Control de permisos y acceso de Facturación de Cloud

En este tema, se describen los roles y permisos de acceso para las cuentas de Facturación de Cloud.

Una cuenta de Facturación de Cloud se configura en Google Cloud y se usa para definir quién paga un conjunto determinado de recursos de Google Cloud y APIs de Google Maps Platform. Una cuenta de Facturación de Cloud está conectada a un perfil de pagos de Google. El perfil de pagos de Google incluye un instrumento de pago cuyos costos se cobran.

Los permisos de acceso para la Facturación de Cloud y los pagos de Google se configuran en dos sistemas diferentes según el tipo de acceso que desees proporcionar.

  • Facturación de Cloud te permite controlar qué usuarios tienen permisos administrativos y permisos para ver costos en recursos específicos mediante la configuración de las políticas de Identity and Access Management (IAM) en los recursos.
  • En el centro de pagos de Google, puedes agregar usuarios a cualquier perfil empresarial de pagos de Google que administres y otorgar diferentes niveles de acceso a los usuarios, según lo que deban hacer. También puedes configurar las preferencias de correo electrónico del usuario para recibir correos electrónicos de facturación y pagos.
Permisos de Facturación de Cloud Configuración y permisos de los pagos de Google
Los permisos de acceso a una cuenta de Facturación de Cloud se administran mediante roles de IAM. Los permisos de la cuenta de facturación se pueden configurar para permitir a los usuarios hacer lo siguiente:
  • Abrir, cerrar y modificar una cuenta de Facturación de Cloud
  • Ver informes y datos de costos
  • Ver documentos (como facturas y resúmenes)
  • Analizar los descuentos por compromiso de uso (CUD) y los CUD de compra
  • Habilitar y administrar la exportación de datos de facturación
  • Configurar presupuestos y alertas
  • Administrar la facturación por proyecto
  • Administrar los permisos de usuarios para la facturación
  • Comunicarse con el equipo de asistencia de facturación
Los permisos de acceso a un perfil de pagos mediante Google se administran en Configuración de pagos mediante Google. Se pueden configurar los permisos de pagos de Google para permitir que los usuarios hagan lo siguiente:
  • Agregar, editar y quitar formas de pago
  • Actualizar la información del perfil de pagos, incluidas las direcciones de correo postal.
  • Administrar los usuarios de pagos, incluidos los detalles de contacto, las preferencias de correo electrónico y los permisos del usuario.

Si quieres administrar tareas relacionadas con los pagos en la página Facturación de la consola de Google Cloud, los usuarios también necesitarán el rol de Visualizador de cuentas de facturación en la cuenta de Facturación de Cloud.

Acceso a la Facturación de Cloud

Para otorgar o limitar el acceso a la Facturación de Cloud, puedes establecer una política de IAM a nivel de la organización, de la cuenta de Facturación de Cloud o del proyecto. Los recursos de Google Cloud heredan las políticas de IAM del nodo superior, lo que significa que puedes establecer una política a nivel de la organización y aplicarla a todas las cuentas, los proyectos y los recursos de la Facturación de Cloud en la organización.

Puedes controlar los permisos de visualización en diferentes niveles para diferentes usuarios o funciones si estableces permisos de acceso en la cuenta de facturación de Cloud o a nivel del proyecto.

Si quieres otorgar permiso a un usuario para ver los costos de todos los proyectos con una cuenta de facturación de Cloud, otórgale permiso para ver los costos de una cuenta de facturación de Cloud (billing.accounts.getSpendingInformation). Si deseas otorgar permiso a un usuario para ver los costos de un proyecto específico, otórgale permisos de visualización en proyectos individuales (billing.resourceCosts.get).

Descripción general de las funciones de Facturación de Cloud en IAM

No se les otorgan permisos a los usuarios directamente, sino funciones, que incluyen uno o más permisos.

Se pueden otorgar uno o más roles al mismo usuario o en el mismo recurso.

Las siguientes funciones predefinidas de IAM de la Facturación de Cloud están diseñadas para permitirte usar el control de acceso a fin de aplicar la separación de obligaciones:

Función Objetivo Nivel Caso práctico
Creador de cuentas de facturación
(roles/billing.creator)
Crear cuentas nuevas de facturación con pago automático (en línea). Organización Usa esta función para configurar la facturación inicial o permitir la creación de cuentas de facturación adicionales.
Los usuarios deben tener esta función para registrarse en Google Cloud con una tarjeta de crédito mediante su identidad corporativa.
Sugerencia: Minimiza la cantidad de usuarios que cuentan con esta función para ayudar a prevenir la proliferación de los gastos de la nube sin seguimiento en tu organización.
Administrador de cuentas de facturación
(roles/billing.admin)
Administrar cuentas de facturación (pero no crearlas). Organización o cuenta de facturación. Esta es una función de propietario para una cuenta de facturación. Úsala para administrar los instrumentos de pago, configurar la exportación de la facturación, visualizar la información de costos, vincular y desvincular proyectos y administrar otras funciones de usuarios en las cuentas de facturación. De forma predeterminada, la persona que crea la cuenta de Facturación de Cloud es un Billing Account Administrator para ella.
Administrador de costos de la cuenta de facturación
(roles/billing.costsManager)
Administrar presupuestos y visualizar y exportar información de costos de las cuentas de facturación (pero no información de precios) Organización o cuenta de facturación. Crea, edita y borra presupuestos, visualiza la información de los costos y las transacciones de la cuenta de facturación y administra la exportación de los datos de costos de facturación a BigQuery. No confiere el derecho a exportar datos de precios ni visualizar los precios personalizados en la página Precios. Tampoco permite la vinculación o desvinculación de proyectos ni la administración de las propiedades de la cuenta de facturación.
Lector de cuentas de facturación
(roles/billing.viewer)
Visualizar las transacciones y la información de los costos de las cuentas de facturación. Organización o cuenta de facturación. Por lo general, el acceso de lector de cuentas de facturación se otorga a equipos financieros y proporciona acceso a la información de gastos, pero no confiere el derecho a vincular o desvincular proyectos o administrar las propiedades de la cuenta de facturación.
Usuario de la cuenta de facturación
(roles/billing.user)
Vincular proyectos a las cuentas de facturación. Organización o cuenta de facturación. Este rol tiene permisos muy restringidos, por lo que puedes otorgarlo en forma amplia. Cuando se otorga en combinación con Creador de proyectos, los dos roles permiten a un usuario crear proyectos nuevos vinculados con la cuenta de facturación en la que se otorga el rol de Usuario de la cuenta de facturación. O bien, cuando se otorga en combinación con el rol de Administrador de facturación del proyecto, los dos roles permiten a un usuario vincular y desvincular proyectos en la cuenta de facturación en la que se otorga el rol de Usuario de la cuenta de facturación.
Administrador de facturación del proyecto
(roles/billing.projectManager)
Vincular el proyecto con una cuenta de facturación o desvincularlo de ella. Organización, carpeta o proyecto. Cuando se otorga en combinación con el rol de Usuario de la cuenta de facturación, el rol de Administrador de facturación del proyecto permite al usuario adjuntar el proyecto a la cuenta de facturación, pero no otorga ningún derecho sobre los recursos. Los Propietarios del proyecto pueden usar este rol a fin de permitir que otra persona administre la facturación para el proyecto sin otorgarle el acceso a los recursos.

En la siguiente tabla se enumeran los detalles de las funciones de facturación predefinidas de IAM, incluidos los permisos agrupados en cada función.

Role Permissions

(roles/billing.admin)

Provides access to see and manage all aspects of billing accounts.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.close

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.getIamPolicy

billing.accounts.getPaymentInfo

billing.accounts.getPricing

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.accounts.move

billing.accounts.redeemPromotion

billing.accounts.removeFromOrganization

billing.accounts.reopen

billing.accounts.setIamPolicy

billing.accounts.update

billing.accounts.updatePaymentInfo

billing.accounts.updateUsageExportSpec

billing.anomalies.*

  • billing.anomalies.get
  • billing.anomalies.list
  • billing.anomalies.submitFeedback

billing.anomaliesConfigs.*

  • billing.anomaliesConfigs.get
  • billing.anomaliesConfigs.update

billing.billingAccountPrice.get

billing.billingAccountPrices.list

billing.billingAccountServices.*

  • billing.billingAccountServices.get
  • billing.billingAccountServices.list

billing.billingAccountSkuGroupSkus.*

  • billing.billingAccountSkuGroupSkus.get
  • billing.billingAccountSkuGroupSkus.list

billing.billingAccountSkuGroups.*

  • billing.billingAccountSkuGroups.get
  • billing.billingAccountSkuGroups.list

billing.billingAccountSkus.*

  • billing.billingAccountSkus.get
  • billing.billingAccountSkus.list

billing.budgets.*

  • billing.budgets.create
  • billing.budgets.delete
  • billing.budgets.get
  • billing.budgets.list
  • billing.budgets.update

billing.credits.list

billing.finOpsBenchmarkInformation.get

billing.finOpsHealthInformation.get

billing.resourceAssociations.*

  • billing.resourceAssociations.create
  • billing.resourceAssociations.delete
  • billing.resourceAssociations.list

billing.subscriptions.*

  • billing.subscriptions.create
  • billing.subscriptions.get
  • billing.subscriptions.list
  • billing.subscriptions.update

cloudasset.assets.searchAllResources

cloudnotifications.activities.list

cloudsupport.properties.get

cloudsupport.techCases.*

  • cloudsupport.techCases.create
  • cloudsupport.techCases.escalate
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • cloudsupport.techCases.update

commerceoffercatalog.*

  • commerceoffercatalog.agreements.get
  • commerceoffercatalog.agreements.list
  • commerceoffercatalog.documents.get
  • commerceoffercatalog.documents.list
  • commerceoffercatalog.offers.get

compute.commitments.*

  • compute.commitments.create
  • compute.commitments.get
  • compute.commitments.list
  • compute.commitments.update
  • compute.commitments.updateReservations

consumerprocurement.accounts.*

  • consumerprocurement.accounts.create
  • consumerprocurement.accounts.delete
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.grant

consumerprocurement.consents.list

consumerprocurement.consents.revoke

consumerprocurement.events.*

  • consumerprocurement.events.get
  • consumerprocurement.events.list

consumerprocurement.licensePools.*

  • consumerprocurement.licensePools.assign
  • consumerprocurement.licensePools.enumerateLicensedUsers
  • consumerprocurement.licensePools.get
  • consumerprocurement.licensePools.unassign
  • consumerprocurement.licensePools.update

consumerprocurement.orderAttributions.*

  • consumerprocurement.orderAttributions.get
  • consumerprocurement.orderAttributions.list
  • consumerprocurement.orderAttributions.update

consumerprocurement.orders.*

  • consumerprocurement.orders.cancel
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • consumerprocurement.orders.modify
  • consumerprocurement.orders.place

dataprocessing.datasources.get

dataprocessing.datasources.list

dataprocessing.groupcontrols.get

dataprocessing.groupcontrols.list

logging.logEntries.list

logging.logServiceIndexes.list

logging.logServices.list

logging.logs.list

logging.privateLogEntries.list

recommender.cloudsqlIdleInstanceRecommendations.get

recommender.cloudsqlIdleInstanceRecommendations.list

recommender.cloudsqlOverprovisionedInstanceRecommendations.get

recommender.cloudsqlOverprovisionedInstanceRecommendations.list

recommender.commitmentUtilizationInsights.*

  • recommender.commitmentUtilizationInsights.get
  • recommender.commitmentUtilizationInsights.list
  • recommender.commitmentUtilizationInsights.update

recommender.computeAddressIdleResourceRecommendations.get

recommender.computeAddressIdleResourceRecommendations.list

recommender.computeDiskIdleResourceRecommendations.get

recommender.computeDiskIdleResourceRecommendations.list

recommender.computeImageIdleResourceRecommendations.get

recommender.computeImageIdleResourceRecommendations.list

recommender.computeInstanceGroupManagerMachineTypeRecommendations.get

recommender.computeInstanceGroupManagerMachineTypeRecommendations.list

recommender.computeInstanceIdleResourceRecommendations.get

recommender.computeInstanceIdleResourceRecommendations.list

recommender.computeInstanceMachineTypeRecommendations.get

recommender.computeInstanceMachineTypeRecommendations.list

recommender.costInsights.*

  • recommender.costInsights.get
  • recommender.costInsights.list
  • recommender.costInsights.update

recommender.costRecommendations.*

  • recommender.costRecommendations.listAll
  • recommender.costRecommendations.summarizeAll

recommender.resourcemanagerProjectUtilizationRecommendations.get

recommender.resourcemanagerProjectUtilizationRecommendations.list

recommender.spendBasedCommitmentInsights.*

  • recommender.spendBasedCommitmentInsights.get
  • recommender.spendBasedCommitmentInsights.list
  • recommender.spendBasedCommitmentInsights.update

recommender.spendBasedCommitmentRecommendations.*

  • recommender.spendBasedCommitmentRecommendations.get
  • recommender.spendBasedCommitmentRecommendations.list
  • recommender.spendBasedCommitmentRecommendations.update

recommender.spendBasedCommitmentRecommenderConfig.*

  • recommender.spendBasedCommitmentRecommenderConfig.get
  • recommender.spendBasedCommitmentRecommenderConfig.update

recommender.usageCommitmentRecommendations.*

  • recommender.usageCommitmentRecommendations.get
  • recommender.usageCommitmentRecommendations.list
  • recommender.usageCommitmentRecommendations.update

resourcemanager.projects.createBillingAssignment

resourcemanager.projects.deleteBillingAssignment

resourcemanager.projects.get

resourcemanager.projects.list

(roles/billing.costsManager)

Manage budgets for a billing account, and view, analyze, and export cost information of a billing account.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.accounts.updateUsageExportSpec

billing.anomalies.get

billing.anomalies.list

billing.anomaliesConfigs.*

  • billing.anomaliesConfigs.get
  • billing.anomaliesConfigs.update

billing.budgets.*

  • billing.budgets.create
  • billing.budgets.delete
  • billing.budgets.get
  • billing.budgets.list
  • billing.budgets.update

billing.resourceAssociations.list

recommender.costInsights.*

  • recommender.costInsights.get
  • recommender.costInsights.list
  • recommender.costInsights.update

(roles/billing.creator)

Provides access to create billing accounts.

Lowest-level resources where you can grant this role:

  • Organization

billing.accounts.create

resourcemanager.organizations.get

(roles/billing.projectManager)

When granted in conjunction with the Billing Account User role, provides access to assign a project's billing account or disable its billing.

Lowest-level resources where you can grant this role:

  • Project

resourcemanager.projects.createBillingAssignment

resourcemanager.projects.deleteBillingAssignment

(roles/billing.user)

When granted in conjunction with the Project Owner role or Project Billing Manager role, provides access to associate projects with billing accounts.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.list

billing.accounts.redeemPromotion

billing.credits.list

billing.resourceAssociations.create

(roles/billing.viewer)

View billing account cost and pricing information, transactions, and billing and commitment recommendations.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.getIamPolicy

billing.accounts.getPaymentInfo

billing.accounts.getPricing

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.anomalies.get

billing.anomalies.list

billing.anomaliesConfigs.get

billing.billingAccountPrice.get

billing.billingAccountPrices.list

billing.billingAccountServices.*

  • billing.billingAccountServices.get
  • billing.billingAccountServices.list

billing.billingAccountSkuGroupSkus.*

  • billing.billingAccountSkuGroupSkus.get
  • billing.billingAccountSkuGroupSkus.list

billing.billingAccountSkuGroups.*

  • billing.billingAccountSkuGroups.get
  • billing.billingAccountSkuGroups.list

billing.billingAccountSkus.*

  • billing.billingAccountSkus.get
  • billing.billingAccountSkus.list

billing.budgets.get

billing.budgets.list

billing.credits.list

billing.finOpsBenchmarkInformation.get

billing.finOpsHealthInformation.get

billing.resourceAssociations.list

billing.subscriptions.get

billing.subscriptions.list

commerceoffercatalog.*

  • commerceoffercatalog.agreements.get
  • commerceoffercatalog.agreements.list
  • commerceoffercatalog.documents.get
  • commerceoffercatalog.documents.list
  • commerceoffercatalog.offers.get

consumerprocurement.accounts.get

consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.list

consumerprocurement.orderAttributions.get

consumerprocurement.orderAttributions.list

consumerprocurement.orders.get

consumerprocurement.orders.list

dataprocessing.datasources.get

dataprocessing.datasources.list

dataprocessing.groupcontrols.get

dataprocessing.groupcontrols.list

recommender.commitmentUtilizationInsights.get

recommender.commitmentUtilizationInsights.list

recommender.costInsights.get

recommender.costInsights.list

recommender.costRecommendations.*

  • recommender.costRecommendations.listAll
  • recommender.costRecommendations.summarizeAll

recommender.spendBasedCommitmentInsights.get

recommender.spendBasedCommitmentInsights.list

recommender.spendBasedCommitmentRecommendations.get

recommender.spendBasedCommitmentRecommendations.list

recommender.spendBasedCommitmentRecommenderConfig.get

recommender.usageCommitmentRecommendations.get

recommender.usageCommitmentRecommendations.list

Relaciones IAM entre organizaciones, proyectos, cuentas de Facturación de Cloud y perfiles de pagos de Google

Existen dos tipos de relaciones que rigen las interacciones entre las organizaciones, las cuentas de facturación de Cloud y los proyectos: la propiedad y la vinculación de pagos.

  • La propiedad se refiere a la herencia del permiso de IAM.
  • Las vinculaciones de pago definen con qué cuenta de facturación de Cloud se paga por un proyecto determinado.

En el siguiente diagrama, se muestra la relación de propiedad y las vinculaciones de pago para una organización de muestra.

Muestra cómo se relacionan los proyectos con una cuenta de Facturación de Cloud y un perfil de pagos de Google. Una parte muestra los recursos de Google Cloud (cuenta de Facturación de Cloud y proyectos asociados) y la otra, dividida por una línea punteada vertical, muestra el recurso de Google (un perfil de pagos de Google).
      Los proyectos se pagan con la cuenta de Facturación de Cloud vinculada a un perfil de pagos de Google.

En el diagrama, la organización tiene la propiedad de los proyectos 1, 2 y 3, lo que significa que es el superior de los permisos de IAM de los tres proyectos.

La cuenta de facturación de Cloud está vinculada a los proyectos 1, 2 y 3, lo que significa que con ella se pagan los costos generados por los tres proyectos. La cuenta de Facturación de Cloud también puede pagar por proyectos en otras organizaciones, pero hereda los permisos de IAM de su organización superior.

La cuenta de facturación de Cloud también está vinculada a un perfil de pagos de Google, que almacena información como el nombre, la dirección y las formas de pago. Obtén más información para administrar los permisos de usuario de los perfiles de pagos de Google.

Aunque vincules cuentas de facturación de Cloud a proyectos, estas cuentas no son superiores de proyectos en el sentido de Cloud IAM y, por lo tanto, los proyectos no heredan los permisos de la cuenta de facturación de Cloud a la que están vinculados.

En este ejemplo, todos los usuarios que tienen asignadas funciones de facturación de IAM en la organización también tienen esas funciones en la cuenta de facturación de Cloud o los proyectos.

Ejemplos de control de acceso a Facturación de Cloud

Combina las funciones de IAM de la manera siguiente para satisfacer las necesidades de una variedad de situaciones.

Situación: pequeña a mediana empresa con preferencia por el control centralizado.
Tipo de usuario Funciones de IAM de facturación Actividades de facturación
Director ejecutivo Administrador de cuentas de facturación Administrar instrumentos de pago.
Ver y aprobar facturas.
Director de Tecnología Administrador de cuentas de facturación
Creador del proyecto
Configurar alertas de presupuesto.
Ver los gastos.
Crear proyectos facturables nuevos.
Equipos de desarrollo Ninguno Ninguno
Situación: pequeña a mediana empresa con preferencia por la autoridad delegada.
Tipo de usuario Funciones de IAM de facturación Actividades de facturación
Director ejecutivo Administrador de cuentas de facturación Administrar instrumentos de pago.
Delegar autoridad.
CFO Administrador de cuentas de facturación Configurar alertas de presupuesto.
Ver los gastos.
Cuentas por pagar Lector de cuentas de facturación Ver y aprobar facturas.
Equipos de desarrollo Usuario de la cuenta de facturación
Creador del proyecto
Crear proyectos facturables nuevos.
Situación: Funciones separadas de planificación financiera y adquisiciones
Tipo de usuario Funciones de IAM de facturación Actividades de facturación
Adquisición o Central de TI Administrador de cuentas de facturación Administrar instrumentos de pago.
Configurar alertas de presupuesto.
Comunicar gastos a los equipos de desarrollo.
Planificación financiera Lector de cuentas de facturación Ver informes de facturación.
Procesar exportaciones.
Comunicarse con el director ejecutivo.
Cuentas por pagar Lector de cuentas de facturación Aprobar facturas.
Equipos de desarrollo Usuario de la cuenta de facturación
Creador del proyecto
Crear proyectos facturables nuevos.
Situación: agencia de desarrollo
Tipo de usuario Funciones de IAM de facturación Actividades de facturación
Director ejecutivo Administrador de cuentas de facturación Administrar instrumentos de pago.
Delegar autoridad.
CFO Administrador de cuentas de facturación Configurar alertas de presupuesto.
Ver los gastos.
Aprobar facturas.
Líder del proyecto Usuario de la cuenta de facturación
Creador del proyecto
Crear proyectos facturables nuevos.
Equipo de desarrollo de proyectos Ninguno Desarrollar en los proyectos existentes.
Cliente Administrador de facturación del proyecto Tomar la propiedad de pago del proyecto cuando se completa.

Cómo actualizar los permisos de la Facturación de Cloud

Para obtener información sobre cómo revisar, agregar o quitar los permisos de la Facturación de Cloud, sigue las instrucciones en Administra el acceso a las cuentas de Facturación de Cloud.

Pruébalo tú mismo

Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

Comenzar gratis