Gestión de identidades y accesos (IAM): incluye permisos detallados que te permiten conceder o revocar el acceso a acciones específicas para usuarios concretos. Para simplificar el proceso de asignación de permisos a los usuarios, los roles de gestión de identidades y accesos combinan estos permisos pormenorizados en grupos relacionados. La facturación tiene roles predefinidos, como administrador de cuenta de facturación o lector de cuenta de facturación, que funcionan para la mayoría de los usuarios. Sin embargo, si no se ajustan a tus necesidades, los roles personalizados te permiten conceder conjuntos de permisos más específicos.
Crear una función personalizada
Las funciones personalizadas se crean en la organización y, luego, se pueden aplicar a cualquier cuenta de facturación de la organización. En la página Crear y gestionar roles personalizados de la documentación de gestión de identidades y accesos se describe cómo configurar un rol personalizado, incluidos los permisos necesarios.
Una vez creados los roles personalizados, puedes concedérselos a los usuarios igual que los roles estándar predefinidos. Consulta cómo actualizar los permisos de facturación.
Ejemplo de función personalizada
Supongamos que quiere dar a alguien la posibilidad de editar funciones de gestión de costes, como las alertas de presupuesto y la exportación de facturación. Estos son los permisos correspondientes:
billing.budgets.createbilling.budgets.updatebilling.accounts.updateUsageExportSpec
Con los roles predefinidos, para aplicar estos permisos, debes asignar el rol Administrador de cuenta de facturación. Esta función también concede el permiso para eliminar asociaciones de recursos, cancelar suscripciones y cerrar cuentas de facturación. Si no quieres que tus usuarios tengan esas funciones, puedes crear un rol personalizado con solo los tres permisos necesarios y llamarlo Administrador de gestión de costes. Después, podría aplicar ese rol personalizado junto con el rol Lector de cuenta de facturación a los usuarios que deban tener permisos generales de gestión de costes, pero no la capacidad de editar otras propiedades de la cuenta.
Asociación y herencia de permisos
Puedes otorgar permisos de facturación tanto en las cuentas de facturación como en los proyectos. La mayoría de estos permisos atañen a las cuentas de facturación, por lo que las funciones que contengan dichos permisos deben estar asociadas a una cuenta de esta índole. No obstante, hay otros permisos de facturación que corresponden a proyectos y, por ello, deben asociarse al proyecto en cuestión, no a una cuenta de facturación.
Por ejemplo, para asociar un proyecto a una cuenta de facturación, se necesita el permiso billing.resourceAssociations.create en la cuenta de facturación y el permiso resourcemanager.projects.createBillingAssignment en el proyecto. Esto se debe a que los permisos de proyecto son necesarios para realizar acciones en las que los propietarios del proyecto controlan el acceso, mientras que los permisos de cuenta de facturación se requieren para las acciones en las que los administradores de la cuenta de facturación controlan el acceso. Cuando se trata de ambos, se necesitan los dos permisos.
Al igual que otros permisos de gestión de identidades y accesos, todos los permisos de facturación se heredan de los niveles superiores de la jerarquía de facturación. Por ejemplo, un usuario con un rol que incluya billing.accounts.close en una organización puede cerrar cualquier cuenta de facturación de esa organización. No obstante, algunos permisos solo se pueden aplicar a niveles superiores. Por ejemplo, el permiso billing.accounts.list no hace nada cuando se aplica a una cuenta de facturación concreta, pero un usuario con un rol que incluya billing.accounts.list en una organización puede enumerar todas las cuentas de facturación de esa organización.
Actividades de facturación
En las siguientes tablas se describen las actividades de facturación más habituales, los permisos necesarios para realizarlas y el recurso al que se aplican esos permisos.
Gestión de cuentas
| Acción | Permiso | Recurso |
|---|---|---|
| Obtener información básica de la cuenta (por ejemplo, el nombre de la cuenta, la moneda o si la cuenta está abierta o cerrada) | billing.accounts.get |
Cuenta de facturación |
| Actualizar la versión de prueba gratuita a una superior | billing.accounts.update |
Cuenta de facturación |
| Cambiar el nombre de una cuenta | billing.accounts.update |
Cuenta de facturación |
| Cambiar el número de una orden de compra | billing.accounts.update |
Cuenta de facturación |
| Cerrar una cuenta | billing.accounts.close |
Cuenta de facturación |
| Reabrir una cuenta cerrada | billing.accounts.reopen |
Cuenta de facturación |
Jerarquía de una cuenta de facturación
| Acción | Permiso | Recurso |
|---|---|---|
| Generar una lista de las cuentas de una organización | billing.accounts.list |
Organización |
| Crear cuentas en una organización | billing.accounts.create |
Organización |
| Mover una cuenta a una organización | billing.accounts.create |
Organización |
billing.accounts.move |
Cuenta de facturación | |
| Mover una cuenta entre organizaciones | billing.accounts.removeFromOrganization |
Organización antigua |
billing.accounts.create |
Nueva organización | |
billing.accounts.move |
Cuenta de facturación |
Información de costes
Los permisos de vista de costes se pueden limitar a proyectos específicos o se pueden conceder a una cuenta de facturación para ver todos los costes de esa cuenta.
| Acción | Permiso | Recurso |
|---|---|---|
| Ver los costes y el uso de una cuenta de facturación* | billing.accounts.getSpendingInformation |
Cuenta de facturación |
| Ver los costes y el uso de un proyecto* | billing.resourceCosts.get |
Proyecto |
resourcemanager.projects.get |
Proyecto |
Datos de pago
En el perfil de pagos se incluye el nombre del cliente, la dirección y el método de pago.
| Acción | Permiso | Recurso |
|---|---|---|
| Ver un perfil de pagos | billing.accounts.getPaymentInfo |
Cuenta de facturación |
| Actualizar un perfil de pagos | billing.accounts.updatePaymentInfo |
Cuenta de facturación |
| Ver los precios solo de los SKUs que han incurrido en uso | billing.accounts.getPricing |
Cuenta de facturación |
| Ver los precios de los contratos personalizados por SKU de una cuenta de facturación | billing.accounts.getPricing |
Cuenta de facturación |
| Ver los costes y el uso de una cuenta de facturación | billing.accounts.getSpendingInformation |
Cuenta de facturación |
Asociaciones de recursos
Para mover un proyecto entre cuentas de facturación, es necesario contar con los mismos permisos que para quitarlo de la cuenta de facturación original y asociarlo con la nueva.
| Acción | Permiso | Recurso |
|---|---|---|
| Ver asociaciones de proyectos | billing.resourceAssociations.list |
Cuenta de facturación |
resourcemanager.projects.get |
Proyecto | |
| Asociar un proyecto a una cuenta de facturación | billing.resourceAssociations.create |
Cuenta de facturación |
resourcemanager.projects.createBillingAssignment |
Proyecto | |
| Quitar un proyecto de una cuenta de facturación | billing.resourceAssociations.delete |
Cuenta de facturación |
resourcemanager.projects.deleteBillingAssignment |
Proyecto |
Presupuestos y alertas de gasto
| Acción | Permiso | Recurso |
|---|---|---|
| Ver la lista de presupuestos de una cuenta de facturación de Cloud | billing.budgets.get |
Cuenta de facturación |
billing.budgets.list |
Cuenta de facturación | |
| Actualizar un presupuesto asociado a una cuenta de Facturación de Cloud | billing.budgets.update |
Cuenta de facturación |
| Crear un presupuesto para una cuenta de facturación de Cloud | billing.budgets.create |
Cuenta de facturación |
| Ver la lista de presupuestos que se limitan a un solo proyecto | resourcemanager.projects.get |
Proyecto |
billing.resourceCosts.get |
Proyecto | |
billing.resourcebudgets.read |
Proyecto | |
| Actualizar un presupuesto que se limita a un solo proyecto | resourcemanager.projects.get |
Proyecto |
billing.resourceCosts.get |
Proyecto | |
billing.resourcebudgets.read |
Proyecto | |
billing.resourcebudgets.write |
Proyecto | |
| Crear un presupuesto que se limite a un solo proyecto | resourcemanager.projects.get |
Proyecto |
billing.resourceCosts.get |
Proyecto | |
billing.resourcebudgets.read |
Proyecto | |
billing.resourcebudgets.write |
Proyecto |
Créditos y promociones
| Acción | Permiso | Recurso |
|---|---|---|
| Ver una lista de créditos, incluidos el importe original y el restante | billing.credits.list |
Cuenta de facturación |
| Canjear un código promocional | billing.accounts.redeemPromotion |
Cuenta de facturación |
billing.accounts.update |
Cuenta de facturación |
Política
La política define qué usuarios tienen acceso a qué recursos en una cuenta de facturación. Para obtener más información sobre cómo crear o modificar funciones personalizadas, consulta la sección Crear una función personalizada más arriba.
| Acción | Permiso | Recurso |
|---|---|---|
| Ver las funciones de una cuenta, incluidos los nombres de usuario asociados | billing.accounts.getIamPolicy |
Cuenta de facturación |
| Otorgar funciones a los usuarios de una cuenta | billing.accounts.setIamPolicy |
Cuenta de facturación |
Especificaciones de exportación
La especificación de exportación define dónde se debe enviar una copia de todos los datos relacionados con el uso y puede contener el nombre de un conjunto de datos de BigQuery.
| Acción | Permiso | Recurso |
|---|---|---|
| Ver la especificación de exportación actual (segmento de Cloud Storage o conjunto de datos de BigQuery al que se exportarán los datos de uso) | billing.accounts.getUsageExportSpec |
Cuenta de facturación |
| Modificar una especificación de exportación | billing.accounts.updateUsageExportSpec |
Cuenta de facturación |
Temas relacionados
- Información general sobre el control de acceso a Facturación de Cloud
- Control de acceso a la API Cloud Billing
- Conceder, cambiar y revocar el acceso