En este documento, se describen los roles y permisos de acceso para las cuentas de Facturación de Cloud.
Una cuenta de facturación de Cloud se configura en Google Cloud y define quién paga un conjunto determinado de recursos de Google Cloud y APIs de Google Maps Platform. Una cuenta de Facturación de Cloud está conectada a un perfil de pagos de Google. Tu perfil de pagos de Google incluye una forma de pago a la que se cobran los costos.
Los permisos de acceso para la Facturación de Cloud y los pagos de Google se configuran en dos sistemas diferentes según el tipo de acceso que desees proporcionar.
- Facturación de Cloud te permite controlar qué usuarios tienen permisos administrativos y permisos para ver costos en recursos específicos mediante la configuración de las políticas de Identity and Access Management (IAM) en los recursos.
- En el centro de pagos de Google, puedes agregar usuarios a cualquier perfil de pagos mediante Google que administres y otorgar diferentes niveles de acceso a los usuarios, según lo que deban hacer. También puedes configurar las preferencias de correo electrónico del usuario para recibir correos electrónicos de facturación y pagos.
Permisos de Facturación de Cloud | Configuración y permisos de los pagos de Google |
---|---|
Los permisos de acceso a una cuenta de Facturación de Cloud se administran mediante
roles de IAM. Los permisos de la cuenta de facturación se pueden configurar para permitir que los usuarios hagan lo siguiente:
|
Los permisos de acceso a un perfil de pagos de Google se administran en
pagos mediante Google Google. Se pueden configurar los permisos de pagos mediante Google para permitir que los usuarios hagan lo siguiente:
Si quieres administrar tareas relacionadas con los pagos en la página Facturación de la consola de Google Cloud, los usuarios también necesitarán el rol de Visualizador de cuentas de facturación en la cuenta de Facturación de Cloud. |
Acceso a la Facturación de Cloud
Para otorgar o limitar el acceso a la Facturación de Cloud, puedes establecer una política de IAM a nivel de la organización, de la cuenta de Facturación de Cloud o del proyecto. Los recursos de Google Cloud heredan las políticas de IAM de su nodo superior, lo que significa que puedes establecer una política a nivel de la organización para aplicarla a todas las cuentas, los proyectos y los recursos de la Facturación de Cloud de la organización.
Puedes controlar los permisos de visualización en diferentes niveles para diferentes usuarios o funciones si estableces permisos de acceso en la cuenta de facturación de Cloud o a nivel del proyecto.
Si quieres otorgar permiso a un usuario para ver los costos de todos los proyectos con una cuenta de facturación de Cloud, otórgale permiso para ver los costos de una cuenta de facturación de Cloud (billing.accounts.getSpendingInformation
). Si deseas otorgar permiso a un usuario para ver los costos de un proyecto específico, otórgale permisos de visualización en proyectos individuales (billing.resourceCosts.get
).
Descripción general de las funciones de Facturación de Cloud en IAM
No se les otorgan permisos a los usuarios directamente, sino funciones, que incluyen uno o más permisos.
Se pueden otorgar uno o más roles al mismo usuario o en el mismo recurso.
Los siguientes roles de IAM predefinidos de la Facturación de Cloud te permiten usar el control de acceso para aplicar la separación de obligaciones:
Rol | Objetivo | Nivel | Caso práctico |
---|---|---|---|
Creador de cuentas de facturación ( roles/billing.creator ) |
Crear cuentas nuevas de facturación con pago automático (en línea). | Organización | Usa esta función para configurar la facturación inicial o permitir la creación de cuentas de facturación adicionales. Los usuarios deben tener esta función para registrarse en Google Cloud con una tarjeta de crédito mediante su identidad corporativa. Sugerencia: Minimiza la cantidad de usuarios que cuentan con esta función para ayudar a prevenir la proliferación de los gastos de la nube sin seguimiento en tu organización. |
Administrador de cuentas de facturación ( roles/billing.admin ) |
Administrar cuentas de facturación (pero no crearlas). | Organización o cuenta de facturación. | Esta es una función de propietario para una cuenta de facturación. Úsala para administrar los instrumentos de pago, configurar la exportación de la facturación, visualizar la información de costos, vincular y desvincular proyectos y administrar otras funciones de usuarios en las cuentas de facturación. De forma predeterminada, la persona que crea la cuenta de Facturación de Cloud es un administrador de cuentas de facturación de esa cuenta. |
Administrador de costos de la cuenta de facturación ( roles/billing.costsManager ) |
Administrar presupuestos y visualizar y exportar información de costos de las cuentas de facturación (pero no información de precios) | Organización o cuenta de facturación. | Crea, edita y borra presupuestos, visualiza la información de los costos y las transacciones de la cuenta de facturación y administra la exportación de los datos de costos de facturación a BigQuery. No confiere el derecho a exportar datos de precios ni visualizar los precios personalizados en la página Precios. No permite la vinculación o desvinculación de proyectos ni la administración de las propiedades de la cuenta de facturación. |
Lector de cuentas de facturación ( roles/billing.viewer ) |
Visualizar las transacciones y la información de los costos de las cuentas de facturación. | Organización o cuenta de facturación. | Por lo general, el acceso de Visualizador de cuentas de facturación se otorga a equipos financieros y proporciona acceso a la información de gastos, pero no confiere el derecho a vincular o desvincular proyectos o a administrar las propiedades de la cuenta de facturación. |
Usuario de la cuenta de facturación ( roles/billing.user ) |
Vincular proyectos a las cuentas de facturación. | Organización o cuenta de facturación. | Este rol tiene permisos muy restringidos, por lo que puedes otorgarlo en forma amplia. Cuando se otorga en combinación con Creador de proyectos, los dos roles permiten a los usuarios crear proyectos nuevos vinculados con la cuenta de facturación en la que se otorga el rol de Usuario de la cuenta de facturación. O bien, cuando se otorga en combinación con el rol de Administrador de facturación del proyecto, los dos roles permiten a los usuarios vincular y desvincular proyectos en la cuenta de facturación en la que se otorga el rol de Usuario de cuentas de facturación. |
Administrador de facturación del proyecto ( roles/billing.projectManager ) |
Vincula y desvincula el proyecto de una cuenta de facturación. | Organización, carpeta o proyecto. | Cuando se otorga en combinación con el rol de Usuario de cuentas de facturación, el rol de Administrador de facturación del proyecto permite a los usuarios adjuntar el proyecto a la cuenta de facturación, pero no otorga ningún derecho sobre los recursos. Los propietarios del proyecto pueden usar este rol para permitir que otra persona administre la facturación para el proyecto sin otorgarle el acceso a los recursos. |
En la siguiente tabla se enumeran los detalles de las funciones de facturación predefinidas de IAM, incluidos los permisos agrupados en cada función.
Role | Permissions |
---|---|
Billing Account Administrator( Provides access to see and manage all aspects of billing accounts. Lowest-level resources where you can grant this role:
|
|
Billing Account Costs Manager( Manage budgets for a billing account, and view, analyze, and export cost information of a billing account. Lowest-level resources where you can grant this role:
|
|
Billing Account Creator( Provides access to create billing accounts. Lowest-level resources where you can grant this role:
|
|
Project Billing Manager( When granted in conjunction with the Billing Account User role, provides access to assign a project's billing account or disable its billing. Lowest-level resources where you can grant this role:
|
|
Billing Account User( When granted in conjunction with the Project Owner role or Project Billing Manager role, provides access to associate projects with billing accounts. Lowest-level resources where you can grant this role:
|
|
Billing Account Viewer( View billing account cost and pricing information, transactions, and billing and commitment recommendations. Lowest-level resources where you can grant this role:
|
|
Relaciones IAM entre organizaciones, proyectos, cuentas de Facturación de Cloud y perfiles de pagos de Google
Existen dos tipos de relaciones que rigen las interacciones entre las organizaciones, las cuentas de facturación de Cloud y los proyectos: la propiedad y la vinculación de pagos.
- La propiedad se refiere a la herencia del permiso de IAM.
- Las vinculaciones de pago definen con qué cuenta de facturación de Cloud se paga por un proyecto determinado.
En el siguiente diagrama, se muestra la relación de propiedad y las vinculaciones de pago para una organización de muestra.
En el diagrama, la organización tiene la propiedad de los proyectos 1, 2 y 3, lo que significa que es el superior de los permisos de IAM de los tres proyectos.
La cuenta de facturación de Cloud está vinculada a los proyectos 1, 2 y 3, lo que significa que con ella se pagan los costos generados por los tres proyectos. La cuenta de Facturación de Cloud también puede pagar por proyectos en otras organizaciones, pero hereda los permisos de IAM de su organización superior.
La cuenta de facturación de Cloud también está vinculada a un perfil de pagos de Google, que almacena información como el nombre, la dirección y las formas de pago. Obtén más información para administrar los permisos de usuario de los perfiles de pagos de Google.
Aunque vincules cuentas de facturación de Cloud a proyectos, estas cuentas no son superiores de los proyectos en el sentido de IAM y, por lo tanto, los proyectos no heredan los permisos de la cuenta de facturación de Cloud a la que están vinculados.
En este ejemplo, todos los usuarios que tienen asignadas funciones de facturación de IAM en la organización también tienen esas funciones en la cuenta de facturación de Cloud o los proyectos.
Ejemplos de control de acceso a Facturación de Cloud
Combina las funciones de IAM de la manera siguiente para satisfacer las necesidades de una variedad de situaciones.
Situación: pequeña a mediana empresa con preferencia por el control centralizado. | ||
---|---|---|
Tipo de usuario | Funciones de IAM de facturación | Actividades de facturación |
Director ejecutivo | Administrador de cuentas de facturación | Administrar instrumentos de pago. Ver y aprobar facturas. |
Director de Tecnología | Administrador de cuentas de facturación Creador del proyecto |
Configurar alertas de presupuesto. Ver los gastos. Crear proyectos facturables nuevos. |
Equipos de desarrollo | Ninguno | Ninguno |
Situación: pequeña a mediana empresa con preferencia por la autoridad delegada. | ||
---|---|---|
Tipo de usuario | Funciones de IAM de facturación | Actividades de facturación |
Director ejecutivo | Administrador de cuentas de facturación | Administrar instrumentos de pago. Delegar autoridad. |
Director de Finanzas | Administrador de cuentas de facturación | Configurar alertas de presupuesto. Ver los gastos. |
Cuentas por pagar | Lector de cuentas de facturación | Ver y aprobar facturas. |
Equipos de desarrollo | Usuario de la cuenta de facturación Creador del proyecto |
Crear proyectos facturables nuevos. |
Situación: Funciones separadas de planificación financiera y adquisiciones | ||
---|---|---|
Tipo de usuario | Funciones de IAM de facturación | Actividades de facturación |
Adquisición o Central de TI | Administrador de cuentas de facturación | Administrar instrumentos de pago. Configurar alertas de presupuesto. Comunicar gastos a los equipos de desarrollo. |
Planificación financiera | Lector de cuentas de facturación | Ver informes de facturación. Procesar exportaciones. Comunicarse con el director ejecutivo. |
Cuentas por pagar | Lector de cuentas de facturación | Aprobar facturas. |
Equipos de desarrollo | Usuario de la cuenta de facturación Creador del proyecto |
Crear proyectos facturables nuevos. |
Situación: agencia de desarrollo | ||
---|---|---|
Tipo de usuario | Funciones de IAM de facturación | Actividades de facturación |
Director ejecutivo | Administrador de cuentas de facturación | Administrar instrumentos de pago. Delegar autoridad. |
Director de Finanzas | Administrador de cuentas de facturación | Configurar alertas de presupuesto. Ver los gastos. Aprobar facturas. |
Líder del proyecto | Usuario de la cuenta de facturación Creador del proyecto |
Crear proyectos facturables nuevos. |
Equipo de desarrollo de proyectos | Ninguno | Desarrollar en los proyectos existentes. |
Cliente | Administrador de facturación del proyecto | Tomar la propiedad de pago del proyecto cuando se completa. |
Cómo actualizar los permisos de la Facturación de Cloud
Para obtener información sobre cómo revisar, agregar o quitar los permisos de la Facturación de Cloud, sigue las instrucciones en Administra el acceso a las cuentas de Facturación de Cloud.
Temas relacionados
- Administra el acceso a las cuentas de Facturación de Cloud
- Control de acceso a la API de Cloud Billing
- Otorga, cambia y revoca el acceso en la documentación de IAM
- Crea funciones personalizadas de la Facturación de Cloud
Pruébalo tú mismo
Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
Comenzar gratis