Grâce à Cloud Billing, vous pouvez contrôler les utilisateurs disposant d'autorisations d'administration et de visualisation des coûts pour des ressources données en définissant des stratégies Cloud IAM (gestion de l'authentification et des accès) sur les ressources.
Pour accorder ou limiter l'accès à Cloud Billing, vous pouvez définir une stratégie IAM Cloud au niveau de l'organisation, du compte de facturation et/ou du projet. Les ressources GCP héritent des stratégies IAM Cloud de leur nœud parent, ce qui signifie que vous pouvez définir une stratégie au niveau de l'organisation pour l'appliquer à tous les comptes de facturation, projets et ressources de l'organisation.
Vous pouvez contrôler les droits d'affichage à différents niveaux pour différents utilisateurs ou différents rôles. Il vous faut pour cela définir des autorisations d'accès au niveau du compte de facturation ou du projet.
Pour autoriser un utilisateur à afficher les coûts de tous les projets d'un compte de facturation, vous devez lui attribuer l'autorisation d'afficher les coûts d'un compte de facturation (billing.accounts.getSpendingInformation). Pour autoriser un utilisateur à afficher les coûts d'un projet donné, vous devez lui attribuer l'autorisation d'afficher des projets spécifiques (billing.resourceCosts.get).
Présentation des rôles de facturation dans Cloud IAM
Les rôles de facturation Cloud IAM prédéfinis suivants sont conçus pour que vous puissiez utiliser le contrôle d'accès afin d'imposer une séparation des tâches :
| Rôle | Objectif | Niveau | Cas d'utilisation |
|---|---|---|---|
| Créateur de compte de facturation | Permet de créer de nouveaux comptes de facturation en libre-service. | Organisation | Utilisez ce rôle pour procéder à la configuration initiale de la facturation, ou de manière temporaire pour créer un compte de facturation dans une autre devise. Les utilisateurs doivent bénéficier de ce rôle pour s'inscrire à GCP avec une carte de crédit utilisant leur identité d'entreprise. Conseil : N'accordez ce rôle qu'à un nombre restreint d'utilisateurs pour empêcher la prolifération de dépenses cloud non suivies au sein de votre organisation. |
| Administrateur de compte de facturation |
Permet de gérer des comptes de facturation (sans les créer). | Organisation ou compte de facturation | Il s'agit d'un rôle de propriétaire pour un compte de facturation. Utilisez-le pour gérer les modes de paiement, configurer les exportations de facturation, afficher des informations sur les coûts, associer et dissocier des projets, et gérer d'autres rôles d'utilisateur sur le compte de facturation. |
| Utilisateur de compte de facturation | Permet d'associer des projets aux comptes de facturation. | Organisation ou compte de facturation | Les autorisations accordées à ce rôle sont très limitées. Vous pouvez donc l'attribuer librement, conjointement au rôle "Créateur de projet", par exemple. Ces deux rôles permettent en effet à un utilisateur de créer de nouveaux projets associés au compte de facturation sur lequel le rôle est attribué. |
| Lecteur de compte de facturation | Permet d'afficher des transactions et des informations relatives aux coûts des comptes de facturation. | Organisation ou compte de facturation | L'accès "Lecteur de compte de facturation" est généralement accordé aux équipes chargées des finances. Il donne accès aux informations relatives aux dépenses, mais ne confère pas le droit d'associer ou de dissocier des projets, ni de gérer les propriétés du compte de facturation. |
| Gestionnaire de la facturation du projet |
Permet d'associer le projet à un compte de facturation ou de l'en dissocier. | Organisation ou projet | Ce rôle permet à un utilisateur d'associer le projet au compte de facturation, mais n'accorde aucun droit sur les ressources. Les propriétaires de projet peuvent utiliser ce rôle pour permettre à une autre personne de gérer la facturation du projet sans lui accorder l'accès aux ressources. |
Relations entre organisations, projets, comptes de facturation et profils de paiement
Deux types de relations régissent les interactions entre les organisations, les comptes de facturation et les projets : la propriété et l'association de paiement.
- La propriété fait référence à l'héritage des autorisations Cloud IAM.
- Les associations de paiement définissent le compte de facturation qui assure le paiement d'un projet donné.
Le diagramme suivant montre la relation qui existe entre la propriété et les associations de paiement pour une organisation donnée.
Dans le diagramme, l'organisation est propriétaire des projets 1, 2 et 3, ce qui signifie qu'elle est le parent des autorisations Cloud IAM de ces trois projets.
Le compte de facturation est associé aux projets 1, 2 et 3, ce qui signifie qu'il prend en charge les coûts engendrés par les trois projets.
Le compte de facturation est également associé à un profil de paiement Google qui stocke des informations telles que le nom, l'adresse et les modes de paiement.
Dans cet exemple, les rôles de facturation Cloud IAM ayant été attribués à des utilisateurs sur l'organisation le sont également sur le compte de facturation ou sur les projets.
Exemples de contrôle des accès à la facturation
Combinez les rôles Cloud IAM comme suit pour répondre aux besoins de divers scénarios.
| Scénario : Petite à moyenne entreprise privilégiant un contrôle centralisé. | ||
|---|---|---|
| Type d'utilisateur | Rôles de facturation Cloud IAM | Activités de facturation |
| PDG | Administrateur de compte de facturation | Gestion des modes de paiement Affichage et autorisation des factures |
| Directeur de la technologie | Administrateur de compte de facturation Créateur de projet |
Définition des alertes de budget Affichage des dépenses Création de projets facturables |
| Équipes de développement | Aucun | Aucune |
| Scénario : Petite à moyenne entreprise privilégiant la délégation de droits | ||
|---|---|---|
| Type d'utilisateur | Rôles de facturation Cloud IAM | Activités de facturation |
| PDG | Administrateur de compte de facturation | Gestion des modes de paiement Délégation de droits |
| Directeur financier | Administrateur de compte de facturation | Définition des alertes de budget Affichage des dépenses |
| Comptabilité | Lecteur de compte de facturation | Affichage et autorisation des factures |
| Équipes de développement | Utilisateur de compte de facturation Créateur de projet |
Création de projets facturables |
| Scénario : Séparation des fonctions de planification financière et d'approvisionnement | ||
|---|---|---|
| Type d'utilisateur | Rôles de facturation Cloud IAM | Activités de facturation |
| Approvisionnement ou équipe informatique centrale | Administrateur de compte de facturation | Gestion des modes de paiement Définition des alertes de budget Communication des dépenses aux équipes de développement |
| Planification financière | Lecteur de compte de facturation | Affichage des rapports de facturation Exportation des processus Communication avec les échelons supérieurs du management |
| Comptabilité | Lecteur de compte de facturation | Autorisation des factures |
| Équipes de développement | Utilisateur de compte de facturation Créateur de projet |
Création de projets facturables |
| Scénario : Agence de développement | ||
|---|---|---|
| Type d'utilisateur | Rôles de facturation Cloud IAM | Activités de facturation |
| PDG | Administrateur de compte de facturation | Gestion des modes de paiement Délégation de droits |
| Directeur financier | Administrateur de compte de facturation | Définition des alertes de budget Affichage des dépenses Autorisation des factures |
| Chef de projet | Utilisateur de compte de facturation Créateur de projet |
Création de projets facturables |
| Équipe de développement de projet | Aucun | Développement au sein de projets existants |
| Client | Gestionnaire de la facturation du projet | Prise en charge le paiement du projet une fois celui-ci terminé |
Mettre à jour les autorisations de facturation
Pour ajouter ou supprimer des autorisations de facturation :
- Connectez-vous à la console Google Cloud Platform.
- Ouvrez le menu de navigation () de la console, puis sélectionnez Facturation.
- Si vous disposez de plusieurs comptes de facturation, sélectionnez Accéder au compte de facturation associé pour gérer la facturation du projet actuel. Pour trouver un autre compte de facturation, sélectionnez Gérer les comptes de facturation.
- Dans le menu de navigation "Facturation", cliquez sur Gestion des comptes.
- À droite de la page Gestion des comptes, utilisez le panneau Autorisations pour modifier les autorisations du compte de facturation sélectionné. Si le panneau n'apparaît pas déjà, cliquez sur AFFICHER LE PANNEAU D'INFORMATIONS pour l'ouvrir. Le lien se trouve dans l'angle supérieur droit de la page.
Le panneau Autorisations est organisé par rôle et répertorie les membres appartenant à chacun d'eux. Vous pourriez par exemple voir :
- Administrateur de compte de facturation (2 membres)
- Utilisateur de compte de facturation (6 membres)
- Lecteur de compte de facturation (10 membres)
Vous pouvez attribuer plusieurs rôles à un même membre.
Pour afficher la liste des membres d'un rôle, cliquez sur le nom du rôle pour développer (ou réduire) la liste des membres affectés à celui-ci.
Pour rechercher un membre spécifique et connaître les rôles dont il dispose, utilisez le filtre Rechercher des membres.
Pour mettre à jour les autorisations de facturation, effectuez l'une des opérations suivantes depuis le panneau Autorisations :
Pour ajouter des membres et leur accorder des autorisations, procédez comme suit :
- Cliquez sur Ajouter des membres.
- Dans le champ Nouveaux membres, saisissez les adresses e-mail des membres que vous souhaitez ajouter. Vous pouvez ajouter des personnes, des comptes de service ou des groupes Google en tant que membres.
- Dans le champ Sélectionnez un rôle, choisissez une autorisation pour les membres.
- Définissez des conditions pour le rôle (facultatif).
- Si nécessaire, vous pouvez ajouter un autre rôle pour accorder des autorisations supplémentaires aux membres.
- Lorsque vous avez terminé, cliquez sur Enregistrer.
Pour modifier les autorisations de facturation d'un membre, procédez comme suit :
- Utilisez le filtre Rechercher les membres pour localiser un membre ou un rôle spécifique.
- Dans la liste, recherchez le membre que vous souhaitez modifier.
Sur la ligne du membre, cliquez sur l'icône de modification () située à droite.
Le panneau "Modifier les autorisations" s'ouvre. Il est spécifique au membre sélectionné et à la ressource (compte de facturation) que vous consultez.
Dans le panneau "Modifier les autorisations", ajoutez, modifiez et supprimez des rôles pour le membre et la ressource sélectionnés.
Lorsque vous avez terminé, cliquez sur Enregistrer.
Pour retirer un rôle à un membre de la liste, procédez comme suit :
- Utilisez le filtre Rechercher les membres pour localiser un membre ou un rôle spécifique.
- Dans la liste, localisez le membre auquel vous souhaitez retirer le rôle.
- Sur la ligne du membre, cliquez sur l'icône de suppression () située à droite.
Vous êtes invité à confirmer votre action.
Articles associés
- Contrôle des accès à l'API Cloud Billing
- Attribuer, modifier et révoquer les accès des membres du projet (section à consulter dans la documentation de Cloud Identity and Access Management)
- Créer des rôles personnalisés pour la facturation