Cloud Billing API 存取權控管

Google Cloud Platform 提供「身分與存取權管理」(IAM) 功能,可讓您以更精細的方式授予其他使用者特定 Google Cloud Platform 資源的存取權限,避免其他資源遭到未經授權者擅自存取。透過這項功能,您就能採取最小許可權的安全性原則,僅授予必要的資源存取權限給其他使用者。

設定身分與存取權管理政策之後,即可控管哪些人 (使用者) 具備何種存取權限 (角色),可以存取哪些資源。身分與存取權管理政策可授予使用者特定角色,讓對方擁有特定權限。

本頁說明適用於 Google Cloud Billing API 的身分與存取權管理 (IAM) 角色。舉例來說,您可以使用 IAM 為帳單帳戶授予管理員、使用者或專案經理等角色。如需 IAM 和其功能的相關詳細說明,請參閱開發人員專用的 Google Cloud 身分與存取權管理指南,其中以授予、變更及撤銷存取權一節最為重要。

權限與角色

如想讓特定使用透過 Google Cloud Platform 主控台查看帳單帳戶詳細資料,或是希望某個 Google Cloud Billing API 方法能傳回帳單帳戶資訊,該名使用者或呼叫方必須具備必要的權限。下表列出了 Google Cloud Billing API 身分與存取權管理所支援的權限和角色。

所需權限

下表列出了呼叫方呼叫每個方法時必須具備的權限:

方法 所需權限
billingAccounts.create 呼叫方必須擁有與子帳戶相連結的主要帳單帳戶的 billing.accounts.update 權限,才能建立帳單子帳戶。
billingAccounts.get 帳單帳戶的 billing.accounts.get 權限。
billingAccounts.list 無。這個方法會傳回呼叫方能夠存取的所有帳戶。
billingAccounts.getIamPolicy 帳單帳戶的 billing.accounts.getIamPolicy 權限。
billingAccounts.setIamPolicy 帳單帳戶的 billing.accounts.setIamPolicy 權限。
billingAccounts.testIamPermissions 無。這個方法可用來判斷呼叫方擁有的帳單帳戶權限。
billingAccounts.patch 帳單帳戶的 billing.accounts.update 權限。
billingAccounts.projects.list 帳單帳戶的 billing.resourceAssociations.list 權限。
projects.getBillingInfo 專案的 resourcemanager.projects.get 權限。
詳情請參閱專案存取權控制的相關說明。
projects.updateBillingInfo 帳單帳戶的 billing.resourceAssociations.createresourcemanager.projects.createBillingAssignment 權限。

角色

您並非直接授予使用者特定權限,而是指派某個「角色」給他們,每個角色可能具備一或多項權限。

針對同一項資源,您可以授予一或多個角色。

下表列出了您可以授予的角色,擁有這些角色的使用者即可存取 Billing API。此外,您也可以透過下表瞭解各個角色的作用和角色具備的權限。

角色 具備的權限: 適用的資源類型:
roles/billing.projectManager
resourcemanager.projects.createBillingAssignment
僅適用於機構。如需機構相關資訊,請參閱建立及管理機構一文。另外請注意,已通過驗證的既有使用者必須同時擁有專案和帳單帳戶的存取權限。如想進一步瞭解權限,您可以參考透過 Google Cloud Platform 設定權限的相關說明。
機構
resourcemanager.projects.deleteBillingAssignment
僅適用於機構。如需機構相關資訊,請參閱建立及管理機構一文。已通過驗證的既有使用者必須擁有專案或帳單帳戶的存取權限。如想進一步瞭解權限,您可以參考透過 Google Cloud Platform 設定權限的相關說明。
機構
roles/billing.viewer
billing.accounts.get 帳單帳戶
billing.accounts.getIamPolicy 帳單帳戶
billing.accounts.getPaymentInfo 帳單帳戶
billing.accounts.getSpendingInformation 帳單帳戶
billing.accounts.getUsageExportSpec 帳單帳戶
billing.accounts.list 帳單帳戶
billing.budgets.get 帳單帳戶
billing.budgets.list 帳單帳戶
billing.credits.list 帳單帳戶
billing.resourceAssociations.list 帳單帳戶
billing.subscriptions.get 帳單帳戶
billing.subscriptions.list 帳單帳戶
roles/billing.user
不僅具備上述的所有「專案經理」與「檢視者」權限,也擁有下列權限:
billing.accounts.redeemPromotion 帳單帳戶
billing.resourceAssociations.create 帳單帳戶
roles/billing.admin
不僅具備上述的所有「專案經理」、「檢視者」與「使用者」權限,也擁有下列權限:
billing.accounts.close 帳單帳戶
billing.accounts.manageBillableUsageExport 帳單帳戶
billing.accounts.move 帳單帳戶
billing.accounts.removeFromOrganization 帳單帳戶
billing.accounts.reopen 帳單帳戶
billing.accounts.setIamPolicy 帳單帳戶
billing.accounts.update 帳單帳戶
billing.accounts.updatePaymentInfo 帳單帳戶
billing.accounts.updateUsageExportSpec 帳單帳戶
billing.budgets.create 帳單帳戶
billing.budgets.delete 帳單帳戶
billing.budgets.update 帳單帳戶
billing.projectAssociations.create
僅適用於機構。如需機構相關資訊,請參閱建立及管理機構一文。另外請注意,已通過驗證的既有使用者必須同時擁有專案和帳單帳戶的存取權限。如想進一步瞭解權限,您可以參考透過 Google Cloud Platform 設定權限的相關說明。
機構
billing.projectAssociations.delete
僅適用於機構。如需機構相關資訊,請參閱建立及管理機構一文。已通過驗證的既有使用者必須擁有專案或帳單帳戶的存取權限。如想進一步瞭解權限,您可以參考透過 Google Cloud Platform 設定權限的相關說明。
機構
billing.resourceAssociations.delete 帳單帳戶
cloudnotifications.activities.list
適用於 Cloud Notifications。詳情請參閱電子郵件與行動通知一文。
帳單帳戶
logging.logEntries.list
適用於 Stackdriver Logging。詳情請參閱 Stackdriver 存取權控管的說明。
帳單帳戶
logging.logs.list
適用於 Stackdriver Logging。詳情請參閱 Stackdriver 的存取權控制相關說明。
帳單帳戶

請注意,roles/billing.userroles/billing.projectManagerroles/billing.admin 也具備其他 Google Cloud Platform 服務的存取權限。

相關主題

本頁內容對您是否有任何幫助?請提供意見: