迁移 Amazon Billing的访问控制 - Amazon 账单
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

迁移 Amazon Billing的访问控制

注意

以下 Amazon Identity and Access Management (IAM) 操作已结束标准支持:

  • aws-portal 命名空间

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

如果您正在使用 Amazon Organizations,则可以使用批量策略迁移器脚本或批量策略迁移器从您的付款人账户更新政策。您也可以使用从旧到精细的操作映射参考来验证需要添加的IAM操作。

如果您在 2023 年 11 月 16 日上午 11:00(PDT)当天或之后 Amazon Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 Amazon Web Services 账户

您可以使用精细的访问控制来为组织中的个人提供对服务的访问权限。 Amazon Billing and Cost Management 例如,您可以提供对 Cost Explorer 成本管理服务的访问权限,但不提供对账单与成本管理控制台的访问权限。

要使用精细的访问控制,您需要将策略从下aws-portal方迁移到新IAM操作。

权限策略或服务控制策略 (SCP) 中的以下IAM操作需要通过此迁移进行更新:

  • aws-portal:ViewAccount

  • aws-portal:ViewBilling

  • aws-portal:ViewPaymentMethods

  • aws-portal:ModifyAccount

  • aws-portal:ModifyBilling

  • aws-portal:ModifyPaymentMethods

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

要了解如何使用受影响的策略工具来识别受影响的IAM政策,请参阅如何使用受影响策略工具

注意

API对 Amazon Cost Explorer Amazon 成本和使用情况报告以及 Amazon 预算的访问不受影响。

激活对 Billing and Cost Management 控制台的访问权限 保持不变。

管理访问权限

Amazon Billing 与 Amazon Identity and Access Management (IAM) 服务集成,因此您可以控制组织中谁可以访问账单和成本管理控制台上的特定页面。这包括付款、账单、服务抵扣金额、免费套餐、付款首选项、整合账单、和账户页面等功能。

使用以下IAM权限对 Billing and Cost Management 控制台进行精细控制。

要提供精细访问权限,请将 aws-portal 策略替换为 accountbillingpaymentsfreetierinvoicing、 和 consolidatedbilling

此外,将 purchase-orders:ViewPurchaseOrderspurchase-orders:ModifyPurchaseOrders 替换为 purchase-ordersaccountpayments 下的精细操作。

使用细粒度的动作 Amazon Billing

此表汇总了允许或拒绝IAM用户和角色访问您的账单信息的权限。有关使用这些权限的策略示例,请参阅Amazon 账单政策示例

有关 Amazon Cost Management 控制台的操作列表,请参阅《Amazon Cost Management 用户指南》中的Amazon Cost Management 操作策略

账单与成本管理控制台中的功能名称 IAM行动 描述

账单主页

account:GetAccountInformation

billing:Get*

payments:List*

授予权限以查看主页页面。这些是只读权限。

注意

这些权限仅适用于控制台。这些权限没有API访问权限。

账单

account:GetAccountInformation

billing:Get*

consolidatedbilling:Get*

consolidatedbilling:List*

invoicing:List*

payments:List*

授予权限以查看账单页面。这些是只读权限。

注意

这些权限仅适用于控制台。这些权限没有API访问权限。

invoicing:Get*

授予权限以从账单页面下载发票。

注意

此权限仅适用于控制台。此API权限没有可用的访问权限。

cur:Get*

授予从 “账单” 页面下载CSV报告的权限。

注意

此权限仅适用于控制台。此API权限没有可用的访问权限。

付款

account:GetAccountInformation

billing:Get*

payments:Get*

payments:List*

授予权限以查看付款页面。这些是 Payments due(到期付款)、Unapplied funds(未核销资金)、Transaction(交易)和 Advance pay(预付款)选项卡的只读权限。

注意

这些权限仅适用于控制台。这些权限没有API访问权限。

invoicing:Get*

授予权限以从交易选项卡下载发票。

注意

此权限仅适用于控制台。此API权限没有可用的访问权限。

payments:Update*

授予使用预付款和设置付款详细信息所需的权限操作。

payments:Make*

invoicing:Get*

授予权限以为预付款生成资金请求文档并进行付款。

Credits

billing:Get*

account:GetAccountInformation

授予权限以查看积分页面。

billing:RedeemCredits

授予权限以兑换服务抵扣金额。

采购订单

account:GetAccountInformation

account:GetContactInformation

payments:Get*

payments:List*

purchase-orders:ListPurchaseOrders

purchase-orders:ListPurchaseOrderInvoices

consolidatedbilling:GetAccountBillingRole

授予权限以查看采购订单页面。

purchase-orders:GetPurchaseOrder

授予权限以查看采购订单详细信息。

purchase-orders:AddPurchaseOrder

授予权限以添加采购订单。

purchase-orders:DeletePurchaseOrder

授予权限以删除采购订单。

purchase-orders:UpdatePurchaseOrder

purchase-orders:UpdatePurchaseOrderStatus

授予权限以更新采购订单和采购订单状态。

Amazon 成本和使用率报告

cur:GetClassic*

cur:DescribeReportDefinitions

授予在 “Amazon 成本和使用情况 Amazon CUR报告” 页面上查看报告列表的权限。

注意

cur:GetClassic* 权限仅适用于控制台。此API权限没有可用的访问权限。

s3:ListAllMyBuckets

s3:CreateBucket

s3:PutBucketPolicy

s3:GetBucketLocation

cur:Validate*

cur:PutReportDefinition

授予创建新 Amazon CUR报告所需的权限操作。

注意

cur:Validate* 权限仅适用于控制台。这些权限没有API访问权限。

cur:Validate*

s3:CreateBucket

s3:ListAllMyBuckets

s3:PutBucketPolicy

s3:GetBucketLocation

cur:ModifyReportDefinition

授予编辑 Amazon CUR定义的权限。

注意

cur:Validate* 权限仅适用于控制台。这些权限没有API访问权限。

cur:DeleteReportDefinition

授予删除 Amazon CUR报告的权限。

cur:GetUsage*

授予权限以下载使用情况报告。

sustainability:GetCarbonFootprintSummary

授予权限以查看您的 Amazon Web Services 账户的可持续发展数据。

成本类别

account:GetAccountInformation

ce:ListCostCategoryDefinitions

ce:DescribeCostCategoryDefinition

ce:GetCostAndUsage

ce:ListTagsForResource

consolidatedbilling:GetAccountBillingRole

授予权限以查看成本类别。

注意

account:GetAccountInformation 权限仅适用于控制台。这些权限没有API访问权限。

billing:Get*

ce:TagResource

ce:ListCostAllocationTags

consolidatedbilling:List*

ce:CreateCostCategoryDefinition

pricing:DescribeServices

ce:GetDimensionValues

ce:GetTags

授予权限以创建成本类别。

注意

billing:Get*consolidatedbilling:List* 权限仅适用于控制台。这些权限没有API访问权限。

ce:UpdateCostCategoryDefinition

ce:UntagResource

授予权限以修改成本类别。

ce:DeleteCostCategoryDefinition

授予权限以删除成本类别。

成本分配标签

account:GetAccountInformation

ce:ListCostAllocationTags

consolidatedbilling:GetAccountBillingRole

授予权限以查看成本分配标签。

ce:UpdateCostAllocationTagsStatus

授予权限以激活或停用成本分配标签。

Amazon Budgets

budgets:ViewBudget

budgets:DescribeBudgetActionsForBudget

budgets:DescribeBudgetAction

budgets:DescribeBudgetActionsForAccount

budgets:DescribeBudgetActionHistories

授予权限以查看预算页面。

budgets:CreateBudgetAction

budgets:ExecuteBudgetAction

budgets:DeleteBudgetAction

budgets:UpdateBudgetAction

budgets:ModifyBudget

授予权限以创建、删除和修改预算和预算操作。

免费套餐

billing:Get*

freetier:Get*

授予权限以查看免费套餐使用限制和当月至今使用状态。

账单首选项

account:GetAccountInformation

billing:Get*

consolidatedbilling:Get*

consolidatedbilling:List*

cur:GetClassic*

cur:Validate*

freetier:Get*

invoicing:Get*

授予查看账单首选项页面上的所有部分所需的权限操作。

注意

这些权限仅适用于控制台。这些权限没有API访问权限。

billing:Update*

freetier:Put*

cur:PutClassic*

s3:ListAllMyBuckets

s3:CreateBucket

s3:PutBucketPolicy

s3:GetBucketLocation

invoicing:Put*

授予权限以在账单首选项页面中进行以下更改:

  • 开启或关闭 RI 或 Savings Plans 折扣共享的服务抵扣金额共享

  • 设置 Free Tier Usage Alert(免费套餐使用提醒)首选项

  • 设置 detailed billing reports(详细账单报告)发送设置和首选项

  • 通过电子邮件首选项设置或更新PDF发票

注意

billing:Update*freetier:Put*cur:PutClassic* 权限仅适用于控制台。这些权限没有API访问权限。

付款首选项

account:GetAccountInformation

billing:Get*

payments:GetPaymentInstrument

payments:List*

payments:GetPaymentStatus

授予权限以查看支付首选项页面。

注意

这些权限仅适用于控制台。这些权限没有API访问权限。

payments:Update*

payments:Make*

payments:CreatePaymentInstrument

payments:DeletePaymentInstrument

授予权限以创建或更新付款方式。

注意

payments:Make*仅当支付卡需要多重身份验证(MFA)时才需要。

payments:Update*

授予权限以更新付款配置文件。

注意

此权限仅适用于控制台。此API权限没有可用的访问权限。

账户

account:Get*

account:List*

billing:Get*

payments:List*

授予权限以查看账户设置

注意

billing:Get* 权限仅适用于控制台。此API权限没有可用的访问权限。

account:CloseAccount

授予关闭权限 Amazon Web Services 账户。

注意

此权限仅适用于控制台。此API权限没有可用的访问权限。

account:PutAlternateContact

授予权限以写入账户的备用联系人。

account:PutChallengeQuestions

授予权限以设置账户的安全问题。

注意

此权限仅适用于控制台。此API权限没有可用的访问权限。

account:PutContactInformation

授予为该账户设置或写入主要联系人信息(包括地址)所需的权限操作。

billing:PutContractInformation

如果账户用于为公共部门客户提供服务,则授予权限以设置账户合同信息。可以提取的信息包括终端用户组织名称、合同编号和采购订单号。

注意

此权限仅适用于控制台。此API权限没有可用的访问权限。

billing:Update*

授予开启或关闭 “帐户” 页面上的 “激活IAM访问权限” 设置所需的权限操作。

payments:Update*

授予权限以设置预付款、币种首选项、账单联系人详细信息和地址以及付款条款和条件。