O Google Cloud oferece o Identity and Access Management (IAM), que permite conceder acesso a recursos específicos do Google Cloud, mas não a outros. Com o IAM, é possível adotar o princípio de privilégio mínimo de segurança para conceder apenas o acesso necessário aos recursos.
Por meio da definição de políticas do IAM, é possível atribuir papéis aos usuários para que eles acessem recursos específicos. As políticas de autorização concedem papéis específicos a um usuário, o que concede a ele as permissões nesses papéis.
Nesta página, explicamos os papéis do IAM disponíveis para as APIs Cloud Billing. Por exemplo, use o IAM para conceder papéis como gerente de custos da conta de faturamento ou leitor da conta de faturamento em uma conta do Cloud Billing. Para uma descrição detalhada do IAM e dos recursos dele, consulte a documentação do IAM. Consulte especificamente Gerenciar o acesso a projetos, pastas e organizações e Gerenciar o acesso a outros recursos.
Permissões e papéis
Para que um usuário visualize os detalhes da Conta de faturamento do Cloud no Console do Google Cloud ou consulte um método da API Cloud Billing para retornar informações dessa conta, o usuário ou autor da chamada precisa ter as permissões necessárias.
Permissões necessárias para a API Cloud Billing Catalog
Nenhuma permissão é necessária para usar a API Cloud Billing Catalog (lista de serviços e de SKUs). Todos os dados retornados por essa API são públicos.
Permissões obrigatórias para a API Cloud Billing Budget
A tabela a seguir descreve quais permissões são necessárias para chamar cada método da API Cloud Billing Budget. Também estão incluídos os papéis padrão de faturamento do Cloud IAM que concedem essas permissões automaticamente.
Método de API | Permissão necessária | Papel do IAM que concede permissões |
---|---|---|
GetBudget |
Para ver os detalhes de um orçamento, o autor da chamada precisa ter a permissão billing.budgets.get na conta do Cloud Billing do orçamento.
Para orçamentos de projeto único, em vez de permissões de conta de faturamento, o autor da chamada pode ter as seguintes permissões no projeto: |
Administrador da conta de faturamento, Gerente de custos da conta de faturamento ou Leitor da conta de faturamento na conta do Cloud Billing do orçamento. Para orçamentos de projeto único, Proprietário, Editor ou Visualizador do projeto. |
ListBudgets |
Para retornar uma lista de orçamentos aplicados a uma Conta do Cloud Billing, o autor da chamada precisa ter a permissão billing.budgets.list nessa conta.
Para orçamentos de projeto único, em vez de permissões de conta de faturamento, o autor da chamada pode ter as seguintes permissões no projeto: |
Administrador da conta de faturamento, Gerente de custos da conta de faturamento ou Leitor da conta de faturamento na conta do Cloud Billing do orçamento. Para orçamentos de projeto único, Proprietário, Editor ou Visualizador do projeto. |
CreateBudget |
Para criar um novo orçamento, o autor da chamada precisa ter a permissão billing.budgets.create na conta do Cloud Billing do orçamento.
Para orçamentos de projeto único, em vez de permissões da conta de faturamento, o
autor da chamada pode ter as seguintes permissões no projeto:
|
Administrador da conta de faturamento ou Gerente de custos da conta de faturamento na conta do Cloud Billing do orçamento. Para orçamentos de projeto único, proprietário ou editor do projeto. |
UpdateBudget |
Para atualizar um orçamento, o autor da chamada precisa ter a permissão billing.budgets.update na conta do Cloud Billing do orçamento.
Para orçamentos de projeto único, em vez de permissões da conta de faturamento, o
autor da chamada pode ter as seguintes permissões no projeto:
|
Administrador da conta de faturamento ou Gerente de custos da conta de faturamento na conta do Cloud Billing do orçamento. Para orçamentos de projeto único, proprietário ou editor do projeto. |
DeleteBudget |
Para excluir um orçamento, o autor da chamada precisa ter a permissão billing.budgets.delete na conta do Cloud Billing do orçamento.
Para orçamentos de projeto único, em vez de permissões da conta de faturamento, o
autor da chamada pode ter as seguintes permissões no projeto:
|
Administrador da conta de faturamento ou Gerente de custos da conta de faturamento na conta do Cloud Billing do orçamento. Para orçamentos de projeto único, proprietário ou editor do projeto. |
Permissões necessárias para a API Cloud Billing Account
A tabela a seguir lista as permissões necessárias para chamar cada método da API Cloud Billing Account, bem como os papéis do IAM para o Cloud Billing que incluem essas permissões.
Método de API | Permissões necessárias | Papéis do IAM que incluem permissão |
---|---|---|
billingAccounts.create |
O método é usado para criar novas subcontas do Cloud Billing. O autor da chamada precisa ter
billing.accounts.update na conta principal do Cloud Billing da
subconta.
|
Administrador da conta de faturamento |
billingAccounts.get |
billing.accounts.get em uma Conta de faturamento do Cloud. |
Administrador da conta de faturamento, Gerente de custos da conta de faturamento, Leitor da conta de faturamento ou Usuário da conta de faturamento |
billingAccounts.list |
Nenhuma. Este método retorna todas as contas que o autor da chamada tem permissão para acessar. | "Administrador da conta de faturamento", "Gerente de custos da conta de faturamento", "Leitor da conta de faturamento" ou "Usuário da conta de faturamento" nas contas do Cloud Billing ou "Gerente de faturamento do projeto" nos projetos. |
billingAccounts.getIamPolicy |
billing.accounts.getIamPolicy em uma Conta de faturamento do Cloud. |
Administrador da conta de faturamento, Gerente de custos da conta de faturamento, Leitor da conta de faturamento ou Usuário da conta de faturamento |
billingAccounts.setIamPolicy |
billing.accounts.setIamPolicy em uma Conta de faturamento do Cloud. |
Administrador da conta de faturamento |
billingAccounts.testIamPermissions |
Nenhuma. Este método é usado para determinar as permissões de um autor de chamada em uma conta do Cloud Billing. | n/a |
billingAccounts.patch |
billing.accounts.update em uma Conta de faturamento do Cloud. |
Administrador da conta de faturamento |
billingAccounts.projects.list |
billing.resourceAssociations.list em uma Conta de faturamento do Cloud.
|
Administrador da conta de faturamento, Gerenciador de custos da conta de faturamento ou Leitor da conta de faturamento |
projects.getBillingInfo |
resourcemanager.projects.get no projeto.Para mais informações, consulte Controle de acesso para projetos. |
Proprietário, editor ou visualizador do projeto |
projects.updateBillingInfo |
billing.resourceAssociations.create na conta do Cloud Billing
E resourcemanager.projects.createBillingAssignment no projeto. |
Administrador da conta de faturamento ou usuário da conta de faturamento E Gerente de faturamento do projeto |
Papéis
Não é possível conceder permissões diretamente aos usuários. É preciso conceder papéis aos usuários, que têm uma ou mais permissões integradas a eles.
É possível conceder um ou mais papéis no mesmo recurso.
A tabela a seguir lista os papéis do IAM que podem ser concedidos para acessar as APIs do Cloud Billing, a descrição do papel e as permissões incluídas nele. Alguns desses papéis também incluem permissões para outros serviços do Google Cloud.
Role | Permissions |
---|---|
Billing Account Administrator( Provides access to see and manage all aspects of billing accounts. Lowest-level resources where you can grant this role:
|
|
Billing Account Costs Manager( Manage budgets for a billing account, and view, analyze, and export cost information of a billing account. Lowest-level resources where you can grant this role:
|
|
Billing Account Creator( Provides access to create billing accounts. Lowest-level resources where you can grant this role:
|
|
Project Billing Manager( When granted in conjunction with the Billing Account User role, provides access to assign a project's billing account or disable its billing. Lowest-level resources where you can grant this role:
|
|
Billing Account User( When granted in conjunction with the Project Owner role or Project Billing Manager role, provides access to associate projects with billing accounts. Lowest-level resources where you can grant this role:
|
|
Billing Account Viewer( View billing account cost and pricing information, transactions, and billing and commitment recommendations. Lowest-level resources where you can grant this role:
|
|
Os papéis roles/billing.admin
, roles/billing.costsManager
, roles/billing.viewer
e roles/billing.projectManager
também incluem permissões para outros serviços do Google Cloud.
Temas relacionados
- Gerencie o acesso a projetos, pastas e organizações na documentação do IAM
- Gerenciar o acesso a outros recursos na documentação do IAM
- Criar papéis personalizados para o Faturamento do Cloud