Papéis do IAM para funções de jobs relacionadas a faturamento

Este tópico mostra como configurar as permissões do Cloud IAM para um conjunto de cenários de exemplo de faturamento. Nele, você encontra algumas orientações sobre quais papéis do Cloud IAM conceder aos papéis funcionais relacionados ao faturamento da sua empresa para os cenários. Esses exemplos são direcionados principalmente aos administradores de faturamento e funcionários que gerenciam as tarefas de faturamento de uma organização.

Neste documento, não há explicações detalhadas sobre os papéis e permissões de faturamento. Para uma descrição detalhada dos papéis e permissões da API Billing, leia a página Controle de acesso de faturamento.

Como configurar permissões de faturamento em uma empresa pequena.

Neste cenário, uma empresa pequena está tentando configurar e usar as contas de faturamento do Google. Ela tem vários engenheiros que desenvolvem e mantêm seus aplicativos, mas nenhum deles gerencia o faturamento. O administrador do escritório é responsável por realizar a correspondência entre os pagamentos e as faturas, mas, por motivos de conformidade, ele não tem permissão de acesso aos recursos do Cloud Platform nos projetos. O CEO também detém e administra os detalhes de cartões de crédito.

Na tabela abaixo, veja os papéis de faturamento do Cloud IAM que o administrador da organização (que é o CEO neste cenário) pode conceder às outras pessoas da empresa e o nível de recursos no qual os papéis são concedidos.

Papel: Administrador da organização O papel "Administrador da organização" dá ao CEO a capacidade de atribuir permissões ao administrador do escritório.
Recurso: Organização
Membro: CEO
Papel: Administrador da conta de faturamento O papel "Administrador da conta de faturamento" permite que o gerente do escritório e o diretor executivo gerenciem pagamentos e faturas sem conceder a eles a permissão para visualizar o conteúdo do projeto.
Recurso: Organização
Membros: Administrador do escritório, CEO

A política do Cloud IAM, vinculada ao recurso da organização para esse cenário, será semelhante a esta:

{
  "bindings": [
  {
    "members": [
      "user:ceo@example.com"
    ],
    "role": "roles/resourcemanager.organizationAdmin"
  },
  {
    "members": [
      "group:finance-admins-group@example.com"
    ],
    "role": "roles/billing.admin"
  }
  ]
}

A prática recomendada é usar grupos para gerenciar membros. Para a segunda vinculação do exemplo acima, o CEO e o administrador do escritório seriam adicionados ao finance-admins-group.finance-admins-group. Quando é necessário modificar quem pode executar cada papel, basta ajustar a associação ao grupo. Ou seja, não é preciso atualizar a política. Portanto, as duas contas de usuário individuais não aparecem na lista de membros.

Equipe financeira administrando orçamentos

Neste cenário, uma grande empresa quer que a equipe financeira de cada divisão defina orçamentos e veja as despesas da equipe da divisão, mas não tenha acesso aos recursos do GCP. Os desenvolvedores podem ver as despesas dos próprios projetos, mas não podem ter uma visão ampla das despesas.

Conceda os papéis na tabela abaixo ao gerente financeiro de cada divisão e aos desenvolvedores:

Papel: Administrador da conta de faturamento Esse papel concede ao gerente financeiro de cada divisão a permissão para definir orçamentos e ver as despesas das contas de faturamentos das divisões, mas sem as permissões para ver o conteúdo do projeto.
Recurso: Conta de faturamento
Membros: Gerente financeiro de cada divisão
Papel: Visualizador O papel "Visualizador" permite que os desenvolvedores vejam as despesas dos próprios projetos.
Recurso: Projeto
Membros: Desenvolvedores do projeto

Para este cenário, você precisará de duas ações separadas para atribuir as políticas de permissões de Cloud IAM apropriadas, já que elas estão anexadas em níveis diferentes da hierarquia.

Atribuir permissões à conta de faturamento:

Use o console de faturamento para conceder a um usuário o papel "Administrador da conta de faturamento" na conta. Na conta que configurou a de faturamento, conceda ao gerente financeiro o papel "Administrador da conta de faturamento" na conta.

A política do Cloud IAM que precisa ser anexada ao projeto será semelhante à seguinte:

{
  "bindings": [
  {
     "role": "roles/viewer",
     "members": [
               "group:developers@example.com"
     ]
  }
  ]
}

Em um portal de autoatendimento de clientes, os desenvolvedores não podem ajustar o faturamento

Nesse cenário, a equipe central de TI de um cliente fornece recursos do GCP para seus desenvolvedores como parte de seu portal de autoatendimento. Os desenvolvedores solicitam acesso a projetos do GCP e outros serviços em nuvem aprovados por meio do portal. O centro de custo do desenvolvedor paga a equipe de TI central pelos recursos da nuvem consumidos.

A equipe de TI central precisa:

  • associar projetos a contas de faturamento;
  • desativar o faturamento de projetos;
  • ver informações de cartões de crédito.

Os membros da equipe não podem ter permissão para ver o conteúdo do projeto.

Os desenvolvedores devem poder visualizar os custos reais dos recursos do GCP que estão sendo consumidos, mas não devem ser capazes de desativar o faturamento, associar o faturamento a projetos e visualizar as informações do cartão de crédito.

Papel: Administrador da conta de faturamento O papel "Administrador da conta de faturamento" concede ao departamento de TI as permissões para associar projetos a contas de faturamento, desativar o faturamento dos projetos e ver informações de cartões de crédito das contas que revendem para os clientes.

Ele não dá permissões para ver o conteúdo dos projetos.

Recurso: Conta de faturamento
Membro: Departamento de TI
Papel: Usuário da conta de faturamento O papel "Usuário da conta de faturamento" concede à conta de serviço as permissões para ativar o faturamento, ou seja, associar projetos à conta de faturamento da organização a todos os projetos da organização e permitir que a conta de serviço ative APIs que exigem o faturamento ativado.
Recurso: Organização
Membro: Conta de serviço que é usada para automatizar a criação de projetos.
Papel: Visualizador O papel "Visualizador" permite que os desenvolvedores vejam as despesas dos próprios projetos.
Recurso: Projeto
Membros: Desenvolvedores do projeto

Para este cenário, você precisará de duas operações separadas para atribuir as políticas de Cloud IAM apropriadas, já que elas estão anexadas em níveis diferentes da hierarquia.

Use o console de faturamento para conceder a um usuário o papel "Administrador da conta de faturamento" na conta. Na conta que configurou a de faturamento, conceda ao gerente financeiro o papel "Administrador da conta de faturamento" na conta.

Em seguida, duas políticas de Cloud IAM separadas são necessárias, porque você as está anexando em níveis separados da hierarquia.

A primeira política do Cloud IAM que precisa ser anexada no nível da organização é conceder à conta de serviço o papel "Usuário da conta de faturamento." Ele será semelhante a este:

{
  "bindings": [
  {
     "role": "roles/billing.user",
     "members": [
       "serviceAccount:my-project-creator@shared-resources-proj.iam.gserviceaccount.com"
     ]
  }
  ]
}

A segunda política do Cloud IAM precisa ser anexada no nível do projeto. Conceda aos desenvolvedores o papel "Visualizador" no projeto:

{
  "bindings": [
  {
     "role": "roles/viewer",
     "members": [
       "group:developers@example.com"
     ]
  }
  ]
}

Desenvolvedores criando projetos faturados

Uma grande agência digital quer permitir que os desenvolvedores criem projetos faturados na conta da organização, sem que recebam direitos de "Administrador da conta de faturamento."

Um projeto precisa ter o faturamento ativado para garantir que as APIs além do padrão possam ser ativadas. Assim, se um desenvolvedor criar um projeto, ele precisará associá-lo a uma conta de faturamento para ativar as APIs.

Recurso: Projeto O papel "Criador de faturamento" permitirá aos desenvolvedores:
  • criar novas contas de faturamento;
  • anexar as contas de faturamento aos projetos.
Papel: Criador da conta de faturamento
Membros: Desenvolvedores

A política do Cloud IAM para este cenário precisa ser anexada no nível do projeto e será semelhante à seguinte:

{
  "bindings": [
  {
     "role": "roles/billing.creator",
     "members": [
               "group:developers@example.com"
     ]
  }
  ]
}

Agregação de custos

Neste cenário, uma empresa quer calcular e acompanhar o custo de cada equipe, departamento, serviço ou projeto. Por exemplo: acompanhar o custo mensal de uma implantação de teste.

As seguintes práticas podem ser usadas para o acompanhamento:

  • Use projetos para organizar recursos. O custo é mostrado por projeto, e os códigos do projeto estão incluídos na exportação de faturamento.
  • Anote projetos com rótulos que representem informações de agrupamento adicionais. Por exemplo, environment=test.Os rótulos estão incluídos na exportação de faturamento para possibilitar uma análise melhor. No entanto, os rótulos são aprovados da mesma forma que o restante dos metadados do projeto, o que significa que um proprietário pode alterar esses rótulos. Oriente os funcionários sobre o que não mudar e depois monitorar por meio de registros de auditoria ou conceda a eles apenas permissões granulares para que não possam alterar os metadados do projeto.

É possível exportar para JSON e CSV, mas exportar diretamente para o BigQuery é a solução recomendada. Essa configuração pode ser alterada facilmente na seção de exportação de faturamento do console de faturamento.

Se cada centro de custo tiver que pagar uma fatura separada ou pagar em uma moeda diferente para algumas cargas de trabalho, será necessária uma conta de faturamento separada para cada centro de custo. No entanto, essa abordagem requer a assinatura de um contrato de afiliação para cada conta de faturamento.

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Cloud Identity and Access Management