Identity and Access Management (IAM) umfasst detaillierte Berechtigungen, mit denen Sie einzelnen Nutzern den Zugriff auf bestimmte Aktionen gewähren oder entziehen können. Um das Zuweisen von Berechtigungen für Nutzer zu vereinfachen, werden in IAM-Rollen verwandte Berechtigungen gruppiert. Für die Abrechnung stehen vordefinierte Rollen wie Rechnungskontoadministrator oder Rechnungskontobetrachter zur Verfügung, die für die meisten Nutzer geeignet sind. Sie können jedoch auch benutzerdefinierte Rollen erstellen, um spezifischere Berechtigungen zu gewähren.
Benutzerdefinierte Rolle erstellen
Benutzerdefinierte Rollen werden für die Organisation erstellt und anschließend auf die gewünschten Rechnungskonten der Organisation angewendet. In der Cloud IAM-Dokumentation wird unter Benutzerdefinierte Rollen erstellen und verwalten erläutert, wie Sie benutzerdefinierte Rollen konfigurieren und welche Berechtigungen erforderlich sind.
Nach der Erstellung können Sie benutzerdefinierte Rollen wie standardmäßige vordefinierte Rollen zuweisen. Weitere Informationen zum Aktualisieren von Abrechnungsberechtigungen
Beispiel einer benutzerdefinierten Rolle
Nehmen wir an, Sie möchten einem Nutzer die Möglichkeit geben, Kostenverwaltungsfunktionen wie Budgetbenachrichtigungen und den Abrechnungsexport zu bearbeiten. Hierfür sind folgende Berechtigungen erforderlich:
billing.budgets.createbilling.budgets.updatebilling.accounts.updateUsageExportSpec
Um diese Berechtigungen zu gewähren, wäre als vordefinierte Rolle Rechnungskontoadministrator erforderlich. Mit dieser Rolle erhalten Nutzer jedoch auch die Berechtigung, Ressourcenverknüpfungen zu löschen, Abonnements zu stornieren und das Rechnungskonto zu schließen. Wenn Sie Nutzern diese Berechtigungen nicht gewähren möchten, können Sie stattdessen eine benutzerdefinierte Rolle erstellen. Diese könnte beispielsweise die Bezeichnung Kostenverwaltungsadministrator erhalten und die drei oben genannten Berechtigungen umfassen. Diese benutzerdefinierte Rolle weisen Sie anschließend zusammen mit der Rolle Rechnungskontobetrachter allen Nutzern zu, die umfassende Kostenverwaltungsberechtigungen benötigen, aber keine anderen Kontoeigenschaften bearbeiten sollen.
Berechtigungen verknüpfen und übernehmen
Sie können Abrechnungsberechtigungen für das Rechnungskonto oder das Projekt gewähren. Die meisten Abrechnungsberechtigungen beziehen sich auf das Rechnungskonto, sodass Rollen mit diesen Berechtigungen mit dem Rechnungskonto verknüpft sein sollten. Abrechnungsberechtigungen, die sich auf ein Projekt beziehen, sollten hingegen mit diesem verknüpft werden.
Wenn Sie beispielsweise ein Projekt mit einem Rechnungskonto verknüpfen möchten, benötigen Sie die Berechtigung billing.resourceAssociations.create für das Rechnungskonto sowie die Berechtigung resourcemanager.projects.createBillingAssignment für das Projekt. Dies liegt daran, dass Projektberechtigungen für Aktionen erforderlich sind, bei denen Projektinhaber den Zugriff steuern. Berechtigungen für Rechnungskonten hingegen sind für Aktionen erforderlich, bei denen Rechnungskontoadministratoren den Zugriff steuern. Wenn beide beteiligt sein sollen, sind beide Berechtigungen erforderlich.
Ebenso wie andere Cloud IAM-Berechtigungen beinhalten auch Abrechnungsberechtigungen jeweils alle Berechtigungen der ihnen in der Abrechnungshierarchie übergeordneten Ebenen. Beispielsweise kann ein Nutzer mit einer Rolle, die die Berechtigung billing.accounts.close für eine Organisation enthält, jedes Rechnungskonto dieser Organisation schließen. Manche Berechtigungen gelten jedoch nur für übergeordnete Ebenen. Die Berechtigung billing.accounts.list hat beispielsweise keine Auswirkungen für ein einzelnes Rechnungskonto. Ein Nutzer mit einer Rolle, die die Berechtigung billing.accounts.list für eine Organisation enthält, kann aber alle Rechnungskonten dieser Organisation auflisten.
Abrechnungsaktivitäten
In den folgenden Tabellen finden Sie eine Beschreibung der allgemeinen Abrechnungsaktivitäten, der zum Ausführen dieser Aktivitäten erforderlichen Berechtigungen sowie der Ressource, für die diese Berechtigungen gelten.
Kontoverwaltung
| Aktion | Berechtigung | Ressource |
|---|---|---|
| Grundlegende Kontoinformationen abrufen (z. B. Kontoname, Währung, offen/geschlossen) | billing.accounts.get |
Rechnungskonto |
| Upgrade von der kostenlosen Testversion durchführen | billing.accounts.update |
Rechnungskonto |
| Konto umbenennen | billing.accounts.update |
Rechnungskonto |
| Auftragsnummer ändern | billing.accounts.update |
Rechnungskonto |
| Konto schließen | billing.accounts.close |
Rechnungskonto |
| Geschlossenes Konto wiedereröffnen | billing.accounts.reopen |
Rechnungskonto |
Rechnungskontohierarchie
| Aktion | Berechtigung | Ressource |
|---|---|---|
| Konten in der Organisation auflisten | billing.accounts.list |
Organisation |
| Konten in der Organisation erstellen | billing.accounts.create |
Organisation |
| Konto in die Organisation verschieben | billing.accounts.create |
Organisation |
billing.accounts.move |
Rechnungskonto | |
| Konto zwischen Organisationen verschieben | billing.accounts.removeFromOrganization |
Alte Organisation |
billing.accounts.create |
Neue Organisation | |
billing.accounts.move |
Rechnungskonto |
Zahlungsinformationen
Das Zahlungsprofil enthält den Kundennamen, die Adresse und die Zahlungsmethode.
| Aktion | Berechtigung | Ressource |
|---|---|---|
| Zahlungsprofil anzeigen | billing.accounts.getPaymentInfo |
Rechnungskonto |
| Zahlungsprofil aktualisieren | billing.accounts.updatePaymentInfo |
Rechnungskonto |
| Preise nur für die SKUs anzeigen, die bereits genutzt wurden | billing.accounts.getPricing |
Rechnungskonto |
| Benutzerdefinierte Vertragspreise pro SKU für ein Rechnungskonto anzeigen | billing.accounts.getPricing |
Rechnungskonto |
| Kosten und Nutzung für ein Rechnungskonto anzeigen * | billing.accounts.getSpendingInformation |
Rechnungskonto |
| Kosten und Nutzung für ein Projekt anzeigen * | billing.resourceCosts.get |
Projekt |
resourcemanager.projects.get |
Projekt |
Ressourcenverknüpfungen
Zum Verschieben eines Projekts zwischen Rechnungskonten benötigen Nutzer dieselben Berechtigungen, die auch erforderlich sind, um das Projekt aus dem ursprünglichen Rechnungskonto zu entfernen und mit dem neuen Konto zu verknüpfen.
| Aktion | Berechtigung | Ressource |
|---|---|---|
| Projektverknüpfungen anzeigen | billing.resourceAssociations.list |
Rechnungskonto |
resourcemanager.projects.get |
Projekt | |
| Projekt mit Rechnungskonto verknüpfen | billing.resourceAssociations.create |
Rechnungskonto |
resourcemanager.projects.createBillingAssignment |
Projekt | |
| Projekt aus Rechnungskonto entfernen | billing.resourceAssociations.delete |
Rechnungskonto |
resourcemanager.projects.deleteBillingAssignment |
Projekt |
Budgets und Ausgabenbenachrichtigungen
| Aktion | Berechtigung | Ressource |
|---|---|---|
| Liste der Budgets für ein Cloud-Rechnungskonto aufrufen | billing.budgets.get |
Rechnungskonto |
billing.budgets.list |
Rechnungskonto | |
| Budget für ein Cloud-Rechnungskonto aktualisieren | billing.budgets.update |
Rechnungskonto |
| Budget für ein Cloud-Rechnungskonto erstellen | billing.budgets.create |
Rechnungskonto |
| Liste der Budgets für einzelne Projekte aufrufen | resourcemanager.projects.get |
Projekt |
billing.resourceCosts.get |
Projekt | |
billing.resourcebudgets.read |
Projekt | |
| Budget für ein einzelnes Projekt aktualisieren | resourcemanager.projects.get |
Projekt |
billing.resourceCosts.get |
Projekt | |
billing.resourcebudgets.read |
Projekt | |
billing.resourcebudgets.write |
Projekt | |
| Budget für ein einzelnes Projekt erstellen | resourcemanager.projects.get |
Projekt |
billing.resourceCosts.get |
Projekt | |
billing.resourcebudgets.read |
Projekt | |
billing.resourcebudgets.write |
Projekt |
Guthaben und Aktionen
| Aktion | Berechtigung | Ressource |
|---|---|---|
| Guthabenliste einschließlich des ursprünglichen und verbleibenden Betrags anzeigen | billing.credits.list |
Rechnungskonto |
| Gutscheincode einlösen | billing.accounts.redeemPromotion |
Rechnungskonto |
billing.accounts.update |
Rechnungskonto |
Richtlinie
Die Richtlinie definiert, welche Nutzer Zugriff auf welche Ressourcen eines Rechnungskontos haben. Informationen zum Erstellen oder Ändern benutzerdefinierter Rollen finden Sie oben im Abschnitt Benutzerdefinierte Rolle erstellen.
| Aktion | Berechtigung | Ressource |
|---|---|---|
| Rollen des Kontos einschließlich der dazugehörigen Nutzernamen anzeigen | billing.accounts.getIamPolicy |
Rechnungskonto |
| Kontonutzern Rollen zuweisen | billing.accounts.setIamPolicy |
Rechnungskonto |
Exportspezifikationen
Die Exportspezifikation bestimmt, wohin eine Kopie aller nutzungsbezogenen Daten gesendet werden soll. Sie kann den Namen eines BigQuery-Datasets enthalten.
| Aktion | Berechtigung | Ressource |
|---|---|---|
| Aktuelle Exportspezifikation anzeigen (Cloud Storage-Bucket oder BigQuery-Dataset zum Exportieren von Verwendungsdaten) | billing.accounts.getUsageExportSpec |
Rechnungskonto |
| Exportspezifikation ändern | billing.accounts.updateUsageExportSpec |
Rechnungskonto |
Verwandte Themen
- Zugriffssteuerung für Abrechnungen
- Zugriffssteuerung für Cloud Billing API
- Zugriff erteilen, ändern und entziehen in der Cloud Identity and Access Management-Dokumentation