יכול להיות שחלק מהמידע בדף הזה או כולו לא רלוונטי ל-Cloud de Confiance by S3NS. פרטים נוספים מופיעים במאמר מה ההבדל מ-Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

בקרת גישה והרשאות בחיוב ב-Cloud

כאן מוסבר על התפקידים ועל הרשאות הגישה לחשבונות לחיוב ב-Cloud.

את החשבון לחיוב ב-Cloud מגדירים ב- Cloud de Confiance . המערכת מחשבת את העלויות של השימוש במשאבים ובשירותים ב-Cloud de Confianceומצרפת אותן לחשבון. אפשר להגדיר כללי מדיניות בנושא ניהול זהויות והרשאות גישה (IAM) למשאבים בחיוב ב-Cloud, כדי לקבוע לאילו משתמשים יהיו הרשאות של ניהול וצפייה בעלויות במשאבים ספציפיים.

גישה לחיוב ב-Cloud

כדי לתת גישה או להגביל את הגישה לחשבון לחיוב ב-Cloud, אפשר להגדיר מדיניות IAM ברמת הארגון, ברמת החשבון לחיוב ב-Cloud וברמת הפרויקט. המשאבים ב- Cloud de Confiance יורשים את כללי מדיניות ה-IAM מהצומת הראשי, כלומר, אתם יכולים להגדיר מדיניות ברמת הארגון כדי להחיל אותה על כל החשבונות לחיוב ב-Cloud, הפרויקטים והמשאבים שבארגון.

אפשר להגדיר הרשאות גישה ברמת החשבון לחיוב ב-Cloud או ברמת הפרויקט כדי לקבוע את הרשאות הצפייה ברמות שונות, למשתמשים שונים ולתפקידים שונים.

כדי לתת למשתמש הרשאת צפייה בעלויות של כל הפרויקטים בחשבון לחיוב ב-Cloud, צריך לתת לו הרשאת צפייה בעלויות של החשבון (billing.accounts.getSpendingInformation). כדי לתת למשתמש הרשאת צפייה בעלויות של פרויקט ספציפי, צריך לתת לו הרשאות לצפייה בפרויקטים ספציפיים (billing.resourceCosts.get).

סקירה כללית של תפקידי IAM בחיוב ב-Cloud

המשתמשים לא מקבלים הרשאות בצורה ישירה. כדי להעניק למשתמשים הרשאות, צריך להקצות להם תפקידים שמוגדרת להם הרשאה אחת או יותר.

אפשר להקצות תפקיד אחד או יותר לאותו משתמש או באותו משאב.

באמצעות התפקידים המוגדרים מראש הבאים ב-IAM של 'חיוב ב-Cloud' אפשר להשתמש בבקרת גישה כדי לאכוף את הפרדת התפקידים:

תפקיד	מטרה	רמה	תרחיש שימוש
Billing Account Creator (`roles/billing.creator`)	יצירת חשבונות חדשים לחיוב בניהול עצמי (אונליין).	ארגון	ההרשאות בתפקיד הזה מאפשרות לבצע את ההגדרה הראשונית של החיוב, או ליצור חשבונות לחיוב נוספים. המשתמשים חייבים את התפקיד הזה כדי להירשם ל- Cloud de Confiance בזהות הארגונית שלהם. טיפ: כדאי לצמצם את מספר המשתמשים בארגון שהתפקיד הזה מוקצה להם כדי למנוע עלייה בהוצאות בענן בלי מעקב.
Billing Account Administrator (`roles/billing.admin`)	ניהול של החשבונות לחיוב (בלי ליצור אותם).	הארגון או החשבון לחיוב.	התפקיד הזה מיועד לבעלים של החשבון לחיוב. אדמינים יכולים להוסיף ולערוך אמצעי תשלום, לעדכן את פרטי פרופיל התשלומים כולל כתובות למשלוח דואר, להגדיר ייצוא של נתוני חיוב, לראות את פרטי העלויות, לבצע תשלום ידני, לקשר פרויקטים ולבטל את הקישור שלהם ולנהל תפקידים אחרים של משתמשים בחשבון לחיוב. כברירת מחדל, האדם שיוצר את החשבון לחיוב ב-Cloud מוגדר כאדמין של החשבון לחיוב.
Billing Account Costs Manager (`roles/billing.costsManager`)	ניהול התקציבים, צפייה בנתוני עלות וייצוא שלהם בחשבונות לחיוב (בלי מידע על תמחור).	הארגון או החשבון לחיוב.	ההרשאות בתפקיד הזה מאפשרות ליצור, לערוך ולמחוק תקציבים, להציג נתוני עלות וטרנזקציות בחשבון לחיוב ולנהל את הייצוא ל-BigQuery של נתוני העלות לחיוב. הן לא מאפשרות לייצא את נתוני התמחור או לראות פרטים של תמחור בהתאמה אישית בדף Pricing. הן גם לא מאפשרות לקשר פרויקטים ולבטל את הקישור שלהם או לשנות את המאפיינים של החשבון לחיוב.
צפייה בחשבון לחיוב (`roles/billing.viewer`)	צפייה בנתוני עלות וטרנזקציות בחשבון לחיוב.	הארגון או החשבון לחיוב.	התפקיד 'צפייה בחשבון לחיוב' בדרך כלל ניתן לצוותים פיננסיים. ההרשאות בתפקיד הזה מאפשרות לקרוא את פרטי העלויות והתשלומים, אבל לא לקשר פרויקטים ולבטל את הקישור שלהם או לשנות את המאפיינים של החשבון לחיוב.
ניהול עלויות החיוב בפרויקט (`roles/billing.projectCostsManager`)	צפייה בנתוני עלויות בחשבון לחיוב בהיקף של הפרויקטים.	הארגון או החשבון לחיוב.	כשהתפקיד הזה מוקצה יחד עם הרשאות צפייה בעלויות בפרויקטים, הוא מעניק גישה לנתוני חיוב בהיקף הפרויקטים שבהם למשתמש יש גישה לעלויות. נתוני החיוב בהיקף הפרויקטים כוללים גישה אל Reports,‏ FinOps hub,‏ Budgets and alerts ו-Anomalies.
משתמש בחשבון לחיוב (`roles/billing.user`)	קישור פרויקטים לחשבונות לחיוב.	הארגון או החשבון לחיוב.	ההרשאות בתפקיד הזה מוגבלות ביותר, כך שאפשר להקצות אותו להרבה אנשים. יחד עם ההרשאות שבתפקיד "יצירת פרויקטים", הן מאפשרות למשתמשים ליצור פרויקטים חדשים. הפרויקטים האלה יהיו מקושרים לחשבון לחיוב שבו ניתן התפקיד "משתמש בחשבון לחיוב". משתמשים עם התפקיד "ניהול החיוב בפרויקט" יכולים לקשר ולבטל את הקישור של פרויקטים בחשבון לחיוב שבו ניתן התפקיד "משתמש בחשבון לחיוב".
Project Billing Manager (`roles/billing.projectManager`)	קישור וביטול הקישור של פרויקטים בחשבון לחיוב.	הארגון, התיקייה או הפרויקט.	כאשר התפקיד Project Billing Manager מוענק בשילוב עם התפקיד Billing Account User, הוא מאפשר למשתמשים לחבר את הפרויקט לחשבון לחיוב, אבל לא מעניק להם הרשאות למשאבים. בעלי הפרויקט יכול להשתמש בתפקיד הזה כדי לאפשר למישהו אחר לנהל את החיוב בפרויקט, בלי לתת לו גישה למשאבים.

בטבלה הבאה מופיעים הפרטים של תפקידי החיוב שמוגדרים מראש ב-IAM, כולל ההרשאות בכל תפקיד.

Role Permissions

Role	Permissions
Billing Account Administrator (`roles/billing.admin`) Provides access to see and manage all aspects of billing accounts. Lowest-level resources where you can grant this role: Billing Account	`billing.accounts.close` `billing.accounts.get` `billing.accounts.getCarbonInformation` `billing.accounts.getIamPolicy` `billing.accounts.getPaymentInfo` `billing.accounts.getPricing` `billing.accounts.getSpendingInformation` `billing.accounts.getUsageExportSpec` `billing.accounts.list` `billing.accounts.move` `billing.accounts.redeemPromotion` `billing.accounts.removeFromOrganization` `billing.accounts.reopen` `billing.accounts.setIamPolicy` `billing.accounts.update` `billing.accounts.updatePaymentInfo` `billing.accounts.updateUsageExportSpec` `billing.anomalies.` `billing.anomalies.get` `billing.anomalies.list` `billing.anomalies.submitFeedback` `billing.anomaliesConfigs.` `billing.anomaliesConfigs.get` `billing.anomaliesConfigs.update` `billing.billingAccountPrice.get` `billing.billingAccountPrices.list` `billing.billingAccountServices.` `billing.billingAccountServices.get` `billing.billingAccountServices.list` `billing.billingAccountSkuGroupSkus.` `billing.billingAccountSkuGroupSkus.get` `billing.billingAccountSkuGroupSkus.list` `billing.billingAccountSkuGroups.` `billing.billingAccountSkuGroups.get` `billing.billingAccountSkuGroups.list` `billing.billingAccountSkus.` `billing.billingAccountSkus.get` `billing.billingAccountSkus.list` `billing.budgets.` `billing.budgets.create` `billing.budgets.delete` `billing.budgets.get` `billing.budgets.list` `billing.budgets.update` `billing.credits.list` `billing.finOpsBenchmarkInformation.get` `billing.finOpsHealthInformation.get` `billing.resourceAssociations.` `billing.resourceAssociations.create` `billing.resourceAssociations.delete` `billing.resourceAssociations.list` `billing.subscriptions.` `billing.subscriptions.create` `billing.subscriptions.get` `billing.subscriptions.list` `billing.subscriptions.update` `chroniclesm.contracts.` `chroniclesm.contracts.get` `chroniclesm.contracts.update` `cloudasset.assets.searchAllResources` `cloudnotifications.activities.list` `cloudsupport.properties.get` `cloudsupport.techCases.` `cloudsupport.techCases.create` `cloudsupport.techCases.escalate` `cloudsupport.techCases.get` `cloudsupport.techCases.list` `cloudsupport.techCases.update` `commerceoffercatalog.` `commerceoffercatalog.agreements.get` `commerceoffercatalog.agreements.list` `commerceoffercatalog.documents.get` `commerceoffercatalog.documents.list` `commerceoffercatalog.offers.get` `compute.commitments.create` `compute.commitments.get` `compute.commitments.list` `compute.commitments.update` `compute.commitments.updateReservations` `consumerprocurement.accounts.` `consumerprocurement.accounts.create` `consumerprocurement.accounts.delete` `consumerprocurement.accounts.get` `consumerprocurement.accounts.list` `consumerprocurement.consents.check` `consumerprocurement.consents.grant` `consumerprocurement.consents.list` `consumerprocurement.consents.revoke` `consumerprocurement.events.` `consumerprocurement.events.get` `consumerprocurement.events.list` `consumerprocurement.licensePools.` `consumerprocurement.licensePools.assign` `consumerprocurement.licensePools.enumerateLicensedUsers` `consumerprocurement.licensePools.get` `consumerprocurement.licensePools.unassign` `consumerprocurement.licensePools.update` `consumerprocurement.orderAttributions.` `consumerprocurement.orderAttributions.get` `consumerprocurement.orderAttributions.list` `consumerprocurement.orderAttributions.update` `consumerprocurement.orders.` `consumerprocurement.orders.cancel` `consumerprocurement.orders.get` `consumerprocurement.orders.list` `consumerprocurement.orders.modify` `consumerprocurement.orders.place` `dataprocessing.datasources.get` `dataprocessing.datasources.list` `dataprocessing.groupcontrols.get` `dataprocessing.groupcontrols.list` `discoveryengine.billingAccountLicenseConfigs.` `discoveryengine.billingAccountLicenseConfigs.distribute` `discoveryengine.billingAccountLicenseConfigs.get` `discoveryengine.billingAccountLicenseConfigs.list` `discoveryengine.billingAccountLicenseConfigs.retract` `logging.logEntries.list` `logging.logServiceIndexes.list` `logging.logServices.list` `logging.logs.list` `logging.privateLogEntries.list` `recommender.cloudsqlIdleInstanceRecommendations.get` `recommender.cloudsqlIdleInstanceRecommendations.list` `recommender.cloudsqlOverprovisionedInstanceRecommendations.get` `recommender.cloudsqlOverprovisionedInstanceRecommendations.list` `recommender.commitmentUtilizationInsights.` `recommender.commitmentUtilizationInsights.get` `recommender.commitmentUtilizationInsights.list` `recommender.commitmentUtilizationInsights.update` `recommender.computeAddressIdleResourceRecommendations.get` `recommender.computeAddressIdleResourceRecommendations.list` `recommender.computeDiskIdleResourceRecommendations.get` `recommender.computeDiskIdleResourceRecommendations.list` `recommender.computeImageIdleResourceRecommendations.get` `recommender.computeImageIdleResourceRecommendations.list` `recommender.computeInstanceGroupManagerMachineTypeRecommendations.get` `recommender.computeInstanceGroupManagerMachineTypeRecommendations.list` `recommender.computeInstanceIdleResourceRecommendations.get` `recommender.computeInstanceIdleResourceRecommendations.list` `recommender.computeInstanceMachineTypeRecommendations.get` `recommender.computeInstanceMachineTypeRecommendations.list` `recommender.costInsights.` `recommender.costInsights.get` `recommender.costInsights.list` `recommender.costInsights.update` `recommender.costRecommendations.` `recommender.costRecommendations.listAll` `recommender.costRecommendations.summarizeAll` `recommender.resourcemanagerProjectUtilizationRecommendations.get` `recommender.resourcemanagerProjectUtilizationRecommendations.list` `recommender.spendBasedCommitmentInsights.` `recommender.spendBasedCommitmentInsights.get` `recommender.spendBasedCommitmentInsights.list` `recommender.spendBasedCommitmentInsights.update` `recommender.spendBasedCommitmentRecommendations.` `recommender.spendBasedCommitmentRecommendations.get` `recommender.spendBasedCommitmentRecommendations.list` `recommender.spendBasedCommitmentRecommendations.update` `recommender.spendBasedCommitmentRecommenderConfig.` `recommender.spendBasedCommitmentRecommenderConfig.get` `recommender.spendBasedCommitmentRecommenderConfig.update` `recommender.usageCommitmentRecommendations.*` `recommender.usageCommitmentRecommendations.get` `recommender.usageCommitmentRecommendations.list` `recommender.usageCommitmentRecommendations.update` `resourcemanager.projects.createBillingAssignment` `resourcemanager.projects.deleteBillingAssignment` `resourcemanager.projects.get` `resourcemanager.projects.list`
Project Billing Manager (`roles/billing.projectManager`) When granted in conjunction with the Billing Account User role, provides access to assign a project's billing account or disable its billing. Lowest-level resources where you can grant this role: Project	`resourcemanager.projects.createBillingAssignment` `resourcemanager.projects.deleteBillingAssignment`
Billing Account Viewer (`roles/billing.viewer`) View billing account cost and pricing information, transactions, and billing and commitment recommendations. Lowest-level resources where you can grant this role: Billing Account	`billing.accounts.get` `billing.accounts.getCarbonInformation` `billing.accounts.getIamPolicy` `billing.accounts.getPaymentInfo` `billing.accounts.getPricing` `billing.accounts.getSpendingInformation` `billing.accounts.getUsageExportSpec` `billing.accounts.list` `billing.anomalies.get` `billing.anomalies.list` `billing.anomaliesConfigs.get` `billing.billingAccountPrice.get` `billing.billingAccountPrices.list` `billing.billingAccountServices.` `billing.billingAccountServices.get` `billing.billingAccountServices.list` `billing.billingAccountSkuGroupSkus.` `billing.billingAccountSkuGroupSkus.get` `billing.billingAccountSkuGroupSkus.list` `billing.billingAccountSkuGroups.` `billing.billingAccountSkuGroups.get` `billing.billingAccountSkuGroups.list` `billing.billingAccountSkus.` `billing.billingAccountSkus.get` `billing.billingAccountSkus.list` `billing.budgets.get` `billing.budgets.list` `billing.credits.list` `billing.finOpsBenchmarkInformation.get` `billing.finOpsHealthInformation.get` `billing.resourceAssociations.list` `billing.subscriptions.get` `billing.subscriptions.list` `chroniclesm.contracts.get` `commerceoffercatalog.` `commerceoffercatalog.agreements.get` `commerceoffercatalog.agreements.list` `commerceoffercatalog.documents.get` `commerceoffercatalog.documents.list` `commerceoffercatalog.offers.get` `consumerprocurement.accounts.get` `consumerprocurement.accounts.list` `consumerprocurement.consents.check` `consumerprocurement.consents.list` `consumerprocurement.orderAttributions.get` `consumerprocurement.orderAttributions.list` `consumerprocurement.orders.get` `consumerprocurement.orders.list` `dataprocessing.datasources.get` `dataprocessing.datasources.list` `dataprocessing.groupcontrols.get` `dataprocessing.groupcontrols.list` `discoveryengine.billingAccountLicenseConfigs.get` `discoveryengine.billingAccountLicenseConfigs.list` `recommender.commitmentUtilizationInsights.get` `recommender.commitmentUtilizationInsights.list` `recommender.costInsights.get` `recommender.costInsights.list` `recommender.costRecommendations.` `recommender.costRecommendations.listAll` `recommender.costRecommendations.summarizeAll` `recommender.spendBasedCommitmentInsights.get` `recommender.spendBasedCommitmentInsights.list` `recommender.spendBasedCommitmentRecommendations.get` `recommender.spendBasedCommitmentRecommendations.list` `recommender.spendBasedCommitmentRecommenderConfig.get` `recommender.usageCommitmentRecommendations.get` `recommender.usageCommitmentRecommendations.list`
Carbon Footprint Viewer (`roles/billing.carbonViewer`)	`billing.accounts.get` `billing.accounts.getCarbonInformation` `billing.accounts.list`
Billing Account Costs Manager (`roles/billing.costsManager`) Manage budgets for a billing account, and view, analyze, and export cost information of a billing account. Lowest-level resources where you can grant this role: Billing Account	`billing.accounts.get` `billing.accounts.getIamPolicy` `billing.accounts.getSpendingInformation` `billing.accounts.getUsageExportSpec` `billing.accounts.list` `billing.accounts.updateUsageExportSpec` `billing.anomalies.get` `billing.anomalies.list` `billing.anomaliesConfigs.` `billing.anomaliesConfigs.get` `billing.anomaliesConfigs.update` `billing.budgets.` `billing.budgets.create` `billing.budgets.delete` `billing.budgets.get` `billing.budgets.list` `billing.budgets.update` `billing.resourceAssociations.list` `recommender.costInsights.*` `recommender.costInsights.get` `recommender.costInsights.list` `recommender.costInsights.update`
Billing Account Creator (`roles/billing.creator`) Provides access to create billing accounts. Lowest-level resources where you can grant this role: Organization	`billing.accounts.create` `resourcemanager.organizations.get`
Account Hierarchy Manager (`roles/billing.linkAdmin`) Authorized to manage billing account hierarchy	`billing.accounts.create` `billing.accounts.get` `billing.accounts.getCarbonInformation` `billing.accounts.getIamPolicy` `billing.accounts.getPaymentInfo` `billing.accounts.getPricing` `billing.accounts.getSpendingInformation` `billing.accounts.getUsageExportSpec` `billing.accounts.list` `billing.accounts.move` `billing.accounts.removeFromOrganization` `billing.anomalies.get` `billing.anomalies.list` `billing.anomaliesConfigs.get` `billing.billingAccountPrice.get` `billing.billingAccountPrices.list` `billing.billingAccountServices.` `billing.billingAccountServices.get` `billing.billingAccountServices.list` `billing.billingAccountSkuGroupSkus.` `billing.billingAccountSkuGroupSkus.get` `billing.billingAccountSkuGroupSkus.list` `billing.billingAccountSkuGroups.` `billing.billingAccountSkuGroups.get` `billing.billingAccountSkuGroups.list` `billing.billingAccountSkus.` `billing.billingAccountSkus.get` `billing.billingAccountSkus.list` `billing.budgets.get` `billing.budgets.list` `billing.credits.list` `billing.finOpsBenchmarkInformation.get` `billing.finOpsHealthInformation.get` `billing.resourceAssociations.list` `billing.subscriptions.get` `billing.subscriptions.list` `commerceoffercatalog.` `commerceoffercatalog.agreements.get` `commerceoffercatalog.agreements.list` `commerceoffercatalog.documents.get` `commerceoffercatalog.documents.list` `commerceoffercatalog.offers.get` `consumerprocurement.accounts.get` `consumerprocurement.accounts.list` `consumerprocurement.consents.check` `consumerprocurement.consents.list` `consumerprocurement.orderAttributions.get` `consumerprocurement.orderAttributions.list` `consumerprocurement.orders.get` `consumerprocurement.orders.list` `dataprocessing.datasources.get` `dataprocessing.datasources.list` `dataprocessing.groupcontrols.get` `dataprocessing.groupcontrols.list` `recommender.commitmentUtilizationInsights.get` `recommender.commitmentUtilizationInsights.list` `recommender.costInsights.get` `recommender.costInsights.list` `recommender.costRecommendations.` `recommender.costRecommendations.listAll` `recommender.costRecommendations.summarizeAll` `recommender.spendBasedCommitmentInsights.get` `recommender.spendBasedCommitmentInsights.list` `recommender.spendBasedCommitmentRecommendations.get` `recommender.spendBasedCommitmentRecommendations.list` `recommender.spendBasedCommitmentRecommenderConfig.get` `recommender.usageCommitmentRecommendations.get` `recommender.usageCommitmentRecommendations.list`
Project Billing Costs Manager (`roles/billing.projectCostsManager`) When granted in conjunction with cost view permissions on projects, provides access to billing information scoped to the projects to which the user has cost access. Lowest-level resources where you can grant this role: Billing Account	`billing.accounts.get` `billing.accounts.getIamPolicy` `billing.accounts.getSpendingInformationScoped` `billing.costRecommendations.listScoped`
Billing Account User (`roles/billing.user`) When granted in conjunction with the Project Owner role or Project Billing Manager role, provides access to associate projects with billing accounts. Lowest-level resources where you can grant this role: Billing Account	`billing.accounts.get` `billing.accounts.getIamPolicy` `billing.accounts.list` `billing.accounts.redeemPromotion` `billing.credits.list` `billing.resourceAssociations.create`

Billing Account Administrator

(roles/billing.admin)

Provides access to see and manage all aspects of billing accounts.

Lowest-level resources where you can grant this role:

Billing Account

billing.accounts.close

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.getIamPolicy

billing.accounts.getPaymentInfo

billing.accounts.getPricing

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.accounts.move

billing.accounts.redeemPromotion

billing.accounts.removeFromOrganization

billing.accounts.reopen

billing.accounts.setIamPolicy

billing.accounts.update

billing.accounts.updatePaymentInfo

billing.accounts.updateUsageExportSpec

billing.anomalies.*

billing.anomalies.get
billing.anomalies.list
billing.anomalies.submitFeedback

billing.anomaliesConfigs.*

billing.anomaliesConfigs.get
billing.anomaliesConfigs.update

billing.billingAccountPrice.get

billing.billingAccountPrices.list

billing.billingAccountServices.*

billing.billingAccountServices.get
billing.billingAccountServices.list

billing.billingAccountSkuGroupSkus.*

billing.billingAccountSkuGroupSkus.get
billing.billingAccountSkuGroupSkus.list

billing.billingAccountSkuGroups.*

billing.billingAccountSkuGroups.get
billing.billingAccountSkuGroups.list

billing.billingAccountSkus.*

billing.billingAccountSkus.get
billing.billingAccountSkus.list

billing.budgets.*

billing.budgets.create
billing.budgets.delete
billing.budgets.get
billing.budgets.list
billing.budgets.update

billing.credits.list

billing.finOpsBenchmarkInformation.get

billing.finOpsHealthInformation.get

billing.resourceAssociations.*

billing.resourceAssociations.create
billing.resourceAssociations.delete
billing.resourceAssociations.list

billing.subscriptions.*

billing.subscriptions.create
billing.subscriptions.get
billing.subscriptions.list
billing.subscriptions.update

chroniclesm.contracts.*

chroniclesm.contracts.get
chroniclesm.contracts.update

cloudasset.assets.searchAllResources

cloudnotifications.activities.list

cloudsupport.properties.get

cloudsupport.techCases.*

cloudsupport.techCases.create
cloudsupport.techCases.escalate
cloudsupport.techCases.get
cloudsupport.techCases.list
cloudsupport.techCases.update

commerceoffercatalog.*

commerceoffercatalog.agreements.get
commerceoffercatalog.agreements.list
commerceoffercatalog.documents.get
commerceoffercatalog.documents.list
commerceoffercatalog.offers.get

compute.commitments.create

compute.commitments.get

compute.commitments.list

compute.commitments.update

compute.commitments.updateReservations

consumerprocurement.accounts.*

consumerprocurement.accounts.create
consumerprocurement.accounts.delete
consumerprocurement.accounts.get
consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.grant

consumerprocurement.consents.list

consumerprocurement.consents.revoke

consumerprocurement.events.*

consumerprocurement.events.get
consumerprocurement.events.list

consumerprocurement.licensePools.*

consumerprocurement.licensePools.assign
consumerprocurement.licensePools.enumerateLicensedUsers
consumerprocurement.licensePools.get
consumerprocurement.licensePools.unassign
consumerprocurement.licensePools.update

consumerprocurement.orderAttributions.*

consumerprocurement.orderAttributions.get
consumerprocurement.orderAttributions.list
consumerprocurement.orderAttributions.update

consumerprocurement.orders.*

consumerprocurement.orders.cancel
consumerprocurement.orders.get
consumerprocurement.orders.list
consumerprocurement.orders.modify
consumerprocurement.orders.place

dataprocessing.datasources.get

dataprocessing.datasources.list

dataprocessing.groupcontrols.get

dataprocessing.groupcontrols.list

discoveryengine.billingAccountLicenseConfigs.*

discoveryengine.billingAccountLicenseConfigs.distribute
discoveryengine.billingAccountLicenseConfigs.get
discoveryengine.billingAccountLicenseConfigs.list
discoveryengine.billingAccountLicenseConfigs.retract

logging.logEntries.list

logging.logServiceIndexes.list

logging.logServices.list

logging.logs.list

logging.privateLogEntries.list

recommender.cloudsqlIdleInstanceRecommendations.get

recommender.cloudsqlIdleInstanceRecommendations.list

recommender.cloudsqlOverprovisionedInstanceRecommendations.get

recommender.cloudsqlOverprovisionedInstanceRecommendations.list

recommender.commitmentUtilizationInsights.*

recommender.commitmentUtilizationInsights.get
recommender.commitmentUtilizationInsights.list
recommender.commitmentUtilizationInsights.update

recommender.computeAddressIdleResourceRecommendations.get

recommender.computeAddressIdleResourceRecommendations.list

recommender.computeDiskIdleResourceRecommendations.get

recommender.computeDiskIdleResourceRecommendations.list

recommender.computeImageIdleResourceRecommendations.get

recommender.computeImageIdleResourceRecommendations.list

recommender.computeInstanceGroupManagerMachineTypeRecommendations.get

recommender.computeInstanceGroupManagerMachineTypeRecommendations.list

recommender.computeInstanceIdleResourceRecommendations.get

recommender.computeInstanceIdleResourceRecommendations.list

recommender.computeInstanceMachineTypeRecommendations.get

recommender.computeInstanceMachineTypeRecommendations.list

recommender.costInsights.*

recommender.costInsights.get
recommender.costInsights.list
recommender.costInsights.update

recommender.costRecommendations.*

recommender.costRecommendations.listAll
recommender.costRecommendations.summarizeAll

recommender.resourcemanagerProjectUtilizationRecommendations.get

recommender.resourcemanagerProjectUtilizationRecommendations.list

recommender.spendBasedCommitmentInsights.*

recommender.spendBasedCommitmentInsights.get
recommender.spendBasedCommitmentInsights.list
recommender.spendBasedCommitmentInsights.update

recommender.spendBasedCommitmentRecommendations.*

recommender.spendBasedCommitmentRecommendations.get
recommender.spendBasedCommitmentRecommendations.list
recommender.spendBasedCommitmentRecommendations.update

recommender.spendBasedCommitmentRecommenderConfig.*

recommender.spendBasedCommitmentRecommenderConfig.get
recommender.spendBasedCommitmentRecommenderConfig.update

recommender.usageCommitmentRecommendations.*

recommender.usageCommitmentRecommendations.get
recommender.usageCommitmentRecommendations.list
recommender.usageCommitmentRecommendations.update

resourcemanager.projects.createBillingAssignment

resourcemanager.projects.deleteBillingAssignment

resourcemanager.projects.get

resourcemanager.projects.list

Project Billing Manager

(roles/billing.projectManager)

When granted in conjunction with the Billing Account User role, provides access to assign a project's billing account or disable its billing.

Lowest-level resources where you can grant this role:

Project

resourcemanager.projects.createBillingAssignment

resourcemanager.projects.deleteBillingAssignment

Billing Account Viewer

(roles/billing.viewer)

View billing account cost and pricing information, transactions, and billing and commitment recommendations.

Lowest-level resources where you can grant this role:

Billing Account

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.getIamPolicy

billing.accounts.getPaymentInfo

billing.accounts.getPricing

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.anomalies.get

billing.anomalies.list

billing.anomaliesConfigs.get

billing.billingAccountPrice.get

billing.billingAccountPrices.list

billing.billingAccountServices.*

billing.billingAccountServices.get
billing.billingAccountServices.list

billing.billingAccountSkuGroupSkus.*

billing.billingAccountSkuGroupSkus.get
billing.billingAccountSkuGroupSkus.list

billing.billingAccountSkuGroups.*

billing.billingAccountSkuGroups.get
billing.billingAccountSkuGroups.list

billing.billingAccountSkus.*

billing.billingAccountSkus.get
billing.billingAccountSkus.list

billing.budgets.get

billing.budgets.list

billing.credits.list

billing.finOpsBenchmarkInformation.get

billing.finOpsHealthInformation.get

billing.resourceAssociations.list

billing.subscriptions.get

billing.subscriptions.list

chroniclesm.contracts.get

commerceoffercatalog.*

commerceoffercatalog.agreements.get
commerceoffercatalog.agreements.list
commerceoffercatalog.documents.get
commerceoffercatalog.documents.list
commerceoffercatalog.offers.get

consumerprocurement.accounts.get

consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.list

consumerprocurement.orderAttributions.get

consumerprocurement.orderAttributions.list

consumerprocurement.orders.get

consumerprocurement.orders.list

dataprocessing.datasources.get

dataprocessing.datasources.list

dataprocessing.groupcontrols.get

dataprocessing.groupcontrols.list

discoveryengine.billingAccountLicenseConfigs.get

discoveryengine.billingAccountLicenseConfigs.list

recommender.commitmentUtilizationInsights.get

recommender.commitmentUtilizationInsights.list

recommender.costInsights.get

recommender.costInsights.list

recommender.costRecommendations.*

recommender.costRecommendations.listAll
recommender.costRecommendations.summarizeAll

recommender.spendBasedCommitmentInsights.get

recommender.spendBasedCommitmentInsights.list

recommender.spendBasedCommitmentRecommendations.get

recommender.spendBasedCommitmentRecommendations.list

recommender.spendBasedCommitmentRecommenderConfig.get

recommender.usageCommitmentRecommendations.get

recommender.usageCommitmentRecommendations.list

Carbon Footprint Viewer

(roles/billing.carbonViewer)

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.list

Billing Account Costs Manager

(roles/billing.costsManager)

Manage budgets for a billing account, and view, analyze, and export cost information of a billing account.

Lowest-level resources where you can grant this role:

Billing Account

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.accounts.updateUsageExportSpec

billing.anomalies.get

billing.anomalies.list

billing.anomaliesConfigs.*

billing.anomaliesConfigs.get
billing.anomaliesConfigs.update

billing.budgets.*

billing.budgets.create
billing.budgets.delete
billing.budgets.get
billing.budgets.list
billing.budgets.update

billing.resourceAssociations.list

recommender.costInsights.*

recommender.costInsights.get
recommender.costInsights.list
recommender.costInsights.update

Billing Account Creator

(roles/billing.creator)

Provides access to create billing accounts.

Lowest-level resources where you can grant this role:

Organization

billing.accounts.create

resourcemanager.organizations.get

Account Hierarchy Manager

(roles/billing.linkAdmin)

Authorized to manage billing account hierarchy

billing.accounts.create

billing.accounts.get

billing.accounts.getCarbonInformation

billing.accounts.getIamPolicy

billing.accounts.getPaymentInfo

billing.accounts.getPricing

billing.accounts.getSpendingInformation

billing.accounts.getUsageExportSpec

billing.accounts.list

billing.accounts.move

billing.accounts.removeFromOrganization

billing.anomalies.get

billing.anomalies.list

billing.anomaliesConfigs.get

billing.billingAccountPrice.get

billing.billingAccountPrices.list

billing.billingAccountServices.*

billing.billingAccountServices.get
billing.billingAccountServices.list

billing.billingAccountSkuGroupSkus.*

billing.billingAccountSkuGroupSkus.get
billing.billingAccountSkuGroupSkus.list

billing.billingAccountSkuGroups.*

billing.billingAccountSkuGroups.get
billing.billingAccountSkuGroups.list

billing.billingAccountSkus.*

billing.billingAccountSkus.get
billing.billingAccountSkus.list

billing.budgets.get

billing.budgets.list

billing.credits.list

billing.finOpsBenchmarkInformation.get

billing.finOpsHealthInformation.get

billing.resourceAssociations.list

billing.subscriptions.get

billing.subscriptions.list

commerceoffercatalog.*

commerceoffercatalog.agreements.get
commerceoffercatalog.agreements.list
commerceoffercatalog.documents.get
commerceoffercatalog.documents.list
commerceoffercatalog.offers.get

consumerprocurement.accounts.get

consumerprocurement.accounts.list

consumerprocurement.consents.check

consumerprocurement.consents.list

consumerprocurement.orderAttributions.get

consumerprocurement.orderAttributions.list

consumerprocurement.orders.get

consumerprocurement.orders.list

dataprocessing.datasources.get

dataprocessing.datasources.list

dataprocessing.groupcontrols.get

dataprocessing.groupcontrols.list

recommender.commitmentUtilizationInsights.get

recommender.commitmentUtilizationInsights.list

recommender.costInsights.get

recommender.costInsights.list

recommender.costRecommendations.*

recommender.costRecommendations.listAll
recommender.costRecommendations.summarizeAll

recommender.spendBasedCommitmentInsights.get

recommender.spendBasedCommitmentInsights.list

recommender.spendBasedCommitmentRecommendations.get

recommender.spendBasedCommitmentRecommendations.list

recommender.spendBasedCommitmentRecommenderConfig.get

recommender.usageCommitmentRecommendations.get

recommender.usageCommitmentRecommendations.list

Project Billing Costs Manager

(roles/billing.projectCostsManager)

When granted in conjunction with cost view permissions on projects, provides access to billing information scoped to the projects to which the user has cost access.

Lowest-level resources where you can grant this role:

Billing Account

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.getSpendingInformationScoped

billing.costRecommendations.listScoped

Billing Account User

(roles/billing.user)

When granted in conjunction with the Project Owner role or Project Billing Manager role, provides access to associate projects with billing accounts.

Lowest-level resources where you can grant this role:

Billing Account

billing.accounts.get

billing.accounts.getIamPolicy

billing.accounts.list

billing.accounts.redeemPromotion

billing.credits.list

billing.resourceAssociations.create

יחסי IAM בין ארגונים, פרויקטים וחשבונות לחיוב ב-Cloud

יש שני סוגים של יחסים ששולטים באינטראקציות בין הארגונים, החשבונות לחיוב ב-Cloud והפרויקטים: בעלות וקישור לתשלום.

בעלות מתייחסת לירושה של הרשאות IAM.
קישור לתשלום מגדיר את החשבונות לחיוב ב-Cloud שבאמצעותם משלמים על פרויקט נתון.

בתרשים הבא מוצגים היחסים בין הבעלות לקישור לתשלום בארגון לדוגמה.

‫המחשה של הקשר בין פרויקטים לבין חשבון לחיוב ב-Cloud ופרופיל תשלומים ב-Google. ‫בצד אחד מוצגים המשאבים ברמת Cloud de Confiance(חשבון לחיוב ב-Cloud והפרויקטים שמשויכים אליו), ובצד השני, מעבר לקו המקווקו שלאורך, מוצג המשאב ברמת Google (פרופיל התשלומים ב-Google).
התשלום על הפרויקטים מבוצע באמצעות החשבון לחיוב ב-Cloud שמקושר לפרופיל התשלומים ב-Google.

בתרשים, לצומת של הארגון יש בעלות על פרויקטים 1, 2 ו-3, כלומר הוא ההורה הראשי של הרשאות ה-IAM בשלושת הפרויקטים.

החשבון לחיוב ב-Cloud מקושר לפרויקטים 1, 2 ו-3, כלומר הוא משמש לתשלום על העלויות בשלושת הפרויקטים. החשבון לחיוב ב-Cloud יכול לשמש לתשלום גם על פרויקטים בארגונים אחרים, אבל הוא יורש את הרשאות ה-IAM מארגון ההורה שלו.

למרות שהחשבונות לחיוב ב-Cloud מקושרים לפרויקטים, מבחינת היררכיית ההרשאות ב-IAM הם לא ההורים של הפרויקטים, ולכן הפרויקטים לא יורשים את ההרשאות מהחשבון לחיוב ב-Cloud שאליו הם מקושרים.

בדוגמה הזו, משתמשים שמוענקים להם תפקידי IAM בחיוב ב-Cloud ברמת הארגון יחזיקו באותם התפקידים גם בחשבון לחיוב ב-Cloud ובפרויקטים.

דוגמאות לבקרת גישה לחיוב ב-Cloud

אפשר לשלב בין תפקידי IAM באופן הבא כדי לענות על הצרכים במגוון תרחישים.

התרחיש: ארגון קטן עד בינוני עם העדפה לשליטה ריכוזית.
סוג המשתמש	תפקידי IAM בחיוב	פעילויות חיוב
מנכ"ל	Billing Account Administrator	ניהול של אמצעי התשלום. הצגה ואישור של חשבוניות.
מנהל טכנולוגיות ראשי (CTO)	Billing Account Administrator Project Creator	הגדרת התראות לתקציבים. צפייה בהוצאות. יצירת פרויקטים חדשים לחיוב.
צוותי פיתוח	אין	אין

התרחיש: ארגון קטן עד בינוני עם העדפה להאצלת סמכויות.
סוג המשתמש	תפקידי IAM בחיוב	פעילויות חיוב
מנכ"ל	Billing Account Administrator	ניהול של אמצעי התשלום. האצלת סמכויות.
סמנכ"ל כספים	Billing Account Administrator	הגדרת התראות לתקציבים. צפייה בהוצאות.
חשבונות לתשלום	Billing Account Viewer	הצגה ואישור של חשבוניות.
צוותי פיתוח	משתמש בחשבון לחיוב יצירת פרויקטים	יצירת פרויקטים חדשים לחיוב.

התרחיש: גורמים נפרדים בארגון לתכנון פיננסי ולרכש
סוג המשתמש	תפקידי IAM בחיוב	פעילויות חיוב
ניהול רכש או IT מרכזי	Billing Account Administrator	ניהול של אמצעי התשלום. הגדרת התראות לתקציבים. עדכון צוותי הפיתוח בכל מה שקשור להוצאות.
תכנון פיננסי	Billing Account Viewer	צפייה בדוחות החיוב. עיבוד נתוני ייצוא. ניהול תקשורת עם ההנהלה הבכירה.
חשבונות לתשלום	Billing Account Viewer	אישור חשבוניות.
צוותי פיתוח	משתמש בחשבון לחיוב יצירת פרויקטים	יצירת פרויקטים חדשים לחיוב.

התרחיש: סוכנות פיתוח
סוג המשתמש	תפקידי IAM בחיוב	פעילויות חיוב
מנכ"ל	Billing Account Administrator	ניהול של אמצעי התשלום. האצלת סמכויות.
סמנכ"ל כספים	Billing Account Administrator	הגדרת התראות לתקציבים. צפייה בהוצאות. אישור חשבוניות.
הובלת פרויקטים	משתמש בחשבון לחיוב יצירת פרויקטים	יצירת פרויקטים חדשים לחיוב.
צוות פיתוח פרויקט	אין	פיתוח מתוך פרויקטים קיימים.
לקוח	Project Billing Manager	קבלת בעלות על התשלום בסיום הפרויקט.

איך מעדכנים את ההרשאות לחיוב ב-Cloud

לקבלת מידע נוסף על האופן שבו בודקים, מוסיפים או מסירים הרשאות לחיוב ב-Cloud, אפשר לעיין במאמר ניהול הגישה לחשבונות לחיוב ב-Cloud.

בקרת גישה והרשאות בחיוב ב-Cloud

גישה לחיוב ב-Cloud

סקירה כללית של תפקידי IAM בחיוב ב-Cloud

Billing Account Administrator

Project Billing Manager

Billing Account Viewer

Carbon Footprint Viewer

Billing Account Costs Manager

Billing Account Creator

Account Hierarchy Manager

Project Billing Costs Manager

Billing Account User

יחסי IAM בין ארגונים, פרויקטים וחשבונות לחיוב ב-Cloud

דוגמאות לבקרת גישה לחיוב ב-Cloud

איך מעדכנים את ההרשאות לחיוב ב-Cloud

נושאים קשורים