Übersicht über die Cloud Billing-Zugriffssteuerung

Mit Cloud Billing können Sie durch Festlegen von Cloud IAM-Richtlinien (Cloud Identity and Access Management) für bestimmte Ressourcen steuern, welche Nutzer Berechtigungen zum Verwalten und zum Aufrufen von Kosten für diese Ressourcen erhalten.

Wenn Sie Zugriff auf Cloud Billing erteilen oder beschränken möchten, können Sie dafür eine Cloud IAM-Richtlinie auf Organisationsebene, auf der Ebene des Cloud-Rechnungskontos und/oder auf Projektebene festlegen. Google Cloud-Ressourcen übernehmen die Cloud IAM-Richtlinien ihres übergeordneten Knotens. Sie können also eine Richtlinie auf Organisationsebene festlegen, die dann auf alle Cloud-Rechnungskonten, Projekte und Ressourcen in der Organisation angewendet wird.

Sie haben die Möglichkeit, Anzeigeberechtigungen auf verschiedenen Ebenen für unterschiedliche Nutzer oder Rollen zu steuern. Dazu legen Sie Zugriffsberechtigungen auf Cloud-Rechnungskonto- oder Projektebene fest. Wenn Sie einem Nutzer die Berechtigung erteilen möchten, die Kosten aller Projekte in einem Cloud-Rechnungskonto aufzurufen, weisen Sie ihm Berechtigungen zum Aufrufen der Kosten für ein Cloud-Rechnungskonto (billing.accounts.getSpendingInformation) zu. Wenn Sie einem Nutzer die Berechtigung zum Aufrufen der Kosten für ein bestimmtes Projekt erteilen möchten, weisen Sie ihm Berechtigungen zum Aufrufen einzelner Projekte (billing.resourceCosts.get) zu.

Übersicht über Cloud Billing-Rollen in Cloud IAM

Sie erteilen den Nutzern die Berechtigungen nicht direkt, sondern Sie weisen ihnen Rollen zu, die eine oder mehrere Berechtigungen enthalten.

Sie können einer Ressource eine oder mehrere Rollen zuweisen.

Mit den folgenden vordefinierten Cloud IAM-Rollen für Cloud Billing können Sie über die Zugriffssteuerung eine Aufgabentrennung vornehmen:

Rolle Zweck Stufe Anwendungsfall
Rechnungskontoersteller
(roles/billing.creator)
Neue Online-Selfservice-Rechnungskonten erstellen Organisation Verwenden Sie diese Rolle für die anfängliche Abrechnungseinrichtung. Diese Rolle ermöglicht auch das Anlegen zusätzlicher Rechnungskonten.
Nutzer benötigen diese Rolle, um sich in Google Cloud mit einer Kreditkarte ihres Unternehmens registrieren zu können.
Tipp: Diese Rolle sollte nur ausgewählten Nutzern zugewiesen werden. Damit vermeiden Sie, dass ungeprüfte Cloud-Ausgaben in Ihrer Organisation überhandnehmen.
Rechnungskontoadministrator
(roles/billing.admin)
Rechnungskonten verwalten (aber nicht erstellen) Organisation oder Rechnungskonto Dies ist eine Inhaberrolle für ein Rechnungskonto. Hiermit verwalten Sie Zahlungsmittel, konfigurieren Abrechnungsexporte, rufen Kosteninformationen ab, verknüpfen Projekte oder heben Projektverknüpfungen auf und verwalten andere Nutzerrollen innerhalb des Rechnungskontos.
Rechnungskontonutzer
(roles/billing.user)
Projekte mit Rechnungskonten verknüpfen Organisation oder Rechnungskonto Die Rechte dieser Rolle sind stark eingeschränkt, sodass eine umfassende Erteilung in der Regel zusammen mit der Projekterstellerrolle möglich ist. Durch diese beiden Rollen kann ein Nutzer neue Projekte erstellen und mit dem Rechnungskonto verknüpfen, für das die Rolle gewährt wurde.
Rechnungskontobetrachter
(roles/billing.viewer)
Kosteninformationen und Transaktionen im Rechnungskonto aufrufen Organisation oder Rechnungskonto Die Rolle des Rechnungskonto-Betrachters wird in der Regel Mitgliedern des Finanzteams erteilt. Sie ermöglicht den Zugriff auf Informationen zu Ausgaben, ohne dass der Nutzer Projekte mit dem Rechnungskonto verknüpfen oder Projektverknüpfungen aufheben kann oder anderweitig Einfluss auf die Verwaltung der Eigenschaften des Rechnungskontos hat.
Administrator für die Projektabrechnung
(roles/billing.projectManager)
Projekt mit einem Rechnungskonto verknüpfen bzw. Projektverknüpfung aufheben Organisation, Ordner oder Projekt. Mit dieser Rolle können Nutzer das Projekt mit dem Rechnungskonto verknüpfen, erhalten aber keine sonstigen Rechte für Ressourcen. Projektinhaber können mit dieser Rolle einem anderen Nutzer die Verwaltung der Projektabrechnung erlauben, ohne ihm Zugriff auf Ressourcen zu erteilen.

Die folgende Tabelle enthält die Details der vordefinierten Cloud IAM-Abrechnungsrollen, einschließlich der Berechtigungen, die zu den einzelnen Rollen gehören.

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/billing.admin Rechnungskontoadministrator Berechtigung zum Aufrufen und Verwalten aller Aspekte von Abrechnungskonten
  • billing.accounts.close
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.accounts.move
  • billing.accounts.redeemPromotion
  • billing.accounts.removeFromOrganization
  • billing.accounts.reopen
  • billing.accounts.setIamPolicy
  • billing.accounts.update
  • billing.accounts.updatePaymentInfo
  • billing.accounts.updateUsageExportSpec
  • billing.budgets.*
  • billing.credits.*
  • billing.resourceAssociations.*
  • billing.subscriptions.*
  • cloudnotifications.*
  • consumerprocurement.accounts.*
  • consumerprocurement.orders.*
  • dataprocessing.groupcontrols.list
  • logging.logEntries.list
  • logging.logServiceIndexes.*
  • logging.logServices.*
  • logging.logs.list
  • logging.privateLogEntries.*
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment
Rechnungskonto
roles/billing.creator Rechnungskonto-Ersteller Berechtigung zum Erstellen von Abrechnungskonten
  • billing.accounts.create
  • resourcemanager.organizations.get
Organisation
roles/billing.projectManager Administrator für die Projektabrechnung Berechtigung zum Zuweisen des Abrechnungskontos eines Projekts oder zum Deaktivieren seiner Abrechnung
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment
Projekt
roles/billing.user Rechnungskontonutzer Berechtigung zum Verbinden von Projekten mit Abrechnungskonten
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.list
  • billing.accounts.redeemPromotion
  • billing.credits.*
  • billing.resourceAssociations.create
Rechnungskonto
roles/billing.viewer Rechnungskonto-Betrachter Kontoinformationen und Transaktionen im Rechnungskonto aufrufen
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.budgets.get
  • billing.budgets.list
  • billing.credits.*
  • billing.resourceAssociations.list
  • billing.subscriptions.get
  • billing.subscriptions.list
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • dataprocessing.groupcontrols.list
Rechnungskonto

Beziehungen zwischen Organisationen, Projekten, Cloud-Rechnungskonten und Zahlungsprofilen

Die Interaktion zwischen Organisationen, Cloud-Rechnungskonten und Projekten wird durch zwei Arten von Beziehungen geregelt: Inhaberschaft und Zahlungsverknüpfung.

  • Inhaber bezieht sich auf die Übernahme von Cloud IAM-Berechtigungen.
  • Zahlungsverknüpfungen legen fest, über welches Cloud-Rechnungskonto die Kosten für ein bestimmtes Projekt bezahlt werden.

Das folgende Diagramm zeigt die Beziehung zwischen Inhaber ("Ownership") und Zahlungsverknüpfungen ("Payment Linkage") für eine Beispielorganisation.

Dieses Diagramm zeigt, wie sich Projekte auf Cloud Billing und Ihr Zahlungsprofil beziehen. Auf der einen Seite werden Ihre Ressourcen auf Cloud-Ebene angezeigt (Cloud-Rechnungskonto und zugehörige Projekte) und auf der anderen Seite Ihre Ressource auf Google-Ebene (Zahlungsprofil), die durch eine gepunktete vertikale Linie getrennt ist. Ihre Projekte werden über Ihr Cloud-Rechnungskonto bezahlt, das mit Ihrem Zahlungsprofil verknüpft ist.

Im Diagramm ist die Organisation ("Organization") Inhaber der Projekte ("Projects") 1, 2 und 3 und besitzt somit die übergeordneten Cloud IAM-Berechtigungen für die drei Projekte.

Das Cloud-Rechnungskonto ist mit den Projekten 1, 2 und 3 verknüpft. Es wird zur Abrechnung der für die drei Projekte anfallenden Kosten verwendet.

Das Cloud-Rechnungskonto ist außerdem mit einem Google-Zahlungsprofil verknüpft, in dem Informationen wie Name, Adresse und Zahlungsmethoden gespeichert werden.

In diesem Beispiel gelten für alle Nutzer mit Cloud IAM-Abrechnungsrollen für die Organisation diese Rollen auch für das Cloud-Rechnungskonto und die Projekte.

Beispiele für die Zugriffssteuerung in Cloud Billing

Sie können Cloud IAM-Rollen so kombinieren, um die Anforderungen unterschiedlichster Szenarien zu erfüllen.

Szenario: Kleines bis mittelständisches Unternehmen (KMU), das eine zentralisierte Steuerung bevorzugt
Nutzertyp Cloud IAM-Abrechnungsrollen Abrechnungsaktivitäten
CEO Rechnungskontoadministrator Zahlungsmittel verwalten
Rechnungen aufrufen und genehmigen.
CTO Rechnungskontoadministrator
Projektersteller
Budgetbenachrichtigungen festlegen
Ausgaben aufrufen.
Neue abzurechnende Projekte erstellen.
Entwicklungsteams Kein
Szenario: Kleines bis mittelständisches Unternehmen (KMU), das Vollmachten bevorzugt
Nutzertyp Cloud IAM-Abrechnungsrollen Abrechnungsaktivitäten
CEO Rechnungskontoadministrator Zahlungsmittel verwalten
Zuständigkeiten delegieren.
CFO Rechnungskontoadministrator Budgetbenachrichtigungen festlegen
Ausgaben aufrufen.
Kreditorenbuchhaltung Rechnungskontobetrachter Rechnungen aufrufen und genehmigen
Entwicklungsteams Rechnungskontonutzer
Projektersteller
Neue abzurechnende Projekte erstellen
Szenario: Getrennte Finanzplanungs- und Einkaufsfunktionen
Nutzertyp Cloud IAM-Abrechnungsrollen Abrechnungsaktivitäten
Einkauf oder zentrale IT Rechnungskontoadministrator Zahlungsmittel verwalten
Budgetbenachrichtigungen festlegen.
Ausgaben an Entwicklungsteams übermitteln.
Finanzplanung Rechnungskontobetrachter Abrechnungsberichte aufrufen
Exporte verarbeiten.
Mit CxO kommunizieren.
Kreditorenbuchhaltung Rechnungskontobetrachter Rechnungen genehmigen
Entwicklungsteams Rechnungskontonutzer
Projektersteller
Neue abzurechnende Projekte erstellen
Szenario: Entwicklungsagentur
Nutzertyp Cloud IAM-Abrechnungsrollen Abrechnungsaktivitäten
CEO Rechnungskontoadministrator Zahlungsmittel verwalten
Zuständigkeiten delegieren.
CFO Rechnungskontoadministrator Budgetbenachrichtigungen festlegen
Ausgaben aufrufen.
Rechnungen genehmigen.
Projektleitung Rechnungskontonutzer
Projektersteller
Neue abzurechnende Projekte erstellen
Projektentwicklungsteam Kein Innerhalb vorhandener Projekte entwickeln
Client Administrator für die Projektabrechnung Nach Abschluss des Projekts Zahlung ausführen

Cloud Billing-Berechtigungen aktualisieren

So fügen Sie Cloud Billing-Berechtigungen hinzu oder entfernen diese:

  1. Melden Sie sich bei der Google Cloud Console an.

    BEI DER Cloud Console ANMELDEN

  2. Öffnen Sie das Navigationsmenü der Cloud Console und wählen Sie Abrechnung aus.

    Wenn Sie mehrere Cloud-Rechnungskonten haben, führen Sie einen der folgenden Schritte aus:

    • Wählen Sie zum Verwalten von Cloud Billing für das aktuelle Projekt die Option Zum verknüpften Rechnungskonto aus.
    • Wenn Sie ein anderes Cloud-Rechnungskonto verwenden möchten, wählen Sie Rechnungskonten verwalten und anschließend das Konto aus, das Sie verwalten möchten.
  3. Klicken Sie im Navigationsmenü für die Abrechnung auf Kontoverwaltung.

  4. Verwenden Sie das Feld Berechtigungen, um Berechtigungen für das ausgewählte Cloud-Rechnungskonto zu bearbeiten. Wenn das Feld nicht angezeigt wird, klicken Sie auf Infofeld ansehen, um es zu öffnen.

Das Feld "Berechtigungen" ist nach Rollen organisiert und enthält die Mitglieder für jede Rolle. Es könnte z. B. folgende Informationen enthalten:

  • Rechnungskontoadministrator (2 Mitglieder)
  • Rechnungskontonutzer (6 Mitglieder)
  • Rechnungskontobetrachter (10 Mitglieder)

Sie können einem Mitglied mehrere Rollen zuweisen.

Wenn Sie die Liste der Mitglieder für eine bestimmte Rolle aufrufen möchten, klicken Sie auf den Namen der Rolle. Dadurch wird die zugehörige Liste der Mitglieder maximiert oder minimiert.

Wenn Sie ein bestimmtes Mitglied suchen möchten, um zu prüfen, welche Rollen ihm zugewiesen sind, verwenden Sie den Filter Mitglieder suchen.

Sie haben mehrere Möglichkeiten, um im Feld Berechtigungen die Cloud Billing-Berechtigungen zu aktualisieren:

  • So fügen Sie neue Mitglieder hinzu und erteilen Berechtigungen:

    1. Klicken Sie auf Mitglieder hinzufügen.
    2. Geben Sie im Feld Neue Mitglieder eine oder mehrere E-Mail-Adressen der Mitglieder ein, die Sie hinzufügen möchten. Sie können Einzelpersonen, Dienstkonten oder Google Groups als Mitglieder hinzufügen.
    3. Wählen Sie unter Rolle auswählen eine Berechtigung für die Mitglieder aus.
    4. Legen Sie Bedingungen für die Rolle fest (optional).
    5. Bei Bedarf können Sie auf Weitere Rolle hinzufügen klicken, um den Mitgliedern zusätzliche Berechtigungen zuzuweisen.
    6. Wenn Sie fertig sind, klicken Sie auf Speichern.
  • So bearbeiten Sie die Abrechnungsberechtigungen eines Mitglieds:

    1. Verwenden Sie den Filter Mitglieder suchen, um ein bestimmtes Mitglied oder eine bestimmte Rolle zu finden.
    2. Wählen Sie in der Liste das Mitglied aus, das Sie bearbeiten möchten.
    3. Klicken Sie in der Zeile des Mitglieds auf Bearbeiten .

      Das Feld "Berechtigungen bearbeiten" wird für das ausgewählte Mitglied und die ausgewählte Ressource (Cloud-Rechnungskonto) geöffnet.

    4. Jetzt können Sie Rollen hinzufügen, bearbeiten oder löschen.

    5. Wenn Sie fertig sind, klicken Sie auf Speichern.

  • So entfernen Sie ein Mitglied aus der Mitgliederliste einer Rolle:

    1. Verwenden Sie den Filter Mitglieder suchen, um ein bestimmtes Mitglied oder eine bestimmte Rolle zu finden.
    2. Wählen Sie in der Liste das Mitglied aus, das Sie von dieser Rolle entfernen möchten.
    3. Klicken Sie in der Zeile des Mitglieds auf Löschen .
    4. Sie werden aufgefordert, den Vorgang zu bestätigen.