Cloud 结算概念概览

您可以在 Google Cloud Platform (GCP) 上以多种方式配置结算信息以满足不同的需求。本部分介绍了组织及结算的核心概念,还探讨了如何有效使用它们。

资源概览

什么是资源?

在 GCP 环境中,资源既可以指用于处理工作负载的服务级资源(虚拟机、数据库等),也可以指服务之上的帐号级资源,例如项目、文件夹和组织。

什么是资源管理?

资源管理的重点是如何为公司/团队配置和授予各种 Cloud 资源的访问权限,特别是服务级资源之上的帐号级资源的设置和组织。帐号级资源是指设置和管理 GCP 帐号时所涉及的资源。

资源层次结构

GCP 资源以分层方式进行组织。借助此层次结构,您可以将组织的运营结构映射到 GCP,并管理相关资源组的访问控制和权限。资源层次结构为访问权限管理政策 (Cloud Identity and Access Management) 和组织政策提供了逻辑连接点。

Cloud IAM 和组织政策均通过层次结构继承,层次结构中每个节点的有效政策是对该节点直接应用的政策与从其祖先继承而来的政策组合的结果。

下图是一个资源层次结构示例,显示了管理 GCP 帐号时所涉及的核心帐号级资源。

资源层次结构

网域

  • 您的公司网域是贵组织的主要身份,公司网域确立了您的公司对于 Google 服务(包括 Google Cloud Platform)的身份。
  • 您可以使用网域来管理贵组织中的用户。
    • 在网域级层,您可以定义在使用 Google Cloud Platform 时哪些用户应与您的组织相关联。
    • 您还可以通过网域统一管理用户政策及设备政策(例如,启用双重身份验证、为组织中的任何用户重置密码)。
  • 网域与 G SuiteCloud Identity 帐号相关联。
  • G Suite 或 Cloud Identity 帐号只能与一个组织相关联。
  • 您可以使用 Google 管理控制台 (admin.google.com) 管理网域级功能。

如需详细了解资源层次结构,请参阅 Cloud Resource Manager 文档

组织

  • 组织是 Google Cloud Platform 资源层次结构的根节点。
  • 属于某个组织的所有 GCP 资源都在组织节点下划分成组,让您可以为该组织下的所有项目、文件夹、资源和结算帐号定义设置、权限和政策。
  • 一个组织只能与一个网域(通过 G Suite 或 Cloud Identity 帐号建立)相关联。当您在 Google Cloud 中设置网域时,系统会自动创建一个组织。
  • 通过组织,您可以集中管理您的 GCP 资源以及用户对这些资源的访问权限,其中包括:
    • 主动式管理:根据需要重新组织资源(例如,进行部门重组或组建新部门后可能需要新的项目和文件夹)。
    • 反应式管理:组织资源可提供安全保障,让您可以重新获得对丢失资源的访问权限(例如,如果您的某个团队成员失去访问权限或离开公司)。
  • 与 GCP 相关的各种角色和资源(包括组织、项目、文件夹、资源和结算帐号)均在 Google Cloud Platform Console 中进行管理。

如需详细了解组织,请参阅创建和管理组织

文件夹

  • 文件夹是一种分组机制,可以包含项目或其他文件夹,也可以同时包含这二者。
  • 要使用文件夹,您必须有组织节点
  • 文件夹和项目均映射到组织节点下。
  • 文件夹可用于对共用相同 Cloud IAM 政策的资源进行分组。
  • 虽然一个文件夹可以包含多个文件夹或资源,但给定文件夹或资源只能有一个父级。

如需详细了解如何使用文件夹,请参阅创建和管理文件夹

项目

  • 必须具备项目才能使用服务级资源(例如 Compute Engine 虚拟机 (VM)、Cloud Pub/Sub 主题、Cloud Storage 存储分区等)。
  • 项目是所有服务级资源的父级,是 GCP 中的基本级层组织实体。
  • 您可以使用项目表示映射到一个业务职能部门或组织结构的逻辑项目、团队、环境或其他集合。
  • 项目为启用服务、API 和 Cloud IAM 权限奠定了基础。
  • 任何指定资源都只能存在于一个项目中。

如需详细了解项目,请参阅创建和管理项目

资源

  • GCP 服务级资源是构成所有 GCP 服务的基本组成部分,例如 Compute Engine 虚拟机 (VM)、Cloud Pub/Sub 主题、Cloud Storage 存储分区等。
  • 出于结算和访问权限控制的目的,资源位于一个层次结构(其中还包括项目和组织)的最低级层。

标签

  • 标签有助于您对 Google Cloud Platform 资源(例如 Compute Engine 实例)进行分类。
  • 标签是一种键值对。
  • 您可以将标签附加到各项资源,然后根据其标签对资源进行过滤。
  • 标签非常适合精细化的费用跟踪。有关标签的信息会转发到结算系统,以便您可以按标签分析费用

如需详细了解如何使用标签,请参阅创建和管理标签

结算帐号和付款资料

概览

结算帐号在 GCP 中设置,用于定义一组给定 GCP 资源的付款方。 结算帐号的访问权限控制措施通过 Cloud Identity and Access Management (IAM) 角色来确立。结算帐号与包含支付费用所用付款方式的 Google 付款资料相关联。

monetization_on 结算帐号 payment 付款资料
Cloud 结算帐号:
  • 在 Google Cloud Platform Console 中管理的 Cloud 级资源
  • 跟踪您使用 GCP 期间所产生的所有费用(费用和使用赠金)
    • 结算帐号可以与一个或多个项目关联。
    • 项目的资源使用费将记在关联的结算帐号名下。
  • 每个结算帐号生成一个帐单
  • 采用单一币种
  • 定义一组给定资源的付款方
  • Google 付款资料(包括定义如何支付费用的付款方式)相关联
  • 具有特定于结算的角色和权限,以控制对结算相关功能的访问和修改(通过 Cloud Identity and Access Management 角色来确定)
Google 付款资料:
  • 通过 payments.google.com 管理的 Google 级资源
  • 与您使用的所有 Google 服务(例如 Google Ads、Google Cloud 和 Fi 电话服务)相关联
  • 处理所有 Google 服务(不仅仅是 Google Cloud)的付款
  • 存储付款资料负责人的姓名地址税号(如果法律上要求)等信息。
  • 存储您的各种付款方式(信用卡、借记卡、银行账户以及过去您通过 Google 购物时用过的其他付款方式)。
  • 充当文档中心,您可以在其中查看帐单、付款记录等。
  • 控制哪些人可以查看和接收各种结算帐号和产品的帐单。

Google Cloud Platform 结算项目

结算帐号类型

结算帐号有两种类型:

付款资料类型

创建付款资料时,系统会要求您指定付款资料类型。出于税务和身份验证目的,此信息必须准确无误。此设置无法更改。在设置付款资料时,请务必根据您计划的使用方式,选择最适合的类型。

付款资料有两种类型:

  • 个人

    • 您使用自己的帐号支付个人款项。
    • 如果您将付款资料注册为个人,那么只有您可以管理该付款资料。您将无法添加或移除用户,也无法更改对该付款资料的权限。
  • 企业

    • 您代表企业、组织、合作伙伴或教育机构付款。
    • 您可以通过 Google 付款中心来支付 Google Play 应用和游戏的费用,以及 Google 服务(例如 Google Ads、Google Cloud 和 Fi 电话服务)的费用。
    • 企业付款资料允许您将其他用户添加到您管理的 Google 付款资料中,以便多人可以访问或管理付款资料。
    • 添加到企业付款资料的所有用户都可以查看该付款资料中的付款信息。

收费周期

我们会通过以下两种方式之一自动向结算帐号收取费用:

  • 按月结算:我们会定期按月收取费用。
  • 阈值结算:我们会在您的帐号产生的费用达到特定金额时收取费用。

帐单结算帐号一律按月结算。自助结算帐号可以使用按月结算方式,也可以使用阈值结算方式。 详细了解阈值结算

结算联系人

结算帐号包含一组联系人,这些联系人在与结算帐号相关联的 Google 付款资料中定义。这些联系人可以接收记录在案的付款方式所对应的结算信息(例如,当信用卡需要更新时)。您可以通过 Google Cloud Platform Console付款控制台管理联系人。

子帐号

结算子帐号可让您在帐单的一个单独部分中集中显示项目的所有费用。结算子帐号是一个结算帐号,与转销商主结算帐号(其中显示了相关费用)具有结算方面的关联关系。主结算帐号必须使用帐单结算方式。

在大多数情况下,子帐号的行为类似于结算帐号 - 它可以有与之关联的项目,可以在其中配置结算导出,并且可以在其中指定 Cloud IAM 角色。与某个子帐号关联的项目所需支付的所有费用将在帐单上划分到一组中并计算小计金额,在资源管理方面,子帐号可以有完全独立的访问控制政策,以方便隔离和管理客户。

子帐号通常用于代表转销商的客户进行退款。

Google Cloud Platform 结算项目

借助 Cloud Billing API,您可以通过 API 创建和管理子帐号,从而以编程方式连接到现有系统并配置新客户或退款组。

组织、项目、结算帐号和付款资料之间的关系

组织、结算帐号和项目之间的交互受两种关系类型制约:所有权和付款关联。

  • 所有权指的是 Cloud IAM 权限的继承。
  • 付款关联决定着哪个结算帐号为给定项目付款。

下图显示了示例组织的所有权和付款关联之间的关系。

所有权和付款关联之间的关系

在上图中,组织拥有项目 1、2 和 3 的所有权,也就是说,它拥有这三个项目的 Cloud IAM 父权限。

结算帐号与项目 1、2 和 3 相关联,也就是说,通过它来支付这三个项目所产生的费用。

结算帐号还与 Google 付款资料(用于存储姓名、地址、付款方式等信息)相关联。

在本示例中,在组织级层被授予 Cloud IAM 结算角色的所有用户还将在结算帐号或项目级层具有相应角色。

如需详细了解如何授予 Cloud IAM 结算角色,请参阅结算帐号权限控制概览

角色概览

什么是角色?

您可以通过角色为用户授予一项或多项权限,以便其执行常规业务操作。

角色在 GCP 中的工作原理是什么?

Google Cloud Platform 提供 Cloud Identity and Access Management (Cloud IAM) 来管理 GCP 资源的访问权限控制措施。通过 Cloud IAM,您可以设置 Cloud IAM 政策,以控制哪些人(用户)哪些资源具有什么访问权限(角色)。如需向用户分配权限,您可以使用 Cloud IAM 政策向用户授予特定角色。角色自带一种或多种权限,用于控制用户对资源的访问。

您可以在组织级层文件夹级层项目级层或者(在某些情况下)在服务级资源上设置 Cloud IAM 政策(角色)。

政策通过层次结构继承。层次结构中每个节点的有效政策是对该节点直接应用的政策与从其祖先继承而来的政策组合的结果。如果您在组织级层设置政策,则组织的所有子文件夹和项目都会继承该政策。如果在项目级层设置政策,则项目的所有子资源都会继承该政策。您可以在资源层次结构中的不同级层授予细化的权限,以保证相应人员能够在 GCP 中进行消费。

针对角色的最佳做法

  • 将关键角色分配给多人(合理冗余)
  • 记录哪些人是管理员,并将管理员的姓名传达给组织中的人员
  • 及时更新角色分配

重要角色

下图显示了完整的 GCP 资源层次结构,并介绍了每个级层的重要访问权限角色:

public 网域
网域级层的 G Suite 或 Cloud Identity 超级用户是第一批可以在组织创建后访问组织的用户。
网域超级用户
Super Admin 可以在网域级层授予 Organization Admin 角色(或其他任何角色)以及恢复帐号
推荐的分配对象
Super Admin 通常是在高级层管理访问权限的人员,例如网域管理员。
详细了解 G Suite 管理员角色Cloud Identity 管理员角色
domain 组织
组织(例如,公司)是 GCP 资源层次结构中的根节点。组织资源是项目资源和文件夹的级层祖先。应用于组织资源的 Cloud IAM 访问权限控制政策适用于组织中整个层次结构的所有资源。
角色:Organization Admin
Organization Admin 可以在组织内管理任何资源授予任何角色
推荐的分配对象
Organization Admin 通常是管理访问权限控制的人员,例如 IT 管理员。
详细了解组织角色
folder 文件夹
文件夹资源在项目之间提供了额外的分组机制和隔离边界。文件夹资源可以视为组织内的子组织。文件夹可用于给公司内的不同法人实体、部门和团队建模。文件夹可以包含子文件夹和项目。
角色:Folder Administrator
Folder Administrator 可以创建和编辑文件夹的 Cloud IAM 政策。他们可以决定文件夹中的项目如何继承角色。
推荐的分配对象
Folder Administrator 管理更精细的访问权限控制,通常是部门主管或团队经理。
详细了解文件夹角色
项目
项目资源是基本级层组织实体。组织和文件夹可以包含多个项目。需要有项目才能使用 Google Cloud Platform,并且项目是执行下列操作的基础:创建、启用和使用所有 GCP 服务;管理 API;启用结算功能;添加和移除协作者以及管理权限。
角色:Project Creator
Project Creator 角色可以创建项目,并且本身允许在 GCP 上增加资源并产生使用量。
推荐的分配对象
组织中的 Project Creator 可以是团队负责人或服务帐号(实现自动化)。
角色:Project Owner & User
Project Owner & User 角色让您可以查看项目中的费用和资源使用情况并为资源添加标签。
推荐的分配对象
组织中的项目所有者和用户可以是团队负责人或开发者。
详细了解项目角色
monetization_on 结算帐号
Cloud 结算帐号项目相关联且用于支付项目费用。Cloud 结算帐号与 Google 付款资料相关联。
角色:结算帐号管理员
Billing Account Admin 可以启用帐单导出、查看费用/支出、设置预算和提醒以及关联/取消关联项目。
推荐的分配对象
组织中的 Billing Admin 可以是具备财务知识的人员。
角色:Billing User
Billing User 可以将项目与结算帐号关联,但不能取消关联。该角色通常也是 Project Creator 角色。
推荐的分配对象
组织中受信任的 Project Creator 通常需要此角色。
详细了解结算角色
payment 付款资料
付款资料您的 Cloud Organization 外部管理,也就是在 Google 付款中心内管理;您可以通过 Google 付款中心集中管理所有 Google 产品和服务(例如 Google Ads、Google Cloud 和 Fi 电话服务)的付费方式。付款资料与 Cloud 结算帐号相关联。
Payments Profile Admin
Payments Profile Admin 可以查看和管理付款方式、付款、查看帐单以及查看付款帐号。
推荐的分配对象
组织中的 Payments Profile Admin 通常是财务或会计团队中的成员。
详细了解付款资料用户权限

picture_as_pdf 云端财务治理指南

video_library 视频库:Google Cloud 费用管理。了解监控和管理费用的最佳做法。

此页内容是否有用?请给出您的反馈和评价:

发送以下问题的反馈:

此网页
Cloud Billing 文档
需要帮助?请访问我们的支持页面