Présentation du contrôle des accès à Cloud Billing

Grâce à Cloud Billing, vous pouvez contrôler les utilisateurs disposant d'autorisations d'administration et de visualisation des coûts pour des ressources données en définissant des stratégies Cloud IAM (Cloud Identity and Access Management) sur les ressources.

Pour accorder ou limiter l'accès à Cloud Billing, vous pouvez définir une stratégie IAM au niveau de l'organisation, au niveau du compte de facturation Cloud et/ou au niveau du projet. Les ressources Google Cloud héritent des stratégies Cloud IAM de leur nœud parent. Vous pouvez donc les appliquer à tous les comptes, projets et ressources Cloud Billing.

Vous pouvez contrôler les droits d'affichage à différents niveaux pour différents utilisateurs ou différents rôles. Il vous faut pour cela définir des autorisations d'accès au niveau du compte de facturation Cloud ou du projet. Pour autoriser un utilisateur à afficher les coûts de tous les projets d'un compte de facturation Cloud, vous devez lui attribuer l'autorisation d'afficher les coûts d'un compte de facturation Cloud (billing.accounts.getSpendingInformation). Pour autoriser un utilisateur à afficher les coûts d'un projet donné, vous devez lui attribuer l'autorisation d'afficher des projets spécifiques (billing.resourceCosts.get).

Présentation des rôles Cloud Billing dans Cloud IAM

Vous n'accordez pas directement des autorisations aux utilisateurs, mais vous leur attribuez des rôles auxquels sont associées une ou plusieurs autorisations.

Vous pouvez attribuer un ou plusieurs rôles sur la même ressource.

Les rôles Cloud IAM prédéfinis pour Cloud Billing sont conçus pour vous permettre d'utiliser le contrôle des accès afin d'appliquer la séparation des tâches :

Rôle Objectif Niveau Cas d'utilisation
Créateur de compte de facturation
(roles/billing.creator)		 Permet de créer de nouveaux comptes de facturation en libre-service. Organisation Utilisez ce rôle pour la configuration initiale de la facturation ou pour autoriser la création de comptes de facturation supplémentaires.
Les utilisateurs doivent disposer de ce rôle pour s'inscrire à Google Cloud avec une carte de crédit utilisant leur identité d'entreprise.
Conseil : N'accordez ce rôle qu'à un nombre restreint d'utilisateurs pour empêcher la prolifération de dépenses cloud non suivies au sein de votre organisation.
Administrateur de compte de facturation
(roles/billing.admin)		 Permet de gérer des comptes de facturation (sans les créer). Organisation ou compte de facturation Il s'agit d'un rôle de propriétaire pour un compte de facturation. Utilisez-le pour gérer les modes de paiement, configurer les exportations de facturation, afficher des informations sur les coûts, associer et dissocier des projets, et gérer d'autres rôles d'utilisateur sur le compte de facturation.
Utilisateur de compte de facturation
(roles/billing.user)		 Permet d'associer des projets aux comptes de facturation. Organisation ou compte de facturation Les autorisations accordées à ce rôle sont très limitées. Vous pouvez donc l'attribuer librement, conjointement au rôle "Créateur de projet", par exemple. Ces deux rôles permettent en effet à un utilisateur de créer de nouveaux projets associés au compte de facturation sur lequel le rôle est attribué.
Lecteur de compte de facturation
(roles/billing.viewer)		 Permet d'afficher des transactions et des informations sur les coûts des comptes de facturation. Organisation ou compte de facturation L'accès "Lecteur de compte de facturation" est généralement accordé aux équipes chargées des finances. Il donne accès aux informations relatives aux dépenses, mais ne confère pas le droit d'associer ou de dissocier des projets, ni de gérer les propriétés du compte de facturation.
Gestionnaire de la facturation du projet
(roles/billing.projectManager)		 Permet d'associer le projet à un compte de facturation ou de l'en dissocier. Organisation, dossier ou projet. Ce rôle permet à un utilisateur d'associer le projet au compte de facturation, mais n'accorde aucun droit sur les ressources. Les propriétaires de projet peuvent utiliser ce rôle pour permettre à une autre personne de gérer la facturation du projet sans lui accorder l'accès aux ressources.

Le tableau suivant répertorie les détails des rôles Cloud IAM Billing prédéfinis, y compris les autorisations associées à chacun d'entre eux.

Rôle Titre Description Autorisations Ressource la plus basse
roles/billing.admin Administrateur de compte de facturation Permet de consulter les comptes de facturation et d'en gérer tous les aspects.
  • billing.accounts.close
  • billing.accounts.get
  • billing.accounts.getiamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.accounts.move
  • billing.accounts.redeemPromotion
  • billing.accounts.removeFromOrganization
  • billing.accounts.reopen
  • billing.accounts.setiamPolicy
  • billing.accounts.update
  • billing.accounts.updatePaymentInfo
  • billing.accounts.updateUsageExportSpec
  • billing.budgets.*
  • billing.credits.*
  • billing.resourceAssociations.*
  • billing.subscriptions.*
  • cloudnotifications.*
  • consumerprocurement.accounts.*
  • consumerprocurement.orders.*
  • dataprocessing.groupcontrols.list
  • logging.logEntries.list
  • logging.logServiceIndexes.*
  • logging.logServices.*
  • logging.logs.list
  • logging.privateLogEntries.*
  • recommender.commitmentUtilizationInsights.*
  • recommender.usageCommitmentRecommendations.*
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment
 Compte de facturation
roles/billing.creator Créateur de compte de facturation Permet de créer des comptes de facturation.
  • billing.accounts.create
  • resourcemanager.organizations.get
 Organisation
roles/billing.projectManager Gestionnaire de la facturation du projet Permet d'attribuer le compte de facturation d'un projet ou de désactiver sa facturation.
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment
 Projet
roles/billing.user Utilisateur de compte de facturation Permet d'associer des projets à des comptes de facturation.
  • billing.accounts.get
  • billing.accounts.getiamPolicy
  • billing.accounts.list
  • billing.accounts.redeemPromotion
  • billing.credits.*
  • billing.resourceAssociations.create
 Compte de facturation
roles/billing.viewer Lecteur de compte de facturation Permet d'afficher des transactions et des informations relatives aux coûts des comptes de facturation.
  • billing.accounts.get
  • billing.accounts.getiamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.budgets.get
  • billing.budgets.list
  • billing.credits.*
  • billing.resourceAssociations.list
  • billing.subscriptions.get
  • billing.subscriptions.list
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • dataprocessing.groupcontrols.list
  • recommender.commitmentUtilizationInsights.get
  • recommender.commitmentUtilizationInsights.list
  • recommender.usageCommitmentRecommendations.get
  • recommender.usageCommitmentRecommendations.list
 Compte de facturation

Relations entre les organisations, les projets, les comptes Cloud Billing et les profils de paiement

Deux types de relations régissent les interactions entre les organisations, les comptes Cloud Billing et les projets : la propriété et l'association de paiement.

  • La propriété fait référence à l'héritage des autorisations Cloud IAM.
  • Les associations de paiement définissent le compte Cloud Billing qui assure le paiement d'un projet donné.

Le diagramme suivant montre la relation qui existe entre la propriété et les associations de paiement pour une organisation donnée.

décrit la relation entre les projets et Cloud Billing, ainsi que votre profil de paiement. Un côté affiche vos ressources au niveau du cloud (compte de facturation Cloud et projets associés) et l'autre, divisé par une ligne pointillée verticale, affiche votre ressource Google (profil de paiement). Les paiements de vos projets sont assurés par votre compte Cloud Billing, qui est associé à votre profil de paiement.

Dans le diagramme, l'organisation est propriétaire des projets 1, 2 et 3, ce qui signifie qu'elle est le parent des autorisations Cloud IAM de ces trois projets.

Le compte Cloud Billing est associé aux projets 1, 2 et 3, ce qui signifie qu'il assure le paiement des coûts engendrés par les trois projets.

Le compte Cloud Billing est également associé à un profil de paiement Google qui stocke des informations telles que le nom, l'adresse et les modes de paiement.

Dans cet exemple, les utilisateurs qui disposent des rôles de facturation Cloud IAM sur l'organisation en disposent également sur le compte Cloud Billing ou sur les projets.

Exemples de contrôle des accès Cloud Billing

Combinez les rôles Cloud IAM comme suit pour répondre aux besoins de divers scénarios.

Scénario : Petite à moyenne entreprise privilégiant un contrôle centralisé.
Type d'utilisateur Rôles de facturation Cloud IAM Activités de facturation
CEO Administrateur de compte de facturation Gestion des modes de paiement
Affichage et autorisation des factures
Directeur de la technologie Administrateur de compte de facturation
Créateur de projet		 Définition des alertes de budget
Affichage des dépenses
Création de projets facturables
Équipes de développement Aucun Aucune
Scénario : Petite à moyenne entreprise privilégiant la délégation de droits
Type d'utilisateur Rôles de facturation Cloud IAM Activités de facturation
CEO Administrateur de compte de facturation Gestion des modes de paiement
Délégation de droits
Directeur financier Administrateur de compte de facturation Définition des alertes de budget
Affichage des dépenses
Comptabilité Lecteur de compte de facturation Affichage et autorisation des factures
Équipes de développement Utilisateur de compte de facturation
Créateur de projet		 Création de projets facturables
Scénario : Séparation des fonctions de planification financière et d'approvisionnement
Type d'utilisateur Rôles de facturation Cloud IAM Activités de facturation
Approvisionnement ou équipe informatique centrale Administrateur de compte de facturation Gestion des modes de paiement
Définir des alertes de budget
Communication des dépenses aux équipes de développement
Planification financière Lecteur de compte de facturation Affichage des rapports de facturation
Exportation des processus
Communication avec les échelons supérieurs du management
Comptabilité Lecteur de compte de facturation Autorisation des factures
Équipes de développement Utilisateur de compte de facturation
Créateur de projet		 Création de projets facturables
Scénario : Agence de développement
Type d'utilisateur Rôles de facturation Cloud IAM Activités de facturation
CEO Administrateur de compte de facturation Gestion des modes de paiement
Délégation de droits
Directeur financier Administrateur de compte de facturation Définition des alertes de budget
Affichage des dépenses
Autorisation des factures
Chef de projet Utilisateur de compte de facturation
Créateur de projet		 Création de projets facturables
Équipe de développement de projet Aucun Développement au sein de projets existants
Client Gestionnaire de la facturation du projet Prise en charge du paiement du projet une fois celui-ci terminé

Mettre à jour des autorisations Cloud Billing

Pour ajouter ou supprimer des autorisations Cloud Billing, procédez comme suit :

  1. Connectez-vous à Google Cloud Console.

    SE CONNECTER À Cloud Console

  2. Ouvrez le menu de navigation de Cloud Console , puis sélectionnez Facturation.

    Si vous possédez plusieurs comptes de facturation Cloud, effectuez l'une des opérations suivantes :

    • Pour gérer Cloud Billing pour le projet en cours, sélectionnez Accéder au compte de facturation associé.
    • Pour localiser un autre compte Cloud Billing, sélectionnez Gérer les comptes de facturation, puis le compte que vous souhaitez gérer.

  3. Dans le menu de navigation "Facturation", cliquez sur Gestion des comptes.

  4. Utilisez le panneau Autorisations pour modifier les autorisations associées au compte de facturation Cloud sélectionné. Si le panneau n'apparaît pas déjà, cliquez sur AFFICHER LE PANNEAU D'INFORMATIONS pour l'ouvrir.

Le panneau Autorisations est organisé par rôle et répertorie les membres appartenant à chacun d'eux. Vous pourriez par exemple voir :

  • Administrateur de compte de facturation (2 membres)
  • Utilisateur de compte de facturation (6 membres)
  • Lecteur de compte de facturation (10 membres)

Vous pouvez attribuer plusieurs rôles à un même membre.

Pour afficher la liste des membres d'un rôle, cliquez sur le nom du rôle pour développer (ou réduire) la liste des membres affectés à celui-ci.

Pour rechercher un membre spécifique et connaître les rôles dont il dispose, utilisez le filtre Rechercher des membres.

Pour mettre à jour les autorisations Cloud Billing, dans le panneau Autorisations, effectuez l'une des opérations suivantes :

  • Pour ajouter des membres et leur accorder des autorisations, procédez comme suit :

    1. Cliquez sur Ajouter des membres.
    2. Dans le champ Nouveaux membres, saisissez les adresses e-mail des membres que vous souhaitez ajouter. Vous pouvez ajouter des personnes, des comptes de service ou des groupes Google en tant que membres.
    3. Dans le champ Sélectionnez un rôle, choisissez une autorisation pour les membres.
    4. Définissez des conditions pour le rôle (facultatif).
    5. Si nécessaire, vous pouvez ajouter un autre rôle pour accorder des autorisations supplémentaires aux membres.
    6. Lorsque vous avez terminé, cliquez sur Enregistrer.

  • Pour modifier les autorisations de facturation d'un membre, procédez comme suit :

    1. Utilisez le filtre Rechercher les membres pour localiser un membre ou un rôle spécifique.
    2. Dans la liste, recherchez le membre que vous souhaitez modifier.

    3. Sur la ligne du membre, cliquez sur Modifier.

      Le panneau "Modifier les autorisations" s'ouvre. Il est spécifique au membre sélectionné et à la ressource (compte de facturation Cloud) que vous consultez.

    4. Dans le panneau "Modifier les autorisations", ajoutez, modifiez et supprimez des rôles pour le membre et la ressource sélectionnés.

    5. Lorsque vous avez terminé, cliquez sur Enregistrer.

  • Pour retirer un rôle à un membre de la liste, procédez comme suit :

    1. Utilisez le filtre Rechercher les membres pour localiser un membre ou un rôle spécifique.
    2. Dans la liste, localisez le membre auquel vous souhaitez retirer le rôle.
    3. Sur la ligne du membre, cliquez sur Modifier.

    4. Vous êtes invité à confirmer votre action.