בקרת גישה והרשאות בחיוב ב-Cloud

באמצעות הגדרת מדיניות בנושא ניהול זהויות והרשאות גישה (IAM) למשאבים בחיוב ב-Cloud, אפשר לקבוע לאילו משתמשים יהיו הרשאות של ניהול וצפייה בעלויות במשאבים ספציפיים.

כדי לתת גישה או להגביל את הגישה לחיוב ב-Cloud, אפשר להגדיר מדיניות IAM ברמת הארגון, ברמת החשבון לחיוב ב-Cloud וברמת הפרויקט. המשאבים של Google Cloud יורשים את מדיניות ה-IAM של צומת ההורה שלהם, כך שאתם יכולים להגדיר מדיניות ברמת הארגון ולהחיל אותה על כל החשבונות לחיוב ב-Cloud, הפרויקטים והמשאבים בארגון.

אפשר לקבוע את הרשאות הצפייה ברמות שונות, למשתמשים שונים ולתפקידים שונים, על ידי הגדרת הרשאות גישה ברמת החשבון לחיוב או ברמת הפרויקט. כדי לתת למשתמש הרשאת צפייה בעלויות של כל הפרויקטים בחשבון לחיוב ב-Cloud, צריך לתת לו הרשאת צפייה בעלויות של החשבון לחיוב ב-Cloud (billing.accounts.getSpendingInformation). כדי לתת למשתמש הרשאת צפייה בעלויות של פרויקט ספציפי, צריך לתת לו הרשאות לצפייה בפרויקטים ספציפיים (billing.resourceCosts.get).

סקירה כללית של תפקידי IAM בחיוב ב-Cloud

המשתמשים לא מקבלים הרשאות בצורה ישירה. כדי להעניק למשתמשים הרשאות, צריך להקצות להם תפקידים שמוגדרת להם הרשאה אחת או יותר.

אפשר להקצות תפקיד אחד או יותר לאותו משתמש או באותו משאב.

תפקידי ה-IAM הבאים מוגדרים מראש בחיוב ב-Cloud, ומאפשרים להשתמש בבקרת גישה כדי לאכוף הפרדה בין תפקידים:

תפקיד מטרה רמה תרחיש לדוגמה
יצירת חשבונות לחיוב
(roles/billing.creator)		 יצירת חשבונות חדשים לחיוב בניהול עצמי (אונליין). ארגון ההרשאות בתפקיד הזה מאפשרות לבצע את ההגדרה הראשונית של החיוב, או ליצור חשבונות לחיוב נוספים.
המשתמשים חייבים שיהיה להם את התפקיד הזה כדי שיוכלו להירשם ל-Google Cloud בזהות הארגונית שלהם, באמצעות כרטיס אשראי.
טיפ: כדאי לצמצם את מספר המשתמשים בעלי התפקיד הזה, כדי למנוע עלייה בהוצאות של הארגון שאין עליהן מעקב במכשירים בענן.
אדמין של חשבון לחיוב
(roles/billing.admin) 		ניהול החשבונות לחיוב (ללא יצירה שלהם). הארגון או החשבון לחיוב. תפקיד זה מיועד לבעלים של החשבון לחיוב. ההרשאות בתפקיד הזה מאפשרות לנהל את אמצעי התשלום, להגדיר אירועי ייצוא של נתוני חיוב, לצפות במידע על עלויות, לקשר פרויקטים ולבטל את הקישור שלהם ולנהל תפקידי משתמש אחרים בחשבון לחיוב.
ניהול עלויות בחשבון לחיוב
(roles/billing.costsManager)		 ניהול התקציבים, הצגת נתוני עלות וייצוא שלהם בחשבונות חיוב (ללא מידע על תמחור). הארגון או החשבון לחיוב. ההרשאות בתפקיד הזה מאפשרות ליצור, לערוך ולמחוק תקציבים, להציג נתוני עלות וטרנזקציות בחשבון לחיוב ולנהל את הייצוא של נתוני העלות לחיוב ל-BigQuery. הן לא מאפשרות לייצא נתוני תמחור או להציג תמחור בהתאמה אישית בדף התמחור. בנוסף, הן לא מאפשרות לקשר ולבטל את הקישור של פרויקטים, ולנהל את המאפיינים של החשבון לחיוב.
צפייה בחשבון לחיוב
(roles/billing.viewer)		 הצגת נתוני עלות וטרנזקציות בחשבון לחיוב. הארגון או החשבון לחיוב. גישת צפייה לחשבון לחיוב בדרך כלל ניתנת לצוותים פיננסיים. היא מאפשרת גישה למידע על הוצאות, אבל לא מאפשרת לקשר פרויקטים ולבטל את הקישור שלהם, או לנהל את המאפיינים של החשבון לחיוב.
משתמש בחשבון לחיוב
(roles/billing.user)		 קישור פרויקטים לחשבונות לחיוב. הארגון או החשבון לחיוב. ההרשאות בתפקיד הזה מוגבלות ביותר, כך שאפשר להקצות אותו להרבה אנשים. בשילוב עם התפקיד 'יצירת פרויקטים', המשתמש יכול ליצור פרויקטים חדשים ולקשר אותם לחשבון לחיוב בחשבון שבו למשתמש הוגדר התפקיד 'משתמש בחשבון לחיוב'. לחלופין, בשילוב עם התפקיד 'אדמין של חשבון לחיוב', המשתמש יכול לקשר ולבטל את הקישור של פרויקטים לחשבון לחיוב בחשבון שבו למשתמש הוגדר התפקיד 'משתמש בחשבון לחיוב'.
ניהול החיוב בפרויקט
(roles/billing.projectManager) 		קישור וביטול הקישור של הפרויקט לחשבון לחיוב. הארגון, התיקייה או הפרויקט. בשילוב עם התפקיד משתמש בחשבון לחיוב, התפקיד 'ניהול החיוב בפרויקט' מאפשר לקשר את הפרויקט לחשבון לחיוב, אבל לא מעניק הרשאות למשאבים. בעלי הפרויקט יכול להשתמש בתפקיד הזה כדי לאפשר לאדם אחר לנהל את החיוב בפרויקט מבלי להעניק לו גישה למשאבים.

בטבלה הבאה מוצגים הפרטים של תפקידי החיוב שמוגדרים מראש ב-IAM, כולל ההרשאות בכל תפקיד.

Role Permissions

(roles/billing.admin)

Provides access to see and manage all aspects of billing accounts.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.close

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.getIamPolicy

billing.accounts.getPaymentInfo

billing.accounts.getPricing

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.accounts.move

billing.accounts.redeemPromotion

billing.accounts.removeFromOrganization

billing.accounts.reopen

billing.accounts.setIamPolicy

billing.accounts.update

billing.accounts.updatePaymentInfo

billing.accounts.updateUsageExportSpec

billing.budgets.*

  • billing.budgets.create
  • billing.budgets.delete
  • billing.budgets.get
  • billing.budgets.list
  • billing.budgets.update

billing.credits.list

billing.resourceAssociations.*

  • billing.resourceAssociations.create
  • billing.resourceAssociations.delete
  • billing.resourceAssociations.list

billing.subscriptions.*

  • billing.subscriptions.create
  • billing.subscriptions.get
  • billing.subscriptions.list
  • billing.subscriptions.update

cloudnotifications.activities.list

cloudsupport.properties.get

cloudsupport.techCases.*

  • cloudsupport.techCases.create
  • cloudsupport.techCases.escalate
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • cloudsupport.techCases.update

commerceoffercatalog.*

  • commerceoffercatalog.documents.get
  • commerceoffercatalog.offers.get

compute.commitments.*

  • compute.commitments.create
  • compute.commitments.get
  • compute.commitments.list
  • compute.commitments.update
  • compute.commitments.updateReservations

consumerprocurement.accounts.*

  • consumerprocurement.accounts.create
  • consumerprocurement.accounts.delete
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.grant

consumerprocurement.consents.list

consumerprocurement.consents.revoke

consumerprocurement.events.*

  • consumerprocurement.events.get
  • consumerprocurement.events.list

consumerprocurement.orderAttributions.*

  • consumerprocurement.orderAttributions.get
  • consumerprocurement.orderAttributions.list
  • consumerprocurement.orderAttributions.update

consumerprocurement.orders.*

  • consumerprocurement.orders.cancel
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • consumerprocurement.orders.modify
  • consumerprocurement.orders.place

dataprocessing.datasources.get

dataprocessing.datasources.list

dataprocessing.groupcontrols.get

dataprocessing.groupcontrols.list

logging.logEntries.list

logging.logServiceIndexes.list

logging.logServices.list

logging.logs.list

logging.privateLogEntries.list

recommender.commitmentUtilizationInsights.*

  • recommender.commitmentUtilizationInsights.get
  • recommender.commitmentUtilizationInsights.list
  • recommender.commitmentUtilizationInsights.update

recommender.costInsights.*

  • recommender.costInsights.get
  • recommender.costInsights.list
  • recommender.costInsights.update

recommender.spendBasedCommitmentInsights.*

  • recommender.spendBasedCommitmentInsights.get
  • recommender.spendBasedCommitmentInsights.list
  • recommender.spendBasedCommitmentInsights.update

recommender.spendBasedCommitmentRecommendations.*

  • recommender.spendBasedCommitmentRecommendations.get
  • recommender.spendBasedCommitmentRecommendations.list
  • recommender.spendBasedCommitmentRecommendations.update

recommender.spendBasedCommitmentRecommenderConfig.*

  • recommender.spendBasedCommitmentRecommenderConfig.get
  • recommender.spendBasedCommitmentRecommenderConfig.update

recommender.usageCommitmentRecommendations.*

  • recommender.usageCommitmentRecommendations.get
  • recommender.usageCommitmentRecommendations.list
  • recommender.usageCommitmentRecommendations.update

resourcemanager.projects.createBillingAssignment

resourcemanager.projects.deleteBillingAssignment

resourcemanager.projects.get

resourcemanager.projects.list

(roles/billing.costsManager)

Manage budgets for a billing account, and view, analyze, and export cost information of a billing account.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.accounts.updateUsageExportSpec

billing.budgets.*

  • billing.budgets.create
  • billing.budgets.delete
  • billing.budgets.get
  • billing.budgets.list
  • billing.budgets.update

billing.resourceAssociations.list

recommender.costInsights.*

  • recommender.costInsights.get
  • recommender.costInsights.list
  • recommender.costInsights.update

(roles/billing.creator)

Provides access to create billing accounts.

Lowest-level resources where you can grant this role:

  • Organization

billing.accounts.create

resourcemanager.organizations.get

(roles/billing.projectManager)

When granted in conjunction with the Billing Account User role, provides access to assign a project's billing account or disable its billing.

Lowest-level resources where you can grant this role:

  • Project

resourcemanager.projects.createBillingAssignment

resourcemanager.projects.deleteBillingAssignment

(roles/billing.user)

When granted in conjunction with the Project Owner role or Project Billing Manager role, provides access to associate projects with billing accounts.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.list

billing.accounts.redeemPromotion

billing.credits.list

billing.resourceAssociations.create

(roles/billing.viewer)

View billing account cost and pricing information, transactions, and billing and commitment recommendations.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.getIamPolicy

billing.accounts.getPaymentInfo

billing.accounts.getPricing

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.budgets.get

billing.budgets.list

billing.credits.list

billing.resourceAssociations.list

billing.subscriptions.get

billing.subscriptions.list

commerceoffercatalog.*

  • commerceoffercatalog.documents.get
  • commerceoffercatalog.offers.get

consumerprocurement.accounts.get

consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.list

consumerprocurement.orderAttributions.get

consumerprocurement.orderAttributions.list

consumerprocurement.orders.get

consumerprocurement.orders.list

dataprocessing.datasources.get

dataprocessing.datasources.list

dataprocessing.groupcontrols.get

dataprocessing.groupcontrols.list

recommender.commitmentUtilizationInsights.get

recommender.commitmentUtilizationInsights.list

recommender.costInsights.get

recommender.costInsights.list

recommender.spendBasedCommitmentInsights.get

recommender.spendBasedCommitmentInsights.list

recommender.spendBasedCommitmentRecommendations.get

recommender.spendBasedCommitmentRecommendations.list

recommender.spendBasedCommitmentRecommenderConfig.get

recommender.usageCommitmentRecommendations.get

recommender.usageCommitmentRecommendations.list

יחסי IAM בין ארגונים, פרויקטים, חשבונות לחיוב ב-Cloud ופרופילים של תשלומים

יש שני סוגים של יחסים ששולטים אינטראקציות בין הארגונים, החשבונות לחיוב ב-Cloud והפרויקטים: בעלות וקישור לתשלום.

  • בעלות מתייחסת לירושה של הרשאות IAM.
  • קישור תשלום מגדיר את החשבונות לחיוב ב-Cloud שבאמצעותם משלמים על פרויקט נתון.

בתרשים הבא מוצגים היחסים בין הבעלות לקישור התשלום בארגון לדוגמה.

תיאור האופן שבו פרויקטים מקושרים לחיוב ב-Cloud ולפרופיל התשלומים. בצד אחד מוצגים המשאבים ברמת הענן (חשבון לחיוב ב-Cloud ופרויקטים משויכים), ובצד השני, מעבר לקו המקווקו האנכי מוצג המשאב ברמת Google (פרופיל תשלומים). התשלום על הפרויקטים מבוצע באמצעות החשבון לחיוב ב-Cloud שמקושר לפרופיל התשלומים.

בתרשים, לארגון יש בעלות על פרויקטים 1, 2 ו-3, כלומר הוא ההורה הראשי של הרשאות ה-IAM בשלושת הפרויקטים.

החשבון לחיוב ב-Cloud מקושר לפרויקטים 1, 2 ו-3, כלומר הוא משמש לתשלום העלויות בשלושת הפרויקטים. החשבון לחיוב ב-Cloud יכול לשמש לתשלום גם על פרויקטים בארגונים אחרים, אבל הוא יורש את הרשאות ה-IAM מארגון ההורה שלו.

החשבון לחיוב ב-Cloud מקושר גם ל פרופיל תשלומים ב-Google שבו נשמר מידע כמו השם, הכתובת ואמצעי התשלום.

על אף שהחשבונות לחיוב ב-Cloud מקושרים לפרויקטים, הם לא ההורים של הפרויקטים מבחינת הרשאות ה-IAM, ולכן הפרויקטים לא יורשים הרשאות מהחשבון לחיוב ב-Cloud שאליו הם מקושרים.

בדוגמה הזו, משתמשים שמוענקים להם תפקידי IAM בחיוב ב-Cloud ברמת הארגון יחזיקו באותם התפקידים גם בחשבון לחיוב ב-Cloud ובפרויקטים.

דוגמאות לבקרת גישה לחיוב ב-Cloud

אפשר לשלב בין תפקידי IAM באופן הבא כדי לענות על הצרכים במגוון תרחישים.

התרחיש: ארגון קטן עד בינוני עם העדפה לשליטה ריכוזית.
סוג המשתמש תפקידי IAM בחיוב פעילויות חיוב
מנכ"ל אדמין של חשבון לחיוב ניהול של אמצעי התשלום.
הצגה ואישור של חשבוניות.
מנהל טכנולוגיות ראשי (CTO) אדמין של חשבון לחיוב
יצירת פרויקטים		 הגדרת התראות לתקציבים.
הצגת ההוצאות.
יצירת פרויקטים חדשים לחיוב.
צוותי פיתוח אין אין
התרחיש: ארגון קטן עד בינוני עם העדפה להאצלת סמכויות.
סוג המשתמש תפקידי IAM בחיוב פעילויות חיוב
מנכ"ל אדמין של חשבון לחיוב ניהול של אמצעי התשלום.
האצלת סמכויות.
סמנכ"ל כספים אדמין של חשבון לחיוב הגדרת התראות לתקציבים.
הצגת ההוצאות.
חשבונות לתשלום צפייה בחשבון לחיוב הצגה ואישור של חשבוניות.
צוותי פיתוח משתמש בחשבון לחיוב
יצירת פרויקטים		 יצירת פרויקטים חדשים לחיוב.
התרחיש: גורמים נפרדים בארגון לתכנון פיננסי ולרכש
סוג המשתמש תפקידי IAM בחיוב פעילויות חיוב
ניהול רכש או IT מרכזי אדמין של חשבון לחיוב ניהול של אמצעי התשלום.
הגדרת התראות לתקציבים.
עדכון צוותי הפיתוח בכל מה שקשור להוצאות.
תכנון פיננסי צפייה בחשבון לחיוב צפייה בדוחות החיוב.
עיבוד נתוני ייצוא.
ניהול תקשורת עם ההנהלה הבכירה.
חשבונות לתשלום צפייה בחשבון לחיוב אישור חשבוניות.
צוותי פיתוח משתמש בחשבון לחיוב
יצירת פרויקטים		 יצירת פרויקטים חדשים לחיוב.
התרחיש: סוכנות פיתוח
סוג המשתמש תפקידי IAM בחיוב פעילויות חיוב
מנכ"ל אדמין של חשבון לחיוב ניהול של אמצעי התשלום.
האצלת סמכויות.
סמנכ"ל כספים אדמין של חשבון לחיוב הגדרת התראות לתקציבים.
הצגת ההוצאות.
אישור חשבוניות.
הובלת פרויקטים משתמש בחשבון לחיוב
יצירת פרויקטים		 יצירת פרויקטים חדשים לחיוב.
צוות פיתוח פרויקט אין פיתוח מתוך פרויקטים קיימים.
לקוח ניהול החיוב בפרויקט קבלת בעלות על התשלום בסיום הפרויקט.

עדכון הרשאות לחיוב ב-Cloud

כדי לבדוק, להוסיף ולהסיר הרשאות לחיוב ב-Cloud:

  1. במסוף Google Cloud, נכנסים לדף Manage billing accounts.

    כניסה לדף Manage billing accounts

  2. בחלונית המידע, בוחרים את השורה של חשבון לחיוב ב-Cloud כדי להציג את חשבונות המשתמשים ואת ההרשאות בחשבון לחיוב. אם החלונית לא מוצגת, לוחצים על Show info panel כדי לפתוח אותה.

לחלופין, אפשר להיכנס להרשאות של חשבון לחיוב ב-Cloud בדף Account management שלו:

  1. במסוף Google Cloud, נכנסים לדף Account management בחשבון לחיוב ב-Cloud.

    כניסה לדף Account management

  2. בהודעה שמופיעה, בוחרים את החשבון לחיוב ב-Cloud שרוצים להציג.

  3. בחלונית המידע אפשר לבדוק ולערוך את Principals ואת Permissions בחשבון לחיוב ב-Cloud שבחרתם. אם החלונית לא מוצגת, לוחצים על Show info panel כדי לפתוח אותה.

החלונית Permissions מאורגנת לפי תפקידים, ולצד כל תפקיד מוצג מספר חשבונות המשתמשים שיש להם את תפקיד. דוגמה לתפקידים שעשויים להיות מוצגים בחלונית ההרשאות:

  • אדמין של חשבון לחיוב (2 חשבונות משתמשים)
  • משתמש בחשבון לחיוב (6 חשבונות משתמשים)
  • צפייה בחשבון לחיוב (10 חשבונות משתמשים)

אתם יכולים להקצות לאותו חשבון משתמש תפקידים מרובים.

כדי להציג את רשימת חשבונות המשתמשים שיש להם תפקיד מסוים, מרחיבים את צומת התפקיד.

כדי למצוא חשבון משתמש ספציפי ולראות אילו תפקידים הוקצו לו, בוחרים במסנן ומזינים את כתובת האימייל של חשבון המשתמש.

כדי לעדכן את ההרשאות לחיוב ב-Cloud, בחלונית Permissions מבצעים אחת מהפעולות הבאות:

  • הוספה של חשבונות משתמשים חדשים והקצאת הרשאות:

    1. לוחצים על Add principal.
    2. בשדה New principals, מזינים כתובת אימייל אחת או יותר לחשבונות המשתמשים שרוצים להוסיף. תוכלו להוסיף אנשים, חשבונות שירות או קבוצות Google כחשבונות משתמשים.
    3. בוחרים הרשאה לחשבונות המשתמשים בקטע Select a role.
    4. במידת הצורך, נעזרים באפשרות Add another role כדי להקצות תפקידים נוספים לחשבונות המשתמשים.
    5. כשמסיימים, לוחצים על Save.

  • עריכה של הרשאות החיוב בחשבון משתמש:

    1. בוחרים במסנן כדי לאתר חשבון משתמש או תפקיד ספציפיים.
    2. ברשימה, מוצאים את חשבון המשתמש שרוצים לערוך.

    3. בשורה של חשבון המשתמש לוחצים על Edit .

      החלונית Edit permissions שנפתחת היא ספציפית לחשבון המשתמש שנבחר ולמשאב שמוצג (חשבון לחיוב ב-Cloud).

    4. בחלונית Edit permissions מוסיפים, עורכים ומוחקים תפקידים לחשבון המשתמש שנבחר ולמשאב.

    5. כשמסיימים, לוחצים על Save.

  • ביטול תפקיד בחשבון משתמש:

    1. בוחרים במסנן כדי לאתר חשבון משתמש או תפקיד ספציפיים.
    2. ברשימה, מוצאים את חשבון המשתמש שאת התפקיד שלו רוצים לבטל.
    3. בשורה של חשבון המשתמש, לוחצים על Delete .

    4. תתבקשו לאשר את הפעולה.

נסו בעצמכם

אנחנו ממליצים למשתמשים חדשים ב-Google Cloud ליצור חשבון כדי שיוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

מתחילים לעבוד בלי לשלם