Autorizzazioni e controllo dell'accesso alla fatturazione Cloud

Questo documento descrive i ruoli e le autorizzazioni di accesso per gli account di fatturazione Cloud.

In Google Cloud è configurato un account di fatturazione Cloud che definisce chi paga per un determinato insieme di risorse Google Cloud e API di Google Maps Platform. Un account di fatturazione Cloud è collegato a un profilo pagamenti Google. Il tuo profilo pagamenti Google include un metodo di pagamento su cui vengono addebitati i costi.

Le autorizzazioni di accesso per la fatturazione Cloud e pagamenti tramite Google sono configurate in due sistemi diversi a seconda del tipo di accesso che vuoi fornire.

  • Fatturazione Cloud ti consente di controllare quali utenti hanno autorizzazioni amministrative e di visualizzazione dei costi per risorse specifiche impostando i criteri di Identity and Access Management (IAM) sulle risorse.
  • Nel centro pagamenti Google, puoi aggiungere utenti a qualsiasi profilo aziendale pagamenti tramite Google che gestisci e concedere diversi livelli di accesso agli utenti, a seconda di cosa devono fare. Puoi anche configurare le preferenze email degli utenti per la ricezione di email relative a fatturazione e pagamenti.
Autorizzazioni di fatturazione Cloud Impostazioni e autorizzazioni di pagamenti tramite Google
Le autorizzazioni di accesso a un account di fatturazione Cloud vengono gestite utilizzando i ruoli IAM. Le autorizzazioni dell'account di fatturazione possono essere configurate in modo da consentire agli utenti di:
  • Aprire, chiudere e modificare un account di fatturazione Cloud.
  • Visualizzare i report e i dati sui costi.
  • Visualizza documenti (ad esempio fatture ed estratti conto).
  • Analizza e acquista sconti per impegno di utilizzo (CUD).
  • Attiva e gestisci l'esportazione dei dati di fatturazione.
  • Configura budget e avvisi.
  • Gestisci la fatturazione per progetto.
  • Gestisci le autorizzazioni degli utenti per la fatturazione.
  • Contatta l'assistenza per la fatturazione.
Le autorizzazioni di accesso a un profilo pagamenti Google vengono gestite nelle impostazioni di pagamenti tramite Google Google. Le autorizzazioni per pagamenti tramite Google possono essere configurate in modo da consentire agli utenti di:
  • Aggiungere, modificare e rimuovere metodi di pagamento.
  • Aggiorna i dati del profilo pagamenti, inclusi gli indirizzi di spedizione.
  • Gestisci gli utenti pagamenti, inclusi dettagli di contatto, preferenze email e autorizzazioni utente.

Se vuoi gestire le attività relative ai pagamenti dalla pagina Fatturazione della console Google Cloud, gli utenti devono disporre anche del ruolo Visualizzatore account di fatturazione nell'account Fatturazione Cloud.

Accesso al fatturazione Cloud

Per concedere o limitare l'accesso a Fatturazione Cloud, puoi impostare un criterio IAM a livello di organizzazione, di account di fatturazione Cloud o di progetto. Le risorse Google Cloud ereditano i criteri IAM del nodo principale, il che significa che puoi impostare un criterio a livello di organizzazione per applicarlo a tutti gli account, i progetti e le risorse di fatturazione Cloud nell'organizzazione.

Puoi controllare le autorizzazioni di visualizzazione a diversi livelli per utenti o ruoli diversi impostando le autorizzazioni di accesso a livello di account o progetto di fatturazione cloud.

Per concedere a un utente l'autorizzazione a visualizzare i costi di tutti i progetti di un account di fatturazione Cloud, concedi all'utente l'autorizzazione a visualizzare i costi di un account di fatturazione Cloud (billing.accounts.getSpendingInformation). Per concedere a un utente l'autorizzazione a visualizzare i costi di un progetto specifico, concedi all'utente le autorizzazioni di visualizzazione per i singoli progetti (billing.resourceCosts.get).

Panoramica dei ruoli di fatturazione Cloud in IAM

Non concedi direttamente le autorizzazioni agli utenti, ma concedi loro ruoli, che includono una o più autorizzazioni.

Puoi concedere uno o più ruoli allo stesso utente o alla stessa risorsa.

I seguenti ruoli IAM di fatturazione Cloud predefiniti ti consentono di utilizzare controllo dell'accesso'accesso per applicare la separazione dei compiti:

Ruolo Finalità Livello Caso d'uso
Billing Account Creator
(roles/billing.creator)
Creare nuovi account di fatturazione self-service (online). Organizzazione Utilizza questo ruolo per la configurazione iniziale della fatturazione o per consentire la creazione di account di fatturazione aggiuntivi.
Gli utenti devono disporre di questo ruolo per registrarsi a Google Cloud con una carta di credito utilizzando la propria identità aziendale.
Suggerimento: riduci al minimo il numero di utenti che dispongono di questo ruolo per contribuire a impedire la proliferazione della spesa cloud non monitorata nella tua organizzazione.
Amministratore account di fatturazione
(roles/billing.admin)
Gestire gli account di fatturazione (ma non crearli). Organizzazione o account di fatturazione. Questo è un ruolo di proprietario per un account di fatturazione. Usalo per gestire gli strumenti di pagamento, configurare l'esportazione dei dati di fatturazione, visualizzare le informazioni sui costi, collegare e scollegare i progetti e gestire altri ruoli utente per l'account di fatturazione. Per impostazione predefinita, la persona che crea l'account di fatturazione Cloud è un Amministratore account di fatturazione dell'account di fatturazione Cloud.
Billing Account Costs Manager
(roles/billing.costsManager)
Gestire i budget e visualizzare ed esportare le informazioni sui costi degli account di fatturazione (ma non le informazioni sui prezzi). Organizzazione o account di fatturazione. Crea, modifica ed elimina i budget, visualizza le informazioni sui costi e le transazioni dell'account di fatturazione e gestisci l'esportazione dei dati sui costi di fatturazione in BigQuery. Non conferisce il diritto di esportare i dati dei prezzi o di visualizzare i prezzi personalizzati nella pagina Prezzi. Non consente il collegamento o lo scollegamento dei progetti né la gestione delle proprietà dell'account di fatturazione.
Visualizzatore account di fatturazione
(roles/billing.viewer)
Dispone dell'autorizzazione per visualizzare le transazioni e le informazioni sul costo degli account di fatturazione. Organizzazione o account di fatturazione. L'accesso come Visualizzatore account di fatturazione viene in genere concesso ai team finanziari e consente di accedere a informazioni sui costi sostenuti, ma non conferisce il diritto di collegare o scollegare progetti o di gestire in altro modo le proprietà dell'account di fatturazione.
Utente account di fatturazione
(roles/billing.user)
Collega i progetti agli account di fatturazione. Organizzazione o account di fatturazione. Le autorizzazioni di questo ruolo sono molto limitate. Puoi quindi assegnarlo a un'ampia platea di utenti. Se concessi in combinazione con il ruolo Autore progetto, i due ruoli consentono agli utenti di creare nuovi progetti collegati all'account di fatturazione a cui è stato assegnato il ruolo Utente account di fatturazione. In alternativa, se concesso in combinazione con il ruolo Gestore fatturazione progetto, i due ruoli consentono agli utenti di collegare e scollegare i progetti nell'account di fatturazione in cui è stato concesso il ruolo Utente account di fatturazione.
Project Billing Manager
(roles/billing.projectManager)
Collega e scollega il progetto da e verso un account di fatturazione. Organizzazione, cartella o progetto. Se concesso in combinazione con il ruolo Utente account di fatturazione, il ruolo Gestore fatturazione progetto consente agli utenti di collegare il progetto all'account di fatturazione, ma non concede alcun diritto sulle risorse. I proprietari del progetto possono utilizzare questo ruolo per consentire a qualcun altro di gestire la fatturazione del progetto senza concedergli l'accesso alle risorse.

La tabella seguente elenca i dettagli dei ruoli IAM predefiniti per la fatturazione, incluse le autorizzazioni raggruppate in ogni ruolo.

Role Permissions

(roles/billing.admin)

Provides access to see and manage all aspects of billing accounts.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.close

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.getIamPolicy

billing.accounts.getPaymentInfo

billing.accounts.getPricing

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.accounts.move

billing.accounts.redeemPromotion

billing.accounts.removeFromOrganization

billing.accounts.reopen

billing.accounts.setIamPolicy

billing.accounts.update

billing.accounts.updatePaymentInfo

billing.accounts.updateUsageExportSpec

billing.anomalies.*

  • billing.anomalies.get
  • billing.anomalies.list
  • billing.anomalies.submitFeedback

billing.anomaliesConfigs.*

  • billing.anomaliesConfigs.get
  • billing.anomaliesConfigs.update

billing.billingAccountPrice.get

billing.billingAccountPrices.list

billing.billingAccountServices.*

  • billing.billingAccountServices.get
  • billing.billingAccountServices.list

billing.billingAccountSkuGroupSkus.*

  • billing.billingAccountSkuGroupSkus.get
  • billing.billingAccountSkuGroupSkus.list

billing.billingAccountSkuGroups.*

  • billing.billingAccountSkuGroups.get
  • billing.billingAccountSkuGroups.list

billing.billingAccountSkus.*

  • billing.billingAccountSkus.get
  • billing.billingAccountSkus.list

billing.budgets.*

  • billing.budgets.create
  • billing.budgets.delete
  • billing.budgets.get
  • billing.budgets.list
  • billing.budgets.update

billing.credits.list

billing.finOpsBenchmarkInformation.get

billing.finOpsHealthInformation.get

billing.resourceAssociations.*

  • billing.resourceAssociations.create
  • billing.resourceAssociations.delete
  • billing.resourceAssociations.list

billing.subscriptions.*

  • billing.subscriptions.create
  • billing.subscriptions.get
  • billing.subscriptions.list
  • billing.subscriptions.update

cloudasset.assets.searchAllResources

cloudnotifications.activities.list

cloudsupport.properties.get

cloudsupport.techCases.*

  • cloudsupport.techCases.create
  • cloudsupport.techCases.escalate
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • cloudsupport.techCases.update

commerceoffercatalog.*

  • commerceoffercatalog.agreements.get
  • commerceoffercatalog.agreements.list
  • commerceoffercatalog.documents.get
  • commerceoffercatalog.documents.list
  • commerceoffercatalog.offers.get

compute.commitments.*

  • compute.commitments.create
  • compute.commitments.get
  • compute.commitments.list
  • compute.commitments.update
  • compute.commitments.updateReservations

consumerprocurement.accounts.*

  • consumerprocurement.accounts.create
  • consumerprocurement.accounts.delete
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.grant

consumerprocurement.consents.list

consumerprocurement.consents.revoke

consumerprocurement.events.*

  • consumerprocurement.events.get
  • consumerprocurement.events.list

consumerprocurement.licensePools.*

  • consumerprocurement.licensePools.assign
  • consumerprocurement.licensePools.enumerateLicensedUsers
  • consumerprocurement.licensePools.get
  • consumerprocurement.licensePools.unassign
  • consumerprocurement.licensePools.update

consumerprocurement.orderAttributions.*

  • consumerprocurement.orderAttributions.get
  • consumerprocurement.orderAttributions.list
  • consumerprocurement.orderAttributions.update

consumerprocurement.orders.*

  • consumerprocurement.orders.cancel
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • consumerprocurement.orders.modify
  • consumerprocurement.orders.place

dataprocessing.datasources.get

dataprocessing.datasources.list

dataprocessing.groupcontrols.get

dataprocessing.groupcontrols.list

logging.logEntries.list

logging.logServiceIndexes.list

logging.logServices.list

logging.logs.list

logging.privateLogEntries.list

recommender.cloudsqlIdleInstanceRecommendations.get

recommender.cloudsqlIdleInstanceRecommendations.list

recommender.cloudsqlOverprovisionedInstanceRecommendations.get

recommender.cloudsqlOverprovisionedInstanceRecommendations.list

recommender.commitmentUtilizationInsights.*

  • recommender.commitmentUtilizationInsights.get
  • recommender.commitmentUtilizationInsights.list
  • recommender.commitmentUtilizationInsights.update

recommender.computeAddressIdleResourceRecommendations.get

recommender.computeAddressIdleResourceRecommendations.list

recommender.computeDiskIdleResourceRecommendations.get

recommender.computeDiskIdleResourceRecommendations.list

recommender.computeImageIdleResourceRecommendations.get

recommender.computeImageIdleResourceRecommendations.list

recommender.computeInstanceGroupManagerMachineTypeRecommendations.get

recommender.computeInstanceGroupManagerMachineTypeRecommendations.list

recommender.computeInstanceIdleResourceRecommendations.get

recommender.computeInstanceIdleResourceRecommendations.list

recommender.computeInstanceMachineTypeRecommendations.get

recommender.computeInstanceMachineTypeRecommendations.list

recommender.costInsights.*

  • recommender.costInsights.get
  • recommender.costInsights.list
  • recommender.costInsights.update

recommender.costRecommendations.*

  • recommender.costRecommendations.listAll
  • recommender.costRecommendations.summarizeAll

recommender.resourcemanagerProjectUtilizationRecommendations.get

recommender.resourcemanagerProjectUtilizationRecommendations.list

recommender.spendBasedCommitmentInsights.*

  • recommender.spendBasedCommitmentInsights.get
  • recommender.spendBasedCommitmentInsights.list
  • recommender.spendBasedCommitmentInsights.update

recommender.spendBasedCommitmentRecommendations.*

  • recommender.spendBasedCommitmentRecommendations.get
  • recommender.spendBasedCommitmentRecommendations.list
  • recommender.spendBasedCommitmentRecommendations.update

recommender.spendBasedCommitmentRecommenderConfig.*

  • recommender.spendBasedCommitmentRecommenderConfig.get
  • recommender.spendBasedCommitmentRecommenderConfig.update

recommender.usageCommitmentRecommendations.*

  • recommender.usageCommitmentRecommendations.get
  • recommender.usageCommitmentRecommendations.list
  • recommender.usageCommitmentRecommendations.update

resourcemanager.projects.createBillingAssignment

resourcemanager.projects.deleteBillingAssignment

resourcemanager.projects.get

resourcemanager.projects.list

(roles/billing.costsManager)

Manage budgets for a billing account, and view, analyze, and export cost information of a billing account.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.accounts.updateUsageExportSpec

billing.anomalies.get

billing.anomalies.list

billing.anomaliesConfigs.*

  • billing.anomaliesConfigs.get
  • billing.anomaliesConfigs.update

billing.budgets.*

  • billing.budgets.create
  • billing.budgets.delete
  • billing.budgets.get
  • billing.budgets.list
  • billing.budgets.update

billing.resourceAssociations.list

recommender.costInsights.*

  • recommender.costInsights.get
  • recommender.costInsights.list
  • recommender.costInsights.update

(roles/billing.creator)

Provides access to create billing accounts.

Lowest-level resources where you can grant this role:

  • Organization

billing.accounts.create

resourcemanager.organizations.get

(roles/billing.projectManager)

When granted in conjunction with the Billing Account User role, provides access to assign a project's billing account or disable its billing.

Lowest-level resources where you can grant this role:

  • Project

resourcemanager.projects.createBillingAssignment

resourcemanager.projects.deleteBillingAssignment

(roles/billing.user)

When granted in conjunction with the Project Owner role or Project Billing Manager role, provides access to associate projects with billing accounts.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.list

billing.accounts.redeemPromotion

billing.credits.list

billing.resourceAssociations.create

(roles/billing.viewer)

View billing account cost and pricing information, transactions, and billing and commitment recommendations.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.getIamPolicy

billing.accounts.getPaymentInfo

billing.accounts.getPricing

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.anomalies.get

billing.anomalies.list

billing.anomaliesConfigs.get

billing.billingAccountPrice.get

billing.billingAccountPrices.list

billing.billingAccountServices.*

  • billing.billingAccountServices.get
  • billing.billingAccountServices.list

billing.billingAccountSkuGroupSkus.*

  • billing.billingAccountSkuGroupSkus.get
  • billing.billingAccountSkuGroupSkus.list

billing.billingAccountSkuGroups.*

  • billing.billingAccountSkuGroups.get
  • billing.billingAccountSkuGroups.list

billing.billingAccountSkus.*

  • billing.billingAccountSkus.get
  • billing.billingAccountSkus.list

billing.budgets.get

billing.budgets.list

billing.credits.list

billing.finOpsBenchmarkInformation.get

billing.finOpsHealthInformation.get

billing.resourceAssociations.list

billing.subscriptions.get

billing.subscriptions.list

commerceoffercatalog.*

  • commerceoffercatalog.agreements.get
  • commerceoffercatalog.agreements.list
  • commerceoffercatalog.documents.get
  • commerceoffercatalog.documents.list
  • commerceoffercatalog.offers.get

consumerprocurement.accounts.get

consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.list

consumerprocurement.orderAttributions.get

consumerprocurement.orderAttributions.list

consumerprocurement.orders.get

consumerprocurement.orders.list

dataprocessing.datasources.get

dataprocessing.datasources.list

dataprocessing.groupcontrols.get

dataprocessing.groupcontrols.list

recommender.commitmentUtilizationInsights.get

recommender.commitmentUtilizationInsights.list

recommender.costInsights.get

recommender.costInsights.list

recommender.costRecommendations.*

  • recommender.costRecommendations.listAll
  • recommender.costRecommendations.summarizeAll

recommender.spendBasedCommitmentInsights.get

recommender.spendBasedCommitmentInsights.list

recommender.spendBasedCommitmentRecommendations.get

recommender.spendBasedCommitmentRecommendations.list

recommender.spendBasedCommitmentRecommenderConfig.get

recommender.usageCommitmentRecommendations.get

recommender.usageCommitmentRecommendations.list

Relazioni IAM tra organizzazioni, progetti, account di fatturazione Cloud e profili pagamenti tramite Google

Le interazioni tra organizzazioni, account di fatturazione Cloud e progetti sono regolate da due tipi di relazioni: proprietà e collegamento dei pagamenti.

  • Proprietà si riferisce all'eredità delle autorizzazioni IAM.
  • I collegamenti dei pagamenti definiscono l'account di fatturazione Cloud che paga per un determinato progetto.

Il seguente diagramma mostra la relazione tra i collegamenti di proprietà e pagamento per un'organizzazione di esempio.

Illustra la relazione tra i progetti e un account di fatturazione Cloud e un profilo pagamenti Google. Su un lato sono visualizzate le risorse a livello di Google Cloud (account di fatturazione Cloud e progetti associati), mentre sull'altro lato, diviso da una linea tratteggiata verticale, è visualizzata la risorsa a livello di Google (un profilo pagamenti Google).
      I tuoi progetti vengono pagati tramite il tuo account di fatturazione Cloud, collegato a un profilo pagamenti Google.

Nel diagramma, l'organizzazione è proprietaria dei progetti 1, 2 e 3, ovvero è l'organizzazione principale delle autorizzazioni IAM dei tre progetti.

L'account di fatturazione Cloud è collegato ai progetti 1, 2 e 3, il che significa che paga i costi sostenuti dai tre progetti. L'account di fatturazione Cloud può anche pagare i progetti in altre organizzazioni, ma eredita le autorizzazioni IAM dall'organizzazione principale.

L'account di fatturazione Cloud è collegato anche a un profilo pagamenti Google, che memorizza informazioni come nome, indirizzo e metodi di pagamento. Scopri come gestire le autorizzazioni utente del profilo pagamenti Google.

Sebbene tu colleghi gli account di fatturazione Cloud ai progetti, gli account di fatturazione Cloud non sono i progetti principali in un senso IAM e quindi i progetti non ereditano le autorizzazioni dall'account di fatturazione Cloud a cui sono collegati.

In questo esempio, tutti gli utenti a cui sono stati concessi i ruoli di fatturazione IAM nell'organizzazione dispongono di questi ruoli anche nell'account di fatturazione Cloud o nei progetti.

Esempi di controllo dell'accesso della fatturazione Cloud

Combina i ruoli IAM come segue per soddisfare le esigenze di una serie di scenari.

Scenario: piccola o media impresa con una preferenza per il controllo centralizzato.
Tipo di utente Ruoli IAM di fatturazione Attività di fatturazione
CEO Amministratore account di fatturazione Gestisci lo strumento di pagamento.
Visualizza e approva le fatture.
CTO Amministratore account di fatturazione
Autore progetto
Imposta gli avvisi relativi al budget.
Visualizza la spesa.
Crea nuovi progetti fatturabili.
Team di sviluppo Nessuno Nessuno
Scenario: piccola o media impresa con preferenza per l'autorità delegata.
Tipo di utente Ruoli IAM di fatturazione Attività di fatturazione
CEO Amministratore account di fatturazione Gestisci lo strumento di pagamento.
Delega l'autorità.
CFO Amministratore account di fatturazione Imposta gli avvisi relativi al budget.
Visualizza la spesa.
Contabilità fornitori Visualizzatore account di fatturazione Visualizzare e approvare le fatture.
Team di sviluppo Utente account di fatturazione
Autore progetto
Creare nuovi progetti fatturabili.
Scenario: funzioni di pianificazione finanziaria e approvvigionamento separate
Tipo di utente Ruoli IAM di fatturazione Attività di fatturazione
Procurement o IT centrale Amministratore account di fatturazione Gestisci lo strumento di pagamento.
Imposta gli avvisi relativi al budget.
Comunica la spesa ai team di sviluppo.
Pianificazione finanziaria Visualizzatore account di fatturazione Visualizza i report di fatturazione.
Elabora le esportazioni.
Comunica con i responsabili delle decisioni aziendali.
Contabilità fornitori Visualizzatore account di fatturazione Approva le fatture.
Team di sviluppo Utente account di fatturazione
Autore progetto
Creare nuovi progetti fatturabili.
Scenario: agenzia di sviluppo
Tipo di utente Ruoli IAM di fatturazione Attività di fatturazione
CEO Amministratore account di fatturazione Gestisci lo strumento di pagamento.
Delega l'autorità.
CFO Amministratore account di fatturazione Imposta gli avvisi relativi al budget.
Visualizza la spesa.
Approva le fatture.
Capo progetto Utente account di fatturazione
Autore progetto
Creare nuovi progetti fatturabili.
Team di sviluppo del progetto Nessuno Sviluppare all'interno di progetti esistenti.
Client Gestore fatturazione progetto Acquisisci la proprietà del pagamento del progetto al termine.

Come aggiornare le autorizzazioni per la fatturazione Cloud

Per scoprire come esaminare, aggiungere o rimuovere le autorizzazioni di fatturazione Cloud, segui le indicazioni riportate in Gestire l'accesso agli account di fatturazione Cloud.

Provalo

Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Inizia gratuitamente