Creare ruoli personalizzati per la fatturazione

Identity and Access Management (IAM) include autorizzazioni granulari che consentono di concedere o revocare l'accesso di azioni specifiche a singoli utenti. Per semplificare il processo di assegnazione delle autorizzazioni agli utenti, i ruoli IAM combinano queste autorizzazioni dettagliate in gruppi correlati. La fatturazione ha ruoli predefiniti, come Amministratore account di fatturazione o Visualizzatore account di fatturazione, che dovrebbe funzionare per la maggior parte degli utenti. Tuttavia, se non si adattano alle tue esigenze, i ruoli personalizzati ti consentono di concedere insiemi di autorizzazioni più specifiche.

Creare un ruolo personalizzato

I ruoli personalizzati vengono creati nell'organizzazione e quindi applicati a qualsiasi account di fatturazione nell'organizzazione. Creazione e gestione di ruoli personalizzati nella documentazione IAM descrive come configurare un ruolo personalizzato, comprese le autorizzazioni necessarie.

Dopo aver creato i ruoli personalizzati, puoi concedere agli utenti ruoli personalizzati come i ruoli predefiniti. Scopri come aggiornare le autorizzazioni di fatturazione.

Esempio di ruolo personalizzato

Immagina di voler consentire a qualcuno di modificare le funzionalità di gestione dei costi, ad esempio gli avvisi di budget e l'esportazione della fatturazione. Le autorizzazioni pertinenti sono:

  • billing.budgets.create
  • billing.budgets.update
  • billing.accounts.updateUsageExportSpec

Con i ruoli predefiniti, per applicare queste autorizzazioni è necessario concedere il ruolo di Amministratore account di fatturazione. Questo ruolo include tuttavia anche l'autorizzazione per eliminare associazioni di risorse, annullare abbonamenti e chiudere l'account di fatturazione. Se non vuoi che gli utenti dispongano di tali funzionalità, puoi invece creare un ruolo personalizzato che includa solo le tre autorizzazioni riportate sopra e denominarlo Amministratore della gestione dei costi. Successivamente, puoi applicare questo ruolo personalizzato in combinazione con il ruolo Visualizzatore account di fatturazione a tutti gli utenti che devono disporre di ampie autorizzazioni di gestione dei costi, ma senza la possibilità di modificare altre proprietà dell'account.

Associazione ed ereditarietà delle autorizzazioni

Puoi concedere autorizzazioni di fatturazione a livello di account di fatturazione o a livello di progetto. La maggior parte delle autorizzazioni di fatturazione appartiene all'account di fatturazione, pertanto i ruoli che contengono tali autorizzazioni devono essere associati all'account di fatturazione. Altre autorizzazioni di fatturazione appartengono invece a un progetto e devono essere associate al progetto anziché all'account di fatturazione.

Ad esempio, l'associazione di un progetto a un account di fatturazione richiede l'autorizzazione billing.resourceAssociations.create sull'account di fatturazione e anche l'autorizzazione resourcemanager.projects.createBillingAssignment sul progetto. Ciò è dovuto al fatto che le autorizzazioni di progetto sono necessarie per le azioni in cui i proprietari del progetto controllano l'accesso, mentre le autorizzazioni dell'account di fatturazione sono necessarie per le azioni in cui gli amministratori dell'account di fatturazione controllano l'accesso. Quando entrambi devono essere coinvolti, sono necessarie entrambe le autorizzazioni.

Proprio come le altre autorizzazioni IAM, tutte le autorizzazioni di fatturazione ereditano dai livelli superiori della gerarchia di fatturazione. Ad esempio, un utente con un ruolo contenente billing.accounts.close in un'organizzazione può chiudere qualsiasi account di fatturazione all'interno di tale organizzazione. Tuttavia, alcune autorizzazioni si applicano solo a livelli più alti. Ad esempio, l'autorizzazione billing.accounts.list non esegue alcuna operazione quando viene applicata a un singolo account di fatturazione, ma un utente con un ruolo contenente billing.accounts.list in un'organizzazione può elencare tutti gli account di fatturazione all'interno di tale organizzazione.

Attività di fatturazione

Le tabelle seguenti descrivono le attività di fatturazione comuni, le autorizzazioni richieste per eseguire tali attività e la risorsa a cui si applicano tali autorizzazioni.

Gestione degli account

Azione Autorizzazione Risorsa
Ottenere informazioni di base sull'account (ad es. il nome account, la valuta, aperto/chiuso) billing.accounts.get Account di fatturazione
Eseguire l'upgrade dalla versione di prova gratuita billing.accounts.update Account di fatturazione
Rinominare l'account billing.accounts.update Account di fatturazione
Modificare il numero dell'ordine di acquisto billing.accounts.update Account di fatturazione
Chiudere l'account billing.accounts.close Account di fatturazione
Riaprire l'account chiuso billing.accounts.reopen Account di fatturazione

Gerarchia degli account di fatturazione

Azione Autorizzazione Risorsa
Elencare gli account nell'organizzazione billing.accounts.list Organizzazione
Creare account nell'organizzazione billing.accounts.create Organizzazione
Spostare l'account nell'organizzazione billing.accounts.create Organizzazione
billing.accounts.move Account di fatturazione
Spostare l'account tra le organizzazioni billing.accounts.removeFromOrganization Organizzazione precedente
billing.accounts.create Nuova organizzazione
billing.accounts.move Account di fatturazione

Dati di pagamento

Il profilo di pagamento include il nome del cliente, l'indirizzo e il metodo di pagamento.

Azione Autorizzazione Risorsa
Visualizzare il profilo di pagamento billing.accounts.getPaymentInfo Account di fatturazione
Aggiornare il profilo di pagamento billing.accounts.updatePaymentInfo Account di fatturazione
Visualizza i prezzi solo per gli SKU che sono stati utilizzati billing.accounts.getPricing Account di fatturazione
Visualizzare i prezzi contrattuali negoziati per SKU per un account di fatturazione billing.accounts.getPricing Account di fatturazione
Visualizzare costi e utilizzo di un account di fatturazione* billing.accounts.getSpendingInformation Account di fatturazione
Visualizzare i costi e l'utilizzo per un progetto* billing.resourceCosts.get Progetto
resourcemanager.projects.get Progetto

Associazioni di risorse

Lo spostamento di un progetto tra gli account di fatturazione richiede le stesse autorizzazioni che servono per rimuoverlo dall'account di fatturazione originale e associarlo a quello nuovo.

Azione Autorizzazione Risorsa
Visualizzare le associazioni di progetto billing.resourceAssociations.list Account di fatturazione
Associare il progetto con l'account di fatturazione billing.resourceAssociations.create Account di fatturazione
resourcemanager.projects.createBillingAssignment Progetto
Rimuovere il progetto dall'account di fatturazione billing.resourceAssociations.delete Account di fatturazione
resourcemanager.projects.deleteBillingAssignment Progetto

Avvisi relativi al budget

Azione Autorizzazione Risorsa
Visualizzare l'elenco degli avvisi sul budget, inclusa la spesa da inizio mese a oggi billing.budgets.get Account di fatturazione
billing.budgets.list Account di fatturazione
Aggiorna avviso relativo al budget billing.budgets.update Account di fatturazione
Crea avviso relativo al budget billing.budgets.create Account di fatturazione

Crediti e promozioni

Azione Autorizzazione Risorsa
Visualizzare l'elenco dei crediti, inclusi l'importo originale e rimanente billing.credits.list Account di fatturazione
Utilizzare un codice promozionale billing.accounts.redeemPromotion Account di fatturazione
billing.accounts.update Account di fatturazione

Criterio

Il criterio definisce i tipi di utenti che hanno accesso a specifiche risorse in un account di fatturazione. Per informazioni sulla creazione o la modifica di ruoli personalizzati, vedere la sezione Creare un ruolo personalizzato illustrata in precedenza.

Azione Autorizzazione Risorsa
Visualizzare i ruoli a livello di account, inclusi i nomi utente associati billing.accounts.getIamPolicy Account di fatturazione
Assegnare ruoli agli utenti dell'account billing.accounts.setIamPolicy Account di fatturazione

Specifiche dell'esportazione

La specifica di esportazione definisce la posizione in cui inviare una copia di tutti i dati relativi all'utilizzo e può contenere il nome di un bucket Cloud Storage o di un set di dati BigQuery.

Azione Autorizzazione Risorsa
Visualizzare le specifiche di esportazione correnti (bucket di Cloud Storage o set di dati BigQuery in cui esportare i dati di utilizzo) billing.accounts.getUsageExportSpec Account di fatturazione
Modificare le specifiche di esportazione billing.accounts.updateUsageExportSpec Account di fatturazione