Panoramica del controllo dell'accesso nella fatturazione Cloud

Cloud Billing consente di controllare quali utenti dispongono di autorizzazioni amministrative e di visualizzazione dei costi per risorse specifiche impostando i criteri Identity and Access Management (IAM) sulle risorse.

Per concedere o limitare l'accesso alla fatturazione Cloud, puoi impostare un criterio IAM a livello di organizzazione, a livello di account di fatturazione Cloud e/o a livello di progetto. Le risorse Google Cloud ereditano i criteri IAM del loro nodo padre, il che significa che puoi impostare un criterio a livello di organizzazione per applicarlo a tutti gli account, progetti e risorse di fatturazione Cloud dell'organizzazione.

Puoi controllare le autorizzazioni di visualizzazione a diversi livelli per utenti o ruoli diversi impostando le autorizzazioni di accesso a livello di progetto o account di fatturazione Cloud. Per concedere a un utente l'autorizzazione a visualizzare i costi di tutti i progetti in un account di fatturazione Cloud, concedi all'utente l'autorizzazione a visualizzare i costi di un account di fatturazione Cloud (billing.accounts.getSpendingInformation). Per concedere a un utente l'autorizzazione a visualizzare i costi di un progetto specifico, assegna all'utente le autorizzazioni di visualizzazione per i singoli progetti (billing.resourceCosts.get).

Panoramica dei ruoli di fatturazione Cloud in IAM

Non concedi direttamente agli utenti le autorizzazioni, ma concedi loro dei ruoli che includono una o più autorizzazioni.

Puoi concedere uno o più ruoli allo stesso utente o alla stessa risorsa.

I seguenti ruoli IAM di fatturazione Cloud predefiniti sono progettati per consentirti di utilizzare il controllo dell'accesso per applicare la separazione dei compiti:

Ruolo Scopo Livello Caso d'uso
Creatore account di fatturazione
(roles/billing.creator)
Creare nuovi account di fatturazione self-service (online). Organizzazione Utilizza questo ruolo per la configurazione iniziale della fatturazione o per consentire la creazione di account di fatturazione aggiuntivi.
Gli utenti devono disporre di questo ruolo per registrarsi a Google Cloud con una carta di credito utilizzando la propria identità aziendale.
Suggerimento: riduci al minimo il numero di utenti con questo ruolo per prevenire la proliferazione della spesa cloud non monitorata nella tua organizzazione.
Amministratore account di fatturazione
(roles/billing.admin)
Gestire gli account di fatturazione (ma non crearli). Un'organizzazione o un account di fatturazione. Questo è un ruolo di proprietario per un account di fatturazione. Utilizzala per gestire gli strumenti di pagamento, configurare le esportazioni della fatturazione, visualizzare le informazioni sui costi, collegare e scollegare progetti e gestire altri ruoli utente per l'account di fatturazione.
Gestore costi account di fatturazione
(roles/billing.costsManager)
Gestisci i budget e visualizza ed esporta le informazioni sui costi degli account di fatturazione (ma non le informazioni sui prezzi). Un'organizzazione o un account di fatturazione. Crea, modifica ed elimina i budget, visualizza le informazioni sui costi e le transazioni dell'account di fatturazione e gestisci l'esportazione dei dati di costo per la fatturazione in BigQuery. Non conferisce il diritto di esportare i dati dei prezzi o di visualizzare i prezzi personalizzati nella pagina Prezzi. Inoltre, non consente il collegamento o lo scollegamento di progetti o la gestione delle proprietà dell'account di fatturazione.
Visualizzatore account di fatturazione
(roles/billing.viewer)
Dispone dell'autorizzazione per visualizzare le transazioni e le informazioni sul costo degli account di fatturazione. Un'organizzazione o un account di fatturazione. L'accesso come Visualizzatore account di fatturazione viene in genere concesso ai team finanziari, fornisce accesso alle informazioni sulla spesa, ma non conferisce il diritto di collegare o scollegare progetti o di gestire le proprietà dell'account di fatturazione.
Utente account di fatturazione
(roles/billing.user)
Collega i progetti agli account di fatturazione. Un'organizzazione o un account di fatturazione. Questo ruolo ha autorizzazioni molto limitate, quindi puoi concederlo ampiamente. Se concessi in combinazione con Project Creator, i due ruoli consentono a un utente di creare nuovi progetti collegati all'account di fatturazione a cui è assegnato il ruolo Utente account di fatturazione. In alternativa, se concessi in combinazione con il ruolo di responsabile della fatturazione dei progetti, i due ruoli consentono a un utente di collegare e scollegare i progetti sull'account di fatturazione a cui è stato assegnato il ruolo Utente account di fatturazione.
Gestore della fatturazione del progetto
(roles/billing.projectManager)
Collega/scollega il progetto a/da un account di fatturazione. Organizzazione, cartella o progetto. Se concesso in combinazione con il ruolo Utente account di fatturazione, il ruolo Gestore fatturazione del progetto consente a un utente di collegare il progetto all'account di fatturazione, ma non concede alcun diritto sulle risorse. I proprietari del progetto possono utilizzare questo ruolo per consentire a un'altra persona di gestire la fatturazione per il progetto senza concedergli l'accesso alle risorse.

La tabella seguente elenca i dettagli dei ruoli IAM di fatturazione predefiniti, incluse le autorizzazioni in bundle all'interno di ogni ruolo.

Ruolo Autorizzazioni

Amministratore account di fatturazione
(roles/billing.admin)

Fornisce l'accesso necessario per visualizzare e gestire tutti gli aspetti degli account di fatturazione.

Risorse di livello più basso in cui puoi concedere questo ruolo:

  • Account di fatturazione
  • billing.accounts.close
  • billing.accounts.get
  • billing.accounts.getCarbonInformation
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getPricing
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.accounts.move
  • billing.accounts.redeemPromotion
  • billing.accounts.removeFromOrganization
  • billing.accounts.reopen
  • billing.accounts.setIamPolicy
  • billing.accounts.update
  • billing.accounts.updatePaymentInfo
  • billing.accounts.updateUsageExportSpec
  • fatturazione.budget.*
  • billing.credits.list
  • billing.resourceAssociations.*
  • billing.subscriptions.*
  • cloudnotifications.activity.list
  • proprietà_supporto.cloud
  • cloudsupport.techCases.*
  • catalogo delle offerte commerciali.*
  • consumerprocurement.accounts.*
  • consumerprocurement.consents.*
  • consumerprocurement.orderAttributions.*
  • consumerprocurement.orders.*
  • dataprocessing.datasources.get
  • dataprocessing.datasources.list
  • dataprocessing.groupcontrols.get
  • dataprocessing.groupcontrols.list
  • logging.logEntries.list
  • logging.logServiceIndexes.list
  • Logging.logServices.list
  • logging.logs.list
  • logging.privateLogEntries.list
  • motore per suggerimenti.commitmentUtilizationInsights.*
  • motore per suggerimenti.costInsights.*
  • motore per suggerimenti.spendBasedCommitmentInsights.*
  • motore per suggerimenti.spendBasedCommitmentRecommendations.*
  • motore per suggerimenti.usageCommitmentRecommendations.*
  • resourcemanager.projects.createFatturazioneAssignment
  • resourcemanager.projects.deleteFatturazioneAssignment
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Gestore costi account di fatturazione
(roles/billing.costsManager)

Gestire i budget per un account di fatturazione e visualizzare, analizzare ed esportare le informazioni sui costi di un account di fatturazione.

Risorse di livello più basso in cui puoi concedere questo ruolo:

  • Account di fatturazione
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.accounts.updateUsageExportSpec
  • fatturazione.budget.*
  • billing.resourceAssociations.list
  • motore per suggerimenti.costInsights.*

Creatore account di fatturazione
(roles/billing.creator)

Fornisce l'accesso per creare gli account di fatturazione.

Risorse di livello più basso in cui puoi concedere questo ruolo:

  • Organizzazione
  • billing.accounts.create
  • resourcemanager.organizations.get

Gestore fatturazione progetto
(roles/billing.projectManager)

Se concesso insieme al ruolo Utente account di fatturazione, consente di assegnare un account di fatturazione di progetto e di disabilitare la fatturazione.

Risorse di livello più basso in cui puoi concedere questo ruolo:

  • Progetto
  • resourcemanager.projects.createFatturazioneAssignment
  • resourcemanager.projects.deleteFatturazioneAssignment

Utente account di fatturazione
(roles/billing.user)

Quando viene concesso insieme al ruolo Proprietario del progetto o ruolo Gestore fatturazione progetto, consente di associare i progetti agli account di fatturazione.

Risorse di livello più basso in cui puoi concedere questo ruolo:

  • Account di fatturazione
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.list
  • billing.accounts.redeemPromotion
  • billing.credits.list
  • billing.resourceAssociations.create

Visualizzatore account di fatturazione
(roles/billing.viewer)

Visualizza informazioni su costi e prezzi dell'account di fatturazione, transazioni e consigli sulla fatturazione e sull'impegno.

Risorse di livello più basso in cui puoi concedere questo ruolo:

  • Account di fatturazione
  • billing.accounts.get
  • billing.accounts.getCarbonInformation
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getPricing
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.budgets.get
  • billing.budgets.list
  • billing.credits.list
  • billing.resourceAssociations.list
  • billing.subscriptions.get
  • billing.subscriptions.list
  • catalogo delle offerte commerciali.*
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list
  • consumerprocurement.consents.check
  • consumerprocurement.consents.list
  • consumerprocurement.order Attributions.get
  • consumerprocurement.list Attributions.list
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • dataprocessing.datasources.get
  • dataprocessing.datasources.list
  • dataprocessing.groupcontrols.get
  • dataprocessing.groupcontrols.list
  • motore per suggerimenti.commitmentUtilizationInsights.get
  • motore per suggerimenti.commitmentUtilizationInsights.list
  • recommender.costInsights.get
  • recommender.costInsights.list
  • motore per suggerimenti.spendBasedCommitmentInsights.get
  • motore per suggerimenti.spendshComCommentInsights.list
  • motore per suggerimenti.spendBasedCommitmentRecommendations.get
  • motore per suggerimenti.listBasedCommitmentRecommendations.list
  • motore per suggerimenti.usageCommitmentRecommendations.get
  • motore per suggerimenti.usageCommitmentRecommendations.list

Relazioni IAM tra organizzazioni, progetti, account di fatturazione Cloud e profili pagamenti

Le interazioni tra organizzazioni, gli account di fatturazione Cloud e i progetti sono gestite da due tipi di relazioni: proprietà e collegamento tra pagamenti.

  • Proprietà si riferisce all'ereditarietà IAM.
  • I collegamenti di pagamento definiscono l'account di fatturazione Cloud che paga per un determinato progetto.

Il seguente diagramma mostra il rapporto tra proprietà e collegamenti dei pagamenti per un'organizzazione di esempio.

Descrive in che modo i progetti sono correlati alla fatturazione Cloud e al tuo profilo pagamenti. Una parte mostra le risorse a livello di cloud (account di fatturazione Cloud e progetti associati), mentre l'altra, divisa da una linea tratteggiata verticale, mostra la risorsa a livello di Google (un profilo pagamenti). I progetti vengono pagati dal tuo account di fatturazione Cloud, che è collegato al tuo profilo pagamenti.

Nel diagramma, l'organizzazione ha la proprietà dei progetti 1, 2 e 3, il che significa che è l'entità principale delle autorizzazioni IAM dei tre progetti.

L'account di fatturazione Cloud è collegato ai progetti 1, 2 e 3, il che significa che paga per i costi sostenuti dai tre progetti. L'account di fatturazione Cloud può anche pagare per i progetti in altre organizzazioni, ma eredita le autorizzazioni IAM dalla relativa organizzazione principale.

L'account di fatturazione Cloud è collegato anche a un profilo pagamenti Google, che memorizza informazioni quali nome, indirizzo e metodi di pagamento.

Anche se colleghi gli account di fatturazione Cloud ai progetti, gli account di fatturazione Cloud non sono progetti principali in senso IAM e, di conseguenza, i progetti non ereditano le autorizzazioni dall'account di fatturazione Cloud a cui sono collegati.

In questo esempio, a tutti gli utenti a cui vengono assegnati i ruoli di fatturazione IAM per l'organizzazione sono assegnati anche i ruoli relativi all'account di fatturazione Cloud o ai progetti.

Esempi di controllo dell'accesso alla fatturazione Cloud

Combina i ruoli IAM riportati di seguito per soddisfare le esigenze di una serie di scenari.

Scenario: piccola e media impresa con una preferenza per il controllo centralizzato.
Tipo di utente Ruoli IAM di fatturazione Attività di fatturazione
CEO Amministratore account di fatturazione Gestione dello strumento di pagamento.
Visualizza e approva le fatture.
CTO Amministratore account di fatturazione
Creatore progetti
Impostare avvisi relativi al budget.
Visualizza spesa.
Creare nuovi progetti fatturabili.
Team di sviluppo Nessuno Nessuno
Scenario: azienda di piccole e medie dimensioni con una preferenza per l'autorità delegata.
Tipo di utente Ruoli IAM di fatturazione Attività di fatturazione
CEO Amministratore account di fatturazione Gestione dello strumento di pagamento.
Delegare l'autorità.
CFO Amministratore account di fatturazione Impostare avvisi relativi al budget.
Visualizza spesa.
Account da pagare Visualizzatore account di fatturazione Visualizzare e approvare le fatture.
Team di sviluppo Utente account di fatturazione
Creatore progetti
Creare nuovi progetti fatturabili.
Scenario: funzioni di pianificazione finanziaria e di approvvigionamento separate
Tipo di utente Ruoli IAM di fatturazione Attività di fatturazione
Approvvigionamento o IT centrale Amministratore account di fatturazione Gestione dello strumento di pagamento.
Imposta gli avvisi sul budget.
Comunica la spesa ai team di sviluppo.
Pianificazione finanziaria Visualizzatore account di fatturazione Visualizzare report di fatturazione.
Elabora esportazioni.
Comunica con il CxO.
Account da pagare Visualizzatore account di fatturazione Approvare le fatture.
Team di sviluppo Utente account di fatturazione
Creatore progetti
Creare nuovi progetti fatturabili.
Scenario: agenzia di sviluppo
Tipo di utente Ruoli IAM di fatturazione Attività di fatturazione
CEO Amministratore account di fatturazione Gestione dello strumento di pagamento.
Delegare l'autorità.
CFO Amministratore account di fatturazione Impostare avvisi relativi al budget.
Visualizza spesa.
Approva le fatture.
Capoprogetto Utente account di fatturazione
Creatore progetti
Creare nuovi progetti fatturabili.
Il team di sviluppo del progetto Nessuno Sviluppare all'interno di progetti esistenti.
Client Gestore fatturazione progetto Assumi la proprietà dei pagamenti del progetto quando è completato.

Aggiorna autorizzazioni di fatturazione Cloud

Per aggiungere o rimuovere le autorizzazioni di fatturazione Cloud:

  1. Accedi alla Google Cloud Console.

    ACCEDI A Cloud Console

  2. Apri il menu di navigazione di Cloud Console e seleziona Fatturazione.

    Se hai più di un account di fatturazione Cloud, esegui una delle seguenti operazioni:

    • Per gestire la fatturazione Cloud per il progetto corrente, seleziona Vai all'account di fatturazione collegato.
    • Per trovare un altro account di fatturazione Cloud, seleziona Gestisci account di fatturazione e poi scegli l'account che vuoi gestire.
  3. Nel menu di navigazione Fatturazione, fai clic su Gestione account.

  4. Utilizza il riquadro Autorizzazioni per modificare le autorizzazioni per l'account di fatturazione Cloud selezionato. Se il riquadro non è ancora visibile, fai clic su MOSTRA RIQUADRO INFORMAZIONI per aprirlo.

Il riquadro Autorizzazioni è organizzato in base al ruolo, insieme al numero di membri che hanno ogni ruolo. Ad esempio, nel riquadro delle autorizzazioni, potresti vedere

  • Amministratore account di fatturazione (2 entità)
  • Utente account di fatturazione (6 entità)
  • Visualizzatore account di fatturazione (10 entità)

Puoi concedere più ruoli alla stessa entità.

Per visualizzare l'elenco delle entità che hanno un ruolo, fai clic sul nome del ruolo per espandere (o comprimere) l'elenco delle entità.

Per trovare un'entità specifica e verificare quali ruoli sono concessi a tale principio, utilizza il filtro Cerca entità.

Per aggiornare le autorizzazioni di fatturazione Cloud, nel riquadro Autorizzazioni, esegui una delle seguenti operazioni:

  • Per aggiungere nuove entità e assegnare autorizzazioni:

    1. Fai clic su Aggiungi entità.
    2. Nel campo Nuove entità, inserisci uno o più indirizzi email per i principi che vuoi aggiungere. Puoi aggiungere come entità utenti, account di servizio o Google Gruppi.
    3. Seleziona un'autorizzazione per le entità da Seleziona un ruolo.
    4. (Facoltativo) Imposta eventuali condizioni per il ruolo.
    5. Se necessario, puoi aggiungere un altro ruolo per concedere ruoli aggiuntivi ai proprietari.
    6. Al termine, fai clic su Salva.
  • Per modificare le autorizzazioni di fatturazione di un'entità:

    1. Utilizza il filtro Cerca entità per individuare un ruolo o un ruolo specifico.
    2. Nell'elenco, individua l'entità che vuoi modificare.
    3. Nella riga dell'entità, fai clic su Modifica..

      Viene visualizzato il riquadro Modifica autorizzazioni, specifico dell'entità e della risorsa selezionate (Account di fatturazione Cloud) che stai visualizzando.

    4. Nel riquadro Modifica autorizzazioni, aggiungi, modifica ed elimina ruoli per l'entità e la risorsa selezionate.

    5. Al termine, fai clic su Salva.

  • Per revocare un ruolo da un'entità:

    1. Utilizza il filtro Cerca entità per individuare un ruolo o un ruolo specifico.
    2. Nell'elenco, individua l'entità di cui vuoi revocare il ruolo.
    3. Nella riga dell'entità, fai clic su Elimina..
    4. Ti verrà chiesto di confermare l'azione.

Provalo

Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Inizia gratuitamente