本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
迁移 Amazon Billing的访问控制
注意
以下 Amazon Identity and Access Management (IAM) 操作已结束标准支持:
-
aws-portal命名空间 -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
如果您正在使用 Amazon Organizations,则可以使用批量策略迁移程序脚本从您的付款人账户更新政策。您还可以使用旧到精细操作映射参考来验证需要添加的 IAM 操作。
有关更多信息,请参阅Amazon BillingAmazon Cost Management、和账户控制台权限的更改
如果您在 2023 年 11 月 16 日上午 11:00(太平洋夏令时)当天或之后 Amazon Organizations 创建了或参与其中,则细粒度的操作已经在您的组织中生效。 Amazon Web Services 账户
您可以使用精细的访问控制来为组织中的个人提供对服务的访问权限。 Amazon Billing and Cost Management 例如,您可以提供对 Cost Explorer 成本管理服务的访问权限,但不提供对账单与成本管理控制台的访问权限。
要使用精细访问控制,您需要将策略从 aws-portal 门户迁移到新的 IAM 操作。
在此迁移中,您的权限策略或服务控制策略(SCP)中的以下 IAM 操作需要更新:
aws-portal:ViewAccountaws-portal:ViewBillingaws-portal:ViewPaymentMethodsaws-portal:ModifyAccountaws-portal:ModifyBillingaws-portal:ModifyPaymentMethodspurchase-orders:ViewPurchaseOrderspurchase-orders:ModifyPurchaseOrders
要了解如何使用 受影响策略工具来确定受影响的 IAM policy,请参阅如何使用受影响策略工具。
注意
API 访问权限 Amazon Cost Explorer、 Amazon 成本和使用情况报告以及 Amazon 预算不受影响。
管理访问权限
Amazon Billing 与 Amazon Identity and Access Management (IAM) 服务集成,因此您可以控制组织中谁可以访问账单和成本管理控制台
使用以下 IAM 权限对账单与成本管理控制台进行精细控制。
要提供精细访问权限,请将 aws-portal 策略替换为 account、billing、payments、freetier、invoicing、 和 consolidatedbilling。
此外,将 purchase-orders:ViewPurchaseOrders 和 purchase-orders:ModifyPurchaseOrders 替换为 purchase-orders、account 和 payments 下的精细操作。
使用细粒度的操作 Amazon Billing
此表总结了允许或拒绝 IAM 用户和角色访问您的账单信息的权限。有关使用这些权限的策略示例,请参阅Amazon 账单政策示例。
有关 Amazon Cost Management 控制台的操作列表,请参阅《Amazon Cost Management 用户指南》中的Amazon Cost Management 操作策略。
| 账单与成本管理控制台中的功能名称 | IAM 操作 | 描述 |
|---|---|---|
|
|
授予权限以查看主页页面。这些是只读权限。 注意这些权限仅适用于控制台。这些权限不支持 API 访问。 |
|
|
|
授予权限以查看账单页面。这些是只读权限。 注意这些权限仅适用于控制台。这些权限不支持 API 访问。 |
|
|
授予权限以从账单页面下载发票。 注意此权限仅适用于控制台。此权限不支持 API 访问。 |
|
|
授予权限以从账单页面下载 CSV 报告。 注意此权限仅适用于控制台。此权限不支持 API 访问。 |
|
|
|
授予权限以查看付款页面。这些是 Payments due(到期付款)、Unapplied funds(未核销资金)、Transaction(交易)和 Advance pay(预付款)选项卡的只读权限。 注意这些权限仅适用于控制台。这些权限不支持 API 访问。 |
|
|
授予权限以从交易选项卡下载发票。 注意此权限仅适用于控制台。此权限不支持 API 访问。 |
|
|
授予使用预付款和设置付款详细信息所需的权限操作。 |
|
|
授予权限以为预付款生成资金请求文档并进行付款。 |
|
|
|
授予权限以查看积分页面。 |
|
|
|
授予权限以兑换服务抵扣金额。 |
|
|
|
授予权限以查看采购订单页面。 |
|
|
授予权限以查看采购订单详细信息。 |
|
|
|
授予权限以添加采购订单。 |
|
|
授予权限以删除采购订单。 |
|
|
|
授予权限以更新采购订单和采购订单状态。 |
|
|
|
授予在 “Amazon 成本和使用情况报告” 页面上查看 Amazon CUR 报告列表的权限。 注意
|
|
|
|
授予创建新 Amazon CUR 报告所需的权限操作。 注意
|
|
|
|
授予编辑 Amazon CUR 定义的权限。 注意
|
|
|
|
授予删除 Amazon CUR 报告的权限。 |
|
|
授予权限以下载使用情况报告。 |
|
|
授予权限以查看您的 Amazon Web Services 账户的可持续发展数据。 |
|
|
|
授予权限以查看成本类别。 注意
|
|
|
|
授予权限以创建成本类别。 注意
|
|
|
授予权限以修改成本类别。 |
|
|
授予权限以删除成本类别。 | |
|
|
授予权限以查看成本分配标签。 |
|
|
|
授予权限以激活或停用成本分配标签。 |
|
|
|
授予权限以查看预算页面。 |
|
|
|
授予权限以创建、删除和修改预算和预算操作。 |
|
|
|
授予权限以查看免费套餐使用限制和当月至今使用状态。 |
|
|
|
授予查看账单首选项页面上的所有部分所需的权限操作。 注意这些权限仅适用于控制台。这些权限不支持 API 访问。 |
|
|
|
授予权限以在账单首选项页面中进行以下更改:
注意
|
|
|
|
授予权限以查看支付首选项页面。 注意这些权限仅适用于控制台。这些权限不支持 API 访问。 |
|
|
|
授予权限以创建或更新付款方式。 注意仅当支付卡需要多重身份验证(MFA)时,才需要使用 |
|
|
授予权限以更新付款配置文件。 注意此权限仅适用于控制台。此权限不支持 API 访问。 |
|
|
授予权限以查看账户设置。 注意
|
|
|
授予关闭权限 Amazon Web Services 账户。 注意此权限仅适用于控制台。此权限不支持 API 访问。 |
|
|
授予权限以写入账户的备用联系人。 |
|
|
授予权限以设置账户的安全问题。 注意此权限仅适用于控制台。此权限不支持 API 访问。 |
|
|
授予为该账户设置或写入主要联系人信息(包括地址)所需的权限操作。 |
|
|
如果账户用于为公共部门客户提供服务,则授予权限以设置账户合同信息。可以提取的信息包括终端用户组织名称、合同编号和采购订单号。 注意此权限仅适用于控制台。此权限不支持 API 访问。 |
|
|
授予在账户页面上打开或关闭激活 IAM 访问权限设置所需的权限操作。 |
|
|
授予权限以设置预付款、币种首选项、账单联系人详细信息和地址以及付款条款和条件。 |