帳單存取權控管總覽

Cloud Billing 可讓您為資源設定 Cloud Identity and Access Management (Cloud IAM) 政策,藉此控制哪些使用者能夠管理特定資源,以及查看特定資源的費用。

如要授予或限制 Cloud Billing 的存取權限,您可以在機構層級、帳單帳戶層級,以及/或專案層級設定 Cloud IAM 政策。GCP 資源會繼承父項節點的 Cloud IAM 政策,這代表您只要在機構層級設定政策,就能讓機構中的所有帳單帳戶、專案及資源套用該政策。

您可以控制不同使用者或角色在不同層級的檢視權限,方法是在帳單帳戶或專案層級設定存取權限。如要授予使用者某個帳單帳戶中「所有」專案費用的檢視權限,只要讓該使用者有權限檢視該帳單帳戶的費用即可 (billing.accounts.getSpendingInformation)。如要授予使用者「特定」專案費用的檢視權限,只要讓該使用者有權限檢視該專案的費用即可 (billing.resourceCosts.get)。

Cloud IAM 的帳單角色總覽

以下預先定義的帳單 Cloud IAM 角色,是專門設計來讓您能夠利用存取權控管功能強制實行責任劃分:

角色 目的 層級 用途
帳單帳戶建立者 建立新的自助式帳單帳戶。 機構 首次設定帳單時,可以利用這個角色來進行;如要建立不同貨幣的帳單帳戶,也可以暫時利用這個角色來進行。
使用者必須擁有這個角色,才能利用自己的公司身分識別,搭配信用卡來註冊 GCP。
提示:請盡量減少擁有這個角色的使用者數量,以協助您避免機構中沒有記錄的雲端支出金額激增。
帳單帳戶管理員


管理帳單帳戶 (而非建立帳單帳戶)。 機構或帳單帳戶。 這是帳單帳戶的擁有者角色。請使用這個角色來管理付款方式、設定帳單匯出功能、查看費用資訊、連結專案和取消專案的連結,以及管理帳單帳戶中的其他使用者角色。
帳單帳戶使用者 將專案與帳單帳戶連結。 機構或帳單帳戶。 這個角色的權限相當有限,因此您可以授予給很多使用者,且機構通常會把該角色和專案建立者角色一同授予給使用者。這兩個角色可讓使用者建立與獲得該角色之帳單帳戶相連結的新專案。
帳單帳戶檢視者 檢視帳單帳戶的費用資訊與交易。 機構或帳單帳戶。 機構通常會將帳單帳戶檢視者存取權限授予給財務團隊;這個角色提供支出資訊的存取權限,但不提供連結或取消連結專案,或是管理帳單帳戶屬性的權利。
專案帳單管理員

將專案與帳單帳戶連結,以及取消專案與帳單帳戶的連結。 機構或專案。 這個角色允許使用者將專案與帳單帳戶連結,但不會授予使用者任何資源權限。專案擁有者可利用這個角色,讓其他使用者來管理專案的計費功能,但不會讓該使用者擁有資源的存取權限。

機構、專案、帳單帳戶和付款資料之間的關係

有兩種類型的關係控制著機構、帳單帳戶和專案之間的互動,那就是擁有權及付款連結。

  • 擁有權是指 Cloud IAM 權限繼承。
  • 付款連結會定義專案費用由哪個帳單帳戶支付。

下圖顯示範例機構的擁有權與付款連結之間的關係。

擁有權與付款連結之間的關係

在圖中,機構有專案 1、2 和 3 的擁有權,這代表該機構是這三項專案的 Cloud IAM 權限父項。

帳單帳戶已連結至專案 1、2 和 3,這代表該三項專案所產生的費用會透過此帳單帳戶支付。

帳單帳戶會與某個儲存了姓名、地址及付款方式等資訊的 Google 付款資料連結。

在這個範例中,獲得機構的 Cloud IAM 帳單角色的所有使用者,也都擁有帳單帳戶或專案的這些角色。

帳單存取權控管範例

請依照下列範例,將不同的 Cloud IAM 角色合併使用,來滿足各種情境的需求。

情境:偏好集中控管的小型至中型企業。
使用者類型 帳單 Cloud IAM 角色 帳單活動
執行長 帳單帳戶管理員 管理付款方式。
檢視及核准月結單。
技術長 帳單帳戶管理員
專案建立者
設定預算快訊。
檢視支出金額。
建立新的可計費專案。
開發團隊
情境:偏好委派授權的小型至中型企業。
使用者類型 帳單 Cloud IAM 角色 帳單活動
執行長 帳單帳戶管理員 管理付款方式。
委派授權。
財務長 帳單帳戶管理員 設定預算快訊。
檢視支出金額。
應付帳款 帳單帳戶檢視者 檢視及核准月結單。
開發團隊 帳單帳戶使用者
專案建立者
建立新的可計費專案。
情境:將財務規劃和採購機能分開
使用者類型 帳單 Cloud IAM 角色 帳單活動
採購或中央 IT 人員 帳單帳戶管理員 管理付款方式。
設定預算快訊。
將支出金額傳達給開發團隊。
財務規劃 帳單帳戶檢視者 檢視帳單報表。
處裡匯出的資料。
與經驗長溝通。
應付帳款 帳單帳戶檢視者 核准月結單。
開發團隊 帳單帳戶使用者
專案建立者
建立新的可計費專案。
情境:開發代理商
使用者類型 帳單 Cloud IAM 角色 帳單活動
執行長 帳單帳戶管理員 管理付款方式。
委派授權。
財務長 帳單帳戶管理員 設定預算快訊。
檢視支出金額。
核准月結單。
專案負責人 帳單帳戶使用者
專案建立者
建立新的可計費專案。
專案開發團隊 在現有專案的範圍內進行開發作業。
客戶 專案帳單管理員 當專案完成時,取得專案款項的擁有權。

更新帳單權限

如何新增或移除帳單權限:

  1. 登入 Google Cloud Platform Console
  2. 開啟主控台導覽選單 (menu),然後選取 [Billing] (帳單)
  3. 如果您有多個帳單帳戶,請選取 [Go to linked billing account] (前往連結的帳單帳戶),管理目前的專案帳單。如要改用其他帳單帳戶,請選取 [Manage billing accounts] (管理帳單帳戶)
  4. 在「Billing」(帳單) 導覽選單中,按一下 [Account management] (帳戶管理)
  5. 在「Account management」(帳戶管理) 頁面的右側,使用「Permissions」(權限) 面板編輯所選帳單帳戶的權限。如果面板沒有開啟,請按一下 [SHOW INFO PANEL] (顯示資訊面板) 來開啟面板 (連結位於頁面右上角)。

「Permissions」(權限) 面板會按角色分類,每個角色都會列出成員。舉例來說,您可能會在權限面板中看到

  • 帳單帳戶管理員 (2 位成員)
  • 帳單帳戶使用者 (6 位成員)
  • 結算帳戶檢視者 (10 位成員)

您可以將同一個成員指派給多個角色。

如要查看對應角色的成員清單,請按一下角色名稱來展開 (或收合) 指派給該角色的成員清單。

如要尋找特定成員並查看指派給該成員的角色,請使用「Search members」(搜尋成員) 篩選器。

若要更新帳單權限,請在「Permissions」(權限) 面板中執行下列任一操作:

  • 如何新增成員及指派權限

    1. 按一下 [Add members] (新增成員)
    2. 在「New members」(新增成員) 欄位中,輸入您要新增成員的一或多個電子郵件地址。您可以將個人、服務帳戶或 Google 網路論壇新增為成員。
    3. 從「Select a role」(請選擇角色) 中選擇成員的權限。
    4. 設定角色的任何條件 (選用)。
    5. 必要時,您可以新增其他角色,為成員指派其他權限。
    6. 完成後,按一下 [Save] (儲存)。
  • 如何編輯成員的帳單權限

    1. 使用「Search members」(搜尋成員) 篩選器找出特定成員或角色。
    2. 在清單中找出您要編輯的成員。
    3. 在成員的資料列中,按一下右側的編輯圖示 (edit)。

      「Edit permissions」(編輯權限) 面板就會開啟,這是您所查看的所選成員和資源 (帳單帳戶) 專屬的面板。

    4. 在「Edit permissions」(編輯權限) 面板中,為所選成員資源新增、編輯和刪除角色。

    5. 完成後,按一下 [Save] (儲存)。

  • 如何從角色的成員清單中移除成員

    1. 使用「Search members」(搜尋成員) 篩選器找出特定成員或角色。
    2. 在清單中找出您要從該角色中移除的成員。
    3. 在成員的資料列中,按一下右側的刪除圖示 (delete)。
    4. 系統會提示您確認是否執行該動作。

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Cloud Billing 說明文件
需要協助嗎?請前往我們的支援網頁