IAM 教程:委托对账单控制台的访问权限
Amazon 账户所有者可以向需要查看或管理 Amazon 账户的 Amazon Billing and Cost Management 数据的特定 IAM 用户委派访问权限。下面的说明将帮助您设置一个预先测试过的方案。此方案会帮助您获得配置账单权限的实践经验,而无需担心影响您的主 Amazon 生产账户。如果您将托管策略附加到 IAM 用户而不是按照本教程操作,则必须首先在步骤 1 中激活对 Amazon Billing and Cost Management 控制台的访问权限。
此工作流程具有四个基本步骤。
- 步骤 1:激活对您的 Amazon 测试账户的账单数据的访问权限
-
如果您创建单个 Amazon 账户,则仅 Amazon 账户拥有者(Amazon Web Services 账户 根用户)才能查看和管理账单信息。在账户拥有者激活 IAM 访问权限并附加向用户或角色提供账单操作的策略之前,IAM 用户无法访问账单数据。要查看需要您以根用户身份登录的其他任务,请参阅需要账户根用户的 Amazon 任务。
如果您使用 Amazon Organizations 创建成员账户,则默认启用这项功能。
- 步骤 2:创建授予账单数据权限的 IAM 策略
-
对您的账户启用账单访问权限后,您仍必须向特定 IAM 用户或用户组显式授予账单数据访问权限。您应当使用客户托管策略授予此访问权限。
- 步骤 3:将账单策略附加到用户组
-
将策略附加到用户组时,该用户组的所有成员都会收到与该策略关联的完整访问权限集。在此场景中,您将新账单策略附加到只包含需要账单访问权限的用户的用户组。
- 步骤 4:测试对账单控制台的访问权限
-
完成核心任务后,您即可测试策略。测试确保策略按预期方式运行。
Prerequisites
创建要在本教程中使用的测试 Amazon 账户。在此账户中创建两个测试用户和两个测试用户组,如下表所示。请确保为每个用户分配密码,以便在后面的步骤 4 中可以登录。
| 创建用户账户 | 创建和配置用户组账户 | |
|---|---|---|
| 用户名称 | 用户组名称 | 将用户添加为成员 |
| FinanceManager | BillingFullAccessGroup | FinanceManager |
| FinanceUser | BillingViewAccessGroup | FinanceUser |
步骤 1:激活对您的 Amazon 测试账户的账单数据的访问权限
首先,在 Amazon Billing and Cost Management 控制台中为您的测试用户激活对账单访问权限。
如果您使用 Amazon Organizations 创建成员账户,则默认启用这项功能。
激活 IAM 用户和角色对 Billing and Cost Management 控制台的访问权限
使用您的根账户凭证(您用于创建 Amazon 账户的电子邮件地址和密码)登录 Amazon Web Services Management Console。
在导航栏上,选择您的账户名,然后选择我的账户
。 选择 IAM 用户和角色访问账单信息的权限旁边的编辑。
选中 Activate IAM Access(激活 IAM 访问权限)复选框以激活对 Billing and Cost Management 页面的访问权限。
选择 Update (更新)。
您现在可使用 IAM 策略控制用户可访问的页面。
激活 IAM 用户访问权限后,您可附加 IAM 策略以授权或拒绝对特定账单功能的访问。有关使用策略授权 IAM 用户访问 Amazon Billing and Cost Management 管理功能的更多信息,请参阅 Amazon Billing and Cost Management 用户指南中的为 Billing and Cost Management 管理使用基于身份的策略(IAM 策略)。
步骤 2:创建授予账单数据权限的 IAM 策略
接下来,创建自定义策略,以授予对 Billing and Cost Management 控制台中页面的查看权限和完整访问权限。有关 IAM 权限策略的一般信息,请参阅托管策略与内联策略。
创建授予账单数据权限的 IAM 策略
-
以具有管理员凭证的用户身份登录 Amazon Web Services Management Console。根据 IAM 最佳实践,请勿使用根用户凭证登录。有关更多信息,请参阅 创建您的第一个 IAM 管理员用户和用户组。
-
访问:https://console.aws.amazon.com/iam/
,打开 IAM 控制台。 -
在导航窗格中,选择 Policies (策略),然后选择 Create policy (创建策略)。
-
在可视化编辑器选项卡上,选择选择服务以开始使用。然后,选择账单。
-
按照以下步骤创建两个策略:
完全访问权限
-
选择 Select actions(选择操作),然后选中 All Billing actions (aws-portal:*)(所有账单操作 (aws-portal:*))。您不需要为该策略选择资源或条件。
-
选择 Review policy (审核策略)。
-
在 Review(审核)页上的 Name(名称)旁边键入
BillingFullAccess,然后选择 Create policy(创建策略)以保存该策略。
只读访问权限
-
重复步骤 3 和 4。
-
选择选择操作,然后选中读取旁边的复选框。您不需要为该策略选择资源或条件。
-
选择 Review policy (审核策略)。
-
在 Review (审核) 页面上,为 Name (名称) 键入
BillingViewAccess。然后,选择创建策略以保存该策略。
要查看为用户授予 Billing and Cost Management 控制台访问权限的 IAM 策略中提供的每个权限的说明,请参阅账单权限说明。
-
步骤 3:将账单策略附加到用户组
现在您已经有了可用的自定义账单策略,可以将它们附加到之前创建的相应用户组。虽然可以将策略直接附加到用户或角色,但我们(根据 IAM 最佳实践)建议附加到用户组。
将账单策略附加到用户组
-
在导航窗格中,选择 Policies 以显示您的 Amazon 账户可用的策略的完整列表。要将各策略附加到适当的用户组,请遵循以下步骤:
完全访问权限
-
在策略搜索框中键入
BillingFullAccess,然后选中策略名称旁边的复选框。 -
选择 Actions(操作),然后选择 Attach(附加)。
-
在身份(用户、用户组和角色)搜索框中键入
BillingFullAccessGroup,选中用户组名称旁边的复选框,然后选择 Attach policy(附加策略)。
只读访问权限
-
在策略搜索框中键入
BillingViewAccess,然后选中策略名称旁边的复选框。 -
选择 Actions(操作),然后选择 Attach(附加)。
-
在身份(用户、用户组和角色)搜索框中键入
BillingViewAccessGroup,选中用户组名称旁边的复选框,然后选择 Attach policy(附加策略)。
-
-
注销控制台,然后执行步骤 4:测试对账单控制台的访问权限。
步骤 4:测试对账单控制台的访问权限
我们建议您以各测试用户身份登录来测试访问权限,以便了解用户可能获得的体验。通过以下步骤,使用两个测试账户登录来查看访问权限有何不同。
使用两个测试用户账户登录以测试账单访问权限
-
使用 Amazon 账户 ID 或账户别名、您的 IAM 用户名和密码登录到 IAM 控制台
。 注意 为方便起见,Amazon登录页面使用浏览器 Cookie 记住您的 IAM 用户名和账户信息。如果您之前以其他用户身份登录,请选择页面底部的 Sign-in to a different account(登录到其他账户)以返回主登录页面。在此处,您可以输入要重新导向到您账户 IAM 用户登录页面的 Amazon 账户 ID 或账户别名。
-
通过下面提供的步骤使用每个账户登录以比较不同的用户体验。
完全访问权限
-
以用户 FinanceManager 的身份登录您的 Amazon 账户。
-
在导航栏上,选择 FinanceManager@
<账户别名或 ID 号>,然后选择我的账单控制面板。 -
浏览页面并选择不同的按钮以确保您有完全修改权限。
只读访问权限
-
以用户 FinanceUser 的身份登录您的 Amazon 账户。
-
在导航栏上,选择 FinanceUser@
<账户别名或 ID 号>,然后选择我的账单控制面板。 -
浏览页面。注意您是否可以正常显示成本、报告和账单数据。不过,如果您选择一个选项来修改值,会收到 Access Denied 消息。例如,在 Preferences 页面上,选中页面上的任意复选框,然后选择 Save preferences。控制台消息通知您需要 ModifyBilling 权限才能对该页面进行更改。
-
相关资源
有关 Amazon Billing and Cost Management 用户指南 中的相关信息,请参阅以下资源:
有关 IAM 用户指南 中的相关信息,请参阅以下资源:
Summary
现在您已成功完成向用户委派对 Billing and Cost Management 控制台的访问权限所需的全部步骤。因此,您已亲眼目睹用户账单控制台的体验。现在,您可以方便地在生产环境中实施此逻辑。