Visão geral do controle de acesso do Faturamento do Cloud

O Cloud Billing permite controlar quais usuários têm permissões administrativas e de visualização de custos em recursos específicos ao definir políticas de gerenciamento de identidade e acesso (IAM, na sigla em inglês) nos recursos.

Para conceder ou limitar o acesso ao Cloud Billing é possível definir uma política do IAM no nível da organização, da conta de faturamento do Cloud e/ou do projeto. Os recursos do Google Cloud herdam as políticas de IAM do nó pai. Isso significa que é possível definir uma política no nível da organização para aplicá-la a todas as contas e projetos do Cloud Billing. e recursos na organização.

É possível controlar as permissões de visualização em níveis diferentes para usuários ou papéis diversos, definindo permissões de acesso no nível do projeto ou da conta de faturamento do Cloud. Para conceder permissão a um usuário para visualizar os custos de todos os projetos em uma conta de faturamento do Cloud, conceda ao usuário permissão para visualizar os custos de uma conta (billing.accounts.getSpendingInformation). Para conceder permissão a um usuário para visualizar os custos de um projeto específico, conceda ao usuário permissões para visualização para projetos individuais (billing.resourceCosts.get).

Visão geral dos papéis do Cloud Billing no IAM

Você não concede permissões diretamente aos usuários, você atribui a eles papéis com uma ou mais permissões agrupadas.

É possível conceder um ou mais papéis no mesmo recurso.

Os seguintes papéis predefinidos do Cloud IAM para o Cloud Billing foram desenvolvidos para permitir que você use o controle de acesso para aplicar a separação de tarefas:

Role Finalidade Nível Caso de uso
Criador da conta de faturamento
(roles/billing.creator)
Criar novas contas de faturamento por autoatendimento (on-line). Organização Use este papel para a configuração de faturamento inicial ou para permitir a criação de outras contas de faturamento.
Os usuários precisam ter este papel para se inscrever no Google Cloud com um cartão de crédito usando a identidade corporativa.
Dica: minimize o número de usuários que têm este papel para ajudar a evitar a proliferação de gastos de nuvem não rastreados na sua organização.
Administrador da conta de faturamento
(roles/billing.admin)
Gerenciar as contas de cobrança (mas sem criá-las). Organização ou conta de faturamento. Este é um papel de proprietário para uma conta de faturamento. Use-o para administrar os instrumentos de pagamento, configurar exportações de faturamento, visualizar informações de custo, vincular e desvincular projetos e gerenciar outros papéis de usuário na conta de cobrança.
Usuário da conta de faturamento
(roles/billing.user)
Vincular projetos a contas de cobrança. Organização ou conta de faturamento. Este papel tem permissões muito restritas, portanto, você pode concedê-lo de maneira ampla, geralmente em combinação com o papel de criador de projetos. Os duas permitem que um usuário crie novos projetos vinculados à conta de faturamento no qual o papel foi concedido.
Visualizador da conta de faturamento
(roles/billing.viewer)
Visualizar as transações e as informações de custo da conta de faturamento. Organização ou conta de faturamento. O acesso de visualizador de contas de cobrança geralmente é concedido para financiar equipes. Este papel fornece acesso a informações de gastos, mas não confere o direito de vincular ou desvincular projetos ou gerir de outra forma as propriedades da conta de faturamento.
Gerente de faturamento do projeto
(roles/billing.projectManager)
Vincular/desvincular o projeto a/de uma conta de faturamento. Organização, pasta ou projeto. Este papel permite que um usuário anexe o projeto à conta de faturamento, mas não concede direitos sobre os recursos. Os proprietários do projeto podem usar esse papel para permitir que outra pessoa gerencie o faturamento do projeto sem precisar conceder acesso aos recursos.

A tabela a seguir lista os detalhes dos papéis predefinidos de faturamento do IAM, incluindo as permissões incluídas em cada papel.

Papel Nome Descrição Permissões Menor recurso
roles/billing.admin Administrador da conta de faturamento Concede acesso para visualizar e gerenciar todos os aspectos das contas de faturamento.
  • billing.accounts.close
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.accounts.move
  • billing.accounts.redeemPromotion
  • billing.accounts.removeFromOrganization
  • billing.accounts.reopen
  • billing.accounts.setIamPolicy
  • billing.accounts.update
  • billing.accounts.updatePaymentInfo
  • billing.accounts.updateUsageExportSpec
  • billing.budgets.*
  • billing.credits.*
  • billing.resourceAssociations.*
  • billing.subscriptions.*
  • cloudnotifications.*
  • consumerprocurement.accounts.*
  • consumerprocurement.orders.*
  • dataprocessing.groupcontrols.list
  • logging.logEntries.list
  • logging.logServiceIndexes.*
  • logging.logServices.*
  • logging.logs.list
  • logging.privateLogEntries.*
  • recommender.commitmentUtilizationInsights.*
  • recommender.usageCommitmentRecommendations.*
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment
Conta de faturamento
roles/billing.creator Criador da conta de faturamento Concede acesso para criar contas de faturamento.
  • billing.accounts.create
  • resourcemanager.organizations.get
Organização
roles/billing.projectManager Gerente de faturamento do projeto Concede acesso para atribuir uma conta de faturamento de um projeto ou desativar o faturamento.
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment
Projeto
roles/billing.user Usuário da conta de faturamento Concede acesso para associar projetos a contas de faturamento.
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.list
  • billing.accounts.redeemPromotion
  • billing.credits.*
  • billing.resourceAssociations.create
Conta de faturamento
roles/billing.viewer Visualizador da conta de faturamento Permite visualizar as informações de custo da conta de faturamento e as transações.
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.budgets.get
  • billing.budgets.list
  • billing.credits.*
  • billing.resourceAssociations.list
  • billing.subscriptions.get
  • billing.subscriptions.list
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • dataprocessing.groupcontrols.list
  • recommender.commitmentUtilizationInsights.get
  • recommender.commitmentUtilizationInsights.list
  • recommender.usageCommitmentRecommendations.get
  • recommender.usageCommitmentRecommendations.list
Conta de faturamento

Relações entre organizações, projetos, contas de faturamento do Cloud e perfis para pagamentos

Dois tipos de relacionamento controlam as interações entre organizações, contas de faturamento do Cloud e projetos: propriedade e vínculo de pagamento.

  • Propriedade se refere à herança de permissão do IAM.
  • Vínculos de pagamento definem a Conta de faturamento do Cloud que paga por um determinado projeto.

O diagrama a seguir mostra a relação de propriedade e os vínculos de pagamento de uma organização de exemplo.

descreve como os projetos estão relacionados ao Faturamento do Cloud e ao seu perfil para pagamentos. Em um lado estão os recursos no nível do Cloud (conta de faturamento do Cloud e projetos associados). No outro lado, dividido por uma linha vertical pontilhada, está seu recurso no nível do Google (um perfil para pagamentos). Os projetos são pagos pela Conta de faturamento do Cloud, que está vinculada ao seu perfil para pagamentos.

No diagrama, a organização tem propriedade sobre os projetos 1, 2 e 3, indicando que é permissão principal do IAM dos três projetos.

A Conta de faturamento do Cloud está vinculada aos projetos 1, 2 e 3. Isso significa que ela paga pelos custos derivados dos três projetos.

A Conta de faturamento do Cloud também está vinculada a um perfil para pagamentos do Google, que armazena informações como nome, endereço e formas de pagamento.

Neste exemplo, qualquer usuário que recebeu papéis de faturamento do IAM na organização também tem esses papéis na conta do Cloud Billing ou nos projetos.

Exemplos de controle de acesso do Faturamento do Cloud

Combine os papéis do IAM da seguinte forma para atender às necessidades de diferentes cenários.

Cenário: empresa de pequeno a médio porte com preferência por controle centralizado.
Tipo de usuário Papéis do IAM de faturamento Atividades de faturamento
CEO Administrador da conta de faturamento Gerenciar o instrumento de pagamento.
Ver e aprovar as faturas.
CTO Administrador da conta de faturamento
Criador do projeto
Definir alertas de orçamento.
Ver gastos.
Criar novos projetos faturáveis.
Equipes de desenvolvimento Nenhuma Nenhuma
Cenário: empresa de pequeno a médio porte com preferência por autoridade delegada.
Tipo de usuário Papéis do IAM de faturamento Atividades de faturamento
CEO Administrador da conta de faturamento Gerenciar o instrumento de pagamento.
Delegar autoridade.
CFO Administrador da conta de faturamento Definir alertas de orçamento.
Ver gastos.
Contas a pagar Visualizador da conta de faturamento Ver e aprovar as faturas.
Equipes de desenvolvimento Usuário da conta de faturamento
Criador do projeto
Criar novos projetos faturáveis.
Cenário: funções separadas de planejamento financeiro e aquisição.
Tipo de usuário Papéis do IAM de faturamento Atividades de faturamento
Compras ou TI central Administrador da conta de faturamento Gerenciar o instrumento de pagamento.
Definir alertas de orçamento
Comunicar gastos às equipes de desenvolvimento.
Planejamento financeiro Visualizador da conta de faturamento Ver relatórios de cobrança.
Processar exportações.
Comunicar-se com o CxO.
Contas a pagar Visualizador da conta de faturamento Aprovar faturas.
Equipes de desenvolvimento Usuário da conta de faturamento
Criador do projeto
Criar novos projetos faturáveis.
Cenário: agência de desenvolvimento.
Tipo de usuário Papéis do IAM de faturamento Atividades de faturamento
CEO Administrador da conta de faturamento Gerenciar o instrumento de pagamento.
Delegar autoridade.
CFO Administrador da conta de faturamento Definir alertas de orçamento.
Ver gastos.
Aprovar faturas.
Líder de projeto Usuário da conta de faturamento
Criador do projeto
Criar novos projetos faturáveis.
Equipe de desenvolvimento de projetos Nenhuma Desenvolver dentro dos projetos existentes.
Cliente Gerente de faturamento do projeto Assumir o pagamento do projeto quando ele for concluído.

Atualizar as permissões do Faturamento do Cloud

Para adicionar ou remover permissões do Faturamento do Cloud, siga estas etapas:

  1. Faça login no Console do Google Cloud.

    FAZER LOGIN no Console do Cloud

  2. Abra o menu de navegação do Console do Cloud e selecione Faturamento.

    Se você tiver mais de uma Conta de faturamento do Cloud, siga um destes procedimentos:

    • Para gerenciar o Faturamento do Cloud para o projeto atual, selecione Ir para a conta de faturamento vinculada.
    • Para localizar outra conta de faturamento do Cloud, selecione Gerenciar contas de faturamento e escolha a conta que você quer gerenciar.
  3. No menu de navegação "Faturamento", clique em Gerenciamento da conta.

  4. Use o painel Permissões para editar permissões da conta de faturamento do Cloud selecionada. Se o painel ainda não estiver visível, clique em EXIBIR PAINEL DE INFORMAÇÃO para abri-lo.

O painel Permissões é organizado por papel, com membros listados em cada papel. Por exemplo, no seu painel de permissões, é possível ver

  • administrador da conta de faturamento (2 membros)
  • usuário da conta de faturamento (6 membros)
  • visualizador de contas de faturamento (10 membros)

É possível atribuir mais de um papel ao mesmo membro.

Para visualizar a lista de membros para um papel correspondente, clique no nome do papel para expandir (ou recolher) a lista de membros com esse papel.

Para encontrar um membro específico e ver quais papéis estão atribuídos a esse membro, use o filtro Pesquisar membros.

Para atualizar as permissões do Faturamento do Cloud, no painel Permissões, realize uma das seguintes ações:

  • Para adicionar membros novos e atribuir permissões:

    1. Clique em Adicionar membros.
    2. No campo Novos membros, insira um ou mais endereços de e-mail para os membros que você quer adicionar. É possível adicionar indivíduos, contas de serviço ou Grupos do Google como membros.
    3. Selecione uma permissão para o(s) membro(s) em Selecionar um papel.
    4. Defina quaisquer condições no papel (opcional).
    5. Se necessário, é possível Adicionar outro papel para atribuir mais permissões aos membros.
    6. Quando terminar, clique em Salvar.
  • Para editar as permissões de faturamento de um membro:

    1. Use o filtro Pesquisar membros para localizar um membro ou papel específico.
    2. Na lista, localize o membro que você quer editar.
    3. Na linha do membro, clique em Editar .

      O painel "Editar permissões" será aberto especificamente para o membro e o recurso selecionados (conta do Cloud Billing) que você está visualizando.

    4. No painel "Editar permissões", adicione, edite e exclua os papéis do membro e do recurso selecionados.

    5. Quando terminar, clique em Salvar.

  • Para remover um membro da lista de membros de um papel:

    1. Use o filtro Pesquisar membros para localizar um membro ou papel específico.
    2. Na lista, localize o membro que você quer remover desse papel.
    3. Na linha do membro, clique em Excluir .
    4. Será necessário confirmar sua ação.