在彻底学习GCP计费的同时,我有一个使用GCP计费的场景,我无法理解这是如何解决的,所以请澄清。
我有一个创建了帐单帐户的用户(admin_user)。此admin用户为该计费帐户添加另一个具有BillingAccountUser角色的用户(normal_user)。
现在,这个normal_user创建了他自己的项目,并生成了一些ML工作负载,这些工作负载在月底之前增加了一笔巨额账单(暂时不考虑警报),账单账户得到了发票,这是显而易见的。现在admin_user不能看到normal_user的项目,因为他是该项目的唯一所有者。如果normal_user离开公司,没有人可以访问他创建和生成账单的项目,并且账单报告可能无法显示该项目的工作负载详细信息和深入。
那么在分配BillingAccountUser角色时如何安全地避免/防止这种情况呢?是否有办法允许normal_user只将组织项目添加到这个计费帐户中,他不应该有权在组织中创建项目,但可以管理该项目以添加到计费帐户中,但他可以创建自己的项目并进行操作,而实际上不能将它们添加到这个计费帐户中?
如果您授予用户计费帐户用户并且该用户还有Project Creator,则该用户将能够将帐单帐户附加到新项目。
为防止用户能够将计费帐户附加到项目,授予用户计费帐户查看器相反。
只信任用户应该能够以任何形式访问计费帐户。
任何方式允许normal_user只添加组织项目到此帐单帐户,他不应该有权在其中创建项目该组织却管理将其添加到帐单帐户,然而他能不能创建自己的项目而不实际地玩呢将它们添加到这个账单帐户?
。帐单帐户不是项目或组织的一部分。它们是独立的账户,独立管理。帐单帐户与项目相关联-它们不是由项目管理或控制的。如果您具有正确的权限,则可以将任何项目链接到计费帐户。
通常,像这样的限制应该是约束的一部分。。然而,Google Cloud还没有对计费帐户提供限制。
组织策略约束
如果用户创建了一个个人帐户并将其链接到一个企业计费帐户,这将是对公司资产的滥用。我建议只有公司的某些官员/经理才能使用帐单帐户。其他每个人都应该填写表格或类似的表格,并要求将项目链接到帐单帐户。
可以提高计费帐户安全性的一项是仅添加您控制的用户帐户。如果用户对帐户管理不当,您可以控制他的身份(公司电子邮件地址)。如果你使用Gmail帐户,你没有这个能力。