Controlo de acesso e autorizações da Cloud Billing

Este documento descreve as funções e as autorizações de acesso para contas de faturação do Google Cloud.

Uma conta do Cloud Billing é configurada na Google Cloud e define quem paga por um determinado conjunto de Google Cloud recursos e APIs Google Maps Platform. Uma conta do Cloud Billing está associada a um perfil de pagamentos Google. O seu perfil de pagamentos Google inclui um método de pagamento ao qual os custos são cobrados.

As autorizações de acesso à faturação do Google Cloud e aos pagamentos Google são configuradas em dois sistemas diferentes, consoante o tipo de acesso que quer conceder.

  • A Cloud Billing permite-lhe controlar os utilizadores que têm autorizações administrativas e de visualização de custos para recursos específicos através da definição de políticas de gestão de identidade e de acesso (IAM) nos recursos.
  • No centro de pagamentos da Google, pode adicionar utilizadores a qualquer perfil de empresa de pagamentos Google que gere e conceder diferentes níveis de acesso aos seus utilizadores, consoante o que precisam de fazer. Também pode configurar as preferências de email do utilizador para receber emails de faturação e pagamentos.
Autorizações do Cloud Billing Definições e autorizações de pagamentos Google
As autorizações de acesso a uma conta de faturação do Google Cloud são geridas através das funções do IAM. As autorizações da conta de faturação podem ser configuradas para permitir que os utilizadores façam o seguinte:
  • Abrir, fechar e modificar uma conta do Cloud Billing.
  • Ver relatórios e dados de custos.
  • Ver documentos (como faturas e extratos).
  • Analise e compre descontos de fidelidade (CUDs).
  • Ativar e gerir a exportação de dados de faturação.
  • Configure orçamentos e alertas.
  • Faça a gestão da faturação por projeto.
  • Faça a gestão das autorizações de utilizador para a faturação.
  • Contacte o apoio técnico de faturação.
 As autorizações de acesso a um perfil de pagamentos Google são geridas nas definições de pagamentos Google. As autorizações de pagamentos Google podem ser configuradas para permitir que os utilizadores façam o seguinte:
  • Adicionar, editar e remover métodos de pagamento.
  • Atualize as informações do perfil de pagamentos, incluindo as moradas de envio.
  • Faça a gestão dos utilizadores de pagamentos, incluindo detalhes de contacto, preferências de email e autorizações do utilizador.

Se quiser gerir tarefas relacionadas com pagamentos a partir da página Faturação da Google Cloud consola, os utilizadores também precisam da função Leitor da conta de faturação na conta do Cloud Billing.

Acesso ao Cloud Billing

Para conceder ou limitar o acesso à Cloud Billing, pode definir uma política de IAM ao nível da organização, ao nível da conta de faturação do Google Cloud ou ao nível do projeto. Google Cloud Os recursos herdam as políticas de IAM do respetivo nó principal, o que significa que pode definir uma política ao nível da organização para a aplicar a todas as contas de faturação do Google Cloud, projetos e recursos na organização.

Pode controlar as autorizações de visualização a diferentes níveis para diferentes utilizadores ou funções definindo autorizações de acesso ao nível da conta de faturação do Google Cloud ou do projeto.

Para conceder autorização a um utilizador para ver os custos de todos os projetos numa conta do Cloud Billing, conceda ao utilizador autorização para ver os custos de uma conta do Cloud Billing (billing.accounts.getSpendingInformation). Para conceder autorização a um utilizador para ver os custos de um projeto específico, conceda ao utilizador autorizações de visualização para projetos individuais (billing.resourceCosts.get).

Vista geral das funções do Cloud Billing no IAM

Não concede autorizações diretamente aos utilizadores. Em vez disso, atribui-lhes funções, que têm uma ou mais autorizações incluídas.

Pode conceder uma ou mais funções ao mesmo utilizador ou no mesmo recurso.

As seguintes funções de IAM da Faturação do Google Cloud predefinidas permitem-lhe usar o controlo de acesso para aplicar a separação de funções:

Função Finalidade Nível Exemplo de utilização
Criador da conta de faturação
(roles/billing.creator)		 Criar novas contas de faturação autónoma (online). Organização Use esta função para a configuração de faturação inicial ou para permitir a criação de contas de faturação adicionais.
Os utilizadores têm de ter esta função para se inscreverem no Google Cloud com um cartão de crédito através da respetiva identidade empresarial.
Sugestão: minimize o número de utilizadores que têm esta função para ajudar a evitar a proliferação de gastos na nuvem não monitorizados na sua organização.
Administrador da conta de faturação
(roles/billing.admin) 		Fazer a gestão de contas de faturação (mas não criá-las). Organização ou conta de faturação. Esta é uma função de proprietário para uma conta de faturação. Use-a para gerir meios de pagamento, configurar exportações de faturação, ver informações de custo, associar e desassociar projetos, e gerir outras funções de utilizador na conta de faturação. Por predefinição, a pessoa que cria a conta do Cloud Billing é um administrador da conta de faturação da conta do Cloud Billing.
Gestor de custos da conta de faturação
(roles/billing.costsManager)		 Gerir orçamentos e ver e exportar informações de custos de contas de faturação (mas não informações de preços). Organização ou conta de faturação. Criar, editar e eliminar orçamentos, ver informações de custos da conta de faturação e transações, e gerir a exportação de dados de custos de faturação para o BigQuery. Não confere o direito de exportar dados de preços nem ver preços personalizados na página Preços. Não permite a associação nem a desassociação de projetos, nem a gestão das propriedades da conta de faturação.
Leitor da conta de faturação
(roles/billing.viewer)		 Veja as informações de custos e as transações da conta de faturação. Organização ou conta de faturação. O acesso para visualização da conta de faturação é normalmente concedido às equipas financeiras. Permite aceder às informações de despesa, mas não confere o direito de associar ou desassociar projetos nem de gerir as propriedades da conta de faturação.
Gestor de custos de faturação do projeto
(roles/billing.projectCostsManager)		 Ver informações de custos da conta de faturação com âmbito nos projetos. Organização ou conta de faturação. Quando concedida em conjunto com autorizações de visualização de custos em projetos, o gestor de custos de faturação de projetos fornece acesso a informações de faturação no âmbito dos projetos aos quais o utilizador tem acesso aos custos. As informações de faturação com âmbito nos projetos incluem o acesso a relatórios, ao hub de FinOps, a orçamentos e alertas, e a anomalias.
Utilizador da conta de faturação
(roles/billing.user)		 Associe projetos a contas de faturação. Organização ou conta de faturação. Esta função tem autorizações muito restritas, pelo que pode concedê-la de forma alargada. Quando concedidas em combinação com a função de criador de projeto, as duas funções permitem que os utilizadores criem novos projetos associados à conta de faturação à qual a função de utilizador da conta de faturação foi concedida. Em alternativa, quando concedidas em combinação com a função Gestor de faturação de projetos, as duas funções permitem que os utilizadores associem e desassociem projetos na conta de faturação à qual a função Utilizador da conta de faturação foi concedida.
Gestor de faturação do projeto
(roles/billing.projectManager) 		Associar e desassociar o projeto a uma conta de faturação. Organização, pasta ou projeto. Quando concedida em combinação com a função de utilizador da conta de faturação, a função de gestor de faturação do projeto permite que os utilizadores anexem o projeto à conta de faturação, mas não concede quaisquer direitos sobre os recursos. Os proprietários do projeto podem usar esta função para permitir que outra pessoa faça a gestão da faturação do projeto sem lhe conceder acesso aos recursos.

A tabela seguinte apresenta os detalhes das funções de faturação de IAM predefinidas, incluindo as autorizações incluídas em cada função.

Role Permissions

(roles/billing.admin)

Provides access to see and manage all aspects of billing accounts.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.close

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.getIamPolicy

billing.accounts.getPaymentInfo

billing.accounts.getPricing

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.accounts.move

billing.accounts.redeemPromotion

billing.accounts.removeFromOrganization

billing.accounts.reopen

billing.accounts.setIamPolicy

billing.accounts.update

billing.accounts.updatePaymentInfo

billing.accounts.updateUsageExportSpec

billing.anomalies.*

  • billing.anomalies.get
  • billing.anomalies.list
  • billing.anomalies.submitFeedback

billing.anomaliesConfigs.*

  • billing.anomaliesConfigs.get
  • billing.anomaliesConfigs.update

billing.billingAccountPrice.get

billing.billingAccountPrices.list

billing.billingAccountServices.*

  • billing.billingAccountServices.get
  • billing.billingAccountServices.list

billing.billingAccountSkuGroupSkus.*

  • billing.billingAccountSkuGroupSkus.get
  • billing.billingAccountSkuGroupSkus.list

billing.billingAccountSkuGroups.*

  • billing.billingAccountSkuGroups.get
  • billing.billingAccountSkuGroups.list

billing.billingAccountSkus.*

  • billing.billingAccountSkus.get
  • billing.billingAccountSkus.list

billing.budgets.*

  • billing.budgets.create
  • billing.budgets.delete
  • billing.budgets.get
  • billing.budgets.list
  • billing.budgets.update

billing.credits.list

billing.finOpsBenchmarkInformation.get

billing.finOpsHealthInformation.get

billing.resourceAssociations.*

  • billing.resourceAssociations.create
  • billing.resourceAssociations.delete
  • billing.resourceAssociations.list

billing.subscriptions.*

  • billing.subscriptions.create
  • billing.subscriptions.get
  • billing.subscriptions.list
  • billing.subscriptions.update

cloudasset.assets.searchAllResources

cloudnotifications.activities.list

cloudsupport.properties.get

cloudsupport.techCases.*

  • cloudsupport.techCases.create
  • cloudsupport.techCases.escalate
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • cloudsupport.techCases.update

commerceoffercatalog.*

  • commerceoffercatalog.agreements.get
  • commerceoffercatalog.agreements.list
  • commerceoffercatalog.documents.get
  • commerceoffercatalog.documents.list
  • commerceoffercatalog.offers.get

compute.commitments.*

  • compute.commitments.create
  • compute.commitments.get
  • compute.commitments.list
  • compute.commitments.update
  • compute.commitments.updateReservations

consumerprocurement.accounts.*

  • consumerprocurement.accounts.create
  • consumerprocurement.accounts.delete
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.grant

consumerprocurement.consents.list

consumerprocurement.consents.revoke

consumerprocurement.events.*

  • consumerprocurement.events.get
  • consumerprocurement.events.list

consumerprocurement.licensePools.*

  • consumerprocurement.licensePools.assign
  • consumerprocurement.licensePools.enumerateLicensedUsers
  • consumerprocurement.licensePools.get
  • consumerprocurement.licensePools.unassign
  • consumerprocurement.licensePools.update

consumerprocurement.orderAttributions.*

  • consumerprocurement.orderAttributions.get
  • consumerprocurement.orderAttributions.list
  • consumerprocurement.orderAttributions.update

consumerprocurement.orders.*

  • consumerprocurement.orders.cancel
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • consumerprocurement.orders.modify
  • consumerprocurement.orders.place

dataprocessing.datasources.get

dataprocessing.datasources.list

dataprocessing.groupcontrols.get

dataprocessing.groupcontrols.list

logging.logEntries.list

logging.logServiceIndexes.list

logging.logServices.list

logging.logs.list

logging.privateLogEntries.list

recommender.cloudsqlIdleInstanceRecommendations.get

recommender.cloudsqlIdleInstanceRecommendations.list

recommender.cloudsqlOverprovisionedInstanceRecommendations.get

recommender.cloudsqlOverprovisionedInstanceRecommendations.list

recommender.commitmentUtilizationInsights.*

  • recommender.commitmentUtilizationInsights.get
  • recommender.commitmentUtilizationInsights.list
  • recommender.commitmentUtilizationInsights.update

recommender.computeAddressIdleResourceRecommendations.get

recommender.computeAddressIdleResourceRecommendations.list

recommender.computeDiskIdleResourceRecommendations.get

recommender.computeDiskIdleResourceRecommendations.list

recommender.computeImageIdleResourceRecommendations.get

recommender.computeImageIdleResourceRecommendations.list

recommender.computeInstanceGroupManagerMachineTypeRecommendations.get

recommender.computeInstanceGroupManagerMachineTypeRecommendations.list

recommender.computeInstanceIdleResourceRecommendations.get

recommender.computeInstanceIdleResourceRecommendations.list

recommender.computeInstanceMachineTypeRecommendations.get

recommender.computeInstanceMachineTypeRecommendations.list

recommender.costInsights.*

  • recommender.costInsights.get
  • recommender.costInsights.list
  • recommender.costInsights.update

recommender.costRecommendations.*

  • recommender.costRecommendations.listAll
  • recommender.costRecommendations.summarizeAll

recommender.resourcemanagerProjectUtilizationRecommendations.get

recommender.resourcemanagerProjectUtilizationRecommendations.list

recommender.spendBasedCommitmentInsights.*

  • recommender.spendBasedCommitmentInsights.get
  • recommender.spendBasedCommitmentInsights.list
  • recommender.spendBasedCommitmentInsights.update

recommender.spendBasedCommitmentRecommendations.*

  • recommender.spendBasedCommitmentRecommendations.get
  • recommender.spendBasedCommitmentRecommendations.list
  • recommender.spendBasedCommitmentRecommendations.update

recommender.spendBasedCommitmentRecommenderConfig.*

  • recommender.spendBasedCommitmentRecommenderConfig.get
  • recommender.spendBasedCommitmentRecommenderConfig.update

recommender.usageCommitmentRecommendations.*

  • recommender.usageCommitmentRecommendations.get
  • recommender.usageCommitmentRecommendations.list
  • recommender.usageCommitmentRecommendations.update

resourcemanager.projects.createBillingAssignment

resourcemanager.projects.deleteBillingAssignment

resourcemanager.projects.get

resourcemanager.projects.list

(roles/billing.carbonViewer)

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.list

(roles/billing.costsManager)

Manage budgets for a billing account, and view, analyze, and export cost information of a billing account.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.accounts.updateUsageExportSpec

billing.anomalies.get

billing.anomalies.list

billing.anomaliesConfigs.*

  • billing.anomaliesConfigs.get
  • billing.anomaliesConfigs.update

billing.budgets.*

  • billing.budgets.create
  • billing.budgets.delete
  • billing.budgets.get
  • billing.budgets.list
  • billing.budgets.update

billing.resourceAssociations.list

recommender.costInsights.*

  • recommender.costInsights.get
  • recommender.costInsights.list
  • recommender.costInsights.update

(roles/billing.creator)

Provides access to create billing accounts.

Lowest-level resources where you can grant this role:

  • Organization

billing.accounts.create

resourcemanager.organizations.get

(roles/billing.projectCostsManager)

When granted in conjunction with cost view permissions on projects, provides access to billing information scoped to the projects to which the user has cost access.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.getIamPolicy

billing.accounts.getSpendingInformationScoped

billing.costRecommendations.listScoped

(roles/billing.projectManager)

When granted in conjunction with the Billing Account User role, provides access to assign a project's billing account or disable its billing.

Lowest-level resources where you can grant this role:

  • Project

resourcemanager.projects.createBillingAssignment

resourcemanager.projects.deleteBillingAssignment

(roles/billing.user)

When granted in conjunction with the Project Owner role or Project Billing Manager role, provides access to associate projects with billing accounts.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.list

billing.accounts.redeemPromotion

billing.credits.list

billing.resourceAssociations.create

(roles/billing.viewer)

View billing account cost and pricing information, transactions, and billing and commitment recommendations.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.getIamPolicy

billing.accounts.getPaymentInfo

billing.accounts.getPricing

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.anomalies.get

billing.anomalies.list

billing.anomaliesConfigs.get

billing.billingAccountPrice.get

billing.billingAccountPrices.list

billing.billingAccountServices.*

  • billing.billingAccountServices.get
  • billing.billingAccountServices.list

billing.billingAccountSkuGroupSkus.*

  • billing.billingAccountSkuGroupSkus.get
  • billing.billingAccountSkuGroupSkus.list

billing.billingAccountSkuGroups.*

  • billing.billingAccountSkuGroups.get
  • billing.billingAccountSkuGroups.list

billing.billingAccountSkus.*

  • billing.billingAccountSkus.get
  • billing.billingAccountSkus.list

billing.budgets.get

billing.budgets.list

billing.credits.list

billing.finOpsBenchmarkInformation.get

billing.finOpsHealthInformation.get

billing.resourceAssociations.list

billing.subscriptions.get

billing.subscriptions.list

commerceoffercatalog.*

  • commerceoffercatalog.agreements.get
  • commerceoffercatalog.agreements.list
  • commerceoffercatalog.documents.get
  • commerceoffercatalog.documents.list
  • commerceoffercatalog.offers.get

consumerprocurement.accounts.get

consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.list

consumerprocurement.orderAttributions.get

consumerprocurement.orderAttributions.list

consumerprocurement.orders.get

consumerprocurement.orders.list

dataprocessing.datasources.get

dataprocessing.datasources.list

dataprocessing.groupcontrols.get

dataprocessing.groupcontrols.list

recommender.commitmentUtilizationInsights.get

recommender.commitmentUtilizationInsights.list

recommender.costInsights.get

recommender.costInsights.list

recommender.costRecommendations.*

  • recommender.costRecommendations.listAll
  • recommender.costRecommendations.summarizeAll

recommender.spendBasedCommitmentInsights.get

recommender.spendBasedCommitmentInsights.list

recommender.spendBasedCommitmentRecommendations.get

recommender.spendBasedCommitmentRecommendations.list

recommender.spendBasedCommitmentRecommenderConfig.get

recommender.usageCommitmentRecommendations.get

recommender.usageCommitmentRecommendations.list

Relações do IAM entre organizações, projetos, contas do Cloud Billing e perfis de pagamentos Google

Existem dois tipos de relações que regem as interações entre organizações, contas do Cloud Billing e projetos: propriedade e associação de pagamentos.

  • A propriedade refere-se à herança de autorizações de IAM.
  • As associações de pagamentos definem que conta de faturação do Google Cloud paga por um determinado projeto.

O diagrama seguinte mostra a relação entre a propriedade e as associações de pagamentos para uma organização de exemplo.

Ilustra a relação entre os projetos e uma conta do Cloud Billing e um perfil de pagamentos Google. Um lado mostra os recursos ao nível de Google Cloud(conta de faturação do Google Cloud e projetos associados) e o outro lado, dividido por uma linha pontilhada vertical, mostra o recurso ao nível da Google (um perfil de pagamentos Google). Os seus projetos são pagos pela sua conta de faturação do Google Cloud, que está associada a um perfil de pagamentos Google.

No diagrama, a organização tem a propriedade dos projetos 1, 2 e 3, o que significa que é o principal das autorizações da IAM dos três projetos.

A conta do Cloud Billing está associada aos projetos 1, 2 e 3, o que significa que paga os custos incorridos pelos três projetos. A conta de faturação do Google Cloud também pode pagar projetos noutras organizações, mas herda as autorizações do IAM da respetiva organização principal.

A conta de faturação do Google Cloud também está associada a um perfil de pagamentos Google, que armazena informações como o nome, a morada e os métodos de pagamento. Saiba como gerir as autorizações do utilizador do perfil de pagamentos Google.

Embora associe contas do Cloud Billing a projetos, as contas do Cloud Billing não são pais de projetos no sentido do IAM e, por isso, os projetos não herdam autorizações da conta do Cloud Billing à qual estão associados.

Neste exemplo, todos os utilizadores aos quais são concedidas funções de faturação da IAM na organização também têm essas funções na conta do Cloud Billing ou nos projetos.

Exemplos de controlo de acesso ao Cloud Billing

Combine as funções do IAM da seguinte forma para satisfazer as necessidades de vários cenários.

Cenário: pequena ou média empresa com preferência por controlo centralizado.
Tipo de utilizador Funções de IAM de faturação Atividades de faturação
CEO Administrador da conta de faturação Faça a gestão do meio de pagamento.
Ver e aprovar faturas.
CTO Administrador da conta de faturação
Criador do projeto		 Defina alertas de orçamento.
Ver gastos.
Crie novos projetos faturáveis.
Equipas de desenvolvimento Nenhum Nenhum
Cenário: pequena ou média empresa com preferência por autoridade delegada.
Tipo de utilizador Funções de IAM de faturação Atividades de faturação
CEO Administrador da conta de faturação Faça a gestão do meio de pagamento.
Delegue autoridade.
CFO Administrador da conta de faturação Defina alertas de orçamento.
Ver gastos.
Contas a pagar Leitor da conta de faturação Ver e aprovar faturas.
Equipas de desenvolvimento Utilizador da conta de faturação
Criador de projetos		 Criar novos projetos faturáveis.
Cenário: funções de planeamento financeiro e aprovisionamento separadas
Tipo de utilizador Funções de IAM de faturação Atividades de faturação
Aprovisionamento ou TI central Administrador da conta de faturação Faça a gestão do meio de pagamento.
Defina alertas de orçamento.
Comunique os gastos às equipas de desenvolvimento.
Planeamento financeiro Leitor da conta de faturação Ver relatórios de faturação.
Processe exportações.
Comunique com os executivos.
Contas a pagar Leitor da conta de faturação Aprovar faturas.
Equipas de desenvolvimento Utilizador da conta de faturação
Criador de projetos		 Criar novos projetos faturáveis.
Cenário: agência de desenvolvimento
Tipo de utilizador Funções de IAM de faturação Atividades de faturação
CEO Administrador da conta de faturação Faça a gestão do meio de pagamento.
Delegue autoridade.
CFO Administrador da conta de faturação Defina alertas de orçamento.
Ver gastos.
Aprovar faturas.
Líder do projeto Utilizador da conta de faturação
Criador de projetos		 Criar novos projetos faturáveis.
Equipa de desenvolvimento do projeto Nenhum Desenvolver em projetos existentes.
Cliente Gestor de faturação de projetos Assumir a propriedade do pagamento do projeto quando este estiver concluído.

Como atualizar as autorizações do Cloud Billing

Para saber como rever, adicionar ou remover autorizações do Cloud Billing, siga as orientações em Faça a gestão do acesso às contas do Cloud Billing

Experimente

Se for um novo utilizador do Google Cloud, crie uma conta para avaliar o desempenho dos nossos produtos em cenários reais. Os novos clientes também recebem 300 USD em créditos gratuitos para executar, testar e implementar cargas de trabalho.

Comece gratuitamente