Se usó la API de Cloud Translation para traducir esta página.
Switch to English

Control de acceso para las API de Facturación de Cloud

Google Cloud ofrece la función de administración de identidades y accesos (IAM), que te permite brindar acceso más detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de menor privilegio, de manera que solo otorgas el acceso necesario a tus recursos.

IAM te permite configurar políticas para controlar quién (usuarios) tiene qué acceso (funciones) a qué recursos. Las políticas de IAM asignan funciones específicas a un usuario, lo que le otorga ciertos permisos.

En esta página, se explican las funciones de administración de identidades y accesos que están disponibles para las API de Facturación de Cloud. Por ejemplo, puedes usar IAM para asignar funciones, como Administrador, Usuario y Administrador de proyectos, a una cuenta de facturación de Cloud. Para obtener una descripción detallada de IAM y sus funciones, consulta la guía para desarrolladores de administración de identidades y accesos. Específicamente, revisa la sección sobre cómo otorgar, cambiar y revocar el acceso.

Permisos y funciones

Para que un usuario vea los detalles de la cuenta de facturación de Cloud en Google Cloud Console o para que un método de la API de Facturación de Cloud muestre información sobre la cuenta de facturación de Cloud, el usuario o el emisor deben tener los permisos necesarios. En las tablas siguientes, se enumeran los permisos y las funciones de IAM necesarios para cada una de las API de Facturación de Cloud.

Permisos necesarios para la API de cuenta de Facturación de Cloud

En la siguiente tabla, se muestran los permisos que debe tener el emisor para llamar a cada método de la API de cuentas de Facturación de Cloud:

Método de la API Permisos necesarios Función de IAM que otorga permiso
billingAccounts.create Cuando se crea una cuenta secundaria de facturación de Cloud, el emisor debe tener billing.accounts.update en la cuenta principal de la cuenta secundaria de facturación de Cloud. Administrador de facturación
billingAccounts.get billing.accounts.get en una cuenta de facturación de Cloud. Administrador de facturación o Visualizador de facturación
billingAccounts.list Ninguno Este método muestra todas las cuentas a las que el emisor tiene permiso para acceder. Administrador de facturación, visualizador de facturación, usuario de facturación o administrador de facturación del proyecto
billingAccounts.getIamPolicy billing.accounts.getIamPolicy en una cuenta de facturación de Cloud. Administrador de facturación o Visualizador de facturación
billingAccounts.setIamPolicy billing.accounts.setIamPolicy en una cuenta de facturación de Cloud. Administrador de facturación
billingAccounts.testIamPermissions Ninguno Este método se usa para determinar los permisos que tiene un emisor en una cuenta de facturación de Cloud. No corresponde
billingAccounts.patch billing.accounts.update en una cuenta de facturación de Cloud. Administrador de facturación
billingAccounts.projects.list billing.resourceAssociations.list en una cuenta de facturación de Cloud. Administrador de facturación o Visualizador de facturación
projects.getBillingInfo resourcemanager.projects.get en el proyecto.
Consulta Control de acceso para proyectos a fin de obtener más información.
Lector del proyecto
projects.updateBillingInfo billing.resourceAssociations.create y resourcemanager.projects.createBillingAssignment en la cuenta de facturación de Cloud. Administrador de facturación o usuario de facturación y administrador de facturación del proyecto

Permisos necesarios para la API de presupuestos de Facturación de Cloud

En la siguiente tabla, se describen los permisos que son necesarios para llamar a cada método de la API de presupuestos de Facturación de Cloud. También se incluyen las funciones estándar de facturación de IAM que otorgan esos permisos automáticamente.

Método de API Permiso necesario Función de IAM que otorga permiso
GetBudget Para obtener los detalles de un presupuesto, el emisor debe tener el permiso billing.budgets.get en la cuenta de facturación de Cloud del presupuesto. Administrador de facturación o Visualizador de facturación
ListBudgets Para mostrar una lista de los presupuestos aplicados a una cuenta de facturación de Cloud, el emisor debe tener el permiso billing.budgets.list en la cuenta de facturación de Cloud. Administrador de facturación o Visualizador de facturación
CreateBudget Para crear un nuevo presupuesto, el emisor debe tener el permiso billing.budgets.create en la cuenta de facturación de Cloud del presupuesto. Administrador de facturación
UpdateBudget Para actualizar un presupuesto existente, el emisor debe tener el permiso billing.budgets.update en la cuenta de facturación de Cloud del presupuesto. Administrador de facturación
DeleteBudget Para borrar un presupuesto existente, el emisor debe tener el permiso billing.budgets.delete en la cuenta de facturación de Cloud del presupuesto. Administrador de facturación

Permisos necesarios para la API del catálogo de Facturación de Cloud

No se requiere autorización cuando se usa la API del catálogo de Facturación de Cloud (lista de servicios y de SKU) porque todos los datos que muestran las llamadas son públicos.

Funciones

No les das permisos a los usuarios directamente, en cambio, les otorgas funciones, que incluyen uno o más permisos.

Puedes otorgar una o más funciones en el mismo recurso.

En la siguiente tabla, se enumeran las funciones estándar de facturación de IAM que puedes otorgar para acceder a las API de Facturación de Cloud, la descripción de lo que hace la función y los permisos agrupados en ella.

Función Título Descripción Permisos Recurso más bajo
roles/billing.admin Administrador de cuentas de facturación Proporciona acceso para ver y administrar todos los aspectos de las cuentas de facturación.
  • billing.accounts.close
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.accounts.move
  • billing.accounts.redeemPromotion
  • billing.accounts.removeFromOrganization
  • billing.accounts.reopen
  • billing.accounts.setIamPolicy
  • billing.accounts.update
  • billing.accounts.updatePaymentInfo
  • billing.accounts.updateUsageExportSpec
  • billing.budgets.*
  • billing.credits.*
  • billing.resourceAssociations.*
  • billing.subscriptions.*
  • cloudnotifications.*
  • consumerprocurement.accounts.*
  • consumerprocurement.orders.*
  • dataprocessing.datasources.get
  • dataprocessing.datasources.list
  • dataprocessing.groupcontrols.get
  • dataprocessing.groupcontrols.list
  • logging.logEntries.list
  • logging.logServiceIndexes.*
  • logging.logServices.*
  • logging.logs.list
  • logging.privateLogEntries.*
  • recommender.commitmentUtilizationInsights.*
  • recommender.usageCommitmentRecommendations.*
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment
Cuenta de facturación
roles/billing.costsManager Administrador de costos de la cuenta de facturación Puede ver y exportar la información de costos de las cuentas de facturación.
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.accounts.updateUsageExportSpec
  • billing.budgets.*
roles/billing.creator Creador de cuentas de facturación Proporciona acceso para crear cuentas de facturación.
  • billing.accounts.create
  • resourcemanager.organizations.get
Organización
roles/billing.projectManager Administrador de facturación del proyecto Proporciona acceso para asignar la cuenta de facturación de un proyecto o inhabilitar su facturación.
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment
Proyecto
roles/billing.user Usuario de cuenta de facturación Proporciona acceso para asociar proyectos con cuentas de facturación.
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.list
  • billing.accounts.redeemPromotion
  • billing.credits.*
  • billing.resourceAssociations.create
Cuenta de facturación
roles/billing.viewer Lector de cuentas de facturación Permite ver las transacciones y la información de los costos de las cuentas de facturación.
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.budgets.get
  • billing.budgets.list
  • billing.credits.*
  • billing.resourceAssociations.list
  • billing.subscriptions.get
  • billing.subscriptions.list
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • dataprocessing.datasources.get
  • dataprocessing.datasources.list
  • dataprocessing.groupcontrols.get
  • dataprocessing.groupcontrols.list
  • recommender.commitmentUtilizationInsights.get
  • recommender.commitmentUtilizationInsights.list
  • recommender.usageCommitmentRecommendations.get
  • recommender.usageCommitmentRecommendations.list
Cuenta de facturación

Ten en cuenta que las funciones roles/billing.projectManager y roles/billing.admin también incluyen permisos para otros servicios de Google Cloud.