請求アクセス制御の概要

Cloud Billing では、リソースに対して Cloud Identity and Access Management(Cloud IAM)ポリシーを設定することにより、指定されたリソースに対する管理権限と費用の表示権限を持つユーザーを制御できます。

Cloud Billing へのアクセスを許可または制限するには、組織レベル、請求先アカウント レベル、プロジェクト レベルで Cloud IAM ポリシーを設定します。GCP リソースは親ノードの Cloud IAM ポリシーを継承します。つまり、組織レベルでポリシーを設定して、組織内のすべての請求先アカウント、プロジェクト、リソースに適用できます。

請求先アカウント レベルまたはプロジェクト レベルでアクセス権を設定することにより、ユーザーまたは役割ごとに異なるレベルで表示権限を制御できます。請求先アカウントのすべてのプロジェクトの費用を表示する権限をユーザーに付与するには、請求先アカウントの費用を表示する権限(billing.accounts.getSpendingInformation)をユーザーに付与します。特定のプロジェクトの費用を表示する権限をユーザーに付与するには、個々のプロジェクトの表示権限(billing.resourceCosts.get)をユーザーに付与します。

Cloud IAM の請求役割の概要

以下の事前定義済みの Billing Cloud IAM 役割は、アクセス制御を使用して職務を分離できるように設計されています。

役割 目的 レベル 使用方法
請求先アカウント作成者 新しいセルフサービス請求先アカウントを作成します。 組織 この役割は、初期請求設定に使用するか、別の通貨で請求先アカウントを作成するために一時的に使用します。
ユーザーが企業の ID を使用して、クレジット カードで GCP にサインアップするには、この役割を持っている必要があります。
ヒント: この役割を持つユーザーの数を最小限に抑えると、追跡されないクラウド利用が組織内で拡散しないようにするうえで助けになります。
請求先アカウント管理者


請求先アカウントを管理します(ただし、作成しません)。 組織または請求先アカウント。 この役割は、請求先アカウントのオーナー役割です。この役割は、支払い方法の管理、請求のエクスポートの構成、費用情報の表示、プロジェクトのリンクとリンク解除、請求先アカウントの他のユーザー役割の管理に使用します。
請求先アカウント ユーザー プロジェクトを請求先アカウントにリンクします。 組織または請求先アカウント。 この役割の権限は大きく制限されているため、一般的にはプロジェクト作成者と組み合わせるなど、さまざまなユーザーに持たせることができます。これらの 2 つの役割により、役割が付与されている請求先アカウントにリンクされた新規プロジェクトを作成できます。
請求先アカウント閲覧者 請求先アカウントの費用情報とトランザクションを表示します。 組織または請求先アカウント。 請求先アカウント ビューアへのアクセス権は、通常、財務チームに付与されます。これにより、利用額情報を利用するためのアクセス権は与えられますが、プロジェクトのリンクやリンク解除、またはアカウントのプロパティの管理権限は付与されません。
プロジェクト支払い管理者

プロジェクトを請求先アカウントにリンクまたはリンク解除します。 組織またはプロジェクト。 この役割を使用すると、ユーザーはプロジェクトを請求先アカウントにリンクできますが、リソースに対する権限は与えられません。プロジェクト オーナーはこのロールを使用して、任意のユーザーに、リソースへのアクセス権を付与することなく、プロジェクトの請求を管理する権限を与えることができます。

組織、プロジェクト、請求先アカウント間の関係

請求先アカウント、組織、プロジェクト間の相互作用は、所有権と支払いリンクという 2 つのタイプの関係によって管理されます。

  • 所有権とは、Cloud IAM 権限の継承を指します。
  • 支払いリンクは、特定のプロジェクトの支払いを行う請求先アカウントを定義します。

次の図は、ある組織の所有権と支払いリンクの関係を示しています。

所有権と支払いリンクの関係

この図では、組織はプロジェクト A、B、C の所有権を持ちます。つまり、3 つのプロジェクトの Cloud IAM 権限についての親になります。

請求先アカウントは、プロジェクト A、B、C にリンクされています。これは、3 つのプロジェクトから発生した料金を支払うことを意味します。

この例では、組織の Cloud IAM 請求役割が付与されているユーザーには、請求先アカウントまたはプロジェクトの請求役割も割り当てられます。

請求アクセス制御の例

Cloud IAM の役割を以下のように組み合わせると、さまざまなシナリオのニーズを満たすことができます。

シナリオ: 集中管理を好む中小企業。
ユーザーの種類 Billing Cloud IAM の役割 請求処理
CEO 請求先アカウント管理者 支払い方法を管理する。
請求書を表示および承認する。
CTO(最高技術責任者) 請求先アカウント管理者
プロジェクト作成者
予算アラートを設定する。
利用額を表示する。
新しい請求可能なプロジェクトを作成する。
開発チーム なし なし
シナリオ:委任された権限を優先する中小企業。
ユーザーの種類 Billing Cloud IAM の役割 請求処理
CEO 請求先アカウント管理者 支払い方法を管理する。
権限を委任する。
CFO 請求先アカウント管理者 予算アラートを設定する。
利用額を表示する。
買掛金部門 請求先アカウント閲覧者 請求書を表示および承認する。
開発チーム 請求先アカウント ユーザー
プロジェクト作成者
新しい請求可能なプロジェクトを作成する。
シナリオ: 財務計画と調達機能の分離
ユーザーの種類 Billing Cloud IAM の役割 請求処理
調達または中央 IT 請求先アカウント管理者 支払い方法を管理する。
予算アラートを設定する。
開発チームに利用額を通知する。
財務計画 請求先アカウント閲覧者 請求レポートを表示する。
エクスポートを処理する。
CxO と連絡を取る。
買掛金部門 請求先アカウント閲覧者 請求書を承認する。
開発チーム 請求先アカウント ユーザー
プロジェクト作成者
新しい請求可能なプロジェクトを作成する。
シナリオ: 開発部門
ユーザーの種類 Billing Cloud IAM の役割 請求処理
CEO 請求先アカウント管理者 支払い方法を管理する。
権限を委任する。
CFO 請求先アカウント管理者 予算アラートを設定する。
利用額を表示する。
請求書を承認する。
プロジェクト リーダー 請求先アカウント ユーザー
プロジェクト作成者
新しい請求可能なプロジェクトを作成する。
プロジェクト開発チーム なし 既存のプロジェクト内で開発する。
クライアント プロジェクト支払い管理者 プロジェクト完了時に、プロジェクトの支払い所有権を取得する。

課金権限の更新

課金権限を追加または削除するには:

  1. Google Cloud Platform Console に移動します。
  2. Console の左側のメニューを開き、[お支払い] をクリックします。
  3. 請求先アカウントが複数ある場合は、現行プロジェクトの課金権限を管理するための [リンクされた請求先アカウントに移動] を選択します。別の請求先アカウントを見るには、[請求先アカウントを管理] を選択します。
  4. 右側の [権限] パネルを使用して、選択した請求先アカウントの権限を編集します(パネルがまだ開いていない場合は、[情報パネルを表示] をクリックしてパネルを開きます)。そして、次のいずれかを行います。
    • 権限を割り当てるには、[メンバーの追加] で権限を割り当てるユーザーのメールアドレスを入力し、[役割を選択] から権限を選択します。[追加] をクリックします。
    • メンバーの課金権限を削除するには、対応する権限のリストをクリックして展開し、削除するメンバーにカーソルを合わせ、右側のごみ箱アイコンをクリックします。
このページは役立ちましたか?評価をお願いいたします。