Identity and Access Management(IAM)를 이용하면 세분화된 권한을 통해 개별 사용자의 특정 작업에 대한 액세스 권한을 부여하거나 취소할 수 있습니다. 사용자에게 권한을 할당하는 절차를 단순화하기 위해, IAM 역할을 이용하여 이러한 세분화된 권한을 관련 그룹으로 묶습니다. 결제에는 결제 계정 관리자 또는 결제 계정 뷰어와 같은 사전 정의된 역할이 있고 이 역할은 대부분의 사용자에게 유용합니다. 그러나 사용자의 요구 사항과 맞지 않는 경우, 커스텀 역할을 이용하여 보다 구체적인 권한 모음을 부여할 수 있습니다.
커스텀 역할 만들기
조직에서 생성한 커스텀 역할은 조직의 어떠한 결제 계정에나 적용 가능합니다. IAM 문서의 커스텀 역할 만들기 및 관리에서는 필요한 권한을 비롯하여 커스텀 역할을 구성하는 방법을 설명합니다.
커스텀 역할이 생성되면 일반적인 사전 정의된 역할과 동일하게 사용자에게 커스텀 역할을 부여할 수 있습니다. 결제 권한을 업데이트하는 방법을 알아보세요.
커스텀 역할 예시
가령, 특정 사용자에게 예산 알림 및 결제 내보내기와 같은 비용 관리 기능을 편집할 수 있는 권한을 제공하고 싶다면 다음 권한을 부여할 수 있습니다.
billing.budgets.createbilling.budgets.updatebilling.accounts.updateUsageExportSpec
사전 정의된 역할을 사용하여 이러한 권한을 적용하려면 결제 계정 관리자 역할을 부여해야 합니다. 하지만 이 역할에는 리소스 연결을 삭제하고, 구독을 취소하고, 결제 계정을 종료할 수 있는 권한도 포함됩니다. 사용자에게 이러한 권한을 부여하지 않으려면 대신 위 세 가지 권한만 있는 커스텀 역할을 만들고 이름을 비용 관리자로 지정하면 됩니다. 그러면 폭넓은 비용 관리 권한이 있지만 다른 계정 속성을 수정하면 안 되는 사용자에게 결제 계정 뷰어 역할과 함께 커스텀 역할을 부여할 수 있습니다.
권한 연결 및 상속
결제 계정 수준 또는 프로젝트 수준에서 결제 권한을 부여할 수 있습니다. 대부분의 결제 권한은 결제 계정에 속하므로, 해당 권한이 포함된 역할은 결제 계정과 연결되어야 합니다. 그 외의 결제 권한은 프로젝트에 속하므로, 결제 계정이 아닌 프로젝트와 연결해야 합니다.
예를 들어 프로젝트를 결제 계정에 연결하려면 결제 계정에 대한 billing.resourceAssociations.create 권한과 프로젝트에 대한 resourcemanager.projects.createBillingAssignment 권한이 있어야 합니다. 이는 프로젝트 소유자가 액세스를 제어하는 작업에는 프로젝트 권한이 필요하고, 결제 계정 관리자가 액세스를 제어하는 작업에는 결제 계정 권한이 필요하기 때문입니다. 두 작업을 모두 해야 하는 경우, 양쪽 권한이 필요합니다.
다른 IAM 권한과 마찬가지로, 모든 결제 권한은 더 높은 수준의 결제 계층구조로부터 상속합니다. 예를 들어 billing.accounts.close가 포함된 역할이 있는 조직 내 사용자는 이 조직에 있는 모든 결제 계정을 닫을 수 있습니다. 그러나 일부 권한은 더 높은 수준에서만 적용됩니다. 예를 들어 개별 결제 계정에는 billing.accounts.list 권한이 적용되지 않지만 billing.accounts.list가 포함된 역할이 있는 조직 내 사용자는 이 조직에 있는 모든 결제 계정을 나열할 수 있습니다.
결제 활동
다음 표는 일반적인 결제 활동 및 이러한 활동을 수행하는 데 필요한 권한, 그리고 해당 권한이 적용되는 리소스를 설명합니다.
계정 관리
| 작업 | 권한 | 리소스 |
|---|---|---|
| 기본적인 계정 정보 수집(예: 계정 이름, 통화, 활성화 여부) | billing.accounts.get |
결제 계정 |
| 무료 체험판에서 업그레이드 | billing.accounts.update |
결제 계정 |
| 계정 이름 바꾸기 | billing.accounts.update |
결제 계정 |
| 구매 주문 번호 변경 | billing.accounts.update |
결제 계정 |
| 계정 닫기 | billing.accounts.close |
결제 계정 |
| 닫은 계정 다시 열기 | billing.accounts.reopen |
결제 계정 |
결제 계정 계층구조
| 작업 | 권한 | 리소스 |
|---|---|---|
| 조직에서 계정 나열 | billing.accounts.list |
조직 |
| 조직에서 계정 만들기 | billing.accounts.create |
조직 |
| 조직으로 계정 이동 | billing.accounts.create |
조직 |
billing.accounts.move |
결제 계정 | |
| 조직 간 계정 이동 | billing.accounts.removeFromOrganization |
이전 조직 |
billing.accounts.create |
새 조직 | |
billing.accounts.move |
결제 계정 |
결제 정보
결제 프로필에는 고객 이름, 주소, 결제 수단이 포함됩니다.
| 작업 | 권한 | 리소스 |
|---|---|---|
| 결제 프로필 보기 | billing.accounts.getPaymentInfo |
결제 계정 |
| 결제 프로필 업데이트 | billing.accounts.updatePaymentInfo |
결제 계정 |
| 사용량이 발생한 SKU에 대한 가격만 보기 | billing.accounts.getPricing |
결제 계정 |
| 결제 계정의 SKU당 커스텀 계약 가격 보기 | billing.accounts.getPricing |
결제 계정 |
| 결제 계정의 비용 및 사용량 보기* | billing.accounts.getSpendingInformation |
결제 계정 |
| 프로젝트의 비용 및 사용량 보기* | billing.resourceCosts.get |
프로젝트 |
resourcemanager.projects.get |
프로젝트 |
리소스 연결
결제 계정 간에 프로젝트를 이동하려면 기존의 결제 계정에서 프로젝트를 삭제하여 새 결제 계정과 연결하는 것과 동일한 권한이 필요합니다.
| 작업 | 권한 | 리소스 |
|---|---|---|
| 프로젝트 연결 보기 | billing.resourceAssociations.list |
결제 계정 |
resourcemanager.projects.get |
프로젝트 | |
| 프로젝트를 결제 계정과 연결 | billing.resourceAssociations.create |
결제 계정 |
resourcemanager.projects.createBillingAssignment |
프로젝트 | |
| 결제 계정에서 프로젝트 삭제 | billing.resourceAssociations.delete |
결제 계정 |
resourcemanager.projects.deleteBillingAssignment |
프로젝트 |
예산 및 지출 알림
| 작업 | 권한 | 리소스 |
|---|---|---|
| Cloud Billing 계정의 예산 목록 보기 | billing.budgets.get |
결제 계정 |
billing.budgets.list |
결제 계정 | |
| Cloud Billing 계정으로 범위가 지정된 예산 업데이트 | billing.budgets.update |
결제 계정 |
| Cloud Billing 계정의 예산 만들기 | billing.budgets.create |
결제 계정 |
| 단일 프로젝트로 범위가 지정된 예산 목록 보기 | resourcemanager.projects.get |
프로젝트 |
billing.resourceCosts.get |
프로젝트 | |
billing.resourcebudgets.read |
프로젝트 | |
| 단일 프로젝트로 범위가 지정된 예산 업데이트 | resourcemanager.projects.get |
프로젝트 |
billing.resourceCosts.get |
프로젝트 | |
billing.resourcebudgets.read |
프로젝트 | |
billing.resourcebudgets.write |
프로젝트 | |
| 단일 프로젝트로 범위가 지정된 예산 만들기 | resourcemanager.projects.get |
프로젝트 |
billing.resourceCosts.get |
프로젝트 | |
billing.resourcebudgets.read |
프로젝트 | |
billing.resourcebudgets.write |
프로젝트 |
크레딧 및 프로모션
| 작업 | 권한 | 리소스 |
|---|---|---|
| 원래 액수 및 남은 액수를 포함한 크레딧 목록 보기 | billing.credits.list |
결제 계정 |
| 프로모션 코드 사용 | billing.accounts.redeemPromotion |
결제 계정 |
billing.accounts.update |
결제 계정 |
정책
정책은 결제 계정에서 특정 사용자가 액세스할 수 있는 리소스를 정의합니다. 커스텀 역할 만들기 또는 수정에 대한 자세한 내용은 위에 있는 커스텀 역할 만들기 섹션을 참조하세요.
| 작업 | 권한 | 리소스 |
|---|---|---|
| 연결된 사용자 이름을 포함하여 계정에서 역할 보기 | billing.accounts.getIamPolicy |
결제 계정 |
| 계정에서 사용자에게 역할 부여 | billing.accounts.setIamPolicy |
결제 계정 |
내보내기 사양
내보내기 사양은 사용량과 관련된 모든 데이터의 사본을 보낼 위치를 정의하며 BigQuery 데이터세트의 이름을 포함할 수 있습니다.
| 작업 | 권한 | 리소스 |
|---|---|---|
| 현재 내보내기 사양 보기(사용량 데이터를 내보낼 Cloud Storage 버킷 또는 BigQuery 데이터 세트) | billing.accounts.getUsageExportSpec |
결제 계정 |
| 내보내기 사양 수정 | billing.accounts.updateUsageExportSpec |
결제 계정 |
관련 주제
- 결제 액세스 제어 개요
- Cloud Billing API 액세스 제어
- Identity and Access Management의 액세스 권한 부여, 변경, 취소