ソース
請求に関するカスタムの役割の作成 | Cloud Billing | Google Cloud
https://cloud.google.com/billing/docs/how-to/custom-roles
Cloud Billing のアクセス制御の概要 | Google Cloud
https://cloud.google.com/billing/docs/how-to/billing-access
カスタムロールでの権限のサポートレベル | Cloud IAM のドキュメント | Google Cloud
https://cloud.google.com/iam/docs/custom-roles-permissions-support
| ロール | ロール | 役割 | コンソール画面 | 請求先アカウント管理者 | 請求先アカウントの費用管理者 | 請求先アカウント作成者 | プロジェクト支払い管理者 | 請求先アカウント ユーザー | 請求先アカウント閲覧者 |
|---|---|---|---|---|---|---|---|---|---|
| 要約 | ●●ができる人 | ||||||||
| billing.accounts.create | ● | ||||||||
| billing.accounts.close | ● | ||||||||
| billing.accounts.get | ● | ● | ● | ● | |||||
| billing.accounts.getIamPolicy | ● | ● | ● | ● | |||||
| billing.accounts.getPaymentInfo | ● | ● | |||||||
| billing.accounts.getSpendingInformation | ● | ● | ● | ||||||
| billing.accounts.getUsageExportSpec | ● | ● | ● | ||||||
| billing.accounts.list | ● | ● | ● | ● | |||||
| billing.accounts.move | ● | ||||||||
| billing.accounts.redeemPromotion | プロモーション コードの利用 | ● | ● | ||||||
| billing.accounts.removeFromOrganization | ● | ||||||||
| billing.accounts.reopen | ● | ||||||||
| billing.accounts.setIamPolicy | ● | ||||||||
| billing.accounts.update | ● | ||||||||
| billing.accounts.updatePaymentInfo | ● | ||||||||
| billing.accounts.updateUsageExportSpec | ● | ● | |||||||
| billing.budgets.* | 予算アラートの表示・作成・更新 | ● | ● | ||||||
| billing.budgets.get | ● | ||||||||
| billing.budgets.list | ● | ||||||||
| billing.credits.* | ● | ● | ● | ||||||
| billing.resourceAssociations.* | プロジェクトの関連付けの表示・作成・削除 | ● | |||||||
| billing.resourceAssociations.create | ● | ||||||||
| billing.resourceAssociations.list | ● | ||||||||
| billing.subscriptions.* | Cloud Marketplace からサービスを購入するなど。https://cloud.google.com/marketplace/docs/access-control。以下を見る限りテスト中。https://cloud.google.com/iam/docs/custom-roles-permissions-support | ● | |||||||
| billing.subscriptions.get | ● | ||||||||
| billing.subscriptions.list | ● | ||||||||
| cloudnotifications.* | 情報なし。以下に記載なし。https://cloud.google.com/iam/docs/custom-roles-permissions-support。おそらく通知関連? | ● | |||||||
| consumerprocurement.accounts.* | ● | ||||||||
| consumerprocurement.accounts.get | ● | ||||||||
| consumerprocurement.accounts.list | ● | ||||||||
| consumerprocurement.orders.* | ● | ||||||||
| consumerprocurement.orders.get | ● | ||||||||
| consumerprocurement.orders.list | ● | ||||||||
| dataprocessing.datasources.get | 情報なし。以下を見る限りサポートはしている。https://cloud.google.com/iam/docs/custom-roles-permissions-support | ● | ● | ||||||
| dataprocessing.datasources.list | 情報なし。以下を見る限りサポートはしている。https://cloud.google.com/iam/docs/custom-roles-permissions-support | ● | ● | ||||||
| dataprocessing.groupcontrols.get | 情報なし。以下を見る限りサポートはしている。https://cloud.google.com/iam/docs/custom-roles-permissions-support | ● | ● | ||||||
| dataprocessing.groupcontrols.list | 情報なし。以下を見る限りサポートはしている。https://cloud.google.com/iam/docs/custom-roles-permissions-support | ● | ● | ||||||
| logging.logEntries.list | ロギングに関する権限。https://cloud.google.com/logging/docs/access-control。プロジェクトレベルで付与できる | ● | |||||||
| logging.logServiceIndexes.* | ロギングに関する権限。https://cloud.google.com/logging/docs/access-control。プロジェクトレベルで付与できる | ● | |||||||
| logging.logServices.* | ロギングに関する権限。https://cloud.google.com/logging/docs/access-control。プロジェクトレベルで付与できる | ● | |||||||
| logging.logs.list | ロギングに関する権限。https://cloud.google.com/logging/docs/access-control。プロジェクトレベルで付与できる | ● | |||||||
| logging.privateLogEntries.* | ロギングに関する権限。https://cloud.google.com/logging/docs/access-control。プロジェクトレベルで付与できる。データアクセス監査ログを表示できるようにする | ● | |||||||
| recommender.commitmentUtilizationInsights.* | ● | ||||||||
| recommender.commitmentUtilizationInsights.get | ● | ||||||||
| recommender.commitmentUtilizationInsights.list | ● | ||||||||
| recommender.usageCommitmentRecommendations.* | ● | ||||||||
| recommender.usageCommitmentRecommendations.get | ● | ||||||||
| recommender.usageCommitmentRecommendations.list | ● | ||||||||
| resourcemanager.projects.createBillingAssignment | ● | ● | |||||||
| resourcemanager.projects.deleteBillingAssignment | ● | ● | |||||||
| resourcemanager.organizations.get | ロールの明確な説明なし。サポートしている。組織レベルのリソースにアクセスする権限 | ● |
| 管理者 | 費用管理者 | ユーザー | 閲覧者 | 作成者 | |||
|---|---|---|---|---|---|---|---|
| 概要 | ● | ● | ● | ● | ● | ||
| レポート | ● | ● | ● | ● | ● | ||
| 請求月の選択 | ●(削除したPJもみれる) | ●(削除したPJもみれる) | × | ●(削除したPJもみれる) | × | ||
| 他社の利用状況 | ● | × | × | × | × | ||
| クレジット | ● | ● | ● | ● | × | ||
| 割引 | ● | ● | ● | ● | × | ||
| プロモーション | ● | × | × | × | × | ||
| 価格表 | ● | ● | ● | ● | × | ||
| 課金データのエクスポート | ● | ● | × | ● | × | ||
| CSVのデータのダウンロード | ● | ●(全項目可能) | × | ● | × | ||
| 他社の利用状況 | ● | × | × | × | × | ||
| 費用内訳 | ● | ● | × | ● | × | ||
| 割引率などの項目 | ● | ● | × | ● | × | ||
| コミットメント | ● | × | × | ● | × | ||
| コミットメント分析 | ● | × | × | ● | × | ||
| 表示 | ● | × | × | ● | × | ||
| 集計 | ● | × | × | ● | × | ||
| リージョン別 | ● | × | × | ● | × | ||
| 予算とアラート | ● | ● | × | × | × | ||
| 予算の作成 | ● | ● | × | × | × | ||
| 課金データのエクスポート | ● | ● | × | × | × | ||
| BQのエクスポート | ● | ● | × | × | × | ||
| 設定を編集 | ● | ● | × | × | × | ||
| ファイルのエクスポート | ● | × | × | × | × | ||
| 設定を編集 | ● | × | × | × | × | ||
| 料金 | ● | × | × | ● | × | ||
| アカウント管理 | ● | ● | ● | ● | ● | ||
| 課金を無効化する | ● | × | × | ● | ● | ||
| お支払い情報を変更 | ● | × | × | ● | ● | ||
| メンバーの追加 | ● | × | × | × | × | ||
| 請求先アカウント名変更 | ● | × | × | × | × | ||
| 請求先アカウントを閉鎖 | × | × | × | × | × | ||
| 請求先アカウントのリンク(課金を無効にしたあと、無効にしたPJに請求先アカウントをリンクできるか)※ここもPJの権限しだいかも | ● | × | ● | × | × | ||
| 新しい請求先アカウントの作成 | ●(費用管理者:新しく作れてしまうけど、組織を変えられない(お支払いプロファイル)から、結局組織に紐づく。⇒作成してみたけど、クレジットカードの登録画面に進む) | ●(費用管理者と同様) | ●(費用管理者と同様) | ●(作成はできるが、既存の請求先アカウントと一切できない) |
【気になってた部分の確認】
・コミットメントは使えないといけない⇒管理者であれば使える。
・アカウント無効化まわりでまずいことにならないか⇒内部のGoogleアカウントを削除されることはない
・マーケットプレイスを使えないといけない⇒管理者であれば使える。
・請求先アカウントを作成できるが、何か影響はあるか⇒作成する請求先アカウントは作成したアカウントのものになるだけなので、影響はない。
・管理者アカウントにしたらどうなるかの細かいところをみる⇒確認し、資料に反映しました
・他社の対応方法は?⇒IRET、トップゲートは管理者を付与している
・管理者を付与すると他社の利用状況はみえないか?⇒見えない
