IAM 教程:授予对账单控制台的访问权限
Amazon Web Services 账户 所有者(Amazon Web Services 账户根用户)可以授予 IAM 用户和角色访问其 Amazon Web Services 账户的 Amazon Billing and Cost Management 数据的权限。本教程中的说明将帮助您设置一个预先测试过的场景。此方案会帮助您获得配置账单权限的实践经验,而无需担心影响您的主 Amazon 生产账户。
- 先决条件
-
在按照本教程中的步骤操作之前,请准备好以下几点:
-
创建测试 Amazon Web Services 账户。
-
以根用户用户身份登录测试 Amazon Web Services 账户
-
记下测试账户的 Amazon Web Services 账户编号,以便可以在教程中使用。在本教程中,我们将使用示例账号 111122223333。每当有步骤使用该账号时,请将其替换为您的测试账号。
-
- 第 1 步:激活对测试 Amazon 账户账单数据的 IAM 访问权限
-
在此场景中,您将以根用户身份登录测试 Amazon Web Services 账户,授予对账单信息的 IAM 访问权限。当您授予账单信息的 IAM 访问权限时,将会允许 IAM 用户和角色访问 Amazon Billing and Cost Management 控制台。此设置并不会授予 IAM 用户和角色对这些控制台页面的所需权限,而是允许访问拥有这些 IAM policy 的必要权限的 IAM 用户或角色。如果策略已附加到 IAM 用户或角色,但此设置未启用,则这些策略授予的权限无效。
注意
如果使用 Amazon Organizations 创建 Amazon Web Services 账户,则将默认启用对账单信息的 IAM 访问权限。
- 第 2 步:创建测试用户和组
-
在此场景中,您将向 IAM 用户授予账单控制台的访问权限,并且您创建了两个用户:
-
Pat Candella
Pat 是财务部门的成员,负责账单和付款。Pat 需要完全访问您的 Amazon Web Services 账户中的账单信息。
-
Terry Whitlock
Terry 是贵公司 IT 支持部门成员。在大多数情况下,Terry 不需要访问账单控制台,但有时需要访问权限才能为财务部门的员工解答问题。
-
- 第 3 步:创建角色以授予 Amazon Billing 控制台访问权限
-
IAM 角色是可在账户中创建的一种具有特定权限的 IAM 身份。IAM 角色类似于 IAM 用户,因为这是一个 Amazon 身份,附加相应的权限策略来确定在 Amazon 中可执行和不可执行的操作。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。此外,角色没有关联任何标准长期凭证(如密码或访问密钥)。相反,当您代入角色时,它会为您提供角色会话的临时安全凭证。您可以使用角色向通常无权访问您的 Amazon 资源的用户、应用程序或服务提供访问权限。在此场景中,您可以创建一个角色,然后 Terry Whitlock 可以代入该角色来访问账单控制台。
- 第 4 步:测试对账单控制台的访问权限
-
完成核心任务后,您即可测试策略。测试确保策略按预期方式运行。通过测试每个用户的访问权限,您可以比较用户体验。
先决条件
在按照本教程中的步骤操作之前,请准备好以下几点:
-
创建测试 Amazon Web Services 账户。
-
以根用户用户身份登录测试 Amazon Web Services 账户
-
记下测试账户的 Amazon Web Services 账户编号,以便可以在教程中使用。在本教程中,我们将使用示例账号 111122223333。每当有步骤使用该账号时,请将其替换为您的测试账号。
第 1 步:激活对测试 Amazon 账户账单数据的 IAM 访问权限
在此场景中,您将以根用户身份登录测试 Amazon Web Services 账户,授予对账单信息的 IAM 访问权限。当您授予账单信息的访问权限时,将会允许 IAM 用户和角色访问 Amazon Billing and Cost Management 控制台。此设置并不会授予 IAM 用户和角色对这些控制台页面的所需权限,而只是允许访问拥有这些 IAM policy 的必要权限的 IAM 用户或角色。
注意
如果使用 Amazon Organizations 创建 Amazon Web Services 账户,则将默认启用对账单信息的 IAM 访问权限。
激活 IAM 用户和角色对 Billing and Cost Management 控制台的访问权限
使用您的根用户凭证(您用于创建 Amazon 账户的电子邮件地址和密码)登录 Amazon Web Services Management Console。
在导航栏中,选择账户名称,然后选择账户
。 向下滚动页面,直到找到 IAM 用户和角色的账单信息访问权限部分,然后选择编辑。
选中 Activate IAM Access(激活 IAM 访问权限)复选框以激活对 Billing and Cost Management 页面的访问权限。
选择更新。
该页面会显示消息 IAM 用户/角色的账单信息访问权限已激活。
在本教程的下一步中,您将附加 IAM policy 以授权或拒绝对特定账单功能的访问。
第 2 步:创建测试用户和组
除根用户外,您的测试 Amazon 账户未定义任何身份。为了提供对账单信息的访问权限,我们创建了其他身份,从而可以向其授予访问账单信息的权限。
创建测试用户和组
-
选择 Root user(根用户)并输入您的 Amazon Web Services 账户 电子邮件地址,以账户拥有者身份登录 IAM 控制台
。在下一页上,输入您的密码。 注意
作为根用户,您无法登录到以 IAM 用户身份登录页面。如果您看到以 IAM 用户身份登录页面,请选择该页面底部附近的使用根用户电子邮件登录。要获取以根用户身份登录方面的帮助,请参阅《Amazon 登录 用户指南》中的以根用户身份登录 Amazon Web Services Management Console。
-
在导航窗格中,选择用户,然后选择添加用户。
注意
如果您启用了 IAM Identity Center,则 Amazon Web Services Management Console 会显示一条提醒,提示您最好在 IAM Identity Center 中管理用户的访问权限。在本教程中,我们创建的 IAM 用户是为了学习如何提供对账单信息的访问权限。如果您在 IAM Identity Center 中创建了用户,则应使用 IAM Identity Center 而不是 IAM,将 Billing 权限集分配给这些用户或组。
-
对于 User name(用户名),输入
pcandella。名称不能包含空格。 -
选择向用户提供 Amazon Web Services Management Console访问权限 – 可选旁边的复选框,然后选择我想创建 IAM 用户。
-
在控制台密码下,选择自动生成的密码。
-
清除用户必须在下次登录时创建新密码(推荐)旁边的复选框,然后选择下一步。由于此 IAM 用户用于测试,因此我们将下载密码以在验证过程中使用。
-
在设置权限页面上的权限选项下,选择将用户添加到组。然后,在用户组下,选择创建组。
-
在创建用户组页面上的用户组名称中,输入
BillingGroup。然后,在权限策略下,选择 Amazon 托管式工作职能策略 Billing。 -
选择创建用户组,返回设置权限页面。
-
在用户组下,选择您创建的
BillingGroup的复选框。 -
选择下一步,进入查看并创建页面。
-
在检查并创建页面上,检查新用户的用户组成员资格列表。如果您已准备好继续,请选择创建用户。
-
在检索密码页面上,选择下载 .csv 文件以保存包含用户登录信息(连接 URL、用户名和密码)的 .csv 文件。
保存此文件,以便在您以此 IAM 用户身份登录 Amazon 时参考
-
选择返回用户列表
-
进行下面的修改后重复此过程,为 Terry Whitlock 创建用户,并为支持用户创建组。
-
在第 3 步中,对于用户名,输入
twhitlock。 -
在第 8 步中,对于用户组名,输入
SupportGroup。然后在权限策略下,选择 Amazon 托管式工作职能策略 SupportUser。
-
您可以在控制台列表中检查新的 IAM 用户、组和角色。对于您创建的每个项目,您可以选择名称以查看其详细信息。当您查看用户详细信息时,控制台会显示 pcandella 的权限策略 下列出的 Billing 以及 twhitlock 的权限策略下列出的 SupportUser。
有关使用策略向 IAM 用户授予访问 Amazon Billing and Cost Management 功能的更多信息,请参阅《Amazon Billing 用户指南》中的 将基于身份的策略(IAM policy)用于 Amazon Billing。
第 3 步:创建角色以授予 Amazon Billing 控制台访问权限
您可以使用角色来授予 IAM 用户访问账单控制台的权限。角色提供用户可以在需要时使用的临时凭证。在本教程中,由于财务部门的支持请求,需要用户 twhitlock 调查问题时,用户需要有权访问账单信息。
-
选择 Root user(根用户)并输入您的 Amazon Web Services 账户 电子邮件地址,以账户拥有者身份登录 IAM 控制台
。在下一页上,输入您的密码。 注意
作为根用户,您无法登录到以 IAM 用户身份登录页面。如果您看到以 IAM 用户身份登录页面,请选择该页面底部附近的使用根用户电子邮件登录。要获取以根用户身份登录方面的帮助,请参阅《Amazon 登录 用户指南》中的以根用户身份登录 Amazon Web Services Management Console。
-
在导航窗格中,选择用户,然后选择要查看用户详细信息的
twhitlock用户。将twhitlock用户的 ARN 复制到剪贴板。 -
在导航窗格中,选择角色,然后选择创建角色。
-
在选择可信实体页面上,选择自定义信任策略,然后在编辑语句下填写以下项目:
-
为 STS 添加操作 – 确认已选择 AssumeRole。
-
添加主体 – 选择添加以显示添加主体对话框。对于主体类型,选择 IAM 用户,然后在 ARN 中粘贴您在第 16 步中复制到剪贴板的 twhitlock 用户的 ARN。然后选择添加主体。
-
-
选择下一步,以转到添加权限页面。
-
在权限策略筛选条件框下,选
BillingAmazon 托管式工作职能策略 Billing。 -
选择下一步,以前往命名、检查和创建页面。在角色名称下,输入
TempBillingAccess,然后选择创建角色。系统会通知您该角色已创建。查看角色以显示有关该角色的详细信息。记下摘要部分中的以下信息:
-
最长会话持续时间默认为 1 小时。超过此时间后,代入该角色的用户将恢复其基本账户权限。如果用户要继续使用该角色权限,则必须重新切换角色。您可以编辑角色以延长最长持续时间。可能的最长会话持续时间为 12 小时。
-
控制台中切换角色的链接。您可以复制此链接,将其直接提供给您在信任策略中添加为主体的用户。您可以在信任关系选项卡中查看和编辑信任策略。
-
第 4 步:测试对账单控制台的访问权限
我们建议您以测试用户身份登录来测试访问权限,以便了解用户可能获得的体验。通过以下步骤,使用两个测试账户登录来查看访问权限有何不同。
使用两个测试用户登录以测试账单访问权限
-
使用 Amazon 账户 ID 或账户别名、您的 IAM 用户名和密码登录到 IAM 控制台
。 注意
为方便起见,Amazon登录页面使用浏览器 Cookie 记住您的 IAM 用户名和账户信息。如果您之前以其他用户身份登录,请选择页面底部的 Sign-in to a different account(登录到其他账户)以返回主登录页面。在此处,您可以输入要重新导向到您账户 IAM 用户登录页面的 Amazon 账户 ID 或账户别名。
-
通过下面提供的步骤使用每个用户登录以比较不同的用户体验。
完全访问权限
-
以
pcandella用户身份登录 Amazon Web Services 账户 -
在导航栏上,选择 pcandella@111122223333,然后选择账单控制面板。
-
浏览页面并选择不同的按钮,以确保您有完全修改权限。
无访问权限
-
以
twhitlock用户身份登录 Amazon Web Services 账户 -
在导航栏上,选择 twhitlock@111122223333,然后选择账单控制面板。
-
这时将显示一条消息,指出您需要权限。账单数据不可见。
切换角色以提升访问权限
-
以
twhitlock用户身份登录 Amazon Web Services 账户 -
在导航栏上,选择 twhitlock@111122223333,然后选择切换角色。
这时将打开切换角色页面。按照以下所示填写信息:
-
账户 – 111122223333
-
角色 –
TempBillingAccess
选择切换角色
您还可以使用控制台中切换角色的链接中提供的 URL,来打开切换角色页面。
-
-
这时控制台将显示 Amazon Billing 控制面板,导航栏将显示 TempBillingAccess@111122223333。
-
摘要
现在您已经完成了向 IAM 用户提供 Amazon Billing 控制台访问权限所需的步骤。因此,您已亲眼目睹了用户账单控制台的体验。现在,您可以方便地在生产环境中实施此逻辑。
相关资源
有关 Amazon Billing 用户指南 中的相关信息,请参阅以下资源:
有关 IAM 用户指南 中的相关信息,请参阅以下资源: