Die Google Cloud Platform bietet eine Identitäts- und Zugriffsverwaltung (Identity and Access Management – IAM), mit der Sie den Zugriff auf bestimmte Google Cloud Platform-Ressourcen präziser steuern können. Außerdem lässt sich damit der nicht erwünschte Zugriff auf andere Ressourcen verhindern. Mit IAM können Sie das Sicherheitsprinzip der geringsten Berechtigung anwenden und so nur den notwendigen Zugriff auf Ressourcen gewähren.
Mit IAM können Sie durch Festlegung von Richtlinien steuern, wer (Nutzer) welchen Zugriff (Rollen) auf welche Ressourcen hat. IAM-Richtlinien weisen einem Nutzer bestimmte Rollen und damit bestimmte Berechtigungen zu.
Auf dieser Seite werden die für die Google Cloud Billing API verfügbaren Rollen der Identitäts- und Zugriffsverwaltung (IAM) erläutert. Beispielsweise können Sie mithilfe von IAM einem Rechnungskonto Rollen wie "Administrator", "Nutzer" und "Projektmanager" zuweisen. Eine ausführliche Beschreibung der Identitäts- und Zugriffsverwaltung und deren Funktionen finden Sie im Google Cloud Identity and Access Management-Entwicklerhandbuch. Lesen Sie dazu insbesondere das Kapitel Zugriff für Projektmitglieder gewähren, ändern und aufheben.
Berechtigungen und Rollen
Damit ein Nutzer Details des Rechnungskontos in der Google Cloud Platform Console einsehen oder eine Google Cloud Billing API-Methode Informationen des Rechnungskontos zurückgeben kann, muss der Nutzer oder Aufrufer über die erforderlichen Berechtigungen verfügen. In den folgenden Tabellen sind die vom IAM der Google Cloud Billing API unterstützten Berechtigungen und Rollen aufgeführt.
Erforderliche Berechtigungen
In der folgenden Tabelle sind die Berechtigungen aufgelistet, die der Aufrufer besitzen muss, um eine bestimmte Methode aufrufen zu können:
| Methode | Erforderliche Berechtigung(en) |
|---|---|
billingAccounts.create |
Beim Erstellen eines Abrechnungsunterkontos braucht der Aufrufer die Berechtigung billing.accounts.update für das Master-Abrechnungskonto des Unterkontos.
|
billingAccounts.get |
billing.accounts.get für ein Rechnungskonto |
billingAccounts.list |
Keine: Diese Methode gibt alle Konten zurück, auf die der Aufrufer zugreifen darf. |
billingAccounts.getIamPolicy |
billing.accounts.getIamPolicy für ein Rechnungskonto |
billingAccounts.setIamPolicy |
billing.accounts.setIamPolicy für ein Rechnungskonto |
billingAccounts.testIamPermissions |
Keine: Diese Methode wird verwendet, um die Berechtigungen eines Aufrufers für ein Rechnungskonto zu ermitteln. |
billingAccounts.patch |
billing.accounts.update für ein Rechnungskonto |
billingAccounts.projects.list |
billing.resourceAssociations.list für ein Rechnungskonto
|
projects.getBillingInfo |
resourcemanager.projects.get für das ProjektWeitere Informationen finden Sie unter Zugriffskontrolle für Projekte. |
projects.updateBillingInfo |
billing.resourceAssociations.create und resourcemanager.projects.createBillingAssignment für das Rechnungskonto |
Rollen
Sie erteilen den Nutzern die Berechtigungen nicht direkt, sondern weisen ihnen Rollen zu, die eine oder mehrere Berechtigungen enthalten.
Sie können für dieselbe Ressource eine oder mehrere Rollen zuweisen.
Die folgende Tabelle enthält die Rollen, die Sie für den Zugriff auf die Billing API zuweisen können, eine Beschreibung der Rollen und die damit einhergehenden Berechtigungen.
| Rolle | Enthaltene Berechtigung(en): | Für den Ressourcentyp |
|---|---|---|
roles/billing.projectManager |
||
resourcemanager.projects.createBillingAssignmentGilt nur für Organisationen. Informationen zu Organisationen finden Sie unter Organisationen erstellen und verwalten. Beachten Sie auch, dass der aktuell authentifizierte Nutzer sowohl für das Projekt als auch für das Rechnungskonto Berechtigungen haben muss. Weitere Informationen erhalten Sie unter Berechtigungen auf der Google Cloud Platform konfigurieren. |
Organisation | |
resourcemanager.projects.deleteBillingAssignmentGilt nur für Organisationen. Informationen zu Organisationen finden Sie unter Organisationen erstellen und verwalten. Der aktuell authentifizierte Nutzer muss entweder für das Projekt oder für das Rechnungskonto Berechtigungen haben. Weitere Informationen erhalten Sie unter Berechtigungen auf der Google Cloud Platform konfigurieren. |
Organisation | |
roles/billing.viewer |
||
billing.accounts.get |
Rechnungskonto | |
billing.accounts.getIamPolicy |
Rechnungskonto | |
billing.accounts.getPaymentInfo |
Rechnungskonto | |
billing.accounts.getSpendingInformation |
Rechnungskonto | |
billing.accounts.getUsageExportSpec |
Rechnungskonto | |
billing.accounts.list |
Rechnungskonto | |
billing.budgets.get |
Rechnungskonto | |
billing.budgets.list |
Rechnungskonto | |
billing.credits.list |
Rechnungskonto | |
billing.resourceAssociations.list |
Rechnungskonto | |
billing.subscriptions.get |
Rechnungskonto | |
billing.subscriptions.list |
Rechnungskonto | |
roles/billing.user |
||
| Alle oben aufgeführten Berechtigungen für "Projektmanager" und "Betrachter" sowie: | ||
billing.accounts.redeemPromotion |
Rechnungskonto | |
billing.resourceAssociations.create |
Rechnungskonto | |
roles/billing.admin |
Alle oben aufgeführten Berechtigungen für "Projektmanager", "Betrachter" und "Nutzer" sowie: | |
billing.accounts.close |
Rechnungskonto | |
billing.accounts.manageBillableUsageExport |
Rechnungskonto | |
billing.accounts.move |
Rechnungskonto | |
billing.accounts.removeFromOrganization |
Rechnungskonto | |
billing.accounts.reopen |
Rechnungskonto | |
billing.accounts.setIamPolicy |
Rechnungskonto | |
billing.accounts.update |
Rechnungskonto | |
billing.accounts.updatePaymentInfo |
Rechnungskonto | |
billing.accounts.updateUsageExportSpec |
Rechnungskonto | |
billing.budgets.create |
Rechnungskonto | |
billing.budgets.delete |
Rechnungskonto | |
billing.budgets.update |
Rechnungskonto | |
billing.projectAssociations.createGilt nur für Organisationen. Informationen zu Organisationen finden Sie unter Organisationen erstellen und verwalten. Beachten Sie auch, dass der aktuell authentifizierte Nutzer sowohl für das Projekt als auch für das Rechnungskonto Berechtigungen haben muss. Weitere Informationen zu Berechtigungen erhalten Sie unter Berechtigungen auf der Google Cloud Platform konfigurieren. |
Organisation | |
billing.projectAssociations.deleteGilt nur für Organisationen. Informationen zu Organisationen finden Sie unter Organisationen erstellen und verwalten. Der aktuell authentifizierte Nutzer muss entweder für das Projekt oder für das Rechnungskonto Berechtigungen haben. Weitere Informationen erhalten Sie unter Berechtigungen auf der Google Cloud Platform konfigurieren. |
Organisation | |
billing.resourceAssociations.delete |
Rechnungskonto | |
cloudnotifications.activities.listGilt für Cloud-Benachrichtigungen. Weitere Informationen finden Sie unter E-Mails und mobile Benachrichtigungen. |
Rechnungskonto | |
logging.logEntries.listGilt für das Stackdriver Logging. Weitere Informationen erhalten Sie unter Stackdriver-Zugriffskontrolle. |
Rechnungskonto | |
logging.logs.listGilt für das Stackdriver Logging. Weitere Informationen finden Sie unter Stackdriver-Zugriffskontrolle. |
Rechnungskonto | |
Beachten Sie, dass die Rollen roles/billing.user, roles/billing.projectManager und roles/billing.admin auch Berechtigungen für andere Google Cloud Platform-Dienste beinhalten.