Descripción general del control de acceso a la facturación

Cloud Billing te permite controlar qué usuarios tienen permisos administrativos y de visualización de costos para recursos específicos mediante la configuración de las políticas de Cloud Identity and Access Management (Cloud IAM) en los recursos.

A fin de otorgar o limitar el acceso a Cloud Billing, puedes establecer una política de Cloud IAM a nivel de organización, a nivel de la cuenta de facturación o a nivel de proyecto. Los recursos de GCP heredan las políticas de Cloud IAM del nodo superior, lo que significa que puedes establecer una política a nivel de la organización y aplicarla a todas las cuentas de facturación, proyectos y recursos en la organización.

Puedes controlar los permisos de visualización en niveles diferentes para usuarios o funciones distintas mediante la configuración de permisos de acceso en la cuenta de facturación o a nivel de proyecto. A fin de otorgar permiso a un usuario para que vea los costos de todos los proyectos en una cuenta de facturación, otórgale permiso así puede ver los costos de una cuenta de facturación (billing.accounts.getSpendingInformation). Si deseas otorgar permiso a un usuario a fin de que vea los costos de un proyecto específico, otórgale los permisos para ver proyectos individuales (billing.resourceCosts.get).

Descripción general de las funciones de facturación en Cloud IAM

Las siguientes funciones de IAM de Billing Cloud predefinidas están diseñadas para permitirte usar el control de acceso a fin de aplicar la separación de obligaciones:

Función Objetivo Nivel Caso práctico
Creador de cuentas de facturación Crear cuentas nuevas con pago automático. Organización Usa esta función para la configuración de facturación inicial o transitoria y a fin de crear una cuenta de facturación en una moneda diferente.
Los usuarios deben contar con esta función para registrarse en GCP con una tarjeta de crédito con su identidad corporativa.
Sugerencia: Minimiza la cantidad de usuarios que cuentan con esta función para ayudar a prevenir la proliferación de los gastos de la nube sin seguimiento en tu organización.
Administrador de cuentas de facturación


Administrar cuentas de facturación (pero no crearlas). Organización o cuenta de facturación. Esta es una función de propietario para una cuenta de facturación. Úsala para administrar los instrumentos de pago, configurar la exportación de la facturación, visualizar la información de costos, vincular y desvincular proyectos y administrar otras funciones de usuarios en las cuentas de facturación.
Usuario de cuenta de facturación Vincular proyectos a las cuentas de facturación. Organización o cuenta de facturación. Esta función tiene permisos muy restringidos, por lo que puedes otorgarla en forma amplia, por lo general, en combinación con el Creador del proyecto. Estas dos funciones permiten a un usuario crear proyectos nuevos vinculados con la cuenta de facturación en la que se otorga la función.
Lector de cuentas de facturación Permite ver las transacciones y la información de los costos de las cuentas de facturación. Organización o cuenta de facturación. Por lo general, el acceso a Lector de cuentas de facturación se otorga a equipos financieros y proporciona acceso a la información de gastos, pero no confiere el derecho a vincular o desvincular proyectos o administrar las propiedades de la cuenta de facturación.
Administrador de facturación del proyecto

Vincular o desvincular el proyecto hasta o desde una cuenta de facturación. Organización o proyecto. Esta función permite al usuario adjuntar el proyecto a la cuenta de facturación, pero no otorga ningún derecho sobre los recursos. Los Propietarios del proyecto pueden usar esta función a fin de permitir que otra persona administre la facturación para el proyecto sin otorgarles el acceso a los recursos.

Relaciones entre organizaciones, proyectos y cuentas de facturación

Dos tipos de relaciones gobiernan las interacciones entre las cuentas de facturación, las organizaciones y los proyectos: la propiedad y la vinculación de pago.

  • Propiedad se refiere a la herencia del permiso de Cloud IAM.
  • Las vinculaciones de pago determinan qué cuenta de facturación paga por un proyecto determinado.

En el siguiente diagrama, se muestra la relación de propiedad y las vinculaciones de pago para una organización de muestra.

Relación de propiedad y vinculaciones de pago

En el diagrama, la organización tiene propiedad sobre los proyectos A, B y C, lo que significa que se trata de los permisos de Cloud IAM superiores de los tres proyectos.

La cuenta de facturación está vinculada a los proyectos A, B y C, lo que significa que paga los gastos generados por los tres proyectos.

En este ejemplo, cualquier usuario que tenga funciones de facturación de Cloud IAM en la organización también tiene esas funciones en la cuenta de facturación o en los proyectos.

Ejemplos de control de acceso de facturación

Combina las funciones de Cloud IAM de la manera siguiente para satisfacer las necesidades de una variedad de situaciones.

Situación: pequeña a mediana empresa con preferencia por el control centralizado.
Tipo de usuario Funciones de IAM de Billing Cloud Actividades de facturación
Director ejecutivo Administrador de cuentas de facturación Administrar instrumentos de pago.
Ver y aprobar facturas.
Director de tecnología Administrador de cuentas de facturación
Creador del proyecto
Configurar alertas de presupuesto.
Ver los gastos.
Crear proyectos facturables nuevos.
Equipos de desarrollo Ninguno Ninguno
Situación: pequeña a mediana empresa con preferencia por la autoridad delegada.
Tipo de usuario Funciones de IAM de Billing Cloud Actividades de facturación
Director ejecutivo Administrador de cuentas de facturación Administrar instrumentos de pago.
Delegar autoridad.
Director de Finanzas Administrador de cuentas de facturación Configurar alertas de presupuesto.
Ver los gastos.
Cuentas por pagar Lector de cuentas de facturación Ver y aprobar facturas.
Equipos de desarrollo Usuario de cuenta de facturación
Creador del proyecto
Crear proyectos facturables nuevos.
Situación: Funciones separadas de planificación financiera y adquisiciones
Tipo de usuario Funciones de IAM de Billing Cloud Actividades de facturación
Adquisición o Central de TI Administrador de cuentas de facturación Administrar instrumentos de pago.
Configurar alertas de presupuesto.
Comunicar gastos a los equipos de desarrollo.
Planificación financiera Lector de cuentas de facturación Ver informes de facturación.
Procesar exportaciones.
Comunicarse con el director ejecutivo.
Cuentas por pagar Lector de cuentas de facturación Aprobar facturas.
Equipos de desarrollo Usuario de cuenta de facturación
Creador del proyecto
Crear proyectos facturables nuevos.
Situación: agencia de desarrollo
Tipo de usuario Funciones de IAM de Billing Cloud Actividades de facturación
Director ejecutivo Administrador de cuentas de facturación Administrar instrumentos de pago.
Delegar autoridad.
Director de Finanzas Administrador de cuentas de facturación Configurar alertas de presupuesto.
Ver los gastos.
Aprobar facturas.
Líder del proyecto Usuario de cuenta de facturación
Creador del proyecto
Crear proyectos facturables nuevos.
Equipo de desarrollo de proyectos Ninguno Desarrollar en los proyectos existentes.
Cliente Administrador de facturación del proyecto Tomar la propiedad de pago del proyecto cuando se completa.

Actualiza los permisos de facturación

Para agregar o quitar permisos de facturación, haz lo siguiente:

  1. Dirígete a Google Cloud Platform Console.
  2. Abre el menú lateral izquierdo de la consola y selecciona Facturación.
  3. Si tienes más de una cuenta de facturación, selecciona Dirígete a la cuenta de facturación vinculada para administrar los permisos de facturación del proyecto actual. Para ubicar otra cuenta de facturación, selecciona Administra cuentas de facturación.
  4. A la derecha, usa el panel Permisos a fin de editar los permisos para la cuenta de facturación seleccionada. (Si el panel aún no está abierto, haz clic en MOSTRAR PANEL DE INFORMACIÓN para abrirlo). A continuación, realiza una de las acciones siguientes:
    • Para asignar permisos, en Agregar miembros, ingresa la dirección de correo electrónico de la persona a la que deseas asignar el permiso y, luego, selecciona un permiso desde Selecciona una función. Haz clic en Agregar
    • Para quitar el permiso de facturación de un miembro, haz clic y expande la lista del permiso correspondiente, desplaza el cursor sobre el miembro que deseas quitar y, a continuación, haz clic en el ícono de la papelera a la derecha.
¿Te sirvió esta página? Envíanos tu opinión: