Zugriffssteuerung für Cloud Billing API

Die Google Cloud Platform bietet eine Identitäts- und Zugriffsverwaltung (Identity and Access Management – IAM), mit der Sie den Zugriff auf bestimmte Google Cloud Platform-Ressourcen präziser steuern können. Außerdem lässt sich damit der nicht erwünschte Zugriff auf andere Ressourcen verhindern. Mit IAM können Sie das Sicherheitsprinzip der geringsten Berechtigung anwenden und so nur den notwendigen Zugriff auf Ressourcen gewähren.

Mit IAM können Sie durch Festlegung von Richtlinien steuern, wer (Nutzer) welchen Zugriff (Rollen) auf welche Ressourcen hat. IAM-Richtlinien weisen einem Nutzer bestimmte Rollen und damit bestimmte Berechtigungen zu.

Auf dieser Seite werden die für die Google Cloud Billing API verfügbaren Rollen der Identitäts- und Zugriffsverwaltung (IAM) erläutert. Beispielsweise können Sie mithilfe von IAM einem Rechnungskonto Rollen wie "Administrator", "Nutzer" und "Projektmanager" zuweisen. Eine ausführliche Beschreibung der Identitäts- und Zugriffsverwaltung und deren Funktionen finden Sie im Google Cloud Identity and Access Management-Entwicklerhandbuch. Lesen Sie dazu insbesondere das Kapitel Zugriff für Projektmitglieder gewähren, ändern und aufheben.

Berechtigungen und Rollen

Damit ein Nutzer Details des Rechnungskontos in der Google Cloud Platform Console einsehen oder eine Google Cloud Billing API-Methode Informationen des Rechnungskontos zurückgeben kann, muss der Nutzer oder Aufrufer über die erforderlichen Berechtigungen verfügen. In den folgenden Tabellen sind die vom IAM der Google Cloud Billing API unterstützten Berechtigungen und Rollen aufgeführt.

Erforderliche Berechtigungen

In der folgenden Tabelle sind die Berechtigungen aufgelistet, die der Aufrufer besitzen muss, um eine bestimmte Methode aufrufen zu können:

Methode Erforderliche Berechtigung(en)
billingAccounts.create Beim Erstellen eines Abrechnungsunterkontos braucht der Aufrufer die Berechtigung billing.accounts.update für das Master-Abrechnungskonto des Unterkontos.
billingAccounts.get billing.accounts.get für ein Rechnungskonto
billingAccounts.list Keine: Diese Methode gibt alle Konten zurück, auf die der Aufrufer zugreifen darf.
billingAccounts.getIamPolicy billing.accounts.getIamPolicy für ein Rechnungskonto
billingAccounts.setIamPolicy billing.accounts.setIamPolicy für ein Rechnungskonto
billingAccounts.testIamPermissions Keine: Diese Methode wird verwendet, um die Berechtigungen eines Aufrufers für ein Rechnungskonto zu ermitteln.
billingAccounts.patch billing.accounts.update für ein Rechnungskonto
billingAccounts.projects.list billing.resourceAssociations.list für ein Rechnungskonto
projects.getBillingInfo resourcemanager.projects.get für das Projekt
Weitere Informationen finden Sie unter Zugriffskontrolle für Projekte.
projects.updateBillingInfo billing.resourceAssociations.create und resourcemanager.projects.createBillingAssignment für das Rechnungskonto

Rollen

Sie erteilen den Nutzern die Berechtigungen nicht direkt, sondern weisen ihnen Rollen zu, die eine oder mehrere Berechtigungen enthalten.

Sie können für dieselbe Ressource eine oder mehrere Rollen zuweisen.

Die folgende Tabelle enthält die Rollen, die Sie für den Zugriff auf die Billing API zuweisen können, eine Beschreibung der Rollen und die damit einhergehenden Berechtigungen.

Rolle Enthaltene Berechtigung(en): Für den Ressourcentyp
roles/billing.projectManager
resourcemanager.projects.createBillingAssignment
Gilt nur für Organisationen. Informationen zu Organisationen finden Sie unter Organisationen erstellen und verwalten. Beachten Sie auch, dass der aktuell authentifizierte Nutzer sowohl für das Projekt als auch für das Rechnungskonto Berechtigungen haben muss. Weitere Informationen erhalten Sie unter Berechtigungen auf der Google Cloud Platform konfigurieren.
Organisation
resourcemanager.projects.deleteBillingAssignment
Gilt nur für Organisationen. Informationen zu Organisationen finden Sie unter Organisationen erstellen und verwalten. Der aktuell authentifizierte Nutzer muss entweder für das Projekt oder für das Rechnungskonto Berechtigungen haben. Weitere Informationen erhalten Sie unter Berechtigungen auf der Google Cloud Platform konfigurieren.
Organisation
roles/billing.viewer
billing.accounts.get Rechnungskonto
billing.accounts.getIamPolicy Rechnungskonto
billing.accounts.getPaymentInfo Rechnungskonto
billing.accounts.getSpendingInformation Rechnungskonto
billing.accounts.getUsageExportSpec Rechnungskonto
billing.accounts.list Rechnungskonto
billing.budgets.get Rechnungskonto
billing.budgets.list Rechnungskonto
billing.credits.list Rechnungskonto
billing.resourceAssociations.list Rechnungskonto
billing.subscriptions.get Rechnungskonto
billing.subscriptions.list Rechnungskonto
roles/billing.user
Alle oben aufgeführten Berechtigungen für "Projektmanager" und "Betrachter" sowie:
billing.accounts.redeemPromotion Rechnungskonto
billing.resourceAssociations.create Rechnungskonto
roles/billing.admin
Alle oben aufgeführten Berechtigungen für "Projektmanager", "Betrachter" und "Nutzer" sowie:
billing.accounts.close Rechnungskonto
billing.accounts.manageBillableUsageExport Rechnungskonto
billing.accounts.move Rechnungskonto
billing.accounts.removeFromOrganization Rechnungskonto
billing.accounts.reopen Rechnungskonto
billing.accounts.setIamPolicy Rechnungskonto
billing.accounts.update Rechnungskonto
billing.accounts.updatePaymentInfo Rechnungskonto
billing.accounts.updateUsageExportSpec Rechnungskonto
billing.budgets.create Rechnungskonto
billing.budgets.delete Rechnungskonto
billing.budgets.update Rechnungskonto
billing.projectAssociations.create
Gilt nur für Organisationen. Informationen zu Organisationen finden Sie unter Organisationen erstellen und verwalten. Beachten Sie auch, dass der aktuell authentifizierte Nutzer sowohl für das Projekt als auch für das Rechnungskonto Berechtigungen haben muss. Weitere Informationen zu Berechtigungen erhalten Sie unter Berechtigungen auf der Google Cloud Platform konfigurieren.
Organisation
billing.projectAssociations.delete
Gilt nur für Organisationen. Informationen zu Organisationen finden Sie unter Organisationen erstellen und verwalten. Der aktuell authentifizierte Nutzer muss entweder für das Projekt oder für das Rechnungskonto Berechtigungen haben. Weitere Informationen erhalten Sie unter Berechtigungen auf der Google Cloud Platform konfigurieren.
Organisation
billing.resourceAssociations.delete Rechnungskonto
cloudnotifications.activities.list
Gilt für Cloud-Benachrichtigungen. Weitere Informationen finden Sie unter E-Mails und mobile Benachrichtigungen.
Rechnungskonto
logging.logEntries.list
Gilt für das Stackdriver Logging. Weitere Informationen erhalten Sie unter Stackdriver-Zugriffskontrolle.
Rechnungskonto
logging.logs.list
Gilt für das Stackdriver Logging. Weitere Informationen finden Sie unter Stackdriver-Zugriffskontrolle.
Rechnungskonto

Beachten Sie, dass die Rollen roles/billing.user, roles/billing.projectManager und roles/billing.admin auch Berechtigungen für andere Google Cloud Platform-Dienste beinhalten.

Verwandte Themen

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit: