Cloud Billing 概念概览

您可以通过多种方式在 Google Cloud 上配置结算,以满足不同需求。本部分介绍了组织及结算的核心概念,还探讨了如何有效使用它们。

资源概览

什么是资源?

在 Google Cloud 上下文中,资源可以指用于处理工作负载的服务级资源(虚拟机、数据库等),以及位于服务之上的帐号级资源,如项目、文件夹和组织。

什么是资源管理?

资源管理的重点是如何为公司/团队配置和授予各种 Cloud 资源的访问权限,特别是服务级资源之上的帐号级资源的设置和组织。帐号级资源是指设置和管理您的 Google Cloud 帐号所涉及的资源。

资源层次结构

Google Cloud 资源以分层方式进行组织。借助此层次结构,您可以将组织的运营结构映射到 Google Cloud,并管理相关资源组的访问控制和权限。资源层次结构为访问权限管理政策 (Identity and Access Management) 和组织政策提供了逻辑连接点。

AM 和组织政策均通过层次结构继承,层次结构中每个节点的有效政策是对该节点直接应用的政策与从其祖先继承而来的政策组合的结果。

下图是一个资源层次结构示例,显示了管理 Google Cloud 帐号时所涉及的核心帐号级资源。

资源层次结构示例显示了管理 Google Cloud 帐号所涉及的核心帐号级资源,以及它们与您的 Cloud Billing 帐号和付款资料的关系。

网域

  • 您的公司网域是贵组织的主要身份,公司网域确立了您的公司对于 Google 服务(包括 Google Cloud)的身份。
  • 您可以使用网域来管理贵组织中的用户。
    • 在网域级层,您可以定义在使用 Google Cloud 时哪些用户应与您的组织相关联。
    • 您还可以通过网域统一管理用户政策及设备政策(例如,启用双重身份验证、为组织中的任何用户重置密码)。
  • 网域与 Google Workspace 帐号或 Cloud Identity 帐号相关联。
  • Google Workspace 或 Cloud Identity 帐号只能与一个组织关联。
  • 您可以使用 Google 管理控制台 (admin.google.com) 管理网域级功能。

如需详细了解资源层次结构,请参阅 Resource Manager 文档

组织

  • 组织是 Google Cloud 资源层次结构的根节点。
  • 属于组织的所有 Google Cloud 资源都在组织节点之下分组,让您可以为作为其子项的所有项目、文件夹、资源和 Cloud Billing 帐号定义设置、权限和政策。
  • 一个组织只能与一个网域(通过 Google Workspace 或 Cloud Identity 帐号建立)相关联。当您在 Google Cloud 中设置网域时,系统会自动创建一个组织。
  • 通过组织,您可集中管理您的 Google Cloud 资源以及用户对这些资源的访问权限,包括:
    • 主动式管理:根据需要重新组织资源(例如,进行部门重组或组建新部门后可能需要新的项目和文件夹)。
    • 反应式管理:组织资源可提供安全保障,让您可以重新获得对丢失资源的访问权限(例如,如果您的某个团队成员失去访问权限或离开公司)。
  • 与 Google Cloud 相关的各种角色和资源(包括组织、项目、文件夹、资源和 Cloud Billing 帐号)均在 Google Cloud Console 中进行管理。

如需详细了解组织,请参阅创建和管理组织

文件夹

  • 文件夹是一种分组机制,可以包含项目或其他文件夹,也可以同时包含这二者。
  • 若要使用文件夹,您必须有组织节点
  • 文件夹和项目均映射到组织节点下。
  • 文件夹可用于对共用相同 IAM 政策的资源进行分组。
  • 虽然一个文件夹可以包含多个文件夹或资源,但给定文件夹或资源只能有一个父级。

如需详细了解如何使用文件夹,请参阅创建和管理文件夹

项目

  • 项目是使用服务级资源(例如 Compute Engine 虚拟机、Pub/Sub 主题、Cloud Storage 存储分区等)的必要条件
  • 项目是所有服务级资源的父级,是 Google Cloud 中的基本级层组织实体。
  • 您可以使用项目表示映射到一个业务职能部门或组织结构的逻辑项目、团队、环境或其他集合。
  • 项目为启用服务、API 和 IAM 权限奠定了基础。
  • 任何指定资源都只能存在于一个项目中。

如需详细了解项目,请参阅创建和管理项目

资源

  • Google Cloud 服务级资源是构成所有 Google Cloud 服务(例如 Compute Engine 虚拟机、Pub/Sub 主题、Cloud Storage 存储分区等)的基本组成部分。
  • 出于结算和访问权限控制的目的,资源位于一个层次结构(其中还包括项目和组织)的最低级层。

标签

  • 标签有助于您对 Google Cloud 资源(例如 Compute Engine 实例)进行分类。
  • 标签是一种键值对。
  • 您可以将标签附加到各项资源,然后根据其标签对资源进行过滤。
  • 标签非常适合精细化的费用跟踪。标签相关信息会转发到结算系统,以便您可按标签分析费用

如需详细了解如何使用标签,请参阅创建和管理标签

Cloud Billing 帐号和付款资料

概览

Cloud Billing 帐号在 Google Cloud 中设置,用于定义一组给定 Google Cloud 资源和 Google Maps Platform API 的付款方。对 Cloud Billing 帐号的访问权限控制由 IAM 角色确定。Cloud Billing 帐号与 Google 付款资料相关联。您的 Google 付款资料包含支付费用所用的付款方式。

Cloud Billing 帐号 付款资料
Cloud Billing 帐号:
  • 是在 Cloud Console 中管理的云级资源
  • 跟踪您使用 Google Cloud 期间所产生的所有费用(费用和使用赠金)
    • Cloud Billing 帐号可以关联到一个或多个项目。
    • 项目的使用费将计入关联的 Cloud Billing 帐号名下。
  • 每个 Cloud Billing 帐号生成一个帐单
  • 采用单一币种
  • 定义一组给定资源的付款方
  • Google 付款资料(包括定义如何支付费用的付款方式)相关联
  • 具有特定于结算的角色和权限,以控制对结算相关功能的访问和修改(通过 IAM 角色来确定)
Google 付款资料:
  • 通过 payments.google.com 管理的 Google 级资源
  • 与您使用的所有 Google 服务(例如 Google Ads、Google Cloud 和 Fi 电话服务)相关联
  • 处理所有 Google 服务(不仅仅是 Google Cloud)的付款
  • 存储付款资料负责人的姓名地址税号(如果法律上要求)等信息。
  • 存储您的各种付款方式(信用卡、借记卡、银行账户以及过去您通过 Google 购物时用过的其他付款方式)。
  • 充当文档中心,您可以在其中查看帐单、付款记录等。
  • 控制哪些人可以查看和接收各种 Cloud Billing 帐号和产品的帐单。

显示了项目与 Cloud Billing 帐号以及您的付款资料之间的关系。一侧显示了您的 Cloud 级资源(Cloud Billing 帐号及其关联项目),另一侧显示了您的 Google 级资源(付款资料),两侧由垂直虚线分隔。您的项目由您的 Cloud Billing 帐号支付,该帐号已与您的付款资料关联。

Cloud Billing 帐号类型

Cloud Billing 帐号有两种类型:

  • 自助(或在线)帐号

    • 付款方式是信用卡、借记卡或 ACH 直接付款,具体取决于它们在各个国家或地区的可用性
    • 费用会通过与 Cloud Billing 帐号关联的付款方式自动扣除。
    • 您可以在线注册自助服务帐号。
    • 为自助帐号生成的票据包括对帐单、付款收据和税务发票,可在 Cloud Console 中访问这些票据。
  • 帐单结算(或离线)帐号

    • 付款方式可以是支票或电汇。
    • 我们会通过邮寄或电子方式发送帐单。
    • 与付款收据一样,您也可以在 Cloud Console 中访问帐单。
    • 您必须符合使用帐单结算方式的资格。详细了解帐单结算资格

付款资料类型

创建付款资料时,系统会要求您指定付款资料类型。出于税务和身份验证目的,此信息必须准确无误。此设置无法更改。在设置付款资料时,请务必根据您计划的使用方式,选择最适合的类型。

付款资料有两种类型:

  • 个人

    • 您使用自己的帐号支付个人款项。
    • 如果您将付款资料注册为个人,那么只有您可以管理该付款资料。您将无法添加或移除用户,也无法更改对该付款资料的权限。
  • 企业

    • 您代表企业、组织、合作伙伴或教育机构付款。
    • 您可以通过 Google 付款中心来支付 Google Play 应用和游戏的费用,以及 Google 服务(例如 Google Ads、Google Cloud 和 Fi 电话服务)的费用。
    • 企业付款资料允许您将其他用户添加到您管理的 Google 付款资料中,以便多人可访问或管理一份付款资料。
    • 添加到企业付款资料的所有用户都可以查看该付款资料中的付款信息。

收费周期

Cloud Billing 帐号的收费周期决定了您支付 Google Cloud 服务费用和 Google Maps Platform API 使用费用的方式和时间。

对于自助 Cloud Billing 帐号,我们会通过以下两种方式之一自动收取您的 Google Cloud 费用:

  • 按月结算:我们会定期按月收取费用。
  • 阈值结算:我们会在您的帐号产生的费用达到特定金额时收取费用。

对于自助 Cloud Billing 帐号,我们会在您创建帐号时自动分配其收费周期。您无法选择收费周期,也无法更改收费周期。

对于按帐单结算的 Cloud Billing 帐号,您通常每月收到一张帐单,帐单支付期限(付款期限)由您与 Google 之间达成的协议而定。

结算联系人

Cloud Billing 帐号包含一名或多名联系人,他们是在与 Cloud Billing 帐号关联的 Google 付款资料中定义的。这些联系人旨在接收记录在案的付款方式所对应的结算信息(例如,当信用卡需要更新时)。如需访问和管理此联系人列表,您可以使用付款控制台,也可以使用 Cloud Console

子帐号

子帐号适用于转销商。如果您是转销商,则可在退款时使用子帐号表示客户的费用。

通过 Cloud Billing 子帐号,可在帐单的一个单独部分集中显示其相关项目的费用。结算子帐号是转销商父级 Cloud Billing 帐号所拥有的 Cloud Billing 帐号。所有结算子帐号的使用费均通过转销商的父级 Cloud Billing 帐号支付。请注意,父级 Cloud Billing 帐号必须使用帐单结算方式。

在大多数情况下,子帐号的行为类似于 Cloud Billing 帐号:它可以有与之关联的项目,可以在其中配置 Cloud Billing 数据导出,并且可以在其中定义 IAM 角色。与该子帐号关联的项目的所有应付费用将在帐单上归为一组并计算小计金额;在资源管理方面,子帐号可有完全独立的访问控制政策,以方便隔离和管理客户。

说明了项目与 Cloud Billing 帐号、Cloud Billing 子帐号以及您的付款资料之间的关系。一侧显示了您的 Cloud 级资源(Cloud Billing 帐号、子帐号和关联项目),另一侧显示了您的 Google 级资源(付款资料),两侧由垂直虚线分隔。项目使用费按关联的 Cloud Billing 子帐号归为一组并计算小计金额。子帐号由与付款资料关联的父级 Cloud Billing 帐号支付。

可使用 Cloud Billing Account API 创建和管理子帐号。通过该 API,可以编程方式连接到现有系统并预配新客户或退款组。

组织、项目、Cloud Billing 帐号和付款资料之间的关系

组织、Cloud Billing 帐号和项目之间的交互受两种关系类型制约:所有权和付款关联。

  • 所有权指的是 IAM 权限的继承。
  • 付款关联决定着哪个 Cloud Billing 帐号为给定项目付款。

下图显示了示例组织的所有权和付款关联之间的关系。

说明了项目与您的 Cloud Billing 帐号、组织以及您的付款资料之间的关系。一侧显示了您的 Cloud 级资源(组织、Cloud Billing 帐号和关联项目),另一侧显示了您的 Google 级资源(付款资料),两侧由垂直虚线分隔。您的项目由您的 Cloud Billing 帐号支付,该帐号已与您的付款资料关联。组织使用 IAM 控制所有权。

在上图中,组织拥有项目 1、2 和 3 的所有权,也就是说,它拥有这三个项目的 IAM 父权限。

Cloud Billing 帐号与项目 1、2 和 3 相关联,也就是说,通过它来支付这三个项目所产生的费用。

Cloud Billing 帐号还与 Google 付款资料(用于存储姓名、地址、付款方式等信息)相关联。

在本示例中,在组织级层被授予 IAM Billing 角色的所有用户还将在 Cloud Billing 帐号或项目级层具有相应角色。

如需详细了解如何授予 IAM 结算角色,请参阅结算帐号权限控制概览

角色概览

什么是角色?

您可以通过角色为用户授予一项或多项权限,以便其执行常规业务操作。

角色在 Google Cloud 中的工作原理是什么?

Google Cloud 提供 IAM 来管理对您的 Google Cloud 资源的访问权限控制。IAM 允许您通过设置 IAM 政策来控制谁(用户)哪些资源具有什么访问权限(角色)。如需向用户分配权限,您可以使用 IAM 政策向用户授予特定角色。角色自带一种或多种权限,用于控制用户对资源的访问。

您可以在组织级层文件夹级层项目级层或者(在某些情况下)在服务级资源上设置 IAM 政策(角色)。

政策通过层次结构继承。层次结构中每个节点的有效政策是对该节点直接应用的政策与从其祖先继承而来的政策组合的结果。如果您在组织级层设置政策,则组织的所有子文件夹和项目都会继承该政策。如果在项目级层设置政策,则项目的所有子资源都会继承该政策。您可以在资源层次结构中的不同级层授予细化的权限,以保证适当的人员能够在 Google Cloud 中使用资源。

针对角色的最佳做法

  • 将关键角色分配给多人(合理冗余)
  • 记录哪些人是管理员,并将管理员的姓名传达给组织中的人员
  • 及时更新角色分配

重要角色

下图显示了完整的 Google Cloud 资源层次结构,并介绍了每个级层的重要访问权限角色:

网域
网域级层的 Google Workspace 或 Cloud Identity 超级用户是第一批可以在组织创建后访问组织的用户。
网域 Super Admin
Super Admin 可以在网域级层授予 Organization Admin 角色(或其他任何角色)以及恢复帐号
推荐的分配对象
Super Admin 通常是在高级层管理访问权限的人员,例如网域管理员。
详细了解 Google Workspace 管理员角色Cloud Identity 管理员角色
组织
组织(例如公司)是 Google Cloud 资源层次结构中的根节点。组织资源是项目资源和文件夹的级层祖先。应用于组织资源的 IAM 访问权限控制政策适用于组织中所有资源的整个层次结构。
角色:Organization Admin
Organization Admin 可以在组织内管理任何资源授予任何角色
推荐的分配对象
Organization Admin 通常是管理访问权限控制的人员,例如 IT 管理员。
详细了解组织角色
文件夹
文件夹资源在项目之间提供了额外的分组机制和隔离边界。文件夹资源可以视为组织内的子组织。文件夹可用于给公司内的不同法人实体、部门和团队建模。文件夹可以包含子文件夹和项目。
角色:Folder Administrator
Folder Administrator 可以创建和修改文件夹的 IAM 政策。他们可以决定文件夹中的项目如何继承角色。
推荐的分配对象
Folder Administrator 管理更精细的访问权限控制,通常是部门主管或团队经理。
详细了解文件夹角色
项目
项目资源是基本级层组织实体。 组织和文件夹可以包含多个项目。项目是使用 Google Cloud 的必要条件,也是执行以下操作的基础:创建、启用和使用所有 Google Cloud 服务,管理 API,启用结算功能,添加和移除协作者,以及管理权限。
角色:Project Creator
Project Creator 角色可以创建项目,并且本身允许在 Google Cloud 上增加资源并产生使用量。
推荐的分配对象
组织中的 Project Creator 可以是团队负责人或服务帐号(为了实现自动化)。
角色:Project Owner & User
Project Owner & User 角色让您可以查看项目中的费用和资源使用情况并为资源添加标签。
推荐的分配对象
组织中的 Project Owner & User 可以是团队负责人或开发者。
详细了解项目角色
Cloud Billing 帐号
Cloud Billing 帐号项目关联且用于支付项目费用。Cloud Billing 帐号与 Google 付款资料相关联。
角色:Billing Account Admin
Billing Account Admin 可以启用帐单导出、查看费用/支出、设置预算和提醒,以及关联/解除关联项目。
推荐的分配对象
组织中的 Billing Admin 可以是具备财务知识的人员。
角色:Billing User
Billing User 可以将项目与 Cloud Billing 帐号关联,但不能取消关联。该角色通常也是 Project Creator 角色。
推荐的分配对象
组织中受信任的 Project Creator 通常需要此角色。
详细了解结算角色
付款资料
付款资料您的 Cloud Organization 外部管理,也就是在 Google 付款中心内管理;您可以通过 Google 付款中心集中管理所有 Google 产品和服务(例如 Google Ads、Google Cloud 和 Fi 电话服务)的付费方式。付款资料与 Cloud Billing 帐号相关联。
Payments Profile Admin
Payments Profile Admin 可以查看和管理付款方式、进行付款、查看帐单以及查看付款帐号。
推荐的分配对象
组织中的 Payments Profile Admin 通常是财务或会计团队中的成员。
详细了解付款资料用户权限

云端财务治理指南

视频库:Google Cloud 费用管理。了解监控和管理费用的最佳做法。