IAM 教程:委托对账单控制台的访问权限 - AWS Identity and Access Management
先决条件步骤 1:激活对您的 AWS 测试账户的账单数据的访问权限步骤 2:创建授予账单数据权限的 IAM 策略步骤 3:将账单策略附加到组步骤 4:测试对账单控制台的访问权限相关资源总结
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

IAM 教程:委托对账单控制台的访问权限

AWS 账户所有者可以向需要查看或管理 AWS 账户的 AWS Billing and Cost Management数据的特定 IAM 用户委派访问权限。下面的说明将帮助您设置一个预先测试过的方案。此方案会帮助您获得配置账单权限的实践经验,而无需担心影响您的主 AWS 生产账户。如果您将托管策略附加到 IAM 用户而不是按照本教程操作,则必须首先在步骤 1 中激活对 AWS Billing and Cost Management 控制台的访问权限。

此工作流程具有四个基本步骤。

步骤 1:激活对您的 AWS 测试账户的账单数据的访问权限

如果您创建单个 AWS 账户,只有 AWS 账户所有者 (AWS 账户根用户) 才能查看和管理账单信息。在账户所有者激活 IAM 访问权限并附加向用户或角色提供记账操作的策略之前,IAM 用户无法访问账单数据。要查看需要您以根用户身份登录的其他任务,请参阅需要账户根用户的 AWS 任务

如果您使用 AWS Organizations 创建成员账户,则默认启用这项功能。

步骤 2:创建授予账单数据权限的 IAM 策略

对您的账户启用账单访问权限后,您仍必须向特定 IAM 用户或组显式授予账单数据访问权限。您应当使用客户托管策略授予此访问权限。

步骤 3:将账单策略附加到组

将策略附加到组时,该组的所有成员都会收到与该策略关联的完整访问权限集。在此方案中,您将新账单策略附加到只包含需要账单访问权限的用户的组。

步骤 4:测试对账单控制台的访问权限

完成核心任务后,您即可测试策略。测试确保策略按预期方式运行。

先决条件

创建要在本教程中使用的测试 AWS 账户。在此账户中创建两个测试用户和两个测试组,如下表所示。请确保为每个用户分配密码,以便在后面的步骤 4 中可以登录。

创建用户账户 创建和配置组账户
用户名称 组名 将用户添加为成员
FinanceManager BillingFullAccessGroup FinanceManager
FinanceUser BillingViewAccessGroup FinanceUser

步骤 1:激活对您的 AWS 测试账户的账单数据的访问权限

首先,为您的测试用户激活对账单访问权限。为此,请参阅 AWS Billing and Cost Management 用户指南 中的激活对账单和成本管理控制台的访问权限

注意

如果您使用 AWS Organizations 创建成员账户,则默认启用这项功能。

步骤 2:创建授予账单数据权限的 IAM 策略

接下来,创建自定义策略,以授予对 Billing and Cost Management 控制台中页面的查看权限和完整访问权限。有关 IAM 权限策略的一般信息,请参阅托管策略与内联策略

创建授予账单数据权限的 IAM 策略

  1. 以具有管理员凭证的用户身份登录 AWS 管理控制台。根据 IAM 最佳实践,请勿使用根用户凭证登录。有关更多信息,请参阅创建单独的 IAM 用户

  2. 通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/

  3. 在导航窗格中选择 Policies,然后选择 Create policy

  4. 可视化编辑器选项卡上,选择选择服务以开始使用。然后,选择账单

  5. 按照以下步骤创建两个策略:

    完全访问权限

    1. 选择选择操作,然后选中所有操作 (*) 旁边的复选框。您不需要为该策略选择资源或条件。

    2. 选择查看策略

    3. Review (审核) 页上的 Name (名称) 旁边键入 BillingFullAccess,然后选择 Create policy (创建策略) 以保存该策略。

    只读访问权限

    1. 重复步骤 3 和 4

    2. 选择选择操作,然后选中读取旁边的复选框。您不需要为该策略选择资源或条件。

    3. 选择查看策略

    4. Review (审核) 页面上,为 Name (名称) 键入 BillingViewAccess。然后,选择创建策略以保存该策略。

    要查看为用户授予 Billing and Cost Management 控制台访问权限的 IAM 策略中提供的每个权限的说明,请参阅账单权限说明

步骤 3:将账单策略附加到组

现在您已经有了可用的自定义账单策略,可以将它们附加到之前创建的相应组。虽然可以将策略直接附加到用户或角色,但我们 (根据 IAM 最佳实践) 建议附加到组。有关更多信息,请参阅使用组向 IAM 用户分配权限

将账单策略附加到组

  1. 在导航窗格中,选择 Policies 以显示您的 AWS 账户可用的策略的完整列表。要将各策略附加到适当的组,请遵循以下步骤:

    完全访问权限

    1. 在策略搜索框中键入 BillingFullAccess,然后选中策略名称旁边的复选框。

    2. 选择 Policy actions,然后选择 Attach

    3. 在身份(用户、组和角色)搜索框中键入 BillingFullAccessGroup,选中组名旁边的复选框,然后选择 Attach policy (附加策略)

    只读访问权限

    1. 在策略搜索框中键入 BillingViewAccess,然后选中策略名称旁边的复选框。

    2. 选择 Policy actions,然后选择 Attach

    3. 在身份(用户、组和角色)搜索框中键入 BillingViewAccessGroup,选中组名旁边的复选框,然后选择 Attach policy (附加策略)

  2. 注销控制台,然后执行步骤 4:测试对账单控制台的访问权限

步骤 4:测试对账单控制台的访问权限

我们建议您以各测试用户身份登录来测试访问权限,以便了解用户可能获得的体验。通过以下步骤,使用两个测试账户登录来查看访问权限有何不同。

使用两个测试用户账户登录以测试账单访问权限

  1. 使用 AWS 账户 ID 或账户别名、您的 IAM 用户名和密码登录到 IAM 控制台

    注意

    为方便起见,AWS 登录页面将使用浏览器 Cookie 来记住您的 IAM 用户名和账户信息。如果您之前曾以其他用户身份登录,请选择页面底部附近的 Sign in to a different account (登录到其他账户) 以返回到主登录页面。从此处,您可以键入您的 AWS 账户 ID 或账户别名,以重定向到您的账户的 IAM 用户登录页面。

  2. 通过下面提供的步骤使用每个账户登录以比较不同的用户体验。

    完全访问权限

    1. 以用户 FinanceManager 的身份登录您的 AWS 账户。

    2. 在导航栏上,选择 FinanceManager@<账户别名或 ID 号>,然后选择我的账单控制面板

    3. 浏览页面并选择不同的按钮以确保您有完全修改权限。

    只读访问权限

    1. 以用户 FinanceUser 的身份登录您的 AWS 账户。

    2. 在导航栏上,选择 FinanceUser@<账户别名或 ID 号>,然后选择我的账单控制面板

    3. 浏览页面。注意您是否可以正常显示成本、报告和账单数据。不过,如果您选择一个选项来修改值,会收到 Access Denied 消息。例如,在 Preferences 页面上,选中页面上的任意复选框,然后选择 Save preferences。控制台消息通知您需要 ModifyBilling 权限才能对该页面进行更改。

相关资源

有关 AWS Billing and Cost Management 用户指南 中的相关信息,请参阅以下资源:

有关 IAM 用户指南 中的相关信息,请参阅以下资源:

总结

现在您已成功完成向用户委派对 Billing and Cost Management 控制台的访问权限所需的全部步骤。因此,您已亲眼目睹用户账单控制台的体验。现在,您可以方便地在生产环境中实施此逻辑。