Übersicht über die Cloud Billing-Zugriffssteuerung

Mit Cloud Billing können Sie durch Festlegen von Cloud IAM-Richtlinien (Cloud Identity and Access Management) für bestimmte Ressourcen steuern, welche Nutzer Berechtigungen zum Verwalten und zum Aufrufen von Kosten für diese Ressourcen erhalten.

Um den Zugriff auf Cloud Billing zu gewähren oder zu beschränken, können Sie eine IAM-Richtlinie auf Organisationsebene, Cloud-Rechnungskontoebene und/oder Projektebene festlegen. Google Cloud-Ressourcen übernehmen die IAM-Richtlinien ihres übergeordneten Knotens. Das bedeutet, dass Sie eine Richtlinie auf Organisationsebene festlegen können, die dann auf alle Cloud-Rechnungskonten und -Projekte und -ressourcen angewendet wird in der Organisation.

Sie haben die Möglichkeit, Anzeigeberechtigungen auf verschiedenen Ebenen für unterschiedliche Nutzer oder Rollen zu steuern. Dazu legen Sie Zugriffsberechtigungen auf Cloud-Rechnungskonto- oder Projektebene fest. Wenn Sie einem Nutzer die Berechtigung erteilen möchten, die Kosten aller Projekte in einem Cloud-Rechnungskonto aufzurufen, weisen Sie ihm Berechtigungen zum Aufrufen der Kosten für ein Cloud-Rechnungskonto (billing.accounts.getSpendingInformation) zu. Wenn Sie einem Nutzer die Berechtigung zum Aufrufen der Kosten für ein bestimmtes Projekt erteilen möchten, weisen Sie ihm Berechtigungen zum Aufrufen einzelner Projekte (billing.resourceCosts.get) zu.

Übersicht über Cloud Billing-Rollen in IAM

Sie erteilen den Nutzern die Berechtigungen nicht direkt, sondern Sie weisen ihnen Rollen zu, die eine oder mehrere Berechtigungen enthalten.

Sie können einem Nutzer oder für eine Ressource eine oder mehrere Rollen zuweisen.

Mit den folgenden vordefinierten Cloud IAM-Rollen für Cloud Billing können Sie über die Zugriffssteuerung eine Aufgabentrennung vornehmen:

Rolle Zweck Stufe Anwendungsfall
Rechnungskontoersteller
(roles/billing.creator)		 Neue Online-Selfservice-Rechnungskonten erstellen Organisation Verwenden Sie diese Rolle für die anfängliche Abrechnungseinrichtung. Diese Rolle ermöglicht auch das Anlegen zusätzlicher Rechnungskonten.
Nutzer benötigen diese Rolle, um sich in Google Cloud mit einer Kreditkarte ihres Unternehmens registrieren zu können.
Tipp: Diese Rolle sollte nur ausgewählten Nutzern zugewiesen werden. Damit vermeiden Sie, dass ungeprüfte Cloud-Ausgaben in Ihrer Organisation überhandnehmen.
Rechnungskontoadministrator
(roles/billing.admin) 		Rechnungskonten verwalten (aber nicht erstellen) Organisation oder Rechnungskonto Dies ist eine Inhaberrolle für ein Rechnungskonto. Hiermit verwalten Sie Zahlungsmittel, konfigurieren Abrechnungsexporte, rufen Kosteninformationen ab, verknüpfen Projekte oder heben Projektverknüpfungen auf und verwalten andere Nutzerrollen innerhalb des Rechnungskontos.
Kostenverwalter des Rechnungskontos
(roles/billing.costsManager)		 Budgets verwalten und Kosteninformationen von Rechnungskonten (aber keine Preisinformationen) aufrufen und exportieren. Organisation oder Rechnungskonto Budgets erstellen, bearbeiten und löschen, Kosteninformationen und Transaktionen im Rechnungskonto aufrufen und den Export von Abrechnungskostendaten in BigQuery verwalten. Gewährt nicht das Recht, Preisdaten zu exportieren oder benutzerdefinierte Preise auf der Seite "Preise" anzusehen. Außerdem ist es nicht möglich, Projekte zu verknüpfen oder Projektverknüpfungen aufzuheben oder die Eigenschaften des Rechnungskontos anderweitig zu verwalten.
Rechnungskontobetrachter
(roles/billing.viewer)		 Kosteninformationen und Transaktionen im Rechnungskonto aufrufen Organisation oder Rechnungskonto Die Rolle des Rechnungskonto-Betrachters wird in der Regel Mitgliedern des Finanzteams erteilt. Sie ermöglicht den Zugriff auf Informationen zu Ausgaben, ohne dass der Nutzer Projekte mit dem Rechnungskonto verknüpfen oder Projektverknüpfungen aufheben kann oder anderweitig Einfluss auf die Verwaltung der Eigenschaften des Rechnungskontos hat.
Rechnungskontonutzer
(roles/billing.user)		 Projekte mit Rechnungskonten verknüpfen Organisation oder Rechnungskonto Die Berechtigungen dieser Rolle sind stark eingeschränkt, sodass eine umfassende Erteilung möglich ist. In Kombination mit der Rolle "Projektersteller" können Nutzer mit den beiden Rollen neue Projekte erstellen und mit dem Rechnungskonto verknüpfen, für das die Rolle "Rechnungskontonutzer" zugewiesen wurde. Wenn diese Rolle zusammen mit der Rolle des Projektabrechnungs-Managers zugewiesen wird, können Nutzer die Projekte für das Rechnungskonto, für das die Rolle eines Rechnungskontonutzers zugewiesen wurde, verknüpfen und die Verknüpfung wieder aufheben.
Administrator für die Projektabrechnung
(roles/billing.projectManager)		 Projekt mit einem Rechnungskonto verknüpfen bzw. Projektverknüpfung aufheben Organisation, Ordner oder Projekt. Wenn diese Rolle in Kombination mit der Rolle Rechnungskontonutzer zugewiesen wird, kann ein Nutzer das Projekt mit dem Rechnungskonto verknüpfen. Es werden aber keine sonstigen Rechte für Ressourcen gewährt. Projektinhaber können mit dieser Rolle einem anderen Nutzer die Verwaltung der Projektabrechnung erlauben, ohne ihm Zugriff auf Ressourcen zu erteilen.

Die folgende Tabelle enthält die Details der vordefinierten Cloud IAM-Abrechnungsrollen, einschließlich der Berechtigungen, die zu den einzelnen Rollen gehören.

Rolle Berechtigungen

Rechnungskontoadministrator
(roles/billing.admin)

Berechtigung zum Aufrufen und Verwalten aller Aspekte von Abrechnungskonten

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Rechnungskonto
  • billing.accounts.close
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getPricing
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.accounts.move
  • billing.accounts.redeemPromotion
  • billing.accounts.removeFromOrganization
  • billing.accounts.reopen
  • billing.accounts.setIamPolicy
  • billing.accounts.update
  • billing.accounts.updatePaymentInfo
  • billing.accounts.updateUsageExportSpec
  • billing.budgets.*
  • billing.credits.*
  • billing.resourceAssociations.*
  • billing.subscriptions.*
  • cloudnotifications.*
  • commerceoffercatalog.*
  • consumerprocurement.accounts.*
  • consumerprocurement.orderAttributions.*
  • consumerprocurement.orders.*
  • dataprocessing.datasources.get
  • dataprocessing.datasources.list
  • dataprocessing.groupcontrols.get
  • dataprocessing.groupcontrols.list
  • logging.logEntries.list
  • logging.logServiceIndexes.*
  • logging.logServices.*
  • logging.logs.list
  • logging.privateLogEntries.*
  • recommender.commitmentUtilizationInsights.*
  • recommender.costInsights.*
  • recommender.spendBasedCommitmentInsights.*
  • recommender.spendBasedCommitmentRecommendations.*
  • recommender.usageCommitmentRecommendations.*
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment

Kostenverwalter für Rechnungskonto
(roles/billing.costsManager)

Budgets für ein Rechnungskonto verwalten und Kosteninformationen eines Rechnungskontos aufrufen, analysieren und exportieren.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Rechnungskonto
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.accounts.updateUsageExportSpec
  • billing.budgets.*
  • billing.resourceAssociations.list
  • recommender.costInsights.*

Rechnungskonto-Ersteller
(roles/billing.creator)

Berechtigung zum Erstellen von Abrechnungskonten

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Organisation
  • billing.accounts.create
  • resourcemanager.organizations.get

Administrator für die Projektabrechnung
(roles/billing.projectManager)

Wenn diese Rolle in Kombination mit der Rolle Rechnungskontonutzer zugewiesen wird, kann das Projekt mit dem Rechnungskonto verknüpft oder die Rechnungsstellung deaktiviert werden.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment

Rechnungskontonutzer
(roles/billing.user)

Wird die Rolle zusammen mit der Rolle Projektinhaber oder Projektabrechnungs-Manager zugewiesen, können Projekte mit Rechnungskonten verknüpft werden.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Rechnungskonto
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.list
  • billing.accounts.redeemPromotion
  • billing.credits.*
  • billing.resourceAssociations.create

Rechnungskontobetrachter
(roles/billing.viewer)

Kosten- und Preisinformationen, Transaktionen, Empfehlungen zur Abrechnung und Nutzungszusicherung für das Rechnungskonto aufrufen.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Rechnungskonto
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getPricing
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.budgets.get
  • billing.budgets.list
  • billing.credits.*
  • billing.resourceAssociations.list
  • billing.subscriptions.get
  • billing.subscriptions.list
  • commerceoffercatalog.*
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list
  • consumerprocurement.orderAttributions.get
  • consumerprocurement.orderAttributions.list
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • dataprocessing.datasources.get
  • dataprocessing.datasources.list
  • dataprocessing.groupcontrols.get
  • dataprocessing.groupcontrols.list
  • recommender.commitmentUtilizationInsights.get
  • recommender.commitmentUtilizationInsights.list
  • recommender.costInsights.get
  • recommender.costInsights.list
  • recommender.spendBasedCommitmentInsights.get
  • recommender.spendBasedCommitmentInsights.list
  • recommender.spendBasedCommitmentRecommendations.get
  • recommender.spendBasedCommitmentRecommendations.list
  • recommender.usageCommitmentRecommendations.get
  • recommender.usageCommitmentRecommendations.list

IAM-Beziehungen zwischen Organisationen, Projekten, Cloud-Rechnungskonten und Zahlungsprofilen

Die Interaktion zwischen Organisationen, Cloud-Rechnungskonten und Projekten wird durch zwei Arten von Beziehungen geregelt: Inhaberschaft und Zahlungsverknüpfung

  • Inhaber bezieht sich auf die Übernahme von Cloud IAM-Berechtigungen.
  • Zahlungsverknüpfungen legen fest, über welches Cloud-Rechnungskonto die Kosten für ein bestimmtes Projekt bezahlt werden.

Das folgende Diagramm zeigt die Beziehung zwischen Inhaber ("Ownership") und Zahlungsverknüpfungen ("Payment Linkage") für eine Beispielorganisation.

Dieses Diagramm zeigt, wie sich Projekte auf Cloud Billing und Ihr Zahlungsprofil beziehen. Auf der einen Seite werden Ihre Ressourcen auf Cloud-Ebene angezeigt (Cloud-Rechnungskonto und zugehörige Projekte) und auf der anderen Seite Ihre Ressource auf Google-Ebene (Zahlungsprofil), die durch eine gepunktete vertikale Linie getrennt ist. Ihre Projekte werden über Ihr Cloud-Rechnungskonto bezahlt, das mit Ihrem Zahlungsprofil verknüpft ist.

Im Diagramm ist die Organisation Inhaber der Projekte 1, 2 und 3 und besitzt somit die übergeordneten Cloud IAM-Berechtigungen für die drei Projekte.

Das Cloud-Rechnungskonto ist mit den Projekten 1, 2 und 3 verknüpft. Es wird zur Abrechnung der für die drei Projekte anfallenden Kosten verwendet. Über das Cloud-Rechnungskonto können auch Projekte in anderen Organisationen abgerechnet werden; es übernimmt jedoch IAM-Berechtigungen von der übergeordneten Organisation.

Das Cloud-Rechnungskonto ist außerdem mit einem Google-Zahlungsprofil verknüpft, in dem Informationen wie Name, Adresse und Zahlungsmethoden gespeichert werden.

Auch wenn Sie Cloud-Rechnungskonten mit Projekten verknüpfen, sind dies keine übergeordneten Elemente von Projekten im Sinne von IAM. Daher übernehmen Projekte keine Berechtigungen von dem Cloud-Rechnungskonto, mit dem sie verknüpft sind.

In diesem Beispiel besitzen alle Nutzer mit IAM-Abrechnungsrollen für die Organisation diese Rollen auch für das Cloud-Rechnungskonto und die Projekte.

Beispiele für die Zugriffssteuerung in Cloud Billing

Sie können Cloud IAM-Rollen so kombinieren, um die Anforderungen unterschiedlichster Szenarien zu erfüllen.

Szenario: Kleines bis mittelständisches Unternehmen (KMU), das eine zentralisierte Steuerung bevorzugt
Nutzertyp IAM-Abrechnungsrollen Abrechnungsaktivitäten
CEO Rechnungskontoadministrator Zahlungsmittel verwalten
Rechnungen aufrufen und genehmigen.
CTO Rechnungskontoadministrator
Projektersteller		 Budgetbenachrichtigungen festlegen
Ausgaben aufrufen.
Neue abzurechnende Projekte erstellen.
Entwicklungsteams Kein
Szenario: Kleines bis mittelständisches Unternehmen (KMU), das Vollmachten bevorzugt
Nutzertyp IAM-Abrechnungsrollen Abrechnungsaktivitäten
CEO Rechnungskontoadministrator Zahlungsmittel verwalten
Zuständigkeiten delegieren.
CFO Rechnungskontoadministrator Budgetbenachrichtigungen festlegen
Ausgaben aufrufen.
Kreditorenbuchhaltung Rechnungskontobetrachter Rechnungen aufrufen und genehmigen
Entwicklungsteams Rechnungskontonutzer
Projektersteller		 Neue abzurechnende Projekte erstellen
Szenario: Getrennte Finanzplanungs- und Einkaufsfunktionen
Nutzertyp IAM-Abrechnungsrollen Abrechnungsaktivitäten
Einkauf oder zentrale IT Rechnungskontoadministrator Zahlungsmittel verwalten
Budgetbenachrichtigungen festlegen.
Ausgaben an Entwicklungsteams übermitteln.
Finanzplanung Rechnungskontobetrachter Abrechnungsberichte aufrufen
Exporte verarbeiten.
Mit CxO kommunizieren.
Kreditorenbuchhaltung Rechnungskontobetrachter Rechnungen genehmigen
Entwicklungsteams Rechnungskontonutzer
Projektersteller		 Neue abzurechnende Projekte erstellen
Szenario: Entwicklungsagentur
Nutzertyp IAM-Abrechnungsrollen Abrechnungsaktivitäten
CEO Rechnungskontoadministrator Zahlungsmittel verwalten
Zuständigkeiten delegieren.
CFO Rechnungskontoadministrator Budgetbenachrichtigungen festlegen
Ausgaben aufrufen.
Rechnungen genehmigen.
Projektleitung Rechnungskontonutzer
Projektersteller		 Neue abzurechnende Projekte erstellen
Projektentwicklungsteam Kein Innerhalb vorhandener Projekte entwickeln
Client Administrator für die Projektabrechnung Nach Abschluss des Projekts Zahlung ausführen

Cloud Billing-Berechtigungen aktualisieren

So fügen Sie Cloud Billing-Berechtigungen hinzu oder entfernen diese:

  1. Melden Sie sich in der Google Cloud Console an.

    BEI DER Cloud Console ANMELDEN

  2. Öffnen Sie das Navigationsmenü der Cloud Console und wählen Sie Abrechnung aus.

    Wenn Sie mehrere Cloud-Rechnungskonten haben, führen Sie einen der folgenden Schritte aus:

    • Wählen Sie zum Verwalten von Cloud Billing für das aktuelle Projekt die Option Zum verknüpften Rechnungskonto aus.
    • Wenn Sie ein anderes Cloud-Rechnungskonto verwenden möchten, wählen Sie Rechnungskonten verwalten und anschließend das Konto aus, das Sie verwalten möchten.

  3. Klicken Sie im Navigationsmenü für die Abrechnung auf Kontoverwaltung.

  4. Verwenden Sie das Feld Berechtigungen, um Berechtigungen für das ausgewählte Cloud-Rechnungskonto zu bearbeiten. Wenn das Feld nicht angezeigt wird, klicken Sie auf Infofeld ansehen, um es zu öffnen.

Das Feld "Berechtigungen" ist nach Rollen sowie die Anzahl der Hauptkonten organisiert, die jede Rolle haben. Es könnte z. B. folgende Informationen enthalten:

  • Rechnungskontoadministrator (2 Hauptkonten)
  • Rechnungskontonutzer (6 Hauptkonten)
  • Rechnungskontobetrachter (10 Hauptkonten)

Einem Nutzer können mehrere Rollen zugewiesen werden.

Wenn Sie die Liste der Hauptkonten aufrufen möchten, die eine Rolle haben, klicken Sie auf den Namen der Rolle. Dadurch wird die Liste der Hauptkonten maximiert oder minimiert.

Wenn Sie ein bestimmtes Hauptkonto suchen möchten, um zu prüfen, welche Rollen diesem Hauptkonto zugewiesen werden, verwenden Sie den Filter Suchhauptkonten.

Sie haben mehrere Möglichkeiten, um im Feld Berechtigungen die Cloud Billing-Berechtigungen zu aktualisieren:

  • So fügen Sie neue Hauptkonten hinzu und erteilen Berechtigungen:

    1. Klicken Sie auf Hauptkonten hinzufügen.
    2. Geben Sie im Feld Neue Hauptkonten eine oder mehrere E-Mail-Adressen für die Hauptkonten ein, die Sie hinzufügen möchten. Sie können Einzelpersonen, Dienstkonten oder Google Groups als Hauptkonten hinzufügen.
    3. Wählen Sie unter Rolle auswählen eine Berechtigung für die Hauptkonten aus.
    4. Legen Sie Bedingungen für die Rolle fest (optional).
    5. Bei Bedarf können Sie auf die Schaltfläche Weitere Rolle hinzufügen klicken, um den Hauptkonten zusätzliche Rollen zuzuweisen.
    6. Wenn Sie fertig sind, klicken Sie auf Speichern.

  • So bearbeiten Sie die Abrechnungsberechtigungen eines Hauptkontos:

    1. Verwenden Sie den Filter Hauptkonten suchen, um ein bestimmtes Hauptkonto oder eine bestimmte Rolle zu finden.
    2. Wählen Sie in der Liste das Hauptkonto aus, das Sie bearbeiten möchten.

    3. Klicken Sie in der Zeile des Hauptkontos auf Bearbeiten .

      Das Feld "Berechtigungen bearbeiten" wird für das ausgewählte Hauptkontos und die ausgewählte Ressource (Cloud-Rechnungskonto) geöffnet.

    4. Jetzt können Sie Rollen hinzufügen, bearbeiten oder löschen.

    5. Wenn Sie fertig sind, klicken Sie auf Speichern.

  • So widerrufen Sie eine Rolle von einem Hauptkonto:

    1. Verwenden Sie den Filter Hauptkonten suchen, um ein bestimmtes Hauptkonto oder eine bestimmte Rolle zu finden.
    2. Suchen Sie in der Liste das Hauptkonto, dessen Rolle Sie widerrufen möchten.
    3. Klicken Sie in der Zeile des Hauptkontos auf Löschen .

    4. Sie werden aufgefordert, den Vorgang zu bestätigen.

Jetzt testen

Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

Jetzt kostenlos starten