Google Cloud Platform offre Identity and Access Management (IAM), che permette di concedere un accesso più granulare a risorse specifiche di Google Cloud Platform e impedisce l'accesso indesiderato ad altre risorse. Con IAM puoi adottare il principio di sicurezza del privilegio minimo e quindi concedere solo l'accesso necessario alle tue risorse.
IAM ti consente di controllare chi (utenti) dispone di un certo tipo di accesso (ruoli) a determinate risorse attraverso l'impostazione dei criteri IAM. I criteri IAM concedono uno o più ruoli specifici a un utente assegnandogli determinate autorizzazioni.
In questa pagina vengono spiegati i ruoli di Identity and Access Management (IAM) disponibili per l'API Google Cloud Billing. Ad esempio, puoi utilizzare IAM per concedere ruoli di amministratore, utente e gestore progetto per un account di fatturazione. Per una descrizione dettagliata di IAM e delle sue funzionalità, consulta la guida per gli sviluppatori di Google Cloud Identity and Access Management. In particolare, vedi la sezione Concessione, modifica e revoca dell'accesso.
Autorizzazioni e ruoli
Affinché un utente possa visualizzare i dettagli dell'account di fatturazione nella console di Google Cloud Platform o affinché un metodo dell'API Google Cloud Billing restituisca le informazioni sull'account di fatturazione, l'utente o il chiamante deve disporre delle autorizzazioni necessarie. Le tabelle che seguono elencano le autorizzazioni e i ruoli supportati da IAM per l'API Google Cloud Billing.
Autorizzazioni richieste
La tabella seguente elenca le autorizzazioni di cui il chiamante deve disporre per chiamare ciascun metodo:
| Metodo | Autorizzazioni richieste |
|---|---|
billingAccounts.create |
Quando si crea un subaccount di fatturazione, il chiamante deve disporre di billing.accounts.update sull'account di fatturazione principale del subaccount.
|
billingAccounts.get |
billing.accounts.get su un account di fatturazione. |
billingAccounts.list |
Nessuna. Questo metodo restituisce tutti gli account a cui il chiamante è autorizzato ad accedere. |
billingAccounts.getIamPolicy |
billing.accounts.getIamPolicy su un account di fatturazione. |
billingAccounts.setIamPolicy |
billing.accounts.setIamPolicy su un account di fatturazione. |
billingAccounts.testIamPermissions |
Nessuna. Questo metodo viene utilizzato per determinare le autorizzazioni di cui un chiamante dispone su un account di fatturazione. |
billingAccounts.patch |
billing.accounts.update su un account di fatturazione. |
billingAccounts.projects.list |
billing.resourceAssociations.list su un account di fatturazione.
|
projects.getBillingInfo |
resourcemanager.projects.get sul progetto.Per ulteriori informazioni, vedi Controllo degli accessi per i progetti. |
projects.updateBillingInfo |
billing.resourceAssociations.create e resourcemanager.projects.createBillingAssignment sull'account di fatturazione. |
Ruoli
Non assegni direttamente le autorizzazioni agli utenti, ma concedi loro dei ruoli, che sono abbinati al loro interno a una o più autorizzazioni.
Puoi concedere uno o più ruoli sulla stessa risorsa.
La tabella seguente elenca i ruoli che è possibile concedere per accedere all'API di fatturazione, la descrizione della funzione di ciascun ruolo e le autorizzazioni abbinate ai ruoli.
| Ruolo | Autorizzazioni incluse: | Per il tipo di risorsa: |
|---|---|---|
roles/billing.projectManager |
||
resourcemanager.projects.createBillingAssignmentSi applica solo alle organizzazioni. Per informazioni sulle organizzazioni, vedi Creazione e gestione delle organizzazioni. Tieni inoltre presente che l'utente autenticato corrente deve disporre di autorizzazioni sia sul progetto che sull'account di fatturazione. Per ulteriori informazioni sulle autorizzazioni, vedi Configurazione delle autorizzazioni su Google Cloud Platform. |
Organizzazione | |
resourcemanager.projects.deleteBillingAssignmentSi applica solo alle organizzazioni. Per informazioni sulle organizzazioni, vedi Creazione e gestione delle organizzazioni. L'utente autenticato corrente deve disporre di autorizzazioni sul progetto o sull'account di fatturazione. Per ulteriori informazioni sulle autorizzazioni, vedi Configurazione delle autorizzazioni su Google Cloud Platform. |
Organizzazione | |
roles/billing.viewer |
||
billing.accounts.get |
Account di fatturazione | |
billing.accounts.getIamPolicy |
Account di fatturazione | |
billing.accounts.getPaymentInfo |
Account di fatturazione | |
billing.accounts.getSpendingInformation |
Account di fatturazione | |
billing.accounts.getUsageExportSpec |
Account di fatturazione | |
billing.accounts.list |
Account di fatturazione | |
billing.budgets.get |
Account di fatturazione | |
billing.budgets.list |
Account di fatturazione | |
billing.credits.list |
Account di fatturazione | |
billing.resourceAssociations.list |
Account di fatturazione | |
billing.subscriptions.get |
Account di fatturazione | |
billing.subscriptions.list |
Account di fatturazione | |
roles/billing.user |
||
| Tutte le autorizzazioni precedenti per Gestore progetto e Visualizzatore, nonché: | ||
billing.accounts.redeemPromotion |
Account di fatturazione | |
billing.resourceAssociations.create |
Account di fatturazione | |
roles/billing.admin |
Tutte le autorizzazioni precedenti per Gestore progetto, Visualizzatore e Utente, nonché: | |
billing.accounts.close |
Account di fatturazione | |
billing.accounts.manageBillableUsageExport |
Account di fatturazione | |
billing.accounts.move |
Account di fatturazione | |
billing.accounts.removeFromOrganization |
Account di fatturazione | |
billing.accounts.reopen |
Account di fatturazione | |
billing.accounts.setIamPolicy |
Account di fatturazione | |
billing.accounts.update |
Account di fatturazione | |
billing.accounts.updatePaymentInfo |
Account di fatturazione | |
billing.accounts.updateUsageExportSpec |
Account di fatturazione | |
billing.budgets.create |
Account di fatturazione | |
billing.budgets.delete |
Account di fatturazione | |
billing.budgets.update |
Account di fatturazione | |
billing.projectAssociations.createSi applica solo alle organizzazioni. Per informazioni sulle organizzazioni, vedi Creazione e gestione delle organizzazioni. Tieni inoltre presente che l'utente autenticato corrente deve disporre di autorizzazioni sia sul progetto che sull'account di fatturazione. Per ulteriori informazioni sulle autorizzazioni, vedi Configurazione delle autorizzazioni su Google Cloud Platform. |
Organizzazione | |
billing.projectAssociations.deleteSi applica solo alle organizzazioni. Per informazioni sulle organizzazioni, vedi Creazione e gestione delle organizzazioni. L'utente autenticato corrente deve disporre di autorizzazioni sul progetto o sull'account di fatturazione. Per ulteriori informazioni sulle autorizzazioni, vedi Configurazione delle autorizzazioni su Google Cloud Platform. |
Organizzazione | |
billing.resourceAssociations.delete |
Account di fatturazione | |
cloudnotifications.activities.listSi applica a Cloud Notifications. Per ulteriori informazioni, vedi Notifiche via email e sui dispositivi mobili. |
Account di fatturazione | |
logging.logEntries.listSi applica a Stackdriver Logging. Per ulteriori informazioni, vedi Controllo degli accessi di Stackdriver. |
Account di fatturazione | |
logging.logs.listSi applica a Stackdriver Logging. Per ulteriori informazioni, vedi Controllo degli accessi di Stackdriver. |
Account di fatturazione | |
Tieni presente che i ruoli roles/billing.user, roles/billing.projectManager e
roles/billing.admin includono anche autorizzazioni per altri servizi Google Cloud Platform.
Argomenti correlati
- Panoramica del controllo degli accessi a Cloud Billing
- Concessione, modifica e revoca dell'accesso ai membri del progetto nella documentazione di Cloud Identity and Access Management
- Creare ruoli personalizzati per la fatturazione