Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) und Berechtigungen beschrieben, die Sie zum Kauf und zur Verwaltung kommerzieller Produkte in Cloud Marketplace benötigen.
Mit IAM verwalten Sie die Zugriffssteuerung. Sie legen fest, wer (Identität) welchen Zugriff (Rolle) auf welche Ressource hat. Bei kommerziellen Anwendungen auf Cloud Marketplace benötigen Nutzer in Ihrer Google Cloud Organisation IAM-Rollen, um sich für Cloud Marketplace-Pläne anzumelden und Änderungen an Abrechnungstarifen vorzunehmen.
- Weitere Informationen zur Abrechnungsverwaltung für Cloud Marketplace Produkte.
- Weitere Informationen zu den Faktoren, die sich auf Ihre Rechnung auswirken
- Grundlegende Konzepte von IAM
- Hierarchie von Google Cloud Ressourcen
Hinweis
- Installieren Sie
die gcloud CLI, um Cloud Marketplace-Rollen und -Berechtigungen mit
gcloudzu gewähren. Andernfalls können Sie Rollen mithilfe der Google Cloud Console zuweisen.
Rollen kaufen und verwalten
Wir empfehlen, die IAM-Rolle „Rechnungskontoadministrator“ Nutzern zuzuweisen, die Dienste aus Cloud Marketplace kaufen.
Nutzer, die auf die Dienste zugreifen möchten, müssen mindestens die Rolle „Betrachter“ haben.
Wenn Sie eine umfassendere Kontrolle über die Berechtigungen der Nutzer benötigen, können Sie benutzerdefinierte Rollen erstellen, deren Berechtigungen Sie erteilen möchten.
Produktspezifische Anforderungen
Wenn Sie die folgenden Dienste in einem Google Cloud Projekt verwenden möchten, benötigen Sie die Rolle „Projektbearbeiter“:
- Google Cloud Dataprep von Trifacta
- Neo4j Aura Professional
- Redis Enterprise Cloud
Liste der IAM-Rollen und -Berechtigungen
Sie können Nutzern eine oder mehrere der folgenden IAM-Rollen zuweisen. Abhängig von der Rolle, die Sie Nutzern zuweisen, müssen Sie die Rolle auch einem Google Cloud Rechnungskonto, einer Organisation oder einem Projekt zuweisen. Weitere Informationen finden Sie unter Nutzern IAM-Rollen zuweisen.
| Role | Permissions |
|---|---|
Consumer Procurement Entitlement Manager( Allows managing entitlements and enabling, disabling, and inspecting service states for a consumer project. |
|
Consumer Procurement Entitlement Viewer( Allows inspecting entitlements and service states for a consumer project. |
|
Consumer Procurement Events Viewer( Allows viewing key events for an offer |
|
Consumer Procurement License Pool Editor( Allows managing license pools and license assignments. |
|
Consumer Procurement License Pool Viewer( Allows viewing license pools and license assignments. |
|
Consumer Procurement Order Administrator( Allows managing purchases. |
|
Consumer Procurement Order Viewer( Allows inspecting purchases. |
|
Consumer Procurement Administrator( Allows managing purchases, consents at both billing account and project level. |
|
Consumer Procurement Viewer( Allows inspecting purchases, consents and entitlements and service states for a consumer project. |
|
Nutzern IAM-Rollen zuweisen
Aus den Rollen der vorherigen Tabelle müssen die
consumerprocurement.orderAdmin und consumerprocurement.orderViewer Rollen
auf Rechnungskonto- oder Organisationsebene und die
consumerprocurement.entitlementManager und
consumerprocurement.entitlementViewer Rollen auf Projekt
oder Organisationsebene zugewiesen werden.
Führen Sie einen der folgenden Befehle aus, um Nutzern mit gcloud Rollen zuzuweisen:
Organisation
Sie benötigen die Rolle resourcemanager.organizationAdmin, um Rollen auf Organisationsebene zuzuweisen.
gcloud organizations add-iam-policy-binding organization-id \
--member=member --role=role-id
Die Platzhalterwerte sind:
- organization-id: Die numerische ID der Organisation, der Sie die Rolle zuweisen.
- member: Der Nutzer, dem Sie Zugriff gewähren.
- role-id: Die Rollen-ID aus der vorherigen Tabelle.
Rechnungskonto
Sie benötigen die Rolle billing.admin, um Rollen auf Rechnungskonto-Ebene zuzuweisen.
gcloud beta billing accounts set-iam-policy account-id \
policy-file
Die Platzhalterwerte sind:
- account-id: Ihre Rechnungskonto-ID, die Sie auf der Seite Rechnungskonten verwalten abrufen können.
- policy-file: Eine IAM Richtliniendatei im JSON- oder YAML-Format. Die Richtliniendatei muss die Rollen-IDs aus der vorherigen Tabelle und die Nutzer enthalten, denen Sie die Rollen zuweisen.
Projekt
Sie benötigen die Rolle resourcemanager.folderAdmin, um Rollen auf Projektebene zuzuweisen.
gcloud projects add-iam-policy-binding project-id \
--member=member --role=role-id
Die Platzhalterwerte sind:
- project-id: Das Projekt, dem Sie die Rolle zuweisen.
- member: Der Nutzer, dem Sie Zugriff gewähren.
- role-id: Die Rollen-ID aus der vorherigen Tabelle.
Informationen zum Zuweisen von Rollen für Nutzer mit der Google Cloud Console finden Sie in der IAM-Dokumentation unter Nutzern Zugriff auf Ressourcen erteilen, ändern und entziehen.
Benutzerdefinierte Rollen mit Cloud Marketplace verwenden
Wenn Sie die Berechtigungen, die Sie Nutzern gewähren, genau steuern möchten, können Sie benutzerdefinierte Rollen mit den Berechtigungen erstellen, die Sie gewähren möchten.
Wenn Sie eine benutzerdefinierte Rolle für Nutzer erstellen, die Dienste in Cloud Marketplace erwerben, muss die Rolle die folgenden Berechtigungen für das Rechnungskonto enthalten, mit dem sie Dienste kaufen:
billing.accounts.get, wird normalerweise mit derroles/consumerprocurement.orderAdminRolle zugewiesen.consumerprocurement.orders.get, wird normalerweise mit der Rolleroles/consumerprocurement.orderAdminzugewiesen.consumerprocurement.orders.list, wird normalerweise mit der Rolleroles/consumerprocurement.orderAdminzugewiesen.consumerprocurement.orders.place, wird normalerweise mit der Rolleroles/consumerprocurement.orderAdminzugewiesen.consumerprocurement.accounts.get, wird normalerweise mit der Rolleroles/consumerprocurement.orderAdminzugewiesen.consumerprocurement.accounts.list, wird normalerweise mit der Rolleroles/consumerprocurement.orderAdminzugewiesen.consumerprocurement.accounts.create, wird normalerweise mit der Rolleroles/consumerprocurement.orderAdminzugewiesen.consumerprocurement.consents.grant, wird normalerweise mit der Rolleroles/consumerprocurement.orderAdminzugewiesen.
Auf Partner-Websites mit Einmalanmeldung (SSO) zugreifen
Bestimmte Cloud Marketplace API-Produkte unterstützen die Einmalanmeldung (SSO) auf der externen Website eines Partners. Autorisierte Nutzer innerhalb der Organisation haben auf der Produktdetailseite Zugriff auf den Button „BEI PROVIDER VERWALTEN“. Mit diesem Button werden Nutzer auf die Website des Partners weitergeleitet. In einigen Fällen werden Nutzer aufgefordert, sich über Google anzumelden. In anderen Fällen werden die Nutzer in einem gemeinsamen Kontokontext angemeldet.
Für den Zugriff auf die SSO-Funktion rufen Nutzer die Detailseite des Produkts auf und wählen ein geeignetes Projekt aus. Das Projekt muss mit einem Rechnungskonto verknüpft sein, für das der Tarif erworben wurde. Weitere Informationen zur Verwaltung von Cloud Marketplace API-Abos finden Sie unter Abrechnungstarife verwalten.
Darüber hinaus muss der Nutzer im ausgewählten Projekt ausreichende IAM-Berechtigungen haben. Für die meisten Produkte ist die
roles/consumerprocurement.entitlementManager (oder
roles/editor
einfache Rolle) erforderlich.
Minimale Berechtigungen für bestimmte Produkte
Die folgenden Produkte können mit unterschiedlichen Berechtigungen arbeiten, um auf SSO-Funktionen zuzugreifen:
- Apache Kafka auf Confluent Cloud
- DataStax Astra für Apache Cassandra
- Elastic Cloud
- Neo4j Aura Professional
- Redis Enterprise Cloud
Für diese Produkte können Sie die folgenden minimalen Berechtigungen verwenden:
consumerprocurement.entitlements.getconsumerprocurement.entitlements.listserviceusage.services.getserviceusage.services.listresourcemanager.projects.get
Diese Berechtigungen werden normalerweise mit den
roles/consumerprocurement.entitlementManager oder
roles/consumerprocurement.entitlementViewer Rollen erteilt.