Controllo dell'accesso alla fatturazione Cloud e autorizzazioni

Questo argomento descrive i ruoli e le autorizzazioni di accesso per gli account Cloud Billing.

In Google Cloud è configurato un account di fatturazione Cloud, che viene utilizzato per definire chi paga per un determinato insieme di risorse Google Cloud e API di Google Maps Platform. Un account di fatturazione Cloud è connesso a un Profilo pagamenti Google. Il tuo profilo pagamenti Google include: strumento di pagamento a cui vengono addebitati i costi.

Le autorizzazioni di accesso per la fatturazione Cloud e i pagamenti Google sono configurate in due sistemi diversi a seconda del tipo di accesso che vuoi fornire.

  • La fatturazione Cloud ti consente di controllare quali utenti autorizzazioni amministrative e di visualizzazione dei costi per risorse specifiche impostando Gestione di identità e accessi (IAM) i criteri sulle risorse.
  • Nel centro pagamenti Google puoi aggiungere utenti a qualsiasi Il profilo dell'attività di pagamenti tramite Google che gestisci e a cui concedi diversi livelli di e l'accesso diretto ai tuoi utenti, in base a ciò che devono fare. Puoi anche configurare le preferenze email dell'utente per la ricezione di email relative a fatturazione e pagamenti.
Autorizzazioni per la fatturazione Cloud Impostazioni di pagamenti tramite Google e autorizzazioni
Le autorizzazioni di accesso a un account di fatturazione Cloud sono gestito con Ruoli IAM. Le autorizzazioni dell'account di fatturazione possono essere configurate per consentire agli utenti di:
  • Apri, chiudi e modifica un account di fatturazione Cloud.
  • Visualizzare i report e i dati sui costi.
  • Visualizzare i documenti (ad esempio fatture ed estratti conto).
  • Analizza gli sconti per impegno di utilizzo (CUD) e acquista gli sconti per impegno di utilizzo (CUD).
  • Abilita e gestisci l'esportazione dei dati di fatturazione.
  • Configura budget e avvisi.
  • Gestisci la fatturazione per progetto.
  • Gestire le autorizzazioni degli utenti per la fatturazione.
  • Contatta l'assistenza per la fatturazione.
 Le autorizzazioni di accesso a un profilo pagamenti Google sono gestito in Impostazioni di pagamento tramite Google. Le autorizzazioni di pagamenti tramite Google possono che consenta agli utenti di:
  • Aggiungere, modificare e rimuovere metodi di pagamento.
  • Aggiorna i dati del profilo pagamenti, inclusi gli indirizzi di spedizione.
  • Gestisci gli utenti pagamenti, inclusi dettagli di contatto, preferenze email e autorizzazioni utente.

Se vuoi gestire le attività relative ai pagamenti dalla pagina Fatturazione della console Google Cloud, gli utenti dovranno disporre anche del ruolo Visualizzatore account di fatturazione nell'account di fatturazione Cloud.

Accesso alla fatturazione Cloud

Per concedere o limitare l'accesso a Fatturazione Cloud, puoi impostare un criterio IAM a livello di organizzazione, di account di fatturazione Cloud e/o di progetto. Le risorse Google Cloud ereditano i criteri IAM del nodo padre, permettendoti di configurare un criterio a livello di organizzazione per applicarlo a tutte le gli account, i progetti e le risorse di fatturazione Cloud dell'organizzazione.

Puoi controllare le autorizzazioni di visualizzazione a diversi livelli per utenti o ruoli diversi impostando le autorizzazioni di accesso a livello di account o progetto di fatturazione cloud.

Per concedere a un utente l'autorizzazione per visualizzare i costi di tutti i progetti in un account di fatturazione Cloud, concedi all'utente l'autorizzazione a visualizzare i costi per un account di fatturazione Cloud (billing.accounts.getSpendingInformation). A concedere a un utente l'autorizzazione a visualizzare i costi per uno specifico progetto, concedi all'utente le autorizzazioni di visualizzazione progetti (billing.resourceCosts.get).

Panoramica dei ruoli di fatturazione Cloud in IAM

Non concedi direttamente le autorizzazioni agli utenti, concedi loro i ruoli, che hanno una o più autorizzazioni raggruppate al loro interno.

Puoi concedere uno o più ruoli allo stesso utente o alla stessa risorsa.

I seguenti ruoli Cloud IAM di fatturazione Cloud predefiniti sono progettati per consentirti di utilizzare il controllo dell'accesso per applicare la separazione dei compiti:

Ruolo Finalità Livello Caso d'uso
Billing Account Creator
(roles/billing.creator)		 Creare nuovi account di fatturazione self-service (online). Organizzazione Utilizza questo ruolo per la configurazione iniziale della fatturazione o per consentire la creazione di account di fatturazione aggiuntivi.
Gli utenti devono disporre di questo ruolo per registrarsi a Google Cloud con una carta di credito utilizzando la propria identità aziendale.
Suggerimento: riduci al minimo il numero di utenti che hanno questo ruolo per aiutarti prevenire la proliferazione della spesa cloud non monitorata nella tua organizzazione.
Amministratore account di fatturazione
(roles/billing.admin) 		Gestire gli account di fatturazione (ma non crearli). Organizzazione o account di fatturazione. Questo è un ruolo di proprietario per un account di fatturazione. Utilizzala per gestire i pagamenti strumenti, configurare esportazioni della fatturazione, visualizzare le informazioni sui costi, collegare e scollegare progetti e gestire altri ruoli utente nell'account di fatturazione. Per impostazione predefinita, la persona che crea l'account di fatturazione Cloud è un Billing Account Administrator per la fatturazione Cloud .
Billing Account Costs Manager
(roles/billing.costsManager)		 Gestire i budget e visualizzare ed esportare le informazioni sui costi degli account di fatturazione (ma non le informazioni sui prezzi). Organizzazione o account di fatturazione. Creare, modificare ed eliminare budget, visualizzare le informazioni sui costi dell'account di fatturazione e transazioni e gestire l'esportazione dei dati di costo di fatturazione in BigQuery. Non conferisce il diritto di esportare i dati dei prezzi o di visualizzare i prezzi personalizzati nella pagina Prezzi. Inoltre, non consente il collegamento o lo scollegamento dei progetti né la gestione in altro modo delle proprietà dell'account di fatturazione.
Visualizzatore account di fatturazione
(roles/billing.viewer)		 Dispone dell'autorizzazione per visualizzare le transazioni e le informazioni sul costo degli account di fatturazione. Organizzazione o account di fatturazione. L'accesso come Visualizzatore account di fatturazione viene in genere assegnato ai team di gestione finanziaria e consente di accedere a informazioni sui costi sostenuti, ma non conferisce il diritto di collegare o scollegare progetti o di gestire in altro modo le proprietà dell'account di fatturazione.
Utente account di fatturazione
(roles/billing.user)		 Collega i progetti agli account di fatturazione. Organizzazione o account di fatturazione. Le autorizzazioni di questo ruolo sono molto limitate. Puoi quindi assegnarlo a un'ampia platea di utenti. Se concessi in combinazione con il ruolo Autore progetto, i due ruoli consentono per creare nuovi progetti collegati all'account di fatturazione Il ruolo Utente account è stato concesso. In alternativa, se concessi in combinazione con il ruolo Gestore fatturazione progetto, i due ruoli consentono a un utente di collegare e scollegare i progetti nell'account di fatturazione in cui è stato concesso il ruolo Utente account di fatturazione.
Project Billing Manager
(roles/billing.projectManager) 		Collega/scollega il progetto da/verso un account di fatturazione. Organizzazione, cartella o progetto. Se concesso in combinazione con il ruolo Utente account di fatturazione, il parametro Il ruolo Gestore fatturazione progetto consente a un utente di collegare il progetto al account di fatturazione, ma non concede diritti sulle risorse. I proprietari del progetto possono utilizzare questo ruolo per consentire a qualcun altro di gestire la fatturazione del progetto senza concedergli l'accesso alle risorse.

La tabella seguente elenca i dettagli dei ruoli IAM predefiniti per la fatturazione, incluse le autorizzazioni raggruppate in ogni ruolo.

Role Permissions

(roles/billing.admin)

Provides access to see and manage all aspects of billing accounts.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.close

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.getIamPolicy

billing.accounts.getPaymentInfo

billing.accounts.getPricing

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.accounts.move

billing.accounts.redeemPromotion

billing.accounts.removeFromOrganization

billing.accounts.reopen

billing.accounts.setIamPolicy

billing.accounts.update

billing.accounts.updatePaymentInfo

billing.accounts.updateUsageExportSpec

billing.billingAccountPrice.get

billing.billingAccountPrices.list

billing.billingAccountServices.*

  • billing.billingAccountServices.get
  • billing.billingAccountServices.list

billing.billingAccountSkuGroupSkus.*

  • billing.billingAccountSkuGroupSkus.get
  • billing.billingAccountSkuGroupSkus.list

billing.billingAccountSkuGroups.*

  • billing.billingAccountSkuGroups.get
  • billing.billingAccountSkuGroups.list

billing.billingAccountSkus.*

  • billing.billingAccountSkus.get
  • billing.billingAccountSkus.list

billing.budgets.*

  • billing.budgets.create
  • billing.budgets.delete
  • billing.budgets.get
  • billing.budgets.list
  • billing.budgets.update

billing.credits.list

billing.finOpsBenchmarkInformation.get

billing.finOpsHealthInformation.get

billing.resourceAssociations.*

  • billing.resourceAssociations.create
  • billing.resourceAssociations.delete
  • billing.resourceAssociations.list

billing.subscriptions.*

  • billing.subscriptions.create
  • billing.subscriptions.get
  • billing.subscriptions.list
  • billing.subscriptions.update

cloudasset.assets.searchAllResources

cloudnotifications.activities.list

cloudsupport.properties.get

cloudsupport.techCases.*

  • cloudsupport.techCases.create
  • cloudsupport.techCases.escalate
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • cloudsupport.techCases.update

commerceoffercatalog.*

  • commerceoffercatalog.agreements.get
  • commerceoffercatalog.agreements.list
  • commerceoffercatalog.documents.get
  • commerceoffercatalog.documents.list
  • commerceoffercatalog.offers.get

compute.commitments.*

  • compute.commitments.create
  • compute.commitments.get
  • compute.commitments.list
  • compute.commitments.update
  • compute.commitments.updateReservations

consumerprocurement.accounts.*

  • consumerprocurement.accounts.create
  • consumerprocurement.accounts.delete
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.grant

consumerprocurement.consents.list

consumerprocurement.consents.revoke

consumerprocurement.events.*

  • consumerprocurement.events.get
  • consumerprocurement.events.list

consumerprocurement.licensePools.*

  • consumerprocurement.licensePools.assign
  • consumerprocurement.licensePools.enumerateLicensedUsers
  • consumerprocurement.licensePools.get
  • consumerprocurement.licensePools.unassign
  • consumerprocurement.licensePools.update

consumerprocurement.orderAttributions.*

  • consumerprocurement.orderAttributions.get
  • consumerprocurement.orderAttributions.list
  • consumerprocurement.orderAttributions.update

consumerprocurement.orders.*

  • consumerprocurement.orders.cancel
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • consumerprocurement.orders.modify
  • consumerprocurement.orders.place

dataprocessing.datasources.get

dataprocessing.datasources.list

dataprocessing.groupcontrols.get

dataprocessing.groupcontrols.list

logging.logEntries.list

logging.logServiceIndexes.list

logging.logServices.list

logging.logs.list

logging.privateLogEntries.list

recommender.cloudsqlIdleInstanceRecommendations.get

recommender.cloudsqlIdleInstanceRecommendations.list

recommender.cloudsqlOverprovisionedInstanceRecommendations.get

recommender.cloudsqlOverprovisionedInstanceRecommendations.list

recommender.commitmentUtilizationInsights.*

  • recommender.commitmentUtilizationInsights.get
  • recommender.commitmentUtilizationInsights.list
  • recommender.commitmentUtilizationInsights.update

recommender.computeAddressIdleResourceRecommendations.get

recommender.computeAddressIdleResourceRecommendations.list

recommender.computeDiskIdleResourceRecommendations.get

recommender.computeDiskIdleResourceRecommendations.list

recommender.computeImageIdleResourceRecommendations.get

recommender.computeImageIdleResourceRecommendations.list

recommender.computeInstanceGroupManagerMachineTypeRecommendations.get

recommender.computeInstanceGroupManagerMachineTypeRecommendations.list

recommender.computeInstanceIdleResourceRecommendations.get

recommender.computeInstanceIdleResourceRecommendations.list

recommender.computeInstanceMachineTypeRecommendations.get

recommender.computeInstanceMachineTypeRecommendations.list

recommender.costInsights.*

  • recommender.costInsights.get
  • recommender.costInsights.list
  • recommender.costInsights.update

recommender.costRecommendations.*

  • recommender.costRecommendations.listAll
  • recommender.costRecommendations.summarizeAll

recommender.resourcemanagerProjectUtilizationRecommendations.get

recommender.resourcemanagerProjectUtilizationRecommendations.list

recommender.spendBasedCommitmentInsights.*

  • recommender.spendBasedCommitmentInsights.get
  • recommender.spendBasedCommitmentInsights.list
  • recommender.spendBasedCommitmentInsights.update

recommender.spendBasedCommitmentRecommendations.*

  • recommender.spendBasedCommitmentRecommendations.get
  • recommender.spendBasedCommitmentRecommendations.list
  • recommender.spendBasedCommitmentRecommendations.update

recommender.spendBasedCommitmentRecommenderConfig.*

  • recommender.spendBasedCommitmentRecommenderConfig.get
  • recommender.spendBasedCommitmentRecommenderConfig.update

recommender.usageCommitmentRecommendations.*

  • recommender.usageCommitmentRecommendations.get
  • recommender.usageCommitmentRecommendations.list
  • recommender.usageCommitmentRecommendations.update

resourcemanager.projects.createBillingAssignment

resourcemanager.projects.deleteBillingAssignment

resourcemanager.projects.get

resourcemanager.projects.list

(roles/billing.costsManager)

Manage budgets for a billing account, and view, analyze, and export cost information of a billing account.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.accounts.updateUsageExportSpec

billing.budgets.*

  • billing.budgets.create
  • billing.budgets.delete
  • billing.budgets.get
  • billing.budgets.list
  • billing.budgets.update

billing.resourceAssociations.list

recommender.costInsights.*

  • recommender.costInsights.get
  • recommender.costInsights.list
  • recommender.costInsights.update

(roles/billing.creator)

Provides access to create billing accounts.

Lowest-level resources where you can grant this role:

  • Organization

billing.accounts.create

resourcemanager.organizations.get

(roles/billing.projectManager)

When granted in conjunction with the Billing Account User role, provides access to assign a project's billing account or disable its billing.

Lowest-level resources where you can grant this role:

  • Project

resourcemanager.projects.createBillingAssignment

resourcemanager.projects.deleteBillingAssignment

(roles/billing.user)

When granted in conjunction with the Project Owner role or Project Billing Manager role, provides access to associate projects with billing accounts.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.list

billing.accounts.redeemPromotion

billing.credits.list

billing.resourceAssociations.create

(roles/billing.viewer)

View billing account cost and pricing information, transactions, and billing and commitment recommendations.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.getIamPolicy

billing.accounts.getPaymentInfo

billing.accounts.getPricing

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.billingAccountPrice.get

billing.billingAccountPrices.list

billing.billingAccountServices.*

  • billing.billingAccountServices.get
  • billing.billingAccountServices.list

billing.billingAccountSkuGroupSkus.*

  • billing.billingAccountSkuGroupSkus.get
  • billing.billingAccountSkuGroupSkus.list

billing.billingAccountSkuGroups.*

  • billing.billingAccountSkuGroups.get
  • billing.billingAccountSkuGroups.list

billing.billingAccountSkus.*

  • billing.billingAccountSkus.get
  • billing.billingAccountSkus.list

billing.budgets.get

billing.budgets.list

billing.credits.list

billing.finOpsBenchmarkInformation.get

billing.finOpsHealthInformation.get

billing.resourceAssociations.list

billing.subscriptions.get

billing.subscriptions.list

commerceoffercatalog.*

  • commerceoffercatalog.agreements.get
  • commerceoffercatalog.agreements.list
  • commerceoffercatalog.documents.get
  • commerceoffercatalog.documents.list
  • commerceoffercatalog.offers.get

consumerprocurement.accounts.get

consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.list

consumerprocurement.orderAttributions.get

consumerprocurement.orderAttributions.list

consumerprocurement.orders.get

consumerprocurement.orders.list

dataprocessing.datasources.get

dataprocessing.datasources.list

dataprocessing.groupcontrols.get

dataprocessing.groupcontrols.list

recommender.commitmentUtilizationInsights.get

recommender.commitmentUtilizationInsights.list

recommender.costInsights.get

recommender.costInsights.list

recommender.costRecommendations.*

  • recommender.costRecommendations.listAll
  • recommender.costRecommendations.summarizeAll

recommender.spendBasedCommitmentInsights.get

recommender.spendBasedCommitmentInsights.list

recommender.spendBasedCommitmentRecommendations.get

recommender.spendBasedCommitmentRecommendations.list

recommender.spendBasedCommitmentRecommenderConfig.get

recommender.usageCommitmentRecommendations.get

recommender.usageCommitmentRecommendations.list

Relazioni IAM tra organizzazioni, progetti, account di fatturazione Cloud e profili pagamenti tramite Google

Le interazioni tra organizzazioni, account di fatturazione Cloud e progetti sono regolate da due tipi di relazioni: proprietà e collegamento dei pagamenti.

  • La proprietà si riferisce all'ereditarietà delle autorizzazioni IAM.
  • I collegamenti dei pagamenti definiscono l'account di fatturazione Cloud che paga per un determinato progetto.

Il seguente diagramma mostra la relazione tra i collegamenti di proprietà e pagamenti per un'organizzazione di esempio.

Illustra la relazione tra i progetti e un account di fatturazione Cloud e un profilo pagamenti Google. Un lato mostra Risorse a livello di Google Cloud (account di fatturazione Cloud progetti associati) e l'altro lato, diviso per una mostra la tua risorsa a livello di Google (un profilo pagamenti Google). I tuoi progetti vengono pagati tramite il tuo account di fatturazione Cloud, collegato a un profilo pagamenti Google.

Nel diagramma, l'organizzazione ha la proprietà dei progetti 1, 2 e 3. il che significa che è l'autorizzazione IAM padre dei tre in modo programmatico a gestire i progetti.

L'account di fatturazione Cloud è collegato ai progetti 1, 2 e 3, il che significa che paga i costi sostenuti dai tre progetti. L'account di fatturazione Cloud può anche pagare i progetti in altre organizzazioni, ma eredita le autorizzazioni IAM dall'organizzazione principale.

L'account di fatturazione Cloud è collegato anche a un profilo pagamenti Google, che memorizza informazioni come nome, indirizzo e metodi di pagamento. Scopri come gestire le autorizzazioni utente del profilo pagamenti Google.

Sebbene tu colleghi gli account di fatturazione Cloud ai progetti, gli account di fatturazione Cloud non sono principali dei progetti in termini di IAM e quindi i progetti non ereditano le autorizzazioni dall'account di fatturazione Cloud a cui sono collegati.

In questo esempio, tutti gli utenti a cui viene concessa la fatturazione IAM i ruoli nell'organizzazione hanno anche quei ruoli nella Google Cloud o i progetti.

Esempi di controllo dell'accesso alla fatturazione Cloud

Combina i ruoli IAM come segue per soddisfare le esigenze di una serie di scenari.

Scenario: piccola e media impresa con una preferenza per un controllo centralizzato.
Tipo di utente Ruoli IAM di fatturazione Attività di fatturazione
CEO Amministratore account di fatturazione Gestisci lo strumento di pagamento.
Visualizzare e approvare le fatture.
CTO Amministratore account di fatturazione
Creatore del progetto		 Imposta gli avvisi relativi al budget.
Visualizza spesa.
Crea nuovi progetti fatturabili.
Team di sviluppo Nessuno Nessuno
Scenario: piccola e media impresa con una preferenza delegata.
Tipo di utente Ruoli IAM di fatturazione Attività di fatturazione
CEO Amministratore account di fatturazione Gestisci lo strumento di pagamento.
Delegare l'autorità.
Direttore finanziario Amministratore account di fatturazione Imposta gli avvisi relativi al budget.
Visualizza spesa.
Conto pagabile Visualizzatore account di fatturazione Visualizzare e approvare le fatture.
Team di sviluppo Utente account di fatturazione
Creatore del progetto		 Creare nuovi progetti fatturabili.
Scenario: pianificazione finanziaria separata e approvvigionamento funzioni
Tipo di utente Ruoli IAM di fatturazione Attività di fatturazione
Procurement o IT centrale Amministratore account di fatturazione Gestisci lo strumento di pagamento.
Imposta avvisi relativi al budget.
Comunica la spesa ai team di sviluppo.
Pianificazione finanziaria Visualizzatore account di fatturazione Visualizzare i report sulla fatturazione.
Elabora le esportazioni.
Comunica con i responsabili delle decisioni aziendali.
Contabilità fornitori Visualizzatore account di fatturazione Approva le fatture.
Team di sviluppo Utente account di fatturazione
Creatore del progetto		 Creare nuovi progetti fatturabili.
Scenario: agenzia di sviluppo
Tipo di utente Ruoli IAM di fatturazione Attività di fatturazione
CEO Amministratore account di fatturazione Gestisci lo strumento di pagamento.
Delegare l'autorità.
Direttore finanziario Amministratore account di fatturazione Imposta avvisi relativi al budget.
Visualizza la spesa.
Approva le fatture.
Responsabile progetto Utente account di fatturazione
Autore progetto		 Creare nuovi progetti fatturabili.
Team di sviluppo del progetto Nessuno Sviluppare all'interno di progetti esistenti.
Client Gestore fatturazione progetto Acquisire la proprietà del pagamento del progetto al termine.

Come aggiornare le autorizzazioni per la fatturazione Cloud

Per scoprire come rivedere, aggiungere o rimuovere le autorizzazioni per la fatturazione Cloud, segui le indicazioni su Gestire l'accesso agli account di fatturazione Cloud

Provalo

Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Inizia gratuitamente