このドキュメントでは、Cloud 請求先アカウントのアクセス権限を構成する方法について説明します。
Cloud 請求先アカウントは Google Cloud で設定され、特定の Google Cloud リソースと Google Maps Platform API のまとまりに対する支払いを誰が行うかを定義します。Cloud 請求先アカウントは、Google お支払いプロファイルに関連付けられています。Cloud Billing と Google Payments のアクセス権限は、付与するアクセス権の種類に応じて 2 つの異なるシステムで構成されます。
Google お支払いプロファイルのアクセス権限を構成する必要がある場合は、Google お支払いサービスのユーザー、権限、通知設定の管理をご覧ください。
Cloud 請求先アカウント ユーザーの権限
各 Cloud 請求先アカウントには、請求先アカウント管理者が少なくとも 1 人必要です。デフォルトでは、Cloud 請求先アカウントの作成者が、その請求先アカウントの請求先アカウント管理者です。冗長性を確保するため、各 Cloud 請求先アカウントに複数の管理者を構成することをおすすめします。
ユーザーが行う必要のあること(費用の追跡、費用の異常値の確認、予算の管理、費用の最適化、請求書の確認と支払いなど)に応じて、異なるレベルのアクセス権をユーザーに付与できます。
ユーザーには、直接権限を付与するのではなく、役割を割り当てます。役割には、1 つ以上の権限が組み込まれています。同じリソースに 1 つ以上のロールを付与できます。
Google Cloud アカウントに関連付けられた組織がある場合は、組織レベルで IAM ポリシーを設定することにより、Cloud Billing へのアクセスを許可または制限できます。Cloud 請求先アカウント レベルで Cloud Billing IAM ポリシーを設定するか、フォルダやプロジェクト レベルで請求に関するアクセスを制限することもできます。
始める前に
Cloud Billing で使用可能なロールと権限をよく理解してください。
- 事前定義された請求に関するロールと権限については、Cloud Billing のアクセス制御と権限をご覧ください。
- 事前定義ロールで使用可能な権限がニーズに合わない場合は、より限定的な一連の権限を付与するカスタムロールを作成して使用します。詳細については、請求に関するカスタムロールを作成するをご覧ください。
このタスクに必要な権限
Cloud 請求先アカウントのユーザー権限を管理するには、Cloud 請求先アカウントに対する次の権限を含むロールが必要です。
billing.accounts.getIamPolicy
- アカウントのロールを閲覧(関連するユーザー名を含む)する。billing.accounts.setIamPolicy
- Cloud 請求先アカウントのプリンシパルにロールを付与する。
事前定義ロールを使用してこの権限を付与するには、Cloud 請求先アカウントに次のロールを付与するように管理者へ依頼してください。
Cloud 請求先アカウント ユーザーの権限を更新する
Cloud Billing の権限を確認、追加または削除するには:
Google Cloud コンソールの [請求先アカウントを管理] ページにログインします。
Cloud 請求先アカウントの行を選択して、情報パネルで請求先アカウントのプリンシパルと権限を確認します。情報パネルが表示されていない場合は、[情報パネルを表示] をクリックします
[アカウント管理] ページで Cloud 請求先アカウントの権限にアクセスすることもできます。
Google Cloud コンソールで、Cloud 請求先アカウントの [アカウント管理] ページに移動します。
プロンプトで、表示する Cloud 請求先アカウントを選択します。
[情報] パネルで、選択した Cloud 請求先アカウントのプリンシパルと権限を確認し、編集します。情報パネルが表示されていない場合は、[情報パネルを表示] をクリックします。
[権限] パネルはロールごとに整理され、各ロールを持つプリンシパルの数も表示されます。たとえば、権限パネルに次のように表示される場合があります。
- 請求先アカウント管理者(2 個のプリンシパル)
- 請求先アカウント ユーザー(6 個のプリンシパル)
- 請求先アカウント閲覧者(10 個のプリンシパル)
同じプリンシパルに複数のロールを付与できます。
ロールに割り当てられているプリンシパルのリストを表示するには、ロールノードを開きます。
特定のプリンシパルを見つけて、そのプリンシパルに付与されているロールを確認するには、
フィルタを使用して、プリンシパルのメールアドレスを入力します。Cloud Billing の権限を更新するには、[権限] パネルで次のいずれかを行います。
新しいプリンシパルを追加して権限を割り当てるには:
- [プリンシパルを追加] をクリックします。
- [新しいプリンシパル] フィールドに、追加するプリンシパルのメールアドレスを入力します(複数のメールアドレスを入力することもできます)。個人、サービス アカウント、Google グループをプリンシパルとして追加できます。
- [ロールを選択] からプリンシパルの権限を選択します。
- 必要に応じて、別のロールを追加して、プリンシパルに追加の権限を付与できます。
- 完了したら、[保存] をクリックします。
プリンシパルの課金権限を編集するには:
- フィルタを使用して、特定のプリンシパルまたはロールを検索します。
- リストで、編集するプリンシパルを探します。
メンバーの行で、[編集](
)をクリックします。選択したプリンシパルとリソース(Cloud 請求先アカウント)に固有の [権限の編集] パネルが開きます。
[権限の編集] パネルで、選択したプリンシパルとリソースのロールを追加、編集、削除します。
完了したら、[保存] をクリックします。
プリンシパルのロールを取り消すには:
- フィルタを使用して、特定のプリンシパルまたはロールを検索します。
- リストで、ロールを取り消すプリンシパルを見つけます。
- メンバーの行で、[削除]( )をクリックします。
操作を確認します。
Google お支払いサービスのユーザーの権限
それぞれの Google お支払いアカウントには、すべての権限を持つ管理者が少なくとも 1 人、連絡先担当者(Google からのお支払いに関するアラートや質問の連絡先)が 1 人必要です。デフォルトでは、Google お支払いアカウントを作成したユーザーがすべての権限を持つ管理者であり、連絡先担当者でもあります。冗長性を確保するため、Google お支払いサービスに複数の管理者を設定することをおすすめします。
管理している Google お支払いプロファイル(ビジネス)にユーザーを追加し、必要な作業内容(お支払い方法やお支払いプロファイルの詳細の管理など)に応じて、さまざまなレベルのアクセス権をユーザーに付与できます。請求とお支払いに関するメールを受信するユーザーのメール設定を構成することもできます。
詳細については、Google お支払いサービスのユーザー、権限、通知設定を管理するをご覧ください。
関連トピック
- Google お支払いサービスのユーザー、権限、通知設定を管理する
- Cloud Billing に関するカスタムロールの作成
- Cloud Billing API のアクセス制御
- アクセス権の付与、変更、取り消し
使ってみる
Google Cloud を初めて使用する場合は、アカウントを作成して、実際のシナリオでの Google プロダクトのパフォーマンスを評価してください。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。
無料で開始