#google-cloud-platform #billing #google-cloud-billing
#google-cloud-platform #выставление счетов #google-cloud-выставление счетов
Вопрос:
В этом видео в 10:54 представитель Google говорит:
И здесь мы хотим воспользоваться этим советом — действительно важным советом — по умолчанию [мы] оставляем роли создателей учетных записей для выставления счетов в вашей организации для всех, кто в ней работает. Мы настоятельно рекомендуем вам удалить это. Чтобы отключить это.
И в этом видео в 3:20 представитель Google говорит:
Мы рекомендуем придерживаться единой учетной записи для выставления счетов для каждой организации и убедиться, что только администраторы могут создавать новые учетные записи для выставления счетов. Это можно сделать, удалив роль создателя учетной записи для выставления счетов из своей организации.
Как вы на самом деле это делаете?
Я попытался активировать ограничение политики организации, но там нет упоминания об ограничениях учетной записи для выставления счетов.
Я пытался отключить / удалить роль из ролей IAM, но предопределенные роли не могут быть удалены.
Наконец, я просмотрел документацию по биллинговому доступу и ссылку на разрешения IAM, и похоже, что единственный способ получить разрешения на создание — это роль «Создатель учетной записи для выставления счетов» (и, возможно, «Владелец»?) Достаточно ли просто НИКОМУ НЕ предоставлять эту роль или есть способ внести это разрешение в черный список?
Ответ №1:
Ресурс вашей организации установлен с включенными двумя ролями по умолчанию:
- Создатель проекта
- Создатель учетной записи для выставления счетов
Эти две роли позволяют клиентам немедленно открывать службы GCP для всех своих пользователей. Контроль создания проекта и ведение централизованного выставления счетов можно выполнить, удалив записи IAM на уровне организации по умолчанию.
Удаление ролей по умолчанию с узла организации
Это визуальное представление процесса
