מערכת ניהול הזהויות והרשאות הגישה (IAM) כוללת הרשאות מפורטות שמאפשרות לכם לתת או לבטל גישה של משתמשים מסוימים לפעולות ספציפיות. כדי לפשט את התהליך של הקצאת הרשאות למשתמשים, אנחנו נעזרים בתפקידי IAM שמשלבים את ההרשאות האלה לקבוצות קשורות. בחשבון לחיוב יש תפקידים מוגדרים מראש, כמו "אדמין של חשבון לחיוב" או "צפייה בחשבון לחיוב", שמתאימים לרוב המשתמשים. אבל אם התפקידים האלה לא מתאימים לצרכים שלכם, תוכלו להגדיר תפקידים בעצמכם ולהעניק קבוצות ספציפיות יותר של הרשאות.
יצירת תפקיד בהתאמה אישית
תפקידים בהתאמה אישית נוצרים ברמת הארגון, ואז אפשר להחיל אותם על חשבונות לחיוב בארגון. במאמר יצירה וניהול של תפקידים בהתאמה אישית בחומרי העזר של IAM מוסבר איך מגדירים תפקידים כאלה ואילו הרשאות דרושות.
אחרי שתיצרו את התפקידים בהתאמה אישית תוכלו להקצות אותם למשתמשים, בדיוק כמו שאתם מקצים תפקידים רגילים שמוגדרים מראש. איך מעדכנים את הרשאות החיוב
דוגמה לתפקיד בהתאמה אישית
נניח שאתם רוצים לאפשר למשתמש לערוך מאפיינים של ניהול עלויות, כמו התראות לגבי התקציב או ייצוא החיובים. ההרשאות הרלוונטיות הן:
billing.budgets.createbilling.budgets.updatebilling.accounts.updateUsageExportSpec
אם אתם משתמשים בתפקידים מוגדרים מראש, אתם צריכים לתת את התפקיד "אדמין של חשבון לחיוב" כדי שההרשאות יחולו. עם זאת, התפקיד הזה כולל גם הרשאה למחיקת שיוכים של משאבים, לביטול מינויים ולסגירת החשבון לחיוב. אם אתם לא רוצים לתת למשתמשים את היכולות האלה, תוכלו במקום זאת ליצור תפקיד בהתאמה אישית שכולל רק את שלוש ההרשאות הנחוצות, ולקרוא לו אדמין לניהול עלויות. אחר כך תוכלו להקצות את התפקיד המותאם אישית, בשילוב עם התפקיד "צפייה בחשבון לחיוב", לכל המשתמשים שצריכים לקבל הרשאות נרחבות לניהול עלויות, בלי היכולת לערוך מאפיינים אחרים של החשבון.
שיוך וירושה של הרשאות
אתם יכולים להעניק הרשאות חיוב ברמת החשבון לחיוב או ברמת הפרויקט. רוב הרשאות החיוב מתאימות לרמת החשבון לחיוב, ולכן תפקידים שכוללים את ההרשאות האלה צריכים להיות משויכים לחשבון לחיוב. לעומת זאת, יש הרשאות חיוב שמתאימות לרמת הפרויקט ולכן הן צריכות להיות משויכות לפרויקט ולא לחשבון.
לדוגמה, כדי לשייך פרויקט לחשבון לחיוב, נדרשת ההרשאה billing.resourceAssociations.create בחשבון לחיוב וגם ההרשאה resourcemanager.projects.createBillingAssignment בפרויקט. הסיבה לכך היא שלפעולות שבהן בעלי הפרויקט שולטים בגישה נדרשות הרשאות בפרויקט, ולעומת זאת לפעולות שבהן האדמין של החשבון לחיוב שולט בגישה נדרשות הרשאות בחשבון לחיוב. כששני בעלי התפקידים האלו מעורבים בפעולה נתונה, נדרשות שתי ההרשאות.
בדומה להרשאות IAM אחרות, כל הרשאות החיוב עוברות בירושה מהרמות הגבוהות יותר של היררכיית החיוב. לדוגמה, משתמש בתפקיד שכולל את ההרשאה billing.accounts.close ברמת הארגון, יכול לסגור כל חשבון לחיוב ששייך לארגון. עם זאת, חלק מההרשאות רלוונטיות רק ברמות הגבוהות יותר. לדוגמה, להרשאה billing.accounts.list אין השפעה כשהיא חלה על חשבון לחיוב מסוים, אבל משתמש שהוקצה לו תפקיד שכולל את ההרשאה billing.accounts.list ברמת הארגון, יכול לראות רשימה של כל החשבונות לחיוב בארגון.
פעילויות חיוב
בטבלאות הבאות מתוארות פעילויות החיוב הנפוצות, ההרשאות שנדרשות כדי לבצע אותן והמשאבים שההרשאות חלות עליהם.
ניהול חשבון
| פעולה | הרשאה | משאב |
|---|---|---|
| צפייה בפרטי חשבון בסיסיים (כמו שם החשבון, המטבע והסטטוס של החשבון – "פתוח" או "סגור") | billing.accounts.get |
חשבון לחיוב |
| שדרוג מתקופת הניסיון בחינם | billing.accounts.update |
חשבון לחיוב |
| שינוי שם החשבון | billing.accounts.update |
חשבון לחיוב |
| שינוי של מספר הזמנת הרכש | billing.accounts.update |
חשבון לחיוב |
| סגירת החשבון | billing.accounts.close |
חשבון לחיוב |
| פתיחה מחדש של חשבון שנסגר | billing.accounts.reopen |
חשבון לחיוב |
היררכיית חשבון לחיוב
| פעולה | הרשאה | משאב |
|---|---|---|
| יצירה של רשימת החשבונות בארגון | billing.accounts.list |
ארגון |
| יצירת חשבונות בארגון | billing.accounts.create |
ארגון |
| העברת חשבון לארגון | billing.accounts.create |
ארגון |
billing.accounts.move |
חשבון לחיוב | |
| העברת חשבון בין ארגונים | billing.accounts.removeFromOrganization |
ארגון ישן |
billing.accounts.create |
ארגון חדש | |
billing.accounts.move |
חשבון לחיוב |
פרטי עלויות
אתם יכולים לתת הרשאות שיאפשרו למשתמש לראות רק את העלויות ברמת הפרויקט הספציפי, או לתת לו הרשאות ברמת החשבון לחיוב כדי שיוכל לראות את כל העלויות בחשבון.
| פעולה | הרשאה | משאב |
|---|---|---|
| צפייה בעלויות ובנתוני השימוש שנצברו בחשבון לחיוב* | billing.accounts.getSpendingInformation |
חשבון לחיוב |
| צפייה בעלויות ובשימוש שנצברו בפרויקט* | billing.resourceCosts.get |
פרויקט |
resourcemanager.projects.get |
פרויקט |
פרטי תשלום
פרופיל התשלומים כולל את שם הלקוח, הכתובת ואמצעי התשלום.
| פעולה | הרשאה | משאב |
|---|---|---|
| צפייה בפרופיל תשלומים | billing.accounts.getPaymentInfo |
חשבון לחיוב |
| עדכון של פרופיל תשלומים | billing.accounts.updatePaymentInfo |
חשבון לחיוב |
| צפייה במחירים של מק"טים שנעשה בהם שימוש בלבד | billing.accounts.getPricing |
חשבון לחיוב |
| צפייה במחירים מותאמים אישית בחוזה לכל מק"ט בחשבון לחיוב | billing.accounts.getPricing |
חשבון לחיוב |
| צפייה בעלויות ובנתוני השימוש שנצברו בחשבון לחיוב* | billing.accounts.getSpendingInformation |
חשבון לחיוב |
שיוך משאבים
כדי להעביר פרויקט בין חשבונות לחיוב, נדרשות אותן ההרשאות כמו להסרה של הפרויקט מהחשבון המקורי ושיוך לחשבון החדש.
| פעולה | הרשאה | משאב |
|---|---|---|
| צפייה בשיוכים של פרויקט | billing.resourceAssociations.list |
חשבון לחיוב |
resourcemanager.projects.get |
פרויקט | |
| שיוך הפרויקט לחשבון לחיוב | billing.resourceAssociations.create |
חשבון לחיוב |
resourcemanager.projects.createBillingAssignment |
פרויקט | |
| הסרה של פרויקט מחשבון לחיוב | billing.resourceAssociations.delete |
חשבון לחיוב |
resourcemanager.projects.deleteBillingAssignment |
פרויקט |
התראות לגבי תקציבים והוצאות
| פעולה | הרשאה | משאב |
|---|---|---|
| צפייה ברשימת התקציבים בחשבון לחיוב ב-Cloud | billing.budgets.get |
חשבון לחיוב |
billing.budgets.list |
חשבון לחיוב | |
| עדכון תקציב שמוגבל להיקף החשבון לחיוב ב-Cloud | billing.budgets.update |
חשבון לחיוב |
| יצירת תקציב לחשבון לחיוב ב-Cloud | billing.budgets.create |
חשבון לחיוב |
| צפייה ברשימת התקציבים שמוגבלים לפרויקט יחיד | resourcemanager.projects.get |
פרויקט |
billing.resourceCosts.get |
פרויקט | |
billing.resourcebudgets.read |
פרויקט | |
| עדכון תקציב שמוגבל לפרויקט יחיד | resourcemanager.projects.get |
פרויקט |
billing.resourceCosts.get |
פרויקט | |
billing.resourcebudgets.read |
פרויקט | |
billing.resourcebudgets.write |
פרויקט | |
| יצירת תקציב שמוגבל לפרויקט יחיד | resourcemanager.projects.get |
פרויקט |
billing.resourceCosts.get |
פרויקט | |
billing.resourcebudgets.read |
פרויקט | |
billing.resourcebudgets.write |
פרויקט |
זיכויים וקידומי מכירות
| פעולה | הרשאה | משאב |
|---|---|---|
| צפייה ברשימת הזיכויים, כולל הסכום המקורי והסכום שנותר | billing.credits.list |
חשבון לחיוב |
| מימוש קוד שובר | billing.accounts.redeemPromotion |
חשבון לחיוב |
billing.accounts.update |
חשבון לחיוב |
מדיניות
המדיניות מגדירה אילו משתמשים יקבלו גישה לאילו משאבים בחשבון לחיוב. למידע על יצירה ושינוי של תפקידים מותאמים אישית, קראו את הקטע יצירת תפקיד בהתאמה אישית למעלה.
| פעולה | הרשאה | משאב |
|---|---|---|
| צפייה בתפקידים בחשבון, כולל שמות המשתמשים המשויכים | billing.accounts.getIamPolicy |
חשבון לחיוב |
| הקצאת תפקידים למשתמשים בחשבון | billing.accounts.setIamPolicy |
חשבון לחיוב |
מפרטי ייצוא
הגדרות הייצוא קובעות לאן יישלח עותק של כל נתוני השימוש ויכולות לכלול את השם של מערך הנתונים ב-BigQuery.
| פעולה | הרשאה | משאב |
|---|---|---|
| הצגת הגדרות הייצוא הנוכחיות (הקטגוריה של Cloud Storage או מערך הנתונים ב-BigQuery לצורך ייצוא נתוני השימוש) | billing.accounts.getUsageExportSpec |
חשבון לחיוב |
| שינוי הגדרות הייצוא | billing.accounts.updateUsageExportSpec |
חשבון לחיוב |
נושאים קשורים
- סקירה כללית על בקרת הגישה לחיוב ב-Cloud
- בקרת גישה ל-Cloud Billing API
- מתן, שינוי וביטול של הרשאות גישה