Zugriffssteuerung und Berechtigungen für Cloud Billing

In diesem Dokument werden Rollen und Zugriffsberechtigungen für Cloud-Rechnungskonten beschrieben.

Ein Cloud-Rechnungskonto wird in Google Cloud eingerichtet und erfasst und berechnet die Kosten für die Nutzung von Ressourcen und Diensten in Google Cloud, Google Maps Platform, Firebase und Google AI Studio. Im Cloud-Rechnungskonto ist festgelegt, wer die Nutzungskosten bezahlt. Anschließend werden die Kosten an ein verknüpftes Google-Zahlungskonto weitergeleitet, um Ihre Rechnung zu bezahlen.

Zugriffsberechtigungen für Cloud Billing und Zahlungen mit Google werden auf zwei verschiedenen Systemen konfiguriert, je nachdem, welche Art von Zugriff Sie bereitstellen möchten.

  • Mit Cloud Billing -IAM-Rollen können Sie festlegen, welche Nutzer administrative Berechtigungen und Berechtigungen zum Aufrufen von Kosten für bestimmte Ressourcen haben. Dazu legen Sie IAM-Richtlinien (Identity and Access Management) für die Ressourcen fest. Bestimmte Cloud-Rechnungskonten Berechtigungen gewähren auch Zugriff auf das zugehörige Google-Zahlungsprofil der Organisation, um Zahlungsdetails aufzurufen, Zahlungsarten und Zahlungsprofileinstellungen zu bearbeiten und manuelle Zahlungen vorzunehmen.
  • Im Google-Zahlungscenter können Sie Nutzer jedem von Ihnen verwalteten Google-Zahlungen-Organisationsprofil hinzufügen und Ihren Nutzern des Zahlungsprofils unterschiedliche Zugriffsebenen zuweisen, je nachdem, was diese zu tun haben. Sie können auch E-Mail-Einstellungen für Nutzer konfigurieren, sodass diese Abrechnungs- und Zahlungs- E-Mails erhalten.
Cloud Billing-Berechtigungen Einstellungen und Berechtigungen für Zahlungen mit Google
Die Zugriffsberechtigungen für ein Cloud-Rechnungskonto werden mit IAM-Rollen verwaltet. Bestimmte Berechtigungen für Cloud-Rechnungskonto gewähren auch Zugriff auf das zugehörige Google-Zahlungsprofil um Zahlungsdetails aufzurufen, Zahlungsarten und Zahlungsprofileinstellungen zu bearbeiten und eine manuelle Zahlung vorzunehmen. Berechtigungen für Rechnungskonten können so konfiguriert werden, dass Nutzer die folgenden Aufgaben ausführen können:
  • Ein Cloud-Rechnungskonto öffnen, schließen und ändern.
  • Berichte und Kostendaten aufrufen.
  • Zahlungsdetails und ‑dokumente (z. B. Rechnungen und Kontoauszüge) aufrufen.
  • Zahlungsmethoden hinzufügen und bearbeiten (aber nicht entfernen).
  • Zahlungsprofil- und Kontoeinstellungen bearbeiten.
  • Eine manuelle Zahlung vornehmen.
  • Rabatte für zugesicherte Nutzung analysieren und kaufen.
  • Export von Abrechnungsdaten aktivieren und verwalten.
  • Budgets und Benachrichtigungen konfigurieren.
  • Abrechnung pro Projekt verwalten.
  • Nutzerberechtigungen für die Abrechnung verwalten.
  • Abrechnungssupport kontaktieren
 Die Zugriffsberechtigungen für ein Google-Zahlungsprofil werden in den Google-Zahlungseinstellungen verwaltet. Google-Zahlungsberechtigungen können so konfiguriert werden, dass Nutzer Folgendes tun können:
  • Informationen zum Zahlungsprofil aktualisieren, einschließlich Postanschriften.
  • Zahlungsmethoden hinzufügen, bearbeiten und entfernen.
  • Die primären und Backup-Zahlungsmethoden aktualisieren, die jedem Zahlungskonto zugewiesen sind.
  • Zahlungsnutzer verwalten, einschließlich Kontaktdetails, E-Mail-Einstellungen und Nutzerberechtigungen.

Mit Google-Zahlungsberechtigungen können Nutzer direkt im Google-Zahlungscenter auf Zahlungsprofile und ‑konten zugreifen und diese verwalten, ohne separate Berechtigungen für das Cloud-Rechnungskonto zu benötigen.

Wenn Nutzer ihr Zahlungsprofil und ihre Zahlungskonten vollständig über die Cloud Billing-Konsole verwalten möchten, benötigen sie Cloud Billing-Berechtigungen und Google-Zahlungsberechtigungen. Ein Nutzer mit der Rolle „Rechnungskontobetrachter“ für das Cloud-Rechnungskonto und der Rolle „ Administrator“ mit allen Berechtigungen für das zugehörige Google-Zahlungsprofil kann beispielsweise das Google-Zahlungsprofil und die Konten direkt über die Cloud Billing-Konsole vollständig verwalten.

Zugriff auf Cloud Billing

Um den Zugriff auf Cloud Billing zu gewähren oder zu beschränken, können Sie eine IAM-Richtlinie auf Organisationsebene, Cloud-Rechnungskontoebene oder Projektebene festlegen. Google Cloud Ressourcen übernehmen die IAM-Richtlinien ihres übergeordneten Knotens. Das bedeutet, dass Sie eine Richtlinie auf Organisationsebene festlegen können, um sie auf alle Cloud-Rechnungskonten, Projekte und Ressourcen in der Organisation anzuwenden.

Sie haben die Möglichkeit, Anzeigeberechtigungen auf verschiedenen Ebenen für unterschiedliche Nutzer oder Rollen zu steuern. Dazu legen Sie Zugriffsberechtigungen auf Cloud-Rechnungskonto- oder Projektebene fest.

Wenn Sie einem Nutzer die Berechtigung erteilen möchten, die Kosten aller Projekte in einem Cloud-Rechnungskonto aufzurufen, weisen Sie ihm Berechtigungen zum Aufrufen der Kosten für ein Cloud-Rechnungskonto (billing.accounts.getSpendingInformation) zu. Wenn Sie einem Nutzer die Berechtigung zum Aufrufen der Kosten für ein bestimmtes Projekt erteilen möchten, weisen Sie ihm Berechtigungen zum Aufrufen einzelner Projekte (billing.resourceCosts.get) zu.

Übersicht über Cloud Billing-Rollen in IAM

Sie erteilen den Nutzern die Berechtigungen nicht direkt, sondern Sie weisen ihnen Rollen zu, die eine oder mehrere Berechtigungen enthalten.

Sie können einem Nutzer oder für eine Ressource eine oder mehrere Rollen zuweisen.

Mit den folgenden vordefinierten Cloud IAM-Rollen für Cloud Billing können Sie über die Zugriffssteuerung eine Aufgabentrennung vornehmen:

Rolle Zweck Stufe Anwendungsfall
Rechnungskonto-Ersteller
(roles/billing.creator)		 Neue Online-Selfservice-Rechnungskonten erstellen Organisation Verwenden Sie diese Rolle für die anfängliche Abrechnungseinrichtung. Diese Rolle ermöglicht auch das Anlegen zusätzlicher Rechnungskonten.
Nutzer benötigen diese Rolle, um sich in mit einer Kreditkarte ihres Unternehmens registrieren zu können. Google Cloud
Tipp: Diese Rolle sollte nur ausgewählten Nutzern zugewiesen werden, um zu vermeiden, dass nicht verfolgte Cloud-Ausgaben in Ihrer Organisation überhandnehmen.
Rechnungskontoadministrator
(roles/billing.admin) 		Rechnungskonten verwalten (aber nicht erstellen) Organisation oder Rechnungskonto Das ist eine Inhaberrolle für ein Rechnungskonto. Administratoren können Zahlungsmethoden hinzufügen und bearbeiten, Informationen zum Zahlungsprofil aktualisieren, einschließlich Postanschriften, Abrechnungsexporte konfigurieren, Kosteninformationen aufrufen, eine manuelle Zahlung vornehmen, Projekte verknüpfen und die Verknüpfung aufheben sowie andere Nutzerrollen für das Rechnungskonto verwalten. Standardmäßig ist die Person, die das Cloud-Rechnungskonto erstellt, ein Rechnungskontoadministrator für das Cloud-Rechnungskonto.
Kostenmanager für Rechnungskonten
(roles/billing.costsManager)		 Budgets verwalten und Kosteninformationen von Rechnungskonten (aber keine Preisinformationen) aufrufen und exportieren. Organisation oder Rechnungskonto Budgets erstellen, bearbeiten und löschen, Kosteninformationen und Transaktionen im Rechnungskonto aufrufen und den Export von Abrechnungskostendaten in BigQuery verwalten. Gewährt nicht das Recht, Preisdaten zu exportieren oder benutzerdefinierte Preise auf der Seite Preise aufzurufen. Ermöglicht nicht das Verknüpfen oder Aufheben der Verknüpfung von Projekten oder die anderweitige Verwaltung der Eigenschaften des Rechnungskontos.
Rechnungskontobetrachter
(roles/billing.viewer)		 Kontoinformationen und Transaktionen im Rechnungskonto aufrufen Organisation oder Rechnungskonto Der Zugriff als Rechnungskontobetrachter wird in der Regel Finanzteams gewährt. Er bietet Lesezugriff auf Kosten- und Zahlungsinformationen, gewährt aber nicht das Recht, Projekte zu verknüpfen oder die Verknüpfung aufzuheben oder die Eigenschaften des Rechnungskontos anderweitig zu verwalten.
Kostenmanager für die Projektabrechnung
(roles/billing.projectCostsManager)		 Kosteninformationen im Rechnungskonto aufrufen, die auf Projekte beschränkt sind. Organisation oder Rechnungskonto Wenn die Rolle „Kostenmanager für die Projektabrechnung“ in Verbindung mit Berechtigungen zum Aufrufen von Kosten für Projekte, gewährt wird, bietet sie Zugriff auf Abrechnungsinformationen, die auf die Projekte beschränkt sind, für die der Nutzer Zugriff auf die Kosten hat. Zu den Abrechnungsinformationen, die auf Projekte beschränkt sind , gehören der Zugriff auf Berichte, FinOps-Hub, Budgets und Benachrichtigungen sowie Anomalien.
Rechnungskontonutzer
(roles/billing.user)		 Projekte mit Rechnungskonten verknüpfen Organisation oder Rechnungskonto Die Berechtigungen dieser Rolle sind stark eingeschränkt, sodass eine umfassende Erteilung möglich ist. Wenn die Rolle „Billing Account User“ in Kombination mit der Rolle „Projektersteller gewährt wird, können Nutzer neue Projekte erstellen, die mit dem Rechnungskonto verknüpft sind, für das die Rolle „Billing Account User“ gewährt wurde. Wenn die Rolle „Billing Account User“ in Kombination mit der Rolle „Projektabrechnung-Administrator“ gewährt wird, können Nutzer Projekte für das Rechnungskonto verknüpfen und die Verknüpfung aufheben, für das die Rolle „Rechnungskontonutzer“ gewährt wurde.
Project Billing Manager
(roles/billing.projectManager) 		Das Projekt mit einem Rechnungskonto verknüpfen und die Verknüpfung aufheben. Organisation, Ordner oder Projekt. Wenn die Rolle „Projektabrechnung-Administrator“ in Kombination mit der Rolle „Rechnungskontonutzer“ gewährt wird, können Nutzer das Projekt mit dem Rechnungskonto verknüpfen, erhalten aber keine Rechte für Ressourcen. Projektinhaber können mit dieser Rolle anderen Nutzern die Verwaltung der Abrechnung für das Projekt ermöglichen, ohne ihnen Zugriff auf Ressourcen zu gewähren.

Die folgende Tabelle enthält die Details der vordefinierten Cloud IAM-Abrechnungsrollen, einschließlich der Berechtigungen, die zu den einzelnen Rollen gehören.

Role Permissions

(roles/billing.admin)

Provides access to see and manage all aspects of billing accounts.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.close

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.getIamPolicy

billing.accounts.getPaymentInfo

billing.accounts.getPricing

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.accounts.move

billing.accounts.redeemPromotion

billing.accounts.removeFromOrganization

billing.accounts.reopen

billing.accounts.setIamPolicy

billing.accounts.update

billing.accounts.updatePaymentInfo

billing.accounts.updateUsageExportSpec

billing.anomalies.*

  • billing.anomalies.get
  • billing.anomalies.list
  • billing.anomalies.submitFeedback

billing.anomaliesConfigs.*

  • billing.anomaliesConfigs.get
  • billing.anomaliesConfigs.update

billing.billingAccountPrice.get

billing.billingAccountPrices.list

billing.billingAccountServices.*

  • billing.billingAccountServices.get
  • billing.billingAccountServices.list

billing.billingAccountSkuGroupSkus.*

  • billing.billingAccountSkuGroupSkus.get
  • billing.billingAccountSkuGroupSkus.list

billing.billingAccountSkuGroups.*

  • billing.billingAccountSkuGroups.get
  • billing.billingAccountSkuGroups.list

billing.billingAccountSkus.*

  • billing.billingAccountSkus.get
  • billing.billingAccountSkus.list

billing.budgets.*

  • billing.budgets.create
  • billing.budgets.delete
  • billing.budgets.get
  • billing.budgets.list
  • billing.budgets.update

billing.credits.list

billing.finOpsBenchmarkInformation.get

billing.finOpsHealthInformation.get

billing.resourceAssociations.*

  • billing.resourceAssociations.create
  • billing.resourceAssociations.delete
  • billing.resourceAssociations.list

billing.subscriptions.*

  • billing.subscriptions.create
  • billing.subscriptions.get
  • billing.subscriptions.list
  • billing.subscriptions.update

chroniclesm.contracts.*

  • chroniclesm.contracts.get
  • chroniclesm.contracts.update

cloudasset.assets.searchAllResources

cloudnotifications.activities.list

cloudsupport.properties.get

cloudsupport.techCases.*

  • cloudsupport.techCases.create
  • cloudsupport.techCases.escalate
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • cloudsupport.techCases.update

commerceoffercatalog.*

  • commerceoffercatalog.agreements.get
  • commerceoffercatalog.agreements.list
  • commerceoffercatalog.documents.get
  • commerceoffercatalog.documents.list
  • commerceoffercatalog.offers.get

compute.commitments.create

compute.commitments.get

compute.commitments.list

compute.commitments.update

compute.commitments.updateReservations

consumerprocurement.accounts.*

  • consumerprocurement.accounts.create
  • consumerprocurement.accounts.delete
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.grant

consumerprocurement.consents.list

consumerprocurement.consents.revoke

consumerprocurement.events.*

  • consumerprocurement.events.get
  • consumerprocurement.events.list

consumerprocurement.licensePools.*

  • consumerprocurement.licensePools.assign
  • consumerprocurement.licensePools.enumerateLicensedUsers
  • consumerprocurement.licensePools.get
  • consumerprocurement.licensePools.unassign
  • consumerprocurement.licensePools.update

consumerprocurement.orderAttributions.*

  • consumerprocurement.orderAttributions.get
  • consumerprocurement.orderAttributions.list
  • consumerprocurement.orderAttributions.update

consumerprocurement.orders.*

  • consumerprocurement.orders.cancel
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • consumerprocurement.orders.modify
  • consumerprocurement.orders.place

dataprocessing.datasources.get

dataprocessing.datasources.list

dataprocessing.groupcontrols.get

dataprocessing.groupcontrols.list

discoveryengine.billingAccountLicenseConfigs.*

  • discoveryengine.billingAccountLicenseConfigs.distribute
  • discoveryengine.billingAccountLicenseConfigs.get
  • discoveryengine.billingAccountLicenseConfigs.list
  • discoveryengine.billingAccountLicenseConfigs.retract

logging.logEntries.list

logging.logServiceIndexes.list

logging.logServices.list

logging.logs.list

logging.privateLogEntries.list

recommender.cloudsqlIdleInstanceRecommendations.get

recommender.cloudsqlIdleInstanceRecommendations.list

recommender.cloudsqlOverprovisionedInstanceRecommendations.get

recommender.cloudsqlOverprovisionedInstanceRecommendations.list

recommender.commitmentUtilizationInsights.*

  • recommender.commitmentUtilizationInsights.get
  • recommender.commitmentUtilizationInsights.list
  • recommender.commitmentUtilizationInsights.update

recommender.computeAddressIdleResourceRecommendations.get

recommender.computeAddressIdleResourceRecommendations.list

recommender.computeDiskIdleResourceRecommendations.get

recommender.computeDiskIdleResourceRecommendations.list

recommender.computeImageIdleResourceRecommendations.get

recommender.computeImageIdleResourceRecommendations.list

recommender.computeInstanceGroupManagerMachineTypeRecommendations.get

recommender.computeInstanceGroupManagerMachineTypeRecommendations.list

recommender.computeInstanceIdleResourceRecommendations.get

recommender.computeInstanceIdleResourceRecommendations.list

recommender.computeInstanceMachineTypeRecommendations.get

recommender.computeInstanceMachineTypeRecommendations.list

recommender.costInsights.*

  • recommender.costInsights.get
  • recommender.costInsights.list
  • recommender.costInsights.update

recommender.costRecommendations.*

  • recommender.costRecommendations.listAll
  • recommender.costRecommendations.summarizeAll

recommender.resourcemanagerProjectUtilizationRecommendations.get

recommender.resourcemanagerProjectUtilizationRecommendations.list

recommender.spendBasedCommitmentInsights.*

  • recommender.spendBasedCommitmentInsights.get
  • recommender.spendBasedCommitmentInsights.list
  • recommender.spendBasedCommitmentInsights.update

recommender.spendBasedCommitmentRecommendations.*

  • recommender.spendBasedCommitmentRecommendations.get
  • recommender.spendBasedCommitmentRecommendations.list
  • recommender.spendBasedCommitmentRecommendations.update

recommender.spendBasedCommitmentRecommenderConfig.*

  • recommender.spendBasedCommitmentRecommenderConfig.get
  • recommender.spendBasedCommitmentRecommenderConfig.update

recommender.usageCommitmentRecommendations.*

  • recommender.usageCommitmentRecommendations.get
  • recommender.usageCommitmentRecommendations.list
  • recommender.usageCommitmentRecommendations.update

resourcemanager.projects.createBillingAssignment

resourcemanager.projects.deleteBillingAssignment

resourcemanager.projects.get

resourcemanager.projects.list

(roles/billing.projectManager)

When granted in conjunction with the Billing Account User role, provides access to assign a project's billing account or disable its billing.

Lowest-level resources where you can grant this role:

  • Project

resourcemanager.projects.createBillingAssignment

resourcemanager.projects.deleteBillingAssignment

(roles/billing.viewer)

View billing account cost and pricing information, transactions, and billing and commitment recommendations.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.getIamPolicy

billing.accounts.getPaymentInfo

billing.accounts.getPricing

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.anomalies.get

billing.anomalies.list

billing.anomaliesConfigs.get

billing.billingAccountPrice.get

billing.billingAccountPrices.list

billing.billingAccountServices.*

  • billing.billingAccountServices.get
  • billing.billingAccountServices.list

billing.billingAccountSkuGroupSkus.*

  • billing.billingAccountSkuGroupSkus.get
  • billing.billingAccountSkuGroupSkus.list

billing.billingAccountSkuGroups.*

  • billing.billingAccountSkuGroups.get
  • billing.billingAccountSkuGroups.list

billing.billingAccountSkus.*

  • billing.billingAccountSkus.get
  • billing.billingAccountSkus.list

billing.budgets.get

billing.budgets.list

billing.credits.list

billing.finOpsBenchmarkInformation.get

billing.finOpsHealthInformation.get

billing.resourceAssociations.list

billing.subscriptions.get

billing.subscriptions.list

chroniclesm.contracts.get

commerceoffercatalog.*

  • commerceoffercatalog.agreements.get
  • commerceoffercatalog.agreements.list
  • commerceoffercatalog.documents.get
  • commerceoffercatalog.documents.list
  • commerceoffercatalog.offers.get

consumerprocurement.accounts.get

consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.list

consumerprocurement.orderAttributions.get

consumerprocurement.orderAttributions.list

consumerprocurement.orders.get

consumerprocurement.orders.list

dataprocessing.datasources.get

dataprocessing.datasources.list

dataprocessing.groupcontrols.get

dataprocessing.groupcontrols.list

discoveryengine.billingAccountLicenseConfigs.get

discoveryengine.billingAccountLicenseConfigs.list

recommender.commitmentUtilizationInsights.get

recommender.commitmentUtilizationInsights.list

recommender.costInsights.get

recommender.costInsights.list

recommender.costRecommendations.*

  • recommender.costRecommendations.listAll
  • recommender.costRecommendations.summarizeAll

recommender.spendBasedCommitmentInsights.get

recommender.spendBasedCommitmentInsights.list

recommender.spendBasedCommitmentRecommendations.get

recommender.spendBasedCommitmentRecommendations.list

recommender.spendBasedCommitmentRecommenderConfig.get

recommender.usageCommitmentRecommendations.get

recommender.usageCommitmentRecommendations.list

(roles/billing.carbonViewer)

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.list

(roles/billing.costsManager)

Manage budgets for a billing account, and view, analyze, and export cost information of a billing account.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.accounts.updateUsageExportSpec

billing.anomalies.get

billing.anomalies.list

billing.anomaliesConfigs.*

  • billing.anomaliesConfigs.get
  • billing.anomaliesConfigs.update

billing.budgets.*

  • billing.budgets.create
  • billing.budgets.delete
  • billing.budgets.get
  • billing.budgets.list
  • billing.budgets.update

billing.resourceAssociations.list

recommender.costInsights.*

  • recommender.costInsights.get
  • recommender.costInsights.list
  • recommender.costInsights.update

(roles/billing.creator)

Provides access to create billing accounts.

Lowest-level resources where you can grant this role:

  • Organization

billing.accounts.create

resourcemanager.organizations.get

(roles/billing.linkAdmin)

Authorized to manage billing account hierarchy

billing.accounts.create

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.getIamPolicy

billing.accounts.getPaymentInfo

billing.accounts.getPricing

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.accounts.move

billing.accounts.removeFromOrganization

billing.anomalies.get

billing.anomalies.list

billing.anomaliesConfigs.get

billing.billingAccountPrice.get

billing.billingAccountPrices.list

billing.billingAccountServices.*

  • billing.billingAccountServices.get
  • billing.billingAccountServices.list

billing.billingAccountSkuGroupSkus.*

  • billing.billingAccountSkuGroupSkus.get
  • billing.billingAccountSkuGroupSkus.list

billing.billingAccountSkuGroups.*

  • billing.billingAccountSkuGroups.get
  • billing.billingAccountSkuGroups.list

billing.billingAccountSkus.*

  • billing.billingAccountSkus.get
  • billing.billingAccountSkus.list

billing.budgets.get

billing.budgets.list

billing.credits.list

billing.finOpsBenchmarkInformation.get

billing.finOpsHealthInformation.get

billing.resourceAssociations.list

billing.subscriptions.get

billing.subscriptions.list

commerceoffercatalog.*

  • commerceoffercatalog.agreements.get
  • commerceoffercatalog.agreements.list
  • commerceoffercatalog.documents.get
  • commerceoffercatalog.documents.list
  • commerceoffercatalog.offers.get

consumerprocurement.accounts.get

consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.list

consumerprocurement.orderAttributions.get

consumerprocurement.orderAttributions.list

consumerprocurement.orders.get

consumerprocurement.orders.list

dataprocessing.datasources.get

dataprocessing.datasources.list

dataprocessing.groupcontrols.get

dataprocessing.groupcontrols.list

recommender.commitmentUtilizationInsights.get

recommender.commitmentUtilizationInsights.list

recommender.costInsights.get

recommender.costInsights.list

recommender.costRecommendations.*

  • recommender.costRecommendations.listAll
  • recommender.costRecommendations.summarizeAll

recommender.spendBasedCommitmentInsights.get

recommender.spendBasedCommitmentInsights.list

recommender.spendBasedCommitmentRecommendations.get

recommender.spendBasedCommitmentRecommendations.list

recommender.spendBasedCommitmentRecommenderConfig.get

recommender.usageCommitmentRecommendations.get

recommender.usageCommitmentRecommendations.list

(roles/billing.projectCostsManager)

When granted in conjunction with cost view permissions on projects, provides access to billing information scoped to the projects to which the user has cost access.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.getSpendingInformationScoped

billing.costRecommendations.listScoped

(roles/billing.user)

When granted in conjunction with the Project Owner role or Project Billing Manager role, provides access to associate projects with billing accounts.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.list

billing.accounts.redeemPromotion

billing.credits.list

billing.resourceAssociations.create

IAM-Beziehungen zwischen Organisationen, Projekten, Cloud-Rechnungskonten und Google-Zahlungsprofilen

Die Interaktion zwischen Organisationen, Cloud-Rechnungskonten und Projekten wird durch zwei Arten von Beziehungen geregelt: Inhaberschaft und Zahlungsverknüpfung

  • Inhaber bezieht sich auf die Übernahme von Cloud IAM-Berechtigungen.
  • Zahlungsverknüpfungen legen fest, über welches Cloud-Rechnungskonto die Kosten für ein bestimmtes Projekt bezahlt werden.

Das folgende Diagramm zeigt die Beziehung zwischen Inhaber ("Ownership") und Zahlungsverknüpfungen ("Payment Linkage") für eine Beispielorganisation.

Zeigt, wie sich Projekte auf ein Cloud-Rechnungskonto und ein Google-Zahlungsprofil beziehen. Auf der einen Seite werden Ihre Ressourcen auf Google Cloud-Ebene angezeigt (Cloud-Rechnungskonto und zugehörige Projekte) und auf der anderen Seite, getrennt durch eine gepunktete vertikale Linie, Ihre Ressource auf Google-Ebene (Google-Zahlungsprofil). Ihre Projekte werden über Ihr Cloud-Rechnungskonto bezahlt, das mit Ihrem Google-Zahlungsprofil verknüpft ist.

Im Diagramm ist der Knoten „Organisation“ Inhaber der Projekte 1, 2 und 3 und besitzt somit die übergeordneten Cloud IAM-Berechtigungen für die drei Projekte.

Das Cloud-Rechnungskonto ist mit den Projekten 1, 2 und 3 verknüpft. Es wird zur Abrechnung der für die drei Projekte anfallenden Kosten verwendet. Das Cloud-Rechnungskonto kann auch für Projekte in anderen Organisationen verwendet werden. Das Rechnungskonto übernimmt jedoch IAM-Berechtigungen von seiner übergeordneten Organisation.

Das Cloud-Rechnungskonto ist außerdem mit einem Google-Zahlungsprofil verknüpft, in dem Informationen wie Name, Adresse und Zahlungsmethoden gespeichert werden. Informationen zum Verwalten von Nutzerberechtigungen für Google-Zahlungsprofile .

Auch wenn Cloud-Rechnungskonten mit Projekten verknüpft sind, sind dies keine übergeordneten Elemente von Projekten im Sinne von IAM. Daher übernehmen Projekte keine Berechtigungen von dem Cloud-Rechnungskonto, mit dem sie verknüpft sind.

In diesem Beispiel besitzen alle Nutzer mit IAM-Abrechnungsrollen für die Organisation diese Rollen auch für das Cloud-Rechnungskonto und die Projekte.

Beispiele für die Zugriffssteuerung in Cloud Billing

Sie können Cloud IAM-Rollen so kombinieren, um die Anforderungen unterschiedlichster Szenarien zu erfüllen.

Szenario: Kleines bis mittelständisches Unternehmen (KMU), das eine zentralisierte Steuerung bevorzugt
Nutzertyp IAM-Abrechnungsrollen Abrechnungsaktivitäten
CEO Rechnungskontoadministrator Zahlungsmittel verwalten
Rechnungen aufrufen und genehmigen.
CTO Rechnungskontoadministrator
Projektersteller		 Budgetbenachrichtigungen festlegen
Ausgaben aufrufen.
Neue abzurechnende Projekte erstellen.
Entwicklungsteams Kein
Szenario: Kleines bis mittelständisches Unternehmen (KMU), das Vollmachten bevorzugt
Nutzertyp IAM-Abrechnungsrollen Abrechnungsaktivitäten
CEO Rechnungskontoadministrator Zahlungsmittel verwalten
Zuständigkeiten delegieren.
CFO Rechnungskontoadministrator Budgetbenachrichtigungen festlegen
Ausgaben aufrufen.
Kreditorenbuchhaltung Rechnungskontobetrachter Rechnungen aufrufen und genehmigen
Entwicklungsteams Rechnungskontonutzer
Projektersteller		 Neue abzurechnende Projekte erstellen.
Szenario: Getrennte Finanzplanungs- und Einkaufs funktionen
Nutzertyp IAM-Abrechnungsrollen Abrechnungsaktivitäten
Einkauf oder zentrale IT Rechnungskontoadministrator Zahlungsmittel verwalten
Budgetbenachrichtigungen festlegen.
Ausgaben an Entwicklungsteams übermitteln.
Finanzplanung Rechnungskontobetrachter Abrechnungsberichte aufrufen
Exporte verarbeiten.
Mit CxO kommunizieren.
Kreditorenbuchhaltung Rechnungskontobetrachter Rechnungen genehmigen
Entwicklungsteams Rechnungskontonutzer
Projektersteller		 Neue abzurechnende Projekte erstellen
Szenario: Entwicklungsagentur
Nutzertyp IAM-Abrechnungsrollen Abrechnungsaktivitäten
CEO Rechnungskontoadministrator Zahlungsmittel verwalten
Zuständigkeiten delegieren.
CFO Rechnungskontoadministrator Budgetbenachrichtigungen festlegen
Ausgaben aufrufen.
Rechnungen genehmigen.
Projektleitung Rechnungskontonutzer
Projektersteller		 Neue abzurechnende Projekte erstellen
Projektentwicklungsteam Kein Innerhalb vorhandener Projekte entwickeln
Client Project Billing Manager Nach Abschluss des Projekts Zahlung ausführen

Cloud Billing-Berechtigungen aktualisieren

Wie Sie Cloud Billing-Berechtigungen prüfen, hinzufügen oder entfernen, erfahren Sie unter Zugriff auf Cloud Rechnungs-Konten verwalten.

Überzeugen Sie sich selbst

Wenn Sie noch kein Google Cloud-Konto haben, erstellen Sie ein Konto, um zu sehen, wie sich unsere Produkte in realen Szenarien schlagen. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

Kostenlos starten