Identity and Access Management (IAM) include autorizzazioni granulari, che consentono di concedere o revocare l'accesso ad azioni specifiche per singoli utenti. Per semplificare la procedura di assegnazione delle autorizzazioni agli utenti, i ruoli IAM combinano queste autorizzazioni granulari in gruppi correlati. La fatturazione ha ruoli predefiniti, come Amministratore account di fatturazione o Visualizzatore account di fatturazione, che funzionano per la maggior parte degli utenti. Tuttavia, se non soddisfano le tue esigenze, i ruoli personalizzati ti consentono di concedere insiemi di autorizzazioni più specifici.
Creare un ruolo personalizzato
I ruoli personalizzati vengono creati nell'organizzazione e quindi applicati a qualsiasi account di fatturazione nell'organizzazione. Creare e gestire ruoli personalizzati nella documentazione IAM descrive come configurare un ruolo personalizzato, incluse le autorizzazioni necessarie.
Dopo aver creato i ruoli personalizzati, puoi concederli agli utenti proprio come i ruoli standard predefiniti. Scopri come aggiornare le autorizzazioni di fatturazione.
Esempio di ruolo personalizzato
Supponiamo che tu voglia consentire a qualcuno di modificare le funzionalità di gestione dei costi, come gli avvisi relativi ai budget e l'esportazione dei dati di fatturazione. Le autorizzazioni pertinenti sono:
billing.budgets.createbilling.budgets.updatebilling.accounts.updateUsageExportSpec
Con i ruoli predefiniti, per applicare queste autorizzazioni devi concedere il ruolo Amministratore account di fatturazione. Questo ruolo include tuttavia anche l'autorizzazione per eliminare associazioni di risorse, annullare abbonamenti e chiudere l'account di fatturazione. Se non vuoi che i tuoi utenti abbiano queste funzionalità, puoi invece creare un ruolo personalizzato con solo le tre autorizzazioni necessarie e chiamarlo Amministratore gestione costi. Poi, puoi applicare questo ruolo personalizzato in combinazione con il ruolo Visualizzatore account di fatturazione a tutti gli utenti che devono disporre di autorizzazioni di gestione dei costi generali, ma non della possibilità di modificare altre proprietà dell'account.
Associazione ed ereditarietà delle autorizzazioni
Puoi concedere autorizzazioni di fatturazione a livello di account di fatturazione o a livello di progetto. La maggior parte delle autorizzazioni di fatturazione appartiene all'account di fatturazione, pertanto i ruoli che contengono tali autorizzazioni devono essere associati all'account di fatturazione. Altre autorizzazioni di fatturazione appartengono invece a un progetto e devono essere associate al progetto anziché all'account di fatturazione.
Ad esempio, l'associazione di un progetto a un account di fatturazione richiede l'autorizzazione billing.resourceAssociations.create per l'account di fatturazione e l'autorizzazione resourcemanager.projects.createBillingAssignment per il progetto. Ciò è dovuto al fatto che le autorizzazioni di progetto sono necessarie per le azioni in cui i proprietari del progetto controllano l'accesso, mentre le autorizzazioni dell'account di fatturazione sono necessarie per le azioni in cui gli amministratori dell'account di fatturazione controllano l'accesso. Quando sono coinvolte entrambe, sono necessarie entrambe le autorizzazioni.
Come le altre autorizzazioni IAM, tutte le autorizzazioni di fatturazione vengono ereditate dai livelli superiori della gerarchia di fatturazione. Ad esempio, un utente con un ruolo che contiene billing.accounts.close in un'organizzazione può chiudere qualsiasi account di fatturazione all'interno di quell'organizzazione. Tuttavia, alcune autorizzazioni si applicano solo a livelli più alti. Ad esempio, l'autorizzazione billing.accounts.list non ha alcun effetto se applicata a un singolo account di fatturazione, ma un utente con un ruolo che contiene billing.accounts.list in un'organizzazione può elencare tutti gli account di fatturazione all'interno di quell'organizzazione.
Attività di fatturazione
Le tabelle seguenti descrivono le attività di fatturazione comuni, le autorizzazioni richieste per eseguire tali attività e la risorsa a cui si applicano tali autorizzazioni.
Gestione degli account
| Azione | Autorizzazione | Risorsa |
|---|---|---|
| Recuperare le informazioni di base dell'account (ad esempio, nome dell'account, valuta o se l'account è aperto o chiuso) | billing.accounts.get |
Account di fatturazione |
| Eseguire l'upgrade dalla prova senza costi | billing.accounts.update |
Account di fatturazione |
| Rinominare l'account | billing.accounts.update |
Account di fatturazione |
| Modificare il numero dell'ordine di acquisto | billing.accounts.update |
Account di fatturazione |
| Chiudere l'account | billing.accounts.close |
Account di fatturazione |
| Riaprire l'account chiuso | billing.accounts.reopen |
Account di fatturazione |
Gerarchia degli account di fatturazione
| Azione | Autorizzazione | Risorsa |
|---|---|---|
| Elencare gli account nell'organizzazione | billing.accounts.list |
Organizzazione |
| Creare account nell'organizzazione | billing.accounts.create |
Organizzazione |
| Spostare l'account nell'organizzazione | billing.accounts.create |
Organizzazione |
billing.accounts.move |
Account di fatturazione | |
| Spostare l'account tra le organizzazioni | billing.accounts.removeFromOrganization |
Organizzazione precedente |
billing.accounts.create |
Nuova organizzazione | |
billing.accounts.move |
Account di fatturazione |
Informazioni sui costi
Le autorizzazioni di visualizzazione dei costi possono essere limitate a progetti specifici o concesse a un account di fatturazione per visualizzare tutti i costi di un account di fatturazione.
| Azione | Autorizzazione | Risorsa |
|---|---|---|
| Visualizzare i costi e l'utilizzo per un account di fatturazione* | billing.accounts.getSpendingInformation |
Account di fatturazione |
| Visualizzare i costi e l'utilizzo per un progetto* | billing.resourceCosts.get |
Progetto |
resourcemanager.projects.get |
Progetto |
Dati di pagamento
Il profilo di pagamento include il nome del cliente, l'indirizzo e il metodo di pagamento.
| Azione | Autorizzazione | Risorsa |
|---|---|---|
| Visualizzare il profilo di pagamento | billing.accounts.getPaymentInfo |
Account di fatturazione |
| Aggiornare il profilo di pagamento | billing.accounts.updatePaymentInfo |
Account di fatturazione |
| Visualizzare i prezzi solo per gli SKU che sono stati utilizzati | billing.accounts.getPricing |
Account di fatturazione |
| Visualizzare i prezzi dei contratti personalizzati per SKU per un account di fatturazione | billing.accounts.getPricing |
Account di fatturazione |
| Visualizzare i costi e l'utilizzo per un account di fatturazione | billing.accounts.getSpendingInformation |
Account di fatturazione |
Associazioni di risorse
Lo spostamento di un progetto tra gli account di fatturazione richiede le stesse autorizzazioni che servono per rimuoverlo dall'account di fatturazione originale e associarlo a quello nuovo.
| Azione | Autorizzazione | Risorsa |
|---|---|---|
| Visualizzare le associazioni di progetto | billing.resourceAssociations.list |
Account di fatturazione |
resourcemanager.projects.get |
Progetto | |
| Associare il progetto con l'account di fatturazione | billing.resourceAssociations.create |
Account di fatturazione |
serviceusage.services.list |
Progetto | |
serviceusage.effectivepolicy.get |
Progetto | |
resourcemanager.projects.createBillingAssignment |
Progetto | |
| Rimuovere il progetto dall'account di fatturazione | billing.resourceAssociations.delete |
Account di fatturazione |
resourcemanager.projects.deleteBillingAssignment |
Progetto |
Budget e avvisi di spesa
| Azione | Autorizzazione | Risorsa |
|---|---|---|
| Visualizzare l'elenco dei budget per un account di fatturazione Cloud | billing.budgets.get |
Account di fatturazione |
billing.budgets.list |
Account di fatturazione | |
| Aggiornare un budget con ambito a un account di fatturazione Cloud | billing.budgets.update |
Account di fatturazione |
| Creare un budget per un account di fatturazione Cloud | billing.budgets.create |
Account di fatturazione |
| Visualizzare l'elenco dei budget con ambito a un singolo progetto | resourcemanager.projects.get |
Progetto |
billing.resourceCosts.get |
Progetto | |
billing.resourcebudgets.read |
Progetto | |
| Aggiornare un budget con ambito a un singolo progetto | resourcemanager.projects.get |
Progetto |
billing.resourceCosts.get |
Progetto | |
billing.resourcebudgets.read |
Progetto | |
billing.resourcebudgets.write |
Progetto | |
| Creare un budget con ambito a un singolo progetto | resourcemanager.projects.get |
Progetto |
billing.resourceCosts.get |
Progetto | |
billing.resourcebudgets.read |
Progetto | |
billing.resourcebudgets.write |
Progetto |
Crediti e promozioni
| Azione | Autorizzazione | Risorsa |
|---|---|---|
| Visualizzare l'elenco dei crediti, inclusi l'importo originale e rimanente | billing.credits.list |
Account di fatturazione |
| Utilizzare un codice promozionale | billing.accounts.redeemPromotion |
Account di fatturazione |
billing.accounts.update |
Account di fatturazione |
Norme
Il criterio definisce i tipi di utenti che hanno accesso a specifiche risorse in un account di fatturazione. Per informazioni sulla creazione o la modifica di ruoli personalizzati, vedere la sezione Creare un ruolo personalizzato illustrata in precedenza.
| Azione | Autorizzazione | Risorsa |
|---|---|---|
| Visualizzare i ruoli a livello di account, inclusi i nomi utente associati | billing.accounts.getIamPolicy |
Account di fatturazione |
| Assegnare ruoli agli utenti dell'account | billing.accounts.setIamPolicy |
Account di fatturazione |
Specifiche dell'esportazione
La specifica dell'esportazione definisce la destinazione di una copia di tutti i dati relativi all'utilizzo, e può contenere il nome di un set di dati BigQuery.
| Azione | Autorizzazione | Risorsa |
|---|---|---|
| Visualizzare la specifica dell'esportazione corrente (bucket Cloud Storage o set di dati BigQuery in cui esportare i dati sull'utilizzo) | billing.accounts.getUsageExportSpec |
Account di fatturazione |
| Modificare le specifiche di esportazione | billing.accounts.updateUsageExportSpec |
Account di fatturazione |
Argomenti correlati
- Panoramica del controllo dell'accesso alla fatturazione Cloud
- Controllo dell'accesso all'API Cloud Billing
- Concessione, modifica e revoca dell'accesso