Control del acceso de la API Cloud Billing

Google Cloud Platform (GCP) te proporciona el sistema de gestión de identidades y accesos (IAM), que permite otorgar acceso pormenorizado a recursos específicos de GCP y evitar el acceso no deseado a otros recursos. Cloud IAM te ofrece la posibilidad de adoptar el principio de seguridad del privilegio mínimo, por lo que solo das el acceso necesario a tus recursos.

En Cloud IAM puedes configurar las políticas de gestión de identidades y accesos para controlar quién (es decir, qué usuarios) tiene qué tipo de acceso (es decir, funciones) a qué recursos. Las políticas de gestión de identidades y accesos asignan a los usuarios funciones y sus correspondientes permisos.

En esta página se explican las funciones de gestión de identidades y accesos disponibles para la API Google Cloud Billing. Por ejemplo, puedes usar la gestión de identidades y accesos para asignar funciones como administrador, usuario y gestor de proyectos en una cuenta de facturación. Si quieres obtener una descripción detallada de la gestión de identidades y accesos y de sus características, consulta la guía para desarrolladores de la página de documentación de la gestión de identidades y accesos de Google Cloud. Concretamente, la página sobre cómo conceder, cambiar y revocar el acceso.

Permisos y funciones

Es imprescindible que el usuario o solicitante disponga de los permisos necesarios para ver la información de la cuenta de facturación en la consola de GCP, así como para que un método de la API Google Cloud Billing le devuelva la información de la cuenta de facturación. En las siguientes tablas se enumeran los permisos y las funciones que admite la gestión de identidades y accesos de la API Google Cloud Billing.

Permisos obligatorios

En la siguiente tabla se detallan los permisos que debe tener el solicitante para llamar a cada método:

Método Permisos obligatorios
billingAccounts.create Al crear una subcuenta de facturación, el solicitante debe tener billing.accounts.update en la cuenta de facturación maestra de la subcuenta.
billingAccounts.get billing.accounts.get en una cuenta de facturación.
billingAccounts.list Ninguno. Este método devuelve todas las cuentas a las que el solicitante puede acceder.
billingAccounts.getIamPolicy billing.accounts.getIamPolicy en una cuenta de facturación.
billingAccounts.setIamPolicy billing.accounts.setIamPolicy en una cuenta de facturación.
billingAccounts.testIamPermissions Ninguno. Este método se usa para determinar qué permisos tiene un solicitante en una cuenta de facturación.
billingAccounts.patch billing.accounts.update en una cuenta de facturación.
billingAccounts.projects.list billing.resourceAssociations.list en una cuenta de facturación.
projects.getBillingInfo resourcemanager.projects.get en el proyecto.
Para obtener más información, consulta Control de acceso para proyectos.
projects.updateBillingInfo billing.resourceAssociations.create y resourcemanager.projects.createBillingAssignment en la cuenta de facturación.

Funciones

No otorgas permisos directamente a los usuarios, sino que les asignas funciones que incluyen uno o más permisos.

Puedes designar una o más funciones en el mismo recurso.

En la siguiente tabla figuran las funciones que puedes asignar para acceder a la API Billing, la descripción de la funciones y los permisos que incluyen.

Función Permisos incluidos Tipo de recurso
roles/billing.projectManager
resourcemanager.projects.createBillingAssignment
Solo para organizaciones. Si quieres obtener información sobre las organizaciones, consulta Crear y administrar organizaciones. El usuario autenticado actual debe tener permisos tanto en el proyecto como en la cuenta de facturación. Para obtener más información sobre los permisos, consulta Configurar los permisos en Google Cloud Platform.
Organización
resourcemanager.projects.deleteBillingAssignment
Solo para organizaciones. Si quieres obtener información sobre las organizaciones, consulta Crear y administrar organizaciones. El usuario autenticado actual debe tener permisos en el proyecto o en la cuenta de facturación. Para obtener más información sobre los permisos, consulta Configurar los permisos en Google Cloud Platform.
Organización
roles/billing.viewer
billing.accounts.get Cuenta de facturación
billing.accounts.getIamPolicy Cuenta de facturación
billing.accounts.getPaymentInfo Cuenta de facturación
billing.accounts.getSpendingInformation Cuenta de facturación
billing.accounts.getUsageExportSpec Cuenta de facturación
billing.accounts.list Cuenta de facturación
billing.budgets.get Cuenta de facturación
billing.budgets.list Cuenta de facturación
billing.credits.list Cuenta de facturación
billing.resourceAssociations.list Cuenta de facturación
billing.subscriptions.get Cuenta de facturación
billing.subscriptions.list Cuenta de facturación
roles/billing.user
Todos los permisos de gestor de proyectos y lector anteriores, así como:
billing.accounts.redeemPromotion Cuenta de facturación
billing.resourceAssociations.create Cuenta de facturación
roles/billing.admin
Todos los permisos de gestor de proyectos, lector y usuario anteriores, así como:
billing.accounts.close Cuenta de facturación
billing.accounts.manageBillableUsageExport Cuenta de facturación
billing.accounts.move Cuenta de facturación
billing.accounts.removeFromOrganization Cuenta de facturación
billing.accounts.reopen Cuenta de facturación
billing.accounts.setIamPolicy Cuenta de facturación
billing.accounts.update Cuenta de facturación
billing.accounts.updatePaymentInfo Cuenta de facturación
billing.accounts.updateUsageExportSpec Cuenta de facturación
billing.budgets.create Cuenta de facturación
billing.budgets.delete Cuenta de facturación
billing.budgets.update Cuenta de facturación
billing.projectAssociations.create
Solo para organizaciones. Si quieres obtener información sobre las organizaciones, consulta Crear y administrar organizaciones. El usuario autenticado actual debe tener permisos tanto en el proyecto como en la cuenta de facturación. Para obtener más información sobre permisos, consulta Configurar los permisos en Google Cloud Platform.
Organización
billing.projectAssociations.delete
Solo para organizaciones. Si quieres obtener información sobre las organizaciones, consulta Crear y administrar organizaciones. El usuario autenticado actual debe tener permisos en el proyecto o en la cuenta de facturación. Para obtener más información sobre los permisos, consulta Configurar los permisos en Google Cloud Platform.
Organización
billing.resourceAssociations.delete Cuenta de facturación
cloudnotifications.activities.list
Se aplica a las notificaciones de Cloud. Si quieres obtener más información, consulta Notificaciones por correo electrónico y móvil.
Cuenta de facturación
logging.logEntries.list
Se aplica a Stackdriver Logging. Para obtener más información, consulta la guía de control de acceso de Stackdriver.
Cuenta de facturación
logging.logs.list
Se aplica a Stackdriver Logging. Si quieres obtener más información, consulta la guía de control de acceso de Stackdriver.
Cuenta de facturación

Las funciones roles/billing.user, roles/billing.projectManager y roles/billing.admin incluyen permisos para otros servicios de GCP.

Temas relacionados

¿Te ha resultado útil esta página? Enviar comentarios: