Cloud Billing 액세스 제어 개요

Cloud Billing을 사용하면 리소스에 ID 및 액세스 관리 (IAM) 정책을 설정하여 지정된 리소스에 대한 관리 및 비용 보기 권한을 갖는 사용자를 제어할 수 있습니다.

Cloud Billing에 대해 액세스 권한을 부여하거나 제한하려면 조직 수준, Cloud Billing 계정 수준, 프로젝트 수준에서 IAM 정책을 설정할 수 있습니다. Google Cloud 리소스는 상위 노드의 IAM 정책을 상속받습니다. 즉, 조직 수준에서 정책을 설정하면 조직 내 모든 Cloud Billing 계정, 프로젝트, 리소스에 정책을 적용할 수 있습니다.

Cloud Billing 계정 또는 프로젝트 수준에서 액세스 권한을 설정하면 여러 사용자 또는 역할의 보기 권한을 다양한 수준에서 제어할 수 있습니다. Cloud Billing 계정에서 모든 프로젝트의 비용을 볼 수 있는 권한을 사용자에게 부여하려면 Cloud Billing 계정의 비용을 볼 수 있는 권한(billing.accounts.getSpendingInformation)을 사용자에게 부여합니다. 특정 프로젝트의 비용을 볼 수 있는 권한을 사용자에게 부여하려면 개별 프로젝트에 대한 보기 권한(billing.resourceCosts.get)을 사용자에게 부여합니다.

IAM에서 Cloud Billing 역할 개요

사용자에게 권한을 직접 부여하는 대신 하나 이상의 권한이 번들로 포함된 역할을 부여합니다.

동일한 리소스에 하나 이상의 역할을 부여할 수 있습니다.

다음과 같은 사전 정의된 Cloud Billing IAM 역할은 액세스 제어를 사용하여 업무 분리를 시행할 수 있도록 설계되었습니다.

역할 목적 수준 사용 사례
결제 계정 생성자
(roles/billing.creator)
새로운 셀프 서비스(온라인) 결제 계정을 만듭니다. 조직 이 역할은 초기 결제 설정을 지정하거나 추가 결제 계정을 만들 때 사용됩니다.
이 역할이 있는 사용자만 회사 ID를 사용하여 신용카드로 Google Cloud에 가입할 수 있습니다.
: 조직 내에서 추적할 수 없는 클라우드 지출 확산을 방지할 수 있도록 이 역할이 있는 사용자 수를 최소화하세요.
결제 계정 관리자
(roles/billing.admin)
결제 계정을 관리합니다(만들기 제외). 조직 또는 결제 계정 이 역할은 결제 계정의 소유자 역할입니다. 이 역할을 사용하여 결제 수단을 관리하고, 결제 내보내기를 구성하고, 비용 정보를 확인하고, 프로젝트를 연결 및 연결 해제하고, 결제 계좌에 대한 다른 사용자 역할을 관리합니다.
결제 계정 사용자
(roles/billing.user)
프로젝트를 결제 계정에 연결합니다. 조직 또는 결제 계정 이 역할은 매우 제한적인 권한을 가지므로, 일반적으로 프로젝트 생성자와 함께 광범위하게 부여할 수 있습니다. 이러한 두 가지 역할을 사용하면 사용자는 역할이 부여된 결제 계정에 연결된 새 프로젝트를 만들 수 있습니다.
결제 계정 뷰어
(roles/billing.viewer)
결제 계정 비용 정보와 거래를 확인합니다. 조직 또는 결제 계정 결제 계정 뷰어 액세스 권한은 일반적으로 재무팀에 부여되며 지출 정보에 대한 액세스 권한을 제공합니다. 하지만 프로젝트를 연결 또는 연결 해제하거나 결제 계정의 속성을 관리할 수 있는 권한을 부여하지 않습니다.
프로젝트 결제 관리자
(roles/billing.projectManager)
결제 계정에 대해 프로젝트를 연결/연결 해제합니다. 조직, 폴더 또는 프로젝트 이 역할은 사용자가 결제 계정에 프로젝트를 연결할 수 있도록 허용하지만 리소스에 대한 권한을 부여하지 않습니다. 프로젝트 소유자는 이 역할을 사용하여 리소스 액세스 권한을 부여하지 않고도 다른 사람이 프로젝트 결제를 관리하도록 허용할 수 있습니다.

다음 표에는 각 역할에 포함된 권한을 비롯하여 사전 정의된 IAM 결제 역할의 세부정보가 나와 있습니다.

역할 이름 설명 권한 최하위 리소스
roles/billing.admin 결제 계정 관리자 결제 계정의 모든 요소를 보고 관리하기 위한 액세스 권한을 제공합니다.
  • billing.accounts.close
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.accounts.move
  • billing.accounts.redeemPromotion
  • billing.accounts.removeFromOrganization
  • billing.accounts.reopen
  • billing.accounts.setIamPolicy
  • billing.accounts.update
  • billing.accounts.updatePaymentInfo
  • billing.accounts.updateUsageExportSpec
  • billing.budgets.*
  • billing.credits.*
  • billing.resourceAssociations.*
  • billing.subscriptions.*
  • cloudnotifications.*
  • consumerprocurement.accounts.*
  • consumerprocurement.orders.*
  • dataprocessing.groupcontrols.list
  • logging.logEntries.list
  • logging.logServiceIndexes.*
  • logging.logServices.*
  • logging.logs.list
  • logging.privateLogEntries.*
  • recommender.commitmentUtilizationInsights.*
  • recommender.usageCommitmentRecommendations.*
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment
결제 계정
roles/billing.creator 결제 계정 생성자 결제 계정 생성을 위한 액세스 권한을 제공합니다.
  • billing.accounts.create
  • resourcemanager.organizations.get
조직
roles/billing.projectManager 프로젝트 결제 관리자 프로젝트의 결제 계정을 할당하거나 프로젝트 결제를 중지할 수 있는 액세스 권한을 제공합니다.
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment
프로젝트
roles/billing.user 결제 계정 사용자 프로젝트를 결제 계정과 연결하기 위한 액세스 권한을 제공합니다.
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.list
  • billing.accounts.redeemPromotion
  • billing.credits.*
  • billing.resourceAssociations.create
결제 계정
roles/billing.viewer 결제 계정 뷰어 결제 계정 비용 정보 및 거래를 봅니다.
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.budgets.get
  • billing.budgets.list
  • billing.credits.*
  • billing.resourceAssociations.list
  • billing.subscriptions.get
  • billing.subscriptions.list
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • dataprocessing.groupcontrols.list
  • recommender.commitmentUtilizationInsights.get
  • recommender.commitmentUtilizationInsights.list
  • recommender.usageCommitmentRecommendations.get
  • recommender.usageCommitmentRecommendations.list
결제 계정

조직, 프로젝트, Cloud Billing 계정, 결제 프로필 간의 관계

조직, Cloud Billing 계정, 프로젝트 간의 상호작용을 제어하는 관계 유형에는 소유권과 결제 연결 등 두 가지가 있습니다.

  • 소유권은 IAM 권한 상속을 나타냅니다.
  • 결제 연결은 특정 프로젝트 비용을 지불하는 Cloud Billing 계정을 정의합니다.

다음 다이어그램은 샘플 조직의 소유권 및 결제 연결 관계를 보여줍니다.

프로젝트가 Cloud Billing 및 결제 프로필과 어떤 연결 관계가 있는지 설명합니다. 한쪽 면은 Cloud 수준 리소스(Cloud Billing 계정과 관련 프로젝트)를 보여주고 세로 점선으로 구분된 다른 쪽 면은 Google 수준 리소스(결제 프로필)를 보여줍니다. 프로젝트는 사용자의 결제 프로필에 연결된 Cloud Billing 계정에 따라 비용이 지급됩니다.

이 다이어그램에서 조직은 프로젝트 1, 2, 3에 대한 소유권을 가지고 있으며 이것이 3개 프로젝트의 IAM 권한 상위 항목입니다.

Cloud Billing 계정이 프로젝트 1, 2, 3에 연결되어 있고 프로젝트 3개에서 발생하는 비용을 지불합니다.

Cloud Billing 계정은 이름, 주소, 결제 수단과 같은 정보가 저장된 Google 결제 프로필에도 연결됩니다.

이 예시에서 조직에 대한 IAM 결제 역할을 부여받은 모든 사용자는 Cloud Billing 계정 또는 프로젝트에 대해서도 이 역할을 부여받습니다.

Cloud Billing 액세스 제어 예시

다양한 시나리오 니즈에 맞게 IAM 역할을 다음과 같이 조합합니다.

시나리오: 중앙 제어를 선호하는 중소기업
사용자 유형 결제 IAM 역할 결제 활동
CEO 결제 계정 관리자 결제 수단을 관리합니다.
인보이스를 확인 및 승인합니다.
CTO 결제 계정 관리자
프로젝트 생성자
예산 알림을 설정합니다.
지출을 확인합니다.
새 결제 가능 프로젝트를 만듭니다.
개발팀 없음 없음
시나리오: 권한 위임을 선호하는 중소기업
사용자 유형 결제 IAM 역할 결제 활동
CEO 결제 계정 관리자 결제 수단을 관리합니다.
권한을 위임합니다.
CFO 결제 계정 관리자 예산 알림을 설정합니다.
지출을 확인합니다.
지급 계정 결제 계정 뷰어 인보이스를 확인 및 승인합니다.
개발팀 결제 계정 사용자
프로젝트 생성자
새 결제 가능 프로젝트를 만듭니다.
시나리오: 개별 재무 계획 및 조달 기능
사용자 유형 결제 IAM 역할 결제 활동
조달 또는 중앙 IT 결제 계정 관리자 결제 수단을 관리합니다.
예산 알림을 설정합니다.
지출 내역을 개발팀에 전달합니다.
재무 계획 결제 계정 뷰어 결제 보고서를 봅니다.
내보내기를 처리합니다.
CxO와 통신합니다.
지급 계정 결제 계정 뷰어 인보이스를 승인합니다.
개발팀 결제 계정 사용자
프로젝트 생성자
새 결제 가능 프로젝트를 만듭니다.
시나리오: 개발 대행사
사용자 유형 결제 IAM 역할 결제 활동
CEO 결제 계정 관리자 결제 수단을 관리합니다.
권한을 위임합니다.
CFO 결제 계정 관리자 예산 알림을 설정합니다.
지출을 확인합니다.
인보이스를 승인합니다.
프로젝트 책임자 결제 계정 사용자
프로젝트 생성자
새 결제 가능 프로젝트를 만듭니다.
프로젝트 개발팀 없음 기존 프로젝트 내에서 개발합니다.
클라이언트 프로젝트 결제 관리자 완료되면 프로젝트의 결제 소유권을 갖습니다.

Cloud Billing 권한 업데이트

Cloud Billing 권한을 추가하거나 삭제하려면 다음 안내를 따르세요.

  1. Google Cloud Console에 로그인합니다.

    Cloud Console에 로그인

  2. Cloud Console을 열고 탐색 메뉴 를 선택한 다음 결제를 선택합니다.

    Cloud Billing 계정이 두 개 이상 있으면 다음 중 하나를 수행합니다.

    • 현재 프로젝트의 Cloud Billing을 관리하려면 연결된 결제 계정으로 이동을 선택합니다.
    • 다른 Cloud Billing 계정을 찾으려면 결제 계정 관리를 선택한 후 관리하려는 계정을 선택합니다.
  3. 결제 탐색 메뉴에서 계정 관리를 클릭합니다.

  4. 권한 패널을 사용하여 선택한 Cloud Billing 계정의 권한을 수정합니다. 패널이 표시되지 않으면 정보 패널 표시를 클릭하여 엽니다.

권한 패널은 역할별로 정리되어 있으며 각 역할에 구성원이 나열되어 있습니다. 예를 들어 권한 패널에 다음이 표시될 수 있습니다.

  • 결제 계정 관리자(구성원 2명)
  • 결제 계정 사용자(구성원 6명)
  • 결제 계정 뷰어(구성원 10명)

동일한 구성원을 둘 이상의 역할에 할당할 수 있습니다.

해당 역할의 구성원 목록을 조회하려면 역할 이름을 클릭하여 해당 역할에 할당된 구성원 목록을 펼치거나 접으세요.

특정 구성원을 검색하고 해당 구성원에 할당된 역할을 보려면 구성원 검색 필터를 사용하세요.

권한 패널에서 Cloud Billing 권한을 업데이트하려면 다음 중 하나를 수행합니다.

  • 새 구성원을 추가하고 권한을 할당하려면 다음 안내를 따르세요.

    1. 구성원 추가를 클릭합니다.
    2. 새 구성원 필드에서 추가하려는 구성원의 이메일 주소를 하나 이상 입력합니다. 개인, 서비스 계정 또는 Google 그룹스를 구성원으로 추가할 수 있습니다.
    3. 역할 선택에서 구성원의 권한을 선택합니다.
    4. 역할에 조건을 설정합니다(선택사항).
    5. 필요한 경우 다른 역할을 추가하여 구성원의 추가 권한을 할당할 수 있습니다.
    6. 완료되면 저장을 클릭합니다.
  • 구성원의 결제 권한을 편집하려면 다음 안내를 따르세요.

    1. 구성원 검색 필터를 사용하여 특정 구성원 또는 역할을 찾습니다.
    2. 목록에서 수정하려는 구성원을 찾습니다.
    3. 구성원의 행에서 수정 을 클릭합니다.

      선택한 구성원 및 현재 보고 있는 리소스(Cloud Billing 계정)와 관련된 권한 수정 패널이 열립니다.

    4. 권한 수정 패널에서 선택한 구성원과 리소스의 역할을 추가, 편집, 삭제합니다.

    5. 완료되면 저장을 클릭합니다.

  • 역할의 구성원 목록에서 구성원을 삭제하려면 다음 안내를 따르세요.

    1. 구성원 검색 필터를 사용하여 특정 구성원 또는 역할을 찾습니다.
    2. 역할에서 삭제할 구성원을 목록에서 찾습니다.
    3. 구성원의 행에서 삭제 를 클릭합니다.
    4. 작업을 확인하라는 메시지가 표시됩니다.