מערכת ניהול הזהויות והרשאות הגישה (IAM) כוללת הרשאות מפורטות שמאפשרות לתת גישה או לבטל גישה של משתמשים מסוימים לפעולות ספציפיות. כדי לפשט את התהליך של הקצאת הרשאות למשתמשים, ההרשאות המפורטות האלה משולבות לקבוצות קשורות באמצעות תפקידי IAM. בחשבון לחיוב יש תפקידים מוגדרים מראש, כמו "אדמין של חשבון לחיוב" או "צפייה בחשבון לחיוב", שמתאימים לרוב המשתמשים. אבל אם התפקידים האלה לא מתאימים לצרכים שלכם, תוכלו להגדיר תפקידים בהתאמה אישית ולהעניק קבוצות ספציפיות יותר של הרשאות.
יצירת תפקיד בהתאמה אישית
את התפקידים בהתאמה אישית יוצרים ברמת הארגון, ולאחר מכן אפשר להחיל אותם על חשבונות לחיוב בארגון. במאמר יצירה וניהול של תפקידים בהתאמה אישית בחומרי העזר של IAM מוסבר איך מגדירים תפקידים בהתאמה אישית, כולל ההרשאות הדרושות.
אחרי יצירת התפקידים בהתאמה אישית תוכלו להקצות אותם למשתמשים בדיוק כמו שאתם מקצים תפקידים רגילים שמוגדרים מראש. איך מעדכנים את הרשאות החיוב
דוגמה לתפקיד בהתאמה אישית
נניח שאתם רוצים לאפשר למשתמש לערוך מאפיינים של ניהול עלויות, כמו התראות לגבי התקציב או ייצוא החיובים. ההרשאות הרלוונטיות הן:
billing.budgets.createbilling.budgets.updatebilling.accounts.updateUsageExportSpec
כשמשתמשים בתפקידים מוגדרים מראש צריך להעניק את התפקיד "אדמין של חשבון לחיוב" כדי שההרשאות יחולו, אבל התפקיד הזה כולל גם הרשאה למחיקת שיוכים של משאבים, לביטול מינויים ולסגירת החשבון לחיוב. אם אתם לא רוצים לתת למשתמשים את היכולות האלה, תוכלו במקום זאת ליצור תפקיד בהתאמה אישית שכולל רק את שלוש ההרשאות הנחוצות, ולתת לו את השם אדמין לניהול עלויות אחר כך תוכלו להקצות את התפקיד המותאם אישית, בשילוב עם התפקיד "צפייה בחשבון לחיוב", לכל המשתמשים שצריכים לקבל הרשאות נרחבות לניהול עלויות, בלי היכולת לערוך מאפיינים אחרים של החשבון.
שיוך וירושה של הרשאות
אתם יכולים להעניק הרשאות חיוב ברמת החשבון לחיוב או ברמת הפרויקט. רוב הרשאות החיוב מתאימות לרמת החשבון לחיוב, כך שתפקידים שכוללים את ההרשאות האלה צריכים להיות משויכים לחשבון לחיוב. לעומת זאת, יש הרשאות חיוב שמתאימות לרמת הפרויקט ולכן ההרשאות האלה צריכות להיות משויכות לפרויקט, ולא לחשבון לחיוב.
לדוגמה, כדי לשייך פרויקט לחשבון לחיוב, נדרשת ההרשאה billing.resourceAssociations.create בחשבון לחיוב וגם ההרשאה resourcemanager.projects.createBillingAssignment בפרויקט. הסיבה לכך היא שלפעולות שבהן בעלי הפרויקט שולטים בגישה נדרשות הרשאות בפרויקט, ולפעולות שבהן האדמין של החשבון לחיוב שולט בגישה נדרשות הרשאות בחשבון לחיוב. כששני בעלי התפקידים האלו מעורבים בפעולה נתונה, נדרשות שתי ההרשאות.
כמו בהרשאות IAM אחרות, כל הרשאות החיוב עוברות בירושה מהרמות הגבוהות יותר של היררכיית החיוב. לדוגמה, משתמש בתפקיד שכולל את ההרשאה billing.accounts.close ברמת הארגון, יכול לסגור כל חשבון לחיוב ששייך לארגון. עם זאת, חלק מההרשאות רלוונטיות רק ברמות הגבוהות יותר. לדוגמה, להרשאה billing.accounts.list אין השפעה כאשר היא חלה על חשבון לחיוב מסוים. אבל משתמש שהוקצה לו תפקיד שכולל את ההרשאה billing.accounts.list ברמת הארגון, יכול להציג רשימה של כל החשבונות לחיוב בארגון.
פעילויות חיוב
בטבלאות הבאות מתוארות פעילויות החיוב הנפוצות, ההרשאות הנדרשות לביצוע הפעילויות האלה והמשאבים שעליהם חלות ההרשאות האלה.
ניהול חשבון
| פעולה | הרשאה | משאב |
|---|---|---|
| הצגת פרטי חשבון בסיסיים (למשל שם החשבון, המטבע ואם הסטטוס של החשבון "פתוח" או "סגור") | billing.accounts.get |
חשבון לחיוב |
| שדרוג מתקופת הניסיון בחינם | billing.accounts.update |
חשבון לחיוב |
| שינוי שם החשבון | billing.accounts.update |
חשבון לחיוב |
| שינוי של מספר הזמנת הרכש | billing.accounts.update |
חשבון לחיוב |
| סגירת החשבון | billing.accounts.close |
חשבון לחיוב |
| פתיחה מחדש של חשבון שנסגר | billing.accounts.reopen |
חשבון לחיוב |
היררכיית חשבון לחיוב
| פעולה | הרשאה | משאב |
|---|---|---|
| הצגה של רשימת החשבונות בארגון | billing.accounts.list |
ארגון |
| יצירת חשבונות בארגון | billing.accounts.create |
ארגון |
| העברת חשבון לארגון | billing.accounts.create |
ארגון |
billing.accounts.move |
חשבון לחיוב | |
| העברת חשבון בין ארגונים | billing.accounts.removeFromOrganization |
ארגון ישן |
billing.accounts.create |
ארגון חדש | |
billing.accounts.move |
חשבון לחיוב |
פרטי תשלום
פרופיל התשלומים כולל את שם הלקוח, את הכתובת ואת אמצעי התשלום.
| פעולה | הרשאה | משאב |
|---|---|---|
| צפייה בפרופיל תשלומים | billing.accounts.getPaymentInfo |
חשבון לחיוב |
| עדכון של פרופיל תשלומים | billing.accounts.updatePaymentInfo |
חשבון לחיוב |
| הצגת מחירים רק למק"טים שהיה בהם שימוש | billing.accounts.getPricing |
חשבון לחיוב |
| הצגת מחירים מותאמים אישית בחוזה לכל מק"ט בחשבון לחיוב | billing.accounts.getPricing |
חשבון לחיוב |
| הצגת העלויות והשימוש שנצברו בחשבון לחיוב* | billing.accounts.getSpendingInformation |
חשבון לחיוב |
| הצגת העלויות והשימוש שנצברו בפרויקט* | billing.resourceCosts.get |
פרויקט |
resourcemanager.projects.get |
פרויקט |
שיוכים של משאבים
כדי להעביר פרויקט בין חשבונות לחיוב, נדרשות אותן ההרשאות כמו להסרה של הפרויקט מהחשבון לחיוב המקורי ושיוך שלו לחשבון לחיוב החדש.
| פעולה | הרשאה | משאב |
|---|---|---|
| הצגת השיוכים של פרויקט | billing.resourceAssociations.list |
חשבון לחיוב |
resourcemanager.projects.get |
פרויקט | |
| שיוך הפרויקט לחשבון לחיוב | billing.resourceAssociations.create |
חשבון לחיוב |
resourcemanager.projects.createBillingAssignment |
פרויקט | |
| הסרה של פרויקט מחשבון לחיוב | billing.resourceAssociations.delete |
חשבון לחיוב |
resourcemanager.projects.deleteBillingAssignment |
פרויקט |
התראות של תקציבים והוצאות
| פעולה | הרשאה | משאב |
|---|---|---|
| הצגה של רשימת התקציבים בחשבון לחיוב ב-Cloud | billing.budgets.get |
חשבון לחיוב |
billing.budgets.list |
חשבון לחיוב | |
| עדכון תקציב שמוגבל להיקף החשבון לחיוב ב-Cloud | billing.budgets.update |
חשבון לחיוב |
| יצירה של תקציב לחשבון לחיוב ב-Cloud | billing.budgets.create |
חשבון לחיוב |
| הצגה של רשימת התקציבים שמוגבלים להיקף של פרויקט יחיד | resourcemanager.projects.get |
פרויקט |
billing.resourceCosts.get |
פרויקט | |
billing.resourcebudgets.read |
פרויקט | |
| עדכון תקציב שמוגבל להיקף של פרויקט יחיד | resourcemanager.projects.get |
פרויקט |
billing.resourceCosts.get |
פרויקט | |
billing.resourcebudgets.read |
פרויקט | |
billing.resourcebudgets.write |
פרויקט | |
| יצירת תקציב שמוגבל להיקף של פרויקט יחיד | resourcemanager.projects.get |
פרויקט |
billing.resourceCosts.get |
פרויקט | |
billing.resourcebudgets.read |
פרויקט | |
billing.resourcebudgets.write |
פרויקט |
זיכויים וקידומי מכירות
| פעולה | הרשאה | משאב |
|---|---|---|
| הצגה של רשימת הזיכויים, כולל הסכום המקורי והסכום שנותר | billing.credits.list |
חשבון לחיוב |
| מימוש קוד שובר | billing.accounts.redeemPromotion |
חשבון לחיוב |
billing.accounts.update |
חשבון לחיוב |
מדיניות
המדיניות מגדירה אילו משתמשים יקבלו גישה לאילו משאבים בחשבון לחיוב. למידע על יצירה ושינוי של תפקידים מותאמים אישית, ראו יצירת תפקיד בהתאמה אישית למעלה.
| פעולה | הרשאה | משאב |
|---|---|---|
| הצגת התפקידים בחשבון, כולל שמות המשתמשים המשויכים | billing.accounts.getIamPolicy |
חשבון לחיוב |
| הקצאת תפקידים למשתמשים בחשבון | billing.accounts.setIamPolicy |
חשבון לחיוב |
מפרטי ייצוא
הגדרות הייצוא קובעות לאן יישלח עותק של כל נתוני השימוש ויכולות לכלול את השם של מערך הנתונים ב-BigQuery.
| פעולה | הרשאה | משאב |
|---|---|---|
| הצגת הגדרות הייצוא הנוכחיות (הקטגוריה של Cloud Storage או מערך הנתונים ב-BigQuery לצורך ייצוא נתוני השימוש) | billing.accounts.getUsageExportSpec |
חשבון לחיוב |
| שינוי הגדרות הייצוא | billing.accounts.updateUsageExportSpec |
חשבון לחיוב |
נושאים קשורים
- סקירה כללית על בקרת הגישה לחיוב ב-Cloud
- בקרת גישה ל-Cloud Billing API
- מתן, שינוי וביטול של הרשאות גישה