請求アクセス制御の概要

Google Cloud Platform(GCP)には、特定の GCP リソースへのアクセスを許可または禁止するために使用できる Cloud Identity Access Management(Cloud IAM)が用意されています。Cloud IAM は、リソースに対して Cloud IAM ポリシーを設定することで、誰(ユーザー)がどのようなアクセス権(役割)をどのリソースに対して持つのかを制御できるようにします。

Cloud Billing へのアクセスを許可または制限するには、組織レベルまたは請求アカウント レベルで Cloud IAM ポリシーを設定します。GCP リソースは親ノードの Cloud IAM ポリシーを継承します。つまり、組織レベルでポリシーを設定して、組織内のすべての子請求アカウントに適用することができます。

Cloud IAM の請求役割の概要

以下の事前定義済みの Billing Cloud IAM 役割は、アクセス制御を使用して職務を分離できるように設計されています。

役割 目的 レベル 使用方法
請求先アカウント作成者 新しいセルフサービス請求先アカウントを作成します。 組織 この役割は、初期請求設定に使用するか、別の通貨で請求先アカウントを作成するために一時的に使用します。
ユーザーが企業の ID を使用して、クレジット カードで GCP にサインアップするには、この役割を持っている必要があります。
ヒント: この役割を持つユーザーの数を最小限に抑えると、追跡されないクラウド利用が組織内で拡散しないようにするうえで助けになります。
請求先アカウント管理者


請求先アカウントを管理します(ただし、作成しません)。 組織または請求先アカウント。 この役割は、請求先アカウントのオーナー役割です。この役割は、支払い方法の管理、請求のエクスポートの設定、費用情報の表示、プロジェクトのリンクとリンク解除、請求先アカウントの他のユーザー役割の管理に使用します。
請求先アカウント ユーザー プロジェクトを請求先アカウントにリンクします。 組織または請求先アカウント。 この役割の権限は大きく制限されているため、一般的にはプロジェクト作成者と組み合わせるなど、さまざまなユーザーに持たせることができます。これらの 2 つの役割により、役割が付与されている請求先アカウントにリンクされた新規プロジェクトを作成することができます。
請求先アカウント閲覧者 請求先アカウントの費用情報とトランザクションを表示します。 組織または請求先アカウント。 請求先アカウント ビューアへのアクセス権は、通常、財務チームに付与されます。これにより、利用額情報を利用するためのアクセス権は与えられますが、プロジェクトのリンクやリンク解除、またはアカウントのプロパティの管理権限は付与されません。
プロジェクト支払い管理者

プロジェクトを請求先アカウントにリンクまたはリンク解除します。 組織またはプロジェクト。 この役割を使用すると、ユーザーはプロジェクトを請求先アカウントにリンクすることができますが、リソースに対する権限は与えられません。プロジェクト オーナーはこのロールを使用して、任意のユーザーに、リソースへのアクセス権を付与することなく、プロジェクトの請求を管理する権限を与えることができます。

組織、プロジェクト、請求先アカウント間の関係

請求先アカウント、組織、プロジェクト間の相互作用は、所有権と支払いリンクという 2 つのタイプの関係によって管理されます。

  • 所有権とは、Cloud IAM 権限の継承を指します。
  • 支払いリンクは、特定のプロジェクトの支払いを行う請求先アカウントを定義します。

次の図は、ある組織の所有権と支払いリンクの関係を示しています。

Google Cloud Platform 請求アクセス制御

この図では、組織はプロジェクト A、B、C の所有権を持ちます。つまり、3 つのプロジェクトの Cloud IAM 権限についての親になります。

請求先アカウントは、プロジェクト A、B、C にリンクされています。これは、3 つのプロジェクトから発生した料金を支払うことを意味します。

この例では、組織の Cloud IAM 請求役割が付与されているユーザーには、請求先アカウントまたはプロジェクトの請求役割も割り当てられます。

請求アクセス制御の例

Cloud IAM の役割を以下のように組み合わせると、さまざまなシナリオのニーズを満たすことができます。

シナリオ: 集中管理を好む中小企業(SME)。

ユーザーの種類 Billing Cloud IAM の役割 請求処理
CEO 請求先アカウント管理者 支払い方法を管理する。
請求書を表示および承認する。
CTO(最高技術責任者) 請求先アカウント管理者
プロジェクト作成者
予算を設定および追跡する。
利用額を表示する。
新しい請求可能なプロジェクトを作成する。
開発チーム なし なし

シナリオ: 権限を委任することを好む SME。

ユーザーの種類 Billing Cloud IAM の役割 請求処理
CEO 請求先アカウント管理者 支払い方法を管理する。
権限を委任する。
CFO 請求先アカウント管理者 予算を設定および追跡する。
利用額を表示する。
買掛金部門 請求先アカウント閲覧者 請求書を表示および承認する。
開発チーム 請求先アカウント ユーザー
プロジェクト作成者
新しい請求可能なプロジェクトを作成する。

シナリオ: 財務計画と調達機能の分離

ユーザーの種類 Billing Cloud IAM の役割 請求処理
調達または中央 IT 請求先アカウント管理者 支払い方法を管理する。
予算を設定および追跡する。
開発チームに利用額を通知する。
財務計画 請求先アカウント閲覧者 請求レポートを表示する。
エクスポートを処理する。
CxO と連絡を取る。
買掛金部門 請求先アカウント閲覧者 請求書を承認する。
開発チーム 請求先アカウント ユーザー
プロジェクト作成者
新しい請求可能なプロジェクトを作成する。

シナリオ: 開発部門

ユーザーの種類 Billing Cloud IAM の役割 請求処理
CEO 請求先アカウント管理者 支払い方法を管理する。
権限を委任する。
CFO 請求先アカウント管理者 予算を設定および追跡する。
利用額を表示する。
請求書を承認する。
プロジェクト リーダー 請求先アカウント ユーザー
プロジェクト作成者
新しい請求可能なプロジェクトを作成する。
プロジェクト開発チーム なし 既存のプロジェクト内で開発する。
クライアント プロジェクト支払い管理者 プロジェクト完了時に、プロジェクトの支払い所有権を取得する。