Membuat peran khusus untuk akun Penagihan Cloud

Identity and Access Management (IAM) mencakup izin terperinci, yang memungkinkan Anda untuk memberikan atau mencabut akses ke tindakan tertentu untuk setiap pengguna. Untuk menyederhanakan proses penetapan izin kepada pengguna, peran IAM menggabungkan izin terperinci ini ke dalam grup yang terkait. Penagihan memiliki peran bawaan, seperti Billing Account Administrator atau Billing Account Viewer, yang berfungsi untuk sebagian besar pengguna. Namun, jika tidak sesuai dengan kebutuhan Anda, peran khusus memungkinkan Anda memberikan kumpulan izin yang lebih spesifik.

Membuat peran khusus

Peran khusus dibuat di organisasi, lalu diterapkan ke akun penagihan apa pun di organisasi. Membuat dan Mengelola Peran Khusus dalam dokumentasi IAM menjelaskan cara mengonfigurasi peran khusus, termasuk izin mana yang diperlukan.

Setelah peran khusus dibuat, Anda dapat memberikan peran khusus kepada pengguna seperti peran bawaan standar. Pelajari cara memperbarui izin penagihan.

Contoh peran khusus

Misalnya, Anda ingin memberi seseorang kemampuan untuk mengedit fitur pengelolaan biaya, seperti pemberitahuan anggaran dan ekspor penagihan. Izin yang relevan adalah:

  • billing.budgets.create
  • billing.budgets.update
  • billing.accounts.updateUsageExportSpec

Dengan peran yang telah ditetapkan sebelumnya, untuk menerapkan izin ini, Anda perlu memberikan peran Billing Account Administrator. Namun, peran tersebut juga mencakup izin untuk menghapus pengaitan resource, membatalkan langganan, dan menutup akun penagihan. Jika tidak ingin pengguna memiliki kemampuan tersebut, Anda dapat membuat peran khusus hanya dengan tiga izin yang diperlukan dan menamainya Administrator Pengelolaan Biaya. Kemudian, Anda dapat menerapkan peran khusus tersebut bersama dengan peran Billing Account Viewer kepada setiap pengguna yang harus memiliki izin pengelolaan biaya yang luas, tetapi tidak memiliki kemampuan untuk mengedit properti akun lainnya.

Pengaitan dan warisan izin

Anda dapat memberikan izin penagihan di level akun penagihan atau di level project. Sebagian besar izin penagihan dimiliki oleh akun penagihan, sehingga peran yang berisi izin tersebut harus dikaitkan dengan akun penagihan. Izin penagihan lainnya seharusnya dimiliki project dan harus dikaitkan dengan project, bukan akun penagihan.

Misalnya, mengaitkan project dengan akun penagihan memerlukan izin billing.resourceAssociations.create pada akun penagihan dan juga izin resourcemanager.projects.createBillingAssignment pada project. Hal ini karena izin project diperlukan untuk tindakan ketika pemilik project mengontrol akses, sedangkan izin akun penagihan diperlukan untuk tindakan yang aksesnya dikontrol oleh billing account administrator. Jika keduanya terlibat, kedua izin tersebut diperlukan.

Sama seperti izin IAM lainnya, semua izin penagihan diwarisi dari level hierarki penagihan yang lebih tinggi. Misalnya, pengguna dengan peran yang berisi billing.accounts.close di organisasi dapat menutup akun penagihan apa pun dalam organisasi tersebut. Namun, beberapa izin hanya berlaku di tingkat yang lebih tinggi. Misalnya, izin billing.accounts.list tidak melakukan apa pun saat diterapkan ke akun penagihan individual, tetapi pengguna dengan peran yang berisi billing.accounts.list di organisasi dapat mencantumkan semua akun penagihan dalam organisasi tersebut.

Aktivitas penagihan

Tabel berikut menjelaskan aktivitas penagihan umum, izin yang diperlukan untuk melakukan aktivitas tersebut, dan resource yang diatur oleh izin tersebut.

Pengelolaan akun

Tindakan Izin Resource
Mendapatkan informasi akun dasar (misalnya, nama akun, mata uang, atau apakah akun terbuka atau ditutup) billing.accounts.get Akun penagihan
Upgrade dari uji coba gratis billing.accounts.update Akun penagihan
Mengganti nama akun billing.accounts.update Akun penagihan
Mengubah nomor pesanan pembelian (PO) billing.accounts.update Akun penagihan
Menutup akun billing.accounts.close Akun penagihan
Membuka kembali akun yang ditutup billing.accounts.reopen Akun penagihan

Hierarki akun penagihan

Tindakan Izin Resource
Mencantumkan akun di organisasi billing.accounts.list Organisasi
Membuat akun dalam organisasi billing.accounts.create Organisasi
Memindahkan akun ke organisasi billing.accounts.create Organisasi
billing.accounts.move Akun penagihan
Memindahkan akun di antara organisasi billing.accounts.removeFromOrganization Organisasi lama
billing.accounts.create Organisasi baru
billing.accounts.move Akun penagihan

Informasi pembayaran

Profil pembayaran mencakup nama, alamat, dan metode pembayaran pelanggan.

Tindakan Izin Resource
Melihat profil pembayaran billing.accounts.getPaymentInfo Akun penagihan
Memperbarui profil pembayaran billing.accounts.updatePaymentInfo Akun penagihan
Melihat harga hanya untuk SKU yang menimbulkan penggunaan billing.accounts.getPricing Akun penagihan
Melihat harga kontrak khusus per SKU untuk akun penagihan billing.accounts.getPricing Akun penagihan
Melihat biaya dan penggunaan akun penagihan* billing.accounts.getSpendingInformation Akun penagihan
Melihat biaya dan penggunaan untuk sebuah project* billing.resourceCosts.get Project
resourcemanager.projects.get Project

Pengaitan resource

Memindahkan project antar-akun penagihan memerlukan izin yang sama seperti menghapusnya dari akun penagihan asli dan mengaitkannya dengan akun penagihan yang baru.

Tindakan Izin Resource
Melihat pengaitan project billing.resourceAssociations.list Akun penagihan
resourcemanager.projects.get Project
Mengaitkan project dengan akun penagihan billing.resourceAssociations.create Akun penagihan
resourcemanager.projects.createBillingAssignment Project
Menghapus project dari akun penagihan billing.resourceAssociations.delete Akun penagihan
resourcemanager.projects.deleteBillingAssignment Project

Pemberitahuan anggaran dan pengeluaran

Tindakan Izin Resource
Melihat daftar anggaran untuk akun Penagihan Cloud billing.budgets.get Akun penagihan
billing.budgets.list Akun penagihan
Memperbarui anggaran yang menjadi cakupan akun Penagihan Cloud billing.budgets.update Akun penagihan
Membuat anggaran untuk akun Penagihan Cloud billing.budgets.create Akun penagihan
Melihat daftar anggaran yang menjadi cakupan satu project resourcemanager.projects.get Project
billing.resourceCosts.get Project
billing.resourcebudgets.read Project
Memperbarui anggaran yang menjadi cakupan satu project resourcemanager.projects.get Project
billing.resourceCosts.get Project
billing.resourcebudgets.read Project
billing.resourcebudgets.write Project
Membuat anggaran yang menjadi cakupan satu project resourcemanager.projects.get Project
billing.resourceCosts.get Project
billing.resourcebudgets.read Project
billing.resourcebudgets.write Project

Kredit dan promosi

Tindakan Izin Resource
Melihat daftar kredit, termasuk jumlah asli dan yang tersisa billing.credits.list Akun penagihan
Menukar kode promosi billing.accounts.redeemPromotion Akun penagihan
billing.accounts.update Akun penagihan

Kebijakan

Kebijakan ini menentukan pengguna mana yang memiliki akses ke resource tertentu di akun penagihan. Untuk mengetahui informasi tentang cara membuat atau mengubah peran khusus, lihat bagian Membuat Peran Khusus di atas.

Tindakan Izin Resource
Melihat peran pada akun, termasuk nama pengguna yang terkait billing.accounts.getIamPolicy Akun penagihan
Memberikan peran kepada pengguna di akun billing.accounts.setIamPolicy Akun penagihan

Spesifikasi ekspor

Spesifikasi ekspor menentukan tujuan pengiriman salinan semua data terkait penggunaan, dan dapat berisi nama set data BigQuery.

Tindakan Izin Resource
Melihat spesifikasi ekspor saat ini (bucket Cloud Storage atau set data BigQuery yang menjadi tujuan ekspor data penggunaan) billing.accounts.getUsageExportSpec Akun penagihan
Mengubah spesifikasi ekspor billing.accounts.updateUsageExportSpec Akun penagihan