Neste tópico, descrevemos os papéis e as permissões de acesso das contas do Cloud Billing.
Uma Conta do Cloud Billing, configurada no Google Cloud, é usada para definir quem paga por um determinado conjunto de recursos do Google Cloud e de APIs da Plataforma Google Maps. Uma conta do Cloud Billing é vinculada a um perfil para pagamentos do Google. O perfil para pagamentos do Google inclui um instrumento de pagamento, do qual são cobrados os custos.
As permissões de acesso para o Cloud Billing e o Google Payments são configuradas em dois sistemas diferentes, dependendo do tipo de acesso que você quer fornecer.
- O Cloud Billing permite controlar quais usuários têm permissões de leitura sobre a administração e os custos de recursos específicos ao definir as políticas do Identity and Access Management (IAM) nos recursos.
- No Google Payments, é possível adicionar usuários a qualquer perfil de empresa do Google Payments que você gerencia e conceder diferentes níveis de acesso a esses usuários, dependendo do que precisa ser feito. Também é possível configurar as preferências de e-mail do usuário para receber e-mails de faturamento e pagamentos.
| Permissões do Cloud Billing | Configurações e permissões do perfil para pagamentos |
|---|---|
As permissões de acesso a uma conta do Cloud Billing são gerenciadas
usando
papéis do IAM. As permissões da conta de faturamento podem ser
configuradas para permitir que os usuários façam o seguinte:
|
As permissões de acesso a umperfil do Google Payments são gerenciadas nas
configurações do Google Payments. As permissões de pagamento podem ser
configuradas para permitir que os usuários façam o seguinte:
Se você quiser gerenciar tarefas relacionadas a pagamentos na página "Faturamento" do Console do Google Cloud, os usuários também precisarão do papel de Leitor da conta de faturamento na conta do Cloud Billing. |
Acessar o Cloud Billing
Para conceder ou limitar o acesso ao Cloud Billing é possível definir uma política do IAM no nível da organização, da conta de faturamento do Cloud e/ou do projeto. Os recursos do Google Cloud herdam as políticas de IAM do nó pai. Isso significa que é possível definir uma política no nível da organização para aplicá-la a todas as contas e projetos do Cloud Billing. e recursos na organização.
É possível controlar as permissões de visualização em níveis diferentes para usuários ou papéis diversos, definindo permissões de acesso no nível do projeto ou da conta de faturamento do Cloud.
Para conceder permissão a um usuário para visualizar os custos de todos os projetos em uma conta de faturamento do Cloud, conceda ao usuário permissão para visualizar os custos de uma conta (billing.accounts.getSpendingInformation). Para conceder permissão a um usuário para visualizar os custos de um projeto específico, conceda ao usuário permissões para visualização para projetos individuais (billing.resourceCosts.get).
Visão geral dos papéis do Cloud Billing no IAM
Você não concede permissões diretamente aos usuários, você atribui a eles papéis com uma ou mais permissões agrupadas.
É possível conceder um ou mais papéis ao mesmo usuário ou no mesmo recurso.
Os seguintes papéis predefinidos do Cloud IAM para o Cloud Billing foram desenvolvidos para permitir que você use o controle de acesso para aplicar a separação de tarefas:
| Papel | Finalidade | Nível | Caso de uso |
|---|---|---|---|
| Criador da conta de faturamento ( roles/billing.creator) |
Criar novas contas de faturamento por autoatendimento (on-line). | Organização | Use este papel para a configuração de faturamento inicial ou para permitir a criação de outras contas de faturamento. Os usuários precisam ter este papel para se inscrever no Google Cloud com um cartão de crédito usando a identidade corporativa. Dica: minimize o número de usuários que têm este papel para ajudar a evitar a proliferação de gastos de nuvem não rastreados na sua organização. |
| Administrador da conta de faturamento ( roles/billing.admin) |
Gerenciar as contas de cobrança (mas sem criá-las). | Organização ou conta de faturamento. | Este é um papel de proprietário para uma conta de faturamento. Use-o para administrar os instrumentos de pagamento, configurar exportações de faturamento, visualizar informações de custo, vincular e desvincular projetos e gerenciar outros papéis de usuário na conta de cobrança. Por padrão, a
pessoa que cria a conta do Cloud Billing é um
Billing Account Administrator para ela.
|
| Gerente de custos da conta de faturamento ( roles/billing.costsManager) |
Gerenciar orçamentos e visualizar e exportar informações de custo das contas de faturamento (mas não informações de preço). | Organização ou conta de faturamento. | Crie, edite e exclua orçamentos, veja informações de custos da conta de faturamento e transações, além de gerenciar a exportação de dados de custo do faturamento para o BigQuery. Não confere o direito de exportar dados de preços ou visualizar os preços personalizados na página "Preços". Além disso, não permite a vinculação ou desvinculação de projetos ou o gerenciamento das propriedades da conta de faturamento. |
| Visualizador da conta de faturamento ( roles/billing.viewer) |
Ver as transações e as informações de custo da conta de faturamento. | Organização ou conta de faturamento. | O acesso de visualizador de contas de cobrança geralmente é concedido para financiar equipes. Este papel fornece acesso a informações de gastos, mas não confere o direito de vincular ou desvincular projetos ou gerir de outra forma as propriedades da conta de faturamento. |
| Usuário da conta de faturamento ( roles/billing.user) |
Vincular projetos a contas de cobrança. | Organização ou conta de faturamento. | Esta função tem permissões muito restritas, por isso pode ser concedida de maneira ampla. Quando concedidos em combinação com o Criador de projetos, os dois papéis permitem que um usuário crie novos projetos vinculados à conta de faturamento em que o papel de usuário da conta de faturamento foi concedido. Quando são concedidos em combinação com o papel de gerente de faturamento do projeto, os dois papéis permitem que um usuário vincule e desvincule projetos na conta de faturamento em que o papel de usuário da conta de faturamento foi concedido. |
| Gerente de faturamento do projeto ( roles/billing.projectManager) |
Vincular/desvincular o projeto a/de uma conta de faturamento. | Organização, pasta ou projeto. | Quando concedido em combinação com o papel Usuário da conta de faturamento, o papel de Gerenciador do Faturamento permite que o usuário anexe o projeto à conta de faturamento, mas não concede direitos sobre os recursos. Os proprietários do projeto podem usar esse papel para permitir que outra pessoa gerencie o faturamento do projeto sem precisar conceder acesso aos recursos. |
A tabela a seguir lista os detalhes dos papéis predefinidos de faturamento do IAM, incluindo as permissões incluídas em cada papel.
| Papel | Permissões |
|---|---|
Administrador da conta de faturamento( Dá acesso para visualizar e gerenciar todos os aspectos das contas de faturamento. Recursos de nível mais baixo em que é possível conceder esse papel:
Contém 33 permissões de proprietário |
manage_accounts billing.accounts.close manage_accounts billing.accounts.get
manage_accounts
billing. manage_accounts billing.accounts.getIamPolicy
manage_accounts
billing. manage_accounts billing.accounts.getPricing
manage_accounts
billing.
manage_accounts
billing. manage_accounts billing.accounts.list manage_accounts billing.accounts.move
manage_accounts
billing.
manage_accounts
billing. manage_accounts billing.accounts.reopen manage_accounts billing.accounts.setIamPolicy manage_accounts billing.accounts.update
manage_accounts
billing.
manage_accounts
billing. billing.budgets.*
manage_accounts billing.credits.list billing.resourceAssociations.*
billing.subscriptions.*
cloudnotifications. cloudsupport.properties.get cloudsupport.techCases.*
commerceoffercatalog.*
compute.commitments.*
consumerprocurement.accounts.*
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.
consumerprocurement.
consumerprocurement.orders.*
dataprocessing.datasources.get dataprocessing. dataprocessing. dataprocessing. logging.logEntries.list logging.logServiceIndexes.list logging.logServices.list logging.logs.list manage_accounts logging.privateLogEntries.list
recommender.
recommender.costInsights.*
recommender.
recommender.
recommender.
recommender.
manage_accounts
resourcemanager.
manage_accounts
resourcemanager. resourcemanager.projects.get resourcemanager.projects.list |
Gerente de custos da conta de faturamento( Gerenciar orçamentos de uma conta de faturamento e visualizar, analisar e exportar informações de custo de uma conta de faturamento. Recursos de nível mais baixo em que você pode conceder esse papel:
Contém 12 permissões de proprietário |
manage_accounts billing.accounts.get manage_accounts billing.accounts.getIamPolicy
manage_accounts
billing.
manage_accounts
billing. manage_accounts billing.accounts.list
manage_accounts
billing. billing.budgets.*
manage_accounts
billing. recommender.costInsights.*
|
Criador da conta de faturamento( Dá acesso para criar contas de faturamento. Recursos de nível mais baixo em que é possível conceder esse papel:
Contém uma permissão de proprietário |
manage_accounts billing.accounts.create resourcemanager. |
Gerente de faturamento do projeto( Quando concedido com o papel de usuário da conta de faturamento, fornece acesso para atribuir a conta de faturamento de um projeto ou desativar o faturamento. Recursos de nível mais baixo em que você pode conceder esse papel:
Contém duas permissões de proprietário |
manage_accounts
resourcemanager.
manage_accounts
resourcemanager. |
Usuário da conta de faturamento( Quando concedido com o papel de proprietário ou gerente de projeto do faturamento, fornece acesso para associar projetos a contas de faturamento. Recursos de nível mais baixo em que você pode conceder esse papel:
Contém seis permissões de proprietário |
manage_accounts billing.accounts.get manage_accounts billing.accounts.getIamPolicy manage_accounts billing.accounts.list
manage_accounts
billing. manage_accounts billing.credits.list
manage_accounts
billing. |
Leitor da conta de faturamento( Veja informações sobre custos e preços das contas de faturamento, transações e recomendações de faturamento e compromisso. Recursos de nível mais baixo em que você pode conceder esse papel:
Contém 14 permissões de proprietário |
manage_accounts billing.accounts.get
manage_accounts
billing. manage_accounts billing.accounts.getIamPolicy
manage_accounts
billing. manage_accounts billing.accounts.getPricing
manage_accounts
billing.
manage_accounts
billing. manage_accounts billing.accounts.list manage_accounts billing.budgets.get manage_accounts billing.budgets.list manage_accounts billing.credits.list
manage_accounts
billing. manage_accounts billing.subscriptions.get manage_accounts billing.subscriptions.list commerceoffercatalog.*
consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement. consumerprocurement.orders.get consumerprocurement. dataprocessing.datasources.get dataprocessing. dataprocessing. dataprocessing. recommender. recommender. recommender.costInsights.get recommender.costInsights.list recommender. recommender. recommender. recommender. recommender. recommender. recommender. |
Relacionamentos do IAM entre organizações, projetos, contas do Cloud Billing e perfis para pagamentos
Dois tipos de relacionamento controlam as interações entre organizações, contas de faturamento do Cloud e projetos: propriedade e vínculo de pagamento.
- Propriedade se refere à herança de permissão do IAM.
- Vínculos de pagamento definem a Conta de faturamento do Cloud que paga por um determinado projeto.
O diagrama a seguir mostra a relação de propriedade e os vínculos de pagamento de uma organização de exemplo.
No diagrama, a organização tem propriedade sobre os projetos 1, 2 e 3, indicando que é permissão principal do IAM dos três projetos.
A Conta de faturamento do Cloud está vinculada aos projetos 1, 2 e 3. Isso significa que ela paga pelos custos derivados dos três projetos. A conta do Cloud Billing também pode pagar por projetos em outras organizações, mas herda permissões do IAM da organização pai.
A Conta de faturamento do Cloud também está vinculada a um perfil para pagamentos do Google, que armazena informações como nome, endereço e formas de pagamento. Saiba como gerenciar permissões de usuário do perfil para pagamentos do Google.
Observação: mesmo que você vincule contas do Cloud Billing a projetos, elas não são pais dos projetos sob o ponto de vista do IAM. Portanto, os projetos não herdam as permissões da conta do Cloud Billing a que estão vinculados.
Neste exemplo, qualquer usuário que tenha funções de faturamento do IAM concedidas na organização também têm essas funções na conta do Cloud Billing ou nos projetos.
Exemplos de controle de acesso do Faturamento do Cloud
Combine os papéis do IAM da seguinte forma para atender às necessidades de diferentes cenários.
| Cenário: empresa de pequeno a médio porte com preferência por controle centralizado. | ||
|---|---|---|
| Tipo de usuário | Papéis do IAM de faturamento | Atividades de faturamento |
| CEO | Administrador da conta de faturamento | Gerenciar o instrumento de pagamento. Ver e aprovar as faturas. |
| CTO | Administrador da conta de faturamento Criador do projeto |
Definir alertas de orçamento. Ver gastos. Criar novos projetos faturáveis. |
| Equipes de desenvolvimento | Nenhuma | Nenhuma |
| Cenário: empresa de pequeno a médio porte com preferência por autoridade delegada. | ||
|---|---|---|
| Tipo de usuário | Papéis do IAM de faturamento | Atividades de faturamento |
| CEO | Administrador da conta de faturamento | Gerenciar o instrumento de pagamento. Delegar autoridade. |
| CFO | Administrador da conta de faturamento | Definir alertas de orçamento. Ver gastos. |
| Contas a pagar | Leitor da conta de faturamento | Ver e aprovar as faturas. |
| Equipes de desenvolvimento | Usuário da conta de faturamento Criador do projeto |
Criar novos projetos faturáveis. |
| Cenário: funções separadas de planejamento financeiro e aquisição. | ||
|---|---|---|
| Tipo de usuário | Papéis do IAM de faturamento | Atividades de faturamento |
| Compras ou TI central | Administrador da conta de faturamento | Gerenciar o instrumento de pagamento. Definir alertas de orçamento Comunicar gastos às equipes de desenvolvimento. |
| Planejamento financeiro | Leitor da conta de faturamento | Ver relatórios de cobrança. Processar exportações. Comunicar-se com o CxO. |
| Contas a pagar | Leitor da conta de faturamento | Aprovar faturas. |
| Equipes de desenvolvimento | Usuário da conta de faturamento Criador do projeto |
Criar novos projetos faturáveis. |
| Cenário: agência de desenvolvimento. | ||
|---|---|---|
| Tipo de usuário | Papéis do IAM de faturamento | Atividades de faturamento |
| CEO | Administrador da conta de faturamento | Gerenciar o instrumento de pagamento. Delegar autoridade. |
| CFO | Administrador da conta de faturamento | Definir alertas de orçamento. Ver gastos. Aprovar faturas. |
| Líder de projeto | Usuário da conta de faturamento Criador do projeto |
Criar novos projetos faturáveis. |
| Equipe de desenvolvimento de projetos | Nenhuma | Desenvolver dentro dos projetos existentes. |
| Cliente | Gerente de faturamento do projeto | Assumir o pagamento do projeto quando ele for concluído. |
Como atualizar as permissões do Cloud Billing
Para saber como revisar, adicionar ou remover permissões do Cloud Billing, siga as orientações em Gerenciar acesso às contas do Cloud Billing.
Temas relacionados
- Gerenciar o acesso às Contas do Cloud Billing
- Controle de acesso da Cloud Billing API
- Como conceder, alterar e revogar o acesso na documentação do IAM
- Criar papéis personalizados para o Faturamento do Cloud
Faça um teste
Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho dos nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.
Comece a usar gratuitamente