יצירת תפקידים בהתאמה אישית בחשבונות לחיוב ב-Cloud

מערכת ניהול הזהויות והרשאות הגישה (IAM) כוללת הרשאות מפורטות שמאפשרות לכם לתת או לבטל גישה של משתמשים מסוימים לפעולות ספציפיות. כדי לפשט את התהליך של הקצאת הרשאות למשתמשים, אנחנו נעזרים בתפקידי IAM שמשלבים את ההרשאות האלה לקבוצות קשורות. בחשבון לחיוב יש תפקידים מוגדרים מראש, כמו "אדמין של חשבון לחיוב" או "צפייה בחשבון לחיוב", שמתאימים לרוב המשתמשים. אבל אם התפקידים האלה לא מתאימים לצרכים שלכם, תוכלו להגדיר תפקידים בעצמכם ולהעניק קבוצות ספציפיות יותר של הרשאות.

יצירת תפקיד בהתאמה אישית

תפקידים בהתאמה אישית נוצרים ברמת הארגון, ואז אפשר להחיל אותם על חשבונות לחיוב בארגון. במאמר יצירה וניהול של תפקידים בהתאמה אישית בחומרי העזר של IAM מוסבר איך מגדירים תפקידים כאלה ואילו הרשאות דרושות.

אחרי שתיצרו את התפקידים בהתאמה אישית תוכלו להקצות אותם למשתמשים, בדיוק כמו שאתם מקצים תפקידים רגילים שמוגדרים מראש. איך מעדכנים את הרשאות החיוב

דוגמה לתפקיד בהתאמה אישית

נניח שאתם רוצים לאפשר למשתמש לערוך מאפיינים של ניהול עלויות, כמו התראות לגבי התקציב או ייצוא החיובים. ההרשאות הרלוונטיות הן:

  • billing.budgets.create
  • billing.budgets.update
  • billing.accounts.updateUsageExportSpec

אם אתם משתמשים בתפקידים מוגדרים מראש, אתם צריכים לתת את התפקיד "אדמין של חשבון לחיוב" כדי שההרשאות יחולו. עם זאת, התפקיד הזה כולל גם הרשאה למחיקת שיוכים של משאבים, לביטול מינויים ולסגירת החשבון לחיוב. אם אתם לא רוצים לתת למשתמשים את היכולות האלה, תוכלו במקום זאת ליצור תפקיד בהתאמה אישית שכולל רק את שלוש ההרשאות הנחוצות, ולקרוא לו אדמין לניהול עלויות. אחר כך תוכלו להקצות את התפקיד המותאם אישית, בשילוב עם התפקיד "צפייה בחשבון לחיוב", לכל המשתמשים שצריכים לקבל הרשאות נרחבות לניהול עלויות, בלי היכולת לערוך מאפיינים אחרים של החשבון.

שיוך וירושה של הרשאות

אתם יכולים להעניק הרשאות חיוב ברמת החשבון לחיוב או ברמת הפרויקט. רוב הרשאות החיוב מתאימות לרמת החשבון לחיוב, ולכן תפקידים שכוללים את ההרשאות האלה צריכים להיות משויכים לחשבון לחיוב. לעומת זאת, יש הרשאות חיוב שמתאימות לרמת הפרויקט ולכן הן צריכות להיות משויכות לפרויקט ולא לחשבון.

לדוגמה, כדי לשייך פרויקט לחשבון לחיוב, נדרשת ההרשאה billing.resourceAssociations.create בחשבון לחיוב וגם ההרשאה resourcemanager.projects.createBillingAssignment בפרויקט. הסיבה לכך היא שלפעולות שבהן בעלי הפרויקט שולטים בגישה נדרשות הרשאות בפרויקט, ולעומת זאת לפעולות שבהן האדמין של החשבון לחיוב שולט בגישה נדרשות הרשאות בחשבון לחיוב. כששני בעלי התפקידים האלו מעורבים בפעולה נתונה, נדרשות שתי ההרשאות.

בדומה להרשאות IAM אחרות, כל הרשאות החיוב עוברות בירושה מהרמות הגבוהות יותר של היררכיית החיוב. לדוגמה, משתמש בתפקיד שכולל את ההרשאה billing.accounts.close ברמת הארגון, יכול לסגור כל חשבון לחיוב ששייך לארגון. עם זאת, חלק מההרשאות רלוונטיות רק ברמות הגבוהות יותר. לדוגמה, להרשאה billing.accounts.list אין השפעה כשהיא חלה על חשבון לחיוב מסוים, אבל משתמש שהוקצה לו תפקיד שכולל את ההרשאה billing.accounts.list ברמת הארגון, יכול לראות רשימה של כל החשבונות לחיוב בארגון.

פעילויות חיוב

בטבלאות הבאות מתוארות פעילויות החיוב הנפוצות, ההרשאות שנדרשות כדי לבצע אותן והמשאבים שההרשאות חלות עליהם.

ניהול חשבון

פעולה הרשאה משאב
צפייה בפרטי חשבון בסיסיים (כמו שם החשבון, המטבע והסטטוס של החשבון – "פתוח" או "סגור") billing.accounts.get חשבון לחיוב
שדרוג מתקופת הניסיון בחינם billing.accounts.update חשבון לחיוב
שינוי שם החשבון billing.accounts.update חשבון לחיוב
שינוי של מספר הזמנת הרכש billing.accounts.update חשבון לחיוב
סגירת החשבון billing.accounts.close חשבון לחיוב
פתיחה מחדש של חשבון שנסגר billing.accounts.reopen חשבון לחיוב

היררכיית חשבון לחיוב

פעולה הרשאה משאב
יצירה של רשימת החשבונות בארגון billing.accounts.list ארגון
יצירת חשבונות בארגון billing.accounts.create ארגון
העברת חשבון לארגון billing.accounts.create ארגון
billing.accounts.move חשבון לחיוב
העברת חשבון בין ארגונים billing.accounts.removeFromOrganization ארגון ישן
billing.accounts.create ארגון חדש
billing.accounts.move חשבון לחיוב

פרטי עלויות

אתם יכולים לתת הרשאות שיאפשרו למשתמש לראות רק את העלויות ברמת הפרויקט הספציפי, או לתת לו הרשאות ברמת החשבון לחיוב כדי שיוכל לראות את כל העלויות בחשבון.

פעולה הרשאה משאב
צפייה בעלויות ובנתוני השימוש שנצברו בחשבון לחיוב* billing.accounts.getSpendingInformation חשבון לחיוב
צפייה בעלויות ובשימוש שנצברו בפרויקט* billing.resourceCosts.get פרויקט
resourcemanager.projects.get פרויקט

פרטי תשלום

פרופיל התשלומים כולל את שם הלקוח, הכתובת ואמצעי התשלום.

פעולה הרשאה משאב
צפייה בפרופיל תשלומים billing.accounts.getPaymentInfo חשבון לחיוב
עדכון של פרופיל תשלומים billing.accounts.updatePaymentInfo חשבון לחיוב
צפייה במחירים של מק"טים שנעשה בהם שימוש בלבד billing.accounts.getPricing חשבון לחיוב
צפייה במחירים מותאמים אישית בחוזה לכל מק"ט בחשבון לחיוב billing.accounts.getPricing חשבון לחיוב
צפייה בעלויות ובנתוני השימוש שנצברו בחשבון לחיוב* billing.accounts.getSpendingInformation חשבון לחיוב

שיוך משאבים

כדי להעביר פרויקט בין חשבונות לחיוב, נדרשות אותן ההרשאות כמו להסרה של הפרויקט מהחשבון המקורי ושיוך לחשבון החדש.

פעולה הרשאה משאב
צפייה בשיוכים של פרויקט billing.resourceAssociations.list חשבון לחיוב
resourcemanager.projects.get פרויקט
שיוך הפרויקט לחשבון לחיוב billing.resourceAssociations.create חשבון לחיוב
resourcemanager.projects.createBillingAssignment פרויקט
הסרה של פרויקט מחשבון לחיוב billing.resourceAssociations.delete חשבון לחיוב
resourcemanager.projects.deleteBillingAssignment פרויקט

התראות לגבי תקציבים והוצאות

פעולה הרשאה משאב
צפייה ברשימת התקציבים בחשבון לחיוב ב-Cloud billing.budgets.get חשבון לחיוב
billing.budgets.list חשבון לחיוב
עדכון תקציב שמוגבל להיקף החשבון לחיוב ב-Cloud billing.budgets.update חשבון לחיוב
יצירת תקציב לחשבון לחיוב ב-Cloud billing.budgets.create חשבון לחיוב
צפייה ברשימת התקציבים שמוגבלים לפרויקט יחיד resourcemanager.projects.get פרויקט
billing.resourceCosts.get פרויקט
billing.resourcebudgets.read פרויקט
עדכון תקציב שמוגבל לפרויקט יחיד resourcemanager.projects.get פרויקט
billing.resourceCosts.get פרויקט
billing.resourcebudgets.read פרויקט
billing.resourcebudgets.write פרויקט
יצירת תקציב שמוגבל לפרויקט יחיד resourcemanager.projects.get פרויקט
billing.resourceCosts.get פרויקט
billing.resourcebudgets.read פרויקט
billing.resourcebudgets.write פרויקט

זיכויים וקידומי מכירות

פעולה הרשאה משאב
צפייה ברשימת הזיכויים, כולל הסכום המקורי והסכום שנותר billing.credits.list חשבון לחיוב
מימוש קוד שובר billing.accounts.redeemPromotion חשבון לחיוב
billing.accounts.update חשבון לחיוב

מדיניות

המדיניות מגדירה אילו משתמשים יקבלו גישה לאילו משאבים בחשבון לחיוב. למידע על יצירה ושינוי של תפקידים מותאמים אישית, קראו את הקטע יצירת תפקיד בהתאמה אישית למעלה.

פעולה הרשאה משאב
צפייה בתפקידים בחשבון, כולל שמות המשתמשים המשויכים billing.accounts.getIamPolicy חשבון לחיוב
הקצאת תפקידים למשתמשים בחשבון billing.accounts.setIamPolicy חשבון לחיוב

מפרטי ייצוא

הגדרות הייצוא קובעות לאן יישלח עותק של כל נתוני השימוש ויכולות לכלול את השם של מערך הנתונים ב-BigQuery.

פעולה הרשאה משאב
הצגת הגדרות הייצוא הנוכחיות (הקטגוריה של Cloud Storage או מערך הנתונים ב-BigQuery לצורך ייצוא נתוני השימוש) billing.accounts.getUsageExportSpec חשבון לחיוב
שינוי הגדרות הייצוא billing.accounts.updateUsageExportSpec חשבון לחיוב