本文档介绍了如何为 Cloud Billing 账号配置访问权限。
Cloud Billing 账号在 Google Cloud 中设置,用于定义一组给定 Google Cloud 资源和 Google Maps Platform API 的付款方。Cloud Billing 账号与 Google 付款资料相关联。Cloud Billing 和 Google 付款的访问权限在两个不同的系统中进行配置,具体取决于您想要提供的访问权限类型。
如果您需要为 Google 付款资料配置访问权限,请参阅管理 Google 付款用户、权限和通知设置。
Cloud Billing 账号用户权限
每个 Cloud Billing 账号至少需要一个 Billing Account Administrator。默认情况下,Cloud Billing 账号创建者就是该 Cloud Billing 账号的 Billing Account Administrator。为实现冗余,我们建议您为每个 Cloud Billing 账号配置多个管理员。
您可以根据用户需要执行的操作(例如,跟踪支出、查看费用异常值、管理预算、优化费用或查看并支付账单)向用户授予不同级别的结算账号访问权限。
您并非直接向用户授予权限,而是向其授予角色(角色本身会具有一项或多项权限)。您可以针对同一项资源授予一个或多个角色。
如果您的组织与您的 Google Cloud 账号相关联,则可以通过在组织级层设置 IAM 政策来授予或限制对 Cloud Billing 的访问权限。您还可以在 Cloud Billing 账号级层设置 Cloud Billing IAM 政策,或限制对文件夹或项目级层的结算访问权限。
准备工作
熟悉 Cloud Billing 中提供的角色和权限。
- 如需了解预定义结算角色及其权限,请参阅 Cloud Billing 访问权限控制和权限。
- 如果预定义角色提供的权限不符合您的需求,请创建和使用可授予更具体的权限集的自定义角色。如需了解详情,请参阅为结算创建自定义角色。
执行此任务所需的权限
如需管理 Cloud Billing 账号的用户权限,您需要一个可提供 Cloud Billing 账号的以下权限的角色:
billing.accounts.getIamPolicy
- 查看账号中的角色,包括关联的用户名。billing.accounts.setIamPolicy
- 用于向 Cloud Billing 账号的主账号授予角色。
如需使用预定义角色获取此权限,请让您的管理员为您授予 Cloud Billing 账号的以下角色:
更新 Cloud Billing 账号的用户权限
如需查看、添加或移除 Cloud Billing 权限,请执行以下操作:
登录 Google Cloud 控制台中的管理结算账号页面。
选择 Cloud Billing 账号所在的行,在信息面板中查看该结算账号的主账号和权限。如果该面板尚未显示,请点击显示信息面板将其打开。
或者,您也可以通过 Cloud Billing 账号的账号管理页面查看其权限:
在 Google Cloud 控制台中,前往 Cloud Billing 账号的账号管理页面。
在系统提示时,选择您要查看的 Cloud Billing 账号。
在信息面板中,查看和修改所选 Cloud Billing 账号的主账号和权限。如果该面板尚未显示,请点击显示信息面板将其打开。
权限面板按角色以及具有每个角色的主账号数量进行组织。例如,权限面板中可能会显示以下内容
- Billing Account Administrator(2 个主账号)
- Billing Account User(6 个主账号)
- Billing Account Viewer(10 个主账号)
您可以为同一位主账号授予多个角色。
如需查看分配给某个角色的主账号列表,请展开角色节点。
如需查找特定主账号并查看向该主账号授予了哪些角色,请使用
过滤条件并输入该主账号的电子邮件地址。如需更新 Cloud Billing 权限,请在权限面板中执行以下任一操作:
如需添加新主账号并分配权限,请执行以下操作:
- 点击添加主账号。
- 在新建主账号字段中,输入要添加的主账号的一个或多个电子邮件地址。您可以将个人、服务账号或 Google 群组网添加为主账号。
- 在选择角色中选择主账号的权限。
- 如果需要,您可以添加其他角色,为主账号授予其他权限。
- 完成后,点击保存。
如需修改主账号的结算权限,请执行以下操作:
- 使用 过滤条件查找特定主账号或角色。
- 在列表中,找到要修改的主账号。
点击主账号所在行中的修改
。“修改权限”面板打开,该面板特定于您正在查看的所选主账号和资源(Cloud Billing 账号)。
在修改权限面板中,为所选主账号和资源添加、修改和删除角色。
完成后,点击保存。
如需撤消主账号的角色,请执行以下操作:
- 使用 过滤条件查找特定主账号或角色。
- 在列表中,找到要撤消其角色的主账号。
- 点击主账号所在行中的删除 。
确认操作。
Google 付款用户权限
每个 Google 付款账号至少需要一个拥有所有权限的管理员和一个主要联系人(Google 将就任何与付款相关的提醒或问题与此人联系)。默认情况下,Google 付款账号的创建者就是拥有所有权限的管理员和主要联系人。为实现冗余,我们建议您设置多个 Google 付款管理员。
您可以将用户添加到您管理的任何 Google 付款公司资料中,并根据用户需要执行的操作(例如,管理付款方式或付款资料详细信息)向用户授予不同级别的访问权限。您还可以配置用户电子邮件接收设置,以接收结算和付款电子邮件。
如需了解详情,请参阅管理 Google 付款用户、权限和通知设置。