Custom rollen voor facturering maken

Met Cloud Identity and Access Management (IAM) kunt u gedetailleerde machtigingen instellen om toegang tot specifieke acties voor individuele gebruikers te verlenen of in te trekken. In Cloud IAM worden deze gedetailleerde machtigingen op basis van verwantschap ondergebracht in groepen om ze makkelijker aan gebruikers te kunnen toekennen. Voor de facturering zijn vooraf gedefinieerde rollen ingesteld, zoals Beheerder factureringsaccount en Lezer factureringsaccount, die geschikt zijn voor de meeste gebruikers. Maar als deze niet aan uw behoeften voldoen, kunt u met custom rollen specifiekere machtigingen toekennen.

Een custom rol maken

Custom rollen worden door de organisatie gemaakt en vervolgens toegepast op factureringsaccounts in de organisatie. Ze kunnen net als vooraf gedefinieerde rollen aan gebruikers worden toegekend in het factureringsoverzicht van de console.

In de Cloud IAM-documentatie wordt onder Custom rollen maken en beheren beschreven hoe u een custom rol configureert en welke machtigingen nodig zijn.

Voorbeeld van een custom rol

Stel dat u iemand de mogelijkheid wilt geven om functies voor kostenbeheer te bewerken, zoals budgetten maken of facturen exporteren. Hiervoor zijn de volgende machtigingen nodig:

  • billing.budgets.create
  • billing.budgets.update
  • billing.accounts.updateUsageExportSpec

Als u de vooraf gedefinieerde rollen gebruikt, moet u de rol Beheerder factureringsaccount toepassen om deze machtigingen te verlenen. Maar die rol omvat ook toestemming om resourcekoppelingen te verwijderen, abonnementen op te zeggen en het factureringsaccount te sluiten. Als u dat niet wilt, kunt u in plaats daarvan een custom rol maken met alleen de drie bovenstaande machtigingen en deze de naam Kostenbeheerder geven. Vervolgens kunt u die custom rol in combinatie met de rol Lezer factureringsaccount toekennen aan alle gebruikers die algemene machtigingen voor kostenbeheer nodig hebben, maar geen andere accounteigenschappen mogen bewerken.

Koppeling en overname van machtigingen

U kunt factureringsmachtigingen verlenen op het niveau van het factureringsaccount of op projectniveau. De meeste factureringsmachtigingen horen bij het factureringsaccount, dus rollen met deze machtigingen moeten aan het factureringsaccount zijn gekoppeld. Andere factureringsmachtigingen horen bij een project en moeten aan het project worden gekoppeld in plaats van aan het factureringsaccount.

Een voorbeeld: voor het koppelen van een project aan een factureringsaccount zijn de machtiging billing.resourceAssociations.create voor het factureringsaccount en de machtiging resourcemanager.projects.createBillingAssignment voor het project vereist. Projectmachtigingen zijn namelijk vereist voor acties waarmee projecteigenaren de toegang beheren en factureringsaccountmachtigingen zijn vereist voor acties waarmee factureringsaccountbeheerders de toegang beheren. Wanneer beide beheerders hierbij betrokken zijn, zijn beide machtigingen noodzakelijk.

Net als andere Cloud IAM-machtigingen nemen alle factureringsmachtigingen instellingen over van de hogere niveaus in de factureringshiërarchie. Een gebruiker met een rol met billing.accounts.close in een organisatie, kan bijvoorbeeld elk factureringsaccount binnen die organisatie sluiten. Sommige machtigingen zijn echter alleen van toepassing op hogere niveaus. De machtiging billing.accounts.list doet bijvoorbeeld niets als deze wordt toegepast op een afzonderlijk factureringsaccount, maar een gebruiker met een rol met billing.accounts.list in een organisatie kan elk factureringsaccount binnen die organisatie weergeven.

Factureringsactiviteiten

In de volgende tabellen staan algemene factureringsactiviteiten, de machtigingen die vereist zijn om deze activiteiten uit te voeren en de resource waarop die machtigingen van toepassing zijn.

Accountbeheer

Actie Machtiging Resource
Standaard accountgegevens opvragen (bijv. accountnaam, valuta, open/gesloten) billing.accounts.get Factureringsaccount
Upgrade van kosteloze proefversie billing.accounts.update Factureringsaccount
Accountnaam wijzigen billing.accounts.update Factureringsaccount
Inkoopordernummer wijzigen billing.accounts.update Factureringsaccount
Account sluiten billing.accounts.close Factureringsaccount
Gesloten account opnieuw openen billing.accounts.reopen Factureringsaccount

Hiërarchie van factureringsaccounts

Actie Machtiging Resource
Lijst van accounts in de organisatie weergeven billing.accounts.list Organisatie
Accounts maken in de organisatie billing.accounts.create Organisatie
Account verplaatsen naar de organisatie billing.accounts.create Organisatie
billing.accounts.update Factureringsaccount
Account verplaatsen tussen organisaties billing.accounts.removeFromOrganization Factureringsaccount (of oude organisatie)
billing.accounts.create Nieuwe organisatie
billing.accounts.update Factureringsaccount

Betalingsgegevens

Het betalingsprofiel bevat de naam, het adres en de betaalmethode van de klant.

Actie Machtiging Resource
Betalingsprofiel bekijken billing.accounts.getPaymentInfo Factureringsaccount
Betalingsprofiel updaten billing.accounts.updatePaymentInfo Factureringsaccount
Kosten en gebruik bekijken billing.accounts.getSpendingInformation Factureringsaccount

Resourcekoppelingen

Voor verplaatsing van een project tussen factureringsaccounts zijn dezelfde machtigingen vereist als voor verwijdering uit het oorspronkelijke factureringsaccount en koppeling aan het nieuwe factureringsaccount.

Actie Machtiging Resource
Projectkoppelingen bekijken billing.resourceAssociations.list Factureringsaccount
Project koppelen aan factureringsaccount billing.resourceAssociations.create Factureringsaccount
resourcemanager.projects.createBillingAssignment Project
Project verwijderen uit factureringsaccount billing.resourceAssociations.delete Factureringsaccount
resourcemanager.projects.deleteBillingAssignment Project

Budgetten

Actie Machtiging Resource
Budgetoverzicht bekijken, inclusief uitgaven van deze maand tot op heden billing.budgets.get Factureringsaccount
billing.budgets.list Factureringsaccount
Budget updaten billing.budgets.update Factureringsaccount
Budget maken billing.budgets.create Factureringsaccount

Krediet en promoties

Actie Machtiging Resource
Lijst met kredieten bekijken, inclusief origineel en resterend bedrag billing.credits.list Factureringsaccount
Een promotiecode inwisselen billing.credits.create Factureringsaccount
billing.accounts.update Factureringsaccount

Beleid

Het beleid bepaalt welke gebruikers toegang hebben tot welke resources van een factureringsaccount. Zie het gedeelte Een custom rol maken hierboven, voor informatie over het maken en wijzigen van custom rollen.

Actie Machtiging Resource
Rollen voor account bekijken, inclusief bijbehorende gebruikersnamen billing.accounts.getIamPolicy Factureringsaccount
Rollen verlenen aan gebruikers van account billing.accounts.setIamPolicy Factureringsaccount

Exportspecificaties

De exportspecificatie bepaalt waar een kopie van alle gebruiksgerelateerde gegevens naartoe moet worden gestuurd en bevat de naam van een Cloud Storage-bucket of BigQuery-dataset.

Actie Machtiging Resource
De huidige exportspecificatie bekijken (Cloud Storage-bucket of BigQuery-dataset waar gebruiksgegevens naar moeten worden geëxporteerd) billing.accounts.getUsageExportSpec Factureringsaccount
De exportspecificatie wijzigen billing.accounts.updateUsageExportSpec Factureringsaccount