本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon 账单政策示例
**注意**
以下 Amazon Identity and Access Management (IAM) 操作已结束标准支持:
`aws-portal` 命名空间
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您正在使用 Amazon Organizations,则可以使用[批量策略迁移器脚本](migrate-iam-permissions.md)或批量策略迁移器从您的付款人账户更新政策。您还可以使用[旧到精细操作映射参考](migrate-granularaccess-iam-mapping-reference.md)来验证需要添加的 IAM 操作。
如果您在 2023 年 11 月 16 日上午 11:00(太平洋夏令时)当天或之后 Amazon Organizations 创建了或参与其中,则细粒度的操作已经在您的组织中生效。 Amazon Web Services 账户
**重要**
这些策略要求您在 [Account Settings(账户设置)](https://console.amazonaws.cn/billing/home#/account)控制台页面上激活 IAM 用户对 Billing and Cost Management 控制台的访问权限。有关更多信息,请参阅 [激活对 Billing and Cost Management 控制台的访问权限](control-access-billing.md#ControllingAccessWebsite-Activate)。
要使用 Amazon 托管策略,请参阅[Amazon 托管策略](managed-policies.md)。
本主题包含几个示例策略,您可以将它们附加到您的 IAM 用户或组以控制对您的账户的账单信息和工具的访问权限。以下基本规则适用于 Billing and Cost Management 的 IAM policy:
+ `Version` 始终为 `2012-10-17 `。
+ `Effect` 始终为 `Allow` 或 `Deny`。
+ `Action` 是操作的名称或通配符(`*`)。
操作前缀`budgets`用于 Amazon 预算、`cur` Amazon 成本和使用情况报告、`aws-portal` Amazon 账单或 `ce` Cost Explorer。
+ `Resource`始终`*`用于 Amazon 计费。
对于在 `budget` 资源上执行的操作,请指定预算 Amazon Resource Name (ARN)。
+ 一个策略中可能包含多个语句。
有关 Amazon 成本管理控制台的操作策略列表,请参阅[Amazon 成本管理*用户指南中的Amazon 成本管理*策略示例](https://docs.amazonaws.cn/cost-management/latest/userguide/billing-example-policies.html)。
**Topics**
+ [允许 IAM 用户查看您的账单信息](#example-billing-view-billing-only)
+ [允许 IAM 用户查看您的账单信息和碳足迹报告](#example-ccft-policy)
+ [允许 IAM 用户访问报告控制台页面](#example-billing-view-reports)
+ [拒绝 IAM 用户对 Billing 和 Cost Management 控制台的访问权限](#example-billing-deny-all)
+ [拒绝成员账号访问 Amazon 控制台费用和使用情况小工具](#example-billing-deny-widget)
+ [拒绝特定 IAM 用户和角色访问 Amazon 控制台成本和使用情况小工具](#example-billing-deny-ce)
+ [允许 IAM 用户查看您的账单信息,但拒绝用户访问碳足迹报告](#example-ccft-policy-deny)
+ [允许 IAM 用户访问访问碳足迹报告,但拒绝用户访问账单信息](#example-ccft-policy-allow)
+ [允许完全访问 Amazon 服务,但拒绝 IAM 用户访问账单和成本管理控制台](#ExampleAllowAllDenyBilling)
+ [允许 IAM 用户查看 Billing 和 Cost Management 控制台(账户设置除外)](#example-billing-read-only)
+ [允许 IAM 用户修改账单信息](#example-billing-deny-modifybilling)
+ [拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息](#example-billing-deny-modifyaccount)
+ [将报告存入 Amazon S3 存储桶](#example-billing-s3-bucket)
+ [查找产品和价格](#example-policy-pe-api)
+ [查看成本和使用情况](#example-policy-ce-api)
+ [启用和禁用 Amazon 区域](#enable-disable-regions)
+ [查看和管理成本类别](#example-policy-cc-api)
+ [创建、查看、编辑或删除 Amazon 成本和使用情况报告](#example-policy-report-definition)
+ [查看和管理采购订单](#example-view-manage-purchaseorders)
+ [查看和更新 Cost Explorer 首选项页面](#example-view-update-ce)
+ [使用 Cost Explorer 报告页面查看、创建、更新和删除](#example-view-ce-reports)
+ [查看、创建、更新和删除预留和 Savings Plans 提醒](#example-view-ce-expiration)
+ [允许对 “ Amazon 成本异常检测” 进行只读访问](#example-policy-ce-ad)
+ [允许 Amazon 预算应用 IAM 政策和 SCPs](#example-budgets-IAM-SCP)
+ [允许 Amazon 预算应用 IAM 策略和 SCP 并以 EC2 和 RDS 实例为目标](#example-budgets-applySCP)
+ [允许 IAM 用户查看、创建和更新您的发票设置信息](#example-budgets-fapiao)
+ [允许 IAM 用户查看美国免税和创建 Amazon Web Services 支持 案例](#example-awstaxexemption)
+ [允许 IAM 用户查看和更新您的实名信息](#example-budgets-realname)
+ [(适用于账单或联系地址在印度的客户)允许对客户验证信息进行只读访问](#example-aispl-verification)
+ [(适用于账单或联系地址在印度的客户)查看、创建和更新客户验证信息](#example-aispl-verification-view)
+ [在账单控制台中查看Amazon Migration Acceleration Program信息](#read-only-migration-acceleration-program-policy)
+ [允许访问账单控制台中的 Amazon 发票配置](#invoice-config-policy)
## 允许 IAM 用户查看您的账单信息
要允许某个 IAM 用户查看您的账单信息而不向该 IAM 用户提供对敏感账户信息的访问权限,请使用类似于以下示例策略的策略。此类策略会阻止用户访问您的密码和账户活动报告。此策略允许 IAM 用户查看以下 Billing and Cost Management 控制台页面,而不会向他们提供对 **Account Settings(账户设置)**或 **Reports(报告)**控制台页面的访问权限:
+ **控制面板**
+ **Cost Explorer**
+ **账单**
+ **订单和发票**
+ **整合账单**
+ **Preferences**
+ **Credits**
+ **Advance Payment**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
}
]
}
```
------
## 允许 IAM 用户查看您的账单信息和碳足迹报告
要允许某个 IAM 用户查看账单信息和碳足迹报告,请使用与以下示例类似的策略。此策略会阻止用户访问您的密码和账户活动报告。此策略允许 IAM 用户查看以下 Billing and Cost Management 控制台页面,而不会向他们提供对 **Account Settings(账户设置)**或 **Reports(报告)**控制台页面的访问权限:
+ **控制面板**
+ **Cost Explorer**
+ **账单**
+ **订单和发票**
+ **整合账单**
+ **Preferences**
+ **Credits**
+ **Advance Payment**
+ **“ Amazon 成本和使用情况报告” 页面的 “ Amazon 客户碳足迹工具” 部分**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Allow",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## 允许 IAM 用户访问报告控制台页面
要允许 IAM 用户访问 **Reports(报告)**控制台页面和查看包含账户活动信息的使用情况报告,请使用类似于此示例策略的策略。
有关各操作的定义,请参阅[Amazon 账单控制台操作](security_iam_id-based-policy-examples.md#user-permissions)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewUsage",
"aws-portal:ViewBilling",
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*"
}
]
}
```
------
## 拒绝 IAM 用户对 Billing 和 Cost Management 控制台的访问权限
要显式拒绝 IAM 用户访问所有 Billing and Cost Management 控制台页面,请使用类似于此示例策略的策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "aws-portal:*",
"Resource": "*"
}
]
}
```
------
## 拒绝成员账号访问 Amazon 控制台费用和使用情况小工具
要限制成员(关联)账户访问成本和使用数据,请使用管理(付款人)账户访问 Cost Explorer 首选项选项卡,然后取消选中 **Linked Account Access**(关联账户访问)。无论成员账户的 IAM 用户或角色执行的 IAM 操作如何,这都将拒绝从 Cost Explorer(Amazon 成本管理) Amazon 控制台、Cost Explorer API 和控制台主页的成本和使用量小部件访问成本和使用情况数据。
## 拒绝特定 IAM 用户和角色访问 Amazon 控制台成本和使用情况小工具
要拒绝特定 IAM 用户和角色访问 Amazon 控制台成本和使用情况小组件,请使用以下权限策略。
**注意**
向 IAM 用户或角色添加此策略也会拒绝用户访问 Cost Explorer(Amazon 成本管理)控制台和 Cost Explorer APIs 。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ce:*",
"Resource": "*"
}
]
}
```
------
## 允许 IAM 用户查看您的账单信息,但拒绝用户访问碳足迹报告
允许 IAM 用户在 Billing and Cost Management 控制台中同时查看账单信息,但不允许访问 Amazon 客户碳足迹工具。此工具位于 “ Amazon 成本和使用情况报告” 页面。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Deny",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## 允许 IAM 用户访问访问碳足迹报告,但拒绝用户访问账单信息
允许 IAM 用户访问 Amazon 成本和使用情况报告页面中的 Amazon 客户碳足迹工具,但拒绝访问账单和 Cost Management 控制台中的账单信息。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Deny",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Allow",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## 允许完全访问 Amazon 服务,但拒绝 IAM 用户访问账单和成本管理控制台
要拒绝 IAM 用户访问 Billing and Cost Management 控制台上的所有内容,请使用以下策略。拒绝用户访问 Amazon Identity and Access Management (IAM),以防止访问控制账单信息和工具访问权限的策略。
**重要**
该策略不允许进行任何操作。可将此策略与允许特定操作的其他策略结合使用。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aws-portal:*",
"iam:*"
],
"Resource": "*"
}
]
}
```
------
## 允许 IAM 用户查看 Billing 和 Cost Management 控制台(账户设置除外)
此策略允许对所有 Billing and Cost Management 控制台进行只读访问。这包括 **Payments Method(付款方式)**和 **Reports(报告)**控制台页面。但是,此策略将拒绝对 **Account Settings(账户设置)**页面的访问。这意味着它可会保护账户密码、联系信息和安全问题。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:View*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## 允许 IAM 用户修改账单信息
要允许 IAM 用户在 Billing and Cost Management 控制台中修改账户账单信息,请允许 IAM 用户查看您的账单信息。以下策略示例允许 IAM 用户修改 **Consolidated Billing(整合账单)**、**Preferences(首选项)**和 **Credits(服务抵扣金额)**控制台页面。它还允许 IAM 用户查看以下 Billing and Cost Management 控制台页面:
+ **控制面板**
+ **Cost Explorer**
+ **账单**
+ **订单和发票**
+ **Advance Payment**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:*Billing",
"Resource": "*"
}
]
}
```
------
## 拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息
要保护您的账户密码、联系信息和安全问题,您可以拒绝 IAM 用户访问 **Account Settings(账户设置)**,同时仍允许完全访问 Billing and Cost Management 控制台中的其余功能。以下是示例策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:*Billing",
"aws-portal:*Usage",
"aws-portal:*PaymentMethods"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## 将报告存入 Amazon S3 存储桶
如果您同时拥有该 Amazon 账户和 Amazon S3 存储桶,则以下政策允许 Amazon 账单和成本管理部门将您的详细账单保存到 Amazon S3 存储桶中。此策略必须应用于 Amazon S3 存储桶而不是 IAM 用户。这是因为,它是一种基于资源的策略,而不是基于用户的策略。我们建议您拒绝 IAM 用户访问无需访问您的账单的 IAM 用户的存储桶。
将 *amzn-s3-demo-bucket1* 替换为您的存储桶的名称。
有关更多信息,请参阅 *Amazon Simple Storage Service 用户指南*中的[使用存储桶策略和用户策略](https://docs.amazonaws.cn/AmazonS3/latest/userguide/using-iam-policies.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": [
"s3:GetBucketAcl",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1"
},
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"
}
]
}
```
------
## 查找产品和价格
要允许 IAM 用户使用 Amazon 价目表服务 API,请使用以下策略向他们授予访问权限。
此政策授予使用批量 Amazon 价目表 API 价 Amazon 目表查询 API 的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts",
"pricing:GetPriceListFileUrl",
"pricing:ListPriceLists"
],
"Resource": [
"*"
]
}
]
}
```
------
## 查看成本和使用情况
要允许 IAM 用户使用 Cost Amazon Explorer API,请使用以下策略向他们授予访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ce:*"
],
"Resource": [
"*"
]
}
]
}
```
------
## 启用和禁用 Amazon 区域
有关允许用户启用和禁用区域的 IAM 策略示例,请参阅 *IAM 用户指南*中的 [Amazon:允许启用和禁用 Amazon 区域](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_examples_aws-enable-disable-regions.html)。
## 查看和管理成本类别
要允许 IAM 用户使用、查看和管理成本类别,请使用以下策略授予他们访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:GetCostAndUsage",
"ce:DescribeCostCategoryDefinition",
"ce:UpdateCostCategoryDefinition",
"ce:CreateCostCategoryDefinition",
"ce:DeleteCostCategoryDefinition",
"ce:ListCostCategoryDefinitions",
"ce:TagResource",
"ce:UntagResource",
"ce:ListTagsForResource",
"pricing:DescribeServices"
],
"Resource": "*"
}
]
}
```
------
## 创建、查看、编辑或删除 Amazon 成本和使用情况报告
此策略允许 IAM 用户使用 API 创建、查看、编辑或删除 `sample-report`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageSampleReport",
"Effect": "Allow",
"Action": [
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "arn:aws:cur:*:123456789012:definition/sample-report"
},
{
"Sid": "DescribeReportDefs",
"Effect": "Allow",
"Action": "cur:DescribeReportDefinitions",
"Resource": "*"
}
]
}
```
------
## 查看和管理采购订单
此策略允许 IAM 用户使用以下策略授予访问权限以查看和管理采购订单。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"purchase-orders:*"
],
"Resource": "*"
}
]
}
```
------
## 查看和更新 Cost Explorer 首选项页面
此策略允许 IAM 用户使用 **Cost Explorer 首选项页面**查看和更新。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
以下策略允许 IAM 用户查看 Cost Explorer,但拒绝查看或编辑 **Preferences(首选项)**页面的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:GetPreferences",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
以下策略允许 IAM 用户查看 Cost Explorer,但拒绝编辑 **Preferences(首选项)**页面的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
## 使用 Cost Explorer 报告页面查看、创建、更新和删除
此策略允许 IAM 用户使用 **Cost Explorer 报告页面**查看、创建、更新和删除。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
以下策略允许 IAM 用户查看 Cost Explorer,但拒绝查看或编辑 **Reports(报告)**页面的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeReport",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
以下策略允许 IAM 用户查看 Cost Explorer,但拒绝编辑 **Reports(报告)**页面的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
## 查看、创建、更新和删除预留和 Savings Plans 提醒
此策略允许 IAM 用户查看、创建、更新和删除[预留到期提醒](https://docs.amazonaws.cn/awsaccountbilling/latest/aboutv2/ce-ris.html)和 [Savings Plans 提醒](https://docs.amazonaws.cn/savingsplans/latest/userguide/sp-overview.html#sp-alert)。要编辑预留到期提醒或 Savings Plans 提醒,用户需要所有三个粒度的操作:`ce:CreateNotificationSubscription`、`ce:UpdateNotificationSubscription` 和 `ce:DeleteNotificationSubscription`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
以下策略允许 IAM 用户查看 Cost Explorer,但拒绝查看或编辑**预留到期提醒**和 **Savings Plans 提醒**页面的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeNotificationSubscription",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
以下策略允许 IAM 用户查看 Cost Explorer,但拒绝编辑**预留到期提醒**和 **Savings Plans 提醒**页面的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
## 允许对 “ Amazon 成本异常检测” 进行只读访问
要允许 IAM 用户以只读方式访问 Amazon 成本异常检测,请使用以下策略向他们授予访问权限。 `ce:ProvideAnomalyFeedback`作为只读访问权限的一部分,是可选的。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ce:Get*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## 允许 Amazon 预算应用 IAM 政策和 SCPs
此策略允许 Amazon Budgets 代表用户应用 IAM 策略和服务控制策略 (SCPs)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": "*"
}
]
}
```
------
## 允许 Amazon 预算应用 IAM 策略和 SCP 并以 EC2 和 RDS 实例为目标
该政策允许 Amazon 预算部门应用 IAM 策略和服务控制策略 (SCP),并代表用户将 Amazon EC2 和 Amazon RDS 实例作为目标。
信任策略
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "budgets.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
权限策略
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceStatus",
"ec2:StartInstances",
"ec2:StopInstances",
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"rds:DescribeDBInstances",
"rds:StartDBInstance",
"rds:StopDBInstance",
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
```
------
## 允许 IAM 用户查看、创建和更新您的发票设置信息
此策略允许 IAM 用户查看、创建和更新您的发票设置信息,而不向 IAM 用户提供对敏感账户信息的访问权限。
有关各操作的定义,请参阅[Amazon 账单控制台操作](security_iam_id-based-policy-examples.md#user-permissions)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"fapiao:GetAccountFapiaoSetting",
"fapiao:UpdateAccountFapiaoInformation",
"fapiao:UpdateAccountMailingAddress",
"fapiao:CreateAccountFapiaoSetting"
],
"Resource": "*"
}
]
}
```
------
## 允许 IAM 用户查看美国免税和创建 Amazon Web Services 支持 案例
此政策允许 IAM 用户在免税控制台中查看美国免税和创建上传免税证书的 Amazon Web Services 支持 案例。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:*",
"tax:GetExemptions",
"tax:UpdateExemptions",
"support:CreateCase",
"support:AddAttachmentsToSet"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
## 允许 IAM 用户查看和更新您的实名信息
此策略将允许 IAM 用户查看和更新账户的实名信息。
有关各操作的定义,请参阅[Amazon 账单控制台操作](security_iam_id-based-policy-examples.md#user-permissions)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"cloudassist:DescribeAccountRealNameInformation",
"cloudassist:UpdateAccountRealNameInformation"
],
"Resource": "*"
}
]
}
```
------
## (适用于账单或联系地址在印度的客户)允许对客户验证信息进行只读访问
此策略允许 IAM 用户对客户验证信息进行只读访问。
有关各操作的定义,请参阅[Amazon 账单控制台操作](security_iam_id-based-policy-examples.md#user-permissions)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"customer-verification:GetCustomerVerificationEligibility",
"customer-verification:GetCustomerVerificationDetails"
],
"Resource": "*"
}]
}
```
------
## (适用于账单或联系地址在印度的客户)查看、创建和更新客户验证信息
此策略允许 IAM 用户对其客户验证信息进行管理。
有关各操作的定义,请参阅[Amazon 账单控制台操作](security_iam_id-based-policy-examples.md#user-permissions)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"customer-verification:CreateCustomerVerificationDetails",
"customer-verification:UpdateCustomerVerificationDetails",
"customer-verification:GetCustomerVerificationEligibility",
"customer-verification:GetCustomerVerificationDetails"
],
"Resource": "*"
}]
}
```
------
## 在账单控制台中查看Amazon Migration Acceleration Program信息
此策略允许 IAM 用户在账单控制台中查看付款人账户的Migration Acceleration Program协议、服务抵扣金和符合条件的支出。
有关各操作的定义,请参阅[Amazon 账单控制台操作](security_iam_id-based-policy-examples.md#user-permissions)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"mapcredits:ListQuarterSpend",
"mapcredits:ListQuarterCredits",
"mapcredits:ListAssociatedPrograms"
],
"Resource": "*"
}]
}
```
------
## 允许访问账单控制台中的 Amazon 发票配置
此策略允许 IAM 用户在账单控制台中访问 Amazon 发票配置。
有关各操作的定义,请参阅[Amazon 账单控制台操作](security_iam_id-based-policy-examples.md#user-permissions)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"invoicing:ListInvoiceUnits",
"invoicing:GetInvoiceUnit",
"invoicing:CreateInvoiceUnit",
"invoicing:UpdateInvoiceUnit",
"invoicing:DeleteInvoiceUnit",
"invoicing:BatchGetInvoiceProfile"
],
"Resource": [
"*"
]
}
]
}
```
------