Cloud Billing 概念總覽

Google Cloud Platform (GCP) 提供了各種帳單設定方式,以滿足不同的需求。本節將介紹機構和帳單的核心概念,並說明如何有效使用這些功能。

資源總覽

什麼是資源?

在 GCP 環境中,資源可以指用來處理工作負載 (虛擬機器、資料庫等等) 的服務層級資源,以及倚賴這些服務的帳戶層級資源,例如專案、資料夾和機構。

什麼是資源管理?

資源管理關注的重點是應該如何針對您的公司/團隊設定以及將存取權授予各種 Cloud 資源,尤其是倚賴服務層級資源的帳戶層級資源的設定和機構。帳戶層級資源是指與設定和管理 GCP 帳戶有關的資源。

資源階層

系統會以階層方式組織 GCP 資源。這樣的階層結構可讓 GCP 與機構經營結構保持一致,也能讓您管理相關資源群組的存取控制及權限。資源階層能為存取權管理政策 (Cloud Identity and Access Management) 和組織政策提供邏輯附加點。

Cloud IAM 與機構政策都是透過階層繼承,階層中每個節點的有效政策都是直接套用於節點的政策以及沿用自其祖系的政策。

下圖顯示資源階層的範例,並說明與管理 GCP 帳戶相關的核心帳戶層級資源。

資源階層

網域

  • 您的公司網域等同貴機構的主要身分,也是公司用來使用 Goolge 服務的識別依據,上述服務包括 Google Cloud Platform。
  • 透過網域,您可以管理貴機構的使用者。
    • 在網域層級定義哪些使用者在使用 Google Cloud Platform 時,應與機構建立關聯。
    • 網域也是制定使用者和裝置通用管理政策的地方,例如,針對機構中的任何使用者啟用雙重驗證及重設密碼等。
  • 網域會連結到 G SuiteCloud Identity 帳戶。
  • G Suite 或 Cloud Identity 帳戶只會與一個機構相關聯。
  • 您可使用 Google 管理控制台 (admin.google.com) 管理網域層級的功能。

如要進一步瞭解資源階層,請參閱 Cloud Resource Manager 說明文件

機構

  • 機構是 Google Cloud Platform 資源階層的根節點。
  • 隸屬於機構的所有 GCP 資源會在該機構的節點下方進行分組,可讓您定義其內所有專案、資料夾、資源和帳單帳戶的設定、權限以及政策。
  • 機構則只會與一個網域 (以 G Suite 或 Cloud Identity 帳戶建立) 相關聯,而且會在您在 Google Cloud 中設定網域時自動建立。
  • 您可以透過機構集中管理 GCP 資源,以及使用者對於這些資源的存取權。這種方式包括:
    • 主動式管理:視需要重組資源。例如,重組或啟動新部門可能需要新專案和資料夾。
    • 被動式管理:針對遺失資源重新取得存取權時,機構資源可提供安全措施。例如,您的其中一個團隊成員失去存取權或離職時,就會需要這種管理。
  • 您可在 Google Cloud Platform 主控台中管理與 GCP 相關的各種角色和資源 (包括機構、專案、資料夾、資源和帳單帳戶)。

如要進一步瞭解機構,請參閱建立及管理機構

資料夾

  • 資料夾是進行分組的機制,可包含專案、其他資料夾,或是以上兩者的組合。
  • 您必須擁有機構節點,才能使用資料夾。
  • 資料夾及專案都對應在機構資源下。
  • 資料夾可用來將具有相同 Cloud IAM 政策的資源歸組。
  • 資料夾內可包含多個資料夾或資源,但是每個資料夾或資源只能有一個父項。

如要進一步瞭解如何使用資料夾,請參閱建立及管理資料夾一文。

專案

  • 專案必須使用服務層級資源 (例如 Compute Engine 虛擬機器 (VM)、Cloud Pub/Sub 主題、Cloud Storage 值區等)。
  • 所有服務層級資源均會從屬於專案,而專案也就是 GCP 中的基礎層級機構實體。
  • 您可以使用專案來代表邏輯專案、團隊、環境,或是可對應至某個企業功能/結構的其他集合。
  • 專案可做為啟用服務、API 和 Cloud IAM 權限的基礎。
  • 不過請注意,各項資源都只能存在於單一專案中。

如要進一步瞭解專案,請參閱建立及管理專案一文。

資源

  • GCP 服務層級資源是構成所有 GCP 服務的基本元件,例如 Compute Engine 虛擬機器 (VM)、Cloud Pub/Sub 主題和 Cloud Storage 值區等。
  • 為了計算費用和控管存取權,系統會將資源存放在階層的最低層級中,而該階層也會包含專案和機構。

標籤

  • 標籤可協助您分類各項 Google Cloud Platform 資源 (例如 Compute Engine 執行個體)。
  • 標籤是鍵/值組合。
  • 您可以為每一個資源加上標籤,並根據標籤篩選資源。
  • 標籤是精密追蹤費用的好幫手。標籤相關資訊會轉送到帳單系統,讓您依據標籤分析您的費用

如要進一步瞭解如何使用標籤,請參閱建立及管理標籤一文。

帳單帳戶和付款資料

總覽

帳單帳戶是在 GCP 中進行設定,可用來定義各個 GCP 資源組合的費用由誰支付。 帳單帳戶的存取權控管是依照 Cloud Identity and Access Management (IAM) 角色所建立。帳單帳戶會連結至某個 Google 付款資料,其中包含收費的付款方式。

monetization_on 帳單帳戶 payment 付款資料
Cloud 帳單帳戶:
  • Google Cloud Platform 主控台代管的 Cloud 層級資源
  • 追蹤 GCP 用量產生的所有費用 (費用和用量抵免額)
    • 帳單帳戶可連結至一或多項專案。
    • 專案的使用費會從相連結的帳單帳戶中扣除。
  • 在每個帳單帳戶中產生單一月結單
  • 單一貨幣操作。
  • 定義特定資源組合的費用由誰支付
  • 會連結至某個 Google 付款資料,其中包含付款方式,定義您如何支付費用。
  • 有「帳單專屬」角色和權限,可控制存取和修改帳單相關功能 (由 Cloud Identity and Access Management 角色建立)。
Google 付款資料:
  • 是在 payments.google.com 代管的 Google 層級資源
  • 可連結至「所有」Google 服務 (例如 Google Ads、Google Cloud 和 Fi phone 服務)。
  • 處理「所有」Google 服務的付款 (而不只是 Google Cloud)。
  • 儲存資訊,例如資料負責人的姓名地址統一編號 (如須依法提供)。
  • 儲存您的各種付款方式 (過去透過 Google 消費時所使用的信用卡、簽帳金融卡、銀行帳戶和其他付款方式)。
  • 作為可查看月結單、付款記錄等項目的文件中心
  • 控管哪些人可以查看和收到各種帳單帳戶和產品的月結單。

Google Cloud Platform 計費專案

帳單帳戶類型

帳單帳戶共分為兩種:

付款資料類型

建立付款資料時,系統會要求您指定資料類型。請務必提供正確的資訊,以便我們進行稅務及身分驗證。這項設定無法變更。設定付款資料時,請務必針對所規劃的使用資料方式,選擇最適合的類型。

付款資料有兩種類型:

  • 個人

    • 您使用帳戶支付個人費用。
    • 如果您將付款資料註冊為「個人」,則只有您才能管理資料。您無法新增或移除使用者,也不能變更資料的相關權限。
  • 公司

    • 您透過帳戶支付企業、機構、合作夥伴或教育機構費用。
    • 您可以透過 Google 付款中心支付各種 Google 產品/服務的相關費用,例如 Play 中的應用程式和遊戲內容、Google Ads、Google Cloud 和 Fi 電信服務等。
    • 「公司」資料可讓您將其他使用者新增到您管理的 Google 付款資料,以便讓多人存取或管理付款資料。
    • 所有新增到「公司」資料的使用者皆可查看該資料的相關付款資訊。

收費週期

系統會透過下列其中一種方式,自動從帳單帳戶中扣除相關費用:

  • 按月收費:每個月定期收取費用。
  • 帳單信用額度:帳戶的應繳費用累計達特定金額時才會收費。

可開立月結單的帳單帳戶一律採月費制,自助式帳單帳戶則可選擇按月收費或帳單信用額度機制。 進一步瞭解帳單信用額度

帳單聯絡人

帳單帳戶包含一組與其連結的 Google 付款資料設定聯絡人。當付款方式出現特定帳單資訊 (例如需要更新信用卡時),系統會通知這些已經設定好的聯絡人。您可以透過 Google Cloud Platform ConsolePayments 主控台管理聯絡人。

子帳戶

有了帳單子帳戶,您就能將各項專案的費用集中顯示於月結單中的獨立區段。帳單子帳戶同樣屬於帳單帳戶,只不過這類帳戶的計費功能會與經銷商的主要帳單帳戶相連結,因此相關費用也會顯示在經銷商的帳戶中。不過,主要帳單帳戶必須採用月結制。

在大部分情況下,子帳戶的功能與帳單帳戶相同:可以與專案相連結、可以設定相關的帳單匯出選項,也能定義帳戶的 Cloud IAM 角色。在月結單上,子帳戶關聯專案所產生的任何費用都會經過分類並個別加總。另外,在資源管理方面,您可以在子帳戶中設定完全獨立的存取權控制政策,藉此區隔及管理客戶。

子帳戶通常用來代表經銷商的客戶,以進行退款作業。

Google Cloud Platform 計費專案

您可以透過 Cloud Billing API 建立及管理子帳戶,藉此連結現有系統,以及藉由程式設計的方式管理新客戶或退款群組的帳戶。

機構、專案、帳單帳戶和付款資料之間的關係

有兩種類型的關係控制著機構、帳單帳戶和專案之間的互動,那就是擁有權及付款連結。

  • 擁有權是指 Cloud IAM 權限繼承。
  • 付款連結會定義專案費用由哪個帳單帳戶支付。

下圖顯示範例機構的擁有權與付款連結之間的關係。

擁有權與付款連結之間的關係

在圖中,機構有專案 1、2 和 3 的擁有權,這代表該機構是這三項專案的 Cloud IAM 權限父項。

帳單帳戶已連結至專案 1、2 和 3,這代表該三項專案所產生的費用會透過此帳單帳戶支付。

帳單帳戶會與某個儲存了姓名、地址及付款方式等資訊的 Google 付款資料連結。

在這個範例中,獲得機構的 Cloud IAM 帳單角色的所有使用者,也都擁有帳單帳戶或專案的這些角色。

如要進一步瞭解如何授予 Cloud IAM 帳單角色,請參閱帳單存取權控管總覽

角色總覽

什麼是角色?

角色將一項或多項權限授予使用者,允許執行常見的商業功能。

角色在 GCP 中的運作方式為何?

Google Cloud Platform 提供 Cloud Identity and Access Management (Cloud IAM),以管理對您 GCP 資源的存取控制。Cloud IAM 可讓您透過設定 Cloud IAM 政策,控管哪些人 (使用者)具備何種存取權限 (角色),能夠存取哪些資源。如要指派權限給使用者,您可以利用 Cloud IAM 政策,將特定角色授予該使用者。角色可擁有一或多個權限,可供控制使用者對資源的存取能力。

您可以在機構層級資料夾層級專案層級,或 (在某些情況下) 對服務層級資源設定 Cloud IAM 政策 (角色)。

政策是透過階層繼承,階層中每個節點的有效政策,是直接套用於節點的政策,以及從其祖系沿用的政策。如果您在機構層級設定政策,該層級的所有子項資料夾和專案都會沿用這項政策。如果您在專案層級設定政策,該層級的所有子項資源都會沿用這項政策。您可以在各資源階層的不同級別中強制執行精細的權限設定,以確保合適的人員能夠在 GCP 中使用計費服務。

與角色相關的最佳做法

  • 將關鍵角色指派給多人 (基於合理備援考量)
  • 記錄哪些人是管理員,並將這些人的姓名傳達給您機構中的人員
  • 使角色指派保持最新狀態。

重要角色

下圖為完整形式的 GCP 資源階層,同時說明每個層級中擁有高存取權限的重要角色:

public 網域
網域層級的 G Suite 或 Cloud Identity 超級管理員是能夠在機構建立後存取該機構的第一批使用者。
網域超級管理員
超級管理員可以授予機構管理員角色 (或任何其他角色),並在網域層級復原帳戶
建議的指派對象
超級管理員通常是負責管理高層級存取權的人員,例如網域管理員。
進一步瞭解 G Suite 管理員角色,以及 Cloud Identity 管理員角色
domain 機構
機構 (例如公司) 是 GCP 資源階層的根節點。機構資源在階層上是專案資源和資料夾的祖系。適用於機構資源的 Cloud IAM 存取權控管政策,也適用於該機構中整個階層的所有資源。
角色:機構管理員
機構管理員可以管理機構內的任何資源,以及授予機構內的任何角色
建議的指派對象
機構管理員通常是負責控管存取權的人員,例如 IT 管理員。
進一步瞭解機構角色
folder 資料夾
資料夾資源提供額外的分組機制,以及專案之間的隔離邊界。資料夾可視為機構內的子機構。資料夾可用來為公司內的不同法律實體、部門和團隊建立模型。資料夾中可以包含子資料夾和專案。
角色:資料夾管理員
資料夾管理員可以建立及編輯資料夾的 Cloud IAM 政策,也可以決定資料夾中的專案如何繼承角色。
建議的指派對象
資料夾管理員通常是部門主管或小組主管,負責以更精細的方式控管存取權。
進一步瞭解資料夾角色
專案
專案資源是基礎層級的機構實體。機構和資料夾可以包含多個專案。必須有專案才能使用 Google Cloud Platform 時,它也形成了建立、啟用和使用所有 GCP 服務、管理 API、啟用計費功能、新增和移除協作者,以及管理權限的基礎。
角色:專案建立者
專案建立者角色可以建立專案,還可以在 GCP 中建立資源供他人使用。
建議的指派對象
機構中的專案建立者可能是小組主管或服務帳戶 (以供執行自動化作業)。
角色︰專案擁有者與使用者
專案擁有者與使用者角色可讓您查看專案成本與使用量,以及將資源加上標籤。
建議的指派對象
您機構中的專案擁有者與使用者可能是團隊主管或開發人員。
進一步瞭解專案角色
monetization_on 帳單帳戶
Cloud Billing 帳戶會與專案連結,用以支付專案費用。Cloud Billing 帳戶會連結到 Google 付款資料
角色:帳單帳戶管理員
帳單帳戶管理員可以啟用帳單匯出功能、查看成本/支出、設定預算和快訊,以及連結/取消連結專案。
建議的指派對象
機構的帳單管理員可能是具有財務相關背景的人員。
角色:帳單使用者
帳單使用者可以將專案連結到帳單帳戶,但無法取消連結。這個角色通常會與專案建立者角色一起核發。
建議的指派對象
機構中受信任的專案建立者通常需要這個角色。
進一步瞭解帳單角色
payment 付款資料
付款資料在 Cloud 機構之外進行代理,而且是在 Google 付款中心進行,您可以在此統一管理所有 Google 產品與服務 (例如 Google Ads、Google Cloud 和 Fi phone 服務)。付款資料可連結至 Cloud Billing 帳戶
付款資料管理員
付款資料管理員可以查看並管理付款方式、進行付款、查看月結單,以及查看付款帳戶。
建議的指派對象
機構中的付款資料管理員通常是財務或會計團隊的成員。
進一步瞭解付款資料使用者權限

picture_as_pdf 雲端金融治理指南

video_library影片庫:Google Cloud 成本管理。瞭解監控與管理成本的最佳做法。

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Cloud Billing 說明文件
需要協助嗎?請前往我們的支援網頁