Google Cloud Platform (GCP) te proporciona el sistema de gestión de identidades y accesos (IAM), que permite otorgar acceso pormenorizado a recursos específicos de GCP y evitar el acceso no deseado a otros recursos. Cloud IAM te ofrece la posibilidad de adoptar el principio de seguridad del privilegio mínimo, por lo que solo das el acceso necesario a tus recursos.
En Cloud IAM puedes configurar las políticas de gestión de identidades y accesos para controlar quién (es decir, qué usuarios) tiene qué tipo de acceso (es decir, funciones) a qué recursos. Las políticas de gestión de identidades y accesos asignan a los usuarios funciones y sus correspondientes permisos.
En esta página se explican las funciones de gestión de identidades y accesos disponibles para la API Google Cloud Billing. Por ejemplo, puedes usar la gestión de identidades y accesos para asignar funciones como administrador, usuario y gestor de proyectos en una cuenta de facturación. Si quieres obtener una descripción detallada de la gestión de identidades y accesos y de sus características, consulta la guía para desarrolladores de la página de documentación de la gestión de identidades y accesos de Google Cloud. Concretamente, la página sobre cómo conceder, cambiar y revocar el acceso.
Permisos y funciones
Es imprescindible que el usuario o solicitante disponga de los permisos necesarios para ver la información de la cuenta de facturación en la consola de GCP, así como para que un método de la API Google Cloud Billing le devuelva la información de la cuenta de facturación. En las siguientes tablas se enumeran los permisos y las funciones que admite la gestión de identidades y accesos de la API Google Cloud Billing.
Permisos obligatorios
En la siguiente tabla se detallan los permisos que debe tener el solicitante para llamar a cada método:
| Método | Permisos obligatorios |
|---|---|
billingAccounts.create |
Al crear una subcuenta de facturación, el solicitante debe tener billing.accounts.update en la cuenta de facturación maestra de la subcuenta.
|
billingAccounts.get |
billing.accounts.get en una cuenta de facturación. |
billingAccounts.list |
Ninguno. Este método devuelve todas las cuentas a las que el solicitante puede acceder. |
billingAccounts.getIamPolicy |
billing.accounts.getIamPolicy en una cuenta de facturación. |
billingAccounts.setIamPolicy |
billing.accounts.setIamPolicy en una cuenta de facturación. |
billingAccounts.testIamPermissions |
Ninguno. Este método se usa para determinar qué permisos tiene un solicitante en una cuenta de facturación. |
billingAccounts.patch |
billing.accounts.update en una cuenta de facturación. |
billingAccounts.projects.list |
billing.resourceAssociations.list en una cuenta de facturación.
|
projects.getBillingInfo |
resourcemanager.projects.get en el proyecto.Para obtener más información, consulta Control de acceso para proyectos. |
projects.updateBillingInfo |
billing.resourceAssociations.create y resourcemanager.projects.createBillingAssignment en la cuenta de facturación. |
Funciones
No otorgas permisos directamente a los usuarios, sino que les asignas funciones que incluyen uno o más permisos.
Puedes designar una o más funciones en el mismo recurso.
En la siguiente tabla figuran las funciones que puedes asignar para acceder a la API Billing, la descripción de la funciones y los permisos que incluyen.
| Función | Permisos incluidos | Tipo de recurso |
|---|---|---|
roles/billing.projectManager |
||
resourcemanager.projects.createBillingAssignmentSolo para organizaciones. Si quieres obtener información sobre las organizaciones, consulta Crear y administrar organizaciones. El usuario autenticado actual debe tener permisos tanto en el proyecto como en la cuenta de facturación. Para obtener más información sobre los permisos, consulta Configurar los permisos en Google Cloud Platform. |
Organización | |
resourcemanager.projects.deleteBillingAssignmentSolo para organizaciones. Si quieres obtener información sobre las organizaciones, consulta Crear y administrar organizaciones. El usuario autenticado actual debe tener permisos en el proyecto o en la cuenta de facturación. Para obtener más información sobre los permisos, consulta Configurar los permisos en Google Cloud Platform. |
Organización | |
roles/billing.viewer |
||
billing.accounts.get |
Cuenta de facturación | |
billing.accounts.getIamPolicy |
Cuenta de facturación | |
billing.accounts.getPaymentInfo |
Cuenta de facturación | |
billing.accounts.getSpendingInformation |
Cuenta de facturación | |
billing.accounts.getUsageExportSpec |
Cuenta de facturación | |
billing.accounts.list |
Cuenta de facturación | |
billing.budgets.get |
Cuenta de facturación | |
billing.budgets.list |
Cuenta de facturación | |
billing.credits.list |
Cuenta de facturación | |
billing.resourceAssociations.list |
Cuenta de facturación | |
billing.subscriptions.get |
Cuenta de facturación | |
billing.subscriptions.list |
Cuenta de facturación | |
roles/billing.user |
||
| Todos los permisos de gestor de proyectos y lector anteriores, así como: | ||
billing.accounts.redeemPromotion |
Cuenta de facturación | |
billing.resourceAssociations.create |
Cuenta de facturación | |
roles/billing.admin |
Todos los permisos de gestor de proyectos, lector y usuario anteriores, así como: | |
billing.accounts.close |
Cuenta de facturación | |
billing.accounts.manageBillableUsageExport |
Cuenta de facturación | |
billing.accounts.move |
Cuenta de facturación | |
billing.accounts.removeFromOrganization |
Cuenta de facturación | |
billing.accounts.reopen |
Cuenta de facturación | |
billing.accounts.setIamPolicy |
Cuenta de facturación | |
billing.accounts.update |
Cuenta de facturación | |
billing.accounts.updatePaymentInfo |
Cuenta de facturación | |
billing.accounts.updateUsageExportSpec |
Cuenta de facturación | |
billing.budgets.create |
Cuenta de facturación | |
billing.budgets.delete |
Cuenta de facturación | |
billing.budgets.update |
Cuenta de facturación | |
billing.projectAssociations.createSolo para organizaciones. Si quieres obtener información sobre las organizaciones, consulta Crear y administrar organizaciones. El usuario autenticado actual debe tener permisos tanto en el proyecto como en la cuenta de facturación. Para obtener más información sobre permisos, consulta Configurar los permisos en Google Cloud Platform. |
Organización | |
billing.projectAssociations.deleteSolo para organizaciones. Si quieres obtener información sobre las organizaciones, consulta Crear y administrar organizaciones. El usuario autenticado actual debe tener permisos en el proyecto o en la cuenta de facturación. Para obtener más información sobre los permisos, consulta Configurar los permisos en Google Cloud Platform. |
Organización | |
billing.resourceAssociations.delete |
Cuenta de facturación | |
cloudnotifications.activities.listSe aplica a las notificaciones de Cloud. Si quieres obtener más información, consulta Notificaciones por correo electrónico y móvil. |
Cuenta de facturación | |
logging.logEntries.listSe aplica a Stackdriver Logging. Para obtener más información, consulta la guía de control de acceso de Stackdriver. |
Cuenta de facturación | |
logging.logs.listSe aplica a Stackdriver Logging. Si quieres obtener más información, consulta la guía de control de acceso de Stackdriver. |
Cuenta de facturación | |
Las funciones roles/billing.user, roles/billing.projectManager y roles/billing.admin incluyen permisos para otros servicios de GCP.