커스텀 결제 역할 만들기

Cloud ID 및 액세스 관리(IAM)를 이용하면 세분화된 권한을 통해 개별 사용자의 특정 작업에 대한 액세스 권한을 부여하거나 취소할 수 있습니다. 사용자에게 권한을 할당하는 절차를 단순화하기 위해, Cloud IAM 역할을 이용하여 이러한 세분화된 권한을 관련 그룹으로 묶습니다. 결제에는 결제 계정 관리자 또는 결제 계정 뷰어와 같은 사전 정의된 역할이 있어 대부분 사용자에게 유용합니다. 그러나 사용자의 요구 사항과 맞지 않는 경우, 커스텀 역할을 이용하여 보다 구체적인 권한 모음을 부여할 수 있습니다.

커스텀 역할 만들기

조직에서 생성한 커스텀 역할은 조직의 어떠한 결제 계정에나 적용 가능합니다. 커스텀 역할을 생성한 다음, 일반적인 사전 정의된 역할과 동일하게 콘솔 결제 개요 페이지를 사용하여 사용자에게 커스텀 역할을 부여할 수 있습니다.

Cloud IAM 문서의 커스텀 역할 만들기 및 관리에서는 필요한 권한을 비롯하여 커스텀 역할을 구성하는 방법에 대해 설명합니다.

커스텀 역할의 예

가령, 특정 사용자에게 예산 알림 및 결제 내보내기와 같은 비용 관리 기능을 편집할 수 있는 권한을 제공하고 싶다면 다음 권한을 부여할 수 있습니다.

  • billing.budgets.create
  • billing.budgets.update
  • billing.accounts.updateUsageExportSpec

사전 정의된 역할을 사용하여 이러한 권한을 적용하려면 결제 계정 관리자 역할을 부여해야 합니다. 하지만 이 역할에는 리소스 연결을 삭제하고, 구독을 취소하고, 결제 계정을 종료할 수 있는 권한도 포함됩니다. 사용자에게 이러한 기능을 제공하지 않으려면, 위의 세 가지 권한만 포함하는 커스텀 역할을 만들고 이름을 비용 관리자로 지정할 수 있습니다. 그런 다음, 광범위한 비용 관리 권한을 부여하되 다른 계정 속성을 수정할 권한을 부여해서는 안 되는 사용자에게 커스텀 역할과 결제 계정 뷰어 역할을 함께 부여할 수 있습니다.

권한 연결 및 상속

결제 계정 수준 또는 프로젝트 수준에서 결제 권한을 부여할 수 있습니다. 대부분의 결제 권한은 결제 계정에 속하므로, 해당 권한이 포함된 역할은 결제 계정과 연결되어야 합니다. 그 외의 결제 권한은 프로젝트에 속하므로, 결제 계정이 아닌 프로젝트와 연결해야 합니다.

예를 들어 프로젝트를 결제 계정과 연결하려면, 결제 계정의 billing.resourceAssociations.create 권한과 프로젝트의 resourcemanager.projects.createBillingAssignment 권한이 필요합니다. 이는 프로젝트 소유자가 액세스를 제어하는 작업에는 프로젝트 권한이 필요하고, 결제 계정 관리자가 액세스를 제어하는 작업에는 결제 계정 권한이 필요하기 때문입니다. 두 작업을 모두 해야 하는 경우, 양쪽 권한이 필요합니다.

다른 Cloud IAM 권한과 마찬가지로, 모든 결제 권한은 더 높은 수준의 결제 계층구조로부터 상속합니다. 예를 들어, 조직에서 billing.accounts.close가 포함된 역할을 가진 사용자는 해당 조직 내의 모든 결제 계정을 종료할 수 있습니다. 그러나 일부 권한은 더 높은 수준에서만 적용됩니다. 예를 들어, billing.accounts.list 권한이 개별 결제 계정에 적용되는 경우 아무 일도 일어나지 않지만, 조직에서 billing.accounts.list가 포함된 역할을 가진 사용자는 해당 조직 내의 모든 결제 계정을 나열할 수 있습니다.

결제 활동

다음 표는 일반적인 결제 활동 및 이러한 활동을 수행하는 데 필요한 권한, 그리고 해당 권한이 적용되는 리소스를 설명합니다.

계정 관리

작업 권한 리소스
기본적인 계정 정보 수집(예: 계정 이름, 통화, 활성화 여부) billing.accounts.get 결제 계정
무료 평가판에서 업그레이드 billing.accounts.update 결제 계정
계정 이름 바꾸기 billing.accounts.update 결제 계정
구매 주문 번호 변경 billing.accounts.update 결제 계정
계정 닫기 billing.accounts.close 결제 계정
닫은 계정 다시 열기 billing.accounts.reopen 결제 계정

결제 계정 계층구조

작업 권한 리소스
조직에서 계정 나열 billing.accounts.list 조직
조직에서 계정 만들기 billing.accounts.create 조직
조직으로 계정 이동 billing.accounts.create 조직
billing.accounts.update 결제 계정
조직 간 계정 이동 billing.accounts.removeFromOrganization 이전 조직
billing.accounts.create 새 조직
billing.accounts.update 결제 계정

결제 정보

결제 프로필에는 고객 이름, 주소, 결제 수단이 포함됩니다.

작업 권한 리소스
결제 프로필 보기 billing.accounts.getPaymentInfo 결제 계정
결제 프로필 업데이트 billing.accounts.updatePaymentInfo 결제 계정
결제 계정의 비용 및 사용량 보기* billing.accounts.getSpendingInformation 결제 계정
프로젝트의 비용 및 사용량 보기* billing.resourceCosts.get 프로젝트

리소스 연결

결제 계정 간에 프로젝트를 이동하려면 기존의 결제 계정에서 프로젝트를 삭제하여 새 결제 계정과 연결하는 것과 동일한 권한이 필요합니다.

작업 권한 리소스
프로젝트 연결 보기 billing.resourceAssociations.list 결제 계정
프로젝트를 결제 계정과 연결 billing.resourceAssociations.create 결제 계정
resourcemanager.projects.createBillingAssignment 프로젝트
결제 계정에서 프로젝트 삭제 billing.resourceAssociations.delete 결제 계정
resourcemanager.projects.deleteBillingAssignment 프로젝트

예산 알림

작업 권한 리소스
월초 대비 지출을 포함한 예산 알림 목록 보기 billing.budgets.get 결제 계정
billing.budgets.list 결제 계정
예산 알림 업데이트 billing.budgets.update 결제 계정
예산 알림 만들기 billing.budgets.create 결제 계정

크레딧 및 프로모션

작업 권한 리소스
원래 액수 및 남은 액수를 포함한 크레딧 목록 보기 billing.credits.list 결제 계정
프로모션 코드 사용 billing.credits.create 결제 계정
billing.accounts.update 결제 계정

정책

정책은 결제 계정에서 특정 사용자가 액세스할 수 있는 리소스를 정의합니다. 커스텀 역할 만들기 또는 수정에 대한 자세한 내용은 위에 있는 커스텀 역할 만들기 섹션을 참조하세요.

작업 권한 리소스
연결된 사용자 이름을 포함하여 계정에서 역할 보기 billing.accounts.getIamPolicy 결제 계정
계정에서 사용자에게 역할 부여 billing.accounts.setIamPolicy 결제 계정

내보내기 사양

내보내기 사양은 사용량과 관련된 모든 데이터의 사본을 보낼 위치를 정의하며 Cloud Storage 버킷 또는 BigQuery 데이터세트의 이름을 포함할 수 있습니다.

작업 권한 리소스
현재 내보내기 사양 보기(사용량 데이터를 내보낼 Cloud Storage 버킷 또는 BigQuery 데이터세트) billing.accounts.getUsageExportSpec 결제 계정
내보내기 사양 수정 billing.accounts.updateUsageExportSpec 결제 계정
이 페이지가 도움이 되었나요? 평가를 부탁드립니다.