Cloud Identity and Access Management (IAM) include autorizzazioni dettagliate che consentono di concedere o revocare l'accesso di singoli utenti a determinate azioni. Per semplificare il processo di assegnazione delle autorizzazioni agli utenti, i ruoli di Cloud IAM combinano queste autorizzazioni dettagliate in gruppi correlati. La fatturazione ha ruoli predefiniti, come Amministratore account di fatturazione o Visualizzatore account di fatturazione, adatti per la maggior parte degli utenti. Tuttavia, se non si adattano alle tue esigenze, i ruoli personalizzati ti consentono di concedere insiemi di autorizzazioni più specifiche.
Creare un ruolo personalizzato
I ruoli personalizzati vengono creati nell'organizzazione e quindi applicati a qualsiasi account di fatturazione nell'organizzazione. Dopo che sono stati creati, è possibile utilizzare la pagina della panoramica degli account di fatturazione della console per assegnare ruoli personalizzati agli utenti, proprio come con i ruoli predefiniti standard.
La sezione Creazione e gestione di ruoli personalizzati nella documentazione di Cloud IAM descrive come configurare un ruolo personalizzato ed elenca le autorizzazioni necessarie.
Esempio di ruolo personalizzato
Immagina di voler dare a qualcuno la possibilità di modificare le funzionalità di gestione dei costi, come ad esempio i budget e l'esportazione della fatturazione. Le autorizzazioni pertinenti sono:
billing.budgets.createbilling.budgets.updatebilling.accounts.updateUsageExportSpec
Con i ruoli predefiniti, per applicare queste autorizzazioni è necessario concedere il ruolo di Amministratore account di fatturazione. Questo ruolo include tuttavia anche l'autorizzazione per eliminare associazioni di risorse, annullare abbonamenti e chiudere l'account di fatturazione. Se non vuoi che gli utenti dispongano di tali capacità, è possibile invece creare un ruolo personalizzato che comprenda solo le tre autorizzazioni indicate in precedenza e denominarlo Amministratore della gestione dei costi. Quindi, è possibile applicare tale ruolo personalizzato in combinazione con il ruolo Visualizzatore account di fatturazione a tutti gli utenti che devono disporre di ampie autorizzazioni di gestione dei costi, ma senza la possibilità di modificare altre proprietà dell'account.
Associazione ed ereditarietà delle autorizzazioni
Puoi concedere autorizzazioni di fatturazione a livello di account di fatturazione o a livello di progetto. La maggior parte delle autorizzazioni di fatturazione appartiene all'account di fatturazione, pertanto i ruoli che contengono tali autorizzazioni devono essere associati all'account di fatturazione. Altre autorizzazioni di fatturazione appartengono invece a un progetto e devono essere associate al progetto anziché all'account di fatturazione.
Ad esempio, l'associazione di un progetto a un account di fatturazione richiede l'autorizzazione billing.resourceAssociations.create sull'account di fatturazione e anche l'autorizzazione resourcemanager.projects.createBillingAssignment sul progetto. Ciò è dovuto al fatto che le autorizzazioni di progetto sono necessarie per le azioni in cui i proprietari del progetto controllano l'accesso, mentre le autorizzazioni dell'account di fatturazione sono necessarie per le azioni in cui gli amministratori dell'account di fatturazione controllano l'accesso. Quando entrambi devono essere coinvolti, sono necessarie entrambe le autorizzazioni.
Proprio come le altre autorizzazioni Cloud IAM, tutte le autorizzazioni di fatturazione ereditano dai livelli superiori della gerarchia di fatturazione. Ad esempio, un utente con un ruolo che contiene l'autorizzazione billing.accounts.close per un'organizzazione può chiudere qualsiasi account di fatturazione all'interno di tale organizzazione. Tuttavia, alcune autorizzazioni si applicano solo a livelli più alti. Ad esempio, l'autorizzazione billing.accounts.list non esegue alcuna operazione quando viene applicata a un singolo account di fatturazione, ma un utente con un ruolo che contiene l'autorizzazione billing.accounts.list per un'organizzazione può elencare tutti gli account di fatturazione all'interno di tale organizzazione.
Attività di fatturazione
Le tabelle seguenti descrivono le attività di fatturazione comuni, le autorizzazioni richieste per eseguire tali attività e la risorsa a cui si applicano tali autorizzazioni.
Gestione degli account
| Azione | Autorizzazione | Risorsa |
|---|---|---|
| Ottenere informazioni di base sull'account (ad es. il nome account, la valuta, aperto/chiuso) | billing.accounts.get |
Account di fatturazione |
| Eseguire l'upgrade dalla versione di prova gratuita | billing.accounts.update |
Account di fatturazione |
| Rinominare l'account | billing.accounts.update |
Account di fatturazione |
| Modificare il numero dell'ordine di acquisto | billing.accounts.update |
Account di fatturazione |
| Chiudere l'account | billing.accounts.close |
Account di fatturazione |
| Riaprire l'account chiuso | billing.accounts.reopen |
Account di fatturazione |
Gerarchia degli account di fatturazione
| Azione | Autorizzazione | Risorsa |
|---|---|---|
| Elencare gli account nell'organizzazione | billing.accounts.list |
Organizzazione |
| Creare account nell'organizzazione | billing.accounts.create |
Organizzazione |
| Spostare l'account nell'organizzazione | billing.accounts.create |
Organizzazione |
billing.accounts.update |
Account di fatturazione | |
| Spostare l'account tra le organizzazioni | billing.accounts.removeFromOrganization |
Account di fatturazione (o organizzazione precedente) |
billing.accounts.create |
Nuova organizzazione | |
billing.accounts.update |
Account di fatturazione | |
Dati di pagamento
Il profilo di pagamento include il nome del cliente, l'indirizzo e il metodo di pagamento.
| Azione | Autorizzazione | Risorsa |
|---|---|---|
| Visualizzare il profilo di pagamento | billing.accounts.getPaymentInfo |
Account di fatturazione |
| Aggiornare il profilo di pagamento | billing.accounts.updatePaymentInfo |
Account di fatturazione |
| Visualizzare costi e utilizzo | billing.accounts.getSpendingInformation |
Account di fatturazione |
Associazioni di risorse
Lo spostamento di un progetto tra gli account di fatturazione richiede le stesse autorizzazioni che servono per rimuoverlo dall'account di fatturazione originale e associarlo a quello nuovo.
| Azione | Autorizzazione | Risorsa |
|---|---|---|
| Visualizzare le associazioni di progetto | billing.resourceAssociations.list |
Account di fatturazione |
| Associare il progetto con l'account di fatturazione | billing.resourceAssociations.create |
Account di fatturazione |
resourcemanager.projects.createBillingAssignment |
Progetto | |
| Rimuovere il progetto dall'account di fatturazione | billing.resourceAssociations.delete |
Account di fatturazione |
resourcemanager.projects.deleteBillingAssignment |
Progetto |
Budget
| Azione | Autorizzazione | Risorsa |
|---|---|---|
| Visualizzare l'elenco dei budget, inclusa la spesa da inizio mese alla data attuale | billing.budgets.get |
Account di fatturazione |
billing.budgets.list |
Account di fatturazione | |
| Aggiornare il budget | billing.budgets.update |
Account di fatturazione |
| Creare il budget | billing.budgets.create |
Account di fatturazione |
Crediti e promozioni
| Azione | Autorizzazione | Risorsa |
|---|---|---|
| Visualizzare l'elenco dei crediti, inclusi l'importo originale e rimanente | billing.credits.list |
Account di fatturazione |
| Utilizzare un codice promozionale | billing.credits.create |
Account di fatturazione |
billing.accounts.update |
Account di fatturazione | |
Criterio
Il criterio definisce i tipi di utenti che hanno accesso a specifiche risorse in un account di fatturazione. Per informazioni sulla creazione o la modifica di ruoli personalizzati, vedere la sezione Creare un ruolo personalizzato illustrata in precedenza.
| Azione | Autorizzazione | Risorsa |
|---|---|---|
| Visualizzare i ruoli a livello di account, inclusi i nomi utente associati | billing.accounts.getIamPolicy |
Account di fatturazione |
| Assegnare ruoli agli utenti dell'account | billing.accounts.setIamPolicy |
Account di fatturazione |
Specifiche dell'esportazione
La specifica di esportazione definisce dove inviare una copia di tutti i dati relativi all'utilizzo e può contenere il nome di un bucket di Cloud Storage o un set di dati BigQuery
| Azione | Autorizzazione | Risorsa |
|---|---|---|
| Visualizzare le specifiche di esportazione correnti (bucket di Cloud Storage o set di dati BigQuery in cui esportare i dati di utilizzo) | billing.accounts.getUsageExportSpec |
Account di fatturazione |
| Modificare le specifiche di esportazione | billing.accounts.updateUsageExportSpec |
Account di fatturazione |
Argomenti correlati
- Panoramica del controllo degli accessi alla fatturazione
- Controllo dell'accesso a Cloud Billing API
- Concessione, modifica e revoca dell'accesso ai membri del progetto nella documentazione di Cloud Identity and Access Management