Cloud Billing 계정에 맞춤 역할 만들기

Identity and Access Management (IAM)를 이용하면 세분화된 권한을 통해 개별 사용자의 특정 작업에 대한 액세스 권한을 부여하거나 취소할 수 있습니다. 사용자에게 권한을 할당하는 절차를 단순화하기 위해, IAM 역할을 이용하여 이러한 세분화된 권한을 관련 그룹으로 묶습니다. 결제에는 결제 계정 관리자 또는 결제 계정 뷰어와 같은 사전 정의된 역할이 있고 이 역할은 대부분의 사용자에게 유용합니다. 그러나 사용자의 요구 사항과 맞지 않는 경우, 커스텀 역할을 이용하여 보다 구체적인 권한 모음을 부여할 수 있습니다.

커스텀 역할 만들기

조직에서 생성한 커스텀 역할은 조직의 어떠한 결제 계정에나 적용 가능합니다. IAM 문서의 커스텀 역할 만들기 및 관리에서는 필요한 권한을 비롯하여 커스텀 역할을 구성하는 방법을 설명합니다.

커스텀 역할이 생성되면 일반적인 사전 정의된 역할과 동일하게 사용자에게 커스텀 역할을 부여할 수 있습니다. 결제 권한을 업데이트하는 방법을 알아보세요.

커스텀 역할 예시

예를 들어 다른 사용자에게 예산 알림 및 결제 내보내기와 같은 비용 관리 기능을 수정할 수 있는 권한을 부여하려고 합니다. 다음 권한을 부여할 수 있습니다.

  • billing.budgets.create
  • billing.budgets.update
  • billing.accounts.updateUsageExportSpec

사전 정의된 역할을 사용하여 이러한 권한을 적용하려면 결제 계정 관리자 역할을 부여해야 합니다. 하지만 이 역할에는 리소스 연결을 삭제하고, 구독을 취소하고, 결제 계정을 종료할 수 있는 권한도 포함됩니다. 사용자에게 이러한 권한을 부여하지 않으려면 대신 필요한 세 가지 권한만 있는 커스텀 역할을 만들고 이름을 비용 관리자로 지정하면 됩니다. 그런 다음, 광범위한 비용 관리 권한을 부여하되 다른 계정 속성을 수정할 권한을 부여해서는 안 되는 사용자에게 결제 계정 뷰어 역할과 함께 커스텀 역할을 부여할 수 있습니다.

권한 연결 및 상속

결제 계정 수준 또는 프로젝트 수준에서 결제 권한을 부여할 수 있습니다. 대부분의 결제 권한은 결제 계정에 속하므로, 해당 권한이 포함된 역할은 결제 계정과 연결되어야 합니다. 그 외의 결제 권한은 프로젝트에 속하므로, 결제 계정이 아닌 프로젝트와 연결해야 합니다.

예를 들어 프로젝트를 결제 계정에 연결하려면 결제 계정에 대한 billing.resourceAssociations.create 권한과 프로젝트에 대한 resourcemanager.projects.createBillingAssignment 권한이 있어야 합니다. 이는 프로젝트 소유자가 액세스를 제어하는 작업에는 프로젝트 권한이 필요하고, 결제 계정 관리자가 액세스를 제어하는 작업에는 결제 계정 권한이 필요하기 때문입니다. 두 작업이 모두 관련되어 있으면 두 권한 모두 필요합니다.

다른 IAM 권한과 마찬가지로, 모든 결제 권한은 더 높은 수준의 결제 계층구조로부터 상속합니다. 예를 들어 billing.accounts.close가 포함된 역할이 있는 조직 내 사용자는 이 조직에 있는 모든 결제 계정을 닫을 수 있습니다. 그러나 일부 권한은 더 높은 수준에서만 적용됩니다. 예를 들어 개별 결제 계정에는 billing.accounts.list 권한이 적용되지 않지만 billing.accounts.list가 포함된 역할이 있는 조직 내 사용자는 이 조직에 있는 모든 결제 계정을 나열할 수 있습니다.

결제 활동

다음 표는 일반적인 결제 활동 및 이러한 활동을 수행하는 데 필요한 권한, 그리고 해당 권한이 적용되는 리소스를 설명합니다.

계정 관리

작업 권한 리소스
기본적인 계정 정보 수집 (예: 계정 이름, 통화, 계정 활성화 여부) billing.accounts.get 결제 계정
무료 체험판에서 업그레이드 billing.accounts.update 결제 계정
계정 이름 바꾸기 billing.accounts.update 결제 계정
구매 주문 번호 변경 billing.accounts.update 결제 계정
계정 닫기 billing.accounts.close 결제 계정
닫은 계정 다시 열기 billing.accounts.reopen 결제 계정

결제 계정 계층구조

작업 권한 리소스
조직에서 계정 나열 billing.accounts.list 조직
조직에서 계정 만들기 billing.accounts.create 조직
조직으로 계정 이동 billing.accounts.create 조직
billing.accounts.move 결제 계정
조직 간 계정 이동 billing.accounts.removeFromOrganization 이전 조직
billing.accounts.create 새 조직
billing.accounts.move 결제 계정

결제 정보

결제 프로필에는 고객 이름, 주소, 결제 수단이 포함됩니다.

작업 권한 리소스
결제 프로필 보기 billing.accounts.getPaymentInfo 결제 계정
결제 프로필 업데이트 billing.accounts.updatePaymentInfo 결제 계정
사용량이 발생한 SKU에 대한 가격만 보기 billing.accounts.getPricing 결제 계정
결제 계정의 SKU당 커스텀 계약 가격 보기 billing.accounts.getPricing 결제 계정
결제 계정의 비용 및 사용량 보기* billing.accounts.getSpendingInformation 결제 계정
프로젝트의 비용 및 사용량 보기* billing.resourceCosts.get 프로젝트
resourcemanager.projects.get 프로젝트

리소스 연결

결제 계정 간에 프로젝트를 이동하려면 기존의 결제 계정에서 프로젝트를 삭제하여 새 결제 계정과 연결하는 것과 동일한 권한이 필요합니다.

작업 권한 리소스
프로젝트 연결 보기 billing.resourceAssociations.list 결제 계정
resourcemanager.projects.get 프로젝트
프로젝트를 결제 계정과 연결 billing.resourceAssociations.create 결제 계정
resourcemanager.projects.createBillingAssignment 프로젝트
결제 계정에서 프로젝트 삭제 billing.resourceAssociations.delete 결제 계정
resourcemanager.projects.deleteBillingAssignment 프로젝트

예산 및 지출 알림

작업 권한 리소스
Cloud Billing 계정의 예산 목록 보기 billing.budgets.get 결제 계정
billing.budgets.list 결제 계정
Cloud Billing 계정 범위의 예산 업데이트 billing.budgets.update 결제 계정
Cloud Billing 계정의 예산 만들기 billing.budgets.create 결제 계정
단일 프로젝트로 범위가 지정된 예산 목록 보기 resourcemanager.projects.get 프로젝트
billing.resourceCosts.get 프로젝트
billing.resourcebudgets.read 프로젝트
단일 프로젝트로 범위가 지정된 예산 업데이트 resourcemanager.projects.get 프로젝트
billing.resourceCosts.get 프로젝트
billing.resourcebudgets.read 프로젝트
billing.resourcebudgets.write 프로젝트
단일 프로젝트로 범위가 지정된 예산 만들기 resourcemanager.projects.get 프로젝트
billing.resourceCosts.get 프로젝트
billing.resourcebudgets.read 프로젝트
billing.resourcebudgets.write 프로젝트

크레딧 및 프로모션

작업 권한 리소스
원래 액수 및 남은 액수를 포함한 크레딧 목록 보기 billing.credits.list 결제 계정
프로모션 코드 사용 billing.accounts.redeemPromotion 결제 계정
billing.accounts.update 결제 계정

정책

정책은 결제 계정에서 특정 사용자가 액세스할 수 있는 리소스를 정의합니다. 커스텀 역할 만들기 또는 수정에 대한 자세한 내용은 위에 있는 커스텀 역할 만들기 섹션을 참조하세요.

작업 권한 리소스
연결된 사용자 이름을 포함하여 계정에서 역할 보기 billing.accounts.getIamPolicy 결제 계정
계정에서 사용자에게 역할 부여 billing.accounts.setIamPolicy 결제 계정

내보내기 사양

내보내기 사양은 사용량과 관련된 모든 데이터의 사본을 보낼 위치를 정의하며 BigQuery 데이터 세트의 이름을 포함할 수 있습니다.

작업 권한 리소스
현재 내보내기 사양 보기 (사용량 데이터를 내보낼 Cloud Storage 버킷 또는 BigQuery 데이터 세트) billing.accounts.getUsageExportSpec 결제 계정
내보내기 사양 수정 billing.accounts.updateUsageExportSpec 결제 계정