Controllo dell'accesso a Cloud Billing API

Google Cloud Platform offre Identity and Access Management (IAM), che permette di concedere un accesso più granulare a risorse specifiche di Google Cloud Platform e impedisce l'accesso indesiderato ad altre risorse. Con IAM puoi adottare il principio di sicurezza del privilegio minimo e quindi concedere solo l'accesso necessario alle tue risorse.

IAM ti consente di controllare chi (utenti) dispone di un certo tipo di accesso (ruoli) a determinate risorse attraverso l'impostazione dei criteri IAM. I criteri IAM concedono uno o più ruoli specifici a un utente assegnandogli determinate autorizzazioni.

In questa pagina vengono spiegati i ruoli di Identity and Access Management (IAM) disponibili per l'API Google Cloud Billing. Ad esempio, puoi utilizzare IAM per concedere ruoli di amministratore, utente e gestore progetto per un account di fatturazione. Per una descrizione dettagliata di IAM e delle sue funzionalità, consulta la guida per gli sviluppatori di Google Cloud Identity and Access Management. In particolare, vedi la sezione Concessione, modifica e revoca dell'accesso.

Autorizzazioni e ruoli

Affinché un utente possa visualizzare i dettagli dell'account di fatturazione nella console di Google Cloud Platform o affinché un metodo dell'API Google Cloud Billing restituisca le informazioni sull'account di fatturazione, l'utente o il chiamante deve disporre delle autorizzazioni necessarie. Le tabelle che seguono elencano le autorizzazioni e i ruoli supportati da IAM per l'API Google Cloud Billing.

Autorizzazioni richieste

La tabella seguente elenca le autorizzazioni di cui il chiamante deve disporre per chiamare ciascun metodo:

Metodo Autorizzazioni richieste
billingAccounts.create Quando si crea un subaccount di fatturazione, il chiamante deve disporre di billing.accounts.update sull'account di fatturazione principale del subaccount.
billingAccounts.get billing.accounts.get su un account di fatturazione.
billingAccounts.list Nessuna. Questo metodo restituisce tutti gli account a cui il chiamante è autorizzato ad accedere.
billingAccounts.getIamPolicy billing.accounts.getIamPolicy su un account di fatturazione.
billingAccounts.setIamPolicy billing.accounts.setIamPolicy su un account di fatturazione.
billingAccounts.testIamPermissions Nessuna. Questo metodo viene utilizzato per determinare le autorizzazioni di cui un chiamante dispone su un account di fatturazione.
billingAccounts.patch billing.accounts.update su un account di fatturazione.
billingAccounts.projects.list billing.resourceAssociations.list su un account di fatturazione.
projects.getBillingInfo resourcemanager.projects.get sul progetto.
Per ulteriori informazioni, vedi Controllo degli accessi per i progetti.
projects.updateBillingInfo billing.resourceAssociations.create e resourcemanager.projects.createBillingAssignment sull'account di fatturazione.

Ruoli

Non assegni direttamente le autorizzazioni agli utenti, ma concedi loro dei ruoli, che sono abbinati al loro interno a una o più autorizzazioni.

Puoi concedere uno o più ruoli sulla stessa risorsa.

La tabella seguente elenca i ruoli che è possibile concedere per accedere all'API di fatturazione, la descrizione della funzione di ciascun ruolo e le autorizzazioni abbinate ai ruoli.

Ruolo Autorizzazioni incluse: Per il tipo di risorsa:
roles/billing.projectManager
resourcemanager.projects.createBillingAssignment
Si applica solo alle organizzazioni. Per informazioni sulle organizzazioni, vedi Creazione e gestione delle organizzazioni. Tieni inoltre presente che l'utente autenticato corrente deve disporre di autorizzazioni sia sul progetto che sull'account di fatturazione. Per ulteriori informazioni sulle autorizzazioni, vedi Configurazione delle autorizzazioni su Google Cloud Platform.
Organizzazione
resourcemanager.projects.deleteBillingAssignment
Si applica solo alle organizzazioni. Per informazioni sulle organizzazioni, vedi Creazione e gestione delle organizzazioni. L'utente autenticato corrente deve disporre di autorizzazioni sul progetto o sull'account di fatturazione. Per ulteriori informazioni sulle autorizzazioni, vedi Configurazione delle autorizzazioni su Google Cloud Platform.
Organizzazione
roles/billing.viewer
billing.accounts.get Account di fatturazione
billing.accounts.getIamPolicy Account di fatturazione
billing.accounts.getPaymentInfo Account di fatturazione
billing.accounts.getSpendingInformation Account di fatturazione
billing.accounts.getUsageExportSpec Account di fatturazione
billing.accounts.list Account di fatturazione
billing.budgets.get Account di fatturazione
billing.budgets.list Account di fatturazione
billing.credits.list Account di fatturazione
billing.resourceAssociations.list Account di fatturazione
billing.subscriptions.get Account di fatturazione
billing.subscriptions.list Account di fatturazione
roles/billing.user
Tutte le autorizzazioni precedenti per Gestore progetto e Visualizzatore, nonché:
billing.accounts.redeemPromotion Account di fatturazione
billing.resourceAssociations.create Account di fatturazione
roles/billing.admin
Tutte le autorizzazioni precedenti per Gestore progetto, Visualizzatore e Utente, nonché:
billing.accounts.close Account di fatturazione
billing.accounts.manageBillableUsageExport Account di fatturazione
billing.accounts.move Account di fatturazione
billing.accounts.removeFromOrganization Account di fatturazione
billing.accounts.reopen Account di fatturazione
billing.accounts.setIamPolicy Account di fatturazione
billing.accounts.update Account di fatturazione
billing.accounts.updatePaymentInfo Account di fatturazione
billing.accounts.updateUsageExportSpec Account di fatturazione
billing.budgets.create Account di fatturazione
billing.budgets.delete Account di fatturazione
billing.budgets.update Account di fatturazione
billing.projectAssociations.create
Si applica solo alle organizzazioni. Per informazioni sulle organizzazioni, vedi Creazione e gestione delle organizzazioni. Tieni inoltre presente che l'utente autenticato corrente deve disporre di autorizzazioni sia sul progetto che sull'account di fatturazione. Per ulteriori informazioni sulle autorizzazioni, vedi Configurazione delle autorizzazioni su Google Cloud Platform.
Organizzazione
billing.projectAssociations.delete
Si applica solo alle organizzazioni. Per informazioni sulle organizzazioni, vedi Creazione e gestione delle organizzazioni. L'utente autenticato corrente deve disporre di autorizzazioni sul progetto o sull'account di fatturazione. Per ulteriori informazioni sulle autorizzazioni, vedi Configurazione delle autorizzazioni su Google Cloud Platform.
Organizzazione
billing.resourceAssociations.delete Account di fatturazione
cloudnotifications.activities.list
Si applica a Cloud Notifications. Per ulteriori informazioni, vedi Notifiche via email e sui dispositivi mobili.
Account di fatturazione
logging.logEntries.list
Si applica a Stackdriver Logging. Per ulteriori informazioni, vedi Controllo degli accessi di Stackdriver.
Account di fatturazione
logging.logs.list
Si applica a Stackdriver Logging. Per ulteriori informazioni, vedi Controllo degli accessi di Stackdriver.
Account di fatturazione

Tieni presente che i ruoli roles/billing.user, roles/billing.projectManager e roles/billing.admin includono anche autorizzazioni per altri servizi Google Cloud Platform.

Argomenti correlati