带有计费功能的基于身份的政策 Amazon - Amazon 账单
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

带有计费功能的基于身份的政策 Amazon

默认情况下,用户和角色没有创建或修改账单资源的权限。他们也无法使用 Amazon Web Services Management Console、 Amazon Command Line Interface (Amazon CLI) 或来执行任务 Amazon API。要授予用户对其所需资源执行操作的权限,IAM管理员可以创建IAM策略。然后,管理员可以将IAM策略添加到角色中,用户可以代入这些角色。

要了解如何使用这些示例策略文档创建IAM基于身份的JSON策略,请参阅IAM用户指南中的创建IAM策略(控制台)

有关 Billing 定义的操作和资源类型(包括每种资源类型的格式)的详细信息,请参阅《服务授权参考》中的 “Amazon 账单操作、资源和条件密钥”。ARNs

策略最佳实践

基于身份的策略确定某人是否可以创建、访问或删除您账户中的账单资源。这些操作可能会使 Amazon Web Services 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:

  • 开始使用 Amazon 托管策略并转向最低权限权限 — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的Amazon 托管策略。它们在你的版本中可用 Amazon Web Services 账户。我们建议您通过定义针对您的用例的 Amazon 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM用户指南》中的Amazon 托Amazon 管策略或工作职能托管策略。

  • 应用最低权限权限-使用IAM策略设置权限时,仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为最低权限许可。有关使用应用权限IAM的更多信息,请参阅《IAM用户指南》IAM中的策略和权限

  • 使用IAM策略中的条件进一步限制访问权限-您可以在策略中添加条件以限制对操作和资源的访问权限。例如,您可以编写一个策略条件来指定所有请求都必须使用发送SSL。如果服务操作是通过特定的方式使用的,则也可以使用条件来授予对服务操作的访问权限 Amazon Web Services 服务,例如 Amazon CloudFormation。有关更多信息,请参阅《IAM用户指南》中的IAMJSON策略元素:条件

  • 使用 A IAM ccess Analyzer 验证您的IAM策略以确保权限的安全性和功能性 — A IAM ccess Analyzer 会验证新的和现有的策略,以便策略符合IAM策略语言 (JSON) 和IAM最佳实践。IAMAccess Analyzer 提供了 100 多项策略检查和可行的建议,可帮助您制定安全和实用的策略。有关更多信息,请参阅《IAM用户指南》中的使用 A IAM ccess Analyzer 验证策略

  • 需要多重身份验证 (MFA)-如果您的场景需要IAM用户或 root 用户 Amazon Web Services 账户,请打开MFA以提高安全性。要要求MFA何时调用API操作,请在策略中添加MFA条件。有关更多信息,请参阅《IAM用户指南》MFA中的使用进行安全API访问

有关中最佳做法的更多信息IAM,请参阅《IAM用户指南》IAM中的安全最佳实践

使用账单控制台

要访问 Amazon 账单控制台,您必须拥有一组最低权限。这些权限必须允许您在中列出和查看有关账单资源的详细信息 Amazon Web Services 账户。如果创建比必需的最低权限更为严格的基于身份的策略,对于附加了该策略的实体(用户或角色),控制台将无法按预期正常运行。

您无需为仅拨打 Amazon CLI 或的用户设置最低控制台权限 Amazon API。相反,只允许访问与他们尝试执行的API操作相匹配的操作。

您可以在该Amazon 托管策略部分中找到访问权限的详细信息,例如启用 Amazon 账单控制台所需的权限、管理员访问权限和只读访问权限。

允许用户查看他们自己的权限

此示例说明如何创建允许IAM用户查看附加到其用户身份的内联和托管策略的策略。此策略包括在控制台上或使用或以编程方式完成此操作的 Amazon CLI 权限。 Amazon API

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }

使用适用于账单的基于身份的策略

注意

以下 Amazon Identity and Access Management (IAM) 操作已结束标准支持:

  • aws-portal 命名空间

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

如果您正在使用 Amazon Organizations,则可以使用批量策略迁移器脚本或批量策略迁移器从您的付款人账户更新政策。您也可以使用从旧到精细的操作映射参考来验证需要添加的IAM操作。

如果您在 2023 年 11 月 16 日上午 11:00(PDT)当天或之后 Amazon Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 Amazon Web Services 账户

重要

除IAM策略外,您还必须在 “账户设置” 控制台页面上授予对账单和成本管理控制台的IAM访问权限。

有关更多信息,请参阅以下主题:

使用本节了解基于身份的策略账户管理员如何将权限策略附加到IAM身份(角色和群组),并授予对账单资源执行操作的权限。

有关 Amazon Web Services 账户 和用户的更多信息,请参阅什么是IAM? 在《IAM用户指南》中。

有关如何更新客户托管策略的信息,请参阅《IAM用户指南》中的编辑客户托管策略(控制台)

Amazon 账单控制台操作

此表总结了授予访问您的账单信息和工具的权限。有关使用这些权限的策略示例,请参阅Amazon 账单政策示例

有关 Amazon 成本管理控制台的操作策略列表,请参阅《Amazon 成本管理用户指南》中的Amazon 成本管理操作策略

权限名称 描述
aws-portal:ViewBilling

授予查看账单和成本管理控制台页面的权限。

aws-portal:ModifyBilling

授予修改以下账单和成本管理控制台页面的权限:

要允许IAM用户修改这些控制台页面,必须同时允许ModifyBillingViewBilling。有关策略示例,请参阅允许IAM用户修改账单信息

aws-portal:ViewAccount

授予查看账户设置的权限。

aws-portal:ModifyAccount

授予修改账户设置的权限。

要允许IAM用户修改账户设置,必须同时允许ModifyAccountViewAccount

有关明确拒绝IAM用户访问账户设置控制台页面的策略示例,请参阅拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息

aws-portal:ViewPaymentMethods

授予查看付款方式的权限。

aws-portal:ModifyPaymentMethods

授予修改付款方式的权限。

要允许用户修改付款方式,您必须同时允许 ModifyPaymentMethodsViewPaymentMethods

billing:ListBillingViews

授予获取形式账单组账单信息的权限。这是使用 “ Amazon 账” 页面上的 Billing Conductor 或 “Amazon 成本和使用情况报告” 进行的。

有关查看账单组详细信息的更多信息,请参阅 Amazon Billing Conductor 用户指南中的查看您的账单组详细信息

sustainability:GetCarbonFootprintSummary

授予查看 Amazon 客户碳足迹工具和数据的权限。可从 Billing and Cost Management 控制台的 “ Amazon 成本和使用情况报告” 页面进行访问。

有关策略的示例,请参阅允许IAM用户查看您的账单信息和碳足迹报告

cur:DescribeReportDefinitions

授予查看 Amazon 成本和使用情况报告的权限。

Amazon 成本和使用情况报告权限适用于使用成本和使用情况报告服务API以及 Billin Amazon g and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新IAM用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅允许IAM用户访问报告控制台页面

cur:PutReportDefinition

授予创建 Amazon 成本和使用情况报告的权限。

Amazon 成本和使用情况报告权限适用于使用成本和使用情况报告服务API以及 Billin Amazon g and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新IAM用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅允许IAM用户访问报告控制台页面

cur:DeleteReportDefinition

授予删除 Amazon 成本和使用情况报告的权限。

Amazon 成本和使用情况报告权限适用于使用成本和使用情况报告服务API以及 Billin Amazon g and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新IAM用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅创建、查看、编辑或删除 Amazon 成本和使用情况报告

cur:ModifyReportDefinition

授予修改 Amazon 成本和使用情况报告的权限。

Amazon 成本和使用情况报告权限适用于使用成本和使用情况报告服务API以及 Billin Amazon g and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新IAM用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅创建、查看、编辑或删除 Amazon 成本和使用情况报告

ce:CreateCostCategoryDefinition

授予创建成本类别的权限。

有关策略示例,请参阅查看和管理成本类别

ce:DeleteCostCategoryDefinition

授予删除成本类别的权限。

有关策略示例,请参阅查看和管理成本类别

ce:DescribeCostCategoryDefinition

授予查看成本类别的权限。

有关策略示例,请参阅查看和管理成本类别

ce:ListCostCategoryDefinitions

授予列出成本类别的权限。

有关策略示例,请参阅查看和管理成本类别

ce:UpdateCostCategoryDefinition

授予更新成本类别的权限。

有关策略示例,请参阅查看和管理成本类别

aws-portal:ViewUsage

授予查看 Amazon 使用情况报告的权限。

要允许IAM用户查看使用情况报告,必须同时允许ViewUsageViewBilling

有关策略示例,请参阅允许IAM用户访问报告控制台页面

payments:AcceptFinancingApplicationTerms

允许IAM用户同意融资贷款人提供的条款。用户必须提供银行账户详细信息以进行还款,并签署贷款人提供的法律文件。

payments:CreateFinancingApplication

允许IAM用户申请新的融资贷款,并参考所选的融资选项。

payments:GetFinancingApplication

允许IAM用户检索融资申请的详细信息。例如,状态、限额、条款和贷款人信息。

payments:GetFinancingLine

允许IAM用户检索融资贷款的详细信息。例如,状态和余额。

payments:GetFinancingLineWithdrawal

允许IAM用户检索提款详情。例如,余额和还款。

payments:GetFinancingOption

允许IAM用户检索特定融资选项的详细信息。

payments:ListFinancingApplications

允许IAM用户检索所有贷款机构的所有融资应用程序的标识符。

payments:ListFinancingLines

允许IAM用户检索所有贷款机构中所有融资贷款的标识符。

payments:ListFinancingLineWithdrawals

允许IAM用户检索给定贷款的所有现有提款。

payments:ListTagsForResource

允许或拒绝IAM用户查看付款方式标签的权限。

payments:TagResource

允许或拒绝IAM用户为付款方式添加标签的权限。

payments:UntagResource

允许或拒绝IAM用户从付款方式中移除标签的权限。

payments:UpdateFinancingApplication

允许IAM用户更改融资申请并提交贷款人要求的其他信息。

payments:ListPaymentInstruments

允许或拒绝IAM用户列出其注册的付款方式。

payments:UpdatePaymentInstrument

允许或拒绝IAM用户更新其付款方式的权限。

pricing:DescribeServices

授予通过价目表 Amazon 服务查看服务产品和定 Amazon 价的权限API。

要允许IAM用户使用 Amazon 价目表服务API,必须允许DescribeServicesGetAttributeValues、和GetProducts

有关策略示例,请参阅查找产品和价格

pricing:GetAttributeValues

授予通过价目表 Amazon 服务查看服务产品和定 Amazon 价的权限API。

要允许IAM用户使用 Amazon 价目表服务API,必须允许DescribeServicesGetAttributeValues、和GetProducts

有关策略示例,请参阅查找产品和价格

pricing:GetProducts

授予通过价目表 Amazon 服务查看服务产品和定 Amazon 价的权限API。

要允许IAM用户使用 Amazon 价目表服务API,必须允许DescribeServicesGetAttributeValues、和GetProducts

有关策略示例,请参阅查找产品和价格

purchase-orders:ViewPurchaseOrders

授予查看采购订单的权限。

有关策略示例,请参阅查看和管理采购订单

purchase-orders:ModifyPurchaseOrders

授予修改采购订单的权限。

有关策略示例,请参阅查看和管理采购订单

fapiao:GetAccountFapiaoSetting

授予查看发票设置的权限。

fapiao:UpdateAccountFapiaoInformation

授予在发票设置中更新中发票信息的权限。

fapiao:UpdateAccountMailingAddress

授予在发票设置中更新发票邮寄地址的权限。

fapiao:CreateAccountFapiaoSetting

授予创建 Fapiao 设置的权限。

tax:GetExemptions

授予以只读访问权限通过税务控制台查看免税和免税类型的权限。

有关策略示例,请参阅允许IAM用户查看美国免税和创建 Amazon Web Services Support 案例

tax:UpdateExemptions

授予将免税上传到美国免税控制台的权限。

有关策略示例,请参阅允许IAM用户查看美国免税和创建 Amazon Web Services Support 案例

support:CreateCase

授予提交支持案例的权限,这是从免税控制台上传免税所需的。

有关策略示例,请参阅允许IAM用户查看美国免税和创建 Amazon Web Services Support 案例

support:AddAttachmentsToSet

授予将文档附加到需要上传免税证明材料到免税控制台的支持案例的权限。

有关策略示例,请参阅允许IAM用户查看美国免税和创建 Amazon Web Services Support 案例

cloudassist:DescribeAccountRealNameInformation

授予查看实名信息的权限。

cloudassist:UpdateAccountRealNameInformation

授予更新实名信息的权限。

customer-verification:GetCustomerVerificationEligibility

(仅适用于拥有印度账单或联系地址的客户)

授予检索客户验证资格的权限。

customer-verification:GetCustomerVerificationDetails

(仅适用于拥有印度账单或联系地址的客户)

授予检索客户验证数据的权限。

customer-verification:CreateCustomerVerificationDetails

(仅适用于拥有印度账单或联系地址的客户)

授予创建客户验证数据的权限。

customer-verification:UpdateCustomerVerificationDetails

(仅适用于拥有印度账单或联系地址的客户)

授予更新客户验证数据的权限。

mapcredit:ListAssociatedPrograms

授予查看关联内容的权限 Migration Acceleration Program 付款人账户的协议和控制面板。

mapcredit:ListQuarterSpend

授予查看权限 Migration Acceleration Program 付款人账户符合条件的支出。

mapcredit:ListQuarterCredits

授予查看权限 Migration Acceleration Program 付款人账户的积分。