Amazon Billing 策略示例
本主题包含几个示例策略,您可以将它们附加到您的 IAM 用户或组以控制对您的账户的账单信息和工具的访问权限。以下基本规则适用于 Billing and Cost Management 的 IAM policy:
-
Version始终为2012-10-17。 -
Effect始终为Allow或Deny. -
Action是操作的名称或通配符 (*)。操作前缀为
budgets(用于 Amazon Budgets)、cur(用于 Amazon 成本和使用情况报告)、aws-portal(用于 Amazon 账单)或ce(用于 Cost Explorer)。 -
对于 Amazon Billing,
Resource始终为*。对于在
budget资源上执行的操作,请指定预算 Amazon Resource Name (ARN)。 -
一个策略中可能包含多个语句。
有关 Amazon Cost Management 控制台操作策略的列表,请参阅 Amazon Cost Management 用户指南中的 Amazon Cost Management 策略示例。
这些策略要求您在 Account Settings(账户设置)
主题
- 允许 IAM 用户查看您的账单信息
- 允许 IAM 用户查看您的账单信息和碳足迹报告
- 允许 IAM 用户访问报告控制台页面
- 拒绝 IAM 用户对 Billing 和 Cost Management 控制台的访问权限
- 拒绝成员账户访问 Amazon 控制台成本和使用小组件
- 拒绝特定 IAM 用户和角色访问 Amazon 控制台成本和使用小组件
- 允许 IAM 用户查看您的账单信息,但拒绝用户访问碳足迹报告
- 允许 IAM 用户访问访问碳足迹报告,但拒绝用户访问账单信息
- 允许对Amazon服务的完全访问权限,但拒绝 IAM 用户访问 Billing 和 Cost Management 控制台。
- 允许 IAM 用户查看 Billing 和 Cost Management 控制台(账户设置除外)
- 允许 IAM 用户修改账单信息
- 拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息
- 将报告存入 Amazon S3 存储桶
- 查找产品和价格
- 查看成本和使用情况
- 启用和禁用 Amazon 区域
- 查看和管理成本类别
- 创建、查看、编辑或删除 Amazon 成本和使用情况报告
- 查看和管理采购订单
- 查看和更新 Cost Explorer 首选项页面
- 使用 Cost Explorer 报告页面查看、创建、更新和删除
- 查看、创建、更新和删除预留和 Savings Plans 提醒
- 允许对 Amazon Cost Anomaly Detection 的只读访问
- 允许 Amazon Budgets 应用 IAM policy 和 SCP
- 允许 Amazon Budgets 应用 IAM policy 和 SCP 以及目标 EC2 和 RDS 实例
- 允许 IAM 用户查看、创建和更新您的发票设置信息
- 允许 IAM 用户查看美国免税并创建 Amazon Web Services Support 案例
允许 IAM 用户查看您的账单信息
要允许某个 IAM 用户查看您的账单信息而不向该 IAM 用户提供对敏感账户信息的访问权限,请使用类似于以下示例策略的策略。此类策略会阻止用户访问您的密码和账户活动报告。此策略允许 IAM 用户查看以下 Billing and Cost Management 控制台页面,而不会向他们提供对 Account Settings(账户设置)或 Reports(报告)控制台页面的访问权限:
-
控制面板
-
Cost Explorer
-
账单
-
订单和发票
-
整合账单
-
Preferences
-
Credits
-
Advance Payment
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:ViewBilling", "Resource": "*" } ] }
允许 IAM 用户查看您的账单信息和碳足迹报告
要允许某个 IAM 用户查看账单信息和碳足迹报告,请使用与以下示例类似的策略。此策略会阻止用户访问您的密码和账户活动报告。此策略允许 IAM 用户查看以下 Billing and Cost Management 控制台页面,而不会向他们提供对 Account Settings(账户设置)或 Reports(报告)控制台页面的访问权限:
-
控制面板
-
Cost Explorer
-
账单
-
订单和发票
-
整合账单
-
Preferences
-
Credits
-
Advance Payment
-
Amazon 成本和使用情况报告页面的 Amazon 客户碳足迹工具部分
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": "aws-portal:ViewBilling", "Resource": "*" }, {"Effect": "Allow", "Action": "sustainability:GetCarbonFootprintSummary", "Resource": "*" } ] }
允许 IAM 用户访问报告控制台页面
要允许 IAM 用户访问 Reports(报告)控制台页面和查看包含账户活动信息的使用情况报告,请使用类似于此示例策略的策略。
有关各操作的定义,请参阅Amazon Billing 操作策略。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:ViewUsage", "aws-portal:ViewBilling", "cur:DescribeReportDefinitions", "cur:PutReportDefinition", "cur:DeleteReportDefinition", "cur:ModifyReportDefinition" ], "Resource": "*" } ] }
拒绝 IAM 用户对 Billing 和 Cost Management 控制台的访问权限
要显式拒绝 IAM 用户访问所有 Billing and Cost Management 控制台页面,请使用类似于此示例策略的策略。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "aws-portal:*", "Resource": "*" } ] }
拒绝成员账户访问 Amazon 控制台成本和使用小组件
要限制成员(关联)账户访问成本和使用数据,请使用管理(付款人)账户访问 Cost Explorer 首选项选项卡,然后取消选中 Linked Account Access(关联账户访问)。这将拒绝从 Cost Explorer (Amazon Cost Management) 控制台、Cost Explorer API 及 Amazon 控制台主页的成本和使用情况小组件中访问成本和使用情况数据,无论成员账户的 IAM 用户或角色是否具有 IAM 操作。
拒绝特定 IAM 用户和角色访问 Amazon 控制台成本和使用小组件
要拒绝特定 IAM 用户和角色的 Amazon 控制台成本和使用小组件,请使用下面的权限策略。
将此策略添加到 IAM 用户或角色,将会拒绝用户对 Cost Explorer (Amazon Cost Management) 控制台和 Cost Explorer API 的访问权限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ce:*", "Resource": "*" } ] }
允许 IAM 用户查看您的账单信息,但拒绝用户访问碳足迹报告
要允许某个 IAM 用户在账单控制台和成本管理控制台中访问账单信息,但不允许访问 Amazon 客户碳足迹工具。此工具位于 Amazon 成本和使用情况报告页面。
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": "aws-portal:ViewBilling", "Resource": "*" }, {"Effect": "Deny", "Action": "sustainability:GetCarbonFootprintSummary", "Resource": "*" } ] }
允许 IAM 用户访问访问碳足迹报告,但拒绝用户访问账单信息
要允许某个 IAM 用户访问 Amazon 成本和使用情况报告页面的 Amazon 客户碳足迹工具,但拒绝用户在账单控制台和成本管理控制台中查看账单信息。
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Deny", "Action": "aws-portal:ViewBilling", "Resource": "*" }, {"Effect": "Allow", "Action": "sustainability:GetCarbonFootprintSummary", "Resource": "*" } ] }
允许对Amazon服务的完全访问权限,但拒绝 IAM 用户访问 Billing 和 Cost Management 控制台。
要拒绝 IAM 用户访问 Billing and Cost Management 控制台上的所有内容,请使用以下策略。拒绝用户访问 Amazon Identity and Access Management (IAM) 以阻止访问控制对账单信息和工具的访问权限的策略。
该策略不允许进行任何操作。可将此策略与允许特定操作的其他策略结合使用。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } ] }
允许 IAM 用户查看 Billing 和 Cost Management 控制台(账户设置除外)
此策略允许对所有 Billing and Cost Management 控制台进行只读访问。这包括 Payments Method(付款方式)和 Reports(报告)控制台页面。但是,此策略将拒绝对 Account Settings(账户设置)页面的访问。这意味着它可会保护账户密码、联系信息和安全问题。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:View*", "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
允许 IAM 用户修改账单信息
要允许 IAM 用户在 Billing and Cost Management 控制台中修改账户账单信息,请允许 IAM 用户查看您的账单信息。以下策略示例允许 IAM 用户修改 Consolidated Billing(整合账单)、Preferences(首选项)和 Credits(服务抵扣金额)控制台页面。它还允许 IAM 用户查看以下 Billing and Cost Management 控制台页面:
-
控制面板
-
Cost Explorer
-
账单
-
订单和发票
-
Advance Payment
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:*Billing", "Resource": "*" } ] }
拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息
要保护您的账户密码、联系信息和安全问题,您可以拒绝 IAM 用户访问 Account Settings(账户设置),同时仍允许完全访问 Billing and Cost Management 控制台中的其余功能。以下是示例 策略。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:*Billing", "aws-portal:*Usage", "aws-portal:*PaymentMethods" ], "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
将报告存入 Amazon S3 存储桶
以下策略允许 Billing and Cost Management 将您的详细 Amazon 账单保存到 Amazon S3 存储桶,只要您同时拥有 Amazon 账户和 Amazon S3 存储桶。此策略必须应用于 Amazon S3 存储桶而不是 IAM 用户。这是因为,它是一种基于资源的策略,而不是基于用户的策略。我们建议您拒绝 IAM 用户访问无需访问您的账单的 IAM 用户的存储桶。
将 bucketname 替换为您的存储桶的名称。
有关更多信息,请参阅 Amazon Simple Storage Service 用户指南中的使用存储桶策略和用户策略。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": [ "s3:GetBucketAcl", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::bucketname" }, { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucketname/*" } ] }
查找产品和价格
要允许 IAM 用户使用 Amazon 价目表服务 API,请使用以下策略授予他们访问权限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "pricing:DescribeServices", "pricing:GetAttributeValues", "pricing:GetProducts" ], "Resource": [ "*" ] } ] }
查看成本和使用情况
要允许 IAM 用户使用 Amazon Cost Explorer API,请使用以下策略授予他们访问权限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:*" ], "Resource": [ "*" ] } ] }
启用和禁用 Amazon 区域
有关允许用户启用和禁用区域的示例 IAM policy,请参阅 IAM 用户指南中的 Amazon:允许启用和禁用 Amazon 区域。
查看和管理成本类别
要允许 IAM 用户使用、查看和管理成本类别,请使用以下策略授予他们访问权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:GetCostAndUsage", "ce:DescribeCostCategoryDefinition", "ce:UpdateCostCategoryDefinition", "ce:CreateCostCategoryDefinition", "ce:DeleteCostCategoryDefinition", "ce:ListCostCategoryDefinitions", "ce:TagResource", "ce:UntagResource", "ce:ListTagsForResource", "pricing:DescribeServices" ], "Resource": "*" } ] }
创建、查看、编辑或删除 Amazon 成本和使用情况报告
此策略允许 IAM 用户使用 API 创建、查看、编辑或删除 sample-report。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageSampleReport", "Effect": "Allow", "Action": [ "cur:PutReportDefinition", "cur:DeleteReportDefinition", "cur:ModifyReportDefinition" ], "Resource": "arn:aws:cur:*:123456789012:definition/sample-report" }, { "Sid": "DescribeReportDefs", "Effect": "Allow", "Action": "cur:DescribeReportDefinitions", "Resource": "*" } ] }
查看和管理采购订单
此策略允许 IAM 用户使用以下策略授予访问权限以查看和管理采购订单。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "purchase-orders:ViewPurchaseOrders", "purchase-orders:ModifyPurchaseOrders" ], "Resource": "*" } ] }
查看和更新 Cost Explorer 首选项页面
此策略允许 IAM 用户使用 Cost Explorer 首选项页面查看和更新。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:UpdatePreferences" ], "Resource": "*" } ] }
以下策略允许 IAM 用户查看 Cost Explorer,但拒绝查看或编辑 Preferences(首选项)页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:GetPreferences", "ce:UpdatePreferences" ], "Resource": "*" } ] }
以下策略允许 IAM 用户查看 Cost Explorer,但拒绝编辑 Preferences(首选项)页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:UpdatePreferences" ], "Resource": "*" } ] }
使用 Cost Explorer 报告页面查看、创建、更新和删除
此策略允许 IAM 用户使用 Cost Explorer 报告页面查看、创建、更新和删除。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
以下策略允许 IAM 用户查看 Cost Explorer,但拒绝查看或编辑 Reports(报告)页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeReport", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
以下策略允许 IAM 用户查看 Cost Explorer,但拒绝编辑 Reports(报告)页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
查看、创建、更新和删除预留和 Savings Plans 提醒
此策略允许 IAM 用户查看、创建、更新和删除预留到期提醒和 Savings Plans 提醒。要编辑预留到期提醒或 Savings Plans 提醒,用户需要所有三个粒度的操作:ce:CreateNotificationSubscription、ce:UpdateNotificationSubscription 和 ce:DeleteNotificationSubscription。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
以下策略允许 IAM 用户查看 Cost Explorer,但拒绝查看或编辑预留到期提醒和 Savings Plans 提醒页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeNotificationSubscription", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
以下策略允许 IAM 用户查看 Cost Explorer,但拒绝编辑预留到期提醒和 Savings Plans 提醒页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
允许对 Amazon Cost Anomaly Detection 的只读访问
要允许 IAM 用户对 Amazon Cost Anomaly Detection 的只读访问,请使用以下策略授予他们访问权限。ce:ProvideAnomalyFeedback 作为只读访问的一部分是可选的。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ce:Get*" ], "Effect": "Allow", "Resource": "*" } ] }
允许 Amazon Budgets 应用 IAM policy 和 SCP
此策略允许 Amazon Budgets 代表用户应用 IAM policy 和服务控制策略 (SCP)。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy" ], "Resource": "*" } ] }
允许 Amazon Budgets 应用 IAM policy 和 SCP 以及目标 EC2 和 RDS 实例
此策略允许 Amazon Budgets 代表用户应用 IAM policy 和服务控制策略 (SCP) 以及目标 Amazon EC2 和 Amazon RDS 实例。
信任策略
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "budgets.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
权限策略
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance", "ssm:StartAutomationExecution" ], "Resource": "*" } ] }
允许 IAM 用户查看、创建和更新您的发票设置信息
此策略允许 IAM 用户查看、创建和更新您的发票设置信息,而不向 IAM 用户提供对敏感账户信息的访问权限。
有关各操作的定义,请参阅Amazon Billing 操作策略
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": [ "fapiao:GetAccountFapiaoSetting", "fapiao:UpdateAccountFapiaoInformation", "fapiao:UpdateAccountMailingAddress", "fapiao:CreateAccountFapiaoSetting" ], "Resource": "*" } ] }
允许 IAM 用户查看美国免税并创建 Amazon Web Services Support 案例
此策略允许 IAM 用户查看美国免税并创建 Amazon Web Services Support 案例,并将免税证明材料上传到免税控制台中。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "aws-portal:*", "tax:GetExemptions", "tax:UpdateExemptions", "support:CreateCase", "support:AddAttachmentsToSet" ], "Resource": [ "*" ], "Effect": "Allow" } ] }