Cloud Billing Budget API einrichten

Diese Anleitung enthält alle erforderlichen Einrichtungsschritte für die erstmalige Nutzung der Cloud Billing Budget API.

Vorbereitung

Bevor Sie diese Anleitung lesen, sollten Sie mit Folgendem vertraut sein:

  1. Lesen Sie die Übersicht zur Cloud Billing Budget API.
  2. Lesen Sie Cloud Billing Budget API – Voraussetzungen.

Über die Cloud Console

Die Google Cloud Console (Dokumentation ansehen, Console öffnen) ist eine Web-UI zur Bereitstellung, Konfiguration, Verwaltung und Überwachung von Systemen, die Google Cloud-Produkte verwenden. Die Google Cloud- und Cloud Billing-Ressourcen werden in der Cloud Console eingerichtet und verwaltet.

1 Projekt auswählen oder erstellen

Wenn Sie Dienste von Google Cloud nutzen möchten, müssen Sie ein Projekt erstellen. Es dient zur Organisation all Ihrer Google Cloud-Ressourcen. Ein Projekt umfasst Mitarbeiter, aktivierte APIs (und andere Ressourcen), Monitoringtools, Zahlungsinformationen sowie Authentifizierungs- und Zugriffssteuerungen. Sie können wahlweise ein Projekt erstellen oder Ihre Google Cloud-Ressourcen durch Erstellen mehrerer Projekte in einer Ressourcenhierarchie organisieren. Weitere Informationen zu Projekten finden Sie in der Dokumentation zu Resource Manager.

Empfehlung: Wir empfehlen Ihnen, ein einzelnes, separates Google Cloud-Projekt zu konfigurieren, das alle Ihre Anforderungen an die Abrechnungsverwaltung einschließlich der Cloud Billing Budget API enthält. Ihr Google Cloud-Projekt für die Abrechnungsverwaltung kann darüber hinaus für verschiedene Dinge verwendet werden, wie z. B. den Zugriff auf die Cloud Billing Account API, exportierte Cloud Billing-Daten, Pub/Sub-Kanäle für programmatische Budgetbenachrichtigungen usw.

Wählen Sie in der Cloud Console auf der Projektauswahlseite ein Cloud-Projekt aus oder erstellen Sie eines.

Zur Projektauswahl

2. Abrechnung aktivieren

Die Abrechnung muss für das Projekt, das Sie zum Aufrufen der Cloud Billing Budget API verwenden, aktiviert sein. Wenn Sie der Empfehlung im Projektbereich gefolgt sind, ist dies Ihr Google Cloud-Projekt für die Abrechnungsverwaltung.

Mit einem Cloud-Rechnungskonto wird festgelegt, wer für eine bestimmte Gruppe von Google Cloud-Ressourcen bezahlt. Ressourcen wie aktivierte APIs sind in Projekten organisiert. Ein Cloud-Rechnungskonto kann mit einem oder mehreren Projekten verknüpft sein. Die Gebühren für die Projektnutzung werden dem verknüpften Rechnungskonto belastet. In den meisten Fällen konfigurieren Sie die Abrechnung beim Erstellen eines Projekts. Weitere Informationen finden Sie in der Dokumentation zur Abrechnung.

Sie richten Cloud Billing-Budgets ein, um ein Cloud-Rechnungskonto zu beobachten. Das von Ihnen beobachtete Cloud-Rechnungskonto kann dasselbe Cloud-Rechnungskonto sein, das mit dem Projekt verknüpft ist, das Sie zum Aufrufen der Cloud Billing Budget API verwenden. Die Nutzung der Cloud Billing Budget API ist für Google Cloud-Kunden kostenlos. Wenn Sie programmatische Budgetbenachrichtigungen konfigurieren, werden Ihnen die Pub/Sub-Standardpreise berechnet.

Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein. So prüfen Sie, ob die Abrechnung für Ihr Projekt aktiviert ist.

3. API aktivieren

Sie müssen die Cloud Billing Budget API in dem Projekt aktivieren, mit dem Sie die Cloud Billing Budget API aufrufen. Wenn Sie der Empfehlung im Projektbereich gefolgt sind, ist dies Ihr Google Cloud-Projekt für die Abrechnungsverwaltung.

Weitere Informationen zur Aktivierung von APIs finden Sie in der Dokumentation zu Service Usage.

Aktivieren Sie die Cloud Billing Budget API.

Aktivieren Sie die API

4. Authentifizierung einrichten

Wenn Sie die Cloud Billing Budget API verwenden möchten, müssen Sie die Authentifizierung einrichten. Jede Clientanwendung, die die API verwendet, muss authentifiziert sein und Zugriff auf die angeforderten Ressourcen haben. In diesem Abschnitt werden wichtige Konzepte der Authentifizierung erklärt und Schritte für die Einrichtung beschrieben. Weitere Informationen finden Sie unter Authentifizierung in der GCP – Überblick.

Informationen zu Dienstkonten

Für die Authentifizierung gibt es mehrere Möglichkeiten. Wir empfehlen jedoch, für die Authentifizierung und die Zugriffssteuerung Dienstkonten zu verwenden. Die Anmeldedaten für ein Dienstkonto werden für Anwendungen vergeben, nicht für Endnutzer.

Dienstkonten sind Projekten zugeordnet. Für ein Projekt können Sie mehrere Dienstkonten erstellen. Weitere Informationen finden Sie unter Dienstkonten.

Informationen zu Rollen

Wenn eine Identität (das Dienstkonto) eine API aufruft, wird von Google Cloud verlangt, dass die Identität über die entsprechenden Berechtigungen verfügt. Die Berechtigungen gewähren Sie durch das Zuweisen von Rollen für Dienstkonten. Weitere Informationen finden Sie in der Dokumentation zu Cloud Identity and Access Management.

Um alle Methoden der Cloud Billing Budget API zu nutzen, müssen Sie das Dienstkonto als Mitglied zu jedem Cloud-Rechnungskonto hinzufügen, für das Sie die Cloud Billing Budget API zum programmatischen Verwalten von Budgets verwenden möchten. Sie müssen dem Dienstkonto außerdem die entsprechenden Rollen zuweisen.

Wenn Sie ein Pub/Sub-Thema für programmatische Budgetbenachrichtigungen konfigurieren möchten, müssen Sie außerdem das Dienstkonto als Mitglied des Projekts hinzufügen, in dem sich Ihr Pub/Sub-Thema befindet, und dem Dienstkonto die Rolle Cloud IAM-Sicherheitsadministrator zuweisen. Diese Rolle ist erforderlich, damit das Dienstkonto berechtigt ist, die Rolle Pub/Sub-Publisher für das Thema zu erteilen, sodass Cloud Billing Nachrichten in diesem Thema veröffentlichen kann.

Weitere Informationen zu den speziellen Rollen in Cloud Billing APIs finden Sie in der Dokumentation zur Zugriffssteuerung in Cloud Billing APIs.

Informationen zu Dienstkontoschlüsseln

Dienstkonten sind mit einem oder mehreren öffentlichen/privaten Schlüsselpaaren verbunden. Wenn Sie ein neues Schlüsselpaar erstellen, laden Sie den privaten Schlüssel herunter. Der private Schlüssel wird verwendet, um beim Aufrufen der API Anmeldedaten zu erzeugen. Die Verantwortung für die Sicherheit des privaten Schlüssels und andere Verwaltungsvorgänge wie die Schlüsselrotation liegt bei Ihnen.

A. Dienstkonto erstellen und Datei mit dem privaten Schlüssel herunterladen

Das Dienstkonto muss in demselben Projekt erstellt werden, in dem Sie die Cloud Billing Budget API registriert haben. Wenn Sie der Empfehlung im Projektbereich gefolgt sind, ist dies Ihr Google Cloud-Projekt für die Abrechnungsverwaltung.

  1. Wechseln Sie in der Cloud Console zur Seite Dienstkontoschlüssel erstellen.

    Zur Seite "Dienstkontoschlüssel erstellen"
  2. Wählen Sie aus der Liste Dienstkonto die Option Neues Dienstkonto aus.
  3. Geben Sie im Feld Dienstkontoname einen Namen ein.
  4. In der Liste Rolle müssen Sie keinen Wert auswählen. Dieses Dienstkonto verwaltet keine Projektressourcen. In einem späteren Schritt erteilen Sie dem Dienstkonto die Berechtigungen, die zum Verwalten von Budgets für Ihr Cloud-Rechnungskonto erforderlich sind.
  5. Klicken Sie auf Erstellen. Daraufhin wird der Hinweis angezeigt, dass für dieses Dienstkonto keine Rolle vorhanden ist.
  6. Klicken Sie auf Ohne Rolle erstellen. Es wird dann eine JSON-Datei mit Ihrem Schlüssel auf Ihren Computer heruntergeladen.

B. Ihrem Dienstkonto Berechtigungen zur Verwendung der Cloud Billing Budget API gewähren

Weisen Sie Ihrem Dienstkonto Cloud Billing- und Cloud IAM-Rollen zu, damit die Berechtigungen erteilt werden können, die erforderlich sind, um alle Methoden für die Cloud Billing Budget API in Bezug auf alle Budgets in Ihrem Cloud-Rechnungskonto zu verwenden.

  1. Suchen Sie in der heruntergeladenen JSON-Datei nach der E-Mail-Adresse Ihres Dienstkontos mit dem Schlüssel client_email. Die E-Mail sieht ungefähr so aus: service-account-name@project-id.iam.gserviceaccount.com.
  2. Rufen Sie in der Cloud Console die Seite zur Verwaltung des Rechnungskontos auf und folgen Sie dieser Anleitung, um die Abrechnungsberechtigungen für das Dienstkonto zu aktualisieren.
  3. Optional: Wenn Sie Ihre Budgets für die Verwendung programmatischer Benachrichtigungen konfigurieren möchten, müssen Sie dem Projekt, in dem sich Ihr Pub/Sub-Thema befindet, auch IAM-Berechtigungen zuweisen. Wenn Sie der Empfehlung im Projektbereich gefolgt sind, ist dies Ihr Google Cloud-Projekt für die Abrechnungsverwaltung.
    1. Öffnen Sie das Navigationsmenü der Console () und klicken Sie auf IAM & Verwaltung > IAM.
    2. Bestätigen Sie im Tab IAM-Berechtigungen, dass Sie die Berechtigungen für das Projekt sehen, in dem sich das Pub/Sub-Thema befindet. Auf der Seite sehen Sie eine Überschrift, die etwa so aussieht: Berechtigungen für das Projekt "My Cloud Billing Admin Project".
    3. Fügen Sie die E-Mail-Adresse des Dienstkontos als Mitglied des Projekts hinzu und weisen Sie dem Dienstkontomitglied die Rolle Cloud IAM-Sicherheitsadministrator zu.
      1. Klicken Sie auf HINZUFÜGEN.
      2. Geben Sie im Feld Neue Mitglieder die E-Mail-Adresse des Dienstkontos ein.
      3. Scrollen Sie im Drop-down Rolle auswählen nach unten zu (oder filtern Sie nach) IAM und wählen Sie die Rolle Sicherheitsadministrator aus.

C. Schlüsseldatei des Dienstkontos in Ihrer Umgebung verwenden

Übergeben Sie Anmeldedaten zur Authentifizierung an Ihren Anwendungscode, indem Sie die Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS festlegen. Ersetzen Sie [PATH] durch den Dateipfad zur JSON-Datei, die Ihren Dienstkontoschlüssel enthält, und [FILE_NAME] durch den Dateinamen. Diese Variable gilt nur für Ihre aktuelle Shellsitzung. Wenn Sie eine neue Sitzung öffnen, müssen Sie die Variable erneut festlegen.

Linux oder macOS

export GOOGLE_APPLICATION_CREDENTIALS="[PATH]"

Beispiel:

export GOOGLE_APPLICATION_CREDENTIALS="/home/user/Downloads/[FILE_NAME].json"

Windows

Mit PowerShell:

$env:GOOGLE_APPLICATION_CREDENTIALS="[PATH]"

Beispiel:

$env:GOOGLE_APPLICATION_CREDENTIALS="C:\Users\username\Downloads\[FILE_NAME].json"

Mit Eingabeaufforderung:

set GOOGLE_APPLICATION_CREDENTIALS=[PATH]

5 Cloud SDK installieren und initialisieren

Wenn Sie die Cloud Billing Budget API verwenden möchten, müssen Sie das Cloud SDK installieren und initialisieren. Das Cloud SDK umfasst mehrere Tools, mit denen Sie auf Google Cloud gehostete Ressourcen und Anwendungen verwalten können. Dazu gehört auch das gcloud-Befehlszeilentool. Unter folgendem Link finden Sie eine Anleitung:

Installieren und initialisieren Sie das Cloud SDK.

6. SDK und Authentifizierung testen

Wenn Sie in den vorangegangenen Schritten die Authentifizierung eingerichtet haben, können Sie Ihre Authentifizierungsumgebung mit dem gcloud-Tool testen. Führen Sie folgenden Befehl aus und vergewissern Sie sich, dass kein Fehler auftritt und dass Anmeldedaten zurückgegeben werden:

gcloud auth application-default print-access-token

Dieser Befehl wird in allen REST-Beispielen für die Cloud Billing Budget API-Befehlszeile verwendet, um API-Aufrufe zu authentifizieren.

7. Cloud Billing Budget API-Clientbibliothek installieren

Die Cloud Billing Budget API basiert auf HTTP und JSON. Daher kann jeder Standard-HTTP-Client Anfragen an sie senden und die Antworten parsen.

Zum Aufrufen der API haben Sie drei Möglichkeiten:

  • Von Google unterstützte Clientbibliotheken (empfohlen)

    Clientbibliotheken bieten eine bessere Sprachintegration sowie eine höhere Sicherheit und unterstützen auch Aufrufe, die eine Nutzerautorisierung erfordern. Die von Google unterstützten Clientbibliotheken sind für verschiedene gängige Sprachen verfügbar. Dies ist die empfohlene Option.

  • REST

  • gRPC