控制对 Cost Explorer 的访问权限 - AWS 账单和成本管理
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

控制对 Cost Explorer 的访问权限

您可以通过以下方式管理对 Cost Explorer 的访问:

  • 可以在根级别启用 管理账户,自动启用所有成员账户。Cost Explorer

  • 启用成员账户后,管理账户 可以使用 Cost Explorer 设置来控制要在 Cost Explorer 中公开的信息级别。信息级别可以包括成本、退款和积分、折扣(例如,预留批量折扣、捆绑折扣)以及预留实例 (RI) 建议。

  • 在 Cost Explorer 级别启用 管理账户 后,您可以控制 IAM 用户的 IAM 策略,以限制在账户级别访问 Cost Explorer。用户使用此选项要么获得所有访问权限,要么无权访问

本主题提供有关如何在 Cost Explorer 中控制访问的详细信息。

有关管理对Billing and Cost Management页面的访问权限的信息,请参阅管理访问权限的概述

要引用 Cost Explorer IAM 策略,请参阅在 IAM 中使用基于身份的策略(Billing and Cost Management 策略)

有关整合账单的更多信息,请参阅 AWS Organizations 的整合账单

授予 Cost Explorer 访问权限

如果您通过 Cost Explorer 控制台使用根凭证登录到 管理账户,则可以启用 Billing and Cost Management 访问。在 Cost Explorer 级别启用 管理账户 会为您的所有组织账户启用 Cost Explorer。组织中的所有账户都被授予访问权限,您无法单独授予或拒绝访问权限。

使用 Cost Explorer 首选项控制访问权限

可以为所有成员账户或不为成员账户授予对 管理账户 的访问权限。Cost Explorer无法为每个成员账户自定义访问权限。

中的 管理账户 可以完全访问 AWS Organizations 和成员账户产生的成本的所有 Billing and Cost Management 信息。管理账户成员账户只能访问 Cost Explorer 中自己的成本和使用情况数据。

的所有者可以:管理账户

  • 查看 Cost Explorer 中的所有费用。

  • 授予所有成员账户查看其成员账户、退款账、信用和 RI 建议的费用的权限。

成员账户所有者无法查看 组织 中其他账户的费用、退款和 RI 建议。有关整合账单的更多信息,请参阅 AWS Organizations 的整合账单

如果您是 AWS 账户所有者而未使用整合账单,则您将对所有 Billing and Cost Management 信息(包括 Cost Explorer)具有完全访问权限。

组织 账户状态使用案例

组织的账户状态会影响按以下方式显示的成本和使用情况数据:

  • 如果独立账户加入组织,则账户将失去对账户为独立账户时的成本和使用情况数据的访问权限。

  • 如果某个成员账户离开组织并且成为独立账户,该账户不再有权访问其属于先前组织成员时的成本和使用情况数据。该账户只能访问作为独立账户生成的数据。

  • 如果某个成员账户离开组织 A 而加入组织 B,该账户不再有权访问其属于组织 A 的成本和使用情况数据。该账户只能访问作为组织 B 的成员生成的数据。

  • 如果某个账户重新加入其以前所属的组织,该账户将重新获得对其成本和使用情况历史数据的访问权限。

使用 Cost Explorer 首选项控制成员账户的访问权限

您可以授予或限制对 组织 中所有成员账户的访问权限。在 管理账户 级别启用您的账户时,默认情况下会向所有成员账户授予对其成本和使用率数据的访问权限。

控制成员帐户对 Cost Explorer 数据的访问

  1. 登录 AWS 管理控制台并通过以下网址打开 Billing and Cost Management 控制台:https://console.amazonaws.cn/billing/

  2. 在导航窗格中,选择Cost Explorer

  3. 在 Cost Explorer 页面上,选择 Launch Cost Explorer

  4. 在导航窗格中,选择 Preferences

  5. 首选项页面上,选择或清除关联账户访问复选框。

  6. 选择 Save

Cost Explorer和 IAM 用户

在 Cost Explorer 级别启用 管理账户 后,您可以使用 IAM 管理对各个 IAM 用户的账单数据的访问权限。这使您可以为每个账户授予或撤消个人级别的访问权限,而不是授予对所有成员账户的访问权限。

IAM 用户必须获得显式权限才能查看Billing and Cost Management控制台中的页面。拥有相应权限之后,IAM 用户便可以查看其所属的 AWS 账户的成本。IAM有关向 IAM 用户授予所需权限的策略,请参阅管理访问权限的概述