Zugriffssteuerung für Cloud Billing APIs

Google Cloud bietet Cloud Identity and Access Management (Cloud IAM). Sie können damit bestimmten Google Cloud-Ressourcen detaillierte Zugriffsrechte zuweisen und unerwünschten Zugriff auf andere Ressourcen verhindern. Mit Cloud IAM haben Sie die Möglichkeit, das Sicherheitsprinzip der geringsten Berechtigung anzuwenden und so nur den notwendigen Zugriff auf Ressourcen zu gewähren.

Mit Cloud IAM und den damit festgelegten Richtlinien lässt sich steuern, wer (Nutzer) welchen Zugriff (Rollen) auf welche Ressourcen hat. Cloud IAM-Richtlinien gewähren einem Nutzer bestimmte Rollen und dadurch bestimmte Berechtigungen.

Auf dieser Seite werden die Rollen von Cloud Identity and Access Management für die Cloud Billing APIs erläutert. Beispielsweise können Sie mit Cloud IAM Rollen wie Administrator, Nutzer und Projektadministrator für ein Cloud-Rechnungskonto zuweisen. Eine detaillierte Beschreibung von Cloud IAM und den zugehörigen Features finden Sie im Entwicklerhandbuch für Cloud Identity and Access Management. Lesen Sie dazu insbesondere das Kapitel Zugriff erteilen, ändern und entziehen.

Berechtigungen und Rollen

Damit ein Nutzer Rechnungskontodetails in der Google Cloud Console aufrufen oder eine Cloud Billing API-Methode Rechnungskontoinformationen zurückgeben kann, muss der Nutzer oder Aufrufer über die erforderlichen Berechtigungen verfügen. In den folgenden Tabellen sind die Cloud IAM-Berechtigungen und -Rollen aufgeführt, die für die einzelnen Cloud Billing APIs erforderlich sind.

Erforderliche Berechtigungen für die Cloud Billing Account API

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die der Aufrufer für die einzelnen Cloud Billing Account API-Methoden benötigt:

API-Methode Erforderliche Berechtigungen Berechtigung erteilende Cloud IAM-Rolle
billingAccounts.create Beim Erstellen eines Unterkontos für ein Rechnungskonto benötigt der Aufrufer die Berechtigung billing.accounts.update für das Master-Rechnungskonto des Unterkontos. Abrechnungsadministrator
billingAccounts.get billing.accounts.get für ein Rechnungskonto. Abrechnungsadministrator oder Abrechnungsbetrachter
billingAccounts.list Keine. Diese Methode gibt alle Konten zurück, auf die der Aufrufer zugreifen darf. Abrechnungsadministrator, Abrechnungsbetrachter, Abrechnungsnutzer oder Administrator für die Projektabrechnung
billingAccounts.getIamPolicy billing.accounts.getIamPolicy für ein Rechnungskonto. Abrechnungsadministrator oder Abrechnungsbetrachter
billingAccounts.setIamPolicy billing.accounts.setIamPolicy für ein Rechnungskonto. Abrechnungsadministrator
billingAccounts.testIamPermissions Keine. Diese Methode wird verwendet, um die Berechtigungen eines Aufrufers für ein Rechnungskonto zu ermitteln.
billingAccounts.patch billing.accounts.update für ein Rechnungskonto. Abrechnungsadministrator
billingAccounts.projects.list billing.resourceAssociations.list für ein Rechnungskonto. Abrechnungsadministrator oder Abrechnungsbetrachter
projects.getBillingInfo resourcemanager.projects.get für das Projekt.
Weitere Informationen finden Sie unter Zugriffssteuerung für Projekte.
Projektbetrachter
projects.updateBillingInfo billing.resourceAssociations.create UND resourcemanager.projects.createBillingAssignment für das Rechnungskonto. Abrechnungsadministrator oder Abrechnungsnutzer UND Administrator für die Projektabrechnung

Erforderliche Berechtigungen für die Cloud Billing Budget API

In der folgenden Tabelle wird erläutert, welche Berechtigungen zum Aufrufen der einzelnen Cloud Billing Budget API-Methoden erforderlich sind. Außerdem werden die standardmäßigen Cloud IAM-Abrechnungsrollen aufgelistet, die diese Berechtigungen automatisch gewähren.

API-Methode Erforderliche Berechtigung Berechtigung erteilende Cloud IAM-Rolle
GetBudget Zum Aufrufen der Details zu einem Budget benötigt der Aufrufer die Berechtigung billing.budgets.get für das Cloud-Rechnungskonto des Budgets. Abrechnungsadministrator oder Abrechnungsbetrachter
ListBudgets Der Aufrufer muss die Berechtigung billing.budgets.list für das Cloud-Rechnungskonto haben, um eine Liste der für ein Cloud-Rechnungskonto verwendeten Budgets zurückzugeben. Abrechnungsadministrator oder Abrechnungsbetrachter
CreateBudget Zum Erstellen eines neuen Budgets benötigt der Aufrufer die Berechtigung billing.budgets.create für das Cloud-Rechnungskonto des Budgets. Abrechnungsadministrator
UpdateBudget Zum Aktualisieren eines vorhandenen Budgets benötigt der Aufrufer billing.budgets.update eine Berechtigung für das Cloud-Rechnungskonto des Budgets. Abrechnungsadministrator
DeleteBudget Zum Löschen eines vorhandenen Budgets benötigt der Aufrufer die Berechtigung billing.budgets.delete für das Cloud-Rechnungskonto des Budgets. Abrechnungsadministrator

Erforderliche Berechtigungen für die Cloud Billing Catalog API

Bei der Verwendung der Cloud Billing Catalog API (Liste der Dienste und der Artikelnummern) ist keine Autorisierung erforderlich, da alle von den Aufrufen zurückgegebenen Daten öffentlich sind.

Rollen

Sie erteilen den Nutzern die Berechtigungen nicht direkt, sondern weisen ihnen Rollen zu, die eine oder mehrere Berechtigungen enthalten.

Sie können für dieselbe Ressource eine oder mehrere Rollen zuweisen.

Die folgende Tabelle enthält die standardmäßigen Cloud IAM-Abrechnungsrollen, die Sie zuweisen können, um auf die Cloud Billing APIs zuzugreifen, eine Beschreibung der Rollen und die damit einhergehenden Berechtigungen.

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/billing.admin Rechnungskontoadministrator Berechtigung zum Aufrufen und Verwalten aller Aspekte von Abrechnungskonten
  • billing.accounts.close
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.accounts.move
  • billing.accounts.redeemPromotion
  • billing.accounts.removeFromOrganization
  • billing.accounts.reopen
  • billing.accounts.setIamPolicy
  • billing.accounts.update
  • billing.accounts.updatePaymentInfo
  • billing.accounts.updateUsageExportSpec
  • billing.budgets.*
  • billing.credits.*
  • billing.resourceAssociations.*
  • billing.subscriptions.*
  • cloudnotifications.*
  • logging.logEntries.list
  • logging.logServiceIndexes.*
  • logging.logServices.*
  • logging.logs.list
  • logging.privateLogEntries.*
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment
Rechnungskonto
roles/billing.creator Rechnungskonto-Ersteller Berechtigung zum Erstellen von Abrechnungskonten
  • billing.accounts.create
  • resourcemanager.organizations.get
Projekt
roles/billing.projectManager Administrator für die Projektabrechnung Berechtigung zum Zuweisen des Abrechnungskontos eines Projekts oder zum Deaktivieren der Abrechnung
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment
Projekt
roles/billing.user Rechnungskontonutzer Berechtigung zum Verbinden von Projekten mit Abrechnungskonten
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.list
  • billing.accounts.redeemPromotion
  • billing.credits.*
  • billing.resourceAssociations.create
Rechnungskonto
roles/billing.viewer Rechnungskonto-Betrachter Kontoinformationen und Transaktionen im Rechnungskonto aufrufen
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.budgets.get
  • billing.budgets.list
  • billing.credits.*
  • billing.resourceAssociations.list
  • billing.subscriptions.get
  • billing.subscriptions.list
Organisation
Rechnungskonto

Die Rollen roles/billing.projectManager und roles/billing.admin enthalten auch Berechtigungen für andere Google Cloud-Dienste.

Weitere Informationen