Übersicht über die Zugriffssteuerung für Abrechnungen

Mit Cloud Billing können Sie durch Festlegen von Cloud IAM-Richtlinien (Cloud Identity and Access Management) für bestimmte Ressourcen steuern, welche Nutzer Berechtigungen zum Verwalten und Aufrufen von Kosten für diese Ressourcen erhalten.

Um den Zugriff auf Cloud Billing zu gewähren oder zu beschränken, können Sie eine Cloud IAM-Richtlinie auf Organisationsebene, Rechnungskontoebene und/oder der Projektebene festlegen. GCP-Ressourcen übernehmen die Cloud IAM-Richtlinien ihres übergeordneten Knotens. Dies bedeutet, dass Sie eine Richtlinie auf Organisationsebene festlegen können, die dann auf alle Abrechnungskonten, Projekte und Ressourcen in der Organisation angewendet wird.

Sie können die Anzeigeberechtigungen auf verschiedenen Ebenen für unterschiedliche Nutzer oder Rollen steuern, indem Sie Zugriffsberechtigungen auf Rechnungskonto- oder Projektebene festlegen. Wenn Sie einem Nutzer die Berechtigung erteilen möchten, die Kosten aller Projekte in einem Rechnungskonto aufzurufen, weisen Sie ihm Berechtigungen zum Aufrufen der Kosten für ein Rechnungskonto (billing.accounts.getSpendingInformation) zu. Wenn Sie einem Nutzer die Berechtigung zum Aufrufen der Kosten für ein bestimmtes Projekt erteilen möchten, weisen Sie ihm Berechtigungen zum Aufrufen einzelner Projekte (billing.resourceCosts.get) zu.

Übersicht über Abrechnungsrollen in Cloud IAM

Die folgenden vordefinierten Cloud IAM-Abrechnungsrollen ermöglichen Ihnen die erforderliche Zugriffssteuerung zur Erzwingung einer Aufgabentrennung:

Rolle Zweck Stufe Anwendungsfall
Rechnungskonto-Ersteller Neue Self-Service-Rechnungskonten erstellen Organisation Verwenden Sie diese Rolle für die anfängliche Abrechnungseinrichtung oder vorübergehend, um ein Rechnungskonto in einer anderen Währung anzulegen.
Nutzer benötigen diese Rolle, um sich auf der GCP mit einer Kreditkarte ihres Unternehmens zu registrieren.
Tipp: Diese Rolle sollte nur ausgewählten Nutzern zugewiesen werden, um zu vermeiden, dass nicht verfolgte Cloud-Ausgaben in Ihrer Organisation überhandnehmen.
Rechnungskonto-Administrator


Rechnungskonten verwalten (aber nicht erstellen) Organisation oder Rechnungskonto Dies ist eine Inhaberrolle für ein Rechnungskonto. Hiermit verwalten Sie Zahlungsmittel, konfigurieren Abrechnungsexporte, rufen Kosteninformationen ab, verknüpfen Projekte oder heben Projektverknüpfungen auf und verwalten andere Nutzerrollen innerhalb des Rechnungskontos.
Rechnungskontonutzer Projekte mit Rechnungskonten verknüpfen Organisation oder Rechnungskonto Die Rechte dieser Rolle sind stark eingeschränkt, sodass eine umfassende Erteilung in der Regel zusammen mit der Projekterstellerrolle möglich ist. Durch diese beiden Rollen kann ein Nutzer neue Projekte erstellen und mit dem Rechnungskonto verknüpfen, für das die Rolle gewährt wurde.
Rechnungskonto-Betrachter Kontoinformationen und Transaktionen im Rechnungskonto aufrufen Organisation oder Rechnungskonto Die Rolle des Rechnungskonto-Betrachters wird in der Regel Mitgliedern des Finanzteams erteilt. Sie ermöglicht den Zugriff auf Informationen zu Ausgaben, ohne dass der Nutzer Projekte mit dem Rechnungskonto verknüpfen oder Projektverknüpfungen aufheben kann oder anderweitig Einfluss auf die Verwaltung der Eigenschaften des Rechnungskontos hat.
Administrator für die Projektabrechnung

Projekt mit einem Rechnungskonto verknüpfen bzw. Projektverknüpfungen aufheben Organisation oder Projekt Mit dieser Rolle können Nutzer das Projekt mit dem Rechnungskonto verknüpfen, erhalten aber keine sonstigen Rechte für Ressourcen. Projektinhaber können mit dieser Rolle einem anderen Nutzer die Verwaltung der Projektabrechnung erlauben, ohne ihm Zugriff auf Ressourcen zu erteilen.

Beziehungen zwischen Organisationen, Projekten, Rechnungskonten und Zahlungsprofilen

Die Interaktion zwischen Organisationen, Rechnungskonten und Projekten wird durch zwei Arten von Beziehungen geregelt: Inhaberschaft und Zahlungsverknüpfung.

  • Inhaberschaft bezieht sich auf die Übernahme von Cloud IAM-Berechtigungen.
  • Zahlungsverknüpfungen legen fest, über welches Rechnungskonto die Kosten für ein bestimmtes Projekt bezahlt werden.

Das folgende Diagramm zeigt die Beziehung zwischen Inhaberschaft ("Ownership") und Zahlungsverknüpfungen ("Payment Linkage") für eine Beispielorganisation.

Beziehung zwischen Inhaber und Zahlungsverknüpfungen

Im Diagramm ist die Organisation ("Organization") Inhaber der Projekte ("Projects") 1, 2 und 3 und besitzt somit die übergeordneten Cloud IAM-Berechtigungen für die drei Projekte.

Das Rechnungskonto ("Billing Account") ist mit den Projekten 1, 2 und 3 verknüpft. Es wird zur Abrechnung der für die drei Projekte anfallenden Kosten verwendet.

Außerdem ist es mit einem Google-Zahlungsprofil verknüpft, in dem Informationen wie Name, Adresse und Zahlungsmethoden gespeichert werden.

In diesem Beispiel haben alle Nutzer mit Cloud IAM-Abrechnungsrollen für die Organisation diese Rollen auch für das Rechnungskonto und die Projekte.

Beispiele zur Zugriffssteuerung für Abrechnungen

Sie können Cloud IAM-Rollen wie folgt kombinieren, um die Anforderungen unterschiedlichster Szenarien zu erfüllen.

Szenario: Kleines bis mittelständisches Unternehmen (KMU), das eine zentralisierte Steuerung bevorzugt
Nutzertyp Cloud IAM-Abrechnungsrollen Abrechnungsaktivitäten
CEO Rechnungskonto-Administrator Zahlungsmittel verwalten
Rechnungen aufrufen und genehmigen
CTO Rechnungskonto-Administrator
Projektersteller
Budgetbenachrichtigungen festlegen
Ausgaben aufrufen
Neue abzurechnende Projekte erstellen
Entwicklungsteams Kein
Szenario: Kleines bis mittelständisches Unternehmen (KMU), das Vollmachten bevorzugt
Nutzertyp Cloud IAM-Abrechnungsrollen Abrechnungsaktivitäten
CEO Rechnungskonto-Administrator Zahlungsmittel verwalten
Vollmachten erteilen
CFO Rechnungskontoadministrator Budgetbenachrichtigungen festlegen
Ausgaben aufrufen
Kreditorenbuchhaltung Rechnungskonto-Betrachter Rechnungen aufrufen und genehmigen
Entwicklungsteams Rechnungskontonutzer
Projektersteller
Neue abzurechnende Projekte erstellen
Szenario: Getrennte Finanzplanungs- und Einkaufsfunktionen
Nutzertyp Cloud IAM-Abrechnungsrollen Abrechnungsaktivitäten
Einkauf oder zentrale IT Rechnungskonto-Administrator Zahlungsmittel verwalten
Budgetbenachrichtigungen festlegen
Ausgaben an Entwicklungsteams übermitteln
Finanzplanung Rechnungskonto-Betrachter Abrechnungsberichte aufrufen
Exporte verarbeiten
Mit CXO kommunizieren
Kreditorenbuchhaltung Rechnungskonto-Betrachter Rechnungen genehmigen
Entwicklungsteams Rechnungskontonutzer
Projektersteller
Neue abzurechnende Projekte erstellen
Szenario: Entwicklungsagentur
Nutzertyp Cloud IAM-Abrechnungsrollen Abrechnungsaktivitäten
CEO Rechnungskonto-Administrator Zahlungsmittel verwalten
Vollmachten erteilen
CFO Rechnungskontoadministrator Budgetbenachrichtigungen festlegen
Ausgaben aufrufen
Rechnungen genehmigen
Projektleitung Rechnungskontonutzer
Projektersteller
Neue abzurechnende Projekte erstellen
Projektentwicklungsteam Kein Innerhalb vorhandener Projekte entwickeln
Client Administrator für die Projektabrechnung Nach Abschluss des Projekts Zahlung leisten

Abrechnungsberechtigungen aktualisieren

So können Sie Abrechnungsberechtigungen hinzufügen oder entfernen:

  1. Melden Sie sich in der Google Cloud Platform Console an.
  2. Öffnen Sie in der Console das Menü (menu) und klicken Sie auf Abrechnung.
  3. Wenn Sie mehrere Rechnungskonten haben und die Abrechnung des aktuellen Projekts verwalten möchten, wählen Sie Zum verknüpften Rechnungskonto aus. Wählen Sie zum Aufrufen eines anderen Rechnungskontos Rechnungskonten verwalten aus.
  4. Klicken Sie im Navigationsmenü "Abrechnung" auf Kontoverwaltung.
  5. Rechts auf der Seite Kontoverwaltung befindet sich das Feld Berechtigungen. Hier können Sie die Berechtigungen für das ausgewählte Rechnungskonto bearbeiten. Falls das Feld nicht sichtbar ist, klicken Sie auf Infofeld ansehen, um es zu öffnen. Der Link befindet sich oben rechts auf der Seite.

Das Feld "Berechtigungen" ist nach Rollen organisiert und enthält die Mitglieder für jede Rolle. Es könnte z. B. folgende Informationen enthalten:

  • Rechnungskontoadministrator (2 Mitglieder)
  • Rechnungskontonutzer (6 Mitglieder)
  • Rechnungskontobetrachter (10 Mitglieder)

Sie können einem Mitglied mehrere Rollen zuweisen.

Wenn Sie die Liste der Mitglieder für eine bestimmte Rolle aufrufen möchten, klicken Sie auf den Namen der Rolle. Dadurch wird die zugehörige Liste der Mitglieder maximiert oder minimiert.

Wenn Sie ein bestimmtes Mitglied suchen möchten, um zu prüfen, welche Rollen ihm zugewiesen sind, verwenden Sie den Filter Mitglieder suchen.

Sie haben mehrere Möglichkeiten, um im Feld "Berechtigungen" Abrechnungsberechtigungen zu aktualisieren:

  • So fügen Sie neue Mitglieder hinzu und erteilen Berechtigungen:

    1. Klicken Sie auf Mitglieder hinzufügen.
    2. Geben Sie im Feld Neue Mitglieder eine oder mehrere E-Mail-Adressen der Mitglieder ein, die Sie hinzufügen möchten. Sie können Einzelpersonen, Dienstkonten oder Google Groups als Mitglieder hinzufügen.
    3. Wählen Sie unter Rolle auswählen eine Berechtigung für die Mitglieder aus.
    4. Legen Sie Bedingungen für die Rolle fest (optional).
    5. Bei Bedarf können Sie auf Weitere Rolle hinzufügen klicken, um den Mitgliedern zusätzliche Berechtigungen zuzuweisen.
    6. Wenn Sie fertig sind, klicken Sie auf Speichern.
  • So bearbeiten Sie die Abrechnungsberechtigungen eines Mitglieds:

    1. Verwenden Sie den Filter Mitglieder suchen, um ein bestimmtes Mitglied oder eine bestimmte Rolle zu finden.
    2. Wählen Sie in der Liste das Mitglied aus, das Sie bearbeiten möchten.
    3. Klicken Sie rechts in der Zeile des Mitglieds auf das Bearbeitungssymbol (edit).

      Für das ausgewählte Mitglied und die ausgewählte Ressource (Abrechnungskonto) wird das Feld "Berechtigungen bearbeiten" geöffnet.

    4. Jetzt können Sie Rollen hinzufügen, bearbeiten oder löschen.

    5. Wenn Sie fertig sind, klicken Sie auf Speichern.

  • So entfernen Sie ein Mitglied aus der Mitgliederliste einer Rolle:

    1. Verwenden Sie den Filter Mitglieder suchen, um ein bestimmtes Mitglied oder eine bestimmte Rolle zu finden.
    2. Wählen Sie in der Liste das Mitglied aus, das Sie aus dieser Rolle entfernen möchten.
    3. Klicken Sie rechts in der Zeile des Mitglieds auf das Löschsymbol (delete).
    4. Sie werden aufgefordert, den Vorgang zu bestätigen.

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Cloud Billing-Dokumentation