin.consumerprocurement.accounts.create, che in genere viene concesso con il ruoloroles/consumerprocurement.orderAdmin.
Accedere ai siti web dei partner con il Single Sign-On (SSO)
Alcuni prodotti del marketplace supportano il Single Sign-On (SSO) per accedere al sito web esterno di un partner. Gli utenti autorizzati all'interno dell'organizzazione hanno accesso a un pulsante "Gestisci sul fornitore" nella pagina dei dettagli del prodotto. Questo pulsante indirizza gli utenti al sito web del partner. In alcuni casi, agli utenti viene chiesto di "Accedere con Google". In altri casi, gli utenti hanno eseguito l'accesso in un contesto di account condiviso.
Per accedere alla funzionalità SSO, gli utenti devono andare alla pagina dei dettagli del prodotto e selezionare un progetto appropriato. Il progetto deve essere collegato a un account di fatturazione in cui è stato acquistato il piano. Per informazioni dettagliate sulla gestione dei piani del Marketplace, consulta Gestire i piani di fatturazione.
Inoltre, l'utente deve disporre di autorizzazioni IAM sufficienti all'interno del progetto selezionato. Per la maggior parte dei prodotti, al momento è obbligatorio il ruolo roles/consumerprocurement.entitlementManager (o
roles/editor
ruolo di base).
Autorizzazioni minime per prodotti specifici
I seguenti prodotti possono operare su un insieme diverso di autorizzazioni per accedere alle funzionalità di SSO:
- Apache Kafka su Confluent Cloud
- DataStax Astra per Apache Cassandra
- Elastic Cloud
- Neo4j Aura Professional
- Redis Enterprise Cloud
Per questi prodotti, puoi utilizzare le seguenti autorizzazioni minime:
consumerprocurement.entitlements.getconsumerprocurement.entitlements.listserviceusage.services.getserviceusage.services.listresourcemanager.projects.get
In genere, queste autorizzazioni vengono concesse con i ruoli roles/consumerprocurement.entitlementManager o roles/consumerprocurement.entitlementViewer.