Cloud Billing のコンセプトの概要

Google Cloud Platform（GCP）では、ニーズに合わせて請求をさまざまな方法で構成できます。このセクションでは、組織と課金の基本的なコンセプトと効果的な使用方法について説明します。

GCP リソース階層の概要

完全な GCP リソース階層には組織のノードとフォルダが含まれています。この階層により、組織を GCP にマッピングし、アクセス管理ポリシー（Cloud Identity and Access Management）と組織ポリシーを論理的に関連付けることができます。

Cloud IAM と組織ポリシーはともに階層から継承されます。階層の各ノードで有効なポリシーは、ノードに直接適用されるポリシーで、祖先から継承されます。

下の図に、GCP リソース階層の例を示します。

組織は、リソース階層の最上位に存在します。組織内で、フォルダはプロジェクトと他のフォルダをグループ化します。プロジェクトにはリソースが含まれます。リソースは、ラベルを使用してさらに分類できます。リソース階層内のさまざまなレベルで権限を細かく適用し、GCP 内で適切な人物が機能を利用できるように設定できます。

請求先アカウントがリンクされ、プロジェクトの料金が請求されます。

組織

組織は、リソース階層の最上位に存在します。組織に属するすべてのリソースが、組織ノード下でグループ化され、組織内のすべてのリソースに対する分析情報やアクセス制御を提供します。

組織とリソース階層の詳細については、Cloud Resource Manager のドキュメントをご覧ください。

フォルダ

フォルダはグループ化メカニズムです。フォルダ内にはプロジェクト、他のフォルダまたはその両方の組み合わせが存在します。フォルダを使用するには、組織ノードが必要です。フォルダとプロジェクトはすべて組織ノードにマッピングされます。フォルダを使用すると、共通の Cloud IAM ポリシーを共有するリソースをグループ化できます。フォルダに複数のフォルダやリソースを入れることができますが、特定のフォルダやリソースの親は 1 つだけです。

フォルダの使い方については、フォルダの作成と管理をご覧ください。

プロジェクト

下位のリソースの親は、リソースの階層内の中間層であるプロジェクトです。プロジェクトを使用すると、論理プロジェクト、チーム、環境、またはビジネス機能や構造にマップされるその他のコレクションを表すことができます。どのリソースも、1 つのプロジェクト内にしか存在することができません。

プロジェクトの詳細については、プロジェクトの作成と管理をご覧ください。

リソース

GCP リソースは、Compute Engine 仮想マシン（VM）、Cloud Pub/Sub トピック、Cloud Storage バケットなど、すべての GCP サービスから構成される基本的なコンポーネントです。請求およびアクセスを制御する目的で、リソースは、階層（プロジェクトや組織も含む）の最下位に存在します。

ラベル

ラベルは、Google Cloud Platform リソース（Compute Engine インスタンスなど）の分類に役立ちます。ラベルは Key-Value ペアです。各リソースにラベルを設定し、そのラベルに基づいてリソースをフィルタリングできます。ラベルに関する情報は課金システムに転送されるため、ラベルを基準に請求料金を分析することもできます。

ラベルの使用方法については、ラベルの作成と管理をご覧ください。

請求先アカウント

概要

請求先アカウントは、特定のリソースセットの支払い者を定義するために使用します。 請求先アカウントのアクセス制御は、Cloud Identity and Access Management（IAM）役割で行います。請求先アカウントには Google お支払いプロファイルが関連付けられています。このプロファイルには、費用に対する支払い方法が記録されています。

請求先アカウントは、1 つ以上のプロジェクトにリンクできます。プロジェクトの利用料金は、リンクされた請求先アカウントに請求されます。請求先アカウントにリンクされていないプロジェクトでは、有料の GCP サービスを使用することはできません。

アカウント タイプ

請求先アカウントには 2 つのタイプがあります。

• セルフサービス

  • 支払い方法は、各国またはリージョンの状況に応じて、クレジット カード、デビットカードまたは ACH 口座振替になります。
  • 費用は自動的に請求されます。
  • セルフサービス アカウントはオンラインで登録できます。

• 請求書発行

  • 支払い方法は、小切手または銀行振込みです。
  • 請求書は郵送またはメールで送られます。
  • 請求先として適格である必要があります。 請求先の適格性については、こちらをご覧ください。

請求サイクル

費用は、次のいずれかの方法で自動的に請求先アカウントに請求されます。

• 毎月の請求: 月単位で定期的に費用が請求されます。
• 限度額請求: 特定の金額に達すると、費用が請求されます。

請求がある請求先アカウントには、毎月請求されます。セルフサービス請求先アカウントは、毎月の請求と限度額請求のどちらかを選ぶことができます。 限度額請求について詳しくは、こちらをご覧ください。

請求に関する連絡先

請求先アカウントには、Google お支払いプロファイルが関連付けられており、そのプロファイルには請求に関する連絡先が登録されています。指定の支払い方法に関する情報が発生した場合（クレジット カードの更新が必要な場合など）は、登録されている連絡先に通知が送られます。連絡先は、Google Cloud Platform Console または Payments コンソールから管理できます。

サブアカウント

請求先サブカウントを利用すると、プロジェクトからの請求を請求書の別のセクションにまとめることができます。請求先サブカウントは、請求金額が表示される販売パートナーのマスター請求先アカウントへの請求先リンクが付いた請求先アカウントです。マスター請求先アカウントは請求書発行に記載されている必要があります。

サブアカウントは、多くの点で請求先アカウントと同様に動作します。つまり、リンクされたプロジェクトを設定し、請求関連のエクスポートの構成や Cloud IAM 役割の定義を行うことができます。サブアカウントにリンクしているプロジェクトで発生した料金は請求書にまとめられ、小計されます。リソース管理に対する影響として、アクセス制御ポリシーがサブアカウントで完全に分離され、お客様を分離して管理できるようになります。

サブアカウントは、通常、チャージバックの目的で販売パートナーのお客様を表すために使用されます。

Cloud Billing API には、API を経由してサブアカウントを作成し、管理する機能があります。この機能によって既存のシステムに接続し、新しい顧客またはチャージバック グループをプログラムでプロビジョニングできます。

組織、プロジェクト、請求先アカウント、お支払いプロファイルの関係

請求先アカウント、組織、プロジェクト間の相互作用は、所有権と支払いリンクという 2 つのタイプの関係によって管理されます。

• 所有権とは、Cloud IAM 権限の継承を指します。
• 支払いリンクは、特定のプロジェクトの支払いを行う請求先アカウントを定義します。

次の図は、ある組織の所有権と支払いリンクの関係を示しています。

この図では、組織はプロジェクト A、B、C の所有権を持ちます。つまり、3 つのプロジェクトの Cloud IAM 権限についての親になります。

請求先アカウントは、プロジェクト A、B、C にリンクされています。これは、3 つのプロジェクトから発生した料金を支払うことを意味します。

請求先アカウントには Google お支払いプロファイルが関連付けられています。このプロファイルには、氏名、住所、支払い方法などの情報が記録されています。

この例では、組織の Cloud IAM 請求役割が付与されているユーザーには、請求先アカウントまたはプロジェクトの請求役割も割り当てられます。

Cloud IAM 請求役割の付与方法については、請求アクセス制御の概要をご覧ください。

重要な役割

役割の仕組み: Google Cloud Platform（GCP）の Cloud Identity and Access Management（IAM）により、GCP リソースのアクセス制御を管理できます。Cloud IAM では、Cloud IAM ポリシーを設定して、誰（どのユーザー）に、どのリソースに対するどのアクセス権（役割）を付与するかを制御できます。ユーザーに権限を割り当てるには、Cloud IAM ポリシーを使用して特定の役割をユーザーに付与します。役割には 1 つ以上の権限が割り当てられています。これにより、リソースに対するユーザー アクセスを制御します。

ポリシーは階層から継承されます。階層の各ノードで有効なポリシーは、ノードに直接適用されるポリシーで、祖先から継承されます。リソース階層内のさまざまなレベルで権限を細かく適用し、GCP 内で適切な人物が機能を利用できるように設定できます。

下の図は GCP リソース階層を表しています。各レベルで重要な役割について説明します。

public ドメイン

ドメインの特権管理者 特権管理者は、組織管理者の役割（またはその他の役割）を付与し、ドメインレベルでアカウントを復旧できます。 説明 特権管理者は通常、上位レベルでのアクセスを管理できる人物です（ドメイン管理者など）。 詳しくは、G Suite 管理者役割と Cloud Identity 管理者役割をご覧ください。 domain 組織 役割: 組織管理者 組織管理者は、任意のリソースを管理し、組織内のあらゆる役割を付与できます。 説明 組織管理者は通常、アクセス制御を管理できる人物です（IT 管理者など）。 詳しくは、組織の役割をご覧ください。 folder フォルダ 役割: フォルダ管理者 フォルダ管理者は、フォルダの Cloud IAM ポリシーを作成および編集できます。フォルダ内のプロジェクトによって継承される役割を決めます。 説明 フォルダ管理者は、細かいアクセス制御を管理します。通常は部門長やチーム マネージャです。 詳しくは、フォルダの役割をご覧ください。 プロジェクト 役割: プロジェクト作成者 プロジェクト作成者の役割として、プロジェクトを作成できます。GCP でのリソースの起動や使用料金の請求を許可できます。 説明 組織内のプロジェクト作成者はチームリードやサービス アカウント（自動化用）です。 詳しくは、プロジェクトの役割をご覧ください。 monetization_on 請求先アカウント 役割: 請求先アカウント管理者 請求先アカウント管理者は、課金データのエクスポートを有効にして、費用 / 支出の確認、予算とアラートの設定、プロジェクトのリンク / リンク解除を行うことができます。 説明 組織の請求管理者は、財務関連の担当者がなるケースが多いようです。 役割: 課金ユーザー 課金ユーザーは、プロジェクトを請求先アカウントにリンクできますが、リンクの解除はできません。これは通常、プロジェクト作成者の役割と連携して広く使用されています。 説明 通常、組織で信頼できるプロジェクト作成者にはこの役割が必要となります。 詳しくは、請求役割をご覧ください。

payment お支払いプロファイル
お支払いプロファイル管理者 お支払いプロファイル管理者は、支払い方法を表示して管理できます。また、支払い、請求書やお支払いアカウントの確認を行うことができます。 説明 組織のお支払いプロファイル管理者は通常、財務や会計部門の担当者に割り当てます。 詳しくは、お支払いプロファイルのユーザー権限をご覧ください。

その他の情報

picture_as_pdf クラウドの財務ガバナンスに関するガイド