建立帳單自訂角色

Cloud 身分與存取權管理服務 (IAM) 提供了詳細的權限設定,可讓您授予或撤銷個別使用者執行特定動作的權限。為了簡化使用者授權程序,Cloud IAM 將詳細的權限設定整合至相關的群組中。我們為計費功能提供了專屬的預先定義角色,例如帳單帳戶管理員帳單帳戶檢視者,這些角色皆適用於大多數的使用者。但如果這些角色不符您的需求,您也可以建立自訂角色,以便進一步指定您要授予的權限組合。

建立自訂角色

您可以為機構建立自訂角色,然後將角色套用至機構中的任何帳單帳戶。角色建立完成後,您就能前往主控台的帳單總覽頁面授予使用者自訂角色權限,操作方式與授予預先定義的標準角色相同。

要瞭解如何設定自訂角色,以及哪些權限屬於必要權限,請參閱 Cloud IAM 說明文件中的建立及管理自訂角色一文。

自訂角色範例

假設您想讓某位使用者有權編輯成本管理功能 (例如預算快訊和帳單匯出功能),就必須授予對方下列相關權限:

  • billing.budgets.create
  • billing.budgets.update
  • billing.accounts.updateUsageExportSpec

如果是預先定義的角色,您必須授予帳單帳戶管理員角色,才能套用上述權限,但這個角色同時也具備刪除資源關聯、取消訂閱和關閉帳單帳戶的權限。如果不想授予使用者這些權限,您可以改為建立自訂角色,單獨授予前述的三個權限,然後再將這個自訂角色命名為「成本管理員」。接著,您只要授予使用者這個自訂角色和帳單帳戶檢視者的角色,他們就能獲得管理成本的各項權限,但無法編輯其他帳戶內容。

權限關聯和沿用設定

您可以授予帳單帳戶層級或專案層級的帳單權限。大多數的帳單權限都屬於帳單帳戶,因此包含這類權限的角色必須與帳單帳戶相連結,而屬於專案的其他帳單權限則必須與專案相連結。

舉例來說,如要將專案連結帳單帳戶,您需要帳單帳戶的 billing.resourceAssociations.create 權限和專案的 resourcemanager.projects.createBillingAssignment 權限。這是因為專案擁有者可執行的動作需要專案權限,而帳單帳戶管理員可執行的動作則需要帳單帳戶權限。將專案連結帳單帳戶同時涉及兩種動作,因此兩種權限皆為必要權限。

如同其他 Cloud IAM 權限,所有帳單權限都會沿用更高層級的帳單階層。舉例來說,假設使用者的的角色擁有機構的 billing.accounts.close 權限,該位使用者就有權關閉機構內的所有帳單帳戶。不過,部分權限只適用於較高的層級。例如,擁有 billing.accounts.list 權限的帳單帳戶無法執行任何相關動作,但如果使用者的角色擁有機構的 billing.accounts.list 權限,該位使用者就有權列出機構內的所有帳單帳戶。

帳單活動

下方的表格說明了常見的帳單活動、執行這些活動所需的權限,以及相關權限所適用的資源。

帳戶管理

動作 權限 資源
取得基本帳戶資訊 (例如帳戶名稱、貨幣、啟用狀態) billing.accounts.get 帳單帳戶
從免費試用版升級 billing.accounts.update 帳單帳戶
重新命名帳戶 billing.accounts.update 帳單帳戶
變更訂購單號碼 billing.accounts.update 帳單帳戶
關閉帳戶 billing.accounts.close 帳單帳戶
重新開啟已關閉的帳戶 billing.accounts.reopen 帳單帳戶

帳單帳戶階層

動作 權限 資源
列出機構中的帳戶 billing.accounts.list 機構
在機構中建立帳戶 billing.accounts.create 機構
將帳戶移入機構中 billing.accounts.create 機構
billing.accounts.update 帳單帳戶
在機構之間移動帳戶 billing.accounts.removeFromOrganization 舊機構
billing.accounts.create 新機構
billing.accounts.update 帳單帳戶

付款資訊

付款資料包括客戶名稱、地址和付款方式。

動作 權限 資源
查看付款資料 billing.accounts.getPaymentInfo 帳單帳戶
更新付款資料 billing.accounts.updatePaymentInfo 帳單帳戶
查看帳單帳戶的費用和使用情況* billing.accounts.getSpendingInformation 帳單帳戶
查看專案的費用和使用情況* billing.resourceCosts.get 專案
resourcemanager.projects.get 專案

資源關聯

在帳單帳戶之間移動專案所需的權限與以下動作的權限相同:從原始帳單帳戶移除專案,以及將專案連結新的帳單帳戶。

動作 權限 資源
查看專案關聯 billing.resourceAssociations.list 帳單帳戶
將專案連結帳單帳戶 billing.resourceAssociations.create 帳單帳戶
resourcemanager.projects.createBillingAssignment 專案
從帳單帳戶移除專案 billing.resourceAssociations.delete 帳單帳戶
resourcemanager.projects.deleteBillingAssignment 專案

預算快訊

動作 權限 資源
查看預算快訊清單,包括當月至今的支出 billing.budgets.get 帳單帳戶
billing.budgets.list 帳單帳戶
更新預算快訊 billing.budgets.update 帳單帳戶
建立預算快訊 billing.budgets.create 帳單帳戶

抵免額和促銷活動

動作 權限 資源
查看抵免額清單,包括原始和剩餘金額 billing.credits.list 帳單帳戶
兌換促銷代碼 billing.credits.create 帳單帳戶
billing.accounts.update 帳單帳戶

政策

政策會定義使用者擁有哪些帳單帳戶資源的存取權。如要進一步瞭解如何建立或修改自訂角色,請參閱前述的建立自訂角色一節。

動作 權限 資源
查看帳戶的角色,包括相關聯的使用者名稱 billing.accounts.getIamPolicy 帳單帳戶
為帳戶中的使用者授予角色權限 billing.accounts.setIamPolicy 帳單帳戶

匯出規格

匯出規格會定義您要將所有用量相關資料的副本傳送到哪裡,您可以在其中指定 Cloud Storage 值區BigQuery 資料集的名稱。

動作 權限 資源
查看目前的匯出規格 (要將用量資料匯出至 Cloud Storage 值區或 BigQuery 資料集) billing.accounts.getUsageExportSpec 帳單帳戶
修改匯出規格 billing.accounts.updateUsageExportSpec 帳單帳戶
本頁內容對您是否有任何幫助?請提供意見: