本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon 账单政策示例
注意
以下 Amazon Identity and Access Management (IAM) 操作已结束标准支持:
-
aws-portal
命名空间 -
purchase-orders:ViewPurchaseOrders
-
purchase-orders:ModifyPurchaseOrders
如果您正在使用 Amazon Organizations,则可以使用批量策略迁移器脚本或批量策略迁移器从您的付款人账户更新政策。您也可以使用从旧到精细的操作映射参考来验证需要添加的IAM操作。
如果您在 2023 年 11 月 16 日上午 11:00(PDT)当天或之后 Amazon Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 Amazon Web Services 账户
重要
-
这些政策要求您在账户设置
控制台页面上激活IAM用户对账单和成本管理控制台的访问权限。有关更多信息,请参阅 激活对 Billing and Cost Management 控制台的访问权限。 -
要使用 Amazon 托管策略,请参阅Amazon 托管策略。
本主题包含示例政策,您可以将这些策略附加到您的IAM用户或群组,以控制对账户账单信息和工具的访问权限。以下基本规则适用于 Billing and Cost Management 的IAM政策:
-
Version
始终为2012-10-17
。 -
Effect
始终为Allow
或Deny
。 -
Action
是操作的名称或通配符 (*
)。操作前缀
budgets
用于 Amazon 预算、cur
Amazon 成本和使用情况报告、aws-portal
Amazon 账单或ce
Cost Explorer。 -
Resource
始终*
用于 Amazon 计费。对于对
budget
资源执行的操作,请指定预算 Amazon 资源名称 (ARN)。 -
一个策略中可能包含多个语句。
有关 Amazon 成本管理控制台的操作策略列表,请参阅Amazon 成本管理用户指南中的Amazon 成本管理策略示例。
主题
- 允许IAM用户查看您的账单信息
- 允许IAM用户查看您的账单信息和碳足迹报告
- 允许IAM用户访问报告控制台页面
- 拒绝IAM用户访问账单和成本管理控制台
- 拒绝成员账号访问 Amazon 控制台费用和使用情况小工具
- 拒绝特定IAM用户和角色访问 Amazon 控制台成本和使用情况小组件
- 允许IAM用户查看您的账单信息,但拒绝访问碳足迹报告
- 允许IAM用户访问碳足迹报告,但拒绝访问账单信息
- 允许用户完全访问 Amazon 服务,但拒绝IAM用户访问账单和成本管理控制台
- 允许IAM用户查看 Billing and Cost Management 控制台,但账户设置除外
- 允许IAM用户修改账单信息
- 拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息
- 将报告存入 Amazon S3 存储桶
- 查找产品和价格
- 查看成本和使用情况
- 启用和禁用 Amazon 区域
- 查看和管理成本类别
- 创建、查看、编辑或删除 Amazon 成本和使用情况报告
- 查看和管理采购订单
- 查看和更新 Cost Explorer 首选项页面
- 使用 Cost Explorer 报告页面查看、创建、更新和删除
- 查看、创建、更新和删除预留和 Savings Plans 提醒
- 允许对 “ Amazon 成本异常检测” 进行只读访问
- 允许 Amazon 预算应用IAM政策和 SCPs
- 允许 Amazon Budget IAM s 应用政策SCPs并定位EC2和RDS实例
- 允许IAM用户查看、创建和更新您的 Fapiao 设置信息
- 允许IAM用户查看美国免税和创建 Amazon Web Services Support 案例
- 允许IAM用户查看和更新您的真实姓名信息
- (适用于账单或联系地址在印度的客户)允许对客户验证信息进行只读访问
- (适用于账单或联系地址在印度的客户)查看、创建和更新客户验证信息
- 查看 Amazon Migration Acceleration Program 账单控制台中的信息
允许IAM用户查看您的账单信息
要允许IAM用户在不向用户提供敏感账户信息的访问权限的情况下查看您的账单信息,请使用类似于以下示例政策的策略。IAM此类策略会阻止用户访问您的密码和账户活动报告。此政策允许IAM用户查看以下 Billing and Cost Management 控制台页面,而无需授予他们访问账户设置或报告控制台页面的权限:
-
控制面板
-
Cost Explorer
-
账单
-
订单和发票
-
整合账单
-
Preferences
-
Credits
-
Advance Payment
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:ViewBilling", "Resource": "*" } ] }
允许IAM用户查看您的账单信息和碳足迹报告
要允许IAM用户同时查看账单信息和碳足迹报告,请使用类似于以下示例的政策。此策略会阻止用户访问您的密码和账户活动报告。此政策允许IAM用户查看以下 Billing and Cost Management 控制台页面,而无需授予他们访问账户设置或报告控制台页面的权限:
-
控制面板
-
Cost Explorer
-
账单
-
订单和发票
-
整合账单
-
Preferences
-
Credits
-
Advance Payment
-
Amazon 成本和使用情况报告页面的 Amazon 客户碳足迹工具部分
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": "aws-portal:ViewBilling", "Resource": "*" }, {"Effect": "Allow", "Action": "sustainability:GetCarbonFootprintSummary", "Resource": "*" } ] }
允许IAM用户访问报告控制台页面
要允许IAM用户访问报告控制台页面并查看包含账户活动信息的使用情况报告,请使用类似于此示例策略的策略。
有关各操作的定义,请参阅Amazon 账单控制台操作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:ViewUsage", "aws-portal:ViewBilling", "cur:DescribeReportDefinitions", "cur:PutReportDefinition", "cur:DeleteReportDefinition", "cur:ModifyReportDefinition" ], "Resource": "*" } ] }
拒绝IAM用户访问账单和成本管理控制台
要明确拒绝IAM用户访问所有 Billing and Cost Management 控制台页面,请使用类似于此示例策略的策略。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "aws-portal:*", "Resource": "*" } ] }
拒绝成员账号访问 Amazon 控制台费用和使用情况小工具
要限制成员(关联)账户访问成本和使用数据,请使用管理(付款人)账户访问 Cost Explorer 首选项选项卡,然后取消选中 Linked Account Access(关联账户访问)。无论成员账户的IAM用户或角色执行了什么IAM操作,这都将拒绝从 Cost Explorer(Amazon 成本管理) Amazon 控制台API、Cost Explorer 和控制台主页的 “成本和使用情况” 小部件访问成本和使用情况数据。
拒绝特定IAM用户和角色访问 Amazon 控制台成本和使用情况小组件
要拒绝特定IAM用户和角色访问 Amazon 控制台成本和使用情况小组件,请使用以下权限策略。
注意
向IAM用户或角色添加此策略也会拒绝用户访问 Cost Explorer(Amazon 成本管理)控制台和 Cost Explorer APIs。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ce:*", "Resource": "*" } ] }
允许IAM用户查看您的账单信息,但拒绝访问碳足迹报告
允许IAM用户在 Billing and Cost Management 控制台中同时查看账单信息,但不允许访问 Amazon 客户碳足迹工具。此工具位于 “ Amazon 成本和使用情况报告” 页面。
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": "aws-portal:ViewBilling", "Resource": "*" }, {"Effect": "Deny", "Action": "sustainability:GetCarbonFootprintSummary", "Resource": "*" } ] }
允许IAM用户访问碳足迹报告,但拒绝访问账单信息
允许IAM用户访问 Amazon 成本和使用情况报告页面中的 Amazon 客户碳足迹工具,但拒绝访问Billing and Cost Management控制台中的账单信息。
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Deny", "Action": "aws-portal:ViewBilling", "Resource": "*" }, {"Effect": "Allow", "Action": "sustainability:GetCarbonFootprintSummary", "Resource": "*" } ] }
允许用户完全访问 Amazon 服务,但拒绝IAM用户访问账单和成本管理控制台
要拒绝IAM用户访问Billing and Cost Management控制台上的所有内容,请使用以下策略。拒绝用户访问 Amazon Identity and Access Management (IAM),以防止访问控制账单信息和工具访问权限的策略。
重要
该策略不允许进行任何操作。可将此策略与允许特定操作的其他策略结合使用。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } ] }
允许IAM用户查看 Billing and Cost Management 控制台,但账户设置除外
此策略允许对所有 Billing and Cost Management 控制台进行只读访问。这包括 Payments Method(付款方式)和 Reports(报告)控制台页面。但是,此策略将拒绝对 Account Settings(账户设置)页面的访问。这意味着它可会保护账户密码、联系信息和安全问题。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:View*", "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
允许IAM用户修改账单信息
要允许IAM用户在 Billing and Cost Management 控制台中修改账户账单信息,请允许IAM用户查看您的账单信息。以下策略示例允许IAM用户修改整合账单、首选项和积分控制台页面。它还允许IAM用户查看以下 Billing and Cost Management 控制台页面:
-
控制面板
-
Cost Explorer
-
账单
-
订单和发票
-
Advance Payment
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:*Billing", "Resource": "*" } ] }
拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息
为了保护您的账户密码、联系信息和安全问题,请拒绝IAM用户访问账户设置,同时仍允许用户完全访问账单和成本管理控制台中的其余功能。以下是示例策略。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:*Billing", "aws-portal:*Usage", "aws-portal:*PaymentMethods" ], "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
将报告存入 Amazon S3 存储桶
如果您同时拥有该 Amazon 账户和 Amazon S3 存储桶,则以下政策允许 Amazon 账单和成本管理部门将您的详细账单保存到 Amazon S3 存储桶中。此策略必须应用于 Amazon S3 存储桶,而不是IAM用户。这是因为,它是一种基于资源的策略,而不是基于用户的策略。我们建议您拒绝IAM不需要访问账单的IAM用户访问存储桶。
Replace(替换) amzn-s3-demo-bucket1
用你的存储桶的名字。
有关更多信息,请参阅 Amazon Simple Storage Service 用户指南中的使用存储桶策略和用户策略。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": [ "s3:GetBucketAcl", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::
amzn-s3-demo-bucket1
" }, { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1
/*" } ] }
查找产品和价格
要允许IAM用户使用 Amazon 价目表服务API,请使用以下策略向他们授予访问权限。
此政策授予使用两种 Amazon 价目表批量API Amazon 查询的权限API。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "pricing:DescribeServices", "pricing:GetAttributeValues", "pricing:GetProducts", "pricing:GetPriceListFileUrl", "pricing:ListPriceLists" ], "Resource": [ "*" ] } ] }
查看成本和使用情况
要允许IAM用户使用 Cost Ex Amazon plorerAPI,请使用以下策略向他们授予访问权限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:*" ], "Resource": [ "*" ] } ] }
启用和禁用 Amazon 区域
有关允许用户启用和禁用区域的IAM策略示例,请参阅《IAM用户指南》中的 Amazon:允许启用和禁用 Amazon 区域。
查看和管理成本类别
要允许IAM用户使用、查看和管理成本类别,请使用以下策略向他们授予访问权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:GetCostAndUsage", "ce:DescribeCostCategoryDefinition", "ce:UpdateCostCategoryDefinition", "ce:CreateCostCategoryDefinition", "ce:DeleteCostCategoryDefinition", "ce:ListCostCategoryDefinitions", "ce:TagResource", "ce:UntagResource", "ce:ListTagsForResource", "pricing:DescribeServices" ], "Resource": "*" } ] }
创建、查看、编辑或删除 Amazon 成本和使用情况报告
此策略允许IAM用户sample-report
使用创建、查看、编辑或删除API。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageSampleReport", "Effect": "Allow", "Action": [ "cur:PutReportDefinition", "cur:DeleteReportDefinition", "cur:ModifyReportDefinition" ], "Resource": "arn:aws:cur:*:123456789012:definition/sample-report" }, { "Sid": "DescribeReportDefs", "Effect": "Allow", "Action": "cur:DescribeReportDefinitions", "Resource": "*" } ] }
查看和管理采购订单
此政策允许IAM用户查看和管理采购订单,使用以下策略授予访问权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "purchase-orders:*" ], "Resource": "*" } ] }
查看和更新 Cost Explorer 首选项页面
此政策允许IAM用户使用 Cos t Explorer 偏好设置页面进行查看和更新。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:UpdatePreferences" ], "Resource": "*" } ] }
以下策略允许IAM用户查看 Cost Explorer,但拒绝其查看或编辑 “首选项” 页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:GetPreferences", "ce:UpdatePreferences" ], "Resource": "*" } ] }
以下策略允许IAM用户查看 Cost Explorer,但拒绝编辑首选项页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:UpdatePreferences" ], "Resource": "*" } ] }
使用 Cost Explorer 报告页面查看、创建、更新和删除
此政策允许IAM用户使用 Cos t Explorer 报告页面查看、创建、更新和删除。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
以下策略允许IAM用户查看 Cost Explorer,但拒绝其查看或编辑报告页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeReport", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
以下策略允许IAM用户查看 Cost Explorer,但拒绝编辑报告页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
查看、创建、更新和删除预留和 Savings Plans 提醒
此政策允许IAM用户查看、创建、更新和删除预订到期提醒和 Savings Pl ans 提醒。要编辑预留到期提醒或 Savings Plans 提醒,用户需要所有三个粒度的操作:ce:CreateNotificationSubscription
、ce:UpdateNotificationSubscription
和 ce:DeleteNotificationSubscription
。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
以下政策允许IAM用户查看 Cost Explorer,但拒绝查看或编辑预订到期提醒和 Savings Pl ans 提醒页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeNotificationSubscription", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
以下政策允许IAM用户查看 Cost Explorer,但拒绝编辑预订到期提醒和 Savings Pl ans 提醒页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
允许对 “ Amazon 成本异常检测” 进行只读访问
要允许IAM用户以只读方式访问 Amazon 成本异常检测,请使用以下策略向他们授予访问权限。 ce:ProvideAnomalyFeedback
作为只读访问权限的一部分,是可选的。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ce:Get*" ], "Effect": "Allow", "Resource": "*" } ] }
允许 Amazon 预算应用IAM政策和 SCPs
此政策允 Amazon 许 Bud IAM gets 代表用户应用策略和服务控制策略 (SCPs)。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy" ], "Resource": "*" } ] }
允许 Amazon Budget IAM s 应用政策SCPs并定位EC2和RDS实例
该政策允 Amazon 许 Bu IAM dgets 应用策略和服务控制政策 (SCPs),EC2并代表用户定位亚马逊和亚马逊RDS实例。
信任策略
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "budgets.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
权限策略
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance", "ssm:StartAutomationExecution" ], "Resource": "*" } ] }
允许IAM用户查看、创建和更新您的 Fapiao 设置信息
此政策允许IAM用户查看、创建和更新您的 Fapiao 设置信息,而无需向IAM用户提供访问敏感账户信息的权限。
有关各操作的定义,请参阅Amazon 账单控制台操作
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "fapiao:GetAccountFapiaoSetting", "fapiao:UpdateAccountFapiaoInformation", "fapiao:UpdateAccountMailingAddress", "fapiao:CreateAccountFapiaoSetting" ], "Resource": "*" } ] }
允许IAM用户查看美国免税和创建 Amazon Web Services Support 案例
此政策允许IAM用户在免税控制台中查看美国免税和创建上传免税证书的 Amazon Web Services Support 案例。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "aws-portal:*", "tax:GetExemptions", "tax:UpdateExemptions", "support:CreateCase", "support:AddAttachmentsToSet" ], "Resource": [ "*" ], "Effect": "Allow" } ] }
允许IAM用户查看和更新您的真实姓名信息
此政策允许IAM用户查看和更新账户的真实姓名信息。
有关各操作的定义,请参阅Amazon 账单控制台操作。
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "cloudassist:DescribeAccountRealNameInformation", "cloudassist:UpdateAccountRealNameInformation" ], "Resource": "*" } ] }
(适用于账单或联系地址在印度的客户)允许对客户验证信息进行只读访问
此政策允许IAM用户以只读方式访问客户验证信息。
有关各操作的定义,请参阅Amazon 账单控制台操作。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "customer-verification:GetCustomerVerificationEligibility", "customer-verification:GetCustomerVerificationDetails" ], "Resource": "*" }] }
(适用于账单或联系地址在印度的客户)查看、创建和更新客户验证信息
此政策允许IAM用户管理其客户验证信息。
有关各操作的定义,请参阅Amazon 账单控制台操作
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "customer-verification:CreateCustomerVerificationDetails", "customer-verification:UpdateCustomerVerificationDetails", "customer-verification:GetCustomerVerificationEligibility", "customer-verification:GetCustomerVerificationDetails" ], "Resource": "*" }] }
查看 Amazon Migration Acceleration Program 账单控制台中的信息
此政策允许IAM用户查看 Migration Acceleration Program 账单控制台中付款人账户的协议、积分和符合条件的支出。
有关各操作的定义,请参阅Amazon 账单控制台操作。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "mapcredit:ListQuarterSpend", "mapcredit:ListQuarterCredits", "mapcredit:ListAssociatedPrograms" ], "Resource": "*" }] }