Nesta página, descrevemos os papéis e permissões de gerenciamento de identidade e acesso (IAM) necessários para comprar e gerenciar produtos comerciais no Cloud Marketplace.
O IAM permite gerenciar o controle de acesso ao definir quem (identidade) tem qual acesso (papel) a que recurso. Para apps comerciais no Cloud Marketplace, os usuários na sua Google Cloud organização precisam de papéis do IAM para se inscrever em planos do Cloud Marketplace e fazer alterações nos planos de faturamento.
- Saiba como gerenciar o faturamento de produtos do Cloud Marketplace.
- Saiba mais sobre os fatores que afetam sua fatura.
- Saiba mais sobre os conceitos básicos do IAM.
- Saiba mais sobre a hierarquia de Google Cloud recursos.
Antes de começar
- Para conceder papéis e permissões do Cloud Marketplace usando
gcloud, instale a CLI gcloud. Caso contrário, conceda papéis usando o console Google Cloud .
Papéis do IAM para compra e gerenciamento de produtos
Recomendamos que você atribua o papel do IAM de administrador da conta de faturamento aos usuários que estão comprando serviços do Cloud Marketplace.
Os usuários que querem acessar os serviços precisam ter, no mínimo, o papel de Leitor.
Para ter um controle mais granular sobre as permissões dos usuários, crie papéis personalizados com as permissões que você quer conceder.
Requisitos específicos do produto
Para usar os serviços a seguir em um projeto Google Cloud , é necessário ter a função Editor do projeto:
- Google Cloud Dataprep by Trifacta
- Neo4j Aura Professional
Lista de papéis e permissões do IAM
É possível conceder aos usuários um ou mais dos papéis do IAM a seguir. Dependendo do papel que você está concedendo aos usuários, é necessário atribuir o papel a uma Google Cloud conta de faturamento, organização ou projeto. Para detalhes, consulte a seção Como conceder papéis do IAM aos usuários.
| Role | Permissions |
|---|---|
Commerce Business Enablement Configuration Admin Beta( Admin of Various Provider Configuration resources |
|
Commerce Business Enablement PaymentConfig Admin Beta( Administration of Payment Configuration resource |
|
Commerce Business Enablement PaymentConfig Viewer Beta( Viewer of Payment Configuration resource |
|
Commerce Business Enablement Rebates Admin Beta( Provides admin access to rebates |
|
Commerce Business Enablement Rebates Viewer Beta( Provides read-only access to rebates |
|
Commerce Business Enablement Reseller Discount Admin Beta( Provides admin access to reseller discount offers |
|
Commerce Business Enablement Reseller Discount Viewer Beta( Provides read-only access to reseller discount offers |
|
Commerce Business Enablement Configuration Viewer Beta( Viewer of Various Provider Configuration resource |
|
Como conceder papéis do IAM aos usuários
Com base nas funções na tabela acima, os papéis
consumerprocurement.orderAdmin e consumerprocurement.orderViewer
precisam ser atribuídos no nível da conta de faturamento ou da organização, e os
papéis consumerprocurement.entitlementManager e consumerprocurement.entitlementViewer
precisam ser atribuídos no nível do projeto ou da organização.
Para conceder papéis a usuários usando gcloud, execute um dos seguintes comandos:
Organização
Você precisa ter o papel resourcemanager.organizationAdmin
para atribuir papéis no nível da organização.
gcloud organizations add-iam-policy-binding organization-id \
--member=member --role=role-id
Os valores do marcador são:
- organization-id: o ID numérico da organização para a qual você está concedendo o papel.
- member: o usuário a que você está concedendo acesso.
- role-id: o ID do papel da tabela anterior.
Conta de faturamento
Você precisa ter o papel billing.admin
para atribuir papéis no nível da conta de faturamento.
gcloud beta billing accounts set-iam-policy account-id \
policy-file
Os valores do marcador são:
- account-id: o ID da sua conta de faturamento, que você encontra na página Gerenciar contas de faturamento.
- policy-file: um arquivo de política do IAM, no formato JSON ou YAML. O arquivo de política precisa conter os IDs do papel da tabela anterior e os usuários aos quais você está atribuindo os papéis.
Projeto
Você precisa ter o papel resourcemanager.folderAdmin
para atribuir papéis no nível do projeto.
gcloud projects add-iam-policy-binding project-id \
--member=member --role=role-id
Os valores do marcador são:
- project-id: o projeto que você está concedendo ao papel.
- member: o usuário a que você está concedendo acesso.
- role-id: o ID do papel da tabela anterior.
Para conceder papéis a usuários usando o Google Cloud console, consulte a documentação do IAM sobre Como conceder, alterar e revogar o acesso a usuários.
Como usar papéis personalizados com o Cloud Marketplace
Para ter um controle granular sobre as permissões que você concede aos usuários, crie papéis personalizados com as permissões que você quer conceder.
Se você estiver criando um papel personalizado para usuários que compram serviços do Cloud Marketplace, o papel precisará incluir estas permissões para a conta de faturamento usada para comprar serviços:
billing.accounts.get, que normalmente é concedido com o papelroles/consumerprocurement.orderAdmin.consumerprocurement.orders.get, que normalmente é concedido com o papelroles/consumerprocurement.orderAdmin.consumerprocurement.orders.list, que normalmente é concedido com o papelroles/consumerprocurement.orderAdmin.consumerprocurement.orders.place, que normalmente é concedido com o papelroles/consumerprocurement.orderAdmin.consumerprocurement.accounts.get, que normalmente é concedido com o papelroles/consumerprocurement.orderAdmin.consumerprocurement.accounts.list, que normalmente é concedido com o papelroles/consumerprocurement.orderAdmin.consumerprocurement.accounts.create, que normalmente é concedido com o papelroles/consumerprocurement.orderAdmin.
Como acessar sites de parceiros com Logon único (SSO)
Alguns produtos do Marketplace são compatíveis com o SSO para o site externo de um parceiro. Os usuários autorizados da organização têm acesso a um botão "GERENCIAR NO PROVEDOR" na página de detalhes do produto. Esse botão direciona os usuários ao site do parceiro. Em alguns casos, os usuários são solicitados a "Fazer login com o Google". Em outros casos, os usuários acessam um contexto de conta compartilhada.
Para acessar o recurso de SSO, os usuários acessam a página de detalhes do produto e selecionam um projeto apropriado. O projeto precisa estar vinculado a uma conta de faturamento em que o plano foi comprado. Para detalhes sobre o gerenciamento de planos do Marketplace, consulte Como gerenciar planos de faturamento.
Além disso, o usuário precisa ter permissões de IAM suficientes no projeto
selecionado. Para a maioria dos produtos, o roles/consumerprocurement.entitlementManager (ou
roles/editor
papel básico) é obrigatório no momento.
Permissões mínimas para produtos específicos
Os seguintes produtos podem operar em um conjunto diferente de permissões para acessar os recursos do SSO:
- Apache Kafka no Confluent Cloud
- DataStax Astra para Apache Cassandra
- Elastic Cloud
- Neo4j Aura Professional
- Redis Enterprise Cloud
Para esses produtos, use as seguintes permissões mínimas:
consumerprocurement.entitlements.getconsumerprocurement.entitlements.listserviceusage.services.getserviceusage.services.listresourcemanager.projects.get
Essas permissões geralmente são concedidas com os
papéis roles/consumerprocurement.entitlementManager ou
roles/consumerprocurement.entitlementViewer.