Cloud Billing 资源组织和访问权限管理指南

本文旨在指导 Google Cloud 客户设置各种 Google Cloud 资源,以避免常见问题并采用访问权限控制和费用管理方面的最佳做法。本指南介绍了设计决策和配置选项,旨在帮助您成功管理云资源。

本指南的目标

  • 提供与结算相关的各种资源的概念性概览。
  • 向您介绍如何有效地设置 Cloud Billing 资源,以及为了简化管理工作,如何根据云使用情况调整战略优先级并让账号保持良好的运行状态。
  • 帮助您避免 Google Cloud 客户在结算方面最常遇到的问题。
  • 教您如何采取最佳做法来配置资源访问权限以确保冗余性和安全性。
  • 提供分步说明以帮助您设置财务治理工具,从而提高透明度、明确责任、加强控制。

概览

本指南分为两个主要部分。第一部分为您提供与管理 Google Cloud Billing 相关的各种资源和角色的概念性概览。第二部分将指导您完成配置针对结算需求而优化的 Google Cloud 资源所需的步骤。

第 1 部分:概念

  • 资源概览和层次结构影响结算的各种 Google Cloud 资源的高级可视化表示法及各种资源之间的关系。
  • 角色概览:按照与您的结算设置直接相关的资源来组织的访问权限角色摘要。

第 2 部分:设置指南

  • 分步配置演示,涵盖与您的结算设置相关的 Google Cloud 初始配置主题,包括有关如何根据您的组织需求进行自定义的指导。

Cloud Billing 概念

在浏览设置指南部分之前,请先熟悉这些概念。了解关键概念有助于您为自己的云环境制定配置方面的决策。如需了解详情,请参阅 Cloud Billing 概念概览

资源概览

什么是资源?

在 Google Cloud 上下文中,资源可以指用于处理工作负载的服务级资源(虚拟机、数据库等),以及位于服务上方的账号级资源,如项目、文件夹和组织。

什么是资源管理?

资源管理的重点是如何为公司/团队配置和授予各种 Google Cloud 资源的访问权限,特别是服务级资源之上的账号级资源的设置和组织。账号级资源是指设置和管理您的 Google Cloud 账号所涉及的资源。本文围绕如何配置账号级资源和管理这些资源所需的角色,提供了有益的建议,旨在帮助您维持良好的账号运行状态。

资源层次结构

Google Cloud 资源以分层方式进行组织。借助此层次结构,您可以将组织的运营结构映射到 Google Cloud,并管理相关资源组的访问控制和权限。下图是一个资源层次结构示例,显示了管理 Google Cloud 账号时所涉及的核心账号级资源。

资源层次结构

  • 网域是管理组织中用户的机制,与组织资源直接相关。

  • 组织资源代表整个组织(例如,公司),是层次结构的顶级节点。组织资源可让您集中查看和控制层次结构中接下来的各个级层的所有 Google Cloud 资源。

  • 层次结构中的下一层级是 文件夹。您可以使用文件夹来隔离父级组织中不同部门和团队的需求。您同样可以使用文件夹将生产资源与开发资源分开。

  • 层次结构的底层是 项目。项目包含处理工作负载和构成应用的服务级资源(例如计算、存储和网络资源)。

  • 可以使用 标签对资源进行进一步分类。您可以为服务级资源(例如虚拟机和数据库)以及账号级资源(例如项目)添加标签。

  • Cloud Billing 账号与项目关联且用于支付项目费用

  • Cloud 结算账号 Google 付款资料相关联。付款资料是 Google 级资源,您通过附加到该付款资料的付款方式为 Google 服务(例如 Google AdWords 和 Google Cloud)付款。

您可以在资源层次结构中的不同级层授予细化的权限,以保证相关人员在组织内具有适当的访问权限。

您定义的结构非常灵活,可以让您适应不断变化的需求。如果您刚刚开始使用 Google Cloud,请采用满足您最初需求的最简单的结构。如需了解详情,请参阅 Resource Manager 概览。

角色概览

什么是角色?

您可以通过角色为用户授予一项或多项权限,以便其执行常规业务操作。

角色在 Google Cloud 中的工作原理是什么?

Google Cloud 提供 Identity and Access Management (IAM) 来管理对您的 Google Cloud 资源的访问权限控制。IAM 允许您通过设置 IAM 政策来控制谁(用户)哪些资源具有什么访问权限(角色)。如需向用户分配权限,您可以使用 IAM 政策向用户授予特定角色。角色自带一种或多种权限,用于控制用户对资源的访问。

您可以在组织级层文件夹级层项目级层或者(在某些情况下)在服务级资源上设置 IAM 政策(角色)。资源会继承父节点的政策。如果您在组织级层设置政策,则组织的所有子文件夹和项目都会继承该政策。如果在项目级层设置政策,则项目的所有子资源都会继承该政策。

下图显示了完整的 Google Cloud 资源层次结构,并介绍了每个级层的重要访问权限角色:

网域
网域级层的 Google Workspace 或 Cloud Identity 超级用户是第一批可以在组织创建后访问组织的用户。
网域 Super Admin
Super Admin 可以在网域级层授予 Organization Admin 角色(或其他任何角色)以及恢复账号
推荐的分配对象
Super Admin 通常是在高级层管理访问权限的人员,例如网域管理员。
详细了解 Google Workspace 管理员角色Cloud Identity 管理员角色
组织
组织(例如公司)是 Google Cloud 资源层次结构中的根节点。组织资源是项目资源和文件夹的级层祖先。应用于组织资源的 IAM 访问权限控制政策适用于组织中所有资源的整个层次结构。
角色:Organization Admin
Organization Admin 可以在组织内管理任何资源授予任何角色
推荐的分配对象
Organization Admin 通常是管理访问权限控制的人员,例如 IT 管理员。
详细了解组织角色
文件夹
文件夹资源在项目之间提供了额外的分组机制和隔离边界。文件夹资源可以视为组织内的子组织。文件夹可用于给公司内的不同法人实体、部门和团队建模。文件夹可以包含子文件夹和项目。
角色:Folder Administrator
Folder Administrator 可以创建和修改文件夹的 IAM 政策。他们可以决定文件夹中的项目如何继承角色。
推荐的分配对象
Folder Administrator 管理更精细的访问权限控制,通常是部门主管或团队经理。
详细了解文件夹角色
项目
项目资源是基本级层组织实体。 组织和文件夹可以包含多个项目。项目是使用 Google Cloud 的必要条件,也是执行以下操作的基础:创建、启用和使用所有 Google Cloud 服务,管理 API,启用结算功能,添加和移除协作者,以及管理权限。
角色:Project Creator
Project Creator 角色可以创建项目,并且本身允许在 Google Cloud 上增加资源并产生使用量。
推荐的分配对象
组织中的 Project Creator 可以是团队负责人或服务账号(为了实现自动化)。
角色:Project Owner & User
Project Owner & User 角色让您可以查看项目中的费用和资源使用情况并为资源添加标签。
推荐的分配对象
组织中的 Project Owner & User 可以是团队负责人或开发者。
详细了解项目角色
Cloud Billing 账号
Cloud Billing 账号项目关联且用于支付项目费用。Cloud 结算账号与 Google 付款资料相关联。
角色:Billing Account Admin
Billing Account Admin 可以启用账单导出、查看费用/支出、设置预算和提醒,以及关联/解除关联项目。
推荐的分配对象
组织中的 Billing Admin 可以是具备财务知识的人员。
角色:Billing User
Billing User 可以将项目与 Cloud Billing 账号关联,但不能取消关联。该角色通常也是 Project Creator 角色。
推荐的分配对象
组织中受信任的 Project Creator 通常需要此角色。
详细了解结算角色
Google 付款资料
Google 付款资料您的 Google Cloud 组织外部管理,也就是在 Google 付款中心内管理;您可以通过 Google 付款中心集中管理所有 Google 产品和服务(例如 Google Ads、Google Cloud 和 Google Fi 电话服务)的付费方式。Google 付款资料与 Cloud Billing 账号相关联。
Google 付款管理员
付款资料管理员可以查看和管理付款方式、进行付款、查看账单以及查看 Google 付款账号。
推荐的分配对象
组织中的 Google 付款资料管理员通常是财务或会计团队中的成员。
详细了解 Google 付款资料用户权限

设置指南

设置指南中的每个部分都提供有关决策点的信息、关于最佳做法的建议、有关重要角色的说明以及配置核对清单。设置指南还提供有关潜在问题的信息,其最终目标是帮助您配置针对结算需求而优化的 Google Cloud 资源。这些指南有助于确保您的设置受到最佳保护,以防范 Google Cloud 客户面临的最常见的访问和结算问题。

准备工作

在浏览设置指南之前,请先熟悉 Cloud Billing 概念。了解关键概念有助于您为自己的云环境制定配置方面的决策。

观看以下视频了解详细信息:

最佳做法:Google Cloud 资源组织和访问权限管理 (Cloud Next '19)

在使用 Google Cloud 时,您可以通过多种不同的方式组织资源并设置访问权限控制措施。为了确保您的团队能够有效地持续访问和管理这些资源,您需要遵循一些基本的最佳做法。在本课程中,我们将介绍各种可用的 Google Cloud 资源,并提供一个最佳做法核对清单,帮助您避免客户遇到的一些最常见的账号配置问题。

设置指南包含以下部分:


网域和组织

网域和组织位于资源层次结构的顶部。通过 Google Cloud 网域和组织,您可以集中管理您的所有用户和 Google Cloud 资源。

  • 通过网域,您可以管理您的组织中的用户。

  • 通过组织,您可以管理自己的 Google Cloud 资源,以及哪些用户具有对这些资源的哪种访问权限。

资源层次结构中的网域和组织

网域和身份

您的公司网域是贵组织的主要身份,公司网域确立了您的公司对于 Google 服务(包括 Google Cloud)的身份。网域与 Google Workspace 或 Cloud Identity 账号相关联。

身份用于对访问 Google Cloud 资源的用户进行身份验证和访问权限管理。刚开始使用 Google Cloud 时,请务必确定您希望如何管理用户身份验证机制和身份信息。我们通过 Google Workspace 和 Cloud Identity 提供各种灵活的方式来管理访问权限。

关键决策:Cloud Identity 和 Google Workspace

对于用户身份验证和身份,您应该使用 Cloud Identity 还是 Google Workspace?

组织资源Google WorkspaceCloud Identity 账号密切关联。仅当您也是 Google Workspace 或 Cloud Identity 客户时,才能获得组织资源。每个 Google Workspace 或 Cloud Identity 账号只能有一个预配的组织。为网域创建组织资源后,账号网域成员创建的所有 Google Cloud 项目都将默认属于该组织资源。

Cloud Identity
Cloud Identity 提供免费、受管理的 Google 账号,供您在 Google 服务(包括 Google Cloud)中使用。通过为每个用户指定 Cloud Identity 账号,您可以在 Google 管理控制台中管理整个网域中的所有用户。

使用场景:您不需要云端硬盘或 Gmail 等 Google Workspace 功能,只需要集成网域提供的账号管理功能。

建议:使用 Cloud Identity 免费获取组织资源。

Google Workspace
如果您是 Google Workspace 管理员,则可以通过 Google Workspace 管理控制台管理所有用户和设置。默认情况下,系统会向所有新用户分配 Google Workspace 许可。如果您有一部分开发者不需要 Google Workspace 许可,则可以改为添加 Cloud Identity 账号。

使用场景:除了 Google Workspace 的账号管理功能之外,您还希望使用云端硬盘或 Gmail 等 Google Workspace 功能。

建议:注册 Google Workspace 获取组织资源。

如需了解详情,请参阅获取组织资源设置 Cloud Identity

重要角色

网域 Super Admin
Super Admin 可以在网域级层授予 Organization Admin 角色(或其他任何角色)以及恢复账号
推荐的分配对象
Super Admin 通常是在高级层管理访问权限的人员,例如网域管理员。
详细了解 Google Workspace 管理员角色Cloud Identity 管理员角色

核对清单

1. 创建资源
选择 Cloud IdentityGoogle Workspace
  • 对于 Cloud Identity
    1. 查看 Cloud Identity 概览,并进入 Cloud Identity 注册页面。
    2. 按照注册流程管理 Cloud Identity 账号。
    3. 确保 admin@yourdomain.com 账号具有可以接收邮件的电子邮件地址,因为 Cloud Identity 将使用该地址与管理员进行通信。
    4. 按照网域验证流程操作。您也可以观看视频演示
  • 对于 Google Workspace 客户,已包含 Cloud Identity。如果您的网域中有非 Google Workspace 用户想要访问 Google Cloud,请执行以下操作:
    1. 启用 Cloud Identity。
    2. 停用自动 Google Workspace 许可。
2. 配置访问权限
查看添加或同步用户和群组的模式
通过管理控制台Google Cloud Directory SyncAdmin SDK API 添加用户和群组。
设置多个 Super Admin 并确保其他项目所有者、管理员和员工知道谁是超级用户,以便他们可以在出现账号访问问题或需要委托其他 Organization Admin 时联系超级用户。
3. 配置资源
检查提供的许可数量。默认情况下,Google 提供固定数量的免费许可。如果您需要更多的许可,请与我们联系
Cloud Identity 提供各种安全和用户管理功能。如需获取这些内容的列表,请查看功能和版本对比图表

组织

组织是 Google Cloud 资源层次结构的根节点。一个组织只能与一个网域关联。属于某个组织的所有资源都在组织节点下划分成组,这样便于深入了解组织中的每项资源并控制对这些资源的访问权限。

最佳做法:配置组织

Google Cloud 用户无需拥有组织资源。但是,如果您需要管理多个用户账号,我们强烈建议配置组织组织资源可以带来很多好处,包括 IAM 政策的继承以及资源访问权限的恢复

如需了解详情,请参阅创建和管理组织

重要角色

角色:Organization Admin
Organization Admin 可以在组织内管理任何资源授予任何角色
推荐的分配对象
Organization Admin 通常是管理访问权限控制的人员,例如 IT 管理员。
详细了解组织角色

核对清单

1. 创建资源
获取组织资源。如果您按照网域和身份中的步骤进行操作,那么您已经拥有了一个组织。
2. 配置访问权限
设置多个 Organization Administrator,他们将负责定义 IAM 政策并委派对整个组织的资源的责任,例如 Cloud Billing 和项目管理。
在组织级层授予您希望每个人使用的 IAM 角色,同时牢记最小权限安全原则
3. 配置资源
将您的项目和结算账号迁移到您的组织

迁移后,如果项目或结算账号的所有者失去对其账号的访问权限或离开公司,则 Organization Admin 可以恢复对项目结算账号的所有权。


Cloud 结算账号

结算账号用于支付项目费用。项目及其服务级资源始终通过单个结算账号支付费用。结算账号采用单一币种,并与 Google 付款资料相关联。

资源层次结构中的 Cloud Billing 账号

结算账号可以与一个或多个项目关联。系统会跟踪项目的使用费并将其计入关联的结算账号名下。属于与结算账号关联的账号无法使用 Google Cloud 或 Google Maps Platform 服务。即使您仅使用免费的服务,也是如此。

关键决策:一个结算账号还是多个结算账号?

我们建议在您的组织中创建一个中心 Cloud 结算账号。对于大多数客户而言,添加其他结算账号会产生不必要的额外开销,从而使结算账号更难跟踪和管理。使用多个结算账号可能会导致您对承诺使用折扣的预期与最终结果不一致,也可能导致与任何促销赠金有关的问题

如果您有以下方面的需求,则可能需要多个 Cloud Billing 账号

  • 您需要出于法律或会计原因分摊费用。
  • 您需要以多种货币支付。

关键决策:使用信用卡/借记卡支付还是使用账单结算?

首次使用 Google Cloud Console 设置 Cloud Billing 账号时,默认情况下您要创建一个自助结算账号,此账号作为付款方式与信用卡或借记卡相关联。

如果您有专门的财务/会计团队,或者如果您在第一次启动 Google Cloud 时预计会有大量支出,则最好使用账单结算。如需了解您的组织是否符合使用账单结算的条件,请与 Cloud Billing 支持团队联系。您必须是组织当前结算账号的结算管理员才能申请更改结算方式。

重要角色

角色:Billing Account Admin
Billing Account Admin 可以执行以下操作:
  • 管理付款方式
  • 启用账单导出功能
  • 查看费用/支出并设置预算提醒
  • 关联/取消关联项目
  • 管理与结算账号关联的其他用户角色
推荐的分配对象
此角色通常由公司内具有财务控制权的人担任,例如,掌握损益表的业务负责人或具有预算管理职责的技术团队成员。

重要的是,由于必须具备此角色才能与结算支持团队联系,因此您不应使用服务账号或邮寄名单作为结算管理员。

角色:Billing User
Billing User 可以执行以下操作:
  • 将项目与结算账号相关联,但无法取消两者的关联
  • 查看费用
推荐的分配对象
通常将此角色连同 Project Creator 角色一并广泛授予。组织中受信任的项目创建者通常需要此角色,以便能够将其项目与结算账号相关联。
详细了解结算角色

核对清单

1. 创建资源
创建确定您要使用的主结算账号。如果您有账单结算账号,则系统已为您完成此步骤。
2. 配置访问权限
为财务和其他部门中的人员以及用户跟踪支出或检查费用异常情况所需的角色授予查看结算报告的权限
为每个结算账号分配多个 Billing Account Administrator,您还可以考虑使用组织级层权限。
3. 配置资源
将多个结算账号整合到您的主结算账号中。
  1. 首先确定您想要与这些结算账号关联的主结算账号和项目。了解如何查看与结算账号关联的项目
  2. 将现有项目关联或移动到主结算账号
结清并关闭您不再打算使用的任何其他结算账号,以免将来出现问题。
  1. 查看旧结算账号以确认不再有任何关联的项目。
  2. 将所有项目移动到主结算账号后请等待两天,以便旧结算账号中停止计费。
  3. 两天后,结清旧结算账号中的所有现有余额,然后关闭旧结算账号
查看结算和费用优化的最佳实践
  • 设置预算提醒并建立多个提醒阈值,以减少意外支出和费用超支情况。
设置结算数据的自动导出,以用于监控和分析费用。了解如何将结算数据导出到 BigQuery

关键概念:账单导出、结算报告和账单

系统会将您的使用情况从项目报告给结算账号,并且可以通过各种方式向您提供使用情况数据,所有这些都可以帮助您全面了解自己的支出。

  • 您的账单会列明您应支付的金额。
  • 结算报告会列明费用的原因和来源。

建议:要了解费用问题,请先查看结算报告。

结算导出会将估算的每日使用情况输出到您指定的数据集或文件。您可以使用该功能对您的使用情况数据进行分析。 将结算数据导出到 BigQuery 包含一个 invoice.month 字段,以便您将导出的数据与您的账单匹配。

  • 延迟报告的使用情况可能会导致您的数据无法直接对应至您的账单,也就是说,某些产品在月底的使用量可能会计入下个月的账单。
  • 请注意,导出的结算数据不包含结算账号的任何应计税费或收到的赠金。
  • 提示:使用 Looker 数据洞察直观呈现一段时间内的支出

结算报告使用的数据与结算导出使用的数据相同,并显示一个互动图表,该图表绘制了与结算账号关联的所有项目的使用费用。使用结算报告可以快速了解您的使用费用并发现和分析趋势。

  • 您在 Google Cloud 控制台中访问结算报告
  • 如果您有多个结算账号,则结算报告会一次显示一个结算账号的使用费用,而不是显示所有结算账号的汇总使用费用。
  • 根据您的访问权限级别,查看使用费用可能仅限于查看某些项目的费用,而不是与结算账号关联的所有项目的费用。

账单代表系统按月向您收取的标准金额,并且准确细分系统已针对哪些使用情况向您收取费用。 每月查看您的账单 PDF 或 CSV 专列项,并查看 Google 付款中心以了解贷记通知单和账单付款历史记录。


Google 付款资料和账号

Google 付款资料代表着您的公司,您需要使用附加到该付款资料的付款方式为 Google 服务付费。付款资料是通过 payments.google.com 管理的 Google 级资源,并与 Cloud Billing 帐号相关联。

资源层次结构中的 Google 付款资料

重要提醒:付款资料不是 Google Cloud 资源。付款资料使用单独的角色/权限进行管理,不受您的 Cloud 组织的约束;您的 IAM 角色不适用于付款资料。对于 Google 付款资料,您可以在 Google 付款中心添加和移除用户或者更改权限

关键决策:使用一份还是多份 Google 付款资料?

Cloud Billing 账号类似,出于管理目的,通常建议使用较少的付款资料。对于大多数客户而言,创建额外付款资料会增加开销且面临各种潜在问题。

在以下情况下,您可能需要创建多份付款资料

  • 您希望将个人付款资料和公司付款资料分别关联至您的 Google 账号。
  • 您希望管理多个公司或组织的付款资料。
  • 您希望在多个国家/地区拥有付款资料。(更改国家/地区时,您可能需要创建新的付款资料)。

您需要将 Cloud 结算账号与相应的 Google 付款资料相关联。

重要角色

Google 付款资料管理员
付款资料管理员可以执行以下操作:
  • 查看和管理整个付款资料中的付款方式
  • 付款
  • 查看付款账号和账单
  • 修改付款资料账号设置
  • 查看与付款资料相关联的其他 Google 服务。
推荐的分配对象
组织中的 Google 付款资料管理员通常是财务或会计团队中的成员。
Google 付款资料读取访问权限
付款资料读取访问权限用户可以执行以下操作:
  • 查看付款资料
  • 查看订阅和服务
  • 查看账单
推荐的分配对象
向只需要接收电子邮件通知(用于账单)的用户分配读取访问权限。
详细了解 Google 付款资料用户权限

核对清单

1. 创建资源
创建公司类型付款资料以用于 Google Cloud。如果系统为您创建了账单结算 Cloud Billing 账号,则系统已为您完成此步骤。如果您要在线设置 Cloud Billing 账号,您将在创建结算账号的过程中创建(或选择)Google 付款资料。
2. 配置访问权限
指定多位 Google 付款资料管理员负责修改地址、付款方式、税务信息和其他账号设置等信息。
对于账单结算,请为电子邮件递送和纸质账单递送指定多个账单递送地址,以确保您始终了解新账单何时发出。
对于电子通知和每月对账单,请添加用户并设置其电子邮件接收设置以接收文档和通知。
3. 配置资源
定期审核有关 Google 付款资料的信息,以确保该信息是最新的,尤其是实际地址和电子邮件地址、付款用户及付款方式。
如果不是采用账单结算:
对于账单结算:

项目、文件夹和标签

项目、文件夹和标签可帮助您创建资源的逻辑分组,以支持您的管理和费用归属要求。

资源层次结构中的项目、文件夹和标签

概览

项目:

  • 是使用资源(例如 Compute Engine 虚拟机 (VM)、Pub/Sub 主题、Cloud Storage 存储分区等)的必要条件
  • 是 Google Cloud 中的基本级层组织实体,所有服务级资源都以项目为父级;
  • 用于为启用服务、API 和 IAM 权限奠定基础。

文件夹:

  • 是项目的分组机制,其中可以包含项目和其他文件夹;
  • 用于对共用相同 IAM 政策的资源进行分组;
  • 映射到组织节点下(因此您必须有组织节点才能使用文件夹)。

标签:

  • 用于对您的 Google Cloud 资源进行分类(例如 Compute Engine 实例);
  • 是您附加到资源的键值对,允许您根据资源标签过滤资源;
  • 非常适合精细化的费用跟踪,有关标签的信息会转发到结算系统,以便您可以按标签分析费用。

关键决策:文件夹和项目策略

项目是必需的。文件夹是可选的,但我们建议您使用。

为何使用项目?项目是 Google Cloud 中的基本组织实体。 项目是使用服务级资源(例如 Compute Engine 和 Cloud Storage)的必要条件。服务级资源会继承项目设置和权限。您可能需要创建多个项目,具体取决于您在 Google Cloud 上运行的产品或服务的数目。您需要为项目定义有意义的命名策略,以便轻松识别项目。如需详细了解项目,请参阅创建和管理项目

为何使用文件夹?您可以通过文件夹对项目进行分组,并为文件夹中的项目集中应用一致的政策和权限。您可能需要使用文件夹在逻辑上将资源组合在一起,具体取决于将使用 Google Cloud 的人员和团队的数目,以及您将在 Google Cloud 上运行的产品和服务的数目。例如,您可以为服务的开发项目、预演项目和生产项目设置单独的文件夹。或者,您可以选择将项目和服务分布在反映不同环境的文件夹中。您可以使用文件夹按公司内的部门组织您的项目。使用文件夹的一项好处是您可以对每个文件夹执行不同的 IAM 政策。如需详细了解如何使用文件夹,请参阅创建和管理文件夹

为何使用标签?您可以通过标签为一个或多个项目中的资源添加注释。 根据您的费用跟踪要求,您可能希望将标签应用于资源,以便根据资源的内容、用途或与某个团队的关系来识别资源。例如,您可以为作为 HTTP 服务器的所有 Compute Engine 实例添加标签,或为与数据库服务相关的所有组件添加标签。如需详细了解如何使用标签,请参阅创建和管理标签

重要角色

角色:Project Creator
Project Creator 角色可以创建项目,并且本身允许在 Google Cloud 上增加资源并产生使用量。
推荐的分配对象
组织中的 Project Creator 可以是团队负责人或服务账号(为了实现自动化)。
角色:Project Owner & User
Project Owner & User 角色让您可以查看项目中的费用和资源使用情况并为资源添加标签。
推荐的分配对象
组织中的 Project Owner & User 可以是团队负责人或开发者。
详细了解项目角色
角色:Folder Administrator
Folder Administrator 可以创建和修改文件夹的 IAM 政策。他们可以决定文件夹中的项目如何继承角色。
推荐的分配对象
Folder Administrator 管理更精细的访问权限控制,通常是部门主管或团队经理。
详细了解文件夹角色

核对清单

1. 创建资源
创建项目,将具有相同目标、主题背景或用途的资源组合在一起。如果某产品或服务需要使用多种 Google Cloud 资源(如 Compute 和 Storage),则可以使用项目将这些资源组合在一起。
为项目指定有意义的名称。确定项目命名策略。例如,您可以为项目指定名称以反映服务及其包含的资源集合,例如 productname-prod。项目名称是一种人类可读的识别项目方式。项目 ID 是根据您在 Google Cloud Console 中创建项目时输入的项目名称生成的。
设置文件夹以反映您在组织和基础架构中的工作方式。
2. 配置访问权限
使用文件夹隔离每个团队、产品、服务或环境的 IAM 权限
根据需要设置项目级层 IAM 权限(如果您不使用文件夹,或者需要其他细化程度)。
3. 配置资源
为关键项目添加安全锁。为防止项目被意外删除,请使用安全锁来保护项目免遭意外删除。 您可以为项目添加安全锁,以便确保在移除安全锁之前,项目不会被删除。这对于保护特别重要的项目非常有用。
使用标签进一步对资源进行分类。您可以使用标签跨项目和跨文件夹标记资源。每项资源都可以使用多个标签进行标记。有关标签的信息会转发到结算系统,并可在账单导出数据中找到,因此这些信息可用于费用报告和分析。
决定您是否要为自己的项目购买承诺使用折扣 (CUD),并了解持续使用折扣 (SUD) 如何应用于您的 Compute Engine 资源和账单。
如果需要,请了解配额机制申请增加配额
如果需要,请为项目启用 API启用 API 会将其与当前项目相关联,添加监控页面,并在项目启用结算功能时为相应 API 启用结算功能。

了解详情

视频库:Google Cloud 费用管理。了解监控和管理费用的最佳做法。

Cloud OnAir:Google Cloud 费用管理使用入门

为了最大程度地迁移到云端,组织需要清晰地了解其云费用。在本次在线课程中,我们将分享管理 Google Cloud 费用和使用情况的最佳做法。我们将演示如何设置结算账号、组织、项目、基本权限和预算。我们还将介绍结算报告,以帮助您了解当前的费用趋势并预测月末的支出,避免预算超支。

组织您的资源以实现 Google Cloud 上的费用管理 (Cloud Next '19)

我的所有前端服务器的费用是多少?我的临时环境中使用了多少资源?我如何了解和优化各部门的支出?组织、文件夹、项目和标签等 Google Cloud 工具可帮助您创建资源的逻辑分组,以大规模支持您的管理和费用归属要求。在本课程中,我们将向您展示如何使用这些工具来控制您的费用,无论您是独立开发者还是跨国公司。

建立 Google Cloud 财务治理控制 (Cloud Next '19)

规划云支出是了解您是否能够掌控财务的重要一步。在本课程中,我们将介绍如何实施主动和被动的财务治理控制,包括预算、配额和权限。此外,我们将演示如何使用程序化预算通知来自动执行操作,以控制云使用量和费用或设置上限。

使用 BigQuery 创建交互式费用和 KPI 信息中心 (Cloud Next '19)

想要详细了解您的云费用、使用量以及每个 KPI 的总支出吗?在本课程中,我们将介绍如何使用 BigQuery 导出结算数据、编写高级结算和 KPI 相关查询、与内部利益相关方共享自定义视图,以及在 Looker 数据洞察和 Elastic 中构建详细的信息中心以更好地了解费用驱动因素。PerimeterX 将在台上与我们一起探讨他们作为客户是如何使用此功能将 Google Cloud 费用与关键业务指标关联起来的。

监控和控制您的 Google Cloud 费用 (Cloud Next '19)

管理 Google Cloud 使用情况和费用趋势可能比您想象的要简单得多。在本课程中,我们将介绍如何快速查看您的 Google Cloud 费用、预测月末账单,并将简要介绍一些可以用于防止预算超支的控制措施。此外,我们还将实时演示如何设置自定义信息中心,以进一步分析您的结算数据。

节省更多的 Compute Engine 使用费用 (Cloud Next '19)

自从 Next '18 提出“节省 Compute Engine 使用费用”以来,情况已经发生了很大的变化,但像您一样的客户仍希望控制费用并充分利用云投资。在本次课程中,我们将回顾所有最新的产品和技术,以优化您的使用情况,花最少的钱,取得最大的计算成效。