Toegangsbeheer van Cloud Billing API

Google Cloud Platform beschikt over identiteits- en toegangsbeheer (Identity and Access Management of IAM), zodat u met meer detail toegang kunt verlenen tot specifieke Google Cloud Platform-resources en ongewenste toegang tot andere resources kunt voorkomen. Met IAM kunt u het beveiligingsprincipe van het laagst mogelijke recht toepassen, zodat u alleen de benodigde toegang tot uw resources toekent.

Met IAM kunt u bepalen wie (gebruikers) welke toegang (rollen) heeft tot welke resources door het IAM-beleid in te stellen. Met het IAM-beleid kent u een of meer specifieke rollen toe aan een gebruiker en verleent u deze hiermee bepaalde rechten.

Op deze pagina worden de rollen van Identiteits- en toegangsbeheer (IAM) beschreven die beschikbaar zijn voor de Google Cloud Billing API. U kunt met IAM bijvoorbeeld rollen als Beheerder, Gebruiker en Projectmanager voor een factureringsaccount toekennen. Raadpleeg de ontwikkelaarshandleiding van identiteits- en toegangsbeheer van Google Cloud voor een gedetailleerde beschrijving van IAM en de bijbehorende functies. Bekijk in het bijzonder het gedeelte Toegang verlenen, wijzigen en intrekken.

Rechten en rollen

Als een gebruiker factureringsaccountgegevens in de Google Cloud Platform Console wil bekijken of als met een Google Cloud Billing API-methode factureringsaccountgegevens moeten worden geretourneerd, moet de gebruiker of degene die de methode aanroept over de benodigde rechten beschikken. In de volgende tabellen worden de rechten en rollen vermeld die door het IAM van Google Cloud Billing API worden ondersteund.

Vereiste rechten

In de volgende tabel worden de rechten vermeld die nodig zijn voor het aanroepen van elke methode:

Methode Vereiste recht(en)
billingAccounts.create Bij het maken van een subaccount voor facturering, moet de aanroeper beschikken over billing.accounts.update voor het hoofdfactureringsaccount van het subaccount.
billingAccounts.get billing.accounts.get voor een factureringsaccount.
billingAccounts.list Geen. Met deze methode worden alle accounts geretourneerd waartoe de persoon die de methode aanroept toegang heeft.
billingAccounts.getIamPolicy billing.accounts.getIamPolicy voor een factureringsaccount.
billingAccounts.setIamPolicy billing.accounts.setIamPolicy voor een factureringsaccount.
billingAccounts.testIamPermissions Geen. Deze methode wordt gebruikt om de rechten te bepalen die een aanroeper heeft voor een factureringsaccount.
billingAccounts.patch billing.accounts.update voor een factureringsaccount.
billingAccounts.projects.list billing.resourceAssociations.list voor een factureringsaccount.
projects.getBillingInfo resourcemanager.projects.get voor het project.
Zie Toegangsbeheer voor projecten voor meer informatie.
projects.updateBillingInfo billing.resourceAssociations.create en resourcemanager.projects.createBillingAssignment voor het factureringsaccount.

Rollen

Gebruikers worden door u niet rechtstreeks gemachtigd. U kent aan de gebruikers echter rollen toe, waarin een of meer rechten zijn gebundeld.

U kunt voor dezelfde resource een of meer rollen toekennen.

In de volgende tabel worden de rollen vermeld die u kunt toekennen om toegang te krijgen tot de Billing API, een beschrijving van de functie van de rol en de rechten die in die rol zijn gebundeld.

Rol Omvat recht(en): Voor resourcetype:
roles/billing.projectManager
resourcemanager.projects.createBillingAssignment
Is alleen van toepassing op organisaties. Zie Organisaties maken en beheren voor informatie over organisaties. De huidige geverifieerde gebruiker moet over rechten voor zowel het project als het factureringsaccount beschikken. Zie Rechten configureren voor Google Cloud Platform voor meer informatie over rechten.
Organisatie
resourcemanager.projects.deleteBillingAssignment
Is alleen van toepassing op organisaties. Zie Organisaties maken en beheren voor informatie over organisaties. De huidige geverifieerde gebruiker moet over rechten beschikken voor het project of het factureringsaccount. Zie Rechten configureren voor Google Cloud Platform voor meer informatie over rechten.
Organisatie
roles/billing.viewer
billing.accounts.get Factureringsaccount
billing.accounts.getIamPolicy Factureringsaccount
billing.accounts.getPaymentInfo Factureringsaccount
billing.accounts.getSpendingInformation Factureringsaccount
billing.accounts.getUsageExportSpec Factureringsaccount
billing.accounts.list Factureringsaccount
billing.budgets.get Factureringsaccount
billing.budgets.list Factureringsaccount
billing.credits.list Factureringsaccount
billing.resourceAssociations.list Factureringsaccount
billing.subscriptions.get Factureringsaccount
billing.subscriptions.list Factureringsaccount
roles/billing.user
Alle bovenstaande rechten voor Projectmanager en Gebruiker met leesrechten, evenals:
billing.accounts.redeemPromotion Factureringsaccount
billing.resourceAssociations.create Factureringsaccount
roles/billing.admin
Alle bovenstaande rechten voor Projectmanager, Gebruiker met leesrechten en Gebruiker, evenals:
billing.accounts.close Factureringsaccount
billing.accounts.manageBillableUsageExport Factureringsaccount
billing.accounts.move Factureringsaccount
billing.accounts.removeFromOrganization Factureringsaccount
billing.accounts.reopen Factureringsaccount
billing.accounts.setIamPolicy Factureringsaccount
billing.accounts.update Factureringsaccount
billing.accounts.updatePaymentInfo Factureringsaccount
billing.accounts.updateUsageExportSpec Factureringsaccount
billing.budgets.create Factureringsaccount
billing.budgets.delete Factureringsaccount
billing.budgets.update Factureringsaccount
billing.projectAssociations.create
Is alleen van toepassing op organisaties. Zie Organisaties maken en beheren voor informatie over organisaties. De huidige geverifieerde gebruiker moet over rechten voor zowel het project als het factureringsaccount beschikken. Zie Rechten configureren voor Google Cloud Platform voor meer informatie over rechten.
Organisatie
billing.projectAssociations.delete
Is alleen van toepassing op organisaties. Zie Organisaties maken en beheren voor informatie over organisaties. De huidige geverifieerde gebruiker moet over rechten beschikken voor het project of het factureringsaccount. Zie Rechten configureren voor Google Cloud Platform voor meer informatie over rechten.
Organisatie
billing.resourceAssociations.delete Factureringsaccount
cloudnotifications.activities.list
Van toepassing op cloudmeldingen. Zie E-mailmeldingen en mobiele meldingen voor meer informatie.
Factureringsaccount
logging.logEntries.list
Van toepassing op Stackdriver Logging. Zie Toegangsbeheer van Stackdriver voor meer informatie.
Factureringsaccount
logging.logs.list
Van toepassing op Stackdriver Logging. Zie Toegangsbeheer van Stackdriver voor meer informatie.
Factureringsaccount

De rollen roles/billing.user, roles/billing.projectManager en roles/billing.admin bevatten ook rechten voor andere Google Cloud Platform-services.

Gerelateerde onderwerpen