如何在 Google Cloud Platform 上為我的組織禁用結算帳戶創建？

Question

在這段 10:54 的視頻中，一位 Google 代表說：

在這里，我們想提出這個提示——非常重要的提示——默認情況下，[我們]為組織中的每個人保留“計費帳戶創建者角色”。 我們強烈建議您將其刪除。 把它關掉。

在這段 3:20 的視頻中，一位 Google 代表說：

我們建議堅持每個組織使用一個計費帳戶，並確保只有管理員才能創建新的計費帳戶。 您可以通過從您的組織中刪除 Billing Account Creator 角色來實現。

你是怎么做到的？

我嘗試激活Organizational Policy Constraint ，但沒有提及計費帳戶限制。

我嘗試從 IAM 角色中禁用/刪除角色，但無法刪除預定義角色。

最后，我查看了 Billing Access和IAM Permissions Reference的文檔，看起來某人擁有創建權限的唯一方法是通過“Billing Account Creator”角色（也許還有“Owner”？）是否足以不授予任何人都可以扮演這個角色，或者有沒有辦法將此權限積極列入黑名單？

Answer 1

您的組織資源已建立，並啟用了兩個默認角色：

• 項目創建者
• 結算帳戶創建者

這兩個角色允許客戶立即向所有用戶開放 GCP 服務。 可以通過刪除默認的組織級別 IAM 條目來控制項目創建和維護集中計費。

從組織節點中刪除默認角色

這是過程的可視化表示