Cloud Billing 资源组织和访问权限管理指南

本文旨在指导 Google Cloud Platform (GCP) 客户设置各种 GCP 资源,以避免常见问题并采用访问权限控制和费用管理方面的最佳做法。本指南介绍了设计决策和配置选项,旨在帮助您成功管理云资源。

本指南的目标

  • 提供与结算相关的各种资源的概念性概览。
  • 向您介绍如何有效地设置 Cloud Billing 资源,以及为了简化管理工作,如何根据云使用情况调整战略优先级并让帐号保持良好的运行状态。
  • 帮助您避免 GCP 客户在结算方面最常遇到的问题。
  • 教您如何采取最佳做法来配置资源访问权限以确保冗余性和安全性。
  • 提供分步说明以帮助您设置财务治理工具,从而提高透明度、明确责任、加强控制。

概览

本指南分为两个主要部分。第一部分为您提供与管理 GCP 结算相关的各种资源和角色的概念性概览。第二部分将指导您完成配置针对结算需求而优化的 GCP 资源所需的步骤。

第 1 部分:概念

  • 资源概览和层次结构影响结算的各种 GCP 资源的高级可视化表示法及各种资源之间的关系。
  • 角色概览:按照与您的结算设置直接相关的资源来组织的访问权限角色摘要。

第 2 部分:设置指南

  • 分步配置演示,涵盖与您的结算设置相关的 GCP 初始配置主题,包括有关如何根据您的组织需求进行自定义的指导。

Cloud Billing 概念

在浏览设置指南部分之前,请先熟悉这些概念。了解关键概念有助于您为自己的云环境制定配置方面的决策。如需了解详情,请参阅 Cloud Billing 概念概览

资源概览

什么是资源?

在 GCP 环境中,资源既可以指用于处理工作负载的服务级资源(虚拟机、数据库等),也可以指服务之上的帐号级资源,例如项目、文件夹和组织。

什么是资源管理?

资源管理的重点是如何为公司/团队配置和授予各种 Cloud 资源的访问权限,特别是服务级资源之上的帐号级资源的设置和组织。帐号级资源是指设置和管理 GCP 帐号时所涉及的资源。本文围绕如何配置帐号级资源和管理这些资源所需的角色,提供了有益的建议,旨在帮助您维持良好的帐号运行状态。

资源层次结构

GCP 资源以分层方式进行组织。借助此层次结构,可以将您的组织的运营结构映射到 GCP,并管理相关资源组的访问控制和权限。下图是一个资源层次结构示例,显示了管理 GCP 帐号时所涉及的核心帐号级资源。

资源层次结构

  • public 网域是管理组织中用户的机制,与组织资源直接相关。

  • domain 组织资源代表整个组织(例如,公司),是层次结构的顶级节点。组织资源可让您集中查看和控制层次结构中接下来的各个级层的所有 GCP 资源。

  • 层次结构中的下一级层是 folder 文件夹。您可以使用文件夹来隔离父级组织中不同部门和团队的需求。您同样可以使用文件夹将生产资源与开发资源分开。

  • 层次结构的底层是项目。项目包含处理工作负载和构成应用的服务级资源(例如计算、存储和网络资源)。

  • 可以使用 label 标签对资源进一步分类。您可以为服务级资源(例如虚拟机和数据库)以及帐号级资源(例如项目和文件夹)添加标签。

  • monetization_on Cloud 结算帐号与项目相关联且用于支付项目费用

  • Cloud 结算帐号payment Google 付款资料相关联。付款资料是 Google 级资源,您通过附加到该付款资料的付款方式为 Google 服务(例如 Google Ads 和 Google Cloud)付款。

您可以在资源层次结构中的不同级层授予细化的权限,以保证相关人员在组织内具有适当的访问权限。

您定义的结构非常灵活,可以让您适应不断变化的需求。如果您刚刚开始 GCP 之旅,请采用满足您最初需求的最简单的结构。如需了解详情,请参阅 Resource Manager 概览。

角色概览

什么是角色?

您可以通过角色为用户授予一项或多项权限,以便其执行常规业务操作。

角色在 GCP 中的工作原理是什么?

Google Cloud Platform 提供 Cloud Identity and Access Management (Cloud IAM) 来管理 GCP 资源的访问权限控制措施。通过 Cloud IAM,您可以设置 Cloud IAM 政策,以控制哪些人(用户)哪些资源具有什么访问权限(角色)。如需向用户分配权限,您可以使用 Cloud IAM 政策向用户授予特定角色。角色自带一种或多种权限,用于控制用户对资源的访问。

您可以在组织级层文件夹级层项目级层或者(在某些情况下)在服务级资源上设置 Cloud IAM 政策(角色)。资源会继承父节点的政策。如果您在组织级层设置政策,则组织的所有子文件夹和项目都会继承该政策。如果在项目级层设置政策,则项目的所有子资源都会继承该政策。

下图显示了完整的 GCP 资源层次结构,还介绍了每个级层的重要访问权限角色:

public 网域
网域级层的 G Suite 或 Cloud Identity 超级用户是第一批可以在组织创建后访问组织的用户。
网域超级用户
Super Admin 可以在网域级层授予 Organization Admin 角色(或其他任何角色)以及恢复帐号
推荐的分配对象
Super Admin 通常是在高级层管理访问权限的人员,例如网域管理员。
详细了解 G Suite 管理员角色Cloud Identity 管理员角色
domain 组织
组织(例如,公司)是 GCP 资源层次结构中的根节点。组织资源是项目资源和文件夹的级层祖先。应用于组织资源的 Cloud IAM 访问权限控制政策适用于组织中所有资源的整个层次结构。
角色:Organization Admin
Organization Admin 可以在组织内管理任何资源授予任何角色
推荐的分配对象
Organization Admin 通常是管理访问权限控制的人员,例如 IT 管理员。
详细了解组织角色
folder 文件夹
文件夹资源在项目之间提供了额外的分组机制和隔离边界。文件夹资源可以视为组织内的子组织。文件夹可用于给公司内的不同法人实体、部门和团队建模。文件夹可以包含子文件夹和项目。
角色:Folder Administrator
Folder Administrator 可以创建和编辑文件夹的 Cloud IAM 政策。他们可以决定文件夹中的项目如何继承角色。
推荐的分配对象
Folder Administrator 管理更精细的访问权限控制,通常是部门主管或团队经理。
详细了解文件夹角色
项目
项目资源是基本级层组织实体。组织和文件夹可以包含多个项目。需要有项目才能使用 Google Cloud Platform,并且项目是执行下列操作的基础:创建、启用和使用所有 GCP 服务;管理 API;启用结算功能;添加和移除协作者以及管理权限。
角色:Project Creator
Project Creator 角色可以创建项目,并且本身允许在 GCP 上增加资源并产生使用量。
推荐的分配对象
组织中的 Project Creator 可以是团队负责人或服务帐号(实现自动化)。
角色:Project Owner & User
Project Owner & User 角色让您可以查看项目中的费用和资源使用情况并为资源添加标签。
推荐的分配对象
组织中的项目所有者和用户可以是团队负责人或开发者。
详细了解项目角色
monetization_on 结算帐号
Cloud 结算帐号项目相关联且用于支付项目费用。Cloud 结算帐号与 Google 付款资料相关联。
角色:Billing Account Admin
Billing Account Admin 可以启用帐单导出、查看费用/支出、设置预算和提醒以及关联/取消关联项目。
推荐的分配对象
组织中的 Billing Admin 可以是具备财务知识的人员。
角色:Billing User
Billing User 可以将项目与结算帐号关联,但不能取消关联。该角色通常也是 Project Creator 角色。
推荐的分配对象
组织中受信任的 Project Creator 通常需要此角色。
详细了解结算角色
payment 付款资料
付款资料您的 Cloud Organization 外部管理,也就是在 Google 付款中心内管理;您可以通过 Google 付款中心集中管理所有 Google 产品和服务(例如 Google Ads、Google Cloud 和 Fi 电话服务)的付费方式。付款资料与 Cloud 结算帐号相关联。
Payments Profile Admin
Payments Profile Admin 可以查看和管理付款方式、付款、查看帐单以及查看付款帐号。
推荐的分配对象
组织中的 Payments Profile Admin 通常是财务或会计团队中的成员。
详细了解付款资料用户权限

设置指南

设置指南中的每个部分都提供有关决策点的信息、关于最佳做法的建议、有关重要角色的说明以及配置核对清单。设置指南还提供有关潜在问题的信息,其最终目标是帮助您配置针对结算需求而优化的 GCP 资源。这些指南有助于确保您的设置受到最佳保护,以防范 GCP 客户面临的最常见的访问和结算问题。

准备工作

在浏览设置指南之前,请先熟悉 Cloud Billing 概念。了解关键概念有助于您为自己的云环境制定配置方面的决策。

观看此在线讲座以了解详情:

Cloud OnAir - 最佳做法:配置 GCP 资源和访问权限控制措施以有效管理费用

您可以通过多种不同的方式在 Google Cloud Platform 中组织资源并设置访问权限控制措施。在制定此类设计决策时,务必要了解您的选择会如何影响您有效管理费用的能力(例如,Showback、Chargeback 和费用分析)。在此在线讲座中,我们将讨论重要的设计决策、配置选项和最佳做法,并会给出一些客户示例,以帮助您避免客户在结算和费用管理方面最常碰到的一些误区。

设置指南包含以下部分:


网域和组织

网域和组织位于资源层次结构的顶部。通过 Cloud 网域和组织,您可以集中管理您的所有用户和 Cloud 资源。

  • 通过网域,您可以管理您的组织中的用户。

  • 通过组织,您可以管理 GCP 资源,以及哪些用户对这些资源具有何种类型的访问权限。

资源层次结构中的网域和组织

网域和身份

您的公司网域是贵组织的主要身份,公司网域确立了您的公司对于 Google 服务(包括 Google Cloud Platform)的身份。网域与 G Suite 或 Cloud Identity 帐号相关联。

身份用于对访问 GCP 资源的用户进行身份验证和访问权限管理。刚开始使用 Google Cloud Platform 时,请务必确定您希望如何管理用户身份验证机制和身份信息。我们通过 G Suite 和 Cloud Identity 提供了多种灵活的方式来管理访问权限。

stars 关键决策:Cloud Identity 和 G Suite

对于用户身份验证和身份,您应该使用 Cloud Identity 还是使用 G Suite?

组织资源G SuiteCloud Identity 帐号密切关联。仅当您也是 G Suite 或 Cloud Identity 客户时,才能获得组织资源。每个 G Suite 或 Cloud Identity 帐号只能有一个预配的组织。为网域创建组织资源后,帐号网域成员创建的所有 GCP 项目都将默认属于组织资源。

Cloud Identity
Cloud Identity 提供免费的托管式 Google 帐号,供您在 Google 服务(包括 Google Cloud Platform)中使用。通过为每个用户指定 Cloud Identity 帐号,您可以在 Google 管理控制台中管理整个网域中的所有用户。

使用场景:您不需要云端硬盘或 Gmail 等 G Suite 功能,只需要集成您的网域提供的帐号管理功能。

建议:使用 Cloud Identity 免费获取组织资源。

G Suite
如果您是 G Suite 管理员,则可以通过 G Suite 管理控制台管理所有用户和设置。默认情况下,系统会向所有新用户分配 G Suite 许可。如果您有一部分开发者不需要 G Suite 许可,则可以改为添加 Cloud Identity 帐号。

使用场景:除了 G Suite 的帐号管理功能之外,您还希望利用云端硬盘或 Gmail 等 G Suite 功能。

建议:通过注册 G Suite 获取组织资源。

如需了解详情,请参阅获取组织资源Cloud Identity 使用入门

重要角色

public 网域超级用户
Super Admin 可以在网域级层授予 Organization Admin 角色(或其他任何角色)以及恢复帐号
推荐的分配对象
Super Admin 通常是在高级层管理访问权限的人员,例如网域管理员。
详细了解 G Suite 管理员角色Cloud Identity 管理员角色

核对清单

1. 创建资源
star 选择 Cloud IdentityG Suite
  • 对于 Cloud Identity:
    1. 查看 Cloud Identity 概览,并进入 Cloud Identity 注册页面。
    2. 按照注册流程管理 Cloud Identity 帐号。
    3. 确保 admin@yourdomain.com 帐号具有可以接收邮件的电子邮件地址,因为 Cloud Identity 将使用该地址与管理员进行通信。
    4. 按照网域验证流程操作。您也可以观看视频演示
  • 对于 G Suite(包括 Cloud Identity)客户。 如果您的网域中有非 G Suite 用户想要访问 GCP,请执行以下操作:
    1. 启用 Cloud Identity。
    2. 停用自动 G Suite 许可。
2. 配置访问权限
查看我们添加/同步用户和群组的最佳做法
通过管理控制台Google Cloud Directory SyncAdmin SDK API 添加用户和群组。
设置多个 Super Admin 并确保其他项目所有者、管理员和员工知道谁是超级用户,以便他们可以在出现帐号访问问题或需要委托其他组织管理员时联系超级用户。
3. 配置资源
检查提供的许可数量。默认情况下,Google 提供固定数量的免费许可。如果您需要更多的许可,请与我们联系
Cloud Identity 提供各种安全和用户管理功能。如需获取这些内容的列表,请查看功能和版本对比图表

组织

组织是 Google Cloud Platform 资源层次结构的根节点。一个组织只能与一个网域关联。属于某个组织的所有资源都在组织节点下划分成组,这样便于深入了解组织中的每项资源并控制对这些资源的访问权限。

stars 最佳做法:配置组织

GCP 用户无需拥有组织资源。但是,如果您需要管理多个用户帐号,我们强烈建议配置组织组织资源可以带来很多好处,包括 Cloud IAM 政策的继承以及资源访问权限的恢复

如需了解详情,请参阅创建和管理组织

重要角色

domain 角色:Organization Admin
Organization Admin 可以在组织内管理任何资源授予任何角色
推荐的分配对象
Organization Admin 通常是管理访问权限控制的人员,例如 IT 管理员。
详细了解组织角色

核对清单

1. 创建资源
获取组织资源。如果您按照网域和身份中的步骤进行操作,那么您已经拥有了一个组织。
2. 配置访问权限
设置多个 Organization Administrator ,他们将负责定义 Cloud IAM 政策并委派对整个组织的资源的责任,例如 Cloud Billing 和项目管理。
在组织级层授予您希望每个人使用的 Cloud IAM 角色,同时牢记最小权限安全原则
3. 配置资源
将您的项目和结算帐号迁移到您的组织

迁移后,如果项目或结算帐号的所有者失去对其帐号的访问权限或离开公司,则组织管理员可以恢复对项目结算帐号的所有权。


Cloud 结算帐号

结算帐号用于支付项目费用。项目及其服务级资源始终通过单个结算帐号支付费用。结算帐号采用单一币种,并与 Google 付款资料相关联。

资源层次结构中的 Cloud 结算帐号

结算帐号可以与一个或多个项目关联。项目的资源使用情况将记在关联的结算帐号名下。未与某个结算帐号关联的项目不能使用需要付费的 GCP 服务。

stars 关键决策:一个结算帐号还是多个结算帐号?

我们建议在您的组织中创建一个中心 Cloud 结算帐号。对于大多数客户而言,添加其他结算帐号会产生不必要的额外开销,从而使结算帐号更难跟踪和管理。使用多个结算帐号可能会导致您对承诺使用折扣的预期与最终结果不一致,也可能导致与任何促销赠金有关的问题

如果您有以下方面的需求,则可能需要多个 Cloud 结算帐号

  • 您需要出于法律或会计原因分摊费用。
  • 您需要以多种货币支付。

stars 关键决策:使用信用卡/借记卡支付还是使用帐单结算?

首次使用 Google Cloud Platform Console 设置 Cloud 结算帐号时,默认情况下您要创建一个自助结算帐号,此帐号作为付款方式与信用卡或借记卡相关联。

如果您有专门的财务/会计团队,或者如果您在第一次启动 GCP 时预计会有大量支出,则最好使用帐单结算。要了解您的组织是否符合使用帐单结算的条件,请与 Cloud Billing 支持团队联系。您必须是组织当前结算帐号的结算管理员才能申请更改结算方式。

重要角色

monetization_on 角色:Billing Account Admin
Billing Account Admin 可以:
  • 管理付款方式
  • 启用帐单导出功能
  • 查看费用/支出并设置预算提醒
  • 关联/取消关联项目
  • 管理与结算帐号关联的其他用户角色
推荐的分配对象
此角色通常由公司内具有财务控制权的人担任,例如,掌握损益表的业务负责人或具有预算管理职责的技术团队成员。

重要提示:要与结算支持团队联系必须具备此角色。

monetization_on 角色:Billing User
Billing User 可以:
  • 将项目与结算帐号相关联,但无法取消两者的关联
  • 查看费用
推荐的分配对象
通常将此角色连同项目创建者角色一并广泛授予。组织中受信任的项目创建者通常需要此角色,以便能够将其项目与结算帐号相关联。
详细了解结算角色

核对清单

1. 创建资源
star 创建确定您要使用的主结算帐号。如果您有帐单结算帐号,则系统已为您完成此步骤。
2. 配置访问权限
为财务和其他部门中的人员以及用户跟踪支出或检查费用异常情况所需的角色授予查看结算报告的权限
为每个结算帐号指定多个结算帐号管理员,您还可以考虑使用组织级层权限。
3. 配置资源
star 将多个结算帐号整合到您的主结算帐号中。
  1. 首先确定您想要与这些结算帐号关联的主结算帐号和项目。了解如何查看与结算帐号关联的项目
  2. 将现有项目关联或移动到主结算帐号
star 结清并关闭您不再打算使用的任何其他结算帐号,以免将来出现问题。
  1. 查看旧结算帐号以确认不再有任何关联的项目。
  2. 将所有项目移动到主结算帐号后请等待两天,以便旧结算帐号中停止计费。
  3. 两天后,结清旧结算帐号中的所有现有余额,然后关闭旧结算帐号
attach_money 充分了解结算和费用归属最佳做法
  • 设置预算提醒并建立多个提醒阈值,以减少意外支出和费用超支情况。
attach_money 设置结算数据的自动导出以用于监控和分析费用。您可以使用以下两个数据导出选项:

stars 关键概念:结算导出、结算报告和帐单

系统会将您的使用情况从项目报告给结算帐号,并且可以通过各种方式向您提供使用情况数据,所有这些都可以帮助您全面了解自己的支出。

  • 您的帐单会列明您应支付的金额。
  • 结算报告会列明费用的原因和来源。

建议:要了解费用问题,请先查看结算报告。

结算导出会将估算的每日使用情况输出到您指定的数据集或文件。您可以使用结算导出对您的使用情况数据进行分析。 将结算数据导出到 BigQuery 包含一个 invoice.month 字段,以便您将导出的数据与您的帐单匹配。

  • 延迟报告的使用情况可能会导致您的数据无法直接对应至您的帐单,也就是说,某些产品在月底的使用量可能会计入下个月的帐单。
  • 请注意,导出的结算数据不包含结算帐号的任何应计税费或收到的赠金。
  • 提示:使用 Data Studio 直观呈现一段时间内的支出

结算报告使用的数据与结算导出使用的数据相同,并显示一个互动图表,该图表绘制了与结算帐号关联的所有项目的使用费用。使用结算报告可以快速了解您的使用费用并发现和分析趋势。

  • 您可以在 Google Cloud Platform Console 中访问结算报告
  • 如果您有多个结算帐号,则结算报告会一次显示一个结算帐号的使用费用,而不是显示所有结算帐号的汇总使用费用。
  • 根据您的访问权限级别,查看使用费用可能仅限于查看某些项目的费用,而不是与结算帐号关联的所有项目的费用。

帐单代表系统按月向您收取的标准金额,并且准确细分系统已针对哪些使用情况向您收取费用。每月查看您的帐单 PDF 或 CSV 专列项,并查看付款中心以了解贷记通知单和帐单付款历史记录。


付款资料和帐号

Google 付款资料代表着您的企业,您需要使用附加到该付款资料的付款方式为 Google 服务付费。付款资料是通过 payments.google.com 管理的 Google 级资源,并与 Cloud 结算帐号相关联。

资源层次结构中的 Google 付款资料

warning 重要提示:付款资料不是 Google Cloud Platform 资源。付款资料使用单独的角色/权限进行管理,不受您的 Cloud 组织的约束;您的 Cloud IAM 角色不适用于付款资料。对于付款资料,您可以在 Google 付款中心添加和移除用户或者更改权限

stars 关键决策:使用一份还是多份付款资料?

结算帐号类似,出于管理目的,通常建议使用较少的付款资料。对于大多数客户而言,创建额外付款资料会增加开销且面临各种潜在问题。

在以下情况下,您可能需要创建多份付款资料

  • 您希望将个人付款资料和公司付款资料分别关联至您的 Google 帐号。
  • 您希望管理多个公司或组织的付款资料。
  • 您希望在多个国家/地区拥有付款资料。(更改国家/地区时,您可能需要创建新的付款资料)。

您需要将 Cloud 结算帐号与相应的 Google 付款资料相关联。

重要角色

payment Payments Profile Admin
Payments Profile Admin 可以:
  • 查看和管理整个付款资料中的付款方式
  • 付款
  • 查看付款帐号和帐单
  • 修改帐号设置
  • 查看与付款资料相关联的其他 Google 服务。
推荐的分配对象
组织中的 Payments Profile Admin 通常是财务或会计团队中的成员。
payment 付款资料只读访问权限
具有付款资料只读访问权限的用户可以:
  • 查看付款资料
  • 查看订阅和服务
  • 查看帐单
推荐的分配对象
此权限适合仅需接收电子邮件通知(关于帐单)的用户。
详细了解付款资料用户权限

核对清单

1. 创建资源
star 创建公司付款资料以与 GCP 结合使用。如果您已为自己创建帐单结算帐号,则系统已为您完成此步骤。如果您要在线设置结算帐号,则创建付款资料是该过程的一部分。
2. 配置访问权限
指定多位付款资料管理员负责修改地址、付款方式、税务信息和其他帐号设置等信息。
对于帐单结算,请为电子邮件递送和纸质帐单递送指定多个帐单递送地址,以确保您始终了解新帐单何时发出。
对于电子通知和每月对帐单,请添加用户并设置其电子邮件首选项以接收文档和通知。
3. 配置资源
定期审核有关付款资料的信息,以确保该信息是最新的,尤其是实际地址和电子邮件地址、付款用户及付款方式。
如果不是采用帐单结算:
对于帐单结算:

项目、文件夹和标签

项目、文件夹和标签可帮助您创建资源的逻辑分组,以支持您的管理和费用归属要求。

资源层次结构中的项目、文件夹和标签

概览

项目:

  • 在使用资源(例如 Compute Engine 虚拟机 (VM)、Cloud Pub/Sub 主题、Cloud Storage 存储分区等)时是必需的
  • 是 GCP 中的基本级层组织实体,所有服务级资源都以项目为父级;
  • 用于为启用服务、API 和 Cloud IAM 权限奠定基础。

文件夹:

  • 是项目的分组机制,其中可以包含项目和其他文件夹;
  • 用于对共用相同 Cloud IAM 政策的资源进行分组;
  • 映射到组织节点下(因此您必须有组织节点才能使用文件夹)。

标签:

  • 用于对您的 Google Cloud Platform 资源进行分类(例如 Compute Engine 实例);
  • 是您附加到资源的键值对,允许您根据资源标签过滤资源;
  • 非常适合精细化的费用跟踪,有关标签的信息会转发到结算系统,以便您可以按标签分析费用。

stars 关键决策:文件夹和项目策略

项目是必需的。文件夹是可选的,但我们建议您使用。

为何使用项目? 项目是 GCP 中的基本组织实体。必须具备项目才能使用服务级资源,例如 Compute Engine 和 Cloud Storage。服务级资源会继承项目设置和权限。您可能需要创建多个项目,具体取决于您在 GCP 上运行的产品或服务的数目。您需要为项目定义有意义的命名策略,以便能够轻松识别项目。如需详细了解项目,请参阅创建和管理项目

为何使用文件夹? 您可以通过文件夹对项目进行分组,并为文件夹中的项目集中应用一致的政策和权限。您可能希望使用文件夹在逻辑上将资源组合在一起,具体取决于将使用 GCP 的人员和团队的数目,以及您将在 GCP 上运行的产品和服务的数目。例如,您可以为服务的开发项目、模拟项目和生产项目设置单独的文件夹。或者,您可以选择将项目和服务分布在反映不同环境的文件夹中。您可以使用文件夹按公司内的部门组织您的项目。使用文件夹的一项好处是您可以对每个文件夹执行不同的 Cloud IAM 政策。如需详细了解如何使用文件夹,请参阅创建和管理文件夹

为何使用标签? 您可以通过标签为一个或多个项目中的资源添加注释。根据您的费用跟踪要求,您可能希望将标签应用于资源,以便根据资源的内容、用途或与某个团队的关系来识别资源。例如,您可以为作为 HTTP 服务器的所有 Compute Engine 实例添加标签,或为与数据库服务相关的所有组件添加标签。如需详细了解如何使用标签,请参阅创建和管理标签

重要角色

角色:Project Creator
Project Creator 角色可以创建项目,并且本身允许在 GCP 上增加资源并产生使用量。
推荐的分配对象
组织中的 Project Creator 可以是团队负责人或服务帐号(实现自动化)。
角色:Project Owner & User
Project Owner & User 角色让您可以查看项目中的费用和资源使用情况并为资源添加标签。
推荐的分配对象
组织中的项目所有者和用户可以是团队负责人或开发者。
详细了解项目角色
folder 角色:Folder Administrator
Folder Administrator 可以创建和编辑文件夹的 Cloud IAM 政策。他们可以决定文件夹中的项目如何继承角色。
推荐的分配对象
Folder Administrator 管理更精细的访问权限控制,通常是部门主管或团队经理。
详细了解文件夹角色

核对清单

1. 创建资源
star 创建项目以将具有相同目标、主题背景或用途的资源组合在一起。如果某产品或服务需要使用多种 GCP 资源(如 Compute 和 Storage),则可以使用项目将这些 GCP 资源组合在一起。
star 为项目指定有意义的名称。确定项目命名策略。例如,您可以命名项目以反映服务及其包含的资源集合,例如 productname-prod。项目名称是一种人类可读的识别项目方式。项目 ID 是根据您在 GCP Console 中创建项目时输入的项目名称生成的。
设置文件夹以反映您在组织和基础架构中的工作方式。
2. 配置访问权限
使用文件夹隔离每个团队、产品、服务或环境的 Cloud IAM 权限
根据需要设置项目级层 Cloud IAM 权限(如果您不使用文件夹,或者需要其他细化程度)。
3. 配置资源
star 为关键项目添加安全锁。为防止项目被意外删除,请使用安全锁来保护项目免遭意外删除。您可以为项目添加安全锁,以便确保在移除安全锁之前,项目不会被删除。这对于保护特别重要的项目非常有用。
attach_money 使用标签进一步对资源进行分类。您可以使用标签跨项目和跨文件夹标记资源。每项资源都可以使用多个标签进行标记。有关标签的信息会转发到结算系统,并可在结算导出数据中找到,因此这些信息可用于费用报告和分析。
决定您是否要为您的项目购买承诺使用折扣 (CUD),并了解持续使用折扣 (SUD) 如何应用于您的 Compute Engine 资源和帐单。
如果需要,请了解配额机制申请增加配额
如果需要,请为项目启用 API启用 API 会将其与当前项目相关联,添加监控页面,并在项目启用结算功能时为相应 API 启用结算功能。

了解详情

Cloud OnAir:GCP 费用管理使用入门

为了最大程度地迁移到云端,组织需要清晰地了解其云费用。在本次在线课程中,我们将分享管理 GCP 费用和使用情况的最佳做法。我们将演示如何设置结算帐号、组织、项目、基本权限和预算。我们还将介绍结算报告,以帮助您了解当前的费用趋势并预测月末的支出,避免预算超支。

在 GCP 中管理费用:如何构建您的资源 (Cloud Next '18)

我的所有前端服务器的费用是多少?我的临时环境中使用了多少资源?我如何了解和优化各部门的支出?组织、文件夹、项目和标签等 GCP 工具可帮助您创建资源的逻辑分组,以大规模支持您的管理和费用归属要求。在本课程中,我们将向您展示如何使用这些工具来控制您的费用,无论您是独立开发者还是跨国公司。

使用 GCP 财务治理来控制云费用 (Cloud Next '18)

随着企业越来越多地从本地迁移到云端,因此制定财务治理政策来控制云费用比以往任何时候都更加重要。在本课程中,我们将介绍财务治理控制、配额、权限和预算如何帮助防止发生意外费用超支。此外,Broad Institute 还将演示如何使用程序化通知来自动执行操作,以控制云使用量和费用并设置上限。

使用 BigQuery 和 Data Studio 深入了解结算数据 (Cloud Next '18)

许多大型组织根据其云使用情况构建自定义信息中心和报告,以跟踪各团队和应用的使用情况并了解费用驱动因素。在本课程中,结算团队和 Vendasta 将向您展示如何将详细的结算数据导出到 BigQuery、根据该数据编写有用查询以及在 Data Studio 中基于这些查询创建自定义信息中心。

监控和预测您的 GCP 费用 (Cloud Next '18)

管理您的 GCP 使用情况和费用趋势可能比您想象的要简单得多。在本课程中,我们将帮助您了解如何查看您的 GCP 费用图表、设置自定义报告和预算、预测月末帐单以及设置提醒(如果您可能超出预算)。

节约更多的 Google Compute Engine 使用费用 (Cloud Next '18)

自从 Next '17 提出“节约 Compute Engine 使用费用”以来,情况已经发生了很大的变化,但像您一样的客户仍想要控制费用并充分利用在云端的支出。在本次课程中,我们将回顾所有最新的产品和技术,以优化您的使用情况,花最少的钱,取得最大的计算成效。

此页内容是否有用?请给出您的反馈和评价: