Grâce à Cloud Billing, vous pouvez choisir quels utilisateurs disposent d'autorisations d'administration et d'affichage des coûts pour des ressources données en définissant des stratégies de gestion de l'authentification et des accès (IAM) sur les ressources.
Pour accorder ou limiter l'accès à Cloud Billing, vous pouvez définir une stratégie IAM au niveau de l'organisation, au niveau du compte de facturation Cloud et/ou au niveau du projet. Les ressources Google Cloud héritent des stratégies IAM de leur nœud parent, ce qui signifie que vous pouvez définir une stratégie au niveau de l'organisation pour l'appliquer à tous les comptes, projets et ressources Cloud Billing de l'organisation.
Vous pouvez contrôler les droits d'affichage à différents niveaux pour différents utilisateurs ou différents rôles. Il vous faut pour cela définir des autorisations d'accès au niveau du compte de facturation Cloud ou du projet.
Pour autoriser un utilisateur à afficher les coûts de tous les projets d'un compte de facturation Cloud, vous devez lui attribuer l'autorisation d'afficher les coûts d'un compte de facturation Cloud (billing.accounts.getSpendingInformation
). Pour autoriser un utilisateur à afficher les coûts d'un projet donné, vous devez lui attribuer l'autorisation d'afficher des projets spécifiques (billing.resourceCosts.get
).
Présentation des rôles Cloud Billing dans IAM
Vous n'accordez pas directement des autorisations aux utilisateurs, mais vous leur attribuez des rôles auxquels sont associées une ou plusieurs autorisations.
Vous pouvez attribuer un ou plusieurs rôles au même utilisateur ou à la même ressource.
Les rôles IAM Cloud Billing suivants sont conçus pour vous permettre d'utiliser le contrôle des accès afin d'appliquer la séparation des tâches :
Rôle | Objectif | Niveau | Cas d'utilisation |
---|---|---|---|
Créateur de compte de facturation ( roles/billing.creator ) |
Permet de créer de nouveaux comptes de facturation en libre-service. | Organisation | Utilisez ce rôle pour la configuration initiale de la facturation ou pour autoriser la création de comptes de facturation supplémentaires. Les utilisateurs doivent disposer de ce rôle pour s'inscrire à Google Cloud avec une carte de crédit utilisant leur identité d'entreprise. Conseil : N'accordez ce rôle qu'à un nombre restreint d'utilisateurs pour empêcher la prolifération de dépenses cloud non suivies au sein de votre organisation. |
Administrateur de compte de facturation ( roles/billing.admin ) |
Permet de gérer des comptes de facturation (sans les créer). | Organisation ou compte de facturation | Il s'agit d'un rôle de propriétaire pour un compte de facturation. Utilisez-le pour gérer les modes de paiement, configurer les exportations de facturation, afficher des informations sur les coûts, associer et dissocier des projets, et gérer d'autres rôles d'utilisateur sur le compte de facturation. |
Gestionnaire des coûts du compte de facturation ( roles/billing.costsManager ) |
Gérez les budgets, et affichez et exportez les informations sur les coûts des comptes de facturation (mais pas les informations tarifaires) | Organisation ou compte de facturation | Créez, modifiez et supprimez des budgets, consultez les informations sur les coûts et les transactions de compte de facturation, et gérez l'exportation des données de coût de facturation vers BigQuery. Ne confère pas le droit d'exporter les données de tarification ni d'afficher les tarifs personnalisés de la page "Tarifs". N'autorise pas non plus l'association ni la dissociation de projets, ni la gestion des propriétés du compte de facturation. |
Lecteur de compte de facturation ( roles/billing.viewer ) |
Permet d'afficher des transactions et des informations sur les coûts des comptes de facturation. | Organisation ou compte de facturation | L'accès "Lecteur de compte de facturation" est généralement accordé aux équipes chargées des finances. Il donne accès aux informations relatives aux dépenses, mais ne confère pas le droit d'associer ou de dissocier des projets, ni de gérer les propriétés du compte de facturation. |
Utilisateur de compte de facturation ( roles/billing.user ) |
Permet d'associer des projets aux comptes de facturation. | Organisation ou compte de facturation | Les autorisations accordées à ce rôle sont très limitées. Vous pouvez donc l'attribuer librement. Lorsqu'ils sont associés à Créateur de projet, les deux rôles permettent à un utilisateur de créer des projets associés au compte de facturation sur lequel le rôle d'utilisateur de compte de facturation est attribué. Ou, lorsqu'ils sont associés au rôle de gestionnaire de la facturation du projet, les deux rôles permettent d'associer et de dissocier des projets du compte de facturation sur lequel le rôle d'utilisateur de compte de facturation est attribué. |
Gestionnaire de la facturation du projet ( roles/billing.projectManager ) |
Permet d'associer le projet à un compte de facturation ou de l'en dissocier. | Organisation, dossier ou projet. | Lorsqu'il est associé au rôle Utilisateur de compte de facturation, le rôle "Gestionnaire de la facturation du projet" permet à un utilisateur d'associer le projet au compte de facturation, mais n'accorde aucun droit sur les ressources. Les propriétaires de projet peuvent utiliser ce rôle pour permettre à une autre personne de gérer la facturation du projet sans lui accorder l'accès aux ressources. |
Le tableau suivant répertorie les détails des rôles de facturation IAM prédéfinis, y compris les autorisations associées à chacun d'entre eux.
Rôle | Autorisations |
---|---|
Administrateur de compte de facturation
Permet de consulter les comptes de facturation et d'en gérer tous les aspects. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle :
|
|
Gestionnaire des coûts du compte de facturation
Permet de gérer les budgets d'un compte de facturation, d'afficher, d'analyser et d'exporter les informations de coût d'un compte de facturation. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle :
|
|
Créateur de compte de facturation
Permet de créer des comptes de facturation. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle :
|
|
Gestionnaire de la facturation du projet
Lorsqu'il est associé au rôle "Utilisateur de compte de facturation", ce rôle permet d'attribuer le compte de facturation d'un projet ou de désactiver sa facturation. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle :
|
|
Utilisateur de compte de facturation
Lorsqu'il est associé au rôle "Propriétaire de projet" ou "Gestionnaire de la facturation du projet", ce rôle permet d'associer des projets à des comptes de facturation. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle :
|
|
Lecteur de compte de facturation
Permet d'afficher les informations sur les coûts et les tarifs du compte de facturation, les transactions, ainsi que les recommandations sur la facturation et les engagements. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle :
|
|
Relations IAM entre les organisations, les projets, les comptes Cloud Billing et les profils de paiement
Deux types de relations régissent les interactions entre les organisations, les comptes Cloud Billing et les projets : la propriété et l'association de paiement.
- La propriété fait référence à l'héritage des autorisations IAM.
- Les associations de paiement définissent le compte Cloud Billing qui assure le paiement d'un projet donné.
Le diagramme suivant montre la relation qui existe entre la propriété et les associations de paiement pour une organisation donnée.
Dans le diagramme, l'organisation est propriétaire des projets 1, 2 et 3, ce qui signifie qu'elle est le parent des autorisations IAM de ces trois projets.
Le compte Cloud Billing est associé aux projets 1, 2 et 3, ce qui signifie qu'il assure le paiement des coûts engendrés par les trois projets. Le compte Cloud Billing peut également payer pour des projets appartenant à d'autres organisations, mais il hérite des autorisations IAM de son organisation parente.
Le compte Cloud Billing est également associé à un profil de paiement Google qui stocke des informations telles que le nom, l'adresse et les modes de paiement.
Même si vous associez des comptes Cloud Billing à des projets, ces comptes Cloud Billing ne sont pas les parents des projets au sens d'IAM. Les projets n'héritent donc pas des autorisations du compte Cloud Billing auquel ils sont associés.
Dans cet exemple, les utilisateurs qui disposent des rôles de facturation IAM sur l'organisation en disposent également sur le compte Cloud Billing ou sur les projets.
Exemples de contrôle des accès Cloud Billing
Combinez les rôles IAM comme suit pour répondre aux besoins de divers scénarios.
Scénario : Petite à moyenne entreprise privilégiant un contrôle centralisé. | ||
---|---|---|
Type d'utilisateur | Rôles IAM de facturation | Activités de facturation |
CEO | Administrateur de compte de facturation | Gestion des modes de paiement Affichage et autorisation des factures |
Directeur de la technologie | Administrateur de compte de facturation Créateur de projet |
Définition des alertes de budget Affichage des dépenses Création de projets facturables |
Équipes de développement | Aucun | Aucune |
Scénario : Petite à moyenne entreprise privilégiant la délégation de droits | ||
---|---|---|
Type d'utilisateur | Rôles IAM de facturation | Activités de facturation |
CEO | Administrateur de compte de facturation | Gestion des modes de paiement Délégation de droits |
Directeur financier | Administrateur de compte de facturation | Définition des alertes de budget Affichage des dépenses |
Comptabilité | Lecteur de compte de facturation | Affichage et autorisation des factures |
Équipes de développement | Utilisateur de compte de facturation Créateur de projet |
Création de projets facturables |
Scénario : Séparation des fonctions de planification financière et d'approvisionnement | ||
---|---|---|
Type d'utilisateur | Rôles IAM de facturation | Activités de facturation |
Approvisionnement ou équipe informatique centrale | Administrateur de compte de facturation | Gestion des modes de paiement Définir des alertes de budget Communication des dépenses aux équipes de développement |
Planification financière | Lecteur de compte de facturation | Affichage des rapports de facturation Exportation des processus Communication avec les échelons supérieurs du management |
Comptabilité | Lecteur de compte de facturation | Autorisation des factures |
Équipes de développement | Utilisateur de compte de facturation Créateur de projet |
Création de projets facturables |
Scénario : Agence de développement | ||
---|---|---|
Type d'utilisateur | Rôles IAM de facturation | Activités de facturation |
CEO | Administrateur de compte de facturation | Gestion des modes de paiement Délégation de droits |
Directeur financier | Administrateur de compte de facturation | Définition des alertes de budget Affichage des dépenses Autorisation des factures |
Chef de projet | Utilisateur de compte de facturation Créateur de projet |
Création de projets facturables |
Équipe de développement de projet | Aucun | Développement au sein de projets existants |
Client | Gestionnaire de la facturation du projet | Prise en charge du paiement du projet une fois celui-ci terminé |
Mettre à jour des autorisations Cloud Billing
Pour ajouter ou supprimer des autorisations Cloud Billing, procédez comme suit :
Connectez-vous à Google Cloud Console.
Ouvrez le menu de navigation de Cloud Console
, puis sélectionnez Facturation.Si vous possédez plusieurs comptes de facturation Cloud, effectuez l'une des opérations suivantes :
- Pour gérer Cloud Billing pour le projet en cours, sélectionnez Accéder au compte de facturation associé.
- Pour localiser un autre compte Cloud Billing, sélectionnez Gérer les comptes de facturation, puis le compte que vous souhaitez gérer.
Dans le menu de navigation "Facturation", cliquez sur Gestion des comptes.
Utilisez le panneau Autorisations pour modifier les autorisations associées au compte de facturation Cloud sélectionné. Si le panneau n'apparaît pas déjà, cliquez sur AFFICHER LE PANNEAU D'INFORMATIONS pour l'ouvrir.
Le panneau Autorisations est organisé par rôle et indique le nombre de comptes principaux associés à chaque rôle. Vous pourriez par exemple voir :
- Administrateur de compte de facturation (2 comptes principaux)
- Utilisateur de compte de facturation (6 comptes principaux)
- Lecteur de compte de facturation (10 comptes principaux)
Vous pouvez attribuer plusieurs rôles au même compte principal.
Pour afficher la liste des comptes principaux dotés d'un rôle, cliquez sur le nom du rôle pour développer (ou réduire) la liste des comptes principaux.
Pour rechercher un compte principal spécifique et connaître les rôles qui lui sont attribués, utilisez le filtre Rechercher des comptes principaux.
Pour mettre à jour les autorisations Cloud Billing, dans le panneau Autorisations, effectuez l'une des opérations suivantes :
Pour ajouter des comptes principaux et leur accorder des autorisations, procédez comme suit :
- Cliquez sur Ajouter des comptes principaux.
- Dans le champ Nouveaux comptes principaux, saisissez une ou plusieurs adresses e-mail pour les comptes principaux que vous souhaitez ajouter. Vous pouvez ajouter des personnes, des comptes de service ou des groupes Google en tant que comptes principaux.
- Dans le champ Sélectionnez un rôle, choisissez une autorisation pour les comptes principaux.
- Définissez des conditions pour le rôle (facultatif).
- Si nécessaire, vous pouvez ajouter un autre rôle pour accorder des rôles supplémentaires aux comptes principaux.
- Lorsque vous avez terminé, cliquez sur Enregistrer.
Pour modifier les autorisations de facturation d'un compte principal, procédez comme suit :
- Utilisez le filtre Rechercher les comptes principaux pour localiser un compte principal ou un rôle spécifique.
- Dans la liste, recherchez le compte principal que vous souhaitez modifier.
Sur la ligne du compte principal, cliquez sur Modifier
.Le panneau "Modifier les autorisations" s'ouvre. Il est spécifique au compte principal sélectionné et à la ressource (compte de facturation Cloud) que vous consultez.
Dans le panneau "Modifier les autorisations", ajoutez, modifiez et supprimez des rôles pour le compte principal et la ressource sélectionnés.
Lorsque vous avez terminé, cliquez sur Enregistrer.
Pour révoquer un rôle d'un compte principal :
- Utilisez le filtre Rechercher les comptes principaux pour localiser un compte principal ou un rôle spécifique.
- Dans la liste, recherchez le compte principal dont vous souhaitez révoquer le rôle.
- Sur la ligne du compte principal, cliquez sur Modifier .
Vous êtes invité à confirmer votre action.
Articles associés
- Contrôle des accès à l'API Cloud Billing
- Accorder, modifier et révoquer les accès dans la documentation IAM
- Créer des rôles personnalisés pour Cloud Billing
Faites l'essai
Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.
Essai gratuit