为 Amazon Billing 使用基于身份的策略(IAM policy) - Amazon Billing
Amazon Billing 操作策略托管式策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

为 Amazon Billing 使用基于身份的策略(IAM policy)

本主题提供几个基于身份的策略的示例。这些策略说明了账户管理员如何将权限策略附加到 IAM 身份(用户、组和角色),从而授予对 Billing 资源执行操作的权限。

有关 Amazon 账户和 IAM 用户的全面讨论,请参阅 IAM 用户指南中的什么是 IAM?

有关如何能更新客户托管策略的说明,请参阅 IAM 用户指南中的编辑客户托管策略(控制台)

Amazon Billing 操作策略

此表总结了允许或拒绝 IAM 用户访问您的账单信息和工具的权限。有关使用这些权限的策略示例,请参阅Amazon Billing 策略示例

有关 Amazon Cost Management 控制台操作策略的列表,请参阅 Amazon Cost Management 用户指南中的 Amazon Cost Management 操作策略

权限名称 描述

aws-portal:ViewBilling

允许或拒绝 IAM 用户查看以下 Billing and Cost Management 控制台页面的权限。

aws-portal:ModifyBilling

允许或拒绝 IAM 用户修改以下账单和成本管理控制台页面的权限:

要允许 IAM 用户修改这些控制台页面,您必须同时允许 ModifyBillingViewBilling。有关策略示例,请参阅 允许 IAM 用户修改账单信息

aws-portal:ViewAccount

允许或拒绝 IAM 用户查看 Account Settings 的权限。
aws-portal:ModifyAccount

允许或拒绝 IAM 用户修改 Account Settings 的权限。

要允许 IAM 用户修改账户设置,您必须同时允许 ModifyAccountViewAccount

有关显式拒绝 IAM 用户访问 Account Settings(账户设置)控制台页面的策略的示例,请参阅 拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息
aws-portal:ViewPaymentMethods

允许或拒绝 IAM 用户查看 Payment Methods的权限。
aws-portal:ModifyPaymentMethods

允许或拒绝 IAM 用户修改 Payment Methods 的权限。

要允许用户修改付款方式,您必须同时允许 ModifyPaymentMethodsViewPaymentMethods
billing:ListBillingViews

允许或拒绝用户获取预估账单组的账单信息。使用 Bills(账单)页面上的 Amazon Billing Conductor 或 Amazon 成本和使用情况报告制作此信息。

有关查看账单组详细信息的更多信息,请参阅 Amazon Billing Conductor 用户指南中的查看您的账单组详细信息
sustainability:GetCarbonFootprintSummary

允许或拒绝 IAM 用户查看 Amazon 客户碳足迹工具和数据。这可从账单和成本管理控制台的 Amazon 成本和使用情况报告页面访问。

有关策略的示例,请参阅允许 IAM 用户查看您的账单信息和碳足迹报告
cur:DescribeReportDefinitions

允许或拒绝 IAM 用户查看 Amazon 成本和使用情况报告的权限。

Amazon 成本和使用情况报告适用于使用 Amazon 成本和使用情况报告服务 API 和 Billing and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅允许 IAM 用户访问报告控制台页面
cur:PutReportDefinition

允许或拒绝 IAM 用户创建 Amazon 成本和使用情况报告的权限。

Amazon 成本和使用情况报告适用于使用 Amazon 成本和使用情况报告服务 API 和 Billing and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅允许 IAM 用户访问报告控制台页面
cur:DeleteReportDefinition

允许或拒绝 IAM 用户删除 Amazon 成本和使用情况报告的权限。

Amazon 成本和使用情况报告适用于使用 Amazon 成本和使用情况报告服务 API 和 Billing and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅创建、查看、编辑或删除 Amazon 成本和使用情况报告
cur:ModifyReportDefinition

允许或拒绝 IAM 用户修改 Amazon 成本和使用情况报告的权限。

Amazon 成本和使用情况报告适用于使用 Amazon 成本和使用情况报告服务 API 和 Billing and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅创建、查看、编辑或删除 Amazon 成本和使用情况报告
ce:CreateCostCategoryDefinition

允许或拒绝 IAM 用户创建成本类别的权限。

有关策略示例,请参阅 查看和管理成本类别
ce:DeleteCostCategoryDefinition

允许或拒绝 IAM 用户删除成本类别的权限。

有关策略示例,请参阅 查看和管理成本类别
ce:DescribeCostCategoryDefinition

允许或拒绝 IAM 用户查看成本类别的权限。

有关策略示例,请参阅 查看和管理成本类别
ce:ListCostCategoryDefinitions

允许或拒绝 IAM 用户列出成本类别的权限。

有关策略示例,请参阅 查看和管理成本类别
ce:UpdateCostCategoryDefinition

允许或拒绝 IAM 用户更新成本类别的权限。

有关策略示例,请参阅 查看和管理成本类别
aws-portal:ViewUsage

允许或拒绝 IAM 用户查看 Amazon 使用情况报告的权限。

要允许 IAM 用户查看使用情况报告,您必须同时允许 ViewUsageViewBilling

有关策略示例,请参阅 允许 IAM 用户访问报告控制台页面
pricing:DescribeServices

允许或拒绝 IAM 用户通过 Amazon 价目表服务 API 查看 Amazon 服务产品和定价的权限。

要允许 IAM 用户使用 Amazon 价目表服务 API,您必须允许 DescribeServicesGetAttributeValuesGetProducts

有关策略示例,请参阅 查找产品和价格
pricing:GetAttributeValues

允许或拒绝 IAM 用户通过 Amazon 价目表服务 API 查看 Amazon 服务产品和定价的权限。

要允许 IAM 用户使用 Amazon 价目表服务 API,您必须允许 DescribeServicesGetAttributeValuesGetProducts

有关策略示例,请参阅 查找产品和价格
pricing:GetProducts

允许或拒绝 IAM 用户通过 Amazon 价目表服务 API 查看 Amazon 服务产品和定价的权限。

要允许 IAM 用户使用 Amazon 价目表服务 API,您必须允许 DescribeServicesGetAttributeValuesGetProducts

有关策略示例,请参阅 查找产品和价格
purchase-orders:ViewPurchaseOrders

允许或拒绝 IAM 用户查看采购订单的权限。

有关策略示例,请参阅 查看和管理采购订单
purchase-orders:ModifyPurchaseOrders

允许或拒绝 IAM 用户修改采购订单的权限。

有关策略示例,请参阅 查看和管理采购订单
fapiao:GetAccountFapiaoSetting

允许或拒绝 IAM 用户查看 Fapiao settings(发票设置)的权限。
fapiao:UpdateAccountFapiaoInformation

允许或拒绝 IAM 用户在 Fapiao settings(发票设置)中更新中发票信息的权限。
fapiao:UpdateAccountMailingAddress

允许或拒绝 IAM 用户在 Fapiao settings(发票设置)中更新中发票邮寄地址的权限。
fapiao:CreateAccountFapiaoSetting

允许或拒绝 IAM 用户创建 Fapiao settings(发票设置)的权限。
tax:GetExemptions

允许 IAM 用户以只读访问权限通过税务控制台查看免税和免税类型。

有关策略示例,请参阅 允许 IAM 用户查看美国免税并创建 Amazon Web Services Support 案例
tax:UpdateExemptions

允许 IAM 用户将免税上传到美国免税控制台。

有关策略示例,请参阅 允许 IAM 用户查看美国免税并创建 Amazon Web Services Support 案例
support:CreateCase

允许 IAM 用户提交支持案例,这是从免税控制台上传免税所需的。

有关策略示例,请参阅 允许 IAM 用户查看美国免税并创建 Amazon Web Services Support 案例
support:AddAttachmentsToSet

允许 IAM 用户将文档附加到需要上传免税证明材料到免税控制台的支持案例。

有关策略示例,请参阅 允许 IAM 用户查看美国免税并创建 Amazon Web Services Support 案例
cloudassist:DescribeAccountRealNameInformation

允许或拒绝 IAM 用户查看 实名信息
cloudassist:UpdateAccountRealNameInformation

允许或拒绝 IAM 用户更新 实名信息

托管式策略

托管策略是基于身份的独立策略,可以将其附加到 Amazon 账户中的多个用户、组和角色。您可以使用Amazon托管式策略来控制 Billing 中的访问权限。

Amazon 托管策略是由 Amazon 创建和管理的独立策略。Amazon 托管策略可用于为很多常见使用案例提供权限。与必须自己编写策略相比,通过 Amazon 托管策略可以更轻松地将适当的权限分配给用户、组和角色。

您不能更改 Amazon 托管策略中定义的权限。Amazon 有时会更新 Amazon 托管策略中定义的权限。当发生此情况时,更新会影响策略附加到的所有委托人实体(用户、组和角色)。

Billing 为常见使用案例提供了多个Amazon托管式策略。

允许完全访问 Billing 控制台并管理采购订单

托管策略名称:AWSPurchaseOrdersServiceRolePolicy

此托管式策略授予对 Billing 控制台和采购订单控制台的完全访问权限。此策略允许用户查看、创建、更新和删除账户的采购订单。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "account:GetAccountInformation",
            "account:GetContactInformation",
            "aws-portal:*Billing",
            "consolidatedbilling:GetAccountBillingRole",
            "invoicing:GetInvoicePDF",
            "payments:GetPaymentInstrument",
            "payments:ListPaymentPreferences",
            "purchase-orders:AddPurchaseOrder",
            "purchase-orders:DeletePurchaseOrder",
            "purchase-orders:GetPurchaseOrder",
            "purchase-orders:ListPurchaseOrderInvoices",
            "purchase-orders:ListPurchaseOrders",
            "purchase-orders:ModifyPurchaseOrders",
            "purchase-orders:UpdatePurchaseOrder",
            "purchase-orders:UpdatePurchaseOrderStatus",
            "purchase-orders:ViewPurchaseOrders",
            "tax:ListTaxRegistrations"
         ],
         "Resource":"*"
      }
   ]
}

允许用户在 Billing 控制台上查看账单

托管策略名称:AWSBillingReadOnlyAccess

此托管式策略授予用户查看 Amazon Billing 控制台的权限。

{
      "Version": "2012-10-17",
      "Statement": [
            {
                "Sid": "VisualEditor0",
                "Effect": "Allow",
                "Action": [
                    "account:GetAccountInformation",
                    "aws-portal:ViewBilling",
                    "billing:GetBillingData",
                    "billing:GetBillingDetails",
                    "billing:GetBillingNotifications",
                    "billing:GetBillingPreferences",
                    "billing:GetContractInformation",
                    "billing:GetCredits",
                    "billing:GetIAMAccessPreference",
                    "billing:GetIAMAccessPreference", 
                    "billing:GetSellerOfRecord", 
                    "billing:ListBillingViews",
                    "consolidatedbilling:GetAccountBillingRole",
                    "consolidatedbilling:ListLinkedAccounts",
                    "cur:GetClassicReport",
                    "cur:GetClassicReportPreferences", 
                    "cur:GetUsageReport",
                    "freetier:GetFreeTierAlertPreference",
                    "freetier:GetFreeTierUsage",
                    "invoicing:GetInvoiceEmailDeliveryPreferences",
                    "invoicing:GetInvoicePDF",
                    "invoicing:ListInvoiceSummaries",
                    "payments:GetPaymentInstrument", 
                    "payments:GetPaymentStatus",
                    "payments:ListPaymentPreferences",
                    "purchase-orders:GetPurchaseOrder",
                    "purchase-orders:ListPurchaseOrderInvoices",
                    "purchase-orders:ListPurchaseOrders",
                    "purchase-orders:ViewPurchaseOrders",
                    "tax:GetTaxInheritance",
                    "tax:GetTaxRegistrationDocument",
                    "tax:ListTaxRegistrations"
            ],
        "Resource": "*"
      }
   ]
}

允许用户查看 Billing 控制台和 Amazon Cost Management 控制台

托管策略名称:Billing

此托管式策略授予用户查看和编辑 Billing 控制台和 Amazon Cost Management 控制台的权限。这包括查看账户使用量、修改预算和付款方式。

{
    "Version": "2012-10-17",
    "Statement": [
      {
        "Sid": "VisualEditor0",
        "Effect": "Allow",
        "Action": [            
            "account:GetAccountInformation",
            "aws-portal:*Billing",
            "aws-portal:*PaymentMethods",
            "aws-portal:*Usage",
            "billing:GetBillingData",
            "billing:GetBillingDetails",
            "billing:GetBillingNotifications",
            "billing:GetBillingPreferences",
            "billing:GetContractInformation",
            "billing:GetCredits",
            "billing:GetIAMAccessPreference",
            "billing:GetSellerOfRecord",
            "billing:ListBillingViews",
            "billing:PutContractInformation",
            "billing:RedeemCredits",
            "billing:UpdateBillingPreferences",
            "billing:UpdateIAMAccessPreference",
            "budgets:ModifyBudget", 
            "budgets:ViewBudget", 
            "ce:CreateNotificationSubscription", 
            "ce:CreateReport", 
            "ce:DeleteNotificationSubscription", 
            "ce:DeleteReport", 
            "ce:UpdateNotificationSubscription", 
            "ce:UpdatePreferences", 
            "ce:UpdateReport", 
            "consolidatedbilling:GetAccountBillingRole",
            "consolidatedbilling:ListLinkedAccounts",
            "cur:DeleteReportDefinition", 
            "cur:DescribeReportDefinitions", 
            "cur:GetClassicReport",
            "cur:GetClassicReportPreferences",
            "cur:GetUsageReport",
            "cur:ModifyReportDefinition", 
            "cur:PutClassicReportPreferences",
            "cur:PutReportDefinition", 
            "cur:ValidateReportDestination",
            "freetier:GetFreeTierAlertPreference",
            "freetier:GetFreeTierUsage",
            "freetier:PutFreeTierAlertPreference",
            "invoicing:GetInvoiceEmailDeliveryPreferences",
            "invoicing:GetInvoicePDF",
            "invoicing:ListInvoiceSummaries",
            "invoicing:PutInvoiceEmailDeliveryPreferences",
            "payments:CreatePaymentInstrument",
            "payments:DeletePaymentInstrument",
            "payments:GetPaymentInstrument",
            "payments:GetPaymentStatus",
            "payments:ListPaymentPreferences",
            "payments:MakePayment",
            "payments:UpdatePaymentPreferences",
            "purchase-orders:AddPurchaseOrder",
            "purchase-orders:DeletePurchaseOrder",
            "purchase-orders:GetPurchaseOrder",
            "purchase-orders:ListPurchaseOrderInvoices",
            "purchase-orders:ListPurchaseOrders",
            "purchase-orders:ModifyPurchaseOrders", 
            "purchase-orders:UpdatePurchaseOrder",
            "purchase-orders:UpdatePurchaseOrderStatus",
            "purchase-orders:ViewPurchaseOrders",
            "tax:BatchPutTaxRegistration",
            "tax:DeleteTaxRegistration",
            "tax:GetExemptions",
            "tax:GetTaxInheritance",
            "tax:GetTaxInterview",
            "tax:GetTaxRegistration",
            "tax:GetTaxRegistrationDocument",
            "tax:ListTaxRegistrations",
            "tax:PutTaxInheritance",
            "tax:PutTaxInterview",
            "tax:PutTaxRegistration",
            "tax:UpdateExemptions"
        ],
       "Resource": "*"
      }
   ]
}

允许用户访问账户活动页面

托管策略名称:AWSAccountActivityAccess

此托管式策略授予用户查看账户活动页面的权限。

{
      "Version": "2012-10-17",
      "Statement": [
            {
              "Sid": "VisualEditor0",
              "Effect": "Allow",
              "Action": [
                "account:GetRegionOptStatus",
                "account:GetAccountInformation",
                "account:GetAlternateContact",
                "account:GetChallengeQuestions",
                "account:GetContactInformation",
                "account:ListRegions",
                "aws-portal:ViewBilling",
                "billing:GetIAMAccessPreference",
                "billing:GetSellerOfRecord",
                "payments:ListPaymentPreferences"
        ],
        "Resource": "*"
      }
   ]
}

对 Amazon 托管式策略的 Amazon Billing 更新

查看有关 Amazon Billing 的 Amazon 托管式策略更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的自动提示,请订阅 Amazon Billing 文档历史记录页面上的 RSS 源。

更改 说明 日期

AWSPurchaseOrdersServiceRolePolicy账单AWSBillingReadOnlyAccess – 现有策略更新

AWSAccountActivityAccess – 为 Amazon Billing 记录的全新 Amazon 托管式策略

在所有策略中添加了更新的操作集

 2023 年 3 月 6 日

AWSPurchaseOrdersServiceRolePolicy – 对现有策略的更新

Amazon Billing 删除了不必要的权限。

 2021 年 11 月 18 日

Amazon Billing 已开启跟踪更改

Amazon Billing 为其 Amazon 托管式策略开启了跟踪更改。

 2021 年 11 月 18 日