IAM 教程:委托对账单控制台的访问权限 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

IAM 教程:委托对账单控制台的访问权限

Amazon 账户所有者可以向需要查看或管理 Amazon 账户的 Amazon Billing and Cost Management数据的特定 IAM 用户委派访问权限。下面的说明将帮助您设置一个预先测试过的方案。此方案会帮助您获得配置账单权限的实践经验,而无需担心影响您的主 Amazon 生产账户。如果您将托管策略附加到 IAM 用户而不是按照本教程操作,则必须首先在步骤 1 中激活对 Amazon Billing and Cost Management 控制台的访问权限。

此工作流程具有四个基本步骤。

步骤 1:激活对您的 Amazon 测试账户的账单数据的访问权限

如果您创建单个 Amazon 账户,只有 Amazon 账户所有者 ( Amazon Web Services 账户 根用户) 才能查看和管理账单信息。在账户所有者激活 IAM 访问权限并附加向用户或角色提供记账操作的策略之前,IAM 用户无法访问账单数据。要查看需要您以根用户身份登录的其他任务,请参阅需要账户根用户的 Amazon 任务

如果您使用 Amazon Organizations 创建成员账户,则默认启用这项功能。

步骤 2:创建授予账单数据权限的 IAM 策略

对您的账户启用账单访问权限后,您仍必须向特定 IAM 用户或用户组显式授予账单数据访问权限。您应当使用客户托管策略授予此访问权限。

步骤 3:将账单策略附加到用户组

将策略附加到用户组时,该用户组的所有成员都会收到与该策略关联的完整访问权限集。在此场景中,您将新账单策略附加到只包含需要账单访问权限的用户的用户组。

步骤 4:测试对账单控制台的访问权限

完成核心任务后,您即可测试策略。测试确保策略按预期方式运行。

先决条件

创建要在本教程中使用的测试 Amazon 账户。在此账户中创建两个测试用户和两个测试用户组,如下表所示。请确保为每个用户分配密码,以便在后面的步骤 4 中可以登录。

创建用户账户 创建和配置用户组账户
用户名称 用户组名称 将用户添加为成员
FinanceManager BillingFullAccessGroup FinanceManager
FinanceUser BillingViewAccessGroup FinanceUser

步骤 1:激活对您的 Amazon 测试账户的账单数据的访问权限

首先,为您的测试用户激活对账单访问权限。为此,请参阅 Amazon Billing and Cost Management 用户指南 中的激活对账单和成本管理控制台的访问权限

注意

如果您使用 Amazon Organizations 创建成员账户,则默认启用这项功能。

步骤 2:创建授予账单数据权限的 IAM 策略

接下来,创建自定义策略,以授予对 Billing and Cost Management 控制台中页面的查看权限和完整访问权限。有关 IAM 权限策略的一般信息,请参阅托管策略与内联策略

创建授予账单数据权限的 IAM 策略

  1. 以具有管理员凭证的用户身份登录 Amazon Web Services Management Console。根据 IAM 最佳实践,请勿使用根用户凭证登录。有关更多信息,请参阅创建单独的 IAM 用户

  2. 通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/

  3. 在导航窗格中选择 Policies,然后选择 Create policy

  4. 可视化编辑器选项卡上,选择选择服务以开始使用。然后,选择账单

  5. 按照以下步骤创建两个策略:

    完全访问权限

    1. 选择选择操作,然后选中所有操作 (*) 旁边的复选框。您不需要为该策略选择资源或条件。

    2. 选择查看策略

    3. Review (审核) 页上的 Name (名称) 旁边键入 BillingFullAccess,然后选择 Create policy (创建策略) 以保存该策略。

    只读访问权限

    1. 重复步骤 3 和 4

    2. 选择选择操作,然后选中读取旁边的复选框。您不需要为该策略选择资源或条件。

    3. 选择查看策略

    4. Review (审核) 页面上,为 Name (名称) 键入 BillingViewAccess。然后,选择创建策略以保存该策略。

    要查看为用户授予 Billing and Cost Management 控制台访问权限的 IAM 策略中提供的每个权限的说明,请参阅账单权限说明

步骤 3:将账单策略附加到用户组

现在您已经有了可用的自定义账单策略,可以将它们附加到之前创建的相应用户组。虽然可以将策略直接附加到用户或角色,但我们(根据 IAM 最佳实践)建议附加到用户组。有关更多信息,请参阅使用用户组向 IAM 用户分配权限

将账单策略附加到用户组

  1. 在导航窗格中,选择 Policies 以显示您的 Amazon 账户可用的策略的完整列表。要将各策略附加到适当的用户组,请遵循以下步骤:

    完全访问权限

    1. 在策略搜索框中键入 BillingFullAccess,然后选中策略名称旁边的复选框。

    2. 选择 Policy actions,然后选择 Attach

    3. 在身份(用户、用户组和角色)搜索框中键入 BillingFullAccessGroup,选中用户组名称旁边的复选框,然后选择 Attach policy(附加策略)。

    只读访问权限

    1. 在策略搜索框中键入 BillingViewAccess,然后选中策略名称旁边的复选框。

    2. 选择 Policy actions,然后选择 Attach

    3. 在身份(用户、用户组和角色)搜索框中键入 BillingViewAccessGroup,选中用户组名称旁边的复选框,然后选择 Attach policy(附加策略)。

  2. 注销控制台,然后执行步骤 4:测试对账单控制台的访问权限

步骤 4:测试对账单控制台的访问权限

我们建议您以各测试用户身份登录来测试访问权限,以便了解用户可能获得的体验。通过以下步骤,使用两个测试账户登录来查看访问权限有何不同。

使用两个测试用户账户登录以测试账单访问权限

  1. 使用 Amazon 账户 ID 或账户别名、您的 IAM 用户名和密码登录到 IAM 控制台

    注意

    为方便起见,Amazon 登录页面将使用浏览器 Cookie 来记住您的 IAM 用户名和账户信息。如果您之前曾以其他用户身份登录,请选择页面底部附近的 Sign in to a different account (登录到其他账户) 以返回到主登录页面。从此处,您可以键入您的 Amazon 账户 ID 或账户别名,以重定向到您的账户的 IAM 用户登录页面。

  2. 通过下面提供的步骤使用每个账户登录以比较不同的用户体验。

    完全访问权限

    1. 以用户 FinanceManager 的身份登录您的 Amazon 账户。

    2. 在导航栏上,选择 FinanceManager@<账户别名或 ID 号>,然后选择我的账单控制面板

    3. 浏览页面并选择不同的按钮以确保您有完全修改权限。

    只读访问权限

    1. 以用户 FinanceUser 的身份登录您的 Amazon 账户。

    2. 在导航栏上,选择 FinanceUser@<账户别名或 ID 号>,然后选择我的账单控制面板

    3. 浏览页面。注意您是否可以正常显示成本、报告和账单数据。不过,如果您选择一个选项来修改值,会收到 Access Denied 消息。例如,在 Preferences 页面上,选中页面上的任意复选框,然后选择 Save preferences。控制台消息通知您需要 ModifyBilling 权限才能对该页面进行更改。

相关资源

有关 Amazon Billing and Cost Management 用户指南 中的相关信息,请参阅以下资源:

有关 IAM 用户指南 中的相关信息,请参阅以下资源:

总结

现在您已成功完成向用户委派对 Billing and Cost Management 控制台的访问权限所需的全部步骤。因此,您已亲眼目睹用户账单控制台的体验。现在,您可以方便地在生产环境中实施此逻辑。