Descripción general del control de acceso de Facturación de Cloud

La Facturación de Cloud te permite controlar qué usuarios tienen permisos administrativos y permisos de lectura de costos en recursos específicos mediante la configuración de las políticas de Cloud Identity and Access Management (Cloud IAM) en los recursos.

Para otorgar o limitar el acceso a la Facturación de Cloud, puedes establecer una política de Cloud IAM a nivel de la organización, de la cuenta de facturación de Cloud o del proyecto. Los recursos de Google Cloud heredan las políticas de Cloud IAM del nodo superior, lo que significa que puedes establecer una política a nivel de la organización para aplicarla a todos los proyectos, recursos y cuentas de facturación de Cloud de la organización.

Puedes controlar los permisos de visualización en diferentes niveles para diferentes usuarios o funciones si estableces permisos de acceso en la cuenta de facturación de Cloud o a nivel del proyecto. Si quieres otorgar permiso a un usuario para ver los costos de todos los proyectos con una cuenta de facturación de Cloud, otórgale permiso para ver los costos de una cuenta de facturación de Cloud (billing.accounts.getSpendingInformation). Si deseas otorgar permiso a un usuario para ver los costos de un proyecto específico, otórgale permisos de visualización en proyectos individuales (billing.resourceCosts.get).

Descripción general de las funciones de Facturación de Cloud en Cloud IAM

No se les otorgan permisos a los usuarios directamente, sino funciones, que incluyen uno o más permisos.

Puedes otorgar una o más funciones en el mismo recurso.

Las siguientes funciones predefinidas de Cloud IAM de la Facturación de Cloud están diseñadas para que puedas usar el control de acceso a fin de aplicar la separación de obligaciones:

Función Objetivo Nivel Caso práctico
Creador de cuentas de facturación
(roles/billing.creator)
Crear cuentas nuevas de facturación con pago automático (en línea). Organización Usa esta función para configurar la facturación inicial o permitir la creación de cuentas de facturación adicionales.
Los usuarios deben tener esta función para registrarse en Google Cloud con una tarjeta de crédito mediante su identidad corporativa.
Sugerencia: Minimiza la cantidad de usuarios que cuentan con esta función para ayudar a prevenir la proliferación de los gastos de la nube sin seguimiento en tu organización.
Administrador de cuentas de facturación
(roles/billing.admin)
Administrar cuentas de facturación (pero no crearlas). Organización o cuenta de facturación. Esta es una función de propietario para una cuenta de facturación. Úsala para administrar los instrumentos de pago, configurar la exportación de la facturación, visualizar la información de costos, vincular y desvincular proyectos y administrar otras funciones de usuarios en las cuentas de facturación.
Usuario de la cuenta de facturación
(roles/billing.user)
Vincular proyectos a las cuentas de facturación. Organización o cuenta de facturación. Esta función tiene permisos muy restringidos, por lo que puedes otorgarla en forma amplia, por lo general, en combinación con el Creador del proyecto. Estas dos funciones permiten a un usuario crear proyectos nuevos vinculados con la cuenta de facturación en la que se otorga la función.
Lector de cuentas de facturación
(roles/billing.viewer)
Visualizar las transacciones y la información de los costos de las cuentas de facturación. Organización o cuenta de facturación. Por lo general, el acceso de lector de cuentas de facturación se otorga a equipos financieros y proporciona acceso a la información de gastos, pero no confiere el derecho a vincular o desvincular proyectos o administrar las propiedades de la cuenta de facturación.
Administrador de facturación del proyecto
(roles/billing.projectManager)
Vincular el proyecto con una cuenta de facturación o desvincularlo de ella. Organización, carpeta o proyecto. Esta función permite al usuario conecta el proyecto a la cuenta de facturación, pero no otorga ningún derecho sobre los recursos. Los propietarios del proyecto pueden usar esta función a fin de permitir que otra persona administre la facturación para el proyecto sin otorgarles el acceso a los recursos.

En la siguiente tabla, se enumeran los detalles de las funciones de facturación predefinidas de Cloud IAM, incluidos los permisos agrupados en cada función.

Función Título Descripción Permisos Recurso más bajo
roles/billing.admin Administrador de cuentas de facturación Proporciona acceso para ver y administrar todos los aspectos de las cuentas de facturación.
  • billing.accounts.close
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.accounts.move
  • billing.accounts.redeemPromotion
  • billing.accounts.removeFromOrganization
  • billing.accounts.reopen
  • billing.accounts.setIamPolicy
  • billing.accounts.update
  • billing.accounts.updatePaymentInfo
  • billing.accounts.updateUsageExportSpec
  • billing.budgets.*
  • billing.credits.*
  • billing.resourceAssociations.*
  • billing.subscriptions.*
  • cloudnotifications.*
  • logging.logEntries.list
  • logging.logServiceIndexes.*
  • logging.logServices.*
  • logging.logs.list
  • logging.privateLogEntries.*
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment
Cuenta de facturación
roles/billing.creator Creador de cuentas de facturación Proporciona acceso para crear cuentas de facturación.
  • billing.accounts.create
  • resourcemanager.organizations.get
Proyecto
roles/billing.projectManager Administrador de facturación del proyecto Proporciona acceso para asignar la cuenta de facturación de un proyecto o inhabilitar su facturación.
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment
Proyecto
roles/billing.user Usuario de cuenta de facturación Proporciona acceso para asociar proyectos con cuentas de facturación.
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.list
  • billing.accounts.redeemPromotion
  • billing.credits.*
  • billing.resourceAssociations.create
Cuenta de facturación
roles/billing.viewer Lector de cuentas de facturación Permite ver las transacciones y la información de los costos de las cuentas de facturación.
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.budgets.get
  • billing.budgets.list
  • billing.credits.*
  • billing.resourceAssociations.list
  • billing.subscriptions.get
  • billing.subscriptions.list
Organización
Cuenta de facturación

Relaciones entre organizaciones, proyectos, cuentas de facturación de Cloud y perfiles de pagos

Existen dos tipos de relaciones que rigen las interacciones entre las organizaciones, las cuentas de facturación de Cloud y los proyectos: la propiedad y la vinculación de pagos.

  • La propiedad se refiere a la herencia del permiso de Cloud IAM.
  • Las vinculaciones de pago definen con qué cuenta de facturación de Cloud se paga por un proyecto determinado.

En el siguiente diagrama, se muestra la relación de propiedad y las vinculaciones de pago para una organización de muestra.

Describe cómo se relacionan los proyectos con la Facturación de Cloud y el perfil de pagos. Una parte muestra los recursos de Cloud (cuenta de facturación de Cloud y proyectos asociados) y la otra, dividida por una línea punteada vertical, muestra el recurso de Google (un perfil de pagos). Los proyectos se pagan con tu cuenta de facturación de Cloud, que se vincula al perfil de pagos.

En el diagrama, la organización tiene la propiedad de los proyectos 1, 2 y 3, lo que significa que es el superior de los permisos de Cloud IAM de los tres proyectos.

La cuenta de facturación de Cloud está vinculada a los proyectos 1, 2 y 3, lo que significa que con ella se pagan los costos generados por los tres proyectos.

La cuenta de facturación de Cloud también está vinculada a un perfil de pagos mediante Google, que almacena información como el nombre, la dirección y las formas de pago.

En este ejemplo, todos los usuarios que tienen asignadas funciones de facturación de Cloud IAM en la organización también tienen esas funciones en la cuenta de facturación de Cloud o en los proyectos.

Ejemplos de control de acceso a la Facturación de Cloud

Combina las funciones de Cloud IAM de la manera siguiente para satisfacer las necesidades de una variedad de situaciones.

Situación: pequeña a mediana empresa con preferencia por el control centralizado.
Tipo de usuario Funciones de la facturación de Cloud IAM Actividades de facturación
Director ejecutivo Administrador de cuentas de facturación Administrar instrumentos de pago.
Ver y aprobar facturas.
Director de Tecnología Administrador de cuentas de facturación
Creador del proyecto
Configurar alertas de presupuesto.
Ver los gastos.
Crear proyectos facturables nuevos.
Equipos de desarrollo Ninguno Ninguno
Situación: pequeña a mediana empresa con preferencia por la autoridad delegada.
Tipo de usuario Funciones de la facturación de Cloud IAM Actividades de facturación
Director ejecutivo Administrador de cuentas de facturación Administrar instrumentos de pago.
Delegar autoridad.
Director de Finanzas Administrador de cuentas de facturación Configurar alertas de presupuesto.
Ver los gastos.
Cuentas por pagar Lector de cuentas de facturación Ver y aprobar facturas.
Equipos de desarrollo Usuario de la cuenta de facturación
Creador del proyecto
Crear proyectos facturables nuevos.
Situación: Funciones separadas de planificación financiera y adquisiciones
Tipo de usuario Funciones de la facturación de Cloud IAM Actividades de facturación
Adquisición o Central de TI Administrador de cuentas de facturación Administrar instrumentos de pago.
Configurar alertas de presupuesto.
Comunicar gastos a los equipos de desarrollo.
Planificación financiera Lector de cuentas de facturación Ver informes de facturación.
Procesar exportaciones.
Comunicarse con el director ejecutivo.
Cuentas por pagar Lector de cuentas de facturación Aprobar facturas.
Equipos de desarrollo Usuario de la cuenta de facturación
Creador del proyecto
Crear proyectos facturables nuevos.
Situación: agencia de desarrollo
Tipo de usuario Funciones de la facturación de Cloud IAM Actividades de facturación
Director ejecutivo Administrador de cuentas de facturación Administrar instrumentos de pago.
Delegar autoridad.
Director de Finanzas Administrador de cuentas de facturación Configurar alertas de presupuesto.
Ver los gastos.
Aprobar facturas.
Líder del proyecto Usuario de la cuenta de facturación
Creador del proyecto
Crear proyectos facturables nuevos.
Equipo de desarrollo de proyectos Ninguno Desarrollar en los proyectos existentes.
Cliente Administrador de facturación del proyecto Tomar la propiedad de pago del proyecto cuando se completa.

Actualiza los permisos de la Facturación de Cloud

Para agregar o quitar permisos de la Facturación de Cloud, sigue estos pasos:

  1. Accede a Google Cloud Console.

    ACCEDER A Cloud Console

  2. Abre el menú de navegación  de Cloud Console y selecciona Facturación.

    Si tienes más de una cuenta de facturación de Cloud, realiza una de las siguientes acciones:

    • Si quieres administrar la Facturación de Cloud para el proyecto actual, selecciona Ir a la cuenta de facturación vinculada.
    • Para ubicar otra cuenta de facturación de Cloud, selecciona Administrar cuentas de facturación y elige la cuenta que deseas administrar.
  3. En el menú de navegación de Facturación, haz clic en Administración de cuentas.

  4. Usa el panel Permisos para editar los permisos de la cuenta de facturación de Cloud seleccionada. Si el panel aún no es visible, haz clic en MOSTRAR PANEL DE INFORMACIÓN para abrirlo.

El panel Permisos se organiza por función, con miembros enumerados en cada función. Por ejemplo, en tu panel de permisos, es posible que veas las siguientes funciones:

  • Administrador de cuenta de facturación (2 miembros)
  • Usuario de cuenta de facturación (6 miembros)
  • Visualizador de cuenta de facturación (10 miembros)

Puedes asignar el mismo miembro a más de una función.

Si quieres ver la lista de miembros de una función correspondiente, haz clic en el nombre de la función para expandir (o contraer) la lista de miembros asignados a esa función.

Para encontrar un miembro específico y ver qué funciones se le asignan, usa el filtro Buscar miembros.

Si deseas actualizar los permisos de la Facturación de Cloud en el panel Permisos, realiza una de las siguientes acciones:

  • Para agregar miembros nuevos y asignar permisos, realiza las siguientes acciones:

    1. Haz clic en Agregar miembros.
    2. En el campo Miembros nuevos, ingresa una o más direcciones de correo electrónico para los miembros que desees agregar. Puedes agregar personas individuales, cuentas de servicio o Grupos de Google como miembros.
    3. Selecciona un permiso para los miembros desde Seleccionar una función.
    4. Configura cualquier condición en la función (opcional).
    5. Si es necesario, puedes agregar otra función para asignar permisos adicionales a los miembros.
    6. Cuando termines, haz clic en Guardar.
  • Para editar los permisos de facturación de un miembro debes realizar las siguientes acciones:

    1. Usa el filtro Buscar miembros para ubicar un miembro o una función específicos.
    2. En la lista, busca el miembro que deseas editar.
    3. En la fila del miembro, haz clic en Editar .

      Se abrirá el panel Editar permisos, específico para el miembro y recurso (cuenta de facturación de Cloud) seleccionados que estés viendo.

    4. En el panel Editar permisos, agrega, edita y borra funciones para el miembro y el recurso seleccionados.

    5. Cuando termines, haz clic en Guardar.

  • Para quitar a un miembro de la lista de miembros de una función debes realizar las siguientes acciones:

    1. Usa el filtro Buscar miembros para ubicar un miembro o una función específicos.
    2. En la lista, busca el miembro que deseas quitar de esa función.
    3. En la fila del miembro, haz clic en Borrar .
    4. Se te pedirá que confirmes la acción.