Control de permisos y acceso de Facturación de Cloud

Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Facturación de Cloud te permite controlar qué usuarios tienen permisos administrativos y permisos para ver costos en recursos específicos mediante la configuración de las políticas de administración de identidades y accesos (IAM) en los recursos.

Para otorgar o limitar el acceso a la Facturación de Cloud, puedes establecer una política de IAM a nivel de la organización, de la cuenta de Facturación de Cloud o del proyecto. Los recursos de Google Cloud heredan las políticas de IAM del nodo superior, lo que significa que puedes establecer una política a nivel de la organización y aplicarla a todas las cuentas, los proyectos y los recursos de la Facturación de Cloud en la organización.

Puedes controlar los permisos de visualización en diferentes niveles para diferentes usuarios o funciones si estableces permisos de acceso en la cuenta de facturación de Cloud o a nivel del proyecto. Si quieres otorgar permiso a un usuario para ver los costos de todos los proyectos con una cuenta de facturación de Cloud, otórgale permiso para ver los costos de una cuenta de facturación de Cloud (billing.accounts.getSpendingInformation). Si deseas otorgar permiso a un usuario para ver los costos de un proyecto específico, otórgale permisos de visualización en proyectos individuales (billing.resourceCosts.get).

Descripción general de las funciones de Facturación de Cloud en IAM

No se les otorgan permisos a los usuarios directamente, sino funciones, que incluyen uno o más permisos.

Se pueden otorgar uno o más roles al mismo usuario o en el mismo recurso.

Las siguientes funciones predefinidas de IAM de la Facturación de Cloud están diseñadas para permitirte usar el control de acceso a fin de aplicar la separación de obligaciones:

Función Objetivo Nivel Caso práctico
Creador de cuentas de facturación
(roles/billing.creator)
Crear cuentas nuevas de facturación con pago automático (en línea). Organización Usa esta función para configurar la facturación inicial o permitir la creación de cuentas de facturación adicionales.
Los usuarios deben tener esta función para registrarse en Google Cloud con una tarjeta de crédito mediante su identidad corporativa.
Sugerencia: Minimiza la cantidad de usuarios que cuentan con esta función para ayudar a prevenir la proliferación de los gastos de la nube sin seguimiento en tu organización.
Administrador de cuentas de facturación
(roles/billing.admin)
Administrar cuentas de facturación (pero no crearlas). Organización o cuenta de facturación. Esta es una función de propietario para una cuenta de facturación. Úsala para administrar los instrumentos de pago, configurar la exportación de la facturación, visualizar la información de costos, vincular y desvincular proyectos y administrar otras funciones de usuarios en las cuentas de facturación.
Administrador de costos de la cuenta de facturación
(roles/billing.costsManager)
Administrar presupuestos y visualizar y exportar información de costos de las cuentas de facturación (pero no información de precios) Organización o cuenta de facturación. Crea, edita y borra presupuestos, visualiza la información de los costos y las transacciones de la cuenta de facturación y administra la exportación de los datos de costos de facturación a BigQuery. No confiere el derecho a exportar datos de precios ni visualizar los precios personalizados en la página Precios. Tampoco permite la vinculación o desvinculación de proyectos ni la administración de las propiedades de la cuenta de facturación.
Lector de cuentas de facturación
(roles/billing.viewer)
Visualizar las transacciones y la información de los costos de las cuentas de facturación. Organización o cuenta de facturación. Por lo general, el acceso de lector de cuentas de facturación se otorga a equipos financieros y proporciona acceso a la información de gastos, pero no confiere el derecho a vincular o desvincular proyectos o administrar las propiedades de la cuenta de facturación.
Usuario de la cuenta de facturación
(roles/billing.user)
Vincular proyectos a las cuentas de facturación. Organización o cuenta de facturación. Este rol tiene permisos muy restringidos, por lo que puedes otorgarlo en forma amplia. Cuando se otorga en combinación con Creador de proyectos, los dos roles permiten a un usuario crear proyectos nuevos vinculados con la cuenta de facturación en la que se otorga el rol de Usuario de la cuenta de facturación. O bien, cuando se otorga en combinación con el rol de Administrador de facturación del proyecto, los dos roles permiten a un usuario vincular y desvincular proyectos en la cuenta de facturación en la que se otorga el rol de Usuario de la cuenta de facturación.
Administrador de facturación del proyecto
(roles/billing.projectManager)
Vincular el proyecto con una cuenta de facturación o desvincularlo de ella. Organización, carpeta o proyecto. Cuando se otorga en combinación con el rol de Usuario de la cuenta de facturación, el rol de Administrador de facturación del proyecto permite al usuario adjuntar el proyecto a la cuenta de facturación, pero no otorga ningún derecho sobre los recursos. Los Propietarios del proyecto pueden usar este rol a fin de permitir que otra persona administre la facturación para el proyecto sin otorgarle el acceso a los recursos.

En la siguiente tabla se enumeran los detalles de las funciones de facturación predefinidas de IAM, incluidos los permisos agrupados en cada función.

Función Permisos

(roles/billing.admin)

Proporciona acceso para ver y administrar todos los aspectos de las cuentas de facturación.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Cuenta de facturación

Contiene 33 permisos de propietario

billing.accounts.close

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.getIamPolicy

billing.accounts.getPaymentInfo

billing.accounts.getPricing

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.accounts.move

billing.accounts.redeemPromotion

billing.accounts.removeFromOrganization

billing.accounts.reopen

billing.accounts.setIamPolicy

billing.accounts.update

billing.accounts.updatePaymentInfo

billing.accounts.updateUsageExportSpec

billing.budgets.*

  • billing.budgets.create
  • billing.budgets.delete
  • billing.budgets.get
  • billing.budgets.list
  • billing.budgets.update

billing.credits.list

billing.resourceAssociations.*

  • billing.resourceAssociations.create
  • billing.resourceAssociations.delete
  • billing.resourceAssociations.list

billing.subscriptions.*

  • billing.subscriptions.create
  • billing.subscriptions.get
  • billing.subscriptions.list
  • billing.subscriptions.update

cloudnotifications.activities.list

cloudsupport.properties.get

cloudsupport.techCases.*

  • cloudsupport.techCases.create
  • cloudsupport.techCases.escalate
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • cloudsupport.techCases.update

commerceoffercatalog.*

  • commerceoffercatalog.documents.get
  • commerceoffercatalog.offers.get

compute.commitments.*

  • compute.commitments.create
  • compute.commitments.get
  • compute.commitments.list
  • compute.commitments.update
  • compute.commitments.updateReservations

consumerprocurement.accounts.*

  • consumerprocurement.accounts.create
  • consumerprocurement.accounts.delete
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list

consumerprocurement.consents.*

  • consumerprocurement.consents.check
  • consumerprocurement.consents.grant
  • consumerprocurement.consents.list
  • consumerprocurement.consents.revoke

consumerprocurement.orderAttributions.*

  • consumerprocurement.orderAttributions.get
  • consumerprocurement.orderAttributions.list
  • consumerprocurement.orderAttributions.update

consumerprocurement.orders.*

  • consumerprocurement.orders.cancel
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • consumerprocurement.orders.modify
  • consumerprocurement.orders.place

dataprocessing.datasources.get

dataprocessing.datasources.list

dataprocessing.groupcontrols.get

dataprocessing.groupcontrols.list

logging.logEntries.list

logging.logServiceIndexes.list

logging.logServices.list

logging.logs.list

logging.privateLogEntries.list

recommender.commitmentUtilizationInsights.*

  • recommender.commitmentUtilizationInsights.get
  • recommender.commitmentUtilizationInsights.list
  • recommender.commitmentUtilizationInsights.update

recommender.costInsights.*

  • recommender.costInsights.get
  • recommender.costInsights.list
  • recommender.costInsights.update

recommender.spendBasedCommitmentInsights.*

  • recommender.spendBasedCommitmentInsights.get
  • recommender.spendBasedCommitmentInsights.list
  • recommender.spendBasedCommitmentInsights.update

recommender.spendBasedCommitmentRecommendations.*

  • recommender.spendBasedCommitmentRecommendations.get
  • recommender.spendBasedCommitmentRecommendations.list
  • recommender.spendBasedCommitmentRecommendations.update

recommender.usageCommitmentRecommendations.*

  • recommender.usageCommitmentRecommendations.get
  • recommender.usageCommitmentRecommendations.list
  • recommender.usageCommitmentRecommendations.update

resourcemanager.projects.createBillingAssignment

resourcemanager.projects.deleteBillingAssignment

resourcemanager.projects.get

resourcemanager.projects.list

(roles/billing.costsManager)

Administra los presupuestos de una cuenta de facturación y visualiza, analiza y exporta la información de costos de una cuenta de facturación.

Recursos de nivel más bajo en los que puedes otorgar este rol:

  • Cuenta de facturación

Contiene 12 permisos de propietario

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.accounts.updateUsageExportSpec

billing.budgets.*

  • billing.budgets.create
  • billing.budgets.delete
  • billing.budgets.get
  • billing.budgets.list
  • billing.budgets.update

billing.resourceAssociations.list

recommender.costInsights.*

  • recommender.costInsights.get
  • recommender.costInsights.list
  • recommender.costInsights.update

(roles/billing.creator)

Proporciona acceso para crear cuentas de facturación.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Organización

Contiene 1 permiso de propietario

billing.accounts.create

resourcemanager.organizations.get

(roles/billing.projectManager)

Cuando se otorga junto con la función de usuario de la cuenta de facturación, proporciona acceso para asignar la cuenta de facturación de un proyecto o inhabilitar su facturación.

Recursos de nivel más bajo en los que puedes otorgar este rol:

  • Proyecto

Contiene 2 permisos de propietario

resourcemanager.projects.createBillingAssignment

resourcemanager.projects.deleteBillingAssignment

(roles/billing.user)

Cuando se otorga junto con la función Propietario del proyecto o Administrador de facturación del proyecto, proporciona acceso para asociar proyectos con cuentas de facturación.

Recursos de nivel más bajo en los que puedes otorgar este rol:

  • Cuenta de facturación

Contiene 6 permisos de propietario

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.list

billing.accounts.redeemPromotion

billing.credits.list

billing.resourceAssociations.create

(roles/billing.viewer)

Visualiza la información de precios y transacciones de las cuentas de facturación, así como las recomendaciones de facturación y compromiso.

Recursos de nivel más bajo en los que puedes otorgar este rol:

  • Cuenta de facturación

Contiene 14 permisos de propietario

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.getIamPolicy

billing.accounts.getPaymentInfo

billing.accounts.getPricing

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.budgets.get

billing.budgets.list

billing.credits.list

billing.resourceAssociations.list

billing.subscriptions.get

billing.subscriptions.list

commerceoffercatalog.*

  • commerceoffercatalog.documents.get
  • commerceoffercatalog.offers.get

consumerprocurement.accounts.get

consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.list

consumerprocurement.orderAttributions.get

consumerprocurement.orderAttributions.list

consumerprocurement.orders.get

consumerprocurement.orders.list

dataprocessing.datasources.get

dataprocessing.datasources.list

dataprocessing.groupcontrols.get

dataprocessing.groupcontrols.list

recommender.commitmentUtilizationInsights.get

recommender.commitmentUtilizationInsights.list

recommender.costInsights.get

recommender.costInsights.list

recommender.spendBasedCommitmentInsights.get

recommender.spendBasedCommitmentInsights.list

recommender.spendBasedCommitmentRecommendations.get

recommender.spendBasedCommitmentRecommendations.list

recommender.usageCommitmentRecommendations.get

recommender.usageCommitmentRecommendations.list

Relaciones IAM entre organizaciones, proyectos, cuentas de facturación de Cloud y perfiles de pagos

Existen dos tipos de relaciones que rigen las interacciones entre las organizaciones, las cuentas de facturación de Cloud y los proyectos: la propiedad y la vinculación de pagos.

  • La propiedad se refiere a la herencia del permiso de IAM.
  • Las vinculaciones de pago definen con qué cuenta de facturación de Cloud se paga por un proyecto determinado.

En el siguiente diagrama, se muestra la relación de propiedad y las vinculaciones de pago para una organización de muestra.

Describe cómo se relacionan los proyectos con la Facturación de Cloud y el perfil de pagos. Una parte muestra los recursos de Cloud (cuenta de facturación de Cloud y proyectos asociados) y la otra, dividida por una línea punteada vertical, muestra el recurso de Google (un perfil de pagos). Los proyectos se pagan con tu cuenta de facturación de Cloud, que se vincula al perfil de pagos.

En el diagrama, la organización tiene la propiedad de los proyectos 1, 2 y 3, lo que significa que es el superior de los permisos de IAM de los tres proyectos.

La cuenta de facturación de Cloud está vinculada a los proyectos 1, 2 y 3, lo que significa que con ella se pagan los costos generados por los tres proyectos. La cuenta de Facturación de Cloud también puede pagar por proyectos en otras organizaciones, pero hereda los permisos de IAM de su organización superior.

La cuenta de facturación de Cloud también está vinculada a un perfil de pagos de Google, que almacena información como el nombre, la dirección y las formas de pago.

Aunque vincules cuentas de facturación de Cloud a proyectos, estas cuentas no son superiores de proyectos en el sentido de Cloud IAM y, por lo tanto, los proyectos no heredan los permisos de la cuenta de facturación de Cloud a la que están vinculados.

En este ejemplo, todos los usuarios que tienen asignadas funciones de facturación de IAM en la organización también tienen esas funciones en la cuenta de facturación de Cloud o los proyectos.

Ejemplos de control de acceso a Facturación de Cloud

Combina las funciones de IAM de la manera siguiente para satisfacer las necesidades de una variedad de situaciones.

Situación: pequeña a mediana empresa con preferencia por el control centralizado.
Tipo de usuario Funciones de IAM de facturación Actividades de facturación
Director ejecutivo Administrador de cuentas de facturación Administrar instrumentos de pago.
Ver y aprobar facturas.
Director de Tecnología Administrador de cuentas de facturación
Creador del proyecto
Configurar alertas de presupuesto.
Ver los gastos.
Crear proyectos facturables nuevos.
Equipos de desarrollo Ninguno Ninguno
Situación: pequeña a mediana empresa con preferencia por la autoridad delegada.
Tipo de usuario Funciones de IAM de facturación Actividades de facturación
Director ejecutivo Administrador de cuentas de facturación Administrar instrumentos de pago.
Delegar autoridad.
Director de Finanzas Administrador de cuentas de facturación Configurar alertas de presupuesto.
Ver los gastos.
Cuentas por pagar Lector de cuentas de facturación Ver y aprobar facturas.
Equipos de desarrollo Usuario de la cuenta de facturación
Creador del proyecto
Crear proyectos facturables nuevos.
Situación: Funciones separadas de planificación financiera y adquisiciones
Tipo de usuario Funciones de IAM de facturación Actividades de facturación
Adquisición o Central de TI Administrador de cuentas de facturación Administrar instrumentos de pago.
Configurar alertas de presupuesto.
Comunicar gastos a los equipos de desarrollo.
Planificación financiera Lector de cuentas de facturación Ver informes de facturación.
Procesar exportaciones.
Comunicarse con el director ejecutivo.
Cuentas por pagar Lector de cuentas de facturación Aprobar facturas.
Equipos de desarrollo Usuario de la cuenta de facturación
Creador del proyecto
Crear proyectos facturables nuevos.
Situación: agencia de desarrollo
Tipo de usuario Funciones de IAM de facturación Actividades de facturación
Director ejecutivo Administrador de cuentas de facturación Administrar instrumentos de pago.
Delegar autoridad.
Director de Finanzas Administrador de cuentas de facturación Configurar alertas de presupuesto.
Ver los gastos.
Aprobar facturas.
Líder del proyecto Usuario de la cuenta de facturación
Creador del proyecto
Crear proyectos facturables nuevos.
Equipo de desarrollo de proyectos Ninguno Desarrollar en los proyectos existentes.
Cliente Administrador de facturación del proyecto Tomar la propiedad de pago del proyecto cuando se completa.

Actualiza los permisos de la Facturación de Cloud

Para revisar, agregar o quitar permisos de la Facturación de Cloud, sigue estos pasos:

  1. Accede a la página Administra cuentas de facturación en la consola de Google Cloud.

    Acceder a Administra cuentas de facturación

  2. Selecciona la fila de una cuenta de Facturación de Cloud para ver las principales y los permisos de la cuenta de facturación en el panel de información. Si el panel aún no es visible, haz clic en Mostrar panel de información para abrirlo.

Como alternativa, puedes acceder a los permisos de una cuenta de Facturación de Cloud en la página Administración de cuentas:

  1. En la consola de Google Cloud, ve a la página Administración de cuentas de la Cuenta de Facturación de Cloud.

    Ir a Administración de cuentas en Facturación de Cloud

  2. En el mensaje, elige la cuenta de Facturación de Cloud que deseas ver.

  3. En el panel de información, puedes revisar y editar las Principales y los Permisos de la cuenta de Facturación de Cloud seleccionada. Si el panel aún no es visible, haz clic en Mostrar panel de información para abrirlo.

El panel Permisos se organiza por función, junto con la cantidad de principales que tiene cada función. Por ejemplo, en tu panel de permisos, es posible que veas lo siguiente

  • Administrador de la cuenta de facturación (2 principales)
  • Usuario de la cuenta de facturación (6 principales)
  • Visualizador de la cuenta de facturación (10 principales)

Se puede asignar varias funciones al mismo principal.

Para ver la lista de principales asignadas a un rol, expande el nodo del rol a fin de ver la lista de principales.

Para encontrar una principal específica y ver qué roles se le otorgan, usa el Filtro y, luego, ingresa la dirección de correo electrónico de la principal.

Si deseas actualizar los permisos de la Facturación de Cloud en el panel Permisos, realiza una de las siguientes acciones:

  • Para agregar miembros nuevos y asignar permisos, realiza las siguientes acciones:

    1. Haz clic en Agregar principal.
    2. En el campo Principales nuevas, ingresa una o más direcciones de correo electrónico para las principales que deseas agregar. Puedes agregar personas individuales, cuentas de servicio o Grupos de Google como principales.
    3. Selecciona un permiso para los principales desde Seleccionar una función.
    4. Si es necesario, puedes agregar otra función para otorgar funciones adicionales a las principales.
    5. Cuando termines, haz clic en Guardar.
  • Para editar los permisos de facturación de un principal debes realizar las siguientes acciones:

    1. Usa el Filtro para ubicar una principal o un rol específicos.
    2. En la lista, busca el principal que deseas editar.
    3. En la fila del principal, haz clic en Editar .

      Se abrirá el panel Editar permisos, específico para la principal y recurso seleccionados (cuenta de Facturación de Cloud) que visualizas.

    4. En el panel Editar permisos, agrega, edita y borra funciones para el principal y el recurso seleccionados.

    5. Cuando termines, haz clic en Guardar.

  • Para revocar una función de una principal, haz lo siguiente:

    1. Usa el Filtro para ubicar una principal o un rol específicos.
    2. En la lista, busca la principal cuya función deseas revocar.
    3. En la fila del principal, haz clic en Borrar .
    4. Se te pedirá que confirmes la acción.

Pruébalo tú mismo

Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

Comenzar gratis