Google Cloud には Identity and Access Management(IAM)機能があり、特定の Google Cloud リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不要なアクセスを防ぐことができます。IAM を使用すると、セキュリティに関する最小権限の原則を導入できるため、リソースに対する必要なアクセス権のみを付与できます。
IAM ポリシーを設定して、誰(どのユーザー)に、どのリソースに対するどのアクセス権(ロール)を付与するかを制御できます。IAM ポリシーは、特定のロールをユーザーに付与することで、そのユーザーに特定の権限を付与します。
このページでは、Cloud Billing API で使用できる Identity and Access Management のロールについて説明します。たとえば、IAM を使用して Cloud 請求先アカウントの管理者、ユーザー、プロジェクト マネージャーなどのロールを付与できます。IAM とその機能の詳しい説明については、Identity and Access Management デベロッパー ガイドをご覧ください。特に、アクセス権の付与、変更、取り消しに関するセクションをご覧ください。
権限とロール
ユーザーが Google Cloud コンソールで Cloud 請求先アカウントの詳細を表示する場合や、Cloud Billing API メソッドで Cloud 請求先アカウントの情報を返す場合は、ユーザーまたは呼び出し元に必要な権限が割り当てられている必要があります。Cloud Billing Budget API の使用に必要な IAM の権限とロールについては、以下の表をご覧ください。
Cloud Billing Budget API に必要な権限
次の表に、各 Cloud Billing Budget API メソッドを呼び出す際に必要となる権限の概要を示します。また、これらの権限を自動的に付与する標準の IAM 請求ロールも示します。
| API メソッド | 必要な権限 | 権限を付与する IAM ロール |
|---|---|---|
GetBudget |
予算の詳細情報を取得するには、呼び出し元に、予算の Cloud 請求先アカウントに対する billing.budgets.get 権限が必要です。単一プロジェクトの予算の場合、呼び出し元には、請求先アカウントの権限ではなく、 |
予算の Cloud 請求先アカウントに対する請求先アカウント管理者、請求先アカウントの費用管理者、請求先アカウント閲覧者。 単一プロジェクト予算の場合、プロジェクトに対するプロジェクト オーナー、プロジェクト編集者、またはプロジェクト閲覧者。 |
ListBudgets |
Cloud 請求先アカウントに適用される予算のリストを返すには、呼び出し元に Cloud 請求先アカウントに対する billing.budgets.list 権限が必要です。単一プロジェクトの予算の場合、呼び出し元には、請求先アカウントの権限ではなく、 |
予算の Cloud 請求先アカウントに対する請求先アカウント管理者、請求先アカウントの費用管理者、請求先アカウント閲覧者。 単一プロジェクト予算の場合、プロジェクトに対するプロジェクト オーナー、プロジェクト編集者、またはプロジェクト閲覧者。 |
CreateBudget |
新しい予算を作成するには、呼び出し元に予算の Cloud 請求先アカウントに対する billing.budgets.create 権限が必要です。単一プロジェクトの予算の場合、呼び出し元には、請求先アカウントの権限ではなく、 |
予算の Cloud 請求先アカウントに対する請求先アカウント管理者または請求先アカウントの費用管理者。 単一プロジェクト予算の場合、プロジェクトに対するプロジェクト オーナーまたはプロジェクト編集者。 |
UpdateBudget |
既存の予算を更新するには、呼び出し元に予算の Cloud 請求先アカウントに対する billing.budgets.update 権限が必要です。単一プロジェクトの予算の場合、呼び出し元には、請求先アカウントの権限ではなく、 |
予算の Cloud 請求先アカウントに対する請求先アカウント管理者または請求先アカウントの費用管理者。 単一プロジェクト予算の場合、プロジェクトに対するプロジェクト オーナーまたはプロジェクト編集者。 |
DeleteBudget |
既存の予算を削除するには、呼び出し元に、予算の Cloud 請求先アカウントに対する billing.budgets.delete 権限が必要です。単一プロジェクトの予算の場合、呼び出し元には、請求先アカウントの権限ではなく、 |
予算の Cloud 請求先アカウントに対する請求先アカウント管理者または請求先アカウントの費用管理者。 単一プロジェクトの予算の場合、プロジェクトに対するプロジェクト オーナーまたはプロジェクト編集者。 |
ロール
ユーザーには権限を直接付与するのではなく、ロールを付与します。ロールには、1 つ以上の権限がバンドルされています。
同じリソースに 1 つ以上のロールを付与できます。
次の表に、Cloud Billing API にアクセスするために付与できる標準の IAM 請求ロール、ロールの説明、そのロールに含まれる権限を示します。
| Role | Permissions |
|---|---|
Billing Account Administrator( Provides access to see and manage all aspects of billing accounts. Lowest-level resources where you can grant this role:
|
|
Billing Account Costs Manager( Manage budgets for a billing account, and view, analyze, and export cost information of a billing account. Lowest-level resources where you can grant this role:
|
|
Billing Account Creator( Provides access to create billing accounts. Lowest-level resources where you can grant this role:
|
|
Project Billing Manager( When granted in conjunction with the Billing Account User role, provides access to assign a project's billing account or disable its billing. Lowest-level resources where you can grant this role:
|
|
Billing Account User( When granted in conjunction with the Project Owner role or Project Billing Manager role, provides access to associate projects with billing accounts. Lowest-level resources where you can grant this role:
|
|
Billing Account Viewer( View billing account cost and pricing information, transactions, and billing and commitment recommendations. Lowest-level resources where you can grant this role:
|
|
なお、roles/billing.admin、roles/billing.costsManager、roles/billing.viewer、roles/billing.projectManager ロールには、他の Google Cloud サービスに対する権限も含まれます。
関連トピック
- IAM ドキュメントのプロジェクト、フォルダ、組織へのアクセスを管理する
- IAM ドキュメントの他のリソースへのアクセスを管理する
- Cloud Billing に関するカスタムロールの作成