Übersicht über die Zugriffssteuerung für Abrechnungen

Mit Cloud Billing können Sie durch Festlegen von Cloud IAM-Richtlinien (Cloud Identity and Access Management) für bestimmte Ressourcen steuern, welche Nutzer Berechtigungen zum Verwalten und Aufrufen von Kosten für diese Ressourcen erhalten.

Um den Zugriff auf Cloud Billing zu gewähren oder zu beschränken, können Sie eine Cloud IAM-Richtlinie auf Organisationsebene, Rechnungskontoebene und/oder der Projektebene festlegen. GCP-Ressourcen übernehmen die Cloud IAM-Richtlinien ihres übergeordneten Knotens. Dies bedeutet, dass Sie eine Richtlinie auf Organisationsebene festlegen können, die dann auf alle Abrechnungskonten, Projekte und Ressourcen in der Organisation angewendet wird.

Sie können die Anzeigeberechtigungen auf verschiedenen Ebenen für unterschiedliche Nutzer oder Rollen steuern, indem Sie Zugriffsberechtigungen auf Rechnungskonto- oder Projektebene festlegen. Wenn Sie einem Nutzer die Berechtigung erteilen möchten, die Kosten aller Projekte unter einem Abrechnungskonto aufzurufen, weisen Sie ihm Berechtigungen zum Aufrufen der Kosten für ein Abrechnungskonto (billing.accounts.getSpendingInformation) zu. Wenn Sie einem Nutzer die Berechtigung zum Aufrufen der Kosten für ein bestimmtes Projekt erteilen möchten, weisen Sie ihm Berechtigungen zum Aufrufen einzelner Projekte (billing.resourceCosts.get) zu.

Übersicht über Abrechnungsrollen in Cloud IAM

Die folgenden vordefinierten Cloud IAM-Abrechnungsrollen ermöglichen Ihnen die erforderliche Zugriffssteuerung zur Erzwingung einer Aufgabentrennung:

Rolle Zweck Stufe Anwendungsfall
Rechnungskonto-Ersteller Neue Self-Service-Rechnungskonten erstellen Organisation Verwenden Sie diese Rolle für die anfängliche Abrechnungseinrichtung oder vorübergehend, um ein Rechnungskonto in einer anderen Währung anzulegen.
Nutzer benötigen diese Rolle, um sich auf der GCP mit einer Kreditkarte ihres Unternehmens zu registrieren.
Tipp: Diese Rolle sollte nur ausgewählten Nutzern zugewiesen werden, um zu vermeiden, dass nicht verfolgte Cloud-Ausgaben in Ihrer Organisation überhandnehmen.
Rechnungskonto-Administrator


Rechnungskonten verwalten (aber nicht erstellen) Organisation oder Rechnungskonto Dies ist eine Inhaberrolle für ein Rechnungskonto. Hiermit verwalten Sie Zahlungsmittel, konfigurieren Abrechnungsexporte, rufen Kosteninformationen ab, verknüpfen Projekte oder heben Projektverknüpfungen auf und verwalten andere Nutzerrollen innerhalb des Rechnungskontos.
Rechnungskontonutzer Projekte mit Rechnungskonten verknüpfen Organisation oder Rechnungskonto Die Rechte dieser Rolle sind stark eingeschränkt, sodass eine umfassende Erteilung in der Regel zusammen mit der Projekterstellerrolle möglich ist. Durch diese beiden Rollen kann ein Nutzer neue Projekte erstellen und mit dem Rechnungskonto verknüpfen, für das die Rolle gewährt wurde.
Rechnungskonto-Betrachter Kontoinformationen und Transaktionen im Rechnungskonto aufrufen Organisation oder Rechnungskonto Die Rolle des Rechnungskonto-Betrachters wird in der Regel Mitgliedern des Finanzteams erteilt. Sie ermöglicht den Zugriff auf Informationen zu Ausgaben, ohne dass der Nutzer Projekte mit dem Rechnungskonto verknüpfen oder Projektverknüpfungen aufheben kann oder anderweitig Einfluss auf die Verwaltung der Eigenschaften des Rechnungskontos hat.
Administrator für die Projektabrechnung

Projekt mit einem Rechnungskonto verknüpfen bzw. Projektverknüpfungen aufheben Organisation oder Projekt Mit dieser Rolle können Nutzer das Projekt mit dem Rechnungskonto verknüpfen, erhalten aber keine sonstigen Rechte für Ressourcen. Projektinhaber können mit dieser Rolle einem anderen Nutzer die Verwaltung der Projektabrechnung erlauben, ohne ihm Zugriff auf Ressourcen zu erteilen.

Beziehungen zwischen Organisationen, Projekten, Rechnungskonten und Zahlungsprofilen

Die Interaktion zwischen Organisationen, Rechnungskonten und Projekten wird durch zwei Arten von Beziehungen geregelt: Inhaber und Zahlungsverknüpfung.

  • Inhaber bezieht sich auf die Übernahme von Cloud IAM-Berechtigungen.
  • Zahlungsverknüpfungen legen fest, über welches Rechnungskonto die Kosten für ein bestimmtes Projekt bezahlt werden.

Das folgende Diagramm zeigt die Beziehung zwischen Inhaber ("Ownership") und Zahlungsverknüpfungen ("Payment Linkage") für eine Beispielorganisation.

Beziehung zwischen Inhaber und Zahlungsverknüpfungen

Im Diagramm ist die Organisation ("Organization") Inhaber der Projekte ("Projects") 1, 2 und 3 und besitzt somit die übergeordneten Cloud IAM-Berechtigungen für die drei Projekte.

Das Rechnungskonto ("Billing Account") ist mit den Projekten 1, 2 und 3 verknüpft. Es wird zur Abrechnung der für die drei Projekte anfallenden Kosten verwendet.

Außerdem ist es mit einem Google-Zahlungsprofil verknüpft, in dem Informationen wie Name, Adresse und Zahlungsmethoden gespeichert werden.

In diesem Beispiel haben alle Nutzer mit Cloud IAM-Abrechnungsrollen für die Organisation diese Rollen auch für das Rechnungskonto und die Projekte.

Beispiele zur Zugriffssteuerung für Abrechnungen

Sie können Cloud IAM-Rollen wie folgt kombinieren, um die Anforderungen unterschiedlichster Szenarien zu erfüllen.

Szenario: Kleines bis mittelständisches Unternehmen (KMU), das eine zentralisierte Steuerung bevorzugt
Nutzertyp Cloud IAM-Abrechnungsrollen Abrechnungsaktivitäten
CEO Rechnungskonto-Administrator Zahlungsmittel verwalten
Rechnungen aufrufen und genehmigen
CTO Rechnungskonto-Administrator
Projektersteller
Budgetbenachrichtigungen festlegen
Ausgaben aufrufen
Neue abzurechnende Projekte erstellen
Entwicklungsteams Kein
Szenario: Kleines bis mittelständisches Unternehmen (KMU), das Vollmachten bevorzugt
Nutzertyp Cloud IAM-Abrechnungsrollen Abrechnungsaktivitäten
CEO Rechnungskonto-Administrator Zahlungsmittel verwalten
Vollmachten erteilen
CFO Rechnungskontoadministrator Budgetbenachrichtigungen festlegen
Ausgaben aufrufen
Kreditorenbuchhaltung Rechnungskonto-Betrachter Rechnungen aufrufen und genehmigen
Entwicklungsteams Rechnungskontonutzer
Projektersteller
Neue abzurechnende Projekte erstellen
Szenario: Getrennte Finanzplanungs- und Einkaufsfunktionen
Nutzertyp Cloud IAM-Abrechnungsrollen Abrechnungsaktivitäten
Einkauf oder zentrale IT Rechnungskonto-Administrator Zahlungsmittel verwalten
Budgetbenachrichtigungen festlegen
Ausgaben an Entwicklungsteams übermitteln
Finanzplanung Rechnungskonto-Betrachter Abrechnungsberichte aufrufen
Exporte verarbeiten
Mit CXO kommunizieren
Kreditorenbuchhaltung Rechnungskonto-Betrachter Rechnungen genehmigen
Entwicklungsteams Rechnungskontonutzer
Projektersteller
Neue abzurechnende Projekte erstellen
Szenario: Entwicklungsagentur
Nutzertyp Cloud IAM-Abrechnungsrollen Abrechnungsaktivitäten
CEO Rechnungskonto-Administrator Zahlungsmittel verwalten
Vollmachten erteilen
CFO Rechnungskontoadministrator Budgetbenachrichtigungen festlegen
Ausgaben aufrufen
Rechnungen genehmigen
Projektleitung Rechnungskontonutzer
Projektersteller
Neue abzurechnende Projekte erstellen
Projektentwicklungsteam Kein Innerhalb vorhandener Projekte entwickeln
Client Administrator für die Projektabrechnung Nach Abschluss des Projekts Zahlung leisten

Abrechnungsberechtigungen aktualisieren

So können Sie Abrechnungsberechtigungen hinzufügen oder entfernen:

  1. Gehen Sie zur Google Cloud Platform Console.
  2. Öffnen Sie links in der Konsole das Menü und wählen Sie Abrechnung aus.
  3. Wenn Sie mehr als ein Rechnungskonto haben, wählen Sie Zum verknüpften Rechnungskonto aus, um die Abrechnungsberechtigungen des aktuellen Projekts zu verwalten. Um ein anderes Rechnungskonto aufzurufen, wählen Sie Rechnungskonten verwalten aus.
  4. Verwenden Sie auf der rechten Seite das Feld Berechtigungen aus, um die Berechtigungen für das ausgewählte Rechnungskonto zu bearbeiten. Wenn das Feld noch nicht geöffnet ist, klicken Sie auf INFOFELD ANZEIGEN, um es zu öffnen. Führen Sie dann einen der folgenden Schritte aus:
    • Geben Sie zum Zuweisen von Berechtigungen unter Mitglieder hinzufügen die E-Mail-Adresse der Person ein, der Sie die Berechtigung zuweisen möchten, und wählen Sie dann eine Berechtigung aus Rolle auswählen aus. Klicken Sie auf Hinzufügen.
    • Klicken Sie zum Entfernen der Abrechnungsberechtigung eines Mitglieds auf die Liste mit der entsprechenden Berechtigung und maximieren Sie sie. Bewegen Sie den Mauszeiger über das Mitglied, das Sie entfernen möchten, und klicken Sie dann auf das Papierkorbsymbol auf der rechten Seite.
Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit: