Controllo dell'accesso'accesso e autorizzazioni per la fatturazione Cloud

Questo argomento descrive i ruoli e le autorizzazioni di accesso per gli account di fatturazione Cloud.

Un account di fatturazione Cloud viene configurato in Google Cloud e viene utilizzato per definire chi paga per un determinato insieme di risorse Google Cloud e API Google Maps Platform. Un account di fatturazione Cloud è collegato a un profilo pagamenti Google. Il tuo profilo pagamenti Google include uno strumento di pagamento a cui vengono addebitati i costi.

Le autorizzazioni di accesso per la fatturazione Cloud e i pagamenti tramite Google sono configurate in due sistemi diversi a seconda del tipo di accesso che vuoi fornire.

  • Cloud Billing consente di controllare quali utenti dispongono di autorizzazioni amministrative e di visualizzazione dei costi per risorse specifiche impostando i criteri Identity and Access Management (IAM) sulle risorse.
  • Nel centro pagamenti Google puoi aggiungere utenti a qualsiasi profilo aziendale di pagamenti tramite Google che gestisci e assegnare loro diversi livelli di accesso in base alle operazioni che devono svolgere. Puoi anche configurare le preferenze email degli utenti per la ricezione di email relative a fatturazione e pagamenti.
Autorizzazioni per la fatturazione Cloud Impostazioni e autorizzazioni di pagamenti tramite Google
Le autorizzazioni di accesso a un account di fatturazione Cloud sono gestite utilizzando i ruoli IAM. Le autorizzazioni dell'account di fatturazione possono essere configurate in modo da consentire agli utenti di:
  • Apri, chiudi e modifica un account di fatturazione Cloud.
  • Visualizzare i report e i dati di costo.
  • Visualizzare i documenti, come fatture ed estratti conto.
  • Analizza gli sconti per impegno di utilizzo (CUD) e acquista gli sconti per impegno di utilizzo (CUD).
  • Abilita e gestisci l'esportazione dei dati di fatturazione.
  • Configurare budget e avvisi.
  • Gestisci la fatturazione per progetto.
  • Gestisci le autorizzazioni utente per la fatturazione.
  • Contatta l'assistenza per la fatturazione.
 Le autorizzazioni di accesso a un profilo pagamenti Google sono gestite nelle impostazioni di pagamento di Google. Le autorizzazioni di pagamenti tramite Google possono essere configurate per consentire agli utenti di:
  • Aggiungi, modifica e rimuovi metodi di pagamento.
  • Aggiorna le informazioni del profilo pagamenti, inclusi gli indirizzi postali.
  • Gestisci gli utenti pagamenti, inclusi i dati di contatto, le preferenze email e le autorizzazioni utente.

Se vuoi gestire le attività relative ai pagamenti dalla pagina Fatturazione della console Google Cloud, gli utenti dovranno anche disporre del ruolo Visualizzatore account di fatturazione per l'account di fatturazione Cloud.

Accesso alla fatturazione Cloud

Per concedere o limitare l'accesso alla fatturazione Cloud, puoi impostare un criterio IAM a livello di organizzazione, di account di fatturazione Cloud e/o a livello di progetto. Le risorse Google Cloud ereditano i criteri IAM del nodo padre, il che significa che è possibile impostare un criterio a livello di organizzazione per applicarlo a tutti gli account, i progetti e le risorse di fatturazione Cloud al suo interno.

Puoi controllare le autorizzazioni di visualizzazione a diversi livelli per utenti o ruoli diversi impostando le autorizzazioni di accesso a livello di account di fatturazione Cloud o di progetto.

Per concedere a un utente l'autorizzazione a visualizzare i costi di tutti i progetti in un account di fatturazione Cloud, concedi all'utente l'autorizzazione a visualizzare i costi per un account di fatturazione Cloud (billing.accounts.getSpendingInformation). Per concedere a un utente l'autorizzazione a visualizzare i costi per un progetto specifico, concedi all'utente le autorizzazioni di visualizzazione per singoli progetti (billing.resourceCosts.get).

Panoramica dei ruoli di fatturazione Cloud in IAM

Non concedi direttamente agli utenti autorizzazioni, ma concedi loro ruoli che hanno una o più autorizzazioni incluse al loro interno.

Puoi concedere uno o più ruoli allo stesso utente o alla stessa risorsa.

I seguenti ruoli IAM predefiniti per la fatturazione Cloud sono progettati per consentirti di utilizzare controllo dell'accesso per applicare la separazione dei compiti:

Ruolo Finalità Livello Caso d'uso
Creatore account di fatturazione
(roles/billing.creator)		 Crea nuovi account di fatturazione self-service (online). organizzazione Utilizza questo ruolo per la configurazione iniziale della fatturazione o per consentire la creazione di altri account di fatturazione.
Gli utenti devono avere questo ruolo per registrarsi a Google Cloud utilizzando una carta di credito utilizzando l'identità aziendale.
Suggerimento: riduci al minimo il numero di utenti con questo ruolo per contribuire a prevenire la proliferazione della spesa cloud non monitorata nella tua organizzazione.
Amministratore account di fatturazione
(roles/billing.admin) 		Gestire gli account di fatturazione (ma non crearli). Organizzazione o account di fatturazione. Questo è un ruolo di proprietario per un account di fatturazione. Utilizzala per gestire gli strumenti di pagamento, configurare le esportazioni della fatturazione, visualizzare le informazioni sui costi, collegare e scollegare progetti e gestire altri ruoli utente nell'account di fatturazione. Per impostazione predefinita, la persona che crea l'account di fatturazione Cloud è un Billing Account Administrator per l'account di fatturazione Cloud.
Gestore costi account di fatturazione
(roles/billing.costsManager)		 Gestisci i budget e visualizza ed esporta le informazioni sui costi degli account di fatturazione (ma non le informazioni sui prezzi). Organizzazione o account di fatturazione. Crea, modifica ed elimina i budget, visualizza le transazioni e le informazioni sui costi dell'account di fatturazione e gestisci l'esportazione dei dati di costo di fatturazione in BigQuery. Non conferisce il diritto di esportare i dati sui pricing o di visualizzare i pricing nella pagina dei prezzi. Inoltre, non consente di collegare o scollegare progetti né di gestire in altro modo le proprietà dell'account di fatturazione.
Visualizzatore account di fatturazione
(roles/billing.viewer)		 Dispone dell'autorizzazione per visualizzare le transazioni e le informazioni sul costo degli account di fatturazione. Organizzazione o account di fatturazione. L'accesso come Visualizzatore account di fatturazione viene in genere concesso ai team finanziari, fornisce accesso alle informazioni sulla spesa, ma non conferisce il diritto di collegare o scollegare progetti o di gestire in altro modo le proprietà dell'account di fatturazione.
Utente account di fatturazione
(roles/billing.user)		 Collega i progetti agli account di fatturazione. Organizzazione o account di fatturazione. Questo ruolo ha autorizzazioni molto limitate, quindi puoi concederlo a un pubblico più ampio. Se concessi in combinazione con Autore progetto, i due ruoli consentono a un utente di creare nuovi progetti collegati all'account di fatturazione per cui è concesso il ruolo Utente account di fatturazione. In alternativa, se concessi in combinazione con il ruolo Gestore fatturazione progetto, i due ruoli consentono a un utente di collegare e scollegare i progetti nell'account di fatturazione per cui è stato concesso il ruolo Utente account di fatturazione.
Gestore fatturazione progetto
(roles/billing.projectManager) 		Collegare/scollegare il progetto a/da un account di fatturazione. Organizzazione, cartella o progetto. Se concesso in combinazione con il ruolo Utente account di fatturazione, il ruolo Gestore fatturazione progetto consente a un utente di collegare il progetto all'account di fatturazione, ma non concede alcun diritto sulle risorse. I proprietari del progetto possono utilizzare questo ruolo per consentire a un'altra persona di gestire la fatturazione del progetto senza concederle l'accesso alle risorse.

La seguente tabella elenca i dettagli dei ruoli di fatturazione IAM predefiniti, incluse le autorizzazioni in bundle all'interno di ciascun ruolo.

Role Permissions

(roles/billing.admin)

Provides access to see and manage all aspects of billing accounts.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.close

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.getIamPolicy

billing.accounts.getPaymentInfo

billing.accounts.getPricing

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.accounts.move

billing.accounts.redeemPromotion

billing.accounts.removeFromOrganization

billing.accounts.reopen

billing.accounts.setIamPolicy

billing.accounts.update

billing.accounts.updatePaymentInfo

billing.accounts.updateUsageExportSpec

billing.billingAccountPrice.get

billing.billingAccountPrices.list

billing.billingAccountServices.*

  • billing.billingAccountServices.get
  • billing.billingAccountServices.list

billing.billingAccountSkuGroupSkus.*

  • billing.billingAccountSkuGroupSkus.get
  • billing.billingAccountSkuGroupSkus.list

billing.billingAccountSkuGroups.*

  • billing.billingAccountSkuGroups.get
  • billing.billingAccountSkuGroups.list

billing.billingAccountSkus.*

  • billing.billingAccountSkus.get
  • billing.billingAccountSkus.list

billing.budgets.*

  • billing.budgets.create
  • billing.budgets.delete
  • billing.budgets.get
  • billing.budgets.list
  • billing.budgets.update

billing.credits.list

billing.finOpsBenchmarkInformation.get

billing.finOpsHealthInformation.get

billing.resourceAssociations.*

  • billing.resourceAssociations.create
  • billing.resourceAssociations.delete
  • billing.resourceAssociations.list

billing.subscriptions.*

  • billing.subscriptions.create
  • billing.subscriptions.get
  • billing.subscriptions.list
  • billing.subscriptions.update

cloudasset.assets.searchAllResources

cloudnotifications.activities.list

cloudsupport.properties.get

cloudsupport.techCases.*

  • cloudsupport.techCases.create
  • cloudsupport.techCases.escalate
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • cloudsupport.techCases.update

commerceoffercatalog.*

  • commerceoffercatalog.agreements.get
  • commerceoffercatalog.agreements.list
  • commerceoffercatalog.documents.get
  • commerceoffercatalog.documents.list
  • commerceoffercatalog.offers.get

compute.commitments.*

  • compute.commitments.create
  • compute.commitments.get
  • compute.commitments.list
  • compute.commitments.update
  • compute.commitments.updateReservations

consumerprocurement.accounts.*

  • consumerprocurement.accounts.create
  • consumerprocurement.accounts.delete
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.grant

consumerprocurement.consents.list

consumerprocurement.consents.revoke

consumerprocurement.events.*

  • consumerprocurement.events.get
  • consumerprocurement.events.list

consumerprocurement.orderAttributions.*

  • consumerprocurement.orderAttributions.get
  • consumerprocurement.orderAttributions.list
  • consumerprocurement.orderAttributions.update

consumerprocurement.orders.*

  • consumerprocurement.orders.cancel
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • consumerprocurement.orders.modify
  • consumerprocurement.orders.place

dataprocessing.datasources.get

dataprocessing.datasources.list

dataprocessing.groupcontrols.get

dataprocessing.groupcontrols.list

logging.logEntries.list

logging.logServiceIndexes.list

logging.logServices.list

logging.logs.list

logging.privateLogEntries.list

recommender.cloudsqlIdleInstanceRecommendations.get

recommender.cloudsqlIdleInstanceRecommendations.list

recommender.cloudsqlOverprovisionedInstanceRecommendations.get

recommender.cloudsqlOverprovisionedInstanceRecommendations.list

recommender.commitmentUtilizationInsights.*

  • recommender.commitmentUtilizationInsights.get
  • recommender.commitmentUtilizationInsights.list
  • recommender.commitmentUtilizationInsights.update

recommender.computeAddressIdleResourceRecommendations.get

recommender.computeAddressIdleResourceRecommendations.list

recommender.computeDiskIdleResourceRecommendations.get

recommender.computeDiskIdleResourceRecommendations.list

recommender.computeImageIdleResourceRecommendations.get

recommender.computeImageIdleResourceRecommendations.list

recommender.computeInstanceGroupManagerMachineTypeRecommendations.get

recommender.computeInstanceGroupManagerMachineTypeRecommendations.list

recommender.computeInstanceIdleResourceRecommendations.get

recommender.computeInstanceIdleResourceRecommendations.list

recommender.computeInstanceMachineTypeRecommendations.get

recommender.computeInstanceMachineTypeRecommendations.list

recommender.costInsights.*

  • recommender.costInsights.get
  • recommender.costInsights.list
  • recommender.costInsights.update

recommender.costRecommendations.*

  • recommender.costRecommendations.listAll
  • recommender.costRecommendations.summarizeAll

recommender.resourcemanagerProjectUtilizationRecommendations.get

recommender.resourcemanagerProjectUtilizationRecommendations.list

recommender.spendBasedCommitmentInsights.*

  • recommender.spendBasedCommitmentInsights.get
  • recommender.spendBasedCommitmentInsights.list
  • recommender.spendBasedCommitmentInsights.update

recommender.spendBasedCommitmentRecommendations.*

  • recommender.spendBasedCommitmentRecommendations.get
  • recommender.spendBasedCommitmentRecommendations.list
  • recommender.spendBasedCommitmentRecommendations.update

recommender.spendBasedCommitmentRecommenderConfig.*

  • recommender.spendBasedCommitmentRecommenderConfig.get
  • recommender.spendBasedCommitmentRecommenderConfig.update

recommender.usageCommitmentRecommendations.*

  • recommender.usageCommitmentRecommendations.get
  • recommender.usageCommitmentRecommendations.list
  • recommender.usageCommitmentRecommendations.update

resourcemanager.projects.createBillingAssignment

resourcemanager.projects.deleteBillingAssignment

resourcemanager.projects.get

resourcemanager.projects.list

(roles/billing.costsManager)

Manage budgets for a billing account, and view, analyze, and export cost information of a billing account.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.accounts.updateUsageExportSpec

billing.budgets.*

  • billing.budgets.create
  • billing.budgets.delete
  • billing.budgets.get
  • billing.budgets.list
  • billing.budgets.update

billing.resourceAssociations.list

recommender.costInsights.*

  • recommender.costInsights.get
  • recommender.costInsights.list
  • recommender.costInsights.update

(roles/billing.creator)

Provides access to create billing accounts.

Lowest-level resources where you can grant this role:

  • Organization

billing.accounts.create

resourcemanager.organizations.get

(roles/billing.projectManager)

When granted in conjunction with the Billing Account User role, provides access to assign a project's billing account or disable its billing.

Lowest-level resources where you can grant this role:

  • Project

resourcemanager.projects.createBillingAssignment

resourcemanager.projects.deleteBillingAssignment

(roles/billing.user)

When granted in conjunction with the Project Owner role or Project Billing Manager role, provides access to associate projects with billing accounts.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.list

billing.accounts.redeemPromotion

billing.credits.list

billing.resourceAssociations.create

(roles/billing.viewer)

View billing account cost and pricing information, transactions, and billing and commitment recommendations.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.getIamPolicy

billing.accounts.getPaymentInfo

billing.accounts.getPricing

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.billingAccountPrice.get

billing.billingAccountPrices.list

billing.billingAccountServices.*

  • billing.billingAccountServices.get
  • billing.billingAccountServices.list

billing.billingAccountSkuGroupSkus.*

  • billing.billingAccountSkuGroupSkus.get
  • billing.billingAccountSkuGroupSkus.list

billing.billingAccountSkuGroups.*

  • billing.billingAccountSkuGroups.get
  • billing.billingAccountSkuGroups.list

billing.billingAccountSkus.*

  • billing.billingAccountSkus.get
  • billing.billingAccountSkus.list

billing.budgets.get

billing.budgets.list

billing.credits.list

billing.finOpsBenchmarkInformation.get

billing.finOpsHealthInformation.get

billing.resourceAssociations.list

billing.subscriptions.get

billing.subscriptions.list

commerceoffercatalog.*

  • commerceoffercatalog.agreements.get
  • commerceoffercatalog.agreements.list
  • commerceoffercatalog.documents.get
  • commerceoffercatalog.documents.list
  • commerceoffercatalog.offers.get

consumerprocurement.accounts.get

consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.list

consumerprocurement.orderAttributions.get

consumerprocurement.orderAttributions.list

consumerprocurement.orders.get

consumerprocurement.orders.list

dataprocessing.datasources.get

dataprocessing.datasources.list

dataprocessing.groupcontrols.get

dataprocessing.groupcontrols.list

recommender.commitmentUtilizationInsights.get

recommender.commitmentUtilizationInsights.list

recommender.costInsights.get

recommender.costInsights.list

recommender.costRecommendations.*

  • recommender.costRecommendations.listAll
  • recommender.costRecommendations.summarizeAll

recommender.spendBasedCommitmentInsights.get

recommender.spendBasedCommitmentInsights.list

recommender.spendBasedCommitmentRecommendations.get

recommender.spendBasedCommitmentRecommendations.list

recommender.spendBasedCommitmentRecommenderConfig.get

recommender.usageCommitmentRecommendations.get

recommender.usageCommitmentRecommendations.list

Relazioni IAM tra organizzazioni, progetti, account di fatturazione Cloud e profili pagamenti tramite Google

Due tipi di relazioni regolano le interazioni tra le organizzazioni, gli account di fatturazione Cloud e i progetti: proprietà e collegamento dei pagamenti.

  • La proprietà si riferisce all'ereditarietà delle autorizzazioni IAM.
  • I collegamenti ai pagamenti definiscono quale account di fatturazione Cloud paga per un determinato progetto.

Il seguente diagramma mostra la relazione tra proprietà e collegamenti dei pagamenti per un'organizzazione di esempio.

Illustra la correlazione tra i progetti e un account di fatturazione Cloud e un profilo pagamenti Google. Un lato mostra le risorse a livello di Google Cloud (account di fatturazione Cloud e progetti associati), mentre l'altro, divisa da una linea tratteggiata verticale, mostra la risorsa a livello di Google (un profilo pagamenti Google). I progetti vengono pagati dal tuo account di fatturazione Cloud, che è collegato a un profilo pagamenti Google.

Nel diagramma, l'organizzazione è proprietaria dei progetti 1, 2 e 3, ovvero è l'entità principale delle autorizzazioni IAM dei tre progetti.

L'account di fatturazione Cloud è collegato ai progetti 1, 2 e 3, il che significa che paga per i costi sostenuti dai tre progetti. L'account di fatturazione Cloud può anche pagare per progetti in altre organizzazioni, ma eredita le autorizzazioni IAM dall'organizzazione principale.

L'account di fatturazione Cloud è inoltre collegato a un profilo pagamenti Google, che memorizza informazioni come nome, indirizzo e metodi di pagamento. Scopri come gestire le autorizzazioni degli utenti del profilo pagamenti Google.

Sebbene si colleghino account di fatturazione Cloud ai progetti, gli account di fatturazione Cloud non sono gli elementi padre dei progetti in senso IAM e, pertanto, i progetti non ereditano le autorizzazioni dall'account di fatturazione Cloud a cui sono collegati.

In questo esempio, tutti gli utenti a cui sono stati concessi ruoli di fatturazione IAM per l'organizzazione dispongono anche di questi ruoli per l'account di fatturazione Cloud o per i progetti.

Esempi di controllo dell'accesso per la fatturazione Cloud

Combina i ruoli IAM come segue per soddisfare le esigenze di una varietà di scenari.

Scenario: piccola e media impresa con una preferenza per il controllo centralizzato.
Tipo di utente Ruoli IAM di fatturazione Attività di fatturazione
CEO Amministratore account di fatturazione Gestisci strumento di pagamento.
Visualizzare e approvare le fatture.
CTO Amministratore account di fatturazione
Autore progetto		 Imposta avvisi relativi al budget.
Visualizzare la spesa.
Crea nuovi progetti fatturabili.
Team di sviluppo Nessuna esperienza Nessuna esperienza
Scenario: piccola e media impresa con una preferenza per l'autorità delegata.
Tipo di utente Ruoli IAM di fatturazione Attività di fatturazione
CEO Amministratore account di fatturazione Gestisci strumento di pagamento.
Delega dell'autorità.
Direttore finanziario Amministratore account di fatturazione Imposta avvisi relativi al budget.
Visualizzare la spesa.
Account pagabili Visualizzatore account di fatturazione Visualizzare e approvare le fatture.
Team di sviluppo Utente account di fatturazione
Autore progetto		 Crea nuovi progetti fatturabili.
Scenario: funzioni di pianificazione finanziaria e approvvigionamento separate
Tipo di utente Ruoli IAM di fatturazione Attività di fatturazione
Approvvigionamento o IT centrale Amministratore account di fatturazione Gestisci strumento di pagamento.
Imposta avvisi relativi al budget.
Comunica la spesa ai team di sviluppo.
Pianificazione finanziaria Visualizzatore account di fatturazione Visualizzare i report di fatturazione.
Elabora le esportazioni.
Comunicare con il CxO.
Account pagabili Visualizzatore account di fatturazione Approvare le fatture.
Team di sviluppo Utente account di fatturazione
Autore progetto		 Crea nuovi progetti fatturabili.
Scenario: agenzia di sviluppo
Tipo di utente Ruoli IAM di fatturazione Attività di fatturazione
CEO Amministratore account di fatturazione Gestisci strumento di pagamento.
Delega dell'autorità.
Direttore finanziario Amministratore account di fatturazione Imposta avvisi relativi al budget.
Visualizzare la spesa.
Approvare le fatture.
Responsabile del progetto Utente account di fatturazione
Autore progetto		 Crea nuovi progetti fatturabili.
Team di sviluppo progetti Nessuna esperienza Sviluppa all'interno di progetti esistenti.
Client Gestore fatturazione progetto Assumi la proprietà dei pagamenti del progetto una volta completato.

Come aggiornare le autorizzazioni per la fatturazione Cloud

Per scoprire come rivedere, aggiungere o rimuovere le autorizzazioni per la fatturazione Cloud, segui le indicazioni su Gestire l'accesso agli account di fatturazione Cloud

Provalo

Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Inizia gratuitamente