Cloud Billing API のアクセス制御

Google Cloud Platform には Identity and Access Management(IAM)機能があり、特定の Google Cloud Platform リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不要なアクセスを防ぐことができます。IAM を使用すると、最小限の権限のセキュリティ原則を導入できるため、リソースに対する必要なアクセス権のみを付与できます。

IAM では、IAM ポリシーを設定して、誰(どのユーザー)に、どのリソースに対するどのアクセス権(役割)を付与するかを制御できます。IAM ポリシーは、特定の役割をユーザーに付与することで、そのユーザーに特定の権限を付与します。

このページでは、Google Cloud Billing API で使用可能な Identity and Access Management(IAM)の役割について説明します。たとえば、IAM を使用して、請求先アカウントに管理者、ユーザー、プロジェクト管理者などの役割を付与できます。IAM とその機能の詳しい説明については、Google Cloud Identity and Access Management デベロッパー ガイドをご覧ください。特に、アクセス権の付与、変更、取り消しに関するセクションをご覧ください。

権限と役割

ユーザーが Google Cloud Platform Console で請求先アカウントの詳細を表示する場合や、Google Cloud Billing API メソッドで請求先アカウントの情報を返す場合は、ユーザーまたは呼び出し元に必要な権限が割り当てられている必要があります。次の表に、Google Cloud Billing API IAM でサポートされる権限と役割を示します。

必要な権限

次の表に、各メソッドを呼び出すために呼び出し元が持っている必要のある権限のリストを示します。

メソッド 必要な権限
billingAccounts.create 請求先サブアカウントを作成する場合、呼び出し側にはサブアカウントのマスター請求先アカウントに関する billing.accounts.update が必要です。
billingAccounts.get 請求先アカウントに関する billing.accounts.get
billingAccounts.list なし。このメソッドは、呼び出し元がアクセス権を持っているすべてのアカウントを返します。
billingAccounts.getIamPolicy 請求先アカウントに関する billing.accounts.getIamPolicy
billingAccounts.setIamPolicy 請求先アカウントに関する billing.accounts.setIamPolicy
billingAccounts.testIamPermissions なし。このメソッドは、呼び出し側が請求先アカウントに関して所有する権限を判定するために使用されます。
billingAccounts.patch 請求先アカウントに関する billing.accounts.update
billingAccounts.projects.list 請求先アカウントに関する billing.resourceAssociations.list
projects.getBillingInfo プロジェクトに関する resourcemanager.projects.get
詳しくは、プロジェクトのアクセス制御をご覧ください。
projects.updateBillingInfo 請求先アカウントに関する billing.resourceAssociations.createresourcemanager.projects.createBillingAssignment

役割

ユーザーには権限を直接付与するのではなく、役割を割り当てます。役割には、1 つ以上の権限が組み込まれています。

同じリソースに 1 つ以上の役割を付与できます。

次の表に、Billing API へのアクセス権を付与できる役割、この役割が行う操作の説明、この役割に組み込まれている権限を示します。

役割 含まれている権限 リソースタイプ
roles/billing.projectManager
resourcemanager.projects.createBillingAssignment
組織にのみ適用されます。組織について詳しくは、組織の作成と管理をご覧ください。また、現在の認証済みユーザーにはプロジェクトと請求先アカウントの両方に関する権限が必要です。権限について詳しくは、Google Cloud Platform での権限の構成をご覧ください。
組織
resourcemanager.projects.deleteBillingAssignment
組織にのみ適用されます。組織について詳しくは、組織の作成と管理をご覧ください。現在の認証済みユーザーには、プロジェクトと請求先アカウントの両方に関する権限が必要です。権限について詳しくは、Google Cloud Platform での権限の構成をご覧ください。
組織
roles/billing.viewer
billing.accounts.get 請求先アカウント
billing.accounts.getIamPolicy 請求先アカウント
billing.accounts.getPaymentInfo 請求先アカウント
billing.accounts.getSpendingInformation 請求先アカウント
billing.accounts.getUsageExportSpec 請求先アカウント
billing.accounts.list 請求先アカウント
billing.budgets.get 請求先アカウント
billing.budgets.list 請求先アカウント
billing.credits.list 請求先アカウント
billing.resourceAssociations.list 請求先アカウント
billing.subscriptions.get 請求先アカウント
billing.subscriptions.list 請求先アカウント
roles/billing.user
プロジェクト マネージャーと閲覧者の上記のすべての権限と次の権限:
billing.accounts.redeemPromotion 請求先アカウント
billing.resourceAssociations.create 請求先アカウント
roles/billing.admin
プロジェクト マネージャー、閲覧者、およびユーザーの上記のすべての権限と次の権限:
billing.accounts.close 請求先アカウント
billing.accounts.manageBillableUsageExport 請求先アカウント
billing.accounts.move 請求先アカウント
billing.accounts.removeFromOrganization 請求先アカウント
billing.accounts.reopen 請求先アカウント
billing.accounts.setIamPolicy 請求先アカウント
billing.accounts.update 請求先アカウント
billing.accounts.updatePaymentInfo 請求先アカウント
billing.accounts.updateUsageExportSpec 請求先アカウント
billing.budgets.create 請求先アカウント
billing.budgets.delete 請求先アカウント
billing.budgets.update 請求先アカウント
billing.projectAssociations.create
組織にのみ適用されます。組織について詳しくは、組織の作成と管理をご覧ください。また、現在の認証済みユーザーにはプロジェクトと請求先アカウントの両方に関する権限が必要です。権限について詳しくは、Google Cloud Platform での権限の構成をご覧ください。
組織
billing.projectAssociations.delete
組織にのみ適用されます。組織について詳しくは、組織の作成と管理をご覧ください。現在の認証済みユーザーには、プロジェクトと請求先アカウントの両方に関する権限が必要です。権限について詳しくは、Google Cloud Platform での権限の構成をご覧ください。
組織
billing.resourceAssociations.delete 請求先アカウント
cloudnotifications.activities.list
Cloud Notifications に適用されます。詳しくは、メールとモバイル通知の説明をご覧ください。
請求先アカウント
logging.logEntries.list
Stackdriver Logging に適用されます。詳しくは、Stackdriver のアクセス制御をご覧ください。
請求先アカウント
logging.logs.list
Stackdriver Logging に適用されます。詳しくは、Stackdriver のアクセス制御をご覧ください。
請求先アカウント

役割 roles/billing.userroles/billing.projectManagerroles/billing.admin には、他の Google Cloud Platform サービスのための許可が含まれていることに注意してください。

関連トピック

このページは役立ちましたか?評価をお願いいたします。