为 Amazon Billing 使用基于身份的策略(IAM 策略) - Amazon Billing
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

为 Amazon Billing 使用基于身份的策略(IAM 策略)

本主题提供几个基于身份的策略的示例。这些策略说明了账户管理员如何将权限策略附加到 IAM 身份(用户、组和角色),从而授予对 Billing 资源执行操作的权限。

有关 Amazon 账户和 IAM 用户的全面讨论,请参阅 IAM 用户指南中的什么是 IAM?

有关如何能更新客户托管策略的说明,请参阅 IAM 用户指南中的编辑客户托管策略(控制台)

Amazon Billing 操作策略

此表总结了允许或拒绝 IAM 用户访问您的账单信息和工具的权限。有关使用这些权限的策略示例,请参阅Amazon Billing 策略示例

有关 Amazon Cost Management 控制台操作策略的列表,请参阅 Amazon Cost Management 用户指南中的 Amazon Cost Management 操作策略

权限名称 描述

aws-portal:ViewBilling

允许或拒绝 IAM 用户查看以下 Billing and Cost Management 控制台页面的权限。

aws-portal:ModifyBilling

允许或拒绝 IAM 用户修改以下账单和成本管理控制台页面的权限:

要允许 IAM 用户修改这些控制台页面,您必须同时允许 ModifyBillingViewBilling。有关策略示例,请参阅 允许 IAM 用户修改账单信息

aws-portal:ViewAccount

允许或拒绝 IAM 用户查看以下账单和成本管理控制台页面的权限:

aws-portal:ModifyAccount

允许或拒绝 IAM 用户修改 Account Settings 的权限。

要允许 IAM 用户修改账户设置,您必须同时允许 ModifyAccountViewAccount

有关显式拒绝 IAM 用户访问 Account Settings(账户设置)控制台页面的策略的示例,请参阅 拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息

aws-portal:ViewPaymentMethods

允许或拒绝 IAM 用户查看 Payment Methods的权限。

aws-portal:ModifyPaymentMethods

允许或拒绝 IAM 用户修改 Payment Methods 的权限。

要允许用户修改付款方式,您必须同时允许 ModifyPaymentMethodsViewPaymentMethods

cur:DescribeReportDefinitions

允许或拒绝 IAM 用户查看 Amazon 成本和使用情况报告的权限。

Amazon 成本和使用情况报告适用于使用 Amazon 成本和使用情况报告服务 API 和 Billing and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅允许 IAM 用户访问报告控制台页面

cur:PutReportDefinition

允许或拒绝 IAM 用户创建 Amazon 成本和使用情况报告的权限。

Amazon 成本和使用情况报告适用于使用 Amazon 成本和使用情况报告服务 API 和 Billing and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅允许 IAM 用户访问报告控制台页面

cur:DeleteReportDefinition

允许或拒绝 IAM 用户删除 Amazon 成本和使用情况报告的权限。

Amazon 成本和使用情况报告适用于使用 Amazon 成本和使用情况报告服务 API 和 Billing and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅创建、查看、编辑或删除 Amazon 成本和使用情况报告

cur:ModifyReportDefinition

允许或拒绝 IAM 用户修改 Amazon 成本和使用情况报告的权限。

Amazon 成本和使用情况报告适用于使用 Amazon 成本和使用情况报告服务 API 和 Billing and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅创建、查看、编辑或删除 Amazon 成本和使用情况报告

ce:CreateCostCategoryDefinition

允许或拒绝 IAM 用户创建成本类别的权限。

有关策略示例,请参阅 查看和管理成本类别

ce:DeleteCostCategoryDefinition

允许或拒绝 IAM 用户删除成本类别的权限。

有关策略示例,请参阅 查看和管理成本类别

ce:DescribeCostCategoryDefinition

允许或拒绝 IAM 用户查看成本类别的权限。

有关策略示例,请参阅 查看和管理成本类别

ce:ListCostCategoryDefinitions

允许或拒绝 IAM 用户列出成本类别的权限。

有关策略示例,请参阅 查看和管理成本类别

ce:UpdateCostCategoryDefinition

允许或拒绝 IAM 用户更新成本类别的权限。

有关策略示例,请参阅 查看和管理成本类别

aws-portal:ViewUsage

允许或拒绝 IAM 用户查看 Amazon 使用情况报告的权限。

要允许 IAM 用户查看使用情况报告,您必须同时允许 ViewUsageViewBilling

有关策略示例,请参阅 允许 IAM 用户访问报告控制台页面

pricing:DescribeServices

允许或拒绝 IAM 用户通过 Amazon 价目表服务 API 查看 Amazon 服务产品和定价的权限。

要允许 IAM 用户使用 Amazon 价目表服务 API,您必须允许 DescribeServicesGetAttributeValuesGetProducts

有关策略示例,请参阅 查找产品和价格

pricing:GetAttributeValues

允许或拒绝 IAM 用户通过 Amazon 价目表服务 API 查看 Amazon 服务产品和定价的权限。

要允许 IAM 用户使用 Amazon 价目表服务 API,您必须允许 DescribeServicesGetAttributeValuesGetProducts

有关策略示例,请参阅 查找产品和价格

pricing:GetProducts

允许或拒绝 IAM 用户通过 Amazon 价目表服务 API 查看 Amazon 服务产品和定价的权限。

要允许 IAM 用户使用 Amazon 价目表服务 API,您必须允许 DescribeServicesGetAttributeValuesGetProducts

有关策略示例,请参阅 查找产品和价格

purchase-orders:ViewPurchaseOrders

允许或拒绝 IAM 用户查看采购订单的权限。

有关策略示例,请参阅 查看和管理采购订单

purchase-orders:ModifyPurchaseOrders

允许或拒绝 IAM 用户修改采购订单的权限。

有关策略示例,请参阅 查看和管理采购订单

fapiao:GetAccountFapiaoSetting

允许或拒绝 IAM 用户查看 Fapiao settings(发票设置)的权限。

fapiao:UpdateAccountFapiaoInformation

允许或拒绝 IAM 用户在 Fapiao settings(发票设置)中更新中发票信息的权限。

fapiao:UpdateAccountMailingAddress

允许或拒绝 IAM 用户在 Fapiao settings(发票设置)中更新中发票邮寄地址的权限。

fapiao:CreateAccountFapiaoSetting

允许或拒绝 IAM 用户创建 Fapiao settings(发票设置)的权限。

tax:GetExemptions

允许 IAM 用户查看免税历史记录的只读访问权限。

有关策略示例,请参阅 允许 IAM 用户查看美国免税并创建 Amazon Web Services Support 案例

tax:UpdateExemptions

允许 IAM 用户将免税上传到美国免税控制台。

有关策略示例,请参阅 允许 IAM 用户查看美国免税并创建 Amazon Web Services Support 案例

support:CreateCase

允许 IAM 用户提交支持案例,这是从免税控制台上传免税所需的。

有关策略示例,请参阅 允许 IAM 用户查看美国免税并创建 Amazon Web Services Support 案例

support:AddAttachmentsToSet

允许 IAM 用户将文档附加到需要上传免税证明材料到免税控制台的支持案例。

有关策略示例,请参阅 允许 IAM 用户查看美国免税并创建 Amazon Web Services Support 案例

托管式策略

托管策略是基于身份的独立策略,可以将其附加到 Amazon 账户中的多个用户、组和角色。您可以使用Amazon托管式策略来控制 Billing 中的访问权限。

Amazon 托管策略是由 Amazon 创建和管理的独立策略。Amazon 托管策略可用于为很多常见使用案例提供权限。与必须自己编写策略相比,通过 Amazon 托管策略可以更轻松地将适当的权限分配给用户、组和角色。

您不能更改 Amazon 托管策略中定义的权限。Amazon 有时会更新 Amazon 托管策略中定义的权限。当发生此情况时,更新会影响策略附加到的所有委托人实体(用户、组和角色)。

Billing 为常见使用案例提供了多个Amazon托管式策略。

允许完全访问 Billing 控制台并管理采购订单

托管策略名称:AWSPurchaseOrdersServiceRolePolicy

此托管式策略授予对 Billing 控制台和采购订单控制台的完全访问权限。此策略允许用户查看、创建、更新和删除账户的采购订单。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "aws-portal:*Billing", "purchase-orders:*PurchaseOrders" ], "Resource":"*" } ] }

对 Amazon 托管式策略的 Amazon Billing 更新

查看有关 Amazon Billing 的 Amazon 托管式策略更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的自动提示,请订阅 Amazon Billing 文档历史记录页面上的 RSS 源。

更改 说明 日期

AWSPurchaseOrdersServiceRolePolicy – 对现有策略的更新

Amazon Billing 删除了不必要的权限。

2021 年 11 月 18 日

Amazon Billing 已开启跟踪更改

Amazon Billing 为其 Amazon 托管式策略开启了跟踪更改。

2021 年 11 月 18 日