Zugriffssteuerung und Berechtigungen für Cloud Billing

In diesem Dokument werden Rollen und Zugriffsberechtigungen für Cloud-Rechnungskonten beschrieben.

Ein Cloud-Rechnungskonto wird in Google Cloud eingerichtet. Dort werden Kosten für die Nutzung von Ressourcen und Diensten inGoogle Cloud, der Google Maps Platform, Firebase und Google AI Studio erfasst und berechnet. Im Cloud-Rechnungskonto wird festgelegt, wer die Nutzungskosten bezahlt. Die Kosten werden dann an ein verknüpftes Google-Zahlungskonto weitergeleitet, um Ihre Rechnung zu bezahlen.

Zugriffsberechtigungen für Cloud Billing und Zahlungen mit Google werden auf zwei verschiedenen Systemen konfiguriert, je nachdem, welche Art von Zugriff Sie bereitstellen möchten.

  • Mit Cloud Billing-IAM-Rollen können Sie durch Festlegen von IAM-Richtlinien (Identity and Access Management) für bestimmte Ressourcen steuern, welche Nutzer Berechtigungen zum Verwalten und zum Aufrufen von Kosten für diese Ressourcen erhalten. Bestimmte Berechtigungen für das Cloud-Rechnungskonto gewähren auch Zugriff auf das zugehörige Google-Zahlungsprofil der Organisation, um Zahlungsdetails anzusehen, Zahlungsmethoden und Zahlungsprofileinstellungen zu bearbeiten und manuelle Zahlungen vorzunehmen.
  • Im Google-Zahlungscenter können Sie Nutzer jedem von Ihnen verwalteten Organisationsprofil für Zahlungen mit Google hinzufügen und Ihren Nutzern unterschiedliche Zugriffsebenen zuweisen, je nachdem was diese zu tun haben. Sie können auch E-Mail-Einstellungen für Nutzer konfigurieren, sodass diese Abrechnungs- und Zahlungs-E-Mails erhalten.
Cloud Billing-Berechtigungen Einstellungen und Berechtigungen für Zahlungen mit Google
Die Zugriffsberechtigungen für ein Cloud-Rechnungskonto werden mit IAM-Rollen verwaltet. Bestimmte Berechtigungen für das Cloud-Rechnungskonto gewähren auch Zugriff auf das zugehörige Google-Zahlungsprofil, um Zahlungsdetails anzusehen, Zahlungsmethoden und Zahlungsprofileinstellungen zu bearbeiten und manuelle Zahlungen vorzunehmen. Berechtigungen für Rechnungskonten können so konfiguriert werden, dass Nutzer folgende Aufgaben ausführen können:
  • Cloud-Rechnungskonto öffnen, schließen und ändern
  • Berichte und Kostendaten ansehen
  • Zahlungsdetails und Dokumente wie Rechnungen und Kontoauszüge ansehen.
  • Zahlungsmethoden hinzufügen und bearbeiten (aber nicht entfernen).
  • Zahlungsprofil und Kontoeinstellungen bearbeiten
  • Manuelle Zahlung ausführen
  • Rabatte für zugesicherte Nutzung analysieren und kaufen
  • Export von Abrechnungsdaten aktivieren und verwalten.
  • Budgets und Benachrichtigungen konfigurieren
  • Abrechnung pro Projekt verwalten
  • Nutzerberechtigungen für die Abrechnung verwalten.
  • Abrechnungssupport kontaktieren
 Die Zugriffsberechtigungen für ein Google-Zahlungsprofil werden in den Google-Zahlungseinstellungen verwaltet. Google-Zahlungsberechtigungen können so konfiguriert werden, dass Nutzer folgende Aufgaben ausführen können:
  • Informationen zum Zahlungsprofil aktualisieren, einschließlich Postanschriften.
  • Zahlungsmethoden hinzufügen, bearbeiten und entfernen.
  • Aktualisieren Sie die primären und sekundären Zahlungsmethoden, die jedem Zahlungskonto zugewiesen sind.
  • Nutzer für Zahlungen verwalten, einschließlich Kontaktdaten, E‑Mail-Einstellungen und Nutzerberechtigungen.

Mit Google-Zahlungsberechtigungen können Nutzer direkt im Google-Zahlungscenter auf Zahlungsprofile und Zahlungskonten zugreifen und diese verwalten, ohne separate Berechtigungen für das Cloud-Rechnungskonto zu benötigen.

Wenn Sie Ihr Zahlungsprofil und Ihre Zahlungskonten in der Cloud Billing-Konsole vollständig verwalten möchten, benötigen Nutzer Cloud-Abrechnungsberechtigungen und Google-Zahlungsberechtigungen. Ein Nutzer mit der Rolle Rechnungskontobetrachter für das Cloud-Rechnungskonto und der Rolle Administrator mit allen Berechtigungen für das zugehörige Google-Zahlungsprofil kann das Google-Zahlungsprofil und die Konten direkt über die Cloud Billing-Konsole verwalten.

Cloud Billing-Zugriff

Um den Zugriff auf Cloud Billing zu gewähren oder zu beschränken, können Sie eine IAM-Richtlinie auf Organisationsebene, Cloud-Rechnungskontoebene oder Projektebene festlegen. Google Cloud Ressourcen übernehmen die IAM-Richtlinien ihres übergeordneten Knotens. Sie können also eine Richtlinie auf Organisationsebene festlegen, die dann auf alle Cloud-Rechnungskonten, Projekte und Ressourcen in der Organisation angewendet wird.

Sie haben die Möglichkeit, Anzeigeberechtigungen auf verschiedenen Ebenen für unterschiedliche Nutzer oder Rollen zu steuern. Dazu legen Sie Zugriffsberechtigungen auf Cloud-Rechnungskonto- oder Projektebene fest.

Wenn Sie einem Nutzer die Berechtigung erteilen möchten, die Kosten aller Projekte in einem Cloud-Rechnungskonto aufzurufen, weisen Sie ihm Berechtigungen zum Aufrufen der Kosten für ein Cloud-Rechnungskonto (billing.accounts.getSpendingInformation) zu. Wenn Sie einem Nutzer die Berechtigung zum Aufrufen der Kosten für ein bestimmtes Projekt erteilen möchten, weisen Sie ihm Berechtigungen zum Aufrufen einzelner Projekte (billing.resourceCosts.get) zu.

Übersicht über Cloud Billing-Rollen in IAM

Sie erteilen den Nutzern die Berechtigungen nicht direkt, sondern Sie weisen ihnen Rollen zu, die eine oder mehrere Berechtigungen enthalten.

Sie können einem Nutzer oder für eine Ressource eine oder mehrere Rollen zuweisen.

Mit den folgenden vordefinierten Cloud IAM-Rollen für Cloud Billing können Sie über die Zugriffssteuerung eine Aufgabentrennung vornehmen:

Rolle Zweck Stufe Anwendungsfall
Rechnungskonto-Ersteller
(roles/billing.creator)		 Neue Online-Selfservice-Rechnungskonten erstellen Organisation Verwenden Sie diese Rolle für die anfängliche Abrechnungseinrichtung. Diese Rolle ermöglicht auch das Anlegen zusätzlicher Rechnungskonten.
Nutzer benötigen diese Rolle, um sich mit einer Kreditkarte ihres Unternehmens für Google Cloud zu registrieren.
Tipp: Diese Rolle sollte nur ausgewählten Nutzern zugewiesen werden, um zu vermeiden, dass nicht verfolgte Cloud-Ausgaben in Ihrer Organisation überhandnehmen.
Rechnungskontoadministrator
(roles/billing.admin) 		Rechnungskonten verwalten (aber nicht erstellen) Organisation oder Rechnungskonto Das ist eine Inhaberrolle für ein Rechnungskonto. Administratoren können Zahlungsmethoden hinzufügen und bearbeiten, Zahlungsprofilinformationen wie Postadressen aktualisieren, Abrechnungsexporte konfigurieren, Kosteninformationen ansehen, manuelle Zahlungen vornehmen, Projekte verknüpfen und deren Verknüpfung aufheben sowie andere Nutzerrollen für das Rechnungskonto verwalten. Standardmäßig ist die Person, die das Cloud-Rechnungskonto erstellt, ein Rechnungskontoadministrator für das Cloud-Rechnungskonto.
Kostenverwalter des Rechnungskontos
(roles/billing.costsManager)		 Budgets verwalten und Kosteninformationen von Rechnungskonten (aber keine Preisinformationen) aufrufen und exportieren. Organisation oder Rechnungskonto Budgets erstellen, bearbeiten und löschen, Kosteninformationen und Transaktionen im Rechnungskonto aufrufen und den Export von Abrechnungskostendaten in BigQuery verwalten. Gewährt nicht das Recht, Preisdaten zu exportieren oder benutzerdefinierte Preise auf der Seite Preise anzusehen. Außerdem ist es nicht möglich, Projekte zu verknüpfen oder Projektverknüpfungen aufzuheben oder die Eigenschaften des Rechnungskontos anderweitig zu verwalten.
Rechnungskontobetrachter
(roles/billing.viewer)		 Kontoinformationen und Transaktionen im Rechnungskonto aufrufen Organisation oder Rechnungskonto Die Rolle des Rechnungskontobetrachters wird in der Regel Mitgliedern des Finanzteams gewährt. Sie bietet Lesezugriff auf Kosten- und Zahlungsinformationen, ohne dass der Nutzer Projekte mit dem Rechnungskonto verknüpfen oder Verknüpfungen aufheben kann oder anderweitig Einfluss auf die Verwaltung der Merkmale des Rechnungskontos hat.
Kostenverwalter für die Projektabrechnung
(roles/billing.projectCostsManager)		 Kosteninformationen für Rechnungskonten aufrufen, die auf Projekte beschränkt sind. Organisation oder Rechnungskonto Wird die Rolle zusammen mit Berechtigungen zum Aufrufen der Kosten für Projekte zugewiesen, bietet sie Zugriff auf Abrechnungsinformationen, die auf die Projekte beschränkt sind, auf deren Kosten der Nutzer Zugriff hat. Abrechnungsinformationen für Projekte umfassen den Zugriff auf Berichte, den FinOps-Hub, Budgets und Benachrichtigungen sowie Anomalien.
Rechnungskontonutzer
(roles/billing.user)		 Projekte mit Rechnungskonten verknüpfen Organisation oder Rechnungskonto Die Berechtigungen dieser Rolle sind stark eingeschränkt, sodass eine umfassende Erteilung möglich ist. In Kombination mit der Rolle „Projektersteller“ können Nutzer mit den beiden Rollen neue Projekte erstellen und mit dem Rechnungskonto verknüpfen, für das die Rolle „Rechnungskontonutzer“ zugewiesen wurde. Wenn diese Rolle zusammen mit der Rolle des Projektabrechnung-Administrator zugewiesen wird, können Nutzer die Projekte für das Rechnungskonto, für das die Rolle eines Rechnungskontonutzer zugewiesen wurde, verknüpfen und die Verknüpfung wieder aufheben.
Administrator für die Projektabrechnung
(roles/billing.projectManager) 		Projekt mit einem Rechnungskonto verknüpfen bzw. Projektverknüpfung aufheben Organisation, Ordner oder Projekt. Wenn diese Rolle in Kombination mit der Rolle „Rechnungskontonutzer“ zugewiesen wird, können Nutzer das Projekt mit dem Rechnungskonto verknüpfen. Es werden aber keine sonstigen Rechte für Ressourcen gewährt. Projektinhaber können mit dieser Rolle einem anderen Nutzer die Verwaltung der Projektabrechnung erlauben, ohne ihm Zugriff auf Ressourcen zu erteilen.

Die folgende Tabelle enthält die Details der vordefinierten Cloud IAM-Abrechnungsrollen, einschließlich der Berechtigungen, die zu den einzelnen Rollen gehören.

Role Permissions

(roles/billing.admin)

Provides access to see and manage all aspects of billing accounts.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.close

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.getIamPolicy

billing.accounts.getPaymentInfo

billing.accounts.getPricing

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.accounts.move

billing.accounts.redeemPromotion

billing.accounts.removeFromOrganization

billing.accounts.reopen

billing.accounts.setIamPolicy

billing.accounts.update

billing.accounts.updatePaymentInfo

billing.accounts.updateUsageExportSpec

billing.anomalies.*

  • billing.anomalies.get
  • billing.anomalies.list
  • billing.anomalies.submitFeedback

billing.anomaliesConfigs.*

  • billing.anomaliesConfigs.get
  • billing.anomaliesConfigs.update

billing.billingAccountPrice.get

billing.billingAccountPrices.list

billing.billingAccountServices.*

  • billing.billingAccountServices.get
  • billing.billingAccountServices.list

billing.billingAccountSkuGroupSkus.*

  • billing.billingAccountSkuGroupSkus.get
  • billing.billingAccountSkuGroupSkus.list

billing.billingAccountSkuGroups.*

  • billing.billingAccountSkuGroups.get
  • billing.billingAccountSkuGroups.list

billing.billingAccountSkus.*

  • billing.billingAccountSkus.get
  • billing.billingAccountSkus.list

billing.budgets.*

  • billing.budgets.create
  • billing.budgets.delete
  • billing.budgets.get
  • billing.budgets.list
  • billing.budgets.update

billing.credits.list

billing.finOpsBenchmarkInformation.get

billing.finOpsHealthInformation.get

billing.resourceAssociations.*

  • billing.resourceAssociations.create
  • billing.resourceAssociations.delete
  • billing.resourceAssociations.list

billing.subscriptions.*

  • billing.subscriptions.create
  • billing.subscriptions.get
  • billing.subscriptions.list
  • billing.subscriptions.update

chroniclesm.contracts.*

  • chroniclesm.contracts.get
  • chroniclesm.contracts.update

cloudasset.assets.searchAllResources

cloudnotifications.activities.list

cloudsupport.properties.get

cloudsupport.techCases.*

  • cloudsupport.techCases.create
  • cloudsupport.techCases.escalate
  • cloudsupport.techCases.get
  • cloudsupport.techCases.list
  • cloudsupport.techCases.update

commerceoffercatalog.*

  • commerceoffercatalog.agreements.get
  • commerceoffercatalog.agreements.list
  • commerceoffercatalog.documents.get
  • commerceoffercatalog.documents.list
  • commerceoffercatalog.offers.get

compute.commitments.create

compute.commitments.get

compute.commitments.list

compute.commitments.update

compute.commitments.updateReservations

consumerprocurement.accounts.*

  • consumerprocurement.accounts.create
  • consumerprocurement.accounts.delete
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.grant

consumerprocurement.consents.list

consumerprocurement.consents.revoke

consumerprocurement.events.*

  • consumerprocurement.events.get
  • consumerprocurement.events.list

consumerprocurement.licensePools.*

  • consumerprocurement.licensePools.assign
  • consumerprocurement.licensePools.enumerateLicensedUsers
  • consumerprocurement.licensePools.get
  • consumerprocurement.licensePools.unassign
  • consumerprocurement.licensePools.update

consumerprocurement.orderAttributions.*

  • consumerprocurement.orderAttributions.get
  • consumerprocurement.orderAttributions.list
  • consumerprocurement.orderAttributions.update

consumerprocurement.orders.*

  • consumerprocurement.orders.cancel
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • consumerprocurement.orders.modify
  • consumerprocurement.orders.place

dataprocessing.datasources.get

dataprocessing.datasources.list

dataprocessing.groupcontrols.get

dataprocessing.groupcontrols.list

discoveryengine.billingAccountLicenseConfigs.*

  • discoveryengine.billingAccountLicenseConfigs.distribute
  • discoveryengine.billingAccountLicenseConfigs.get
  • discoveryengine.billingAccountLicenseConfigs.list
  • discoveryengine.billingAccountLicenseConfigs.retract

logging.logEntries.list

logging.logServiceIndexes.list

logging.logServices.list

logging.logs.list

logging.privateLogEntries.list

recommender.cloudsqlIdleInstanceRecommendations.get

recommender.cloudsqlIdleInstanceRecommendations.list

recommender.cloudsqlOverprovisionedInstanceRecommendations.get

recommender.cloudsqlOverprovisionedInstanceRecommendations.list

recommender.commitmentUtilizationInsights.*

  • recommender.commitmentUtilizationInsights.get
  • recommender.commitmentUtilizationInsights.list
  • recommender.commitmentUtilizationInsights.update

recommender.computeAddressIdleResourceRecommendations.get

recommender.computeAddressIdleResourceRecommendations.list

recommender.computeDiskIdleResourceRecommendations.get

recommender.computeDiskIdleResourceRecommendations.list

recommender.computeImageIdleResourceRecommendations.get

recommender.computeImageIdleResourceRecommendations.list

recommender.computeInstanceGroupManagerMachineTypeRecommendations.get

recommender.computeInstanceGroupManagerMachineTypeRecommendations.list

recommender.computeInstanceIdleResourceRecommendations.get

recommender.computeInstanceIdleResourceRecommendations.list

recommender.computeInstanceMachineTypeRecommendations.get

recommender.computeInstanceMachineTypeRecommendations.list

recommender.costInsights.*

  • recommender.costInsights.get
  • recommender.costInsights.list
  • recommender.costInsights.update

recommender.costRecommendations.*

  • recommender.costRecommendations.listAll
  • recommender.costRecommendations.summarizeAll

recommender.resourcemanagerProjectUtilizationRecommendations.get

recommender.resourcemanagerProjectUtilizationRecommendations.list

recommender.spendBasedCommitmentInsights.*

  • recommender.spendBasedCommitmentInsights.get
  • recommender.spendBasedCommitmentInsights.list
  • recommender.spendBasedCommitmentInsights.update

recommender.spendBasedCommitmentRecommendations.*

  • recommender.spendBasedCommitmentRecommendations.get
  • recommender.spendBasedCommitmentRecommendations.list
  • recommender.spendBasedCommitmentRecommendations.update

recommender.spendBasedCommitmentRecommenderConfig.*

  • recommender.spendBasedCommitmentRecommenderConfig.get
  • recommender.spendBasedCommitmentRecommenderConfig.update

recommender.usageCommitmentRecommendations.*

  • recommender.usageCommitmentRecommendations.get
  • recommender.usageCommitmentRecommendations.list
  • recommender.usageCommitmentRecommendations.update

resourcemanager.projects.createBillingAssignment

resourcemanager.projects.deleteBillingAssignment

resourcemanager.projects.get

resourcemanager.projects.list

(roles/billing.projectManager)

When granted in conjunction with the Billing Account User role, provides access to assign a project's billing account or disable its billing.

Lowest-level resources where you can grant this role:

  • Project

resourcemanager.projects.createBillingAssignment

resourcemanager.projects.deleteBillingAssignment

(roles/billing.viewer)

View billing account cost and pricing information, transactions, and billing and commitment recommendations.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.getIamPolicy

billing.accounts.getPaymentInfo

billing.accounts.getPricing

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.anomalies.get

billing.anomalies.list

billing.anomaliesConfigs.get

billing.billingAccountPrice.get

billing.billingAccountPrices.list

billing.billingAccountServices.*

  • billing.billingAccountServices.get
  • billing.billingAccountServices.list

billing.billingAccountSkuGroupSkus.*

  • billing.billingAccountSkuGroupSkus.get
  • billing.billingAccountSkuGroupSkus.list

billing.billingAccountSkuGroups.*

  • billing.billingAccountSkuGroups.get
  • billing.billingAccountSkuGroups.list

billing.billingAccountSkus.*

  • billing.billingAccountSkus.get
  • billing.billingAccountSkus.list

billing.budgets.get

billing.budgets.list

billing.credits.list

billing.finOpsBenchmarkInformation.get

billing.finOpsHealthInformation.get

billing.resourceAssociations.list

billing.subscriptions.get

billing.subscriptions.list

chroniclesm.contracts.get

commerceoffercatalog.*

  • commerceoffercatalog.agreements.get
  • commerceoffercatalog.agreements.list
  • commerceoffercatalog.documents.get
  • commerceoffercatalog.documents.list
  • commerceoffercatalog.offers.get

consumerprocurement.accounts.get

consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.list

consumerprocurement.orderAttributions.get

consumerprocurement.orderAttributions.list

consumerprocurement.orders.get

consumerprocurement.orders.list

dataprocessing.datasources.get

dataprocessing.datasources.list

dataprocessing.groupcontrols.get

dataprocessing.groupcontrols.list

discoveryengine.billingAccountLicenseConfigs.get

discoveryengine.billingAccountLicenseConfigs.list

recommender.commitmentUtilizationInsights.get

recommender.commitmentUtilizationInsights.list

recommender.costInsights.get

recommender.costInsights.list

recommender.costRecommendations.*

  • recommender.costRecommendations.listAll
  • recommender.costRecommendations.summarizeAll

recommender.spendBasedCommitmentInsights.get

recommender.spendBasedCommitmentInsights.list

recommender.spendBasedCommitmentRecommendations.get

recommender.spendBasedCommitmentRecommendations.list

recommender.spendBasedCommitmentRecommenderConfig.get

recommender.usageCommitmentRecommendations.get

recommender.usageCommitmentRecommendations.list

(roles/billing.carbonViewer)

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.list

(roles/billing.costsManager)

Manage budgets for a billing account, and view, analyze, and export cost information of a billing account.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.accounts.updateUsageExportSpec

billing.anomalies.get

billing.anomalies.list

billing.anomaliesConfigs.*

  • billing.anomaliesConfigs.get
  • billing.anomaliesConfigs.update

billing.budgets.*

  • billing.budgets.create
  • billing.budgets.delete
  • billing.budgets.get
  • billing.budgets.list
  • billing.budgets.update

billing.resourceAssociations.list

recommender.costInsights.*

  • recommender.costInsights.get
  • recommender.costInsights.list
  • recommender.costInsights.update

(roles/billing.creator)

Provides access to create billing accounts.

Lowest-level resources where you can grant this role:

  • Organization

billing.accounts.create

resourcemanager.organizations.get

(roles/billing.linkAdmin)

Authorized to manage billing account hierarchy

billing.accounts.create

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.getIamPolicy

billing.accounts.getPaymentInfo

billing.accounts.getPricing

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.accounts.move

billing.accounts.removeFromOrganization

billing.anomalies.get

billing.anomalies.list

billing.anomaliesConfigs.get

billing.billingAccountPrice.get

billing.billingAccountPrices.list

billing.billingAccountServices.*

  • billing.billingAccountServices.get
  • billing.billingAccountServices.list

billing.billingAccountSkuGroupSkus.*

  • billing.billingAccountSkuGroupSkus.get
  • billing.billingAccountSkuGroupSkus.list

billing.billingAccountSkuGroups.*

  • billing.billingAccountSkuGroups.get
  • billing.billingAccountSkuGroups.list

billing.billingAccountSkus.*

  • billing.billingAccountSkus.get
  • billing.billingAccountSkus.list

billing.budgets.get

billing.budgets.list

billing.credits.list

billing.finOpsBenchmarkInformation.get

billing.finOpsHealthInformation.get

billing.resourceAssociations.list

billing.subscriptions.get

billing.subscriptions.list

commerceoffercatalog.*

  • commerceoffercatalog.agreements.get
  • commerceoffercatalog.agreements.list
  • commerceoffercatalog.documents.get
  • commerceoffercatalog.documents.list
  • commerceoffercatalog.offers.get

consumerprocurement.accounts.get

consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.list

consumerprocurement.orderAttributions.get

consumerprocurement.orderAttributions.list

consumerprocurement.orders.get

consumerprocurement.orders.list

dataprocessing.datasources.get

dataprocessing.datasources.list

dataprocessing.groupcontrols.get

dataprocessing.groupcontrols.list

recommender.commitmentUtilizationInsights.get

recommender.commitmentUtilizationInsights.list

recommender.costInsights.get

recommender.costInsights.list

recommender.costRecommendations.*

  • recommender.costRecommendations.listAll
  • recommender.costRecommendations.summarizeAll

recommender.spendBasedCommitmentInsights.get

recommender.spendBasedCommitmentInsights.list

recommender.spendBasedCommitmentRecommendations.get

recommender.spendBasedCommitmentRecommendations.list

recommender.spendBasedCommitmentRecommenderConfig.get

recommender.usageCommitmentRecommendations.get

recommender.usageCommitmentRecommendations.list

(roles/billing.projectCostsManager)

When granted in conjunction with cost view permissions on projects, provides access to billing information scoped to the projects to which the user has cost access.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.getSpendingInformationScoped

billing.costRecommendations.listScoped

(roles/billing.user)

When granted in conjunction with the Project Owner role or Project Billing Manager role, provides access to associate projects with billing accounts.

Lowest-level resources where you can grant this role:

  • Billing Account

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.list

billing.accounts.redeemPromotion

billing.credits.list

billing.resourceAssociations.create

IAM-Beziehungen zwischen Organisationen, Projekten, Cloud-Rechnungskonten und Google-Zahlungskonten

Die Interaktion zwischen Organisationen, Cloud-Rechnungskonten und Projekten wird durch zwei Arten von Beziehungen geregelt: Inhaberschaft und Zahlungsverknüpfung

  • Inhaber bezieht sich auf die Übernahme von Cloud IAM-Berechtigungen.
  • Zahlungsverknüpfungen legen fest, über welches Cloud-Rechnungskonto die Kosten für ein bestimmtes Projekt bezahlt werden.

Das folgende Diagramm zeigt die Beziehung zwischen Inhaber ("Ownership") und Zahlungsverknüpfungen ("Payment Linkage") für eine Beispielorganisation.

Zeigt, wie sich Projekte auf ein Cloud-Rechnungskonto und ein Google-Zahlungsprofil beziehen. Auf der einen Seite werden Ihre Ressourcen auf Google Cloud-Ebene angezeigt (Cloud-Rechnungskonto und zugehörige Projekte) und auf der anderen Seite, getrennt durch eine gepunktete vertikale Linie, Ihre Ressource auf Google-Ebene (Google-Zahlungsprofil). Ihre Projekte werden über Ihr Cloud-Rechnungskonto bezahlt, das mit Ihrem Google-Zahlungsprofil verknüpft ist.

Im Diagramm ist der Organisationsknoten Inhaber der Projekte 1, 2 und 3 und besitzt somit die übergeordneten IAM-Berechtigungen für die drei Projekte.

Das Cloud-Rechnungskonto ist mit den Projekten 1, 2 und 3 verknüpft. Es wird zur Abrechnung der für die drei Projekte anfallenden Kosten verwendet. Über das Cloud-Rechnungskonto können auch Projekte in anderen Organisationen abgerechnet werden. Das Rechnungskonto übernimmt jedoch IAM-Berechtigungen von der übergeordneten Organisation.

Das Cloud-Rechnungskonto ist außerdem mit einem Google-Zahlungsprofil verknüpft, in dem Informationen wie Name, Adresse und Zahlungsmethoden gespeichert werden, und mit einem Google-Zahlungskonto, über das die Rechnungen bezahlt werden. Weitere Informationen zum Verwalten von Nutzerberechtigungen für Google-Zahlungsprofile

Auch wenn Cloud-Rechnungskonten mit Projekten verknüpft sind, sind sie keine übergeordneten Elemente von Projekten im Sinne von IAM. Daher übernehmen Projekte keine Berechtigungen von dem Cloud-Rechnungskonto, mit dem sie verknüpft sind.

In diesem Beispiel haben alle Nutzer mit IAM-Abrechnungsrollen für den Organisationsknoten diese Rollen auch für das Cloud-Rechnungskonto oder die Projekte.

Beispiele für die Zugriffssteuerung in Cloud Billing

Sie können Cloud IAM-Rollen so kombinieren, um die Anforderungen unterschiedlichster Szenarien zu erfüllen.

Szenario: Kleines bis mittelständisches Unternehmen (KMU), das eine zentralisierte Steuerung bevorzugt
Nutzertyp IAM-Abrechnungsrollen Abrechnungsaktivitäten
CEO Rechnungskontoadministrator Zahlungsmittel verwalten
Rechnungen aufrufen und genehmigen.
CTO Rechnungskontoadministrator
Projektersteller		 Budgetbenachrichtigungen festlegen
Ausgaben aufrufen.
Neue abzurechnende Projekte erstellen.
Entwicklungsteams Kein
Szenario: Kleines bis mittelständisches Unternehmen (KMU), das Vollmachten bevorzugt
Nutzertyp IAM-Abrechnungsrollen Abrechnungsaktivitäten
CEO Rechnungskontoadministrator Zahlungsmittel verwalten
Zuständigkeiten delegieren.
CFO Rechnungskontoadministrator Budgetbenachrichtigungen festlegen
Ausgaben aufrufen.
Kreditorenbuchhaltung Rechnungskontobetrachter Rechnungen aufrufen und genehmigen
Entwicklungsteams Rechnungskontonutzer
Projektersteller		 Neue abzurechnende Projekte erstellen
Szenario: Getrennte Finanzplanungs- und Einkaufsfunktionen
Nutzertyp IAM-Abrechnungsrollen Abrechnungsaktivitäten
Einkauf oder zentrale IT Rechnungskontoadministrator Zahlungsmittel verwalten
Budgetbenachrichtigungen festlegen.
Ausgaben an Entwicklungsteams übermitteln.
Finanzplanung Rechnungskontobetrachter Abrechnungsberichte aufrufen
Exporte verarbeiten.
Mit CxO kommunizieren.
Kreditorenbuchhaltung Rechnungskontobetrachter Rechnungen genehmigen
Entwicklungsteams Rechnungskontonutzer
Projektersteller		 Neue abzurechnende Projekte erstellen
Szenario: Entwicklungsagentur
Nutzertyp IAM-Abrechnungsrollen Abrechnungsaktivitäten
CEO Rechnungskontoadministrator Zahlungsmittel verwalten
Zuständigkeiten delegieren.
CFO Rechnungskontoadministrator Budgetbenachrichtigungen festlegen
Ausgaben aufrufen.
Rechnungen genehmigen.
Projektleitung Rechnungskontonutzer
Projektersteller		 Neue abzurechnende Projekte erstellen
Projektentwicklungsteam Kein Innerhalb vorhandener Projekte entwickeln
Client Project Billing Manager Nach Abschluss des Projekts Zahlung ausführen

Cloud Billing-Berechtigungen aktualisieren

Wie Sie Cloud Billing-Berechtigungen prüfen, hinzufügen oder entfernen, erfahren Sie unter Zugriff auf Cloud Rechnungs-Konten verwalten.

Überzeugen Sie sich selbst

Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

Jetzt kostenlos starten