为 AWS Billing 使用基于身份的策略(IAM policy) |
您所在的位置:网站首页 › 年账单和月账单怎么看 › 为 AWS Billing 使用基于身份的策略(IAM policy) |
为 AWS Billing 使用基于身份的策略(IAM policy)注意 以下 AWS Identity and Access Management(IAM)操作已于 2023 年 7 月结束标准支持: aws-portal 命名空间 purchase-orders:ViewPurchaseOrders purchase-orders:ModifyPurchaseOrders 如果您尚未将旧的 IAM 操作迁移到新的精细操作,则必须在 2023 年 12 月之前执行此操作。 如果您使用的是 AWS Organizations,则可以使用批量策略迁移程序脚本从付款人账户更新策略。您还可以使用旧到精细操作映射参考来验证需要添加的 IAM 操作。 有关更多信息,请参阅 Changes to AWS Billing, AWS Cost Management, and Account Consoles Permission 博客文章。 如果您于 2023 年 3 月 6 日 11:00(PDT)或之后拥有 AWS 账户 或是 2023 年 3 月 6 日 11:00(PDT)或之后所创建 AWS Organizations 的成员,则精细操作已经在您的组织内生效。 本主题提供几个基于身份的策略的示例。这些策略说明了账户管理员如何将权限策略附加到 IAM 身份(用户、组和角色)以授予权限,以便他们可以对 Billing 资源执行操作。 有关 AWS 账户、IAM 身份和客户管理型策略的更多信息,请参阅《IAM 用户指南》中的以下主题: 什么是 IAM? 编辑客户管理型策略(控制台) 重要除了 IAM 策略之外,您还必须在账户设置控制台页面上授予 IAM 对账单与成本管理控制台的访问权限。 有关更多信息,请参阅以下主题: 关于 AWS Billing 控制台的 IAM 访问权限 IAM 用户指南中的 IAM 教程:授予对账单控制台的访问权限 目录AWS Billing 操作AWS 托管策略AWSPurchaseOrdersServiceRolePolicyAWSBillingReadOnlyAccessBillingAWSAccountActivityAccess 更新 AWS Billing 的 AWS 托管式策略 AWS Billing 操作此表总结了允许或拒绝 IAM 用户访问您的账单信息和工具的权限。有关使用这些权限的策略示例,请参阅AWS Billing 策略示例。 有关 AWS Cost Management 控制台操作策略的列表,请参阅《AWS Cost Management 用户指南》中的 AWS Cost Management 操作策略。 权限名称 描述aws-portal:ViewBilling 允许或拒绝 IAM 用户查看以下 Billing and Cost Management 控制台页面的权限。 aws-portal:ModifyBilling 允许或拒绝 IAM 用户修改以下账单和成本管理控制台页面的权限: Budgets 整合账单 账单首选项 Credits 税务设置 付款方式 采购订单 成本分配标签 要允许 IAM 用户修改这些控制台页面,您必须同时允许 ModifyBilling 和 ViewBilling。有关策略示例,请参阅 允许 IAM 用户修改账单信息。 aws-portal:ViewAccount 允许或拒绝 IAM 用户查看 Account Settings 的权限。 aws-portal:ModifyAccount允许或拒绝 IAM 用户修改 Account Settings 的权限。 要允许 IAM 用户修改账户设置,您必须同时允许 ModifyAccount 和 ViewAccount。 有关显式拒绝 IAM 用户访问 Account Settings(账户设置)控制台页面的策略的示例,请参阅 拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息。 aws-portal:ViewPaymentMethods允许或拒绝 IAM 用户查看支付方式的权限。 aws-portal:ModifyPaymentMethods允许或拒绝 IAM 用户修改 Payment Methods 的权限。 要允许用户修改付款方式,您必须同时允许 ModifyPaymentMethods 和 ViewPaymentMethods。 billing:ListBillingViews允许或拒绝用户获取预估账单组的账单信息。使用 Bills(账单)页面上的 AWS Billing Conductor 或 AWS 成本和使用情况报告制作此信息。 有关查看账单组详细信息的更多信息,请参阅 AWS Billing Conductor 用户指南中的查看您的账单组详细信息。 sustainability:GetCarbonFootprintSummary允许或拒绝 IAM 用户查看 AWS 客户碳足迹工具和数据。这可从账单和成本管理控制台的 AWS 成本和使用情况报告页面访问。 有关策略的示例,请参阅允许 IAM 用户查看您的账单信息和碳足迹报告。 cur:DescribeReportDefinitions允许或拒绝 IAM 用户查看 AWS 成本和使用情况报告的权限。 AWS 成本和使用情况报告适用于使用 AWS 成本和使用情况报告服务 API 和 Billing and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。 有关策略的示例,请参阅允许 IAM 用户访问报告控制台页面。 cur:PutReportDefinition允许或拒绝 IAM 用户创建 AWS 成本和使用情况报告的权限。 AWS 成本和使用情况报告适用于使用 AWS 成本和使用情况报告服务 API 和 Billing and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。 有关策略的示例,请参阅允许 IAM 用户访问报告控制台页面。 cur:DeleteReportDefinition允许或拒绝 IAM 用户删除 AWS 成本和使用情况报告的权限。 AWS 成本和使用情况报告适用于使用 AWS 成本和使用情况报告服务 API 和 Billing and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。 有关策略的示例,请参阅创建、查看、编辑或删除 AWS 成本和使用情况报告。 cur:ModifyReportDefinition允许或拒绝 IAM 用户修改 AWS 成本和使用情况报告的权限。 AWS 成本和使用情况报告适用于使用 AWS 成本和使用情况报告服务 API 和 Billing and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。 有关策略的示例,请参阅创建、查看、编辑或删除 AWS 成本和使用情况报告。 ce:CreateCostCategoryDefinition允许或拒绝 IAM 用户创建成本类别的权限。 有关策略示例,请参阅 查看和管理成本类别。 ce:DeleteCostCategoryDefinition允许或拒绝 IAM 用户删除成本类别的权限。 有关策略示例,请参阅 查看和管理成本类别。 ce:DescribeCostCategoryDefinition允许或拒绝 IAM 用户查看成本类别的权限。 有关策略示例,请参阅 查看和管理成本类别。 ce:ListCostCategoryDefinitions允许或拒绝 IAM 用户列出成本类别的权限。 有关策略示例,请参阅 查看和管理成本类别。 ce:UpdateCostCategoryDefinition允许或拒绝 IAM 用户更新成本类别的权限。 有关策略示例,请参阅 查看和管理成本类别。 aws-portal:ViewUsage允许或拒绝 IAM 用户查看 AWS 使用情况报告的权限。 要允许 IAM 用户查看使用情况报告,您必须同时允许 ViewUsage 和 ViewBilling。 有关策略示例,请参阅 允许 IAM 用户访问报告控制台页面。 pricing:DescribeServices允许或拒绝 IAM 用户通过 AWS 价目表服务 API 查看 AWS 服务产品和定价的权限。 要允许 IAM 用户使用 AWS 价目表服务 API,您必须允许 DescribeServices、GetAttributeValues 和 GetProducts。 有关策略示例,请参阅 查找产品和价格。 pricing:GetAttributeValues允许或拒绝 IAM 用户通过 AWS 价目表服务 API 查看 AWS 服务产品和定价的权限。 要允许 IAM 用户使用 AWS 价目表服务 API,您必须允许 DescribeServices、GetAttributeValues 和 GetProducts。 有关策略示例,请参阅 查找产品和价格。 pricing:GetProducts允许或拒绝 IAM 用户通过 AWS 价目表服务 API 查看 AWS 服务产品和定价的权限。 要允许 IAM 用户使用 AWS 价目表服务 API,您必须允许 DescribeServices、GetAttributeValues 和 GetProducts。 有关策略示例,请参阅 查找产品和价格。 purchase-orders:ViewPurchaseOrders允许或拒绝 IAM 用户查看采购订单的权限。 有关策略示例,请参阅 查看和管理采购订单。 purchase-orders:ModifyPurchaseOrders允许或拒绝 IAM 用户修改采购订单的权限。 有关策略示例,请参阅 查看和管理采购订单。 tax:GetExemptions允许 IAM 用户以只读访问权限通过税务控制台查看免税和免税类型。 有关策略示例,请参阅 允许 IAM 用户查看美国免税并创建 AWS Support 案例。 tax:UpdateExemptions允许 IAM 用户将免税上传到美国免税控制台。 有关策略示例,请参阅 允许 IAM 用户查看美国免税并创建 AWS Support 案例。 support:CreateCase允许 IAM 用户提交支持案例,这是从免税控制台上传免税所需的。 有关策略示例,请参阅 允许 IAM 用户查看美国免税并创建 AWS Support 案例。 support:AddAttachmentsToSet允许 IAM 用户将文档附加到需要上传免税证明材料到免税控制台的支持案例。 有关策略示例,请参阅 允许 IAM 用户查看美国免税并创建 AWS Support 案例。 customer-verification:GetCustomerVerificationEligibility(仅适用于拥有印度账单或联系地址的客户) 允许或拒绝 IAM 用户检索客户验证资格的权限。 customer-verification:GetCustomerVerificationDetails(仅适用于拥有印度账单或联系地址的客户) 允许或拒绝 IAM 用户检索客户验证数据的权限。 customer-verification:CreateCustomerVerificationDetails(仅适用于拥有印度账单或联系地址的客户) 允许或拒绝 IAM 用户创建客户验证数据的权限。 customer-verification:UpdateCustomerVerificationDetails(仅适用于拥有印度账单或联系地址的客户) 允许或拒绝 IAM 用户更新客户验证数据的权限。 AWS 托管策略托管策略是基于身份的独立策略,可以将其附加到 AWS 账户中的多个用户、组和角色。您可以使用AWS托管式策略来控制 Billing 中的访问权限。 AWS 托管策略是由 AWS 创建和管理的独立策略。AWS 托管策略可用于为很多常见使用案例提供权限。与必须自己编写策略相比,通过 AWS 托管策略可以更轻松地将适当的权限分配给用户、组和角色。 您不能更改 AWS 托管策略中定义的权限。AWS 有时会更新 AWS 托管策略中定义的权限。当发生此情况时,更新会影响策略附加到的所有委托人实体(用户、组和角色)。 Billing 为常见使用案例提供了多个AWS托管式策略。 主题AWSPurchaseOrdersServiceRolePolicyAWSBillingReadOnlyAccessBillingAWSAccountActivityAccess AWSPurchaseOrdersServiceRolePolicy此托管式策略授予对 Billing 控制台和采购订单控制台的完全访问权限。此策略允许用户查看、创建、更新和删除账户的采购订单。 { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "account:GetAccountInformation", "account:GetContactInformation", "aws-portal:*Billing", "consolidatedbilling:GetAccountBillingRole", "invoicing:GetInvoicePDF", "payments:GetPaymentInstrument", "payments:ListPaymentPreferences", "purchase-orders:AddPurchaseOrder", "purchase-orders:DeletePurchaseOrder", "purchase-orders:GetPurchaseOrder", "purchase-orders:ListPurchaseOrderInvoices", "purchase-orders:ListPurchaseOrders", "purchase-orders:ListTagsForResource", "purchase-orders:ModifyPurchaseOrders", "purchase-orders:TagResource", "purchase-orders:UntagResource", "purchase-orders:UpdatePurchaseOrder", "purchase-orders:UpdatePurchaseOrderStatus", "purchase-orders:ViewPurchaseOrders", "tax:ListTaxRegistrations" ], "Resource":"*" } ] } AWSBillingReadOnlyAccess此托管式策略授予用户查看 AWS Billing 控制台的权限。 { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "account:GetAccountInformation", "aws-portal:ViewBilling", "billing:GetBillingData", "billing:GetBillingDetails", "billing:GetBillingNotifications", "billing:GetBillingPreferences", "billing:GetContractInformation", "billing:GetCredits", "billing:GetIAMAccessPreference", "billing:GetSellerOfRecord", "billing:ListBillingViews", "ce:ListCostAllocationTags", "consolidatedbilling:GetAccountBillingRole", "consolidatedbilling:ListLinkedAccounts", "cur:GetClassicReport", "cur:GetClassicReportPreferences", "cur:GetUsageReport", "freetier:GetFreeTierAlertPreference", "freetier:GetFreeTierUsage", "invoicing:GetInvoiceEmailDeliveryPreferences", "invoicing:GetInvoicePDF", "invoicing:ListInvoiceSummaries", "payments:GetPaymentInstrument", "payments:GetPaymentStatus", "payments:ListPaymentPreferences", "purchase-orders:GetPurchaseOrder", "purchase-orders:ListPurchaseOrderInvoices", "purchase-orders:ListPurchaseOrders", "purchase-orders:ListTagsForResource", "purchase-orders:ViewPurchaseOrders", "tax:GetTaxInheritance", "tax:GetTaxRegistrationDocument", "tax:ListTaxRegistrations" ], "Resource": "*" } ] } Billing此托管式策略授予用户查看和编辑 Billing 控制台和 AWS Cost Management 控制台的权限。这包括查看账户使用量、修改预算和付款方式。 { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "account:GetAccountInformation", "aws-portal:*Billing", "aws-portal:*PaymentMethods", "aws-portal:*Usage", "billing:GetBillingData", "billing:GetBillingDetails", "billing:GetBillingNotifications", "billing:GetBillingPreferences", "billing:GetContractInformation", "billing:GetCredits", "billing:GetIAMAccessPreference", "billing:GetSellerOfRecord", "billing:ListBillingViews", "billing:PutContractInformation", "billing:RedeemCredits", "billing:UpdateBillingPreferences", "billing:UpdateIAMAccessPreference", "budgets:ModifyBudget", "budgets:ViewBudget", "ce:CreateNotificationSubscription", "ce:CreateReport", "ce:DeleteNotificationSubscription", "ce:DeleteReport", "ce:ListCostAllocationTags", "ce:UpdateCostAllocationTagsStatus", "ce:UpdateNotificationSubscription", "ce:UpdatePreferences", "ce:UpdateReport", "consolidatedbilling:GetAccountBillingRole", "consolidatedbilling:ListLinkedAccounts", "cur:DeleteReportDefinition", "cur:DescribeReportDefinitions", "cur:GetClassicReport", "cur:GetClassicReportPreferences", "cur:GetUsageReport", "cur:ModifyReportDefinition", "cur:PutClassicReportPreferences", "cur:PutReportDefinition", "cur:ValidateReportDestination", "freetier:GetFreeTierAlertPreference", "freetier:GetFreeTierUsage", "freetier:PutFreeTierAlertPreference", "invoicing:GetInvoiceEmailDeliveryPreferences", "invoicing:GetInvoicePDF", "invoicing:ListInvoiceSummaries", "invoicing:PutInvoiceEmailDeliveryPreferences", "payments:CreatePaymentInstrument", "payments:DeletePaymentInstrument", "payments:GetPaymentInstrument", "payments:GetPaymentStatus", "payments:ListPaymentPreferences", "payments:MakePayment", "payments:UpdatePaymentPreferences", "purchase-orders:AddPurchaseOrder", "purchase-orders:DeletePurchaseOrder", "purchase-orders:GetPurchaseOrder", "purchase-orders:ListPurchaseOrderInvoices", "purchase-orders:ListPurchaseOrders", "purchase-orders:ListTagsForResource", "purchase-orders:ModifyPurchaseOrders", "purchase-orders:TagResource", "purchase-orders:UntagResource", "purchase-orders:UpdatePurchaseOrder", "purchase-orders:UpdatePurchaseOrderStatus", "purchase-orders:ViewPurchaseOrders", "tax:BatchPutTaxRegistration", "tax:DeleteTaxRegistration", "tax:GetExemptions", "tax:GetTaxInheritance", "tax:GetTaxInterview", "tax:GetTaxRegistration", "tax:GetTaxRegistrationDocument", "tax:ListTaxRegistrations", "tax:PutTaxInheritance", "tax:PutTaxInterview", "tax:PutTaxRegistration", "tax:UpdateExemptions" ], "Resource": "*" } ] } AWSAccountActivityAccess此托管式策略授予用户查看账户活动页面的权限。 { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "account:GetRegionOptStatus", "account:GetAccountInformation", "account:GetAlternateContact", "account:GetChallengeQuestions", "account:GetContactInformation", "account:ListRegions", "aws-portal:ViewBilling", "billing:GetIAMAccessPreference", "billing:GetSellerOfRecord", "payments:ListPaymentPreferences" ], "Resource": "*" } ] } 更新 AWS Billing 的 AWS 托管式策略查看有关 AWS Billing 的 AWS 托管式策略更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的自动提示,请订阅 AWS Billing 文档历史记录页面上的 RSS 源。 更改 说明 日期账单和 AWSBillingReadOnlyAccess – 更新现有策略 我们为 Billing 添加了以下成本分配标签相关的权限: ce:ListCostAllocationTags ce:UpdateCostAllocationTagsStatus 我们为 AWSBillingReadOnlyAccess 添加了以下成本分配标签相关的权限: ce:ListCostAllocationTags 2023 年 7 月 26 日AWSPurchaseOrdersServiceRolePolicy、账单和 AWSBillingReadOnlyAccess – 现有策略更新 我们为 Billing 和 AWSPurchaseOrdersServiceRolePolicy 添加了以下与采购订单标签相关的权限: purchase-orders:ListTagsForResource purchase-orders:TagResource purchase-orders:UntagResource 我们为 AWSBillingReadOnlyAccess 添加了以下标签相关的权限: purchase-orders:ListTagsForResource 2023 年 7 月 17 日AWSPurchaseOrdersServiceRolePolicy、账单和 AWSBillingReadOnlyAccess – 现有策略更新 AWSAccountActivityAccess – 为 AWS Billing 记录的全新 AWS 托管式策略 在所有策略中添加了更新的操作集。 2023 年 3 月 6 日AWSPurchaseOrdersServiceRolePolicy – 对现有策略的更新 AWS Billing 删除了不必要的权限。 2021 年 11 月 18 日AWS Billing 已开启跟踪更改 AWS Billing 为其 AWS 托管式策略开启了跟踪更改。 2021 年 11 月 18 日 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |