Visão geral dos conceitos do Cloud Billing

É possível configurar o faturamento no Google Cloud Platform (GCP) de várias maneiras para atender a diferentes necessidades. Nesta seção, são apresentados os principais conceitos relacionados a organização e faturamento, além de como usá-los com eficácia.

Visão geral de recursos

O que é um recurso?

No contexto do GCP, um recurso pode se referir aos recursos de nível de serviço usados para processar suas cargas de trabalho (VMs, bancos de dados etc.), bem como aos recursos de nível de conta que estão acima dos serviços, como projetos, pastas e a organização.

O que é gerenciamento de recursos?

O gerenciamento de recursos é focado na configuração e atribuição de acesso aos vários recursos do Cloud para sua empresa/equipe, especificamente a configuração e a organização dos recursos de nível de conta que estão acima dos recursos de nível de serviço. Os recursos de nível da conta são aqueles envolvidos na configuração e na administração da sua conta do GCP.

Hierarquia de recursos

Os recursos do GCP são organizados em hierarquia. Ela permite mapear a estrutura operacional da organização para o GCP e gerenciar o controle de acesso e as permissões para grupos de recursos relacionados. A hierarquia de recursos fornece pontos de anexação lógicos para políticas de gerenciamento de acesso (Cloud Identity and Access Management) e políticas da organização.

As políticas do Cloud IAM e da organização são herdadas pela hierarquia: a política vigente em cada nó da hierarquia é o resultado das políticas aplicadas diretamente ao nó mais as herdadas dos ancestrais.

O diagrama a seguir mostra um exemplo de hierarquia com os principais recursos de nível de conta envolvidos na administração de sua conta do GCP.

Hierarquia de recursos

Domínio

  • O domínio da sua empresa é a principal identidade da sua organização e, portanto, estabelece a identidade da sua empresa nos serviços do Google, incluindo o Google Cloud Platform.
  • Você usa o domínio para gerenciar os usuários da organização.
    • No nível do domínio, você define quais usuários são associados à sua organização ao usar o Google Cloud Platform.
    • O domínio também é o local em que você administra políticas universalmente para seus usuários e dispositivos (por exemplo, ativar a autenticação de dois fatores, redefinir senhas para qualquer usuário da organização).
  • O domínio está vinculado a uma conta do G Suite ou do Cloud Identity.
  • Cada conta do G Suite ou do Cloud Identity está associada a exatamente uma organização.
  • Você gerencia a funcionalidade de nível de domínio usando o Google Admin Console (admin.google.com).

Para mais informações sobre a hierarquia de recursos, consulte a documentação do Cloud Resource Manager.

Organização

  • Uma organização é o nó raiz da hierarquia de recursos do Google Cloud Platform.
  • Todos os recursos do GCP que pertencem a uma organização são agrupados no nó da organização, permitindo que você defina configurações, permissões e políticas para todos os projetos, pastas, recursos e contas de faturamento de que é pai.
  • Uma organização é associada a exatamente um domínio (estabelecida com uma conta do G Suite ou do Cloud Identity), sendo criada automaticamente quando você configura seu domínio no Google Cloud.
  • Usando uma organização, é possível realizar o gerenciamento central dos recursos do GCP e do acesso dos usuários a eles. Isso inclui:
    • gerenciamento proativo: reorganize os recursos conforme necessário (por exemplo, reestruturar ou ativar uma nova divisão pode exigir novos projetos e pastas);
    • gerenciamento reativo: um recurso da organização fornece uma rede de segurança para recuperar o acesso a recursos perdidos (por exemplo, se um dos membros de sua equipe perder o acesso ou sair da empresa).
  • Os vários papéis e recursos relacionados ao GCP (incluindo a organização, projetos, pastas, recursos e contas de faturamento) são gerenciados no Console do Google Cloud Platform.

Para mais informações sobre organizações, consulte Como criar e gerenciar organizações.

Pastas

  • Como mecanismo de agrupamento, as pastas podem conter projetos, outras pastas ou uma combinação de ambos.
  • Para usá-las, você precisa ter um nó da organização.
  • Todos os projetos e pastas são mapeados nele.
  • É possível usar as pastas para agrupar recursos que compartilham as mesmas políticas do Cloud IAM.
  • Cada uma pode conter várias pastas ou recursos. No entanto, uma pasta ou um recurso específicos podem ter somente um pai.

Para mais detalhes sobre o uso de pastas, consulte Como criar e gerenciar pastas.

Projetos

  • Os projetos precisam usar recursos de nível de serviço, como máquinas virtuais (VMs) do Compute Engine, tópicos do Cloud Pub/Sub, intervalos do Cloud Storage e assim por diante.
  • Todos os recursos de nível de serviço são filhos de projetos, a entidade organizacional de nível básico no GCP.
  • É possível usar projetos para representar projetos lógicos, equipes, ambientes ou outras coleções que mapeiem para uma função ou estrutura de negócio.
  • Os projetos formam a base para permitir serviços, APIs e permissões do Cloud IAM.
  • Qualquer recurso só pode existir em um projeto.

Para ver mais detalhes sobre projetos, consulte Como criar e gerenciar projetos.

Recursos

  • Os recursos de nível de serviço do GCP são os componentes fundamentais que compõem todos os serviços do GCP, como máquinas virtuais (VMs) do Compute Engine, tópicos do Cloud Pub/Sub, intervalos do Cloud Storage e assim por diante.
  • Para fins de faturamento e controle de acesso, os recursos estão no nível mais baixo de uma hierarquia que também inclui projetos e uma organização.

Rótulos

  • Os rótulos ajudam a categorizar seus recursos do Google Cloud Platform (como instâncias do Compute Engine).
  • Um rótulo é um par de chave-valor.
  • É possível anexar rótulos a cada recurso e depois filtrar os recursos com base nos rótulos.
  • Rótulos são ótimos para rastreamento de custos em nível granular. As informações sobre rótulos são encaminhadas ao sistema de faturamento para que você possa analisar suas cobranças por rótulos.

Para ver mais detalhes sobre o uso de rótulos, consulte Como criar e gerenciar rótulos.

Conta de faturamento e perfil para pagamentos

Visão geral

Uma conta de faturamento é configurada no GCP, sendo usada para definir quem paga por um determinado conjunto de recursos do GCP. Os papéis do Cloud Identity and Access Management (IAM) estabelecem o controle de acesso a uma conta de faturamento. Essa conta é conectada a um perfil para pagamentos do Google, que inclui um instrumento de pagamento para cobrança dos custos.

monetization_on Conta de faturamento payment Perfil para pagamentos
Uma conta do Cloud Billing:
  • é um recurso de nível de nuvem gerenciado no Console do Google Cloud Platform;
  • rastreia todos os custos (cobranças e créditos de uso) gerados pelo uso do GCP;
    • Uma conta de faturamento pode ser vinculada a um ou mais projetos.
    • O uso do projeto é cobrado na conta de faturamento vinculada.
  • resulta em uma única fatura por conta de faturamento;
  • opera em uma única moeda;
  • define quem paga por um determinado conjunto de recursos;
  • está conectado a um perfil do Google Payments, que inclui um instrumento de pagamento, definindo como você paga suas cobranças;
  • tem papéis e permissões específicos de faturamento para controlar o acesso e a modificação de funções relacionadas ao faturamento (estabelecidas pelos papéis do Cloud Identity and Access Management).
Um perfil do Google Payments:
  • é um recurso do nível do Google gerenciado em payments.google.com;
  • conecta-se a TODOS os seus serviços do Google (como Google Ads, Google Cloud e o serviço de smartphone Fi);
  • processa pagamentos de TODOS os serviços do Google (não apenas do Google Cloud);
  • armazena informações como nome, endereço e CPF/CNPJ (quando exigido legalmente) de quem é responsável pelo perfil;
  • armazena seus vários instrumentos de pagamento (cartões de crédito, cartões de débito, contas bancárias e outras formas de pagamento que você usou para comprar pelo Google no passado);
  • funciona como um centro de documentos, onde é possível ver faturas, histórico de pagamentos etc.;
  • controla quem pode ver e receber faturas referentes a produtos e contas de faturamento diversos.

Projetos de faturamento do Google Cloud Platform

Tipos de conta de faturamento

Há dois tipos de conta de faturamento:

Tipos de perfil para pagamentos

Ao criar seu perfil para pagamentos, você será solicitado a especificar o tipo de perfil. Essas informações precisam ser exatas por motivos fiscais e para a verificação da identidade. Não é possível alterar essa configuração. Quando você estiver configurando seu perfil de pagamentos, escolha o tipo mais adequado ao modo como você planeja usar seu perfil.

Há dois tipos de perfil para pagamentos:

  • Pessoa física

    • Você usa a conta para pagamentos pessoais.
    • Se registrar seu perfil para pagamentos como pessoa física, somente você poderá gerenciá-lo. Não será possível adicionar ou remover usuários nem alterar as permissões no perfil.
  • Pessoa jurídica

    • Você paga em nome de uma empresa, organização, parceria ou instituição educacional.
    • Você usa a central de pagamentos do Google para pagar por apps e jogos do Google Play, além de serviços do Google, como Google Ads, Google Cloud e o serviço de smartphone Fi.
    • Um perfil de pessoa jurídica permite adicionar outros usuários ao perfil do Google Payments que você gerencia, para que mais de uma pessoa possa acessar ou gerenciar um perfil para pagamentos.
    • Todos os usuários adicionados a um perfil de pessoa jurídica podem ver as informações de pagamento nesse perfil.

Ciclo de cobrança

Os custos são cobrados automaticamente em uma conta de faturamento de duas maneiras:

  • Faturamento mensal: os custos são cobrados em um ciclo mensal regular.
  • Faturamento por limite: os custos são cobrados quando um valor específico é acumulado na sua conta.

As contas com fatura são cobradas mensalmente. As contas de faturamento por autoatendimento podem usar cobrança mensal ou por limite. Saiba mais sobre o faturamento por limite.

Contatos de faturamento

Uma conta de faturamento inclui um conjunto de contatos, definidos no perfil do Google Payments conectado a ela. Esses contatos são pessoas que podem receber informações de faturamento específicas do instrumento de pagamento registrado (por exemplo, quando é preciso atualizar um cartão de crédito). É possível gerenciar os contatos por meio do Console do Google Cloud Platform ou do console do Payments.

Subcontas

As subcontas de faturamento permitem agrupar cobranças de projetos em uma seção separada da sua fatura. Uma subconta de faturamento é uma conta de faturamento vinculada à conta de faturamento principal de um revendedor, onde as cobranças são exibidas. A conta de faturamento principal precisa estar na fatura.

Uma subconta é semelhante a uma conta de faturamento em muitos aspectos. Ela pode ter projetos vinculados, exportações de faturamento configuradas e papéis do Cloud IAM definidos. Qualquer cobrança de projetos vinculados à subconta é agrupada e subtotalizada na fatura. Quanto o gerenciamento de recursos, a política de controle de acesso pode ser totalmente segregada na subconta para permitir a separação e o gerenciamento de clientes.

As subcontas normalmente são usadas para representar os clientes dos revendedores para fins de estorno.

Projetos de faturamento do Google Cloud Platform

Com a API Cloud Billing, você cria e gerencia subcontas para se conectar aos sistemas em uso e provisionar novos clientes ou grupos de estorno de maneira programada.

Relacionamentos entre organizações, projetos, contas de faturamento e perfis para pagamentos

Dois tipos de relacionamento regem as interações entre organizações, contas de faturamento e projetos: propriedade e vínculo de pagamento.

  • Propriedade se refere à herança de permissão do Cloud IAM.
  • Vínculos de pagamento definem qual conta de faturamento paga por um determinado projeto.

O diagrama a seguir mostra o relacionamento de propriedade e vínculos de pagamento de uma organização de exemplo.

Relacionamento de propriedade e vínculos de pagamento

No diagrama, a organização tem propriedade sobre os projetos 1, 2 e 3, o que significa que é a mãe das permissões do Cloud IAM dos três projetos.

A conta de faturamento está vinculada aos projetos 1, 2 e 3. Isso significa que ela paga pelos custos gerados pelos três projetos.

A conta de faturamento também está vinculada a um perfil para pagamentos do Google, que armazena informações como nome, endereço e formas de pagamento.

Neste exemplo, qualquer usuário da organização com papel de faturamento no Cloud IAM também tem esses papéis na conta de faturamento ou nos projetos.

Para mais informações sobre como conceder papéis de faturamento do Cloud IAM, consulte Visão geral do controle de acesso de faturamento.

Visão geral de papéis

O que são papéis?

Os papéis concedem um ou mais privilégios a um usuário, permitindo a execução de uma função comercial comum.

Como os papéis funcionam no GCP?

O Google Cloud Platform oferece o Cloud Identity and Access Management (Cloud IAM) para gerenciar o controle de acesso aos seus recursos do GCP. Com o Cloud IAM, defina políticas de IAM para controlar quem (usuários) tem qual acesso (papéis) a quais recursos. Para atribuir permissões a um usuário, use as políticas do Cloud IAM e conceda papéis específicos. Os papéis incluem uma ou mais permissões, controlando o acesso do usuário aos recursos.

É possível definir uma política (papéis) do Cloud IAM nos níveis da organização, de pasta, de projeto ou (em alguns casos) no recurso de nível de serviço.

As políticas são herdadas pela hierarquia. A política vigente em cada nó da hierarquia é o resultado das políticas aplicadas diretamente no nó e daquelas herdadas de ancestrais. Se você definir uma política no nível da organização, ela será herdada por todas as pastas e projetos filhos. Se você definir uma política no nível do projeto, ela será herdada por todos os recursos filhos. Aplique permissões granulares em níveis diferentes na hierarquia de recursos para garantir que as pessoas certas possam gastar no GCP.

Práticas recomendadas para papéis

  • Atribua papéis chave a mais de uma pessoa (redundância razoável).
  • Documente quem são seus administradores e comunique esses nomes às pessoas da sua organização.
  • Mantenha as atribuições de papel atualizadas.

Papéis importantes

O diagrama abaixo representa a hierarquia completa de recursos do GCP, destacando os papéis importantes de alto acesso em cada nível:

Domínio public
Os superadministradores do G Suite ou do Cloud Identity são os primeiros usuários que podem acessar a organização após a criação.
Superadministrador do domínio
O superadministrador pode conceder o papel administrador da organização (ou qualquer outro) e recuperar contas no nível de domínio.
Cessionário recomendado
O superadministrador geralmente é quem gerencia acessos em alto nível, como o administrador do domínio.
Saiba mais sobre os papéis de administrador do G Suite e os papéis de administrador do Cloud Identity.
domain Organização
Uma organização (por exemplo, uma empresa) é o nó raiz na hierarquia de recursos do GCP. Esse recurso é o ancestral hierárquico dos recursos do projeto e das pastas. As políticas de controle de acesso do Cloud IAM aplicadas ao recurso Organização são válidas para toda a hierarquia, em todos os recursos da organização.
Papel: administrador da organização
O administrador da organização pode administrar qualquer recurso e conceder qualquer papel dentro da organização.
Cessionário recomendado
O administrador da organização geralmente é quem gerencia o controle de acesso, como o administrador de TI.
Saiba mais sobre os papéis de organização.
folder Pastas
Os recursos de pasta fornecem mais mecanismos de agrupamento e limites de isolamento entre projetos. Eles podem ser considerados como suborganizações dentro da organização. As pastas podem ser usadas para modelar diferentes pessoas jurídicas, departamentos e equipes em uma empresa. Elas podem conter subpastas e projetos.
Papel: administrador da pasta
O administrador da pasta pode criar e editar a política de pastas do Cloud IAM. Ele decide como os papéis são herdados pelos projetos nas pastas.
Cessionário recomendado
O administrador da pasta gerencia o controle de acesso mais refinado. Normalmente, é o chefe de departamento ou o gerente de equipe.
Saiba mais sobre os papéis de pasta.
Projetos
O recurso de projeto é a entidade organizadora do nível básico. Organizações e pastas podem conter vários projetos. Um projeto é obrigatório para usar o Google Cloud Platform e ele é a base para criar, ativar e usar todos os serviços do GCP, gerenciar APIs, ativar o faturamento, adicionar e remover colaboradores e gerenciar permissões.
Papel: criador do projeto
O papel de criador do projeto permite criar projetos, possibilitando que os recursos sejam gerados no GCP e incorram em uso.
Cessionário recomendado
Os criadores do projeto da organização podem ser líderes de equipe ou contas de serviço (de automação).
Papel: proprietário e usuário do projeto
Os papéis de proprietário e usuário do projeto permitem ver os custos e o uso no projeto e rotular recursos.
Cessionário recomendado
Os proprietários e usuários do projeto em sua organização podem ser líderes de equipe ou desenvolvedores.
Saiba mais sobre papéis de projeto.
monetization_on Conta de faturamento
As contas do Cloud Billing são vinculadas a projetos e pagam por eles. As contas do Cloud Billing são conectadas a um perfil do Google Payments.
Papel: administrador da conta de faturamento
O administrador da conta de faturamento pode ativar a Exportação de faturamento, ver custos/gastos, definir orçamentos e alertas e vincular/desvincular projetos.
Cessionário recomendado
Os administradores de faturamento da sua organização podem ser mais dedicados a finanças.
Papel: usuário de faturamento
Os usuários de faturamento podem vincular projetos a contas de faturamento, mas não podem desvinculá-los. Em geral, esse papel é atribuído amplamente, em conjunto com o papel de criador do projeto.
Cessionário recomendado
Os criadores de projetos confiáveis da sua organização geralmente precisam desse papel.
Saiba mais sobre papéis de Faturamento.
payment Perfil para pagamentos
Os perfis para pagamentos são gerenciados fora da sua organização do Cloud, na central de pagamentos do Google: um único local onde é possível gerenciar as formas de pagamento de todos os produtos e serviços do Google, como Google Ads, Google Cloud e serviço de smartphone Fi. Os perfis para pagamentos estão conectados a contas do Cloud Billing.
Administrador do perfil para pagamentos
O administrador do perfil para pagamentos pode ver e gerenciar métodos de pagamento, fazer pagamentos, ver faturas e consultar contas para pagamentos.
Cessionário recomendado
Os administradores do perfil para pagamentos da sua organização geralmente fazem parte das equipes de finanças ou contabilidade.
Saiba mais sobre as permissões de usuário do Perfil para pagamentos.

Mais informações

picture_as_pdf Guia de governança financeira na nuvem

Esta página foi útil? Conte sua opinião sobre: