在 IAM 中使用基于身份的策略(Billing and Cost Management 策略) - AWS Billing and Cost Management
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 IAM 中使用基于身份的策略(Billing and Cost Management 策略)

本主题提供了基于身份的策略的示例,这些示例展示了账户管理员如何将权限策略附加到 IAM 身份(即用户、组和角色),从而授予对 Billing and Cost Management 资源执行操作的权限。

有关账户AWS和IAM用户的全面讨论,请参阅 中的什么是 IAM IAM 用户指南?

有关如何更新客户托管策略的信息,请参阅 中的https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console编辑客户托管策略(控制台IAM 用户指南)。

Billing and Cost Management 操作策略

此表总结了允许或拒绝 IAM 用户访问您的账单信息和工具的权限。有关使用这些权限的策略示例,请参阅Billing and Cost Management 策略示例

权限名称 描述

aws-portal:ViewBilling

允许或拒绝 IAM 用户查看 Billing and Cost Management 控制台页面的权限:

aws-portal:ModifyBilling

允许或拒绝 IAM 用户修改以下Billing and Cost Management控制台页面的权限:

要允许 IAM 用户修改这些控制台页面,您必须同时允许 ModifyBillingViewBilling。有关策略示例,请参阅IAM 允许用户修改账单信息

aws-portal:ViewAccount

允许或拒绝 IAM 用户查看以下Billing and Cost Management控制台页面的权限:

aws-portal:ModifyAccount

允许或拒绝 IAM 用户修改账户设置的权限。

要允许 IAM 用户修改账户设置,您必须同时允许 ModifyAccountViewAccount

有关明确拒绝 IAM 用户访问账户设置控制台页面的策略的示例,请参阅拒绝访问账户设置,但允许完全访问所有其他账单和使用率信息

budgets:ViewBudget

允许或拒绝 IAM 用户查看预算的权限。

要允许 IAM 用户查看预算,您还必须允许 ViewBilling

budgets:ModifyBudget

允许或拒绝 IAM 用户修改预算的权限。

要允许 IAM 用户查看和修改预算,您还必须允许 ViewBilling

aws-portal:ViewPaymentMethods

允许或拒绝 IAM 用户查看付款方式的权限。

aws-portal:ModifyPaymentMethods

允许或拒绝 IAM 用户修改付款方式的权限。

要允许用户修改付款方式,您必须同时允许 ModifyPaymentMethodsViewPaymentMethods

cur:DescribeReportDefinitions

允许或拒绝 IAM 用户查看 AWS Cost and Usage Reports 的权限。

AWS Cost and Usage Reports 权限适用于使用 AWS Cost and Usage Reports 服务 API 和 Billing and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅IAM 允许用户访问报告控制台页面

cur:PutReportDefinition

允许或拒绝 IAM 用户创建 AWS Cost and Usage Reports 的权限。

AWS Cost and Usage Reports 权限适用于使用 AWS Cost and Usage Reports 服务 API 和 Billing and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅IAM 允许用户访问报告控制台页面

cur:DeleteReportDefinition

允许或拒绝 IAM 用户删除 AWS Cost and Usage Reports 的权限。

AWS Cost and Usage Reports 权限适用于使用 AWS Cost and Usage Reports 服务 API 和 Billing and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅创建、查看、编辑或删除 AWS Cost and Usage Reports

cur:ModifyReportDefinition

允许或拒绝 IAM 用户修改 AWS Cost and Usage Reports 的权限。

AWS Cost and Usage Reports 权限适用于使用 AWS Cost and Usage Reports 服务 API 和 Billing and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅创建、查看、编辑或删除 AWS Cost and Usage Reports

ce:GetPreferences

允许或拒绝 IAM 用户查看Cost Explorer首选项页面的权限。

有关策略示例,请参阅查看和更新Cost Explorer首选项页面

ce:UpdatePreferences

允许或拒绝 IAM 用户更新Cost Explorer首选项页面的权限。

有关策略示例,请参阅查看和更新Cost Explorer首选项页面

ce:DescribeReport

允许或拒绝 IAM 用户查看Cost Explorer报告页面的权限。

有关策略示例,请参阅使用Cost Explorer报告页面查看、创建、更新和删除

ce:CreateReport

允许或拒绝 IAM 用户使用报告页面创建Cost Explorer报告的权限。

有关策略示例,请参阅使用Cost Explorer报告页面查看、创建、更新和删除

ce:UpdateReport

允许或拒绝 IAM 用户使用Cost Explorer报告页面进行更新的权限。

有关策略示例,请参阅使用Cost Explorer报告页面查看、创建、更新和删除

ce:DeleteReport

允许或拒绝 IAM 用户使用报告页面删除Cost Explorer报告的权限。

有关策略示例,请参阅使用Cost Explorer报告页面查看、创建、更新和删除

ce:DescribeNotificationSubscription

允许或拒绝IAM用户在Cost Explorer预留概述页面中查看预留到期提醒的权限。

有关策略示例,请参阅查看、创建、更新和删除预留和Savings Plans提醒

ce:CreateNotificationSubscription

允许或拒绝IAM用户在Cost Explorer预留概述页面中创建预留到期提醒的权限。

有关策略示例,请参阅查看、创建、更新和删除预留和Savings Plans提醒

ce:UpdateNotificationSubscription

允许或拒绝IAM用户在Cost Explorer预留概述页面中更新预留到期提醒的权限。

有关策略示例,请参阅查看、创建、更新和删除预留和Savings Plans提醒

ce:DeleteNotificationSubscription

允许或拒绝IAM用户在Cost Explorer预留概述页面中删除预留到期提醒的权限。

有关策略示例,请参阅查看、创建、更新和删除预留和Savings Plans提醒

ce:CreateCostCategoryDefinition

允许或拒绝 IAM 用户创建成本类别的权限。

有关策略示例,请参阅查看和管理成本类别

ce:DeleteCostCategoryDefinition

允许或拒绝 IAM 用户删除成本类别的权限。

有关策略示例,请参阅查看和管理成本类别

ce:DescribeCostCategoryDefinition

允许或拒绝 IAM 用户查看成本类别的权限。

有关策略示例,请参阅查看和管理成本类别

ce:ListCostCategoryDefinitions

允许或拒绝 IAM 用户列出成本类别的权限。

有关策略示例,请参阅查看和管理成本类别

ce:UpdateCostCategoryDefinition

允许或拒绝 IAM 用户更新成本类别的权限。

有关策略示例,请参阅查看和管理成本类别

ce:CreateAnomalyMonitor 允许或拒绝 IAM 用户创建单个监视器的权限。
ce:GetAnomalyMonitors 允许或拒绝 IAM 用户查看所有监视器的权限。
ce:UpdateAnomalyMonitor 允许或拒绝 IAM 用户更新 监视器的权限。
ce:DeleteAnomalyMonitor 允许或拒绝 IAM 用户删除 监视器的权限。
ce:CreateAnomalySubscription 允许或拒绝 IAM 用户为 创建单个订阅的权限
ce:GetAnomalySubscriptions 允许或拒绝 IAM 用户查看 的所有订阅的权限。
ce:UpdateAnomalySubscription 允许或拒绝 IAM 用户更新订阅的权限。
ce:DeleteAnomalySubscription 允许或拒绝 IAM 用户删除订阅的权限。
ce:GetAnomalies 允许或拒绝 IAM 用户在 中查看所有异常的权限。
ce:ProvideAnomalyFeedback

允许或拒绝 IAM 用户对检测到的 提供反馈的权限

aws-portal:ViewUsage

允许或拒绝 IAM 用户查看 AWS 使用率报告的权限。

要允许 IAM 用户查看使用率报告,您必须同时允许 ViewUsageViewBilling

有关策略示例,请参阅IAM 允许用户访问报告控制台页面

pricing:DescribeServices

允许或拒绝 IAM 用户通过 AWS 查看 AWS Price List Service API 服务产品和定价的权限。

要允许用户IAM使用 AWS Price List Service API,您必须允许 DescribeServicesGetAttributeValuesGetProducts

有关策略示例,请参阅查找产品和价格

pricing:GetAttributeValues

允许或拒绝 IAM 用户通过 AWS 查看 AWS Price List Service API 服务产品和定价的权限。

要允许用户IAM使用 AWS Price List Service API,您必须允许 DescribeServicesGetAttributeValuesGetProducts

有关策略示例,请参阅查找产品和价格

pricing:GetProducts

允许或拒绝 IAM 用户通过 AWS 查看 AWS Price List Service API 服务产品和定价的权限。

要允许用户IAM使用 AWS Price List Service API,您必须允许 DescribeServicesGetAttributeValuesGetProducts

有关策略示例,请参阅查找产品和价格

purchase-orders:ViewPurchaseOrders

允许或拒绝 IAM 用户查看采购订单的权限。

有关策略示例,请参阅查看和管理采购订单

purchase-orders:ModifyPurchaseOrders

允许或拒绝 IAM 用户修改采购订单的权限。

有关策略示例,请参阅查看和管理采购订单

托管策略

托管策略是基于身份的独立策略,您可以将其附加到AWS账户中的多个用户、组和角色。您可以使用 AWS 托管策略来控制 中的访问Billing and Cost Management。

AWS 托管策略是由 创建和管理的独立策略AWS。 AWS 托管策略旨在为许多常用案例提供权限。与必须自己编写策略相比, AWS 托管策略使您可以更轻松地向用户、组和角色分配适当的权限。

您无法更改 AWS 托管策略中定义的权限。 AWS 有时会更新 AWS 托管策略中定义的权限。当发生此情况时,更新会影响策略附加到的所有委托人实体(用户、组和角色)。

Billing and Cost Management 为常见使用案例提供多个AWS托管策略。

允许对AWS Budgets包含预算操作的 进行完全访问

托管策略名称: AWSBudgetsActionsWithAWSResourceControlAccess

此托管策略侧重于 用户,确保您具有适当的权限来向 授予AWS Budgets运行定义的操作的权限。此策略提供对 的完全访问权限AWS Budgets(包括预算操作),以检索策略的状态并使用 运行AWS资源AWS 管理控制台。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "budgets:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "budgets.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "aws-portal:ModifyBilling", "ec2:DescribeInstances", "iam:ListGroups", "iam:ListPolicies", "iam:ListRoles", "iam:ListUsers", "organizations:ListAccounts", "organizations:ListOrganizationalUnitsForParent", "organizations:ListPolicies", "organizations:ListRoots", "rds:DescribeDBInstances", "sns:ListTopics" ], "Resource": "*" } ] }

允许AWS Budgets广泛的权限来控制 AWS 资源

托管策略名称: AWSBudgetsActionsRolePolicyForResourceAdministrationWithSSM

此托管策略侧重于 在完成特定操作时代表您AWS Budgets执行的特定操作。此策略授予AWS Budgets广泛的权限来控制 AWS 资源。例如, 通过运行 Amazon EC2 Systems Manager (SSM) 脚本启动和停止 Amazon RDS 或 AWS 实例。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "ssm.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ssm:StartAutomationExecution" ], "Resource": "*" } ] }