Sie können die Abrechnung in Google Cloud auf unterschiedliche Weise entsprechend Ihren Anforderungen konfigurieren. In diesem Abschnitt werden die grundlegenden Abrechnungskonzepte und ihre effektive Nutzung erläutert.
Ressourcenübersicht
Was ist eine Ressource?
Im Kontext von Google Cloud kann sich der Begriff "Ressource" auf die Ressourcen der Dienstebene beziehen, die zur Verarbeitung von Arbeitslasten (VMs, DBs usw.) verwendet werden, sowie auf die Ressourcen der Kontoebene, die den Diensten übergeordnet sind, z. B. Projekte, Ordner und die Organisation.
Was ist Ressourcenverwaltung?
Die Ressourcenverwaltung konzentriert sich darauf, wie Sie die verschiedenen Cloud-Ressourcen für Ihr Unternehmen/Team konfigurieren und gewähren sollten, insbesondere die Einrichtung und Organisation der Ressourcen auf Kontoebene, die den Ressourcen auf Dienstebene übergeordnet sind. Ressourcen auf Kontoebene sind solche Ressourcen, die zum Einrichten und Verwalten Ihres Google Cloud-Kontos erforderlich sind.
Ressourcenhierarchie
Google Cloud-Ressourcen sind hierarchisch organisiert. Mit dieser Hierarchie können Sie die operative Struktur Ihrer Organisation in Google Cloud abbilden und die Zugriffssteuerung und Berechtigungen für Gruppen zugehöriger Ressourcen verwalten. Die Ressourcenhierarchie stellt logische Verbindungspunkte für Zugriffsmanagementrichtlinien (Identity and Access Management) und Organisationsrichtlinien bereit.
Sowohl IAM- als auch Organisationsrichtlinien werden innerhalb der Hierarchie übernommen. Die auf jedem Hierarchieknoten geltende Richtlinie resultiert aus direkt auf den Knoten angewendeten und von Ancestors übernommenen Richtlinien.
Das folgende Diagramm zeigt ein Beispiel für eine Ressourcenhierarchie, in dem die wichtigsten Ressourcen auf Kontoebene für die Verwaltung Ihres Google Cloud-Kontos veranschaulicht werden.
Domain
- Die Unternehmensdomain ist die primäre Identität Ihrer Organisation. Sie bestimmt die Identität Ihres Unternehmens bei Google-Diensten, zu denen auch Google Cloud gehört.
- Die Domain wird zur Verwaltung Ihrer Nutzer in der Organisation verwendet.
- Auf Domainebene legen Sie fest, welche Nutzer Ihrer Organisation bei der Verwendung von Google Cloud zugeordnet werden sollen.
- In einer Domain können Sie außerdem die Richtlinie für Ihre Nutzer und Geräte universell verwalten, beispielsweise durch Aktivieren der Bestätigung in zwei Schritten oder Zurücksetzen der Passwörter für alle Nutzer in Ihrer Organisation.
- Die Domain ist entweder mit einem Google Workspace oder mit einem Cloud Identity-Konto verbunden.
- Das Google-Workspace- oder Cloud Identity-Konto ist genau einer Organisation zugeordnet.
- Sie verwalten die Funktionen auf Domainebene mit der Google Admin Console (admin.google.com).
Weitere Informationen zur Ressourcenhierarchie finden Sie in der Dokumentation zu Resource Manager.
Organisation
- Eine Organisation ist der Stammknoten der Google Cloud-Ressourcenhierarchie.
- Alle Google Cloud-Ressourcen, die zu einer Organisation gehören, werden unter dem Organisationsknoten gruppiert, sodass Sie Einstellungen, Berechtigungen und Richtlinien für alle übergeordneten Projekte, Ordner, Ressourcen und Cloud-Rechnungskonten definieren können.
- Eine Organisation ist genau einer Domain zugeordnet (entweder mit einem Google-Workspace- oder einem Cloud Identity-Konto etabliert) und wird automatisch erstellt, wenn Sie Ihre Domain in Google Cloud einrichten.
- Mit einer Organisation können Sie Ihre Google Cloud-Ressourcen und den Zugriff Ihrer Nutzer auf diese Ressourcen zentral verwalten. Dazu zählen folgende Komponenten:
- Proaktive Verwaltung: Organisieren Sie die Ressourcen nach Bedarf. Wenn eine neue Abteilung neu strukturiert oder neu aufgebaut wird, können beispielsweise neue Projekte und Ordner erforderlich werden.
- Reaktive Verwaltung: Eine Organisationsressource stellt ein Sicherheitsnetz zur Verfügung, um wieder Zugriff auf verlorene Ressourcen zu erhalten (z. B. wenn eines Ihrer Teammitglieder den Zugriff verliert oder das Unternehmen verlässt).
- Die verschiedenen mit Google Cloud verbundenen Rollen und Ressourcen (einschließlich Organisation, Projekte, Ordner, Ressourcen und Cloud-Rechnungskonten) werden in der Google Cloud Console verwaltet.
Weitere Informationen zu Organisationen finden Sie in der folgenden Dokumentation:
- Organisationen erstellen und verwalten
- Organisationsressourcen ansehen und verwalten
- Mehrere Organisationen verwalten
Ordner
- Ordner werden zur Gruppierung eingesetzt und können Projekte, andere Ordner oder eine Kombination aus beiden enthalten.
- Zur Verwendung von Ordnern benötigen Sie einen Organisationsknoten.
- Alle Ordner und Projekte sind dem Organisationsknoten untergeordnet.
- Ordner können zur Gruppierung von Ressourcen verwendet werden, die denselben Cloud IAM-Richtlinien unterliegen.
- Ein Ordner kann mehrere Unterordner und Ressourcen enthalten, jeder Ordner und jede Ressource kann jedoch jeweils nur ein übergeordnetes Element haben.
Weitere Informationen zur Verwendung von Ordnern finden Sie unter Ordner erstellen und verwalten.
Projekte
- Allen Ressourcen auf Dienstebene sind Projekte übergeordnet. Sie bilden die untere Ebene der Organisationseinheit in Google Cloud.
- Projekte sind erforderlich, um Ressourcen auf Dienstebene zu verwenden, z. B. virtuelle Maschinen (VMs) in Compute Engine, Pub/Sub-Themen, Cloud Storage-Buckets usw.
- In Projekten können Sie Geschäftsfunktionen oder -strukturen nachbilden, z. B. logische Projekte, Teams, Umgebungen usw. oder andere Sammlungen, die einer Geschäftsfunktion oder -struktur zugeordnet werden.
- Projekte bilden die Grundlage zum Aktivieren von Diensten, APIs und Cloud IAM-Berechtigungen.
- Jede Ressource kann nur in genau einem Projekt existieren.
Weitere Informationen zu Projekten finden Sie in der folgenden Dokumentation:
Ressourcen
- Google Cloud-Ressourcen auf Dienstebene sind die grundlegenden Komponenten, aus denen sich alle Google Cloud-Dienste zusammensetzen. Ressourcen sind z. B. virtuelle Compute Engine-Maschinen (VMs), Pub/Sub-Themen, Cloud Storage-Buckets usw.
- Für die Abrechnung und die Zugriffssteuerung befinden sich Ressourcen auf der untersten Ebene einer Hierarchie, die auch Projekte und eine Organisation umfasst.
Label
- Mithilfe von Labels können Sie Ihre Google Cloud-Ressourcen kategorisieren, z. B. Compute Engine-Instanzen.
- Ein Label besteht aus einem Schlüssel/Wert-Paar.
- Sie können jeder Ressource ein Label zuweisen und dann die Ressourcen basierend auf ihren Labels filtern.
- Labels eignen sich hervorragend für eine detaillierte Kostenverfolgung. Informationen zu Labels werden an das Abrechnungssystem weitergeleitet, sodass Sie Gebühren nach Labels analysieren können.
Weitere Informationen zur Verwendung von Labels finden Sie unter Labels erstellen und verwalten.
Cloud-Rechnungskonto und -Zahlungsprofil
Übersicht
Ein Cloud-Rechnungskonto wird in Google Cloud eingerichtet. In diesem Rechnungskonto wird definiert, wer einen bestimmten Satz von Google Cloud-Ressourcen und Google Maps Platform APIs bezahlt. Die Steuerung des Zugriffs auf ein Cloud-Rechnungskonto erfolgt über IAM-Rollen. Ein Cloud-Rechnungskonto ist mit einem Google-Zahlungsprofil verbunden. Ihr Google-Zahlungsprofil enthält ein Zahlungsmittel, über das Kosten berechnet werden.
Cloud-Rechnungskonto | Zahlungsprofil |
---|---|
Ein Cloud-Rechnungskonto:
|
Ein Google-Zahlungsprofil:
|
Cloud-Rechnungskontotypen
Es gibt zwei Typen von Cloud-Rechnungskonten
Selfservice-Konto oder Onlinekonto
- Zahlungen erfolgen per Kredit- oder Debitkarte oder per Automated Clearing House-Lastschrift (ACH), je nach Verfügbarkeit im jeweiligen Land bzw. in der jeweiligen Region.
- Die Kosten werden automatisch dem Zahlungsmittel belastet, das mit dem Cloud-Rechnungskonto verknüpft ist.
- Sie können sich online für Selfservice-Konten registrieren.
- Zu den für Selfservice-Konten generierten Dokumenten gehören Kontoauszüge, Zahlungsbelege und Rechnungen mit ausgewiesener Umsatzsteuer. Diese sind in der Console verfügbar.
Rechnungskonto mit monatlicher Abrechnung oder Offlinekonto
- Zahlungen erfolgen per Scheck oder Überweisung.
- Rechnungen werden per Post oder elektronisch gesendet.
- Rechnungen und Zahlungsbelege können auch über die Console abgerufen werden.
- Sie müssen zur Abrechnung per Rechnungsstellung berechtigt sein. Weitere Informationen zu den Berechtigungskriterien für die Abrechnung per Rechnungsstellung
Arten von Zahlungsprofilen
Beim Erstellen Ihres Zahlungsprofils werden Sie aufgefordert, die Profilart anzugeben. Die Auswahl des richtigen Profiltyps ist sowohl aus steuerlichen Gründen als auch zur Identitätsbestätigung wichtig. Diese Einstellung kann nicht geändert werden. Achten Sie beim Einrichten Ihres Zahlungsprofils darauf, dass Sie den Typ auswählen, der am besten zur geplanten Verwendung Ihres Profils passt.
Es gibt zwei Typen von Zahlungsprofilen:
Persönliches Profil
- Sie verwenden Ihr Konto für Ihre persönlichen Zahlungen.
- Wenn Sie Ihr Zahlungsprofil als Person registrieren, können nur Sie das Profil verwalten. Sie können keine Nutzer hinzufügen oder entfernen oder Berechtigungen für das Profil ändern.
Unternehmensprofil
- Sie bezahlen im Auftrag eines Unternehmens, einer Organisation, einer Partnerschaft oder einer Bildungseinrichtung.
- Sie verwenden das Google-Zahlungscenter, um Anwendungen und Spiele bei Google Play sowie Google-Dienste wie Google Ads, Google Cloud oder Google Fi-Telefondienste zu bezahlen.
- Mit einem Unternehmensprofil können Sie andere Nutzer dem von Ihnen verwalteten Google-Zahlungsprofil hinzufügen, sodass mehrere Personen auf ein Zahlungsprofil zugreifen oder dieses verwalten können.
- Alle zu einem Unternehmensprofil hinzugefügten Nutzer können die Zahlungsinformationen in diesem Profil sehen.
Abrechnungszeitraum
Der Abrechnungszeitraum Ihres Cloud-Rechnungskontos bestimmt, wie und wann Sie für Ihre Google Cloud-Dienste und die Nutzung der Google Maps Platform APIs bezahlen.
Bei Selfservice-Konten von Cloud Billing werden Ihre Google Cloud-Kosten automatisch auf eine der folgenden Arten abgerechnet:
- Monatliche Abrechnung: Die Kosten werden monatlich abgerechnet.
- Abrechnungsgrenzbetrag: Die Kosten werden abgerechnet, wenn Ihr Konto einen bestimmten Grenzbetrag erreicht hat.
Bei Selfservice-Konten von Cloud Billing wird Ihr Abrechnungszeitraum automatisch beim Erstellen des Kontos zugewiesen. Sie können den Abrechnungszeitraum nicht auswählen und nicht ändern.
Bei Cloud Billing-Konten mit Rechnungsstellung erhalten Sie in der Regel eine Rechnung pro Monat. Die Dauer der Zahlung (Ihre Zahlungsbedingungen) wird durch die Vereinbarung mit Google festgelegt.
- Mehr über meinen Abrechnungszeitraum erfahren
- Weitere Informationen zur Abrechnung bei Erreichen eines Grenzbetrags
Abrechnungskontakte
Ein Cloud-Rechnungskonto enthält einen oder mehrere Kontakte, die in dem Google-Zahlungsprofil definiert sind, das mit dem Cloud-Rechnungskonto verknüpft ist. Diese Kontakte sind Personen, die bestimmte Zahlungsinformationen für das angegebene Zahlungsmittel erhalten, z. B. wenn eine Kreditkarte aktualisiert werden muss. Sie können diese Kontaktliste über die Zahlungskonsole oder die Console aufrufen und verwalten.
Unterkonten
Unterkonten sind für Reseller gedacht. Als Reseller können Sie Unterkonten verwenden, um die Kosten Ihrer Kunden für Rückbuchungen darzustellen.
Mit Cloud-Rechnungsunterkonten können Sie Gebühren aus Projekten in einem separaten Abschnitt Ihrer Rechnung als Gruppe darstellen. Ein Rechnungsunterkonto ist ein Cloud-Rechnungskonto, das dem übergeordneten Cloud-Rechnungskonto eines Resellers gehört. Die Nutzungsgebühren für alle Rechnungsunterkonten werden über das übergeordnete Cloud-Rechnungskonto des Resellers beglichen. Beachten Sie, dass sich das übergeordnete Cloud-Rechnungskonto auf der Rechnungsstellung befinden muss.
Ein Unterkonto kann in den meisten Punkten genauso verwendet werden wie ein Cloud-Rechnungskonto. Sie können es mit Projekten verknüpfen und es kann für Cloud Billing-Datenexporte konfiguriert werden und IAM-Rollen haben. Alle Gebühren für Projekte, die mit dem Unterkonto verknüpft sind, werden in der Rechnung gruppiert und mit Zwischensumme dargestellt. Bei der Ressourcenverwaltung kann die Zugriffssteuerung auf dem Unterkonto vollkommen separat geregelt werden. Dadurch lassen sich Kunden getrennt verwalten.
Mit der Cloud Billing Account API können Sie Unterkonten erstellen und verwalten. Verwenden Sie die API, um eine Verbindung zu Ihren bestehenden Systemen herzustellen, z. B. wenn Sie neue Kunden oder Rückbuchungsgruppen programmatisch bereitstellen.
Beziehungen zwischen Organisationen, Projekten, Cloud-Rechnungskonten und Zahlungsprofilen
Die Interaktion zwischen Organisationen, Cloud-Rechnungskonten und Projekten wird durch zwei Arten von Beziehungen geregelt: Inhaberschaft und Zahlungsverknüpfung
- Inhaber bezieht sich auf die Übernahme von Cloud IAM-Berechtigungen.
- Zahlungsverknüpfungen legen fest, über welches Cloud-Rechnungskonto die Kosten für ein bestimmtes Projekt bezahlt werden.
Das folgende Diagramm zeigt die Beziehung zwischen Inhaber ("Ownership") und Zahlungsverknüpfungen ("Payment Linkage") für eine Beispielorganisation.
Im Diagramm ist die Organisation Inhaber der Projekte 1, 2 und 3 und besitzt somit die übergeordneten Cloud IAM-Berechtigungen für die drei Projekte.
Das Cloud-Rechnungskonto ist mit den Projekten 1, 2 und 3 verknüpft. Es wird zur Abrechnung der für die drei Projekte anfallenden Kosten verwendet.
Das Cloud-Rechnungskonto ist außerdem mit einem Google-Zahlungsprofil verknüpft, in dem Informationen wie Name, Adresse und Zahlungsmethoden gespeichert werden.
In diesem Beispiel haben alle Nutzer mit IAM-Abrechnungsrollen für die Organisation diese Rollen auch für das Cloud-Rechnungskonto oder die Projekte.
Weitere Informationen zum Zuweisen von IAM-Abrechnungsrollen finden Sie unter Übersicht über die Cloud Billing-Zugriffssteuerung.
Rollen
Was sind Rollen?
Rollen gewähren einem Nutzer eine oder mehrere Berechtigungen, die die Ausführung einer gemeinsamen Geschäftsfunktion ermöglichen.
Wie funktionieren Rollen in Google Cloud?
Google Cloud bietet IAM zur Verwaltung der Zugriffssteuerung auf Ihre Google Cloud-Ressourcen. Mit IAM können Sie durch Festlegung von Richtlinien steuern, wer (Nutzer) welchen Zugriff (Rollen) auf welche Ressourcen hat. Durch IAM-Richtlinien weisen Sie Nutzern Rollen zu, die bestimmte Berechtigungen umfassen. Rollen enthalten eine oder mehrere Berechtigungen, die den Nutzerzugriff auf Ressourcen steuern.
Sie können eine IAM-Richtlinie (Rollen) auf Organisationsebene, Ordnerebene, Projektebene oder (in einigen Fällen) auf der Ressource auf Dienstebene ausführen.
Richtlinien werden gemäß der Hierarchie übernommen. Die Richtlinie, die an einem bestimmten Knoten der Hierarchie gilt, ist das Ergebnis von direkt auf den Knoten angewendeten Richtlinien und von Richtlinien, die von seinen Ancestors übernommen wurden. Wenn Sie eine Richtlinie auf Organisationsebene festlegen, wird sie von allen untergeordneten Ordnern und Projekten übernommen. Wenn Sie eine Richtlinie auf Projektebene festlegen, wird sie von allen untergeordneten Ressourcen übernommen. Sie können auf verschiedenen Ebenen in der Ressourcenhierarchie detaillierte Berechtigungen erzwingen, damit nur berechtigte Personen Ausgaben innerhalb von Google Cloud vornehmen können.
Best Practices für Rollen
- Weisen Sie Schlüsselrollen mehreren Personen zu (angemessene Redundanz).
- Dokumentieren Sie, wer Ihre Administratoren sind, und teilen Sie diese Namen den Personen in Ihrer Organisation mit.
- Halten Sie die Rollenzuweisungen auf dem neuesten Stand.
Wichtige Rollen
Das folgende Diagramm zeigt eine vollständige Google Cloud-Ressourcenhierarchie. Dabei werden die wichtigen Zugriffsrollen für jede Ebene dargestellt:
Domain | ||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Zahlungsprofil | ||||||
---|---|---|---|---|---|---|
|
Weitere Informationen
Leitfaden für finanzielle Governance in der Cloud
Jetzt testen
Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
Jetzt kostenlos starten