Google Cloud 控制帐单权限配置教程
藉由在资源上设定云端权限管理(Cloud IAM),Cloud Billing可以让您控制哪些用户有对特定资源有进行管理与查看费用的权限。您可以在组织层级、帐单帐户层级以及(或)专案层级设定Cloud IAM ,用来授予或限制存取Cloud Billing的权限。GCP资源会继承父节点的Cloud IAM设定,这表示您可以在组织层级设定相关的Cloud IAM,以将设定套用在组织中所有的帐单张户、专案和资源上。
您可以透过在帐单帐户或专案层级设定存取权限,来控制不同用户或角色在不同层级能查看的权限。要让用户可以看帐单帐户下所有专案的费用,必须授予用户查看帐单帐户的权限( billing.accounts.getSpendingInformation ) 。相反地,如果只想让用户可以看特定专案的费用时,则是授予用户查看单个专案的权限(billing.resourceCosts.get)。
注意:新的billing.resourceCosts.get 专案权限从 2018年8月20日起开始生效。在生效日之前,没有billing.resourceCosts.get 权限的用户可以在Cloud Console Billing card 上查看专案的费用资讯,以及本月估计费用的页面。但在 2018年8月20日后,用户必须有billing.accounts.getSpendingInformation 或billing.resourceCosts.get permission 的权限才能查看专案的费用。
Cloud IAM 中帐单角色的概述
以下定义了Billing Cloud IAM 的角色,目的是允许您透过存取控制来执行权责分离:
| Role | Purpose | Level | Use Case |
| Billing Account Creator | Create new self-serve billing accounts. | Organization | 一开始建立帐单或暂时以其他货币创建帐单帐户时使用此角色用户必须具有此角色,才能用企业角色的信用卡注册GCP
Tip:尽量减少拥有此角色的用户,避免组织在cloud 有未被追踪的激增费用 |
| Billing Account Administrator | Manage billing accounts (but not create them). | Organization or billing account. | 此角色是帐单帐户的拥有者。利用这个角色管理支付工具、设定帐单输出、查看费用资讯、连结或取消连结专案以及管理帐单帐户的其他用户角色。 |
| Billing Account User | Link projects to billing accounts. | Organization or billing account. | 这个角色拥有的权限很有限,因此您可以广泛地授予这个角色给用户,通常会和Project Creator角色结合使用。这两个角色允许用户建立专案,连结到有授权此角色的帐单帐户。 |
| Billing Account Viewer | View billing account cost information and transactions. | Organization or billing account. | 通常会将此角色授予财务团队,提供存取费用资讯的权限,但不授予连结或取消连结专案或其他管理帐单帐户资产的权限。 |
| Project Billing Manager | Link/unlink the project to/from a billing account. | Organization or project. | 此角色允许用户将专案绑定到帐单帐户,但不授予对资源存取的权限。专案拥有者可以使用这个角色来允许其人管理专案帐单,但不授予他们存取资源的权限。 |
Note: 其他旧的角色(例如:专案拥有者)也会拥有一些帐单权限。专案拥有者是专案帐单管理者下的一个子集。
组织、专案和帐单帐户间的关系
所有权和支付连结(payment linkages) 这两种关联决定了帐单帐户、组织和专案彼此之间的互动。
- 所有权(Ownership) :指的是Cloud IAM权限继承。
- 支付连结(Payment linkages) :定义哪个帐单帐户会替指定的专案付款
下面的图表显示一个样本组织中所有权和支付连结这两种关系:
在图表中,组织有专案A、专案B、专案C的所有权,表示组织是三个专案Cloud IAM的父节点。而帐单帐户和专案A、专案B、专案连结,表示此帐单帐户会支付三个专案产生的费用。
Note: 您可以将帐单帐户与专案连结,但这不代表帐单帐户是专案Cloud IAM 的父节点,因此专案不会从与它连结的帐单帐户继承权限。
在这个范例中,任何在组织层级上有被授予Cloud IAM 帐单角色的用户,同时也会在帐单帐户或专案层级上拥有相对应的角色。
帐单存取控制的范例
您可以如同下面的范例一样,结合Cloud IAM角色,以符合各种情境的需求。范例情境:中小企业(SME),偏好集中管理。
| User type | Billing Cloud IAM roles | Billing activities |
| CEO | Billing Account Administrator | 管理支付工具查看和核准发票. |
| CTO | Billing Account Administrator Project Creator |
设定预算超支告警查看费用创建新的可计费专案 |
| Development teams | None | None |
范例情境:中小企业(SME),优先考虑授权。
| User type | Billing Cloud IAM roles | Billing activities |
| CEO | Billing Account Administrator | 管理支付工具负责授权 |
| CFO | Billing Account Administrator | 设定预算超支告警查看费用 |
| Accounts payable | Billing Account Viewer | 查看和核准发票 |
| Development teams | Billing Account User Project Creator |
创建新的可计费专案 |
范例情境:将财务规划和采购功能分开
| User type | Billing Cloud IAM roles | Billing activities |
| Procurement or Central IT | Billing Account Administrator | 管理支付工具设定预算超支告警和开发团队沟通费用 |
| Financial planning | Billing Account Viewer | 查看帐单统计报告流程输出和CxO沟通 |
| Accounts payable | Billing Account Viewer | 核准发票 |
| Development teams | Billing Account User Project Creator |
创建新的可计费专案 |
范例情境:开发机构
| User type | Billing Cloud IAM roles | Billing activities |
| CEO | Billing Account Administrator | 管理支付工具授权 |
| CFO | Billing Account Administrator | 设定预算超支告警查看费用核准发票 |
| Project lead | Billing Account User Project Creator |
创建新的可计费专案 |
| Project development team | None | 在既有专案进行开发 |
| Client | Project Billing Manager | 当专案完成开发后取得专案的付款所有权 |
更新帐单权限
要增加或移除帐单权限,您必须:
1.前往Cloud Cloud Platform控制台
2.展开控制台左边的侧边栏,选择帐单
3.如果您有多个帐单帐户,请选择前往连结的帐单帐户,以管理目前专案的帐单权限。要找其他帐单帐户的话,选择管理帐单帐户
4.在右侧有使用权限面板,编辑所选帐单帐户的权限。(如果没有看到面板,请点选显示资讯面板打开它。)接着执行以下任一操作:
- 指定权限给用户:在新增成员下输入您想授权的成员的email,接着从选择角色的地方选您要授予成员的权限,最后点选新增即可。
- 撤销成员帐单权限:点击展开相对应的权限列表,将滑鼠游标移到要移除的成员上,再点击右侧垃圾桶的icon即可。
相关文章
- Cloud Billing API Access Control
- Granting, Changing, and Revoking Access to Project Members in the Cloud Identity and Access Management documentation
- Create Custom Roles for Billing
QQ咨询
旺旺咨询