IAM 教程:委托对账单控制台的访问权限
AWS 账户所有者可以向需要查看或管理 AWS 账户的 AWS Billing and Cost Management数据的特定 IAM 用户委派访问权限。下面的说明将帮助您设置一个预先测试过的方案。此方案会帮助您获得配置账单权限的实践经验,而无需担心影响您的主 AWS 生产账户。如果您将托管策略附加到 IAM 用户而不是按照本教程操作,则必须首先在步骤 1 中激活对 AWS Billing and Cost Management 控制台的访问权限。
此工作流程具有四个基本步骤。

- 步骤 1:激活对您的 AWS 测试账户的账单数据的访问权限
-
如果您创建单个 AWS 账户,只有 AWS 账户所有者 (AWS 账户根用户) 才能查看和管理账单信息。在账户所有者激活 IAM 访问权限并附加向用户或角色提供记账操作的策略之前,IAM 用户无法访问账单数据。要查看需要您以根用户身份登录的其他任务,请参阅需要账户根用户的 AWS 任务。
如果您使用 AWS Organizations 创建成员账户,则默认启用这项功能。
- 步骤 2:创建授予账单数据权限的 IAM 策略
-
对您的账户启用账单访问权限后,您仍必须向特定 IAM 用户或组显式授予账单数据访问权限。您应当使用客户托管策略授予此访问权限。
- 步骤 3:将账单策略附加到组
-
将策略附加到组时,该组的所有成员都会收到与该策略关联的完整访问权限集。在此方案中,您将新账单策略附加到只包含需要账单访问权限的用户的组。
- 步骤 4:测试对账单控制台的访问权限
-
完成核心任务后,您即可测试策略。测试确保策略按预期方式运行。
先决条件
创建要在本教程中使用的测试 AWS 账户。在此账户中创建两个测试用户和两个测试组,如下表所示。请确保为每个用户分配密码,以便在后面的步骤 4 中可以登录。
创建用户账户 | 创建和配置组账户 | |
---|---|---|
用户名称 | 组名 | 将用户添加为成员 |
FinanceManager | BillingFullAccessGroup | FinanceManager |
FinanceUser | BillingViewAccessGroup | FinanceUser |
步骤 1:激活对您的 AWS 测试账户的账单数据的访问权限
首先,为您的测试用户激活对账单访问权限。为此,请参阅 AWS Billing and Cost Management 用户指南 中的激活对账单和成本管理控制台的访问权限。
如果您使用 AWS Organizations 创建成员账户,则默认启用这项功能。
步骤 2:创建授予账单数据权限的 IAM 策略
接下来,创建自定义策略,以授予对 Billing and Cost Management 控制台中页面的查看权限和完整访问权限。有关 IAM 权限策略的一般信息,请参阅托管策略与内联策略。
创建授予账单数据权限的 IAM 策略
-
以具有管理员凭证的用户身份登录 AWS 管理控制台。根据 IAM 最佳实践,请勿使用根用户凭证登录。有关更多信息,请参阅创建单独的 IAM 用户。
-
通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/
。 -
在导航窗格中选择 Policies,然后选择 Create policy。
-
在可视化编辑器选项卡上,选择选择服务以开始使用。然后,选择账单。
-
按照以下步骤创建两个策略:
完全访问权限
-
选择选择操作,然后选中所有操作 (*) 旁边的复选框。您不需要为该策略选择资源或条件。
-
选择查看策略。
-
在 Review (审核) 页上的 Name (名称) 旁边键入
BillingFullAccess
,然后选择 Create policy (创建策略) 以保存该策略。
只读访问权限
-
重复步骤 3 和 4。
-
选择选择操作,然后选中读取旁边的复选框。您不需要为该策略选择资源或条件。
-
选择查看策略。
-
在 Review (审核) 页面上,为 Name (名称) 键入
BillingViewAccess
。然后,选择创建策略以保存该策略。
要查看为用户授予 Billing and Cost Management 控制台访问权限的 IAM 策略中提供的每个权限的说明,请参阅账单权限说明。
-
步骤 3:将账单策略附加到组
现在您已经有了可用的自定义账单策略,可以将它们附加到之前创建的相应组。虽然可以将策略直接附加到用户或角色,但我们 (根据 IAM 最佳实践) 建议附加到组。有关更多信息,请参阅使用组向 IAM 用户分配权限。
将账单策略附加到组
-
在导航窗格中,选择 Policies 以显示您的 AWS 账户可用的策略的完整列表。要将各策略附加到适当的组,请遵循以下步骤:
完全访问权限
-
在策略搜索框中键入
BillingFullAccess
,然后选中策略名称旁边的复选框。 -
选择 Policy actions,然后选择 Attach。
-
在身份(用户、组和角色)搜索框中键入
BillingFullAccessGroup
,选中组名旁边的复选框,然后选择 Attach policy (附加策略)。
只读访问权限
-
在策略搜索框中键入
BillingViewAccess
,然后选中策略名称旁边的复选框。 -
选择 Policy actions,然后选择 Attach。
-
在身份(用户、组和角色)搜索框中键入
BillingViewAccessGroup
,选中组名旁边的复选框,然后选择 Attach policy (附加策略)。
-
-
注销控制台,然后执行步骤 4:测试对账单控制台的访问权限。
步骤 4:测试对账单控制台的访问权限
我们建议您以各测试用户身份登录来测试访问权限,以便了解用户可能获得的体验。通过以下步骤,使用两个测试账户登录来查看访问权限有何不同。
使用两个测试用户账户登录以测试账单访问权限
-
使用 AWS 账户 ID 或账户别名、您的 IAM 用户名和密码登录到 IAM 控制台
。 注意 为方便起见,AWS 登录页面将使用浏览器 Cookie 来记住您的 IAM 用户名和账户信息。如果您之前曾以其他用户身份登录,请选择页面底部附近的 Sign in to a different account (登录到其他账户) 以返回到主登录页面。从此处,您可以键入您的 AWS 账户 ID 或账户别名,以重定向到您的账户的 IAM 用户登录页面。
-
通过下面提供的步骤使用每个账户登录以比较不同的用户体验。
完全访问权限
-
以用户 FinanceManager 的身份登录您的 AWS 账户。
-
在导航栏上,选择 FinanceManager@
<账户别名或 ID 号>
,然后选择我的账单控制面板。 -
浏览页面并选择不同的按钮以确保您有完全修改权限。
只读访问权限
-
以用户 FinanceUser 的身份登录您的 AWS 账户。
-
在导航栏上,选择 FinanceUser@
<账户别名或 ID 号>
,然后选择我的账单控制面板。 -
浏览页面。注意您是否可以正常显示成本、报告和账单数据。不过,如果您选择一个选项来修改值,会收到 Access Denied 消息。例如,在 Preferences 页面上,选中页面上的任意复选框,然后选择 Save preferences。控制台消息通知您需要 ModifyBilling 权限才能对该页面进行更改。
-
相关资源
有关 AWS Billing and Cost Management 用户指南 中的相关信息,请参阅以下资源:
有关 IAM 用户指南 中的相关信息,请参阅以下资源:
总结
现在您已成功完成向用户委派对 Billing and Cost Management 控制台的访问权限所需的全部步骤。因此,您已亲眼目睹用户账单控制台的体验。现在,您可以方便地在生产环境中实施此逻辑。