Benutzerdefinierte Rollen für die Abrechnung erstellen

Cloud Identity and Access Management (IAM) umfasst detaillierte Berechtigungen, mit denen Sie bestimmten Nutzern den Zugriff auf bestimmte Aktionen gewähren oder entziehen können. Um das Zuweisen von Berechtigungen für Nutzer zu vereinfachen, werden in Cloud IAM-Rollen verwandte Berechtigungen gruppiert. Für die Abrechnung stehen vordefinierte Rollen wie Administrator von Rechnungskonten oder Rechnungskontobetrachter zur Verfügung, die für die meisten Nutzer geeignet sind. Sie können jedoch auch benutzerdefinierte Rollen erstellen, um spezifischere Berechtigungen zu gewähren.

Benutzerdefinierte Rolle erstellen

Benutzerdefinierte Rollen werden für die Organisation erstellt und anschließend auf die gewünschten Rechnungskonten der Organisation angewendet. Sie können Nutzern benutzerdefinierte Rollen genauso wie vordefinierte Standardrollen in der Abrechnungsübersicht der Konsole gewähren.

In der Cloud IAM-Dokumentation wird unter Benutzerdefinierte Rollen erstellen und verwalten erläutert, wie Sie benutzerdefinierte Rollen konfigurieren und welche Berechtigungen erforderlich sind.

Beispiel einer benutzerdefinierten Rolle

Nehmen wir an, Sie möchten einem Nutzer die Möglichkeit geben, Kostenverwaltungsfunktionen wie Budgetbenachrichtigungen und den Abrechnungsexport zu bearbeiten. Hierfür sind folgende Berechtigungen erforderlich:

  • billing.budgets.create
  • billing.budgets.update
  • billing.accounts.updateUsageExportSpec

Um diese Berechtigungen zu gewähren, wäre als vordefinierte Rolle Rechnungskontoadministrator erforderlich. Mit dieser Rolle erhalten Nutzer jedoch auch die Berechtigung, Ressourcenverknüpfungen zu löschen, Abonnements zu stornieren und das Rechnungskonto zu schließen. Wenn Sie Nutzern diese Berechtigungen nicht gewähren möchten, können Sie stattdessen eine benutzerdefinierte Rolle erstellen. Diese könnte beispielsweise die Bezeichnung Kostenverwaltungsadministrator erhalten und nur die drei oben genannten Berechtigungen umfassen. Diese benutzerdefinierte Rolle weisen Sie anschließend zusammen mit der Rolle Rechnungskontobetrachter allen Nutzern zu, die umfassende Kostenverwaltungsberechtigungen benötigen, aber keine anderen Kontoeigenschaften bearbeiten sollen.

Berechtigungen verknüpfen und übernehmen

Sie können Abrechnungsberechtigungen für das Rechnungskonto oder das Projekt gewähren. Die meisten Abrechnungsberechtigungen beziehen sich auf das Rechnungskonto, sodass Rollen mit diesen Berechtigungen mit dem Rechnungskonto verknüpft sein sollten. Abrechnungsberechtigungen, die sich auf ein Projekt beziehen, sollten hingegen mit diesem verknüpft werden.

Um beispielsweise ein Projekt mit einem Rechnungskonto zu verknüpfen, ist für das Rechnungskonto die Berechtigung billing.resourceAssociations.create und für das Projekt die Berechtigung resourcemanager.projects.createBillingAssignment erforderlich. Dies liegt daran, dass Projektberechtigungen für Aktionen erforderlich sind, bei denen Projektinhaber den Zugriff steuern. Berechtigungen für Rechnungskonten hingegen sind für Aktionen erforderlich, bei denen Rechnungskontoadministratoren den Zugriff steuern. Wenn beide beteiligt sein sollen, sind beide Berechtigungen erforderlich.

Ebenso wie andere Cloud IAM-Berechtigungen beinhalten auch Abrechnungsberechtigungen jeweils alle Berechtigungen der ihnen in der Abrechnungshierarchie übergeordneten Ebenen. Beispielsweise kann ein Nutzer mit einer Rolle, die billing.accounts.close für eine Organisation enthält, jedes Rechnungskonto innerhalb dieser Organisation schließen. Manche Berechtigungen gelten jedoch nur für übergeordnete Ebenen. Die Berechtigung billing.accounts.list greift beispielsweise nicht, wenn sie auf ein einzelnes Rechnungskonto angewendet wird. Ein Nutzer mit einer Rolle, die billing.accounts.list für eine Organisation enthält, kann hingegen alle Rechnungskonten innerhalb dieser Organisation auflisten.

Abrechnungsaktivitäten

In den folgenden Tabellen finden Sie eine Beschreibung der allgemeinen Abrechnungsaktivitäten, der zum Ausführen dieser Aktivitäten erforderlichen Berechtigungen sowie der Ressource, für die diese Berechtigungen gelten.

Kontoverwaltung

Aktion Berechtigung Ressource
Grundlegende Kontoinformationen abrufen (z. B. Kontoname, Währung, offen/geschlossen) billing.accounts.get Rechnungskonto
Upgrade von der kostenlosen Testversion durchführen billing.accounts.update Rechnungskonto
Konto umbenennen billing.accounts.update Rechnungskonto
Auftragsnummer ändern billing.accounts.update Rechnungskonto
Konto schließen billing.accounts.close Rechnungskonto
Geschlossenes Konto wiedereröffnen billing.accounts.reopen Rechnungskonto

Rechnungskontohierarchie

Aktion Berechtigung Ressource
Konten in der Organisation auflisten billing.accounts.list Organisation
Konten in der Organisation erstellen billing.accounts.create Organisation
Konto in die Organisation verschieben billing.accounts.create Organisation
billing.accounts.update Rechnungskonto
Konto zwischen Organisationen verschieben billing.accounts.removeFromOrganization Alte Organisation
billing.accounts.create Neue Organisation
billing.accounts.update Rechnungskonto

Zahlungsinformationen

Das Zahlungsprofil enthält den Kundennamen, die Adresse und die Zahlungsmethode.

Aktion Berechtigung Ressource
Zahlungsprofil anzeigen billing.accounts.getPaymentInfo Rechnungskonto
Zahlungsprofil aktualisieren billing.accounts.updatePaymentInfo Rechnungskonto
Kosten und Nutzung für ein Rechnungskonto anzeigen * billing.accounts.getSpendingInformation Rechnungskonto
Kosten und Nutzung für ein Projekt anzeigen * billing.resourceCosts.get Projekt
resourcemanager.projects.get Projekt

Ressourcenverknüpfungen

Zum Verschieben eines Projekts zwischen Rechnungskonten benötigen Nutzer dieselben Berechtigungen, die auch erforderlich sind, um das Projekt aus dem ursprünglichen Rechnungskonto zu entfernen und mit dem neuen Konto zu verknüpfen.

Aktion Berechtigung Ressource
Projektverknüpfungen anzeigen billing.resourceAssociations.list Rechnungskonto
Projekt mit Rechnungskonto verknüpfen billing.resourceAssociations.create Rechnungskonto
resourcemanager.projects.createBillingAssignment Projekt
Projekt aus Rechnungskonto entfernen billing.resourceAssociations.delete Rechnungskonto
resourcemanager.projects.deleteBillingAssignment Projekt

Budgetbenachrichtigungen

Aktion Berechtigung Resource
Liste der Budgetbenachrichtungen anzeigen, einschließlich der bisherigen Ausgaben des Monats billing.budgets.get Rechnungskonto
billing.budgets.list Rechnungskonto
Budgetbenachrichtigung aktualisieren billing.budgets.update Rechnungskonto
Budgetbenachrichtigung erstellen billing.budgets.create Rechnungskonto

Guthaben und Aktionen

Aktion Berechtigung Ressource
Guthabenliste einschließlich des ursprünglichen und verbleibenden Betrags anzeigen billing.credits.list Rechnungskonto
Gutscheincode einlösen billing.credits.create Rechnungskonto
billing.accounts.update Rechnungskonto

Richtlinie

Die Richtlinie definiert, welche Nutzer Zugriff auf welche Ressourcen eines Rechnungskontos haben. Informationen zum Erstellen oder Ändern benutzerdefinierter Rollen finden Sie oben im Abschnitt Benutzerdefinierte Rolle erstellen.

Aktion Berechtigung Ressource
Rollen des Kontos einschließlich der dazugehörigen Nutzernamen anzeigen billing.accounts.getIamPolicy Rechnungskonto
Kontonutzern Rollen zuweisen billing.accounts.setIamPolicy Rechnungskonto

Exportspezifikationen

Die Exportspezifikation bestimmt, wohin eine Kopie aller nutzungsbezogenen Daten gesendet werden soll. Sie kann den Namen eines Cloud Storage-Buckets oder eines BigQuery-Datasets enthalten.

Aktion Berechtigung Ressource
Aktuelle Exportspezifikation anzeigen (Cloud Storage-Bucket oder BigQuery-Dataset zum Exportieren von Verwendungsdaten) billing.accounts.getUsageExportSpec Rechnungskonto
Exportspezifikation ändern billing.accounts.updateUsageExportSpec Rechnungskonto
Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit: