账单基于身份的策略 Amazon - Amazon 账单
策略最佳实践使用 控制台允许用户查看他们自己的权限将 IAM policy 用于 Billing
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

账单基于身份的策略 Amazon

默认情况下,用户和角色没有创建或修改账单资源的权限。他们也无法使用 Amazon Web Services Management Console、 Amazon Command Line Interface (Amazon CLI) 或 Amazon API 执行任务。要授予用户对所需资源执行操作的权限,IAM 管理员可以创建 IAM 策略。管理员随后可以向角色添加 IAM 策略,用户可以代入角色。

要了解如何使用这些示例 JSON 策略文档创建基于 IAM 身份的策略,请参阅《IAM 用户指南》中的创建 IAM 策略(控制台)

有关账单定义的操作和资源类型的详细信息,包括每种资源类型的格式,请参阅《S ervice Authorization Reference》中的 Actions, resources, and condition keys for B Amazon il lin g。 ARNs

策略最佳实践

基于身份的策略确定某人是否可以创建、访问或删除您账户中的账单资源。这些操作可能会使 Amazon Web Services 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:

  • Amazon 托管策略及转向最低权限许可入门 — 要开始向用户和工作负载授予权限,请使用Amazon 托管策略来为许多常见使用场景授予权限。它们在你的版本中可用 Amazon Web Services 账户。我们建议通过定义特定于您的使用场景的 Amazon 客户管理型策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略工作职能的Amazon 托管式策略

  • 应用最低权限:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为最低权限许可。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》中的 IAM 中的策略和权限

  • 使用 IAM 策略中的条件进一步限制访问权限:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果通过特定 Amazon Web Services 服务(例如)使用服务操作,您还可以使用条件来授予对服务操作的访问权限 Amazon CloudFormation。有关更多信息,请参阅《IAM 用户指南》中的 IAM JSON 策略元素:条件

  • 使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性 – IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》中的使用 IAM Access Analyzer 验证策略

  • 需要多重身份验证 (MFA) — 如果您所处的场景要求您的中有 IAM 用户或根用户, Amazon Web Services 账户请启用 MFA 来提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》中的使用 MFA 保护 API 访问

有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》中的 IAM 中的安全最佳实践

使用账单控制台

要访问 Amazon 账单控制台,您必须拥有一组最低权限。这些权限必须允许您列出和查看有关您的中账单资源的详细信息 Amazon Web Services 账户。如果创建比必需的最低权限更为严格的基于身份的策略,对于附加了该策略的实体(用户或角色),控制台将无法按预期正常运行。

对于只需要调用 Amazon CLI 或 Amazon API 的用户,您无需为其提供最低控制台权限。相反,只允许访问与其尝试执行的 API 操作相匹配的操作。

您可以在Amazon 托管策略部分中找到访问权限的详细信息,例如启用 B Amazon illing 控制台所需的权限、管理员访问权限和只读访问权限。

允许用户查看他们自己的权限

该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上完成此操作或者以编程方式使用 Amazon CLI 或 Amazon API 所需的权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

使用适用于账单的基于身份的策略

注意

以下 Amazon Identity and Access Management (IAM)操作已终止标准支持:

  • aws-portal 命名空间

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

如果您使用的是 Amazon Organizations,则可以使用批量策略迁移器脚本或批量策略迁移器从付款人账户更新策略。您还可以使用旧到精细操作映射参考来验证需要添加的 IAM 操作。

如果您于 2023 年 11 月 16 Amazon Web Services 账户日 11:00(PDT)或之后拥有或是 2023 年 11 月 16 日 11:00(PDT)或之后所 Amazon Organizations 创建的成员,则精细操作已经在您的组织内生效。

重要

除了 IAM policy 之外,您还必须在账户设置控制台页面上授予 IAM 对账单与成本管理控制台的访问权限。

有关更多信息,请参阅以下主题:

使用本部分可了解基于身份的策略账户管理员如何将权限策略附加到 IAM 身份(角色和组),从而授予对账单资源执行操作的权限。

有关 Amazon Web Services 账户 和用户的更多信息,请参阅什么是 IAM?IAM 用户指南中。

有关如何能更新客户管理型策略的说明,请参阅 IAM 用户指南中的编辑客户管理型策略(控制台)

Amazon 账单控制台操作

此表总结了授予访问您的账单信息和工具的权限。有关使用这些权限的策略示例,请参阅Amazon 账单策略示例

有关 Cost Management 控制台操作策略的列表,请参阅 Amazon AmazonAmazon 成本管理用户指南中的 Cost Managemen t actions policies

权限名称 描述
aws-portal:ViewBilling

授予查看账单和成本管理控制台页面的权限。
aws-portal:ModifyBilling

授予修改以下账单和成本管理控制台页面的权限:

要允许 IAM 用户修改这些控制台页面,您必须同时允许 ModifyBillingViewBilling。有关策略示例,请参阅 允许 IAM 用户修改账单信息
aws-portal:ViewAccount

授予查看账户设置的权限。
aws-portal:ModifyAccount

授予修改账户设置的权限。

要允许 IAM 用户修改账户设置,您必须同时允许 ModifyAccountViewAccount

有关显式拒绝 IAM 用户访问 Account Settings(账户设置)控制台页面的策略的示例,请参阅 拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息
aws-portal:ViewPaymentMethods

授予查看付款方式的权限。
aws-portal:ModifyPaymentMethods

授予修改付款方式的权限。

要允许用户修改付款方式,您必须同时允许 ModifyPaymentMethodsViewPaymentMethods
billing:ListBillingViews

授予权限以获取可用账单视图列表。这包括与专业账单组相对应的自定义账单视图和账单视图。

有关自定义账单视图的更多信息,请参阅使用账单视图控制成本管理数据的访问权限

有关查看账单组详细信息的更多信息,请参阅 Amazon Billing Conductor 用户指南中的查看您的账单组详细信息
billing:CreateBillingView

授予创建自定义账单视图的权限。

有关策略示例,请参阅允许用户创建、管理和共享自定义账单视图
billing:UpdateBillingView

授予权限以更新自定义账单视图。

有关策略示例,请参阅允许用户创建、管理和共享自定义账单视图
billing:DeleteBillingView

授予删除自定义账单视图的权限。

有关策略示例,请参阅允许用户创建、管理和共享自定义账单视图
billing:GetBillingView

授予权限以获取账单视图的定义。

有关策略示例,请参阅允许用户创建、管理和共享自定义账单视图
sustainability:GetCarbonFootprintSummary

授予查看 Amazon 客户碳足迹工具和数据的权限。这可从Billing and Cost Management 控制台的 Amazon 成本和使用情况报告页面访问。

有关策略的示例,请参阅允许 IAM 用户查看您的账单信息和碳足迹报告
cur:DescribeReportDefinitions

授予查看 Amazon 成本和使用情况报告的权限。

Amazon 成本和使用情况报告适用于使用成本和使用情况报告服务 API 和 Bill Amazon ing and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅允许 IAM 用户访问报告控制台页面
cur:PutReportDefinition

授予创建 Amazon 成本和使用情况报告的权限。

Amazon 成本和使用情况报告适用于使用成本和使用情况报告服务 API 和 Bill Amazon ing and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅允许 IAM 用户访问报告控制台页面
cur:DeleteReportDefinition

授予删除 Amazon 成本和使用情况报告的权限。

Amazon 成本和使用情况报告适用于使用成本和使用情况报告服务 API 和 Bill Amazon ing and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅创建、查看、编辑或删除 Amazon 成本和使用情况报告
cur:ModifyReportDefinition

授予修改 Amazon 成本和使用情况报告的权限。

Amazon 成本和使用情况报告适用于使用成本和使用情况报告服务 API 和 Bill Amazon ing and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅创建、查看、编辑或删除 Amazon 成本和使用情况报告
ce:CreateCostCategoryDefinition

授予创建成本类别的权限。

有关策略示例,请参阅 查看和管理成本类别
ce:DeleteCostCategoryDefinition

授予删除成本类别的权限。

有关策略示例,请参阅 查看和管理成本类别
ce:DescribeCostCategoryDefinition

授予查看成本类别的权限。

有关策略示例,请参阅 查看和管理成本类别
ce:ListCostCategoryDefinitions

授予列出成本类别的权限。

有关策略示例,请参阅 查看和管理成本类别
ce:UpdateCostCategoryDefinition

授予更新成本类别的权限。

有关策略示例,请参阅 查看和管理成本类别
aws-portal:ViewUsage

授予查看 Amazon 使用情况报告的权限。

要允许 IAM 用户查看使用情况报告,您必须同时允许 ViewUsageViewBilling

有关策略示例,请参阅 允许 IAM 用户访问报告控制台页面
payments:AcceptFinancingApplicationTerms

允许 IAM 用户同意融资贷款机构提供的条款。用户必须提供银行账户详细信息以进行还款,并签署贷款人提供的法律文件。
payments:CreateFinancingApplication

允许 IAM 用户申请新的融资贷款,并参考所选的融资选项。
payments:GetFinancingApplication

允许 IAM 用户检索融资申请的详细信息。例如,状态、限额、条款和贷款人信息。
payments:GetFinancingLine

允许 IAM 用户检索融资贷款的详细信息。例如,状态和余额。
payments:GetFinancingLineWithdrawal

允许 IAM 用户检索提款详情。例如,余额和还款。
payments:GetFinancingOption

允许 IAM 用户检索特定融资选项的详细信息。
payments:ListFinancingApplications

允许 IAM 用户检索所有贷款机构的所有融资应用程序的标识符。
payments:ListFinancingLines

允许 IAM 用户检索所有贷款机构的所有融资贷款的标识符。
payments:ListFinancingLineWithdrawals

允许 IAM 用户检索给定贷款的所有现有提款。
payments:ListTagsForResource

允许或拒绝 IAM 用户查看付款方式标签的权限。
payments:TagResource

允许或拒绝 IAM 用户为付款方式添加标签的权限。
payments:UntagResource

允许或拒绝 IAM 用户删除付款方式标签的权限。
payments:UpdateFinancingApplication

允许 IAM 用户更改融资申请并提交贷款人要求的其他信息。
payments:ListPaymentInstruments

允许或拒绝 IAM 用户列出其注册的付款方式的权限。
payments:UpdatePaymentInstrument

允许或拒绝 IAM 用户更新其付款方式的权限。
pricing:DescribeServices

授予通过价目表 Amazon 服务 API 查看服务产品和定 Amazon 价的权限。

要允许 IAM 用户使用 Amazon 价目表服务 API,您必须允许DescribeServicesGetAttributeValues、和GetProducts

有关策略示例,请参阅 查找产品和价格
pricing:GetAttributeValues

授予通过价目表 Amazon 服务 API 查看服务产品和定 Amazon 价的权限。

要允许 IAM 用户使用 Amazon 价目表服务 API,您必须允许DescribeServicesGetAttributeValues、和GetProducts

有关策略示例,请参阅 查找产品和价格
pricing:GetProducts

授予通过价目表 Amazon 服务 API 查看服务产品和定 Amazon 价的权限。

要允许 IAM 用户使用 Amazon 价目表服务 API,您必须允许DescribeServicesGetAttributeValues、和GetProducts

有关策略示例,请参阅 查找产品和价格
purchase-orders:ViewPurchaseOrders

授予查看采购订单的权限。

有关策略示例,请参阅 查看和管理采购订单
purchase-orders:ModifyPurchaseOrders

授予修改采购订单的权限。

有关策略示例,请参阅 查看和管理采购订单
fapiao:GetAccountFapiaoSetting

授予查看发票设置的权限。
fapiao:UpdateAccountFapiaoInformation

授予在发票设置中更新中发票信息的权限。
fapiao:UpdateAccountMailingAddress

授予在发票设置中更新中发票邮寄地址的权限。
fapiao:CreateAccountFapiaoSetting

授予创建发票设置的权限。
tax:GetExemptions

授予以只读访问权限通过税务控制台查看免税和免税类型的权限。

有关策略示例,请参阅 允许 IAM 用户查看美国免税并创建 Amazon Web Services 支持 案例
tax:UpdateExemptions

授予将免税上传到美国免税控制台的权限。

有关策略示例,请参阅 允许 IAM 用户查看美国免税并创建 Amazon Web Services 支持 案例
support:CreateCase

授予提交支持案例的权限,这是从免税控制台上传免税所需的。

有关策略示例,请参阅 允许 IAM 用户查看美国免税并创建 Amazon Web Services 支持 案例
support:AddAttachmentsToSet

授予将文档附加到需要上传免税证明材料到免税控制台的支持案例的权限。

有关策略示例,请参阅 允许 IAM 用户查看美国免税并创建 Amazon Web Services 支持 案例
cloudassist:DescribeAccountRealNameInformation

授予查看实名信息的权限。
cloudassist:UpdateAccountRealNameInformation

授予更新实名信息的权限。
customer-verification:GetCustomerVerificationEligibility

(仅适用于拥有印度账单或联系地址的客户)

授予检索客户验证资格的权限。
customer-verification:GetCustomerVerificationDetails

(仅适用于拥有印度账单或联系地址的客户)

授予检索客户验证数据的权限。
customer-verification:CreateCustomerVerificationDetails

(仅适用于拥有印度账单或联系地址的客户)

授予创建客户验证数据的权限。
customer-verification:UpdateCustomerVerificationDetails

(仅适用于拥有印度账单或联系地址的客户)

授予更新客户验证数据的权限。
mapcredit:ListAssociatedPrograms

授予查看付款人账户的关联Migration Acceleration Program协议和控制面板的权限。
mapcredit:ListQuarterSpend

授予查看付款人账户的Migration Acceleration Program合格支出的权限。
mapcredit:ListQuarterCredits

授予查看付款人账户的Migration Acceleration Program信用情况的权限。
invoicing:BatchGetInvoiceProfile 授予只读访问权限以查看发票配置文件以进行 Amazon 发票配置。
invoicing:CreateInvoiceUnit 授予为发票配置创建发 Amazon 票单位的权限。
invoicing:DeleteInvoiceUnit 授予删除发票单位以进行发 Amazon 票配置的权限。
invoicing:GetInvoiceUnit 授予查看发票单元的只读访问权限以进行 Amazon 发票配置。
invoicing:ListInvoiceUnits 授予权限以列出所有发票单位以配置 Amazon 发票。
invoicing:ListTagsForResource 允许或拒绝 IAM 用户查看发票单元标签以进行 Amazon 发票配置。
invoicing:TagResource 允许或拒绝 IAM 用户为发票单元添加标签以进行 Amazon 发票配置。
invoicing:UntagResource 允许或拒绝 IAM 用户删除发票单元标签以进行 Amazon 发票配置。
invoicing:UpdateInvoiceUnit 授予编辑权限以更新发票单位以进行 Amazon 发票配置。