Cloud Billing-Konzepte

Sie können die Abrechnung auf der Google Cloud Platform (GCP) auf unterschiedliche Weise entsprechend Ihren Anforderungen konfigurieren. In diesem Abschnitt werden die grundlegenden Abrechnungskonzepte und ihre effektive Nutzung erläutert.

Ressourcenübersicht

Was ist eine Ressource?

Im Kontext der GCP kann sich der Begriff Ressource auf die Ressourcen der Dienstebene beziehen, die zur Verarbeitung von Arbeitslasten (VMs, DBs usw.) verwendet werden, sowie auf die Ressourcen der Kontoebene, die den Diensten übergeordnet sind, z. B. Projekte, Ordner und die Organisation.

Was ist Ressourcenverwaltung?

Die Ressourcenverwaltung konzentriert sich darauf, wie Sie die verschiedenen Cloudressourcen für Ihr Unternehmen/Team konfigurieren und gewähren sollten, insbesondere die Einrichtung und Organisation der Ressourcen auf Kontoebene, die den Ressourcen auf Dienstebene übergeordnet sind. Ressourcen auf Kontoebene sind diejenigen Ressourcen, die zum Einrichten und Verwalten Ihres GCP-Kontos erforderlich sind.

Ressourcenhierarchie

GCP-Ressourcen sind hierarchisch organisiert. Mithilfe dieser Hierarchie können Sie die operative Struktur Ihrer Organisation in der GCP abbilden und die Zugriffssteuerung und Berechtigungen für Gruppen zugehöriger Ressourcen verwalten. Die Ressourcenhierarchie stellt logische Verbindungspunkte für Zugriffsmanagementrichtlinien (Cloud Identity and Access Management) und Organisationsrichtlinien bereit.

Sowohl Cloud IAM- als auch Organisationsrichtlinien werden innerhalb der Hierarchie übernommen. Die auf jedem Hierarchieknoten geltende Richtlinie resultiert aus direkt auf den Knoten angewendeten und von Ancestors übernommenen Richtlinien.

Das folgende Diagramm zeigt ein Beispiel für eine Ressourcenhierarchie, in dem die wichtigsten Ressourcen auf Kontoebene für die Verwaltung Ihres GCP-Kontos veranschaulicht werden.

Ressourcenhierarchie

Domain

  • Die Unternehmensdomain ist die primäre Identität Ihrer Organisation. Sie bestimmt die Identität Ihres Unternehmens bei Google-Diensten, zu denen auch die Google Cloud Platform gehört.
  • Die Domain wird zur Verwaltung Ihrer Nutzer in der Organisation verwendet.
    • Auf Domainebene legen Sie fest, welche Nutzer Ihrer Organisation bei der Verwendung der Google Cloud Platform zugeordnet werden sollen.
    • In einer Domain können Sie außerdem die Richtlinie für Ihre Nutzer und Geräte universell verwalten, beispielsweise durch Aktivieren der Bestätigung in zwei Schritten oder Zurücksetzen der Passwörter für alle Nutzer in Ihrer Organisation.
  • Die Domain ist entweder mit einem G Suite- oder mit einem Cloud Identity-Konto verbunden.
  • Das G Suite- oder Cloud Identity-Konto ist genau einer Organisation zugeordnet.
  • Sie verwalten die Funktionen auf Domainebene mit der Google Admin Console (admin.google.com).

Weitere Informationen zur Ressourcenhierarchie finden Sie in der Dokumentation zu Cloud Resource Manager.

Organisation

  • Eine Organisation ist der Stammknoten in der Ressourcenhierarchie der Google Cloud Platform.
  • Alle GCP-Ressourcen, die zu einer Organisation gehören, werden unter dem Organisationsknoten gruppiert, sodass Sie Einstellungen, Berechtigungen und Richtlinien für alle übergeordneten Projekte, Ordner, Ressourcen und Rechnungskonten definieren können.
  • Eine Organisation ist genau einer Domain zugeordnet (entweder mit einem G Suite- oder einem Cloud Identity-Konto) und wird automatisch erstellt, wenn Sie Ihre Domain in Google Cloud einrichten.
  • Mit einer Organisation können Sie Ihre GCP-Ressourcen und den Zugriff Ihrer Nutzer auf diese Ressourcen zentral verwalten. Dazu zählen:
    • Proaktive Verwaltung: Organisieren Sie die Ressourcen nach Bedarf. Wenn eine neue Abteilung neu strukturiert oder neu aufgebaut wird, können beispielsweise neue Projekte und Ordner erforderlich werden.
    • Reaktive Verwaltung: Eine Organisationsressource stellt ein Sicherheitsnetz zur Verfügung, um wieder Zugriff auf verlorene Ressourcen zu erhalten (z. B. wenn eines Ihrer Teammitglieder den Zugriff verliert oder das Unternehmen verlässt).
  • Die verschiedenen mit GCP verbundenen Rollen und Ressourcen (einschließlich Organisation, Projekte, Ordner, Ressourcen und Rechnungskonten) werden in der Google Cloud Platform Console verwaltet.

Weitere Informationen zu Organisationen finden Sie unter Organisationen erstellen und verwalten.

Ordner

  • Ordner werden zur Gruppierung eingesetzt und können Projekte, andere Ordner oder eine Kombination aus beiden enthalten.
  • Zur Verwendung von Ordnern benötigen Sie einen Organisationsknoten.
  • Alle Ordner und Projekte sind dem Organisationsknoten untergeordnet.
  • Ordner können zur Gruppierung von Ressourcen verwendet werden, die denselben Cloud IAM-Richtlinien unterliegen.
  • Ein Ordner kann mehrere Unterordner und Ressourcen enthalten, jeder Ordner und jede Ressource kann jedoch jeweils nur ein übergeordnetes Element haben.

Weitere Informationen zur Verwendung von Ordnern finden Sie unter Ordner erstellen und verwalten.

Projekte

  • Projekte sind erforderlich, um Ressourcen auf Dienstebene zu verwenden (z. B. virtuelle Compute Engine-Maschinen (VMs), Cloud Pub/Sub-Themen, Cloud Storage-Buckets usw.).
  • Allen Ressourcen auf Dienstebene sind Projekte übergeordnet. Sie bilden die untere Ebene der Organisationseinheit in der GCP.
  • In Projekten können Sie Geschäftsfunktionen oder -strukturen nachbilden, z. B. logische Projekte, Teams, Umgebungen usw. oder andere Sammlungen, die einer Geschäftsfunktion oder -struktur zugeordnet werden.
  • Projekte bilden die Grundlage zum Aktivieren von Diensten, APIs und Cloud IAM-Berechtigungen.
  • Jede Ressource kann nur in genau einem Projekt vorhanden sein.

Weitere Informationen zu Projekten finden Sie unter Projekte erstellen und verwalten.

Ressourcen

  • GCP-Ressourcen auf Dienstebene sind die grundlegenden Komponenten, aus denen sich alle GCP-Dienste zusammensetzen, z. B. virtuelle Compute Engine-Maschinen (VMs), Cloud Pub/Sub-Themen, Cloud Storage-Buckets usw.
  • Für die Abrechnung und die Zugriffssteuerung befinden sich Ressourcen auf der untersten Ebene einer Hierarchie, die auch Projekte und eine Organisation umfasst.

Label

  • Mithilfe von Labels können Sie Google Cloud Platform-Ressourcen wie Compute Engine-Instanzen kategorisieren.
  • Ein Label besteht aus einem Schlüssel/Wert-Paar.
  • Sie können jeder Ressource ein Label zuweisen und dann die Ressourcen basierend auf ihren Labels filtern.
  • Labels eignen sich hervorragend für eine detaillierte Kostenverfolgung. Informationen zu Labels werden an das Abrechnungssystem weitergeleitet, sodass Sie Gebühren nach Labels analysieren können.

Weitere Informationen zur Verwendung von Labels finden Sie unter Labels erstellen und verwalten.

Rechnungskonto und Zahlungsprofil

Übersicht

Ein Rechnungskonto wird auf der GCP eingerichtet. In diesem Rechnungskonto wird definiert, wer einen bestimmten Satz von GCP-Ressourcen bezahlt. Die Steuerung des Zugriffs auf ein Rechnungskonto erfolgt über die Rollen von Cloud Identity & Access Management (IAM). Ein Rechnungskonto ist mit einem Google-Zahlungsprofil verknüpft, das ein Zahlungsmittel zum Abbuchen von Gebühren enthält.

monetization_on Rechnungskonto payment Zahlungsprofil
Ein Cloud-Rechnungskonto:
  • Ist eine Ressource auf Cloudebene, die in der Google Cloud Platform Console verwaltet wird.
  • Erfasst alle Kosten (Gebühren und Gutschriften für die Nutzung), die durch die GCP-Nutzung entstanden sind).
    • Ein Rechnungskonto kann mit einem oder mehreren Projekten verknüpft sein.
    • Die Gebühren für die Projektnutzung werden dem verknüpften Rechnungskonto belastet.
  • Führt zu einer einzigen Rechnung pro Rechnungskonto.
  • Funktioniert in einer einzigen Währung.
  • Legt fest, wer für einen bestimmten Satz Ressourcen bezahlt.
  • Ist mit einem Google-Zahlungsprofil verbunden, das ein Zahlungsmittel enthält. Dieses legt fest, wie Sie Ihre Gebühren bezahlen.
  • Hat abrechnungsspezifische Rollen und Berechtigungen, um das Zugreifen und Ändern von abrechnungsbezogenen Funktionen zu steuern, die durch Cloud Identity and Access Management-Rollen festgelegt wurden.
Ein Google-Zahlungsprofil:
  • Ist eine Ressource auf Google-Ebene die unter payments.google.com verwaltet wird.
  • Stellt eine Verbindung zu ALLEN Ihren Google-Diensten (z. B. Google Ads, Google Cloud und dem Google Fi-Telefondienst) her.
  • Verarbeitet Zahlungen für ALLE Google-Dienste (nicht nur für Google Cloud).
  • Speichert Informationen wie Name, Adresse und Steuernummer (falls gesetzlich erforderlich) der Person, die für das Profil verantwortlich ist.
  • Speichert Ihre Kredit- und Debitkarten, Bankkonten und andere Zahlungsmethoden, mit denen Sie in der Vergangenheit bei Google bezahlt haben.
  • Fungiert als Dokumentencenter, in dem Sie Rechnungen, den Zahlungsverlauf usw. anzeigen können.
  • Steuert, wer Rechnungen für Ihre verschiedenen Rechnungskonten und Produkte aufrufen und erhalten kann.

Projektabrechnung auf der Google Cloud Platform

Arten von Rechnungskonten

Es gibt zwei Arten von Rechnungskonten:

Arten von Zahlungsprofilen

Beim Erstellen Ihres Zahlungsprofils werden Sie aufgefordert, die Profilart anzugeben. Die Auswahl der richtigen Profilart ist sowohl aus steuerlichen Gründen als auch zur Identitätsbestätigung wichtig. Diese Einstellung kann nicht geändert werden. Achten Sie beim Einrichten Ihres Zahlungsprofils darauf, dass Sie die Art auswählen, die am besten zur geplanten Verwendung Ihres Profils passt.

Es gibt zwei Arten von Zahlungsprofilen:

  • Persönliches Profil

    • Sie verwenden Ihr Konto für Ihre persönlichen Zahlungen.
    • Wenn Sie Ihr Zahlungsprofil als Person registrieren, können nur Sie das Profil verwalten. Sie können keine Nutzer hinzufügen oder entfernen oder Berechtigungen für das Profil ändern.
  • Unternehmensprofil

    • Sie bezahlen im Auftrag eines Unternehmens, einer Organisation, einer Partnerschaft oder einer Bildungseinrichtung.
    • Sie verwenden das Google-Zahlungscenter, um Apps und Spiele bei Google Play sowie Google-Dienste wie Google Ads, Google Cloud oder Google Fi-Telefondienste zu bezahlen.
    • Mit einem Unternehmensprofil können Sie andere Nutzer dem von Ihnen verwalteten Google-Zahlungsprofil hinzufügen, sodass mehrere Personen auf ein Zahlungsprofil zugreifen oder dieses verwalten können.
    • Alle zu einem Unternehmensprofil hinzugefügten Nutzer können die Zahlungsinformationen in diesem Profil sehen.

Abrechnungszeitraum

Ein Rechnungskonto wird auf eine der folgenden Weisen mit Kosten belastet:

  • Monatliche Abrechnung: Die Kosten werden monatlich abgerechnet.
  • Abrechnungsgrenzbetrag: Die Kosten werden abgerechnet, wenn Ihr Konto einen bestimmten Grenzbetrag erreicht hat.

Bei der Abrechnung per Rechnungsstellung wird immer monatlich abgerechnet. Self-Service-Rechnungskonten können monatlich oder bei Erreichen eines Grenzbetrags abgerechnet werden. Weitere Informationen zur Abrechnung bei Erreichen eines Grenzbetrags

Abrechnungskontakte

Ein Rechnungskonto enthält eine Reihe von Kontakten, die im Google-Zahlungsprofil definiert sind, das mit dem Rechnungskonto verknüpft ist. Bei diesen Kontakten handelt es sich um Personen, die spezifische Rechnungsinformationen für das hinterlegte Zahlungsmittel erhalten können (zum Beispiel, wenn eine Kreditkarte aktualisiert werden muss). Sie können die Kontakte über die Google Cloud Platform Console oder die Zahlungskonsole verwalten.

Unterkonten

Mithilfe von Abrechnungsunterkonten können Sie Gebühren aus Projekten in einem separaten Abschnitt Ihrer Rechnung als Gruppe darstellen. Ein Abrechnungsunterkonto ist ein Abrechnungskonto, das mit dem Hauptabrechnungskonto eines Resellers verknüpft ist, dem die Gebühren in Rechnung gestellt werden. Voraussetzung dafür ist, dass für das Hauptabrechnungskonto die Option der Rechnungsstellung genutzt wird.

Ein Unterkonto kann in den meisten Punkten genauso verwendet werden wie ein Abrechnungskonto. Sie können es mit Projekten verknüpfen und es kann für Abrechnungsexporte konfiguriert werden und IAM-Rollen haben. Alle Gebühren für Projekte, die mit dem Unterkonto verknüpft sind, werden in der Rechnung gruppiert und mit Zwischensumme dargestellt. Bei der Ressourcenverwaltung kann die Zugriffssteuerung auf dem Unterkonto vollkommen separat geregelt werden. Dadurch lassen sich Kunden getrennt verwalten.

Unterkonten stehen oft für Kunden eines Resellers, z. B. zum Zweck von Rückbuchungen.

Projektabrechnung auf der Google Cloud Platform

Mit der Cloud Billing API können Sie Unterkonten über die API erstellen und verwalten. Hierüber lässt sich eine Verbindung zu Ihren eigenen Systemen herstellen, z. B. wenn Sie neue Kunden oder Rückbuchungsgruppen programmgesteuert bereitstellen möchten.

Beziehungen zwischen Organisationen, Projekten, Rechnungskonten und Zahlungsprofilen

Die Interaktion zwischen Organisationen, Rechnungskonten und Projekten wird durch zwei Arten von Beziehungen geregelt: Inhaberschaft und Zahlungsverknüpfung.

  • Inhaberschaft bezieht sich auf die Übernahme von Cloud IAM-Berechtigungen.
  • Zahlungsverknüpfungen legen fest, über welches Rechnungskonto die Kosten für ein bestimmtes Projekt bezahlt werden.

Das folgende Diagramm zeigt die Beziehung zwischen Inhaberschaft ("Ownership") und Zahlungsverknüpfungen ("Payment Linkage") für eine Beispielorganisation.

Beziehung zwischen Inhaber und Zahlungsverknüpfungen

Im Diagramm ist die Organisation ("Organization") Inhaber der Projekte ("Projects") 1, 2 und 3 und besitzt somit die übergeordneten Cloud IAM-Berechtigungen für die drei Projekte.

Das Rechnungskonto ("Billing Account") ist mit den Projekten 1, 2 und 3 verknüpft. Es wird zur Abrechnung der für die drei Projekte anfallenden Kosten verwendet.

Außerdem ist es mit einem Google-Zahlungsprofil verknüpft, in dem Informationen wie Name, Adresse und Zahlungsmethoden gespeichert werden.

In diesem Beispiel haben alle Nutzer mit Cloud IAM-Abrechnungsrollen für die Organisation diese Rollen auch für das Rechnungskonto und die Projekte.

Weitere Informationen zum Zuweisen von Cloud IAM-Abrechnungsrollen finden Sie unter Zugriffssteuerung für die Abrechnung.

Rollen

Was sind Rollen?

Rollen gewähren einem Nutzer eine oder mehrere Berechtigungen, die die Ausführung einer gemeinsamen Geschäftsfunktion ermöglichen.

Wie funktionieren Rollen auf der GCP?

Die Google Cloud Platform bietet Cloud Identity and Access Management (Cloud IAM) zur Verwaltung der Zugriffssteuerung auf Ihre GCP-Ressourcen. Mit Cloud IAM und den damit festgelegten Richtlinien lässt sich steuern, wer (Nutzer) welchen Zugriff (Rollen) auf welche Ressourcen hat. Mit Cloud IAM-Richtlinien weisen Sie Nutzern Rollen zu, die bestimmte Berechtigungen umfassen. Rollen enthalten eine oder mehrere Berechtigungen, die den Nutzerzugriff auf Ressourcen steuern.

Cloud IAM-Richtlinien (-Rollen) können auf Organisationsebene, Ordnerebene, Projektebene und zum Teil auch auf Ressourcenebene festgelegt werden.

Richtlinien werden gemäß der Hierarchie übernommen. Die Richtlinie, die an einem bestimmten Knoten der Hierarchie gilt, ist das Ergebnis von direkt auf den Knoten angewendeten Richtlinien und von Richtlinien, die von seinen Ancestors übernommen wurden. Wenn Sie eine Richtlinie auf Organisationsebene festlegen, wird sie von allen untergeordneten Ordnern und Projekten übernommen. Wenn Sie eine Richtlinie auf Projektebene festlegen, wird sie von allen untergeordneten Ressourcen übernommen. Sie können auf verschiedenen Ebenen in der Ressourcenhierarchie detaillierte Berechtigungen erzwingen, damit nur berechtigte Personen Ausgaben innerhalb der GCP vornehmen können.

Best Practices für Rollen

  • Weisen Sie Schlüsselrollen mehreren Personen zu (angemessene Redundanz).
  • Dokumentieren Sie, wer Ihre Administratoren sind, und teilen Sie diese Namen den Personen in Ihrer Organisation mit.
  • Halten Sie die Rollenzuweisungen auf dem neuesten Stand.

Wichtige Rollen

Das folgende Diagramm zeigt eine vollständige GCP-Ressourcenhierarchie. Dabei werden die wichtigen Zugriffsrollen für jede Ebene dargestellt:

public Domain
Die Super Admins von G Suite oder Cloud Identity auf Domainebene sind die ersten Nutzer, die nach dem Erstellen einer Organisation Zugriff darauf haben.
Domain-Super Admin
Der Super Admin kann die Rolle "Organisationsadministrator" oder eine beliebige andere Rolle zuweisen und auf Domainebene Konten wiederherstellen.
Empfohlene zugewiesene Person
Der Super Admin ist normalerweise jemand, der Zugriffe auf hoher Ebene verwaltet, etwa ein Domainadministrator.
Weitere Informationen zu Administratorrollen in der G Suite und Administratorrollen in Cloud Identity.
domain Organisation
Eine Organisation, z. B. ein Unternehmen, ist der Stammknoten in der GCP-Ressourcenhierarchie. Die Organisationsressource ist der hierarchische Ancestor von Projektressourcen und Ordnern. Die auf die Organisationsressource angewendeten Cloud IAM-Zugriffssteuerungsrichtlinien gelten innerhalb der gesamten Hierarchie für alle Ressourcen der Organisation.
Rolle: Organisationsadministrator
Der Organisationsadministrator kann jede Ressource verwalten und jede Rolle innerhalb der Organisation zuweisen.
Empfohlene zugewiesene Person
Der Organisationsadministrator ist normalerweise jemand, der die Zugriffssteuerung verwaltet, etwa ein IT-Administrator.
Weitere Informationen zu Organisationsrollen
folder Ordner
Ordnerressourcen bieten zusätzliche Gruppierungsmechanismen und grenzen Projekte voneinander ab. Sie können als Unterorganisationen innerhalb der Organisation betrachtet werden. Ordner können verschiedene Rechtspersönlichkeiten, Abteilungen und Teams innerhalb eines Unternehmens darstellen. Ordner können Unterordner und Projekte enthalten.
Rolle: Ordneradministrator
Der Ordneradministrator kann die Cloud IAM-Richtlinie für Ordner erstellen und bearbeiten. Er entscheidet, wie Rollen von Projekten in den Ordnern übernommen werden.
Empfohlene zugewiesene Person
Der Ordneradministrator verwaltet eine präzisere Zugriffssteuerung und ist normalerweise ein Abteilungsleiter oder Teammanager.
Weitere Informationen zu Ordnerrollen
Projekte
Die Projektressource ist die unterste Organisationsentität. Organisationen und Ordner können mehrere Projekte enthalten. Ein Projekt ist zur Verwendung der Google Cloud Platform erforderlich und bildet die Grundlage zum Erstellen, Aktivieren und Verwenden aller GCP-Dienste. Dies umfasst unter anderem die API-Verwaltung, das Aktivieren der Abrechnung, das Hinzufügen und Entfernen von Mitarbeitern sowie die Berechtigungsverwaltung.
Rolle: Projektersteller
Projektersteller können Projekte erstellen und Ressourcen zur Verwendung in der GCP einrichten.
Empfohlene zugewiesene Person
Projektersteller in Ihrer Organisation können z. B. Teamleiter oder Dienstkonten (für die Automatisierung) sein.
Rolle: Projektinhaber und -nutzer
Mit der Rolle "Projektinhaber und -nutzer" können Sie die Kosten und die Nutzung im Projekt aufrufen und Ressourcen mit Labels versehen.
Empfohlene zugewiesene Person
Teamleiter oder Entwickler in Ihrer Organisation können die Rolle "Projektinhaber und -nutzer" haben.
Weitere Informationen zu Projektrollen
monetization_on Rechnungskonto
Cloud Billing-Konten sind mit Projekten verknüpft und werden zu deren Bezahlung verwendet. Cloud Billing-Konten sind mit einem Google-Zahlungsprofil verbunden.
Rolle: Rechnungskontoadministrator
Der Rechnungskontoadministrator kann den Abrechnungsexport aktivieren, Kosten/Ausgaben einsehen, Budgets und Benachrichtigungen festlegen und Projekte verknüpfen bzw. ihre Verknüpfung aufheben.
Empfohlene zugewiesene Person
Die Rechnungskontoadministratoren in Ihrer Organisation sollten sich mit finanziellen Themen auskennen.
Rolle: Abrechnungsnutzer
Abrechnungsnutzer können Projekte mit Rechnungskonten verknüpfen, die Verknüpfung jedoch nicht aufheben. Die Rolle wird normalerweise zusammen mit der Rolle des Projekterstellers zugewiesen.
Empfohlene zugewiesene Person
Sie sollten diese Rolle in der Regel vertrauenswürdigen Projekterstellern in Ihrer Organisation zuweisen.
Weitere Informationen zu Abrechnungsrollen
payment Zahlungsprofil
Zahlungsprofile werden außerhalb der Cloudorganisation im Google-Zahlungscenter verwaltet. Dort können Sie die Zahlungsmethoden für alle Google-Produkte und -Dienste wie Google Ads, Google Cloud und den Google Fi-Telefondienst verwalten. Zahlungsprofile sind mit Cloud Billing-Konten verknüpft.
Zahlungsprofiladministrator
Der Zahlungsprofiladministrator kann Zahlungsmethoden einsehen und verwalten, Zahlungen vornehmen sowie Rechnungen und Zahlungskonten aufrufen.
Empfohlene zugewiesene Person
Die Zahlungsprofiladministratoren in Ihrer Organisation sind normalerweise Teil der Finanzabteilung oder der Buchhaltung.
Weitere Informationen zu Zahlungsprofil-Nutzerberechtigungen

Weitere Informationen

picture_as_pdf Leitfaden für finanzielle Governance in der Cloud

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit: