Zugriffssteuerung und Berechtigungen für Cloud Billing

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

In diesem Thema werden Rollen und Zugriffsberechtigungen für Cloud-Rechnungskonten beschrieben.

Ein Cloud-Rechnungskonto wird in Google Cloud eingerichtet. In diesem Rechnungskonto wird definiert, wer einen bestimmten Satz von Google Cloud-Ressourcen und Google Maps Platform APIs bezahlt. Ein Cloud-Rechnungskonto ist mit einem Google-Zahlungsprofil verbunden. Ihr Google-Zahlungsprofil enthält ein Zahlungsmittel, über das Kosten berechnet werden.

Die Zugriffsberechtigungen für Cloud Billing und Google Payments werden je nach Art des Zugriffs, den Sie bereitstellen möchten, in zwei verschiedenen Systemen konfiguriert.

  • Mit Cloud Billing können Sie durch Festlegen von Cloud IAM-Richtlinien (Cloud Identity and Access Management) für bestimmte Ressourcen steuern, welche Nutzer Berechtigungen zum Verwalten und zum Aufrufen von Kosten für diese Ressourcen erhalten.
  • In Google Payments können Sie Nutzer jedem von Ihnen verwalteten Unternehmensprofil von Google-Payments hinzufügen und Ihren Nutzern unterschiedliche Zugriffsebenen zuweisen, je nachdem was diese zu tun haben. Sie können auch E-Mail-Einstellungen für Nutzer konfigurieren, sodass diese Abrechnungs- und Zahlungs-E-Mails erhalten.
Cloud Billing-Berechtigungen Einstellungen und Berechtigungen für Zahlungsprofile
Zugriffsberechtigungen auf ein Cloud-Rechnungskonto werden mit IAM-Rollen verwaltet. Rechnungskontoberechtigungen können so konfiguriert werden, dass Nutzer Folgendes tun können:
  • Cloud-Rechnungskonto öffnen, schließen und ändern
  • Berichte und Kostendaten aufrufen
  • Dokumente ansehen (z. B. Rechnungen und Kontoauszüge).
  • Analysieren Sie Rabatte für zugesicherte Nutzung (Committed Use Discounts, CUD) und kaufen Sie diese.
  • Export von Abrechnungsdaten aktivieren und verwalten
  • Budgets und Benachrichtigungen konfigurieren
  • Abrechnung pro Projekt verwalten
  • Nutzerberechtigungen für die Abrechnung verwalten
  • Abrechnungssupport kontaktieren
 Zugriffsberechtigungen für ein Google-Zahlungsprofil werden in den Google-Zahlungseinstellungen verwaltet. Zahlungsberechtigungen können so konfiguriert werden, dass Nutzer Folgendes tun können:
  • Zahlungsmethoden hinzufügen, bearbeiten und entfernen
  • Informationen zum Zahlungsprofil aktualisieren, einschließlich Postanschriften
  • Nutzer des Zahlungsprofils verwalten, einschließlich Kontaktdaten, E-Mail-Einstellungen und Nutzerberechtigungen.

Wenn Sie zahlungsbezogene Aufgaben auf der Seite „Abrechnung“ der Google Cloud Console verwalten möchten, benötigen Nutzer außerdem die Rolle Rechnungskontobetrachter für das Cloud-Rechnungskonto.

Cloud Billing-Zugriff

Um den Zugriff auf Cloud Billing zu gewähren oder zu beschränken, können Sie eine IAM-Richtlinie auf Organisationsebene, Cloud-Rechnungskontoebene und/oder Projektebene festlegen. Google Cloud-Ressourcen übernehmen die IAM-Richtlinien ihres übergeordneten Knotens. Das bedeutet, dass Sie eine Richtlinie auf Organisationsebene festlegen können, die dann auf alle Cloud-Rechnungskonten und -Projekte und -ressourcen angewendet wird in der Organisation.

Sie haben die Möglichkeit, Anzeigeberechtigungen auf verschiedenen Ebenen für unterschiedliche Nutzer oder Rollen zu steuern. Dazu legen Sie Zugriffsberechtigungen auf Cloud-Rechnungskonto- oder Projektebene fest.

Wenn Sie einem Nutzer die Berechtigung erteilen möchten, die Kosten aller Projekte in einem Cloud-Rechnungskonto aufzurufen, weisen Sie ihm Berechtigungen zum Aufrufen der Kosten für ein Cloud-Rechnungskonto (billing.accounts.getSpendingInformation) zu. Wenn Sie einem Nutzer die Berechtigung zum Aufrufen der Kosten für ein bestimmtes Projekt erteilen möchten, weisen Sie ihm Berechtigungen zum Aufrufen einzelner Projekte (billing.resourceCosts.get) zu.

Übersicht über Cloud Billing-Rollen in IAM

Sie erteilen den Nutzern die Berechtigungen nicht direkt, sondern Sie weisen ihnen Rollen zu, die eine oder mehrere Berechtigungen enthalten.

Sie können einem Nutzer oder für eine Ressource eine oder mehrere Rollen zuweisen.

Mit den folgenden vordefinierten Cloud IAM-Rollen für Cloud Billing können Sie über die Zugriffssteuerung eine Aufgabentrennung vornehmen:

Rolle Zweck Stufe Anwendungsfall
Rechnungskontoersteller
(roles/billing.creator)		 Neue Online-Selfservice-Rechnungskonten erstellen Organisation Verwenden Sie diese Rolle für die anfängliche Abrechnungseinrichtung. Diese Rolle ermöglicht auch das Anlegen zusätzlicher Rechnungskonten.
Nutzer benötigen diese Rolle, um sich in Google Cloud mit einer Kreditkarte ihres Unternehmens registrieren zu können.
Tipp: Diese Rolle sollte nur ausgewählten Nutzern zugewiesen werden. Damit vermeiden Sie, dass ungeprüfte Cloud-Ausgaben in Ihrer Organisation überhandnehmen.
Rechnungskontoadministrator
(roles/billing.admin) 		Rechnungskonten verwalten (aber nicht erstellen) Organisation oder Rechnungskonto Dies ist eine Inhaberrolle für ein Rechnungskonto. Hiermit verwalten Sie Zahlungsmittel, konfigurieren Abrechnungsexporte, rufen Kosteninformationen ab, verknüpfen Projekte oder heben Projektverknüpfungen auf und verwalten andere Nutzerrollen innerhalb des Rechnungskontos. Standardmäßig ist die Person, die das Cloud-Rechnungskonto erstellt, ein Billing Account Administrator für das Cloud-Rechnungskonto.
Kostenverwalter des Rechnungskontos
(roles/billing.costsManager)		 Budgets verwalten und Kosteninformationen von Rechnungskonten (aber keine Preisinformationen) aufrufen und exportieren. Organisation oder Rechnungskonto Budgets erstellen, bearbeiten und löschen, Kosteninformationen und Transaktionen im Rechnungskonto aufrufen und den Export von Abrechnungskostendaten in BigQuery verwalten. Gewährt nicht das Recht, Preisdaten zu exportieren oder benutzerdefinierte Preise auf der Seite "Preise" anzusehen. Außerdem ist es nicht möglich, Projekte zu verknüpfen oder Projektverknüpfungen aufzuheben oder die Eigenschaften des Rechnungskontos anderweitig zu verwalten.
Rechnungskontobetrachter
(roles/billing.viewer)		 Kosteninformationen und Transaktionen im Rechnungskonto aufrufen Organisation oder Rechnungskonto Die Rolle des Rechnungskonto-Betrachters wird in der Regel Mitgliedern des Finanzteams erteilt. Sie ermöglicht den Zugriff auf Informationen zu Ausgaben, ohne dass der Nutzer Projekte mit dem Rechnungskonto verknüpfen oder Projektverknüpfungen aufheben kann oder anderweitig Einfluss auf die Verwaltung der Eigenschaften des Rechnungskontos hat.
Rechnungskontonutzer
(roles/billing.user)		 Projekte mit Rechnungskonten verknüpfen Organisation oder Rechnungskonto Die Berechtigungen dieser Rolle sind stark eingeschränkt, sodass eine umfassende Erteilung möglich ist. In Kombination mit der Rolle "Projektersteller" können Nutzer mit den beiden Rollen neue Projekte erstellen und mit dem Rechnungskonto verknüpfen, für das die Rolle "Rechnungskontonutzer" zugewiesen wurde. Wenn diese Rolle zusammen mit der Rolle des Projektabrechnungs-Managers zugewiesen wird, können Nutzer die Projekte für das Rechnungskonto, für das die Rolle eines Rechnungskontonutzers zugewiesen wurde, verknüpfen und die Verknüpfung wieder aufheben.
Administrator für die Projektabrechnung
(roles/billing.projectManager)		 Projekt mit einem Rechnungskonto verknüpfen bzw. Projektverknüpfung aufheben Organisation, Ordner oder Projekt. Wenn diese Rolle in Kombination mit der Rolle Rechnungskontonutzer zugewiesen wird, kann ein Nutzer das Projekt mit dem Rechnungskonto verknüpfen. Es werden aber keine sonstigen Rechte für Ressourcen gewährt. Projektinhaber können mit dieser Rolle einem anderen Nutzer die Verwaltung der Projektabrechnung erlauben, ohne ihm Zugriff auf Ressourcen zu erteilen.

Die folgende Tabelle enthält die Details der vordefinierten Cloud IAM-Abrechnungsrollen, einschließlich der Berechtigungen, die zu den einzelnen Rollen gehören.

Rolle Berechtigungen

(roles/billing.admin)

Berechtigung zum Aufrufen und Verwalten aller Aspekte von Abrechnungskonten

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Rechnungskonto

Enthält 33 Inhaberberechtigungen

billing.accounts.close

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.getIamPolicy

billing.accounts.getPaymentInfo

billing.accounts.getPricing

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.accounts.move

billing.accounts.redeemPromotion

billing.accounts.removeFromOrganization

billing.accounts.reopen

billing.accounts.setIamPolicy

billing.accounts.update

billing.accounts.updatePaymentInfo

billing.accounts.updateUsageExportSpec

billing.budgets.*

  • billing.budgets.create
  • billing.budgets.delete
  • billing.budgets.get
  • billing.budgets.list
  • billing.budgets.update

billing.credits.list

billing.resourceAssociations.*

  • billing.resourceAssociations.create
  • billing.resourceAssociations.delete
  • billing.resourceAssociations.list

billing.subscriptions.*

  • billing.subscriptions.create
  • billing.subscriptions.get
  • billing.subscriptions.list
  • billing.subscriptions.update

cloudnotifications.activities.list

cloudsupport.properties.get

cloudsupport.techCases.*

  • cloudsupport.techCases.create
  • cloudsupport.techCases.escalate
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • cloudsupport.techCases.update

commerceoffercatalog.*

  • commerceoffercatalog.documents.get
  • commerceoffercatalog.offers.get

compute.commitments.*

  • compute.commitments.create
  • compute.commitments.get
  • compute.commitments.list
  • compute.commitments.update
  • compute.commitments.updateReservations

consumerprocurement.accounts.*

  • consumerprocurement.accounts.create
  • consumerprocurement.accounts.delete
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.grant

consumerprocurement.consents.list

consumerprocurement.consents.revoke

consumerprocurement.orderAttributions.*

  • consumerprocurement.orderAttributions.get
  • consumerprocurement.orderAttributions.list
  • consumerprocurement.orderAttributions.update

consumerprocurement.orders.*

  • consumerprocurement.orders.cancel
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • consumerprocurement.orders.modify
  • consumerprocurement.orders.place

dataprocessing.datasources.get

dataprocessing.datasources.list

dataprocessing.groupcontrols.get

dataprocessing.groupcontrols.list

logging.logEntries.list

logging.logServiceIndexes.list

logging.logServices.list

logging.logs.list

logging.privateLogEntries.list

recommender.commitmentUtilizationInsights.*

  • recommender.commitmentUtilizationInsights.get
  • recommender.commitmentUtilizationInsights.list
  • recommender.commitmentUtilizationInsights.update

recommender.costInsights.*

  • recommender.costInsights.get
  • recommender.costInsights.list
  • recommender.costInsights.update

recommender.spendBasedCommitmentInsights.*

  • recommender.spendBasedCommitmentInsights.get
  • recommender.spendBasedCommitmentInsights.list
  • recommender.spendBasedCommitmentInsights.update

recommender.spendBasedCommitmentRecommendations.*

  • recommender.spendBasedCommitmentRecommendations.get
  • recommender.spendBasedCommitmentRecommendations.list
  • recommender.spendBasedCommitmentRecommendations.update

recommender.spendBasedCommitmentRecommenderConfig.*

  • recommender.spendBasedCommitmentRecommenderConfig.get
  • recommender.spendBasedCommitmentRecommenderConfig.update

recommender.usageCommitmentRecommendations.*

  • recommender.usageCommitmentRecommendations.get
  • recommender.usageCommitmentRecommendations.list
  • recommender.usageCommitmentRecommendations.update

resourcemanager.projects.createBillingAssignment

resourcemanager.projects.deleteBillingAssignment

resourcemanager.projects.get

resourcemanager.projects.list

(roles/billing.costsManager)

Budgets für ein Rechnungskonto verwalten und Kosteninformationen eines Rechnungskontos aufrufen, analysieren und exportieren.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Rechnungskonto

Enthält 12 Inhaberberechtigungen

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.accounts.updateUsageExportSpec

billing.budgets.*

  • billing.budgets.create
  • billing.budgets.delete
  • billing.budgets.get
  • billing.budgets.list
  • billing.budgets.update

billing.resourceAssociations.list

recommender.costInsights.*

  • recommender.costInsights.get
  • recommender.costInsights.list
  • recommender.costInsights.update

(roles/billing.creator)

Berechtigung zum Erstellen von Abrechnungskonten

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Organisation

Enthält 1 Inhaberberechtigung

billing.accounts.create

resourcemanager.organizations.get

(roles/billing.projectManager)

Wenn diese Rolle in Kombination mit der Rolle Rechnungskontonutzer zugewiesen wird, kann das Projekt mit dem Rechnungskonto verknüpft oder die Rechnungsstellung deaktiviert werden.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt

Enthält 2 Inhaberberechtigungen

resourcemanager.projects.createBillingAssignment

resourcemanager.projects.deleteBillingAssignment

(roles/billing.user)

Wird die Rolle zusammen mit der Rolle Projektinhaber oder Projektabrechnungs-Manager zugewiesen, können Projekte mit Rechnungskonten verknüpft werden.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Rechnungskonto

Enthält 6 Inhaberberechtigungen

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.list

billing.accounts.redeemPromotion

billing.credits.list

billing.resourceAssociations.create

(roles/billing.viewer)

Kosten- und Preisinformationen, Transaktionen, Empfehlungen zur Abrechnung und Nutzungszusicherung für das Rechnungskonto aufrufen.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Rechnungskonto

Enthält 14 Inhaberberechtigungen

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.getIamPolicy

billing.accounts.getPaymentInfo

billing.accounts.getPricing

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.budgets.get

billing.budgets.list

billing.credits.list

billing.resourceAssociations.list

billing.subscriptions.get

billing.subscriptions.list

commerceoffercatalog.*

  • commerceoffercatalog.documents.get
  • commerceoffercatalog.offers.get

consumerprocurement.accounts.get

consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.list

consumerprocurement.orderAttributions.get

consumerprocurement.orderAttributions.list

consumerprocurement.orders.get

consumerprocurement.orders.list

dataprocessing.datasources.get

dataprocessing.datasources.list

dataprocessing.groupcontrols.get

dataprocessing.groupcontrols.list

recommender.commitmentUtilizationInsights.get

recommender.commitmentUtilizationInsights.list

recommender.costInsights.get

recommender.costInsights.list

recommender.spendBasedCommitmentInsights.get

recommender.spendBasedCommitmentInsights.list

recommender.spendBasedCommitmentRecommendations.get

recommender.spendBasedCommitmentRecommendations.list

recommender.spendBasedCommitmentRecommenderConfig.get

recommender.usageCommitmentRecommendations.get

recommender.usageCommitmentRecommendations.list

IAM-Beziehungen zwischen Organisationen, Projekten, Cloud-Rechnungskonten und Zahlungsprofilen

Die Interaktion zwischen Organisationen, Cloud-Rechnungskonten und Projekten wird durch zwei Arten von Beziehungen geregelt: Inhaberschaft und Zahlungsverknüpfung

  • Inhaber bezieht sich auf die Übernahme von Cloud IAM-Berechtigungen.
  • Zahlungsverknüpfungen legen fest, über welches Cloud-Rechnungskonto die Kosten für ein bestimmtes Projekt bezahlt werden.

Das folgende Diagramm zeigt die Beziehung zwischen Inhaber ("Ownership") und Zahlungsverknüpfungen ("Payment Linkage") für eine Beispielorganisation.

Dieses Diagramm zeigt, wie sich Projekte auf Cloud Billing und Ihr Zahlungsprofil beziehen. Auf der einen Seite werden Ihre Ressourcen auf Cloud-Ebene angezeigt (Cloud-Rechnungskonto und zugehörige Projekte) und auf der anderen Seite Ihre Ressource auf Google-Ebene (Zahlungsprofil), die durch eine gepunktete vertikale Linie getrennt ist. Ihre Projekte werden über Ihr Cloud-Rechnungskonto bezahlt, das mit Ihrem Zahlungsprofil verknüpft ist.

Im Diagramm ist die Organisation Inhaber der Projekte 1, 2 und 3 und besitzt somit die übergeordneten Cloud IAM-Berechtigungen für die drei Projekte.

Das Cloud-Rechnungskonto ist mit den Projekten 1, 2 und 3 verknüpft. Es wird zur Abrechnung der für die drei Projekte anfallenden Kosten verwendet. Über das Cloud-Rechnungskonto können auch Projekte in anderen Organisationen abgerechnet werden; es übernimmt jedoch IAM-Berechtigungen von der übergeordneten Organisation.

Das Cloud-Rechnungskonto ist außerdem mit einem Google-Zahlungsprofil verknüpft, in dem Informationen wie Name, Adresse und Zahlungsmethoden gespeichert werden. Nutzerberechtigungen für Google-Zahlungsprofile verwalten

Auch wenn Sie Cloud-Rechnungskonten mit Projekten verknüpfen, sind dies keine übergeordneten Elemente von Projekten im Sinne von IAM. Daher übernehmen Projekte keine Berechtigungen von dem Cloud-Rechnungskonto, mit dem sie verknüpft sind.

In diesem Beispiel besitzen alle Nutzer mit IAM-Abrechnungsrollen für die Organisation diese Rollen auch für das Cloud-Rechnungskonto und die Projekte.

Beispiele für die Zugriffssteuerung in Cloud Billing

Sie können Cloud IAM-Rollen so kombinieren, um die Anforderungen unterschiedlichster Szenarien zu erfüllen.

Szenario: Kleines bis mittelständisches Unternehmen (KMU), das eine zentralisierte Steuerung bevorzugt
Nutzertyp IAM-Abrechnungsrollen Abrechnungsaktivitäten
CEO Rechnungskontoadministrator Zahlungsmittel verwalten
Rechnungen aufrufen und genehmigen.
CTO Rechnungskontoadministrator
Projektersteller		 Budgetbenachrichtigungen festlegen
Ausgaben aufrufen.
Neue abzurechnende Projekte erstellen.
Entwicklungsteams Kein
Szenario: Kleines bis mittelständisches Unternehmen (KMU), das Vollmachten bevorzugt
Nutzertyp IAM-Abrechnungsrollen Abrechnungsaktivitäten
CEO Rechnungskontoadministrator Zahlungsmittel verwalten
Zuständigkeiten delegieren.
CFO Rechnungskontoadministrator Budgetbenachrichtigungen festlegen
Ausgaben aufrufen.
Kreditorenbuchhaltung Rechnungskontobetrachter Rechnungen aufrufen und genehmigen
Entwicklungsteams Rechnungskontonutzer
Projektersteller		 Neue abzurechnende Projekte erstellen
Szenario: Getrennte Finanzplanungs- und Einkaufsfunktionen
Nutzertyp IAM-Abrechnungsrollen Abrechnungsaktivitäten
Einkauf oder zentrale IT Rechnungskontoadministrator Zahlungsmittel verwalten
Budgetbenachrichtigungen festlegen.
Ausgaben an Entwicklungsteams übermitteln.
Finanzplanung Rechnungskontobetrachter Abrechnungsberichte aufrufen
Exporte verarbeiten.
Mit CxO kommunizieren.
Kreditorenbuchhaltung Rechnungskontobetrachter Rechnungen genehmigen
Entwicklungsteams Rechnungskontonutzer
Projektersteller		 Neue abzurechnende Projekte erstellen
Szenario: Entwicklungsagentur
Nutzertyp IAM-Abrechnungsrollen Abrechnungsaktivitäten
CEO Rechnungskontoadministrator Zahlungsmittel verwalten
Zuständigkeiten delegieren.
CFO Rechnungskontoadministrator Budgetbenachrichtigungen festlegen
Ausgaben aufrufen.
Rechnungen genehmigen.
Projektleitung Rechnungskontonutzer
Projektersteller		 Neue abzurechnende Projekte erstellen
Projektentwicklungsteam Kein Innerhalb vorhandener Projekte entwickeln
Client Administrator für die Projektabrechnung Nach Abschluss des Projekts Zahlung ausführen

Cloud Billing-Berechtigungen aktualisieren

Wie Sie Cloud Billing-Berechtigungen prüfen, hinzufügen oder entfernen, erfahren Sie unter Zugriff auf Cloud Rechnungs-Konten verwalten.

Jetzt testen

Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

Jetzt kostenlos starten