Benutzerdefinierte Rollen für die Abrechnung erstellen

Cloud Identity and Access Management (IAM) umfasst detaillierte Berechtigungen, mit denen Sie einzelnen Nutzern den Zugriff auf bestimmte Aktionen gewähren oder entziehen können. Um das Erteilen von Berechtigungen für Nutzer zu vereinfachen, werden in Cloud IAM-Rollen zusammengehörige Berechtigungen gruppiert. Für die Abrechnung stehen vordefinierte Rollen wie z. B. Rechnungskontoadministrator oder Rechnungskontobetrachter zur Verfügung, die für die meisten Nutzer geeignet sind. Sie können aber auch benutzerdefinierte Rollen erstellen und damit spezifischere Berechtigungen gewähren.

Benutzerdefinierte Rolle erstellen

Benutzerdefinierte Rollen werden auf Organisationsebene erstellt und anschließend auf die gewünschten Rechnungskonten der Organisation angewendet. In der Cloud IAM-Dokumentation wird unter Benutzerdefinierte Rollen erstellen und verwalten erläutert, wie Sie benutzerdefinierte Rollen konfigurieren und welche Berechtigungen erforderlich sind.

Nach dem Erstellen können Sie Nutzern benutzerdefinierte Rollen wie standardmäßige vordefinierte Rollen zuweisen. Weitere Informationen erhalten Sie unter Abrechnungsberechtigungen aktualisieren.

Beispiel für eine benutzerdefinierte Rolle

Angenommen, Sie möchten einem Nutzer die Möglichkeit geben, Features zur Kostenverwaltung wie Budgetbenachrichtigungen und den Abrechnungsexport zu bearbeiten. Hierfür sind folgende Berechtigungen erforderlich:

  • billing.budgets.create
  • billing.budgets.update
  • billing.accounts.updateUsageExportSpec

Diese Berechtigungen sind in der vordefinierten Rolle Rechnungskontoadministrator enthalten. Mit dieser Rolle erhalten Nutzer jedoch auch die Berechtigung, Ressourcenverknüpfungen zu löschen, Abonnements zu stornieren und das Rechnungskonto zu schließen. Wenn Sie Nutzern diese Berechtigungen nicht gewähren möchten, können Sie stattdessen eine benutzerdefinierte Rolle erstellen, die nur drei oben genannten Berechtigungen enthält. Diese Rolle benennen Sie dann beispielsweise mit Kostenverwaltungsadministrator. Die benutzerdefinierte Rolle weisen Sie anschließend zusammen mit der Rolle Rechnungskontobetrachter allen Nutzern zu, die umfassende Berechtigungen zur Kostenverwaltung benötigen, aber keine anderen Kontoeigenschaften bearbeiten sollen.

Berechtigungen verknüpfen und übernehmen

Sie können Abrechnungsberechtigungen für das Rechnungskonto oder für das Projekt gewähren. Die meisten Abrechnungsberechtigungen beziehen sich auf ein Rechnungskonto. Rollen mit diesen Berechtigungen müssen deshalb mit dem jeweiligen Rechnungskonto verknüpft werden. Abrechnungsberechtigungen für ein Projekt müssen hingegen dem Projekt zugeordnet werden.

Wenn Sie beispielsweise ein Projekt mit einem Rechnungskonto verknüpfen möchten, benötigen Sie die Berechtigung billing.resourceAssociations.create für das Rechnungskonto sowie die Berechtigung resourcemanager.projects.createBillingAssignment für das Projekt. Dies liegt daran, dass Projektberechtigungen für Aktionen erforderlich sind, bei denen Projektinhaber den Zugriff steuern. Berechtigungen für Rechnungskonten werden dagegen für Aktionen benötigt, bei denen Rechnungskontoadministratoren den Zugriff festlegen. Wenn beide beteiligt sein sollen, sind beide Berechtigungen erforderlich.

Ebenso wie bei anderen Cloud IAM-Berechtigungen werden auch für Abrechnungsberechtigungen bestimmte Berechtigungen der der Abrechnungshierarchie übergeordneten Ebenen übernommen. Beispielsweise kann ein Nutzer mit einer Rolle, die die Berechtigung billing.accounts.close für eine Organisation enthält, jedes Rechnungskonto dieser Organisation schließen. Manche Berechtigungen gelten jedoch nur für übergeordnete Ebenen. Die Berechtigung billing.accounts.list hat beispielsweise keine Auswirkungen für ein einzelnes Rechnungskonto. Ein Nutzer mit einer Rolle, die die Berechtigung billing.accounts.list für eine Organisation enthält, kann aber alle Rechnungskonten dieser Organisation auflisten.

Abrechnungsaktivitäten

In den folgenden Tabellen finden Sie eine Beschreibung der gängigen Abrechnungsaktivitäten, der zum Ausführen dieser Aktivitäten erforderlichen Berechtigungen sowie der Ressourcen, für die diese Berechtigungen gelten.

Kontoverwaltung

Aktion Berechtigung Ressource
Grundlegende Kontoinformationen abrufen (z. B. Kontoname, Währung, offen/geschlossen) billing.accounts.get Rechnungskonto
Upgrade von der kostenlosen Testversion durchführen billing.accounts.update Rechnungskonto
Konto umbenennen billing.accounts.update Rechnungskonto
Auftragsnummer ändern billing.accounts.update Rechnungskonto
Konto schließen billing.accounts.close Rechnungskonto
Geschlossenes Konto wiedereröffnen billing.accounts.reopen Rechnungskonto

Rechnungskontohierarchie

Aktion Berechtigung Ressource
Konten in der Organisation auflisten billing.accounts.list Organisation
Konten in der Organisation erstellen billing.accounts.create Organisation
Konto in die Organisation verschieben billing.accounts.create Organisation
billing.accounts.update Rechnungskonto
Konto zwischen Organisationen verschieben billing.accounts.removeFromOrganization Alte Organisation
billing.accounts.create Neue Organisation
billing.accounts.update Rechnungskonto

Zahlungsinformationen

Das Zahlungsprofil enthält den Kundennamen, die Adresse und die Zahlungsmethode.

Aktion Berechtigung Ressource
Zahlungsprofil anzeigen billing.accounts.getPaymentInfo Rechnungskonto
Zahlungsprofil aktualisieren billing.accounts.updatePaymentInfo Rechnungskonto
Kosten und Nutzung für ein Rechnungskonto anzeigen * billing.accounts.getSpendingInformation Rechnungskonto
Kosten und Nutzung für ein Projekt anzeigen * billing.resourceCosts.get Projekt
resourcemanager.projects.get Projekt

Ressourcenverknüpfungen

Zum Verschieben eines Projekts zwischen Rechnungskonten benötigen Nutzer die gleichen Berechtigungen wie für das Entfernen des Projekts aus dem ursprünglichen Rechnungskonto und für das Verknüpfen mit dem neuen Konto.

Aktion Berechtigung Ressource
Projektverknüpfungen anzeigen billing.resourceAssociations.list Rechnungskonto
Projekt mit Rechnungskonto verknüpfen billing.resourceAssociations.create Rechnungskonto
resourcemanager.projects.createBillingAssignment Projekt
Projekt aus Rechnungskonto entfernen billing.resourceAssociations.delete Rechnungskonto
resourcemanager.projects.deleteBillingAssignment Projekt

Budgetbenachrichtigungen

Aktion Berechtigung Ressource
Liste der Budgetbenachrichtungen anzeigen, einschließlich der bisherigen Ausgaben des Monats billing.budgets.get Rechnungskonto
billing.budgets.list Rechnungskonto
Budgetbenachrichtigung aktualisieren billing.budgets.update Rechnungskonto
Budgetbenachrichtigung erstellen billing.budgets.create Rechnungskonto

Guthaben und Aktionen

Aktion Berechtigung Ressource
Guthabenliste einschließlich des ursprünglichen und verbleibenden Betrags anzeigen billing.credits.list Rechnungskonto
Gutscheincode einlösen billing.credits.create Rechnungskonto
billing.accounts.update Rechnungskonto

Richtlinie

Eine Richtlinie definiert, welche Nutzer Zugriff auf welche Ressourcen eines Rechnungskontos haben. Informationen zum Erstellen oder Ändern benutzerdefinierter Rollen finden Sie weiter oben im Abschnitt Benutzerdefinierte Rolle erstellen.

Aktion Berechtigung Ressource
Rollen des Kontos einschließlich der dazugehörigen Nutzernamen anzeigen billing.accounts.getIamPolicy Rechnungskonto
Kontonutzern Rollen zuweisen billing.accounts.setIamPolicy Rechnungskonto

Exportspezifikationen

Die Exportspezifikation bestimmt, wohin eine Kopie aller nutzungsbezogenen Daten gesendet werden soll. Sie kann den Namen eines Cloud Storage-Buckets oder eines BigQuery-Datasets enthalten.

Aktion Berechtigung Ressource
Aktuelle Exportspezifikation anzeigen (Cloud Storage-Bucket oder BigQuery-Dataset zum Exportieren von Nutzungsdaten) billing.accounts.getUsageExportSpec Rechnungskonto
Exportspezifikation ändern billing.accounts.updateUsageExportSpec Rechnungskonto