請求アクセス制御の概要

Cloud Billing では、リソースに対して Cloud Identity and Access Management(Cloud IAM)ポリシーを設定することにより、指定されたリソースに対する管理権限と費用の表示権限を持つユーザーを制御できます。

Cloud Billing へのアクセスを許可または制限するには、組織レベル、請求先アカウント レベル、プロジェクト レベルで Cloud IAM ポリシーを設定します。GCP リソースは親ノードの Cloud IAM ポリシーを継承します。つまり、組織レベルでポリシーを設定して、組織内のすべての請求先アカウント、プロジェクト、リソースに適用できます。

請求先アカウント レベルまたはプロジェクト レベルでアクセス権を設定することにより、ユーザーまたは役割ごとに異なるレベルで表示権限を制御できます。請求先アカウントのすべてのプロジェクトの費用を表示する権限をユーザーに付与するには、請求先アカウントの費用を表示する権限(billing.accounts.getSpendingInformation)をユーザーに付与します。特定のプロジェクトの費用を表示する権限をユーザーに付与するには、個々のプロジェクトの表示権限(billing.resourceCosts.get)をユーザーに付与します。

Cloud IAM の請求役割の概要

以下の事前定義済みの Billing Cloud IAM 役割は、アクセス制御を使用して職務を分離できるように設計されています。

役割 目的 レベル 使用方法
請求先アカウント作成者 新しいセルフサービス請求先アカウントを作成します。 組織 この役割は、初期請求設定に使用するか、別の通貨で請求先アカウントを作成するために一時的に使用します。
ユーザーが企業の ID を使用して、クレジット カードで GCP にサインアップするには、この役割を持っている必要があります。
ヒント: この役割を持つユーザーの数を最小限に抑えると、追跡されないクラウド利用が組織内で拡散しないようにするうえで助けになります。
請求先アカウント管理者


請求先アカウントを管理します(ただし、作成しません)。 組織または請求先アカウント。 この役割は、請求先アカウントのオーナー役割です。この役割は、支払い方法の管理、請求のエクスポートの構成、費用情報の表示、プロジェクトのリンクとリンク解除、請求先アカウントの他のユーザー役割の管理に使用します。
請求先アカウント ユーザー プロジェクトを請求先アカウントにリンクします。 組織または請求先アカウント。 この役割の権限は大きく制限されているため、一般的にはプロジェクト作成者と組み合わせるなど、さまざまなユーザーに持たせることができます。これらの 2 つの役割により、役割が付与されている請求先アカウントにリンクされた新規プロジェクトを作成できます。
請求先アカウント閲覧者 請求先アカウントの費用情報とトランザクションを表示します。 組織または請求先アカウント。 請求先アカウント ビューアへのアクセス権は、通常、財務チームに付与されます。これにより、利用額情報を利用するためのアクセス権は与えられますが、プロジェクトのリンクやリンク解除、またはアカウントのプロパティの管理権限は付与されません。
プロジェクト支払い管理者

プロジェクトを請求先アカウントにリンクまたはリンク解除します。 組織またはプロジェクト。 この役割を使用すると、ユーザーはプロジェクトを請求先アカウントにリンクできますが、リソースに対する権限は与えられません。プロジェクト オーナーはこのロールを使用して、任意のユーザーに、リソースへのアクセス権を付与することなく、プロジェクトの請求を管理する権限を与えることができます。

組織、プロジェクト、請求先アカウント、お支払いプロファイルの関係

組織、請求先アカウント、プロジェクト間の相互作用は、所有権と支払いリンクという 2 つのタイプの関係によって管理されます。

  • 所有権とは、Cloud IAM 権限の継承を指します。
  • 支払いリンクは、特定のプロジェクトの支払いを行う請求先アカウントを定義します。

次の図は、ある組織の所有権と支払いリンクの関係を示しています。

所有権と支払いリンクの関係

この図では、組織はプロジェクト 1、2、3 の所有権を持ちます。つまり、この組織は 3 つのプロジェクトの Cloud IAM 権限の親となっています。

請求先アカウントは、プロジェクト 1、2、3 にリンクされています。これは、この請求先アカウントが 3 つのプロジェクトで発生した料金を支払うことを意味します。

請求先アカウントには Google お支払いプロファイルもリンクされています。このプロファイルには、氏名、住所、お支払い方法などの情報が記録されています。

この例では、組織の Cloud IAM 請求役割が付与されているユーザーには、請求先アカウントまたはプロジェクトの請求役割も割り当てられます。

請求アクセス制御の例

Cloud IAM の役割を以下のように組み合わせると、さまざまなシナリオのニーズを満たすことができます。

シナリオ: 集中管理を好む中小企業。
ユーザーの種類 Billing Cloud IAM の役割 請求処理
CEO 請求先アカウント管理者 支払い方法を管理する。
請求書を表示および承認する。
CTO(最高技術責任者) 請求先アカウント管理者
プロジェクト作成者
予算アラートを設定する。
利用額を表示する。
新しい請求可能なプロジェクトを作成する。
開発チーム なし なし
シナリオ:委任された権限を優先する中小企業。
ユーザーの種類 Billing Cloud IAM の役割 請求処理
CEO 請求先アカウント管理者 支払い方法を管理する。
権限を委任する。
CFO 請求先アカウント管理者 予算アラートを設定する。
利用額を表示する。
買掛金部門 請求先アカウント閲覧者 請求書を表示および承認する。
開発チーム 請求先アカウント ユーザー
プロジェクト作成者
新しい請求可能なプロジェクトを作成する。
シナリオ: 財務計画と調達機能の分離
ユーザーの種類 Billing Cloud IAM の役割 請求処理
調達または中央 IT 請求先アカウント管理者 支払い方法を管理する。
予算アラートを設定する。
開発チームに利用額を通知する。
財務計画 請求先アカウント閲覧者 請求レポートを表示する。
エクスポートを処理する。
CxO と連絡を取る。
買掛金部門 請求先アカウント閲覧者 請求書を承認する。
開発チーム 請求先アカウント ユーザー
プロジェクト作成者
新しい請求可能なプロジェクトを作成する。
シナリオ: 開発部門
ユーザーの種類 Billing Cloud IAM の役割 請求処理
CEO 請求先アカウント管理者 支払い方法を管理する。
権限を委任する。
CFO 請求先アカウント管理者 予算アラートを設定する。
利用額を表示する。
請求書を承認する。
プロジェクト リーダー 請求先アカウント ユーザー
プロジェクト作成者
新しい請求可能なプロジェクトを作成する。
プロジェクト開発チーム なし 既存のプロジェクト内で開発する。
クライアント プロジェクト支払い管理者 プロジェクト完了時に、プロジェクトの支払い所有権を取得する。

課金権限の更新

課金権限を追加または削除するには:

  1. Google Cloud Platform Console にログインします。
  2. Console のナビゲーション メニュー(menu)を開き、[お支払い] を選択します。
  3. 請求先アカウントが複数ある場合は、現行プロジェクトの請求を管理するために、[リンクされた請求先アカウントに移動] を選択します。別の請求先アカウントを見るには、[請求先アカウントを管理] を選択します。
  4. ナビゲーション メニューの [お支払い] から、[アカウント管理] をクリックします。
  5. アカウント管理ページの右側にある [権限] パネルで、選択した請求先アカウントの権限を編集します。[情報パネル] が表示されていない場合は、[情報パネルを表示] をクリックします(リンクはページの右上隅にあります)。

[権限] パネルは役割ごとに整理され、役割ごとにメンバーが表示されます。たとえば、権限パネルに次のように表示される場合があります。

  • 請求先アカウント管理者(2 人)
  • 請求先アカウント ユーザー(6 人)
  • 請求先アカウント閲覧者数(10 人)

同じメンバーを複数の役割に割り当てることができます。

対応する役割のメンバーのリストを表示するには、役割名をクリックして、その役割に割り当てられているメンバーのリストを展開します(または折りたたみます。

特定のメンバーを見つけて、そのメンバーに割り当てられている役割を確認するには、メンバーの検索フィルタを使用します。

課金権限を更新するには、権限パネルで次のいずれかを行います。

  • 新しいメンバーを追加して権限を割り当てるには:

    1. [メンバーを追加] をクリックします。
    2. [新しいメンバー] フィールドに、追加するメンバーの 1 つ以上のメールアドレスを入力します。個人、サービス アカウント、Google グループをメンバーとして追加できます。
    3. [役割を選択] からメンバーの権限を選択します。
    4. 役割に条件を設定します(省略可)。
    5. 必要に応じて、別の役割を追加して、メンバーに追加の権限を割り当てます。
    6. 完了したら、[保存] をクリックします。
  • メンバーの課金権限を編集するには:

    1. メンバーの検索フィルタを使用して、特定のメンバーまたは役割を検索します。
    2. リストで、編集するメンバーを探します。
    3. メンバーの行で、右側の編集アイコン(edit)をクリックします。

      選択したメンバーまたはリソース(請求先アカウント)に固有の [権限の編集] パネルが表示されます。

    4. [権限の編集] パネルで、選択したメンバーとリソースの役割を追加、編集、削除します。

    5. 完了したら、[保存] をクリックします。

  • メンバーの役割リストからメンバーを削除するには:

    1. メンバーの検索フィルタを使用して、特定のメンバーまたは役割を検索します。
    2. リストで、役割から削除するメンバーを探します。
    3. メンバーの行で、右側の削除アイコン(delete)をクリックします。
    4. 操作を確認するメッセージが表示されます。

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Cloud Billing のドキュメント
ご不明な点がありましたら、Google のサポートページをご覧ください。