Benutzerdefinierte Rollen für Cloud-Rechnungskonten erstellen

Identity and Access Management (IAM) umfasst detaillierte Berechtigungen, mit denen Sie einzelnen Nutzern den Zugriff auf bestimmte Aktionen gewähren oder entziehen können. Um das Zuweisen von Berechtigungen für Nutzer zu vereinfachen, werden in IAM-Rollen verwandte Berechtigungen gruppiert. Für die Abrechnung stehen vordefinierte Rollen wie „Rechnungskontoadministrator“ oder „Rechnungskontobetrachter“ zur Verfügung, die für die meisten Nutzer geeignet sind. Sie können jedoch auch benutzerdefinierte Rollen erstellen, um spezifischere Berechtigungen zu gewähren.

Benutzerdefinierte Rolle erstellen

Benutzerdefinierte Rollen werden für die Organisation erstellt und anschließend auf die gewünschten Rechnungskonten der Organisation angewendet. In der Cloud IAM-Dokumentation wird unter Benutzerdefinierte Rollen erstellen und verwalten erläutert, wie Sie benutzerdefinierte Rollen konfigurieren und welche Berechtigungen erforderlich sind.

Nach der Erstellung können Sie benutzerdefinierte Rollen wie standardmäßige vordefinierte Rollen zuweisen. Weitere Informationen zum Aktualisieren von Abrechnungsberechtigungen

Beispiel einer benutzerdefinierten Rolle

Angenommen, Sie möchten einem Nutzer die Möglichkeit geben, Kostenverwaltungsfunktionen wie Budgetbenachrichtigungen und den Abrechnungsexport zu bearbeiten. Hierfür sind folgende Berechtigungen erforderlich:

  • billing.budgets.create
  • billing.budgets.update
  • billing.accounts.updateUsageExportSpec

Um diese Berechtigungen zu gewähren, wäre als vordefinierte Rolle die Rolle „Rechnungskontoadministrator“ erforderlich. Mit dieser Rolle erhalten Nutzer jedoch auch die Berechtigung, Ressourcenverknüpfungen zu löschen, Abonnements zu stornieren und das Rechnungskonto zu schließen. Wenn Sie Nutzern diese Berechtigungen nicht gewähren möchten, können Sie stattdessen eine benutzerdefinierte Rolle erstellen. Diese könnte beispielsweise die Bezeichnung Kostenverwaltungsadministrator erhalten und die drei erforderlichen Berechtigungen umfassen. Diese benutzerdefinierte Rolle weisen Sie anschließend zusammen mit der Rolle Rechnungskonto-Betrachter allen Nutzern zu, die umfassende Kostenverwaltungsberechtigungen benötigen, aber keine anderen Kontoeigenschaften bearbeiten sollen.

Berechtigungen verknüpfen und übernehmen

Sie können Abrechnungsberechtigungen für das Rechnungskonto oder das Projekt gewähren. Die meisten Abrechnungsberechtigungen beziehen sich auf das Rechnungskonto, sodass Rollen mit diesen Berechtigungen mit dem Rechnungskonto verknüpft sein sollten. Abrechnungsberechtigungen, die sich auf ein Projekt beziehen, sollten hingegen mit diesem verknüpft werden.

Wenn Sie beispielsweise ein Projekt mit einem Rechnungskonto verknüpfen möchten, benötigen Sie die Berechtigung billing.resourceAssociations.create für das Rechnungskonto sowie die Berechtigung resourcemanager.projects.createBillingAssignment für das Projekt. Dies liegt daran, dass Projektberechtigungen für Aktionen erforderlich sind, bei denen Projektinhaber den Zugriff steuern. Berechtigungen für Rechnungskonten hingegen sind für Aktionen erforderlich, bei denen Rechnungskontoadministratoren den Zugriff steuern. Wenn beide beteiligt sind, sind beide Berechtigungen erforderlich.

Ebenso wie andere Cloud IAM-Berechtigungen beinhalten auch Abrechnungsberechtigungen jeweils alle Berechtigungen der ihnen in der Abrechnungshierarchie übergeordneten Ebenen. Beispielsweise kann ein Nutzer mit einer Rolle, die die Berechtigung billing.accounts.close für eine Organisation enthält, jedes Rechnungskonto dieser Organisation schließen. Manche Berechtigungen gelten jedoch nur für übergeordnete Ebenen. Die Berechtigung billing.accounts.list hat beispielsweise keine Auswirkungen für ein einzelnes Rechnungskonto. Ein Nutzer mit einer Rolle, die die Berechtigung billing.accounts.list für eine Organisation enthält, kann aber alle Rechnungskonten dieser Organisation auflisten.

Abrechnungsaktivitäten

In den folgenden Tabellen finden Sie eine Beschreibung der allgemeinen Abrechnungsaktivitäten, der zum Ausführen dieser Aktivitäten erforderlichen Berechtigungen sowie der Ressource, für die diese Berechtigungen gelten.

Kontoverwaltung

Aktion Berechtigung Ressource
Grundlegende Kontoinformationen abrufen (z. B. Kontoname, Währung oder ob das Konto offen oder geschlossen ist) billing.accounts.get Rechnungskonto
Upgrade von der kostenlosen Testversion durchführen billing.accounts.update Rechnungskonto
Konto umbenennen billing.accounts.update Rechnungskonto
Auftragsnummer ändern billing.accounts.update Rechnungskonto
Konto schließen billing.accounts.close Rechnungskonto
Geschlossenes Konto wiedereröffnen billing.accounts.reopen Rechnungskonto

Rechnungskontohierarchie

Aktion Berechtigung Ressource
Konten in der Organisation auflisten billing.accounts.list Organisation
Konten in der Organisation erstellen billing.accounts.create Organisation
Konto in die Organisation verschieben billing.accounts.create Organisation
billing.accounts.move Rechnungskonto
Konto zwischen Organisationen verschieben billing.accounts.removeFromOrganization Alte Organisation
billing.accounts.create Neue Organisation
billing.accounts.move Rechnungskonto

Zahlungsinformationen

Das Zahlungsprofil enthält den Kundennamen, die Adresse und die Zahlungsmethode.

Aktion Berechtigung Ressource
Zahlungsprofil anzeigen billing.accounts.getPaymentInfo Rechnungskonto
Zahlungsprofil aktualisieren billing.accounts.updatePaymentInfo Rechnungskonto
Preise nur für die SKUs anzeigen, die bereits genutzt wurden billing.accounts.getPricing Rechnungskonto
Benutzerdefinierte Vertragspreise pro SKU für ein Rechnungskonto anzeigen billing.accounts.getPricing Rechnungskonto
Kosten und Nutzung für ein Rechnungskonto anzeigen * billing.accounts.getSpendingInformation Rechnungskonto
Kosten und Nutzung für ein Projekt anzeigen * billing.resourceCosts.get Projekt
resourcemanager.projects.get Projekt

Ressourcenverknüpfungen

Zum Verschieben eines Projekts zwischen Rechnungskonten benötigen Nutzer dieselben Berechtigungen, die auch erforderlich sind, um das Projekt aus dem ursprünglichen Rechnungskonto zu entfernen und mit dem neuen Konto zu verknüpfen.

Aktion Berechtigung Ressource
Projektverknüpfungen anzeigen billing.resourceAssociations.list Rechnungskonto
resourcemanager.projects.get Projekt
Projekt mit Rechnungskonto verknüpfen billing.resourceAssociations.create Rechnungskonto
resourcemanager.projects.createBillingAssignment Projekt
Projekt aus Rechnungskonto entfernen billing.resourceAssociations.delete Rechnungskonto
resourcemanager.projects.deleteBillingAssignment Projekt

Budgets und Ausgabenbenachrichtigungen

Aktion Berechtigung Ressource
Liste der Budgets für ein Cloud-Rechnungskonto aufrufen billing.budgets.get Rechnungskonto
billing.budgets.list Rechnungskonto
Budget für ein Cloud-Rechnungskonto aktualisieren billing.budgets.update Rechnungskonto
Budget für ein Cloud-Rechnungskonto erstellen billing.budgets.create Rechnungskonto
Liste der Budgets für einzelne Projekte aufrufen resourcemanager.projects.get Projekt
billing.resourceCosts.get Projekt
billing.resourcebudgets.read Projekt
Budget für ein einzelnes Projekt aktualisieren resourcemanager.projects.get Projekt
billing.resourceCosts.get Projekt
billing.resourcebudgets.read Projekt
billing.resourcebudgets.write Projekt
Budget für ein einzelnes Projekt erstellen resourcemanager.projects.get Projekt
billing.resourceCosts.get Projekt
billing.resourcebudgets.read Projekt
billing.resourcebudgets.write Projekt

Guthaben und Aktionen

Aktion Berechtigung Ressource
Guthabenliste einschließlich des ursprünglichen und verbleibenden Betrags anzeigen billing.credits.list Rechnungskonto
Gutscheincode einlösen billing.accounts.redeemPromotion Rechnungskonto
billing.accounts.update Rechnungskonto

Richtlinie

Die Richtlinie definiert, welche Nutzer Zugriff auf welche Ressourcen eines Rechnungskontos haben. Informationen zum Erstellen oder Ändern benutzerdefinierter Rollen finden Sie oben im Abschnitt Benutzerdefinierte Rolle erstellen.

Aktion Berechtigung Ressource
Rollen des Kontos einschließlich der dazugehörigen Nutzernamen anzeigen billing.accounts.getIamPolicy Rechnungskonto
Kontonutzern Rollen zuweisen billing.accounts.setIamPolicy Rechnungskonto

Exportspezifikationen

Die Exportspezifikation bestimmt, wohin eine Kopie aller nutzungsbezogenen Daten gesendet werden soll. Sie kann den Namen eines BigQuery-Datasets enthalten.

Aktion Berechtigung Ressource
Aktuelle Exportspezifikation anzeigen (Cloud Storage-Bucket oder BigQuery-Dataset zum Exportieren von Nutzungsdaten) billing.accounts.getUsageExportSpec Rechnungskonto
Exportspezifikation ändern billing.accounts.updateUsageExportSpec Rechnungskonto