Google Cloud propose Identity and Access Management (IAM), qui vous permet d'accorder l'accès à des ressources Google Cloud spécifiques, mais pas à d'autres. IAM vous permet d'adopter le principe de sécurité du moindre privilège afin de n'accorder que l'accès nécessaire à vos ressources.
Grâce à IAM, vous pouvez contrôler qui (utilisateurs) a accès (rôles) à quelles ressources en définissant des stratégies IAM. Les stratégies d'autorisation permettent d'attribuer un ou plusieurs rôles spécifiques à un utilisateur afin de lui accorder les autorisations associées à ces rôles.
Cette page décrit les rôles Cloud IAM disponibles pour les API Cloud Billing. Par exemple, vous pouvez attribuer des rôles tels que Gestionnaire des coûts du compte de facturation ou Lecteur de compte de facturation sur un compte de facturation Cloud. Pour une description détaillée d'IAM et de ses fonctionnalités, consultez la documentation IAM. En particulier, consultez les pages Gérer l'accès aux projets, aux dossiers et aux organisations et Gérer l'accès aux autres ressources.
Autorisations et rôles
Pour qu'un utilisateur puisse consulter les informations d'un compte de facturation Cloud dans la console Google Cloud ou pour qu'une méthode de l'API Cloud Billing renvoie les informations d'un compte de facturation Cloud, l'utilisateur ou l'appelant doit disposer des autorisations nécessaires.
Autorisations requises pour l'API Cloud Billing Catalog
Aucune autorisation n'est requise pour utiliser l'API Cloud Billing Catalog (liste de services et de SKU). Toutes les données renvoyées par cette API sont publiques.
Autorisations requises pour l'API Cloud Billing Budget
Le tableau suivant présente les autorisations nécessaires pour appeler chaque méthode de l'API Cloud Billing Budget. Les rôles IAM Billing standards qui octroient automatiquement ces autorisations sont aussi inclus.
Méthode API | Autorisation requise | Rôle IAM qui accorde des autorisations |
---|---|---|
GetBudget |
Pour obtenir les détails d'un budget, l'appelant doit disposer de l'autorisation billing.budgets.get sur le compte de facturation Cloud du budget.
Pour les budgets sur un seul projet, au lieu des autorisations du compte de facturation, l'appelant peut disposer des autorisations suivantes sur le projet : |
Administrateur de compte de facturation, Gestionnaire des coûts du compte de facturation ou Lecteur de compte de facturation sur le compte de facturation Cloud associé au budget. Pour les budgets appliqués à un seul projet, propriétaire, éditeur ou lecteur sur le projet. |
ListBudgets |
Pour afficher la liste des budgets appliqués à un compte de facturation Cloud, l'appelant doit disposer de l'autorisation billing.budgets.list sur le compte de facturation Cloud.
Pour les budgets sur un seul projet, au lieu des autorisations du compte de facturation, l'appelant peut disposer des autorisations suivantes sur le projet : |
Administrateur de compte de facturation, Gestionnaire des coûts du compte de facturation ou Lecteur de compte de facturation sur le compte de facturation Cloud associé au budget. Pour les budgets appliqués à un seul projet, propriétaire, éditeur ou lecteur sur le projet. |
CreateBudget |
Pour créer un budget, l'appelant doit disposer de l'autorisation billing.budgets.create sur le compte de facturation Cloud du budget.
Pour les budgets sur un seul projet, au lieu des autorisations sur le compte de facturation, l'appelant peut disposer des autorisations suivantes sur le projet : |
Administrateur de compte de facturation ou Gestionnaire des coûts du compte de facturation sur le compte de facturation Cloud associé au budget. Pour les budgets appliqués à un seul projet, propriétaire ou éditeur sur le projet. |
UpdateBudget |
Pour mettre à jour un budget existant, l'appelant doit disposer de l'autorisation billing.budgets.update sur le compte de facturation Cloud du budget.
Pour les budgets sur un seul projet, au lieu des autorisations sur le compte de facturation, l'appelant peut disposer des autorisations suivantes sur le projet : |
Administrateur de compte de facturation ou Gestionnaire des coûts du compte de facturation sur le compte de facturation Cloud associé au budget. Pour les budgets appliqués à un seul projet, propriétaire ou éditeur sur le projet. |
DeleteBudget |
Pour supprimer un budget existant, l'appelant doit disposer de l'autorisation billing.budgets.delete sur le compte de facturation Cloud du budget.
Pour les budgets sur un seul projet, au lieu des autorisations sur le compte de facturation, l'appelant peut disposer des autorisations suivantes sur le projet : |
Administrateur de compte de facturation ou Gestionnaire des coûts du compte de facturation sur le compte de facturation Cloud associé au budget. Pour les budgets appliqués à un seul projet, propriétaire ou éditeur sur le projet. |
Autorisations requises pour l'API Cloud Billing Account
Le tableau suivant répertorie les autorisations requises pour appeler chaque méthode de l'API Cloud Billing Account, ainsi que les rôles IAM pour Cloud Billing qui incluent ces autorisations.
Méthode API | Autorisations requises | Rôles IAM incluant ces autorisations |
---|---|---|
billingAccounts.create |
Méthode utilisée pour créer des sous-comptes Cloud Billing. L'appelant doit disposer de l'autorisation billing.accounts.update sur le compte de facturation Cloud parent du sous-compte.
|
Administrateur de compte de facturation |
billingAccounts.get |
billing.accounts.get sur un compte de facturation Cloud. |
Administrateur de compte de facturation, Gestionnaire des coûts du compte de facturation, Lecteur de compte de facturation ou Utilisateur de compte de facturation |
billingAccounts.list |
None. Cette méthode renvoie tous les comptes pour lesquels l'appelant bénéficie d'une autorisation d'accès. | Administrateur de compte de facturation, Gestionnaire des coûts du compte de facturation, Lecteur de compte de facturation, ou Utilisateur de compte de facturation sur les comptes de facturation Cloud, ou Gestionnaire de la facturation du projet sur les projets. |
billingAccounts.getIamPolicy |
billing.accounts.getIamPolicy sur un compte de facturation Cloud. |
Administrateur de compte de facturation, Gestionnaire des coûts du compte de facturation, Lecteur de compte de facturation ou Utilisateur de compte de facturation |
billingAccounts.setIamPolicy |
billing.accounts.setIamPolicy sur un compte de facturation Cloud. |
Administrateur de compte de facturation |
billingAccounts.testIamPermissions |
None. Cette méthode permet de déterminer les autorisations dont dispose un appelant sur un compte de facturation Cloud. | Non disponible |
billingAccounts.patch |
billing.accounts.update sur un compte de facturation Cloud. |
Administrateur de compte de facturation |
billingAccounts.projects.list |
billing.resourceAssociations.list sur un compte de facturation Cloud.
|
Administrateur de compte de facturation, Gestionnaire des coûts du compte de facturation ou Lecteur de compte de facturation |
projects.getBillingInfo |
resourcemanager.projects.get sur le projet.Pour plus d'informations, consultez la page Contrôle des accès aux projets. |
Propriétaire de projet, éditeur de projet ou lecteur de projet |
projects.updateBillingInfo |
billing.resourceAssociations.create sur le compte de facturation Cloud et resourcemanager.projects.createBillingAssignment sur le projet. |
Administrateur de compte de facturation ou Utilisateur de compte de facturation ET Gestionnaire de la facturation du projet |
Rôles
Vous n'accordez pas directement des autorisations aux utilisateurs, mais vous leur attribuez des rôles auxquels sont associées une ou plusieurs autorisations.
Vous pouvez attribuer un ou plusieurs rôles sur la même ressource.
Le tableau suivant répertorie les rôles IAM que vous pouvez attribuer pour accéder aux API Cloud Billing, la description de chaque rôle et les autorisations associées à chacun d'entre eux. Certains de ces rôles incluent également des autorisations pour d'autres services Google Cloud.
Role | Permissions |
---|---|
Billing Account Administrator( Provides access to see and manage all aspects of billing accounts. Lowest-level resources where you can grant this role:
|
|
Billing Account Costs Manager( Manage budgets for a billing account, and view, analyze, and export cost information of a billing account. Lowest-level resources where you can grant this role:
|
|
Billing Account Creator( Provides access to create billing accounts. Lowest-level resources where you can grant this role:
|
|
Project Billing Manager( When granted in conjunction with the Billing Account User role, provides access to assign a project's billing account or disable its billing. Lowest-level resources where you can grant this role:
|
|
Billing Account User( When granted in conjunction with the Project Owner role or Project Billing Manager role, provides access to associate projects with billing accounts. Lowest-level resources where you can grant this role:
|
|
Billing Account Viewer( View billing account cost and pricing information, transactions, and billing and commitment recommendations. Lowest-level resources where you can grant this role:
|
|
Notez que les rôles roles/billing.admin
, roles/billing.costsManager
, roles/billing.viewer
et roles/billing.projectManager
incluent également des autorisations pour d'autres services Google Cloud.
Articles associés
- Gérer l'accès aux projets, aux dossiers et aux organisations dans la documentation IAM
- Gérer l'accès aux autres ressources dans la documentation IAM
- Créer des rôles personnalisés pour Cloud Billing