将基于身份的策略(IAM 策略)用于 Billing and Cost Management - Amazon Billing and Cost Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将基于身份的策略(IAM 策略)用于 Billing and Cost Management

本主题提供了基于身份的策略的示例,这些示例展示了账户管理员如何将权限策略附加到 IAM 身份(用户、组和角色),从而授予对 Billing and Cost Management 资源执行操作的权限。

对于全面讨论Amazon账户和 IAM 用户,请参阅什么是 IAM?中的IAM 用户指南.

有关如何更新客户托管策略的信息,请参阅编辑客户托管策略(控制台)中的IAM 用户指南.

Billing and Cost Management 操作策略

此表总结了允许或拒绝 IAM 用户访问您的账单信息和工具的权限。有关使用这些权限的策略示例,请参阅Billing and Cost Management 策略示例

权限名称 说明

aws-portal:ViewBilling

允许或拒绝 IAM 用户查看 Billing and Cost Management 控制台页面的权限。

aws-portal:ModifyBilling

允许或拒绝 IAM 用户修改以下账单和成本管理控制台页面的权限:

要允许 IAM 用户修改这些控制台页面,您必须同时允许ModifyBillingViewBilling. 有关策略示例,请参阅允许 IAM 用户修改账单信息

aws-portal:ViewAccount

允许或拒绝 IAM 用户查看以下账单和成本管理控制台页面的权限:

aws-portal:ModifyAccount

允许或拒绝 IAM 用户修改 Account Settings 的权限。

要允许 IAM 用户修改账户设置,您必须同时允许ModifyAccountViewAccount.

有关显式拒绝 IAM 用户访问账户设置控制台页面,请参阅拒绝访问 “Account Settings”,但允许完全访问所有其他账单和使用率信息.

budgets:ViewBudget

允许或拒绝 IAM 用户查看 Budgets 的权限。

要允许 IAM 用户查看预算,您还必须允许ViewBilling.

budgets:ModifyBudget

允许或拒绝 IAM 用户修改 Budgets 的权限。

要允许 IAM 用户查看和修改预算,您还必须允许ViewBilling.

aws-portal:ViewPaymentMethods

允许或拒绝 IAM 用户查看 Payment Methods的权限。

aws-portal:ModifyPaymentMethods

允许或拒绝 IAM 用户修改 Payment Methods 的权限。

要允许用户修改付款方式,您必须同时允许 ModifyPaymentMethodsViewPaymentMethods

cur:DescribeReportDefinitions

允许或拒绝 IAM 用户查看的权限Amazon成本和使用率报告。

Amazon成本和使用情况报告权限适用于使用Amazon成本和使用率报告服务API 以及账单和成本管理控制台。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅允许 IAM 用户访问报告控制台页面

cur:PutReportDefinition

允许或拒绝 IAM 用户创建的权限Amazon成本和使用率报告。

Amazon成本和使用情况报告权限适用于使用Amazon成本和使用率报告服务API 以及账单和成本管理控制台。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅允许 IAM 用户访问报告控制台页面

cur:DeleteReportDefinition

允许或拒绝 IAM 用户删除的权限Amazon成本和使用率报告。

Amazon成本和使用情况报告权限适用于使用Amazon成本和使用率报告服务API 以及账单和成本管理控制台。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅创建、查看、编辑或删除Amazon成本和使用率报告

cur:ModifyReportDefinition

允许或拒绝 IAM 用户修改的权限Amazon成本和使用率报告。

Amazon成本和使用情况报告权限适用于使用Amazon成本和使用率报告服务API 以及账单和成本管理控制台。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅创建、查看、编辑或删除Amazon成本和使用率报告

ce:GetPreferences

允许或拒绝 IAM 用户查看 Cost Explorer 首选项页面的权限。

有关策略示例,请参阅查看和更新 “Cost Explorer” 首选项页

ce:UpdatePreferences

允许或拒绝 IAM 用户更新 Cost Explorer 首选项页面的权限。

有关策略示例,请参阅查看和更新 “Cost Explorer” 首选项页

ce:DescribeReport

允许或拒绝 IAM 用户查看 Cost Explorer 报告页面的权限。

有关策略示例,请参阅使用 Cost Explorer 报告页面查看、创建、更新和删除

ce:CreateReport

允许或拒绝 IAM 用户使用 Cost Explorer 报告页面创建报告的权限。

有关策略示例,请参阅使用 Cost Explorer 报告页面查看、创建、更新和删除

ce:UpdateReport

允许或拒绝 IAM 用户使用 Cost Explorer 报告页面更新的权限。

有关策略示例,请参阅使用 Cost Explorer 报告页面查看、创建、更新和删除

ce:DeleteReport

允许或拒绝 IAM 用户使用 Cost Explorer 报告页面删除报告的权限。

有关策略示例,请参阅使用 Cost Explorer 报告页面查看、创建、更新和删除

ce:DescribeNotificationSubscription

允许或拒绝 IAM 用户在预留概览页面中查看 Cost Explorer 预留到期警报的权限。

有关策略示例,请参阅查看、创建、更新和删除预留和 Savings Plans 警报

ce:CreateNotificationSubscription

允许或拒绝 IAM 用户在预留概述页面中创建 Cost Explorer 预留到期警报的权限。

有关策略示例,请参阅查看、创建、更新和删除预留和 Savings Plans 警报

ce:UpdateNotificationSubscription

允许或拒绝 IAM 用户更新预留概述页面中的 Cost Explorer 览器预留到期警报的权限。

有关策略示例,请参阅查看、创建、更新和删除预留和 Savings Plans 警报

ce:DeleteNotificationSubscription

允许或拒绝 IAM 用户在预留概述页面中删除 Cost Explorer 预留到期警报的权限。

有关策略示例,请参阅查看、创建、更新和删除预留和 Savings Plans 警报

ce:CreateCostCategoryDefinition

允许或拒绝 IAM 用户创建成本类别的权限。

有关策略示例,请参阅查看和管理成本类别

ce:DeleteCostCategoryDefinition

允许或拒绝 IAM 用户删除成本类别的权限。

有关策略示例,请参阅查看和管理成本类别

ce:DescribeCostCategoryDefinition

允许或拒绝 IAM 用户查看成本类别的权限。

有关策略示例,请参阅查看和管理成本类别

ce:ListCostCategoryDefinitions

允许或拒绝 IAM 用户列出成本类别的权限。

有关策略示例,请参阅查看和管理成本类别

ce:UpdateCostCategoryDefinition

允许或拒绝 IAM 用户更新成本类别的权限。

有关策略示例,请参阅查看和管理成本类别

ce:CreateAnomalyMonitor

允许或拒绝 IAM 用户创建单独的权限Amazon成本异常检测监控。

ce:GetAnomalyMonitors

允许或拒绝 IAM 用户查看所有的权限。Amazon成本异常检测监控器。

ce:UpdateAnomalyMonitor

允许或拒绝 IAM 用户更新的权限Amazon成本异常检测监控器。

ce:DeleteAnomalyMonitor

允许或拒绝 IAM 用户删除的权限Amazon成本异常检测监控器。

ce:CreateAnomalySubscription

允许或拒绝 IAM 用户为Amazon成本异常检测。

ce:GetAnomalySubscriptions

允许或拒绝 IAM 用户查看Amazon成本异常检测。

ce:UpdateAnomalySubscription

允许或拒绝 IAM 用户更新的权限Amazon成本异常检测订阅。

ce:DeleteAnomalySubscription

允许或拒绝 IAM 用户删除的权限Amazon成本异常检测订阅。

ce:GetAnomalies

允许或拒绝 IAM 用户查看Amazon成本异常检测。

ce:ProvideAnomalyFeedback

允许或拒绝 IAM 用户提供关于检测到的Amazon成本异常检测。

aws-portal:ViewUsage

允许或拒绝 IAM 用户查看的权限Amazon用量报告.

要允许 IAM 用户查看使用率报告,您必须同时允许ViewUsageViewBilling.

有关策略示例,请参阅允许 IAM 用户访问报告控制台页面

pricing:DescribeServices

允许或拒绝 IAM 用户查看的权限Amazon服务产品和定价Amazon价目表服务 API。

允许 IAM 用户使用Amazon价目表服务 API,您必须允许DescribeServicesGetAttributeValues, 和GetProducts.

有关策略示例,请参阅查找产品和价格

pricing:GetAttributeValues

允许或拒绝 IAM 用户查看的权限Amazon服务产品和定价Amazon价目表服务 API。

允许 IAM 用户使用Amazon价目表服务 API,您必须允许DescribeServicesGetAttributeValues, 和GetProducts.

有关策略示例,请参阅查找产品和价格

pricing:GetProducts

允许或拒绝 IAM 用户查看的权限Amazon服务产品和定价Amazon价目表服务 API。

允许 IAM 用户使用Amazon价目表服务 API,您必须允许DescribeServicesGetAttributeValues, 和GetProducts.

有关策略示例,请参阅查找产品和价格

purchase-orders:ViewPurchaseOrders

允许或拒绝 IAM 用户查看的权限订购订单.

有关策略示例,请参阅查看和管理采购订单

purchase-orders:ModifyPurchaseOrders

允许或拒绝 IAM 用户修改的权限订购订单.

有关策略示例,请参阅查看和管理采购订单

托管策略

托管策略是基于身份的独立策略,您可以将其附加到Amazonaccount. 您可以使用Amazon托管策略来控制 Billing and Cost Management 中的访问权限。

网络 ACL 和安全组都允许 (因此可到达您的实例) 的发起 ping 的Amazon托管策略是由Amazon.Amazon托管策略可用于为很多常用案例提供权限。Amazon与必须自己编写策略相比,通过 托管策略可以更轻松地将适当的权限分配给用户、组和角色。

您无法更改Amazon托管策略。Amazon有时会更新Amazon托管策略。当发生此情况时,更新会影响策略附加到的所有委托人实体(用户、组和角色)。

Billing and Cost Management 提供了多个Amazon适用于常用案例的托管策略。

允许对进行完全访问Amazon预算包括预算行动

托管策略名称:AWSBudgetsActionsWithAWSResourceControlAccess

此托管策略侧重于用户,确保您拥有适当的权限可将权限授予Amazon用于运行定义活动的预算。此策略提供对进行完全访问Amazon预算(包括预算操作),以检索策略的状态并运行Amazon使用的资源Amazon Web Services Management Console.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "budgets:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "budgets.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "aws-portal:ModifyBilling", "ec2:DescribeInstances", "iam:ListGroups", "iam:ListPolicies", "iam:ListRoles", "iam:ListUsers", "organizations:ListAccounts", "organizations:ListOrganizationalUnitsForParent", "organizations:ListPolicies", "organizations:ListRoots", "rds:DescribeDBInstances", "sns:ListTopics" ], "Resource": "*" } ] }

允许Amazon预算广泛的权限来控制Amazonresources

托管策略名称:AWSBudgetsActionsRolePolicyForResourceAdministrationWithSSM

此托管策略侧重于具体操作Amazon在完成特定操作时,预算代表您执行。此政策给出Amazon预算广泛的权限来控制Amazon资源的费用。例如,启动和停止 Amazon EC2 或 Amazon RDS 实例,方法是运行AmazonSystems Manager (SSM) 脚本。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "ssm.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ssm:StartAutomationExecution" ], "Resource": "*" } ] }