Google Cloud bietet die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM). Damit können Sie bestimmten Nutzern Zugriff auf bestimmte Google Cloud-Ressourcen gewähren, aber nicht auf andere. Durch IAM haben Sie die Möglichkeit, das Prinzip der geringsten Berechtigung anzuwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen zu gewähren.
Mit IAM können Sie durch Festlegung von Zulassungsrichtlinien steuern, wer (Nutzer) welchen Zugriff (Rollen) auf welche Ressourcen hat. Zulassungsrichtlinien weisen einem Nutzer bestimmte Rollen zu, die dem Nutzer die Rechte dieser Rollen gewähren.
Auf dieser Seite werden die IAM-Rollen erläutert, die für die Cloud Billing APIs verfügbar sind. Beispielsweise können Sie mit IAM einem Cloud-Rechnungskonto Rollen wie Billing Account Costs Manager oder Billing Account Viewer zuweisen. Eine ausführliche Beschreibung von IAM und den entsprechenden Funktionen finden Sie in der IAM-Dokumentation. Lesen Sie insbesondere den Abschnitt Zugriff auf Projekte, Ordner und Organisationen verwalten und Zugriff auf andere Ressourcen verwalten.
Berechtigungen und Rollen
Damit ein Nutzer die Details zu Cloud-Rechnungskonten in der Google Cloud Console aufrufen oder eine Cloud Billing API-Methode Informationen zu Cloud-Rechnungskonten zurückgeben kann, muss der Nutzer oder Aufrufer die erforderlichen Berechtigungen haben.
Erforderliche Berechtigungen für die Cloud Billing Catalog API
Für die Verwendung der Cloud Billing Catalog API (Liste der Dienste und Liste der Artikelnummern) sind keine Berechtigungen erforderlich. Alle Daten, die von dieser API zurückgegeben werden, sind öffentlich.
Erforderliche Berechtigungen für die Cloud Billing Budget API
In der folgenden Tabelle wird erläutert, welche Berechtigungen zum Aufrufen der einzelnen Cloud Billing Budget API-Methoden erforderlich sind. Außerdem werden die standardmäßigen IAM-Abrechnungsrollen aufgelistet, die diese Berechtigungen automatisch gewähren.
API-Methode | Erforderliche Berechtigung | IAM-Rolle, die Berechtigungen gewährt |
---|---|---|
GetBudget |
Zum Aufrufen der Details zu einem Budget benötigt der Aufrufer die Berechtigung billing.budgets.get für das Cloud-Rechnungskonto des Budgets.
Bei Einzelprojektbudgets kann der Aufrufer anstelle von Rechnungskontoberechtigungen die folgenden Berechtigungen für das Projekt haben: |
Billing Account Administrator, Billing Account Costs Manager oder Billing Account Viewer sind entsprechende Rollen für das Cloud-Rechnungskonto des Budgets. Für Budgets für ein einzelnes Projekt sind die Rollen Project Owner, Project Editor oder Project Viewer für das Projekt verfügbar. |
ListBudgets |
Der Aufrufer muss die Berechtigung billing.budgets.list für das Cloud-Rechnungskonto haben, um eine Liste der für ein Cloud-Rechnungskonto verwendeten Budgets zurückzugeben.
Bei Einzelprojektbudgets kann der Aufrufer anstelle von Rechnungskontoberechtigungen die folgenden Berechtigungen für das Projekt haben: |
Billing Account Administrator, Billing Account Costs Manager oder Billing Account Viewer sind entsprechende Rollen für das Cloud-Rechnungskonto des Budgets. Für Budgets für ein einzelnes Projekt sind die Rollen Project Owner, Project Editor oder Project Viewer für das Projekt verfügbar. |
CreateBudget |
Zum Erstellen eines neuen Budgets benötigt der Aufrufer die Berechtigung billing.budgets.create für das Cloud-Rechnungskonto des Budgets.
Bei Einzelprojektbudgets kann der Aufrufer anstelle von Rechnungskontoberechtigungen die folgenden Berechtigungen für das Projekt haben: |
Billing Account Administrator und Billing Account Costs Manager sind entsprechende Rollen für das Cloud-Rechnungskonto des Budgets. Für Budgets für ein einzelnes Projekt sind die Rollen Project Owner oder Project Editor verfügbar. |
UpdateBudget |
Zum Aktualisieren eines vorhandenen Budgets benötigt der Aufrufer die Berechtigung billing.budgets.update für das Cloud-Rechnungskonto des Budgets.
Bei Einzelprojektbudgets kann der Aufrufer anstelle von Rechnungskontoberechtigungen die folgenden Berechtigungen für das Projekt haben: |
Billing Account Administrator und Billing Account Costs Manager sind entsprechende Rollen für das Cloud-Rechnungskonto des Budgets. Für Budgets für ein einzelnes Projekt sind die Rollen Project Owner oder Project Editor verfügbar. |
DeleteBudget |
Zum Löschen eines vorhandenen Budgets benötigt der Aufrufer die Berechtigung billing.budgets.delete für das Cloud-Rechnungskonto des Budgets.
Bei Einzelprojektbudgets kann der Aufrufer anstelle von Rechnungskontoberechtigungen die folgenden Berechtigungen für das Projekt haben: |
Billing Account Administrator und Billing Account Costs Manager sind entsprechende Rollen für das Cloud-Rechnungskonto des Budgets. Für Budgets für ein einzelnes Projekt sind die Rollen Project Owner oder Project Editor verfügbar. |
Erforderliche Berechtigungen für die Cloud Billing Account API
In der folgenden Tabelle sind die erforderlichen Berechtigungen zum Aufrufen der einzelnen Cloud Billing Account API-Methoden sowie die IAM-Rollen für Cloud Billing aufgeführt, die diese Berechtigungen umfassen.
API-Methode | Erforderliche Berechtigungen | IAM-Rollen mit Berechtigung |
---|---|---|
billingAccounts.create |
Methode wird zum Erstellen neuer Cloud-Rechnungsunterkonten verwendet. Der Aufrufer muss billing.accounts.update im übergeordneten Cloud-Rechnungskonto des Unterkontos haben.
|
Rechnungskontoadministrator |
billingAccounts.get |
billing.accounts.get für ein Cloud-Rechnungskonto. |
Rechnungskontoadministrator, Rechnungskonto-Kostenverwalter, Rechnungskontobetrachter oder Rechnungskontonutzer |
billingAccounts.list |
Keine. Diese Methode gibt alle Konten zurück, auf die der Aufrufer zugreifen darf. | Rechnungskontoadministrator, Rechnungskonto-Kostenverwalter, Rechnungskontobetrachter oder Rechnungskontonutzer der Cloud-Rechnungskonten oder Projektabrechnung-Administrator für die Projekte. |
billingAccounts.getIamPolicy |
billing.accounts.getIamPolicy für ein Cloud-Rechnungskonto. |
Rechnungskontoadministrator, Rechnungskonto-Kostenverwalter, Rechnungskontobetrachter oder Rechnungskontonutzer |
billingAccounts.setIamPolicy |
billing.accounts.setIamPolicy für ein Cloud-Rechnungskonto. |
Rechnungskontoadministrator |
billingAccounts.testIamPermissions |
Keine. Diese Methode wird verwendet, um die Berechtigungen eines Aufrufers für ein Cloud-Rechnungskonto zu ermitteln. | – |
billingAccounts.patch |
billing.accounts.update für ein Cloud-Rechnungskonto. |
Rechnungskontoadministrator |
billingAccounts.projects.list |
billing.resourceAssociations.list für ein Cloud-Rechnungskonto.
|
Rechnungskontoadministrator, Kostenverwalter des Rechnungskontos oder Rechnungskontobetrachter |
projects.getBillingInfo |
resourcemanager.projects.get für das Projekt.Weitere Informationen finden Sie unter Zugriffssteuerung für Projekte. |
Projektinhaber, Projektbearbeiter oder Projektbetrachter |
projects.updateBillingInfo |
billing.resourceAssociations.create für das Cloud-Rechnungskonto UND resourcemanager.projects.createBillingAssignment für das Projekt. |
Rechnungskontoadministrator oder Rechnungskontonutzer UND Projektabrechnung-Administrator. |
Rollen
Sie erteilen den Nutzern die Berechtigungen nicht direkt, sondern Sie weisen ihnen Rollen zu, die eine oder mehrere Berechtigungen enthalten.
Sie können für dieselbe Ressource eine oder mehrere Rollen zuweisen.
Die folgende Tabelle enthält die IAM-Rollen, die Sie für den Zugriff auf die Cloud Billing APIs zuweisen können, eine Beschreibung der jeweiligen Rolle und die damit verbundenen Berechtigungen. Einige dieser Rollen enthalten auch Berechtigungen für andere Google Cloud-Dienste.
Role | Permissions |
---|---|
Billing Account Administrator( Provides access to see and manage all aspects of billing accounts. Lowest-level resources where you can grant this role:
|
|
Billing Account Costs Manager( Manage budgets for a billing account, and view, analyze, and export cost information of a billing account. Lowest-level resources where you can grant this role:
|
|
Billing Account Creator( Provides access to create billing accounts. Lowest-level resources where you can grant this role:
|
|
Project Billing Manager( When granted in conjunction with the Billing Account User role, provides access to assign a project's billing account or disable its billing. Lowest-level resources where you can grant this role:
|
|
Billing Account User( When granted in conjunction with the Project Owner role or Project Billing Manager role, provides access to associate projects with billing accounts. Lowest-level resources where you can grant this role:
|
|
Billing Account Viewer( View billing account cost and pricing information, transactions, and billing and commitment recommendations. Lowest-level resources where you can grant this role:
|
|
Die Rollen roles/billing.admin
, roles/billing.costsManager
, roles/billing.viewer
und roles/billing.projectManager
enthalten auch Berechtigungen für andere Google Cloud-Dienste.
Weitere Informationen
- Zugriff auf Projekte, Ordner und Organisationen verwalten in der IAM-Dokumentation
- Zugriff auf andere Ressourcen verwalten in der IAM-Dokumentation
- Benutzerdefinierte Rollen für Cloud Billing erstellen