Google Cloud bietet Cloud Identity and Access Management (Cloud IAM). Sie können damit bestimmten Google Cloud-Ressourcen detaillierte Zugriffsrechte zuweisen und unerwünschten Zugriff auf andere Ressourcen verhindern. Mit Cloud IAM haben Sie die Möglichkeit, das Sicherheitsprinzip der geringsten Berechtigung anzuwenden und so nur den notwendigen Zugriff auf Ressourcen zu gewähren.
Mit Cloud IAM und den damit festgelegten Richtlinien lässt sich steuern, wer (Nutzer) welchen Zugriff (Rollen) auf welche Ressourcen hat. Cloud IAM-Richtlinien gewähren einem Nutzer bestimmte Rollen und dadurch bestimmte Berechtigungen.
Auf dieser Seite werden die Rollen von Cloud Identity and Access Management für die Cloud Billing APIs erläutert. Beispielsweise können Sie mit Cloud IAM Rollen wie Administrator, Nutzer und Projektadministrator für ein Cloud-Rechnungskonto zuweisen. Eine detaillierte Beschreibung von Cloud IAM und den zugehörigen Features finden Sie im Entwicklerhandbuch für Cloud Identity and Access Management. Lesen Sie dazu insbesondere das Kapitel Zugriff erteilen, ändern und entziehen.
Berechtigungen und Rollen
Damit ein Nutzer Rechnungskontodetails in der Google Cloud Console aufrufen oder eine Cloud Billing API-Methode Rechnungskontoinformationen zurückgeben kann, muss der Nutzer oder Aufrufer über die erforderlichen Berechtigungen verfügen. In den folgenden Tabellen sind die Cloud IAM-Berechtigungen und -Rollen aufgeführt, die für die einzelnen Cloud Billing APIs erforderlich sind.
Erforderliche Berechtigungen für die Cloud Billing Account API
In der folgenden Tabelle sind die Berechtigungen aufgeführt, die der Aufrufer für die einzelnen Cloud Billing Account API-Methoden benötigt:
| API-Methode | Erforderliche Berechtigungen | Berechtigung erteilende Cloud IAM-Rolle |
|---|---|---|
billingAccounts.create |
Beim Erstellen eines Unterkontos für ein Rechnungskonto benötigt der Aufrufer die Berechtigung billing.accounts.update für das Master-Rechnungskonto des Unterkontos. |
Abrechnungsadministrator |
billingAccounts.get |
billing.accounts.get für ein Rechnungskonto. |
Abrechnungsadministrator oder Abrechnungsbetrachter |
billingAccounts.list |
Keine. Diese Methode gibt alle Konten zurück, auf die der Aufrufer zugreifen darf. | Abrechnungsadministrator, Abrechnungsbetrachter, Abrechnungsnutzer oder Administrator für die Projektabrechnung |
billingAccounts.getIamPolicy |
billing.accounts.getIamPolicy für ein Rechnungskonto. |
Abrechnungsadministrator oder Abrechnungsbetrachter |
billingAccounts.setIamPolicy |
billing.accounts.setIamPolicy für ein Rechnungskonto. |
Abrechnungsadministrator |
billingAccounts.testIamPermissions |
Keine. Diese Methode wird verwendet, um die Berechtigungen eines Aufrufers für ein Rechnungskonto zu ermitteln. | – |
billingAccounts.patch |
billing.accounts.update für ein Rechnungskonto. |
Abrechnungsadministrator |
billingAccounts.projects.list |
billing.resourceAssociations.list für ein Rechnungskonto. |
Abrechnungsadministrator oder Abrechnungsbetrachter |
projects.getBillingInfo |
resourcemanager.projects.get für das Projekt.Weitere Informationen finden Sie unter Zugriffssteuerung für Projekte. |
Projektbetrachter |
projects.updateBillingInfo |
billing.resourceAssociations.create UND resourcemanager.projects.createBillingAssignment für das Rechnungskonto. |
Abrechnungsadministrator oder Abrechnungsnutzer UND Administrator für die Projektabrechnung |
Erforderliche Berechtigungen für die Cloud Billing Budget API
In der folgenden Tabelle wird erläutert, welche Berechtigungen zum Aufrufen der einzelnen Cloud Billing Budget API-Methoden erforderlich sind. Außerdem werden die standardmäßigen Cloud IAM-Abrechnungsrollen aufgelistet, die diese Berechtigungen automatisch gewähren.
| API-Methode | Erforderliche Berechtigung | Berechtigung erteilende Cloud IAM-Rolle |
|---|---|---|
GetBudget |
Zum Aufrufen der Details zu einem Budget benötigt der Aufrufer die Berechtigung billing.budgets.get für das Cloud-Rechnungskonto des Budgets. |
Abrechnungsadministrator oder Abrechnungsbetrachter |
ListBudgets |
Der Aufrufer muss die Berechtigung billing.budgets.list für das Cloud-Rechnungskonto haben, um eine Liste der für ein Cloud-Rechnungskonto verwendeten Budgets zurückzugeben. |
Abrechnungsadministrator oder Abrechnungsbetrachter |
CreateBudget |
Zum Erstellen eines neuen Budgets benötigt der Aufrufer die Berechtigung billing.budgets.create für das Cloud-Rechnungskonto des Budgets. |
Abrechnungsadministrator |
UpdateBudget |
Zum Aktualisieren eines vorhandenen Budgets benötigt der Aufrufer billing.budgets.update eine Berechtigung für das Cloud-Rechnungskonto des Budgets. |
Abrechnungsadministrator |
DeleteBudget |
Zum Löschen eines vorhandenen Budgets benötigt der Aufrufer die Berechtigung billing.budgets.delete für das Cloud-Rechnungskonto des Budgets. |
Abrechnungsadministrator |
Erforderliche Berechtigungen für die Cloud Billing Catalog API
Bei der Verwendung der Cloud Billing Catalog API (Liste der Dienste und der Artikelnummern) ist keine Autorisierung erforderlich, da alle von den Aufrufen zurückgegebenen Daten öffentlich sind.
Rollen
Sie erteilen den Nutzern die Berechtigungen nicht direkt, sondern weisen ihnen Rollen zu, die eine oder mehrere Berechtigungen enthalten.
Sie können für dieselbe Ressource eine oder mehrere Rollen zuweisen.
Die folgende Tabelle enthält die standardmäßigen Cloud IAM-Abrechnungsrollen, die Sie zuweisen können, um auf die Cloud Billing APIs zuzugreifen, eine Beschreibung der Rollen und die damit einhergehenden Berechtigungen.
Abrechnungsrollen
| Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
|---|---|---|---|---|
roles/ |
Rechnungskontoadministrator | Berechtigung zum Aufrufen und Verwalten aller Aspekte von Rechnungskonten | billing.accounts.close billing.accounts.get billing.accounts.getIamPolicy billing.accounts.getPaymentInfo billing.accounts.getSpendingInformation billing.accounts.getUsageExportSpecbilling.accounts.list billing.accounts.move billing.accounts.redeemPromotion billing.accounts.removeFromOrganization billing.accounts.reopen billing.accounts.setIamPolicy billing.accounts.update billing.accounts.updatePaymentInfo billing.accounts.updateUsageExportSpec billing.budgets.* billing.credits.* billing.resourceAssociations.* billing.subscriptions.* cloudnotifications.* logging.logEntries.list logging.logServiceIndexes.* logging.logServices.* logging.logs.list logging.privateLogEntries.* resourcemanager.projects.createBillingAssignment resourcemanager.projects.deleteBillingAssignment |
Rechnungskonto |
roles/ |
Rechnungskontoersteller | Berechtigung zum Erstellen von Rechnungskonten | billing.accounts.create resourcemanager.organizations.get |
Projekt |
roles/ |
Administrator für die Projektabrechnung | Berechtigung zum Zuweisen des Rechnungskontos eines Projekts oder zum Deaktivieren seiner Abrechnung | resourcemanager.projects.createBillingAssignment resourcemanager.projects.deleteBillingAssignment |
Projekt |
roles/ |
Rechnungskontonutzer | Berechtigung zum Verbinden von Projekten mit Rechnungskonten | billing.accounts.get billing.accounts.getIamPolicy billing.accounts.list billing.accounts.redeemPromotion billing.credits.* billing.resourceAssociations.create |
Rechnungskonto |
roles/ |
Rechnungskontobetrachter | Kontoinformationen und Transaktionen im Rechnungskonto aufrufen | billing.accounts.get billing.accounts.getIamPolicy billing.accounts.getPaymentInfo billing.accounts.getSpendingInformation billing.accounts.getUsageExportSpecbilling.accounts.list billing.budgets.get billing.budgets.list billing.credits.* billing.resourceAssociations.list billing.subscriptions.get billing.subscriptions.list |
Rechnungskonto der Organisation |
Die Rollen roles/billing.projectManager und roles/billing.admin enthalten auch Berechtigungen für andere Google Cloud-Dienste.