问：我的组织的多个部门都在使用亚马逊云科技服务。各个部门执行不同的业务职能，我想要根据各个部门的业务模块为其配置不同的权限。例如，财务部门需要拥有查看账单和管理税务设置的权限，但不需要访问 Amazon 管理控制台中的其他服务。我如何为不同部门配置相应权限？

最佳实践：设置 IAM 用户来管理和控制对亚马逊云科技资源的访问。

Amazon Identity and Access Management (IAM) 是一项 Web 服务，借助此服务，您能够安全地控制对亚马逊云科技资源的访问。您可以使用 IAM 控制哪些用户可以通过身份验证（已登录）并获得授权（拥有权限）来使用资源。您可以针对不同的资源为不同的人员授予不同的权限。例如，您可以允许一些用户完全访问 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、Amazon DynamoDB、Amazon Redshift 以及其他亚马逊云科技服务。而对于其他用户，您可以仅允许他们通过只读方式访问某些 S3 存储桶，或者仅授予他们使用某些 EC2 实例的权限。您还可以进行以下配置：允许某些用户仅访问您的账单信息，除此之外无其他权限。

您可以根据工作职责（例如管理员、开发人员和账单）来创建 IAM 组，为每个组定义许可证，最后为每个组分配 IAM 用户。IAM 组是 IAM 用户的集合。一个 IAM 组中的所有用户都将继承为该组分配的权限。例如，您有一个名为“Admins”的组，并为该组提供了管理员通常所需的权限类型。如果您的组织中有人更换了工作，那么您可以将其从旧的 IAM 组中删除并将其添加到相应的新组。

如果您想要授予某个 IAM 用户或组访问您账户的账单信息所需的权限，请登录 Amazon IAM 控制台，选择 IAM 组、用户或角色，然后依次选择“Add permissions”（添加权限）、“Attach existing policies directly”（直接附加现有策略）和“Amazon BillingReadOnlyAccess”。

问：我的组织的多个技术研究和开发团队都在使用亚马逊云科技服务。我如何计算每个团队的月度账单以及如何整合各个团队的总体月度费用？

最佳实践：设置包含资源和标签的详细账单报告。

通过查看我们提供的使用情况报告，您可以详细了解您的成本和使用情况。使用情况报告中的数据每天更新多次。您可以根据亚马逊云科技账户、区域、可用区、操作系统、实例类型、购买选项、租期和标签来筛选报告。

要查看您的详细账单，您可以启用包含资源和标签的详细账单报告 (DBR)。您可以使用现有的 Amazon S3 存储桶或创建一个新的存储桶来接收您的详细账单报告。务必要管理对此存储桶的访问，因为此存储桶包含账单信息。

要使用 S3 存储桶来接收详细账单报告，请执行以下操作：

如果选择接收包含资源和标签的详细账单报告，您需要为您的实例添加标签，这样就可以使用这些标签来报告相应实例的成本和使用情况。

如果要在成本分配报告或包含资源和标签的详细账单报告中使用标签，您需要在付款人账户中激活相关标签。 下面是生成账单报告时需要注意的一些事项：

问：我的组织需要监控成本的增长情况，以避免过度支出。如何在亚马逊云科技账户中检测支出的增长情况？

最佳实践：使用 CloudWatch 账单提醒来监控亚马逊云科技账户中的支出情况。

要更有效地管理账单和支出，最好使用 Amazon CloudWatch 服务。您可以通过创建提醒来监控指标，以便在支出达到阈值时，发送通知，或自动更改正在监控的资源。例如，您可以创建一个提醒来监控您的账单金额，从而在账单金额超过您设置的阈值时向您发送通知。您可以通过电子邮件接收相关提醒，并采取相应操作。

一个 CloudWatch 提醒仅触发一个通知。当您的账单金额达到预先设置的阈值时，系统会根据您选择的通知方式发送提醒通知。最好根据您的预算设置不同的阈值，以接收多个提醒。如果同时在亚马逊云科技中国（北京）区域和亚马逊云科技中国（宁夏）区域使用资源，您需要在这两个区域设置账单提醒。设置 SNS 主题时，您可以添加多个提醒收件人电子邮件地址。

要使用 CloudWatch 创建账单提醒，请按照场景：使用 CloudWatch 监控您的估计费用中的说明操作。

问：我的公司拥有多个分公司。所有分公司均使用亚马逊云科技服务，并且拥有单独的亚马逊云科技账户。这些分公司的付款流程都非常复杂。我的公司中多个账户的付款能否合并？

最佳实践：使用整合账单系列合并和管理多账户成本。

整合账单是一项功能，您可以利用该功能来简化公司中的多个亚马逊云科技中国账户付款流程。利用整合账单，您可以使用一个付款账户来支付所有账户的费用。关联账户可以查看其使用情况和成本，但这些关联账户的所有账单和发票都会计入付款人账户。整合账单由一个付款人账户和一组关联账户组成。付款人账户及其关联账户统称为整合系列。关联账户的所有费用都会计入付款人账户。

使用整合账单，不会产生额外费用。

整合账单只是一种计费方法，而非用于控制账户或规划资源的功能。整合账单不会影响账户功能或账户登录流程，也不会在关联账户之间共享资源。

只有付款人账户才需要注册整合账单。付款人账户可以邀请现有亚马逊云科技账户加入整合账单系列。关联账户可以接受付款人账户发来的邀请，加入整合账单系列。电子邮件邀请发送给关联账户后，关联账户可以在 15 天内接受或拒绝该请求。如果关联账户接受邀请，该账户会立即加入整合账单系列。关联成功之后，关联账户自关联那一刻起产生的所有费用都会计入付款人账户，除非关联账户从整合账单系列中删除。

有关整合账单的更多信息，请参阅亚马逊云科技中国账单常见问题。

问：我如何结合使用预留实例 (RI) 和现有的按需实例来节约成本？

最佳实践：使用预留实例来节约成本。

预留实例不是物理实例，而是对您账户中使用的按需实例应用的一种计费折扣。与按需实例定价相比，预留实例可为您提供大幅折扣。

购买预留实例时可使用以下付款选项：

预付部分费用预留实例的总体成本要低于无预付费用预留实例。您最省钱的方式是购买预付全部费用预留实例。您可以为 Amazon EC2、Amazon RDS、Amazon ElastiCache、Amazon Redshift 和 Amazon DynamoDB 购买预留实例。购买预留实例后，您可以在相关控制台查看预留实例的相关信息。务必在 Amazon 管理控制台中使用区域选择器选择正确的区域。

为了从您购买的预留实例中获得最大利益，预留实例必须与您的账户中运行的按需实例属性（例如区域和实例类型）一致。如果您已成功购买预留实例并且您运行的实例与预留实例的规格一致，则可立即享受计费优惠。您无需重新启动您的实例。预留实例期限到期后，您不会再获得计费优惠或容量预留。预留实例期限到期后，您不会再获得计费优惠或容量预留。

您可以创建在未来的特定日期和时间购买预留实例的队列。要自动续订 EC2 预留实例，您可以创建在现有预留实例到期的日期和时间购买预留实例的队列。到安排的日期和时间时，我们会自动使用您账户的默认付款方式为您购买预留实例。有关更多信息，请参阅创建购买队列。最好在 Cost Explorer 中跟踪您的预留及其到期时间。要在 Cost Explorer 中查看有关预留的信息，请登录 Cost Explorer，然后依次选择 Reservations（预留）和 Overview（概览）。您可以根据预留到期信息购买新的预留实例，避免产生额外费用。

确定预留实例是否适合您时，请考虑以下事项：

下面是购买预留实例时应考虑的一些事项：

问：我的账户是整合账单系列的一部分，拥有多种亚马逊云科技资源。整合账单系列中的其他一些账户的月费较高。我该如何通过充分利用可用资源来减少整合账单金额？

最佳实践：通过充分利用预留实例来减少整合账单金额。

如果账户启用了预留实例折扣共享，那么该账户中的预留实例的计费优惠将应用于整合账单系列中的其他账户。默认情况下，整合账单系列中的所有账户都启用了预留实例折扣共享。付款人账户可以为组织中的任何账户关闭预留实例折扣共享。

为预留实例预留的容量只会应用于购买该预留实例的账户，与预留实例折扣共享是打开还是关闭无关。

以下是关于整合账单系列中的预留实例折扣共享的一些注意事项：

以下是在为整合账单系列中的账户关闭预留实例折扣共享时需要注意的一些事项：

如需了解更多信息，请参阅预留实例和整合账单。

问：我正在准备一些与我组织中的亚马逊云科技账户安全相关的白皮书。我该如何确保我的账户安全以及防止未经授权的访问？

最佳实践：通过保护访问密钥来保护账户免遭未经授权的访问。

为了确保您的账户安全，您需要了解关于访问密钥和密钥泄漏的安全问题。访问密钥是 IAM 用户或亚马逊云科技账户管理员用户的长期凭证。您可以使用访问密钥（直接或通过 Amazon SDK）签署发送到 Amazon CLI 或 Amazon API 的编程式请求。如需了解更多信息，请参阅签署 Amazon API 请求。访问密钥由两个部分组成：访问密钥 ID 和秘密访问密钥。与用户名和密码类似，您必须同时使用访问密钥 ID 和秘密访问密钥才能验证您的请求。请像管理用户名和密码一样安全地管理您的访问密钥。

在为管理员用户创建访问密钥时，您可以将访问密钥嵌入到应用程序和代码中。当此代码共享到社区网站中时，访问密钥就会泄露。访问密钥泄露会给您的账户带来安全风险，并可能因未经授权的活动或滥用而导致过多的费用。根据《亚马逊云科技（北京区域）光环新网客户协议》和/或《亚马逊云科技（宁夏区域）西云数据客户协议》，您有责任保护您的亚马逊云科技资源免遭未经授权的访问。

以下最佳实践可以帮助您保护您的访问密钥：

不要共享您的访问密钥：不要向第三方提供您的访问密钥，即使是帮助您查找您的规范用户 ID。共享您的访问密钥可能会使某人永久有权访问您的账户。不妨使用临时安全凭证（IAM 角色）代替访问密钥，并禁用任何亚马逊云科技账户管理员用户访问密钥。如果您仍然需要使用长期访问密钥，可以创建、修改、查看或轮换您的访问密钥（访问密钥 ID 和秘密访问密钥）。您最多可以拥有两个访问密钥，以便轮换活动密钥。在创建访问密钥对时，请将访问密钥 ID 和秘密访问密钥保存在一个安全的位置。秘密访问密钥仅在创建时提供。如果您丢失了秘密访问密钥，则必须删除访问密钥，然后新建一个。 

检查是否遭到未经授权的访问：如果您发现您的账户内有可能因 API 密钥泄露而导致的未经授权活动，您需要立即保护您的账户。您需要更新您的账户密码，轮换和删除您的亚马逊云科技访问密钥（包括未泄露和/或已泄露的访问密钥），并检查您的账户在亚马逊云科技中国（北京）区域和亚马逊云科技中国（宁夏）区域是否遭到未经授权的使用。

很遗憾，从公共网站上删除访问密钥或禁用不足以保护您的账户。您需要按照以下说明从您的亚马逊云科技账户中删除已泄露的凭证，并采取措施防止任何新的凭证在公共网站上发布。

强烈建议您检查您的亚马逊云科技账户是否有任何未经授权的使用情况、未经授权的活动或不适当的 IAM 用户和策略。要检查使用情况，请登录 Amazon 管理控制台，然后查看不同的服务，以了解正在使用哪些资源。请务必检查正在运行的 EC2 实例以及 IAM 用户、角色和组。您还可以在 Amazon 账单和成本管理控制台中查看 Bills（账单）页面，以发现意外使用情况。您的账户可能在任何区域发生未经授权的活动。从导航栏的区域选择器中选择区域，确保检查不同区域的资源使用情况。

删除未使用的访问密钥：务必删除已泄露或未使用的访问密钥。要删除访问密钥，请执行以下操作：

最好是删除拥有未使用的访问密钥的 IAM 用户。如需了解如何删除 IAM 用户，请参阅删除 IAM 用户。

轮换访问密钥：如果您的应用程序使用访问密钥，您需要替换已泄露的密钥。定期更改访问密钥是一项众所周知的安全实践，因为这会缩短访问密钥的活动时间并提高安全性。要替换访问密钥，首先在第一个密钥仍然处于活动状态时创建第二个密钥。届时，这两个密钥都处于活动状态。修改您的应用程序以使用新的访问密钥。然后禁用第一个访问密钥，但不要删除。如果您的应用程序遇到问题，请重新激活第一个访问密钥。当您的应用程序在第一个访问密钥处于不活动状态的情况下可以完全正常运行时，请删除第一个访问密钥。

如需了解更多信息，请参阅管理 IAM 用户的访问密钥。

如需了解管理访问密钥的最佳实践，请参阅管理亚马逊云科技访问密钥的最佳实践。

问：我在我的 Amazon EC2 实例上看到大量异常的数据流量传输记录。我该如何检查 EC2 实例中的未经授权活动并提高这些实例的安全性？

最佳实践：使用安全组规则来保护 Amazon EC2 实例。 

最好是使用联合身份、IAM 用户和 IAM 角色来管理对亚马逊云科技资源和 API 的访问。如需详细了解 IAM 最佳实践，请参阅 Amazon EC2 的最佳实践。

使用 EC2 实例时，切勿在外部开放端口 (0.0.0.0/0) 的访问权限。开放外部端口的访问权限即表示允许所有 IP 地址访问您的接口，以及允许您的 EC2 实例参与未经授权的网络活动。最好是设置安全组规则，只允许从已知 IP 地址访问实例。如需详细了解 Amazon EC2 安全组，请参阅 Linux 实例的 Amazon EC2 安全组。

您需要定期监控您的账户使用情况，以避免意外的费用。您可以创建 Amazon CloudWatch 警报来监控您的估计费用。创建账单警报可以帮助您轻松有效地管理您的费用。

如需详细了解如何创建账单警报，请参阅创建账单警报以监控估计的亚马逊云科技费用。

安全是您和我们的共同责任。您有责任确保您的实例和应用程序安全。如需详细了解如何保护 Linux 实例，请参阅 Amazon EC2 中的安全性。如需了解如何保护 Windows 实例，请参阅 Amazon EC2 中的安全性。如需了解 Amazon Virtual Private Cloud (Amazon VPC) 中的安全性，请参阅 Amazon Virtual Private Cloud 中的安全性。

注意：如果您收到我们针对您的 EC2 实例发送的未决滥用报告，请查看滥用通知以了解遭到举报的内容或活动。回复滥用报告，并说明您将如何防止今后再次发生滥用活动。如果您没有在 24 小时内对滥用通知作出回应，我们可能会封锁您的资源或暂停您的亚马逊云科技账户。

问：我了解到 Amazon S3 的版本控制功能可以帮助我保证每个阶段的数据存储。但是，我的业务可能需要我频繁进行版本存储和更新。请问在 Amazon S3 存储桶上配置版本控制的费用是多少？

最佳实践：使用 Amazon S3 存储桶生命周期规则来降低存储多个版本的成本。

Amazon S3 可以帮助您使用版本控制功能更好地保护数据。您可以使用版本控制来保留、检索和还原存储在 Amazon S3 存储桶中的每个对象的每个版本。版本控制使您能够从用户意外操作和应用程序故障中轻松恢复。默认情况下，请求会检索最新写入的版本。通过在请求中指定版本，您可以检索对象的旧版本。每个存储的版本均需收取存储费。您可以配置生命周期规则，以自动控制生命周期和存储多个版本的成本。要详细了解如何为 S3 存储桶创建生命周期策略，请参阅如何为 S3 存储桶创建生命周期策略？ 正常 Amazon S3 费率适用于存储或请求的对象的每个版本。例如，我们以下列场景为例，说明使用版本控制时的存储费用（假定当月有 31 天）：

在分析上述操作的存储成本时，您发现，在第 15 天写入 5GB 对象时，第 1 天的 4GB 对象并未从存储桶中删除。相反，这 4GB 数据对象作为旧版本保留，5GB 数据对象成为存储桶中最近写入的数据对象版本。在月底：

总字节-小时使用量 = [4294967296 字节 x 31 天 x (24 小时/天)] + [5368709120 字节 x 16 天 x (24 小时/天)] = 5257039970304 字节-小时。

转换为总 GB-月 = 5257039970304 字节-小时 x (1GB/1073741824 字节) x (1 个月/744 小时) = 6.581GB-月。

最好是定期监控账户使用情况，以避免不必要的费用。您还可以创建 Amazon CloudWatch 账单警报来监控您的估计费用。如需详细了解如何创建账单警报，请参阅创建账单警报以监控估计的亚马逊云科技费用。

要详细了解 Amazon S3 版本控制，请参阅使用版本控制。

如需了解 Amazon S3 定价，请参阅 Amazon S3 定价。

如需查看 Amazon S3 常见问题，请参阅 Amazon S3 常见问题。

如果您想要了解详细账单信息，可以为账户启用详细账单报告。详细账单报告提供了您的账户在不同服务和区域的每小时使用量信息。要详细了解如何设置详细账单报告，请参阅详细账单报告。