IAM教程: 授权访问账单控制台 - AWS Identity and Access Management
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

IAM教程: 授权访问账单控制台

AWS 账户所有者可以向需要查看或管理 AWS 账户的 AWS Billing and Cost Management数据的特定 IAM 用户委派访问权限。以下说明将帮助您设置一个预先测试的情景。此方案会帮助您获得配置账单权限的实践经验,而无需担心影响您的主 AWS 生产账户。如果您将托管策略附加到 IAM 用户而不是按照本教程操作,则必须首先在步骤 1 中激活对 AWS Billing and Cost Management 控制台的访问权限。

此工作流程具有四个基本步骤。

步骤 1. 激活对您的帐单数据的访问 AWS 测试帐户

如果您创建单个 AWS 账户,只有 AWS 账户所有者 (AWS 账户根用户) 才能查看和管理账单信息。在账户所有者激活 IAM 访问权限并附加向用户或角色提供记账操作的策略之前,IAM 用户无法访问账单数据。要查看需要您以根用户身份登录的其他任务,请参阅需要账户根用户的 AWS 任务

如果您使用 AWS Organizations 创建成员账户,则默认启用这项功能。

步骤 2. 创建 IAM 授予账单数据权限的政策

对您的账户启用账单访问权限后,您仍必须向特定 IAM 用户或组显式授予账单数据访问权限。您通过客户管理策略授予此访问权限。

步骤 3 将开票政策附加至您的小组

将策略附加到组时,该组的所有成员都会收到与该策略关联的一组完整的访问权限。在此场景中,您将新的计费策略附加至仅包含需要计费访问的用户的组。

步骤 4. 测试对帐单控制台的访问

完成核心任务后,你就可以测试政策了。测试可确保政策按照您希望的方式发挥作用。

Prerequisites

创建要在本教程中使用的测试 AWS 账户。在此帐户中,创建两个测试用户和两个测试组,总结见下表。确保为每个用户分配一个密码,以便稍后在第4步中登录。

创建用户账户 创建和配置组帐户
用户名 Group name 将用户添加为成员
FinanceManager 财务记账完全访问组 FinanceManager
FinanceUser 帐单查看访问组 FinanceUser

步骤 1. 激活对您的帐单数据的访问 AWS 测试帐户

首先,为您的测试用户激活账单访问。为此,请参阅 激活对财务记账和成本管理控制台的访问AWS Billing and Cost Management 用户指南.

注意

如果您使用 AWS Organizations 创建成员账户,则默认启用这项功能。

步骤 2. 创建 IAM 授予账单数据权限的政策

接下来,创建自定义策略,以授予对 Billing and Cost Management 控制台中页面的查看权限和完整访问权限。有关 IAM 权限策略,请参阅 管理策略和在线策略.

创建授予账单数据权限的 IAM 策略

  1. 以具有管理员凭证的用户身份登录 AWS 管理控制台。根据 IAM 最佳实践,请勿使用根用户凭证登录。有关更多信息,请参阅创建单独的 IAM 用户

  2. 通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/

  3. 在导航窗格中,选择策略,然后选择创建策略

  4. 可视化编辑器选项卡上,选择选择服务以开始使用。然后,选择账单

  5. 按照以下步骤创建两个策略:

    完全访问权限

    1. 选择 选择操作 然后勾选 所有操作(*). 您不需要为该策略选择资源或条件。

    2. 选择查看策略

    3. 回顾 页面,位于 姓名,类型 BillingFullAccess,然后选择 制定策略 保存。

    只读访问权限

    1. 重复步骤 3 和 4

    2. 选择 选择操作 然后勾选 阅读. 您不需要为该策略选择资源或条件。

    3. 选择查看策略

    4. 回顾 页面,用于 姓名,类型 BillingViewAccess。然后选择 制定策略 保存。

    要查看 IAM 策略中向用户授予对 Billing and Cost Management 控制台的访问权限的每个可用权限的说明,请参阅账单权限说明

步骤 3 将开票政策附加至您的小组

现在您已经提供了自定义的开票政策,您可以将其附加至之前创建的相应的组。虽然可以将策略直接附加到用户或角色,但我们 (根据 IAM 最佳实践) 建议附加到组。更多信息,请参阅 使用组向IAM用户分配权限.

将开票政策附加至您的小组

  1. 在导航窗格中,选择 Policies 以显示您的 AWS 账户可用的策略的完整列表。要将每个政策附加至相应的小组,请遵循以下步骤:

    完全访问权限

    1. 在政策搜索框中,键入 BillingFullAccess,然后选中策略名称旁边的复选框。

    2. 选择 Policy actions,然后选择 Attach

    3. 在身份(用户、组和角色)搜索框中,键入 BillingFullAccessGroup,选中组名称旁边的复选框,然后选择 附加政策.

    只读访问权限

    1. 在政策搜索框中,键入 BillingViewAccess,然后选中策略名称旁边的复选框。

    2. 选择 Policy actions,然后选择 Attach

    3. 在身份(用户、组和角色)搜索框中,键入 BillingViewAccessGroup,选中组名称旁边的复选框,然后选择 附加政策.

  2. 注销控制台,然后执行步骤 4. 测试对帐单控制台的访问

步骤 4. 测试对帐单控制台的访问

我们建议您以每位测试用户的身份登录以了解用户可能体验的内容,从而测试访问权限。使用以下步骤使用两个测试帐户登录,查看访问权限之间的差异。

使用两个测试用户账户登录以测试账单访问权限

  1. 使用 AWS 账户 ID 或账户别名、您的 IAM 用户名和密码登录到 IAM 控制台

    注意

    为方便起见,AWS 登录页面将使用浏览器 Cookie 来记住您的 IAM 用户名和账户信息。如果您之前曾以其他用户身份登录,请选择页面底部附近的 Sign in to a different account (登录到其他账户) 以返回到主登录页面。从此处,您可以键入您的 AWS 账户 ID 或账户别名,以重定向到您的账户的 IAM 用户登录页面。

  2. 通过下面提供的步骤使用每个账户登录以比较不同的用户体验。

    完全访问权限

    1. 以用户 FinanceManager 的身份登录您的 AWS 账户。

    2. 在导航栏中,选择 财务经理@<account alias or ID number> ,然后选择 我的账单仪表板.

    3. 浏览页面并选择不同的按钮以确保您有完全修改权限。

    只读访问权限

    1. 以用户 FinanceUser 的身份登录您的 AWS 账户。

    2. 在导航栏中,选择 财务用户@<account alias or ID number>,然后选择 我的账单仪表板.

    3. 浏览页面。请注意,您可以显示成本、报告和账单数据,没有问题。但是,如果您选择某个选项来修改值,您将收到 访问被拒绝 信息。例如,在 偏好 页面上,选择页面上的任何复选框,然后选择 保存偏好设置. 控制台消息通知您需要 ModifyBilling 权限才能对该页面进行更改。

相关资源

有关 AWS Billing and Cost Management 用户指南 中的相关信息,请参阅以下资源:

有关 IAM 用户指南 中的相关信息,请参阅以下资源:

Summary

现在您已成功完成委托向用户委派对 Billing and Cost Management 控制台的访问权限所需的全部步骤。因此,您已经第一时间了解了用户计费控制台体验会是什么样子。现在,您可以在方便的时候继续在生产环境中执行此逻辑。