Zugriffssteuerung für Cloud Billing APIs

Google Cloud bietet Cloud Identity and Access Management (Cloud IAM). Sie können damit bestimmten Google Cloud-Ressourcen detaillierte Zugriffsrechte zuweisen und unerwünschten Zugriff auf andere Ressourcen verhindern. Mit Cloud IAM haben Sie die Möglichkeit, das Sicherheitsprinzip der geringsten Berechtigung anzuwenden und so nur den notwendigen Zugriff auf Ressourcen zu gewähren.

Mit Cloud IAM und den damit festgelegten Richtlinien lässt sich steuern, wer (Nutzer) welchen Zugriff (Rollen) auf welche Ressourcen hat. Cloud IAM-Richtlinien gewähren einem Nutzer bestimmte Rollen und dadurch bestimmte Berechtigungen.

Auf dieser Seite werden die Rollen von Cloud Identity and Access Management für die Cloud Billing APIs erläutert. Beispielsweise können Sie mit Cloud IAM Rollen wie Administrator, Nutzer und Projektadministrator für ein Cloud-Rechnungskonto zuweisen. Eine detaillierte Beschreibung von Cloud IAM und den zugehörigen Features finden Sie im Entwicklerhandbuch für Cloud Identity and Access Management. Lesen Sie dazu insbesondere das Kapitel Zugriff erteilen, ändern und entziehen.

Berechtigungen und Rollen

Damit ein Nutzer die Details zu Cloud-Rechnungskonten in der Google Cloud Console aufrufen oder eine Cloud Billing API-Methode Informationen zu Cloud-Rechnungskonten zurückgeben kann, muss der Nutzer oder Aufrufer die erforderlichen Berechtigungen haben. In den folgenden Tabellen sind die Cloud IAM-Berechtigungen und -Rollen aufgeführt, die für die einzelnen Cloud Billing APIs erforderlich sind.

Erforderliche Berechtigungen für die Cloud Billing Account API

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die der Aufrufer für die einzelnen Cloud Billing Account API-Methoden benötigt:

API-Methode Erforderliche Berechtigungen Berechtigung erteilende Cloud IAM-Rolle
billingAccounts.create Zum Erstellen eines Cloud-Rechnungsunterkontos muss der Aufrufer die Berechtigung billing.accounts.update im Cloud-Master-Rechnungskonto des Unterkontos haben. Abrechnungsadministrator
billingAccounts.get billing.accounts.get für ein Cloud-Rechnungskonto. Abrechnungsadministrator oder Abrechnungsbetrachter
billingAccounts.list Keine. Diese Methode gibt alle Konten zurück, auf die der Aufrufer zugreifen darf. Abrechnungsadministrator, Abrechnungsbetrachter, Abrechnungsnutzer oder Administrator für die Projektabrechnung
billingAccounts.getIamPolicy billing.accounts.getIamPolicy für ein Cloud-Rechnungskonto. Abrechnungsadministrator oder Abrechnungsbetrachter
billingAccounts.setIamPolicy billing.accounts.setIamPolicy für ein Cloud-Rechnungskonto. Abrechnungsadministrator
billingAccounts.testIamPermissions – Diese Methode wird verwendet, um die Berechtigungen eines Aufrufers für ein Cloud-Rechnungskonto zu ermitteln.
billingAccounts.patch billing.accounts.update für ein Cloud-Rechnungskonto. Abrechnungsadministrator
billingAccounts.projects.list billing.resourceAssociations.list für ein Cloud-Rechnungskonto. Abrechnungsadministrator oder Abrechnungsbetrachter
projects.getBillingInfo resourcemanager.projects.get für das Projekt.
Weitere Informationen finden Sie unter Zugriffssteuerung für Projekte.		 Projektbetrachter
projects.updateBillingInfo billing.resourceAssociations.create UND resourcemanager.projects.createBillingAssignment für das Cloud-Rechnungskonto. Abrechnungsadministrator oder Abrechnungsnutzer UND Administrator für die Projektabrechnung

Erforderliche Berechtigungen für die Cloud Billing Budget API

In der folgenden Tabelle wird erläutert, welche Berechtigungen zum Aufrufen der einzelnen Cloud Billing Budget API-Methoden erforderlich sind. Außerdem werden die standardmäßigen Cloud IAM-Abrechnungsrollen aufgelistet, die diese Berechtigungen automatisch gewähren.

API-Methode Erforderliche Berechtigung Berechtigung erteilende Cloud IAM-Rolle
GetBudget Zum Aufrufen der Details zu einem Budget benötigt der Aufrufer die Berechtigung billing.budgets.get für das Cloud-Rechnungskonto des Budgets. Abrechnungsadministrator oder Abrechnungsbetrachter
ListBudgets Der Aufrufer muss die Berechtigung billing.budgets.list für das Cloud-Rechnungskonto haben, um eine Liste der für ein Cloud-Rechnungskonto verwendeten Budgets zurückzugeben. Abrechnungsadministrator oder Abrechnungsbetrachter
CreateBudget Zum Erstellen eines neuen Budgets benötigt der Aufrufer die Berechtigung billing.budgets.create für das Cloud-Rechnungskonto des Budgets. Abrechnungsadministrator
UpdateBudget Zum Aktualisieren eines vorhandenen Budgets benötigt der Aufrufer die Berechtigung billing.budgets.update für das Cloud-Rechnungskonto des Budgets. Abrechnungsadministrator
DeleteBudget Zum Löschen eines vorhandenen Budgets benötigt der Aufrufer die Berechtigung billing.budgets.delete für das Cloud-Rechnungskonto des Budgets. Abrechnungsadministrator

Erforderliche Berechtigungen für die Cloud Billing Catalog API

Bei der Verwendung der Cloud Billing Catalog API (Liste der Dienste und der Artikelnummern) ist keine Autorisierung erforderlich, da alle von den Aufrufen zurückgegebenen Daten öffentlich sind.

Rollen

Sie erteilen den Nutzern die Berechtigungen nicht direkt, sondern weisen ihnen Rollen zu, die eine oder mehrere Berechtigungen enthalten.

Sie können für dieselbe Ressource eine oder mehrere Rollen zuweisen.

Die folgende Tabelle enthält die standardmäßigen Cloud IAM-Abrechnungsrollen, die Sie zuweisen können, um auf die Cloud Billing APIs zuzugreifen, eine Beschreibung der Rollen und die damit einhergehenden Berechtigungen.

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/billing.admin Rechnungskontoadministrator Berechtigung zum Aufrufen und Verwalten aller Aspekte von Abrechnungskonten
  • billing.accounts.close
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.accounts.move
  • billing.accounts.redeemPromotion
  • billing.accounts.removeFromOrganization
  • billing.accounts.reopen
  • billing.accounts.setIamPolicy
  • billing.accounts.update
  • billing.accounts.updatePaymentInfo
  • billing.accounts.updateUsageExportSpec
  • billing.budgets.*
  • billing.credits.*
  • billing.resourceAssociations.*
  • billing.subscriptions.*
  • cloudnotifications.*
  • logging.logEntries.list
  • logging.logServiceIndexes.*
  • logging.logServices.*
  • logging.logs.list
  • logging.privateLogEntries.*
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment
 Rechnungskonto
roles/billing.creator Rechnungskonto-Ersteller Berechtigung zum Erstellen von Abrechnungskonten
  • billing.accounts.create
  • resourcemanager.organizations.get
 Projekt
roles/billing.projectManager Administrator für die Projektabrechnung Berechtigung zum Zuweisen des Abrechnungskontos eines Projekts oder zum Deaktivieren seiner Abrechnung
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment
 Projekt
roles/billing.user Rechnungskontonutzer Berechtigung zum Verbinden von Projekten mit Abrechnungskonten
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.list
  • billing.accounts.redeemPromotion
  • billing.credits.*
  • billing.resourceAssociations.create
 Rechnungskonto
roles/billing.viewer Rechnungskonto-Betrachter Kontoinformationen und Transaktionen im Rechnungskonto aufrufen
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.budgets.get
  • billing.budgets.list
  • billing.credits.*
  • billing.resourceAssociations.list
  • billing.subscriptions.get
  • billing.subscriptions.list
 Rechnungskonto
der Organisation

Die Rollen roles/billing.projectManager und roles/billing.admin enthalten auch Berechtigungen für andere Google Cloud-Dienste.