带有计费功能的基于身份的政策 Amazon - Amazon 账单
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

带有计费功能的基于身份的政策 Amazon

默认情况下,用户和角色无权创建或修改账单资源。他们也无法使用 Amazon Web Services Management Console、 Amazon Command Line Interface (Amazon CLI) 或 Amazon API 执行任务。要授予用户对所需资源执行操作的权限,IAM 管理员可以创建 IAM 策略。管理员随后可以向角色添加 IAM 策略,用户可以代入角色。

要了解如何使用这些示例 JSON 策略文档创建基于 IAM 身份的策略,请参阅 IAM 用户指南中的 创建 IAM policy

有关账单定义的操作和资源类型(包括每种资源类型的 ARN 格式)的详细信息,请参阅《服务授权参考》中的 “Amazon 账单操作、资源和条件密钥”。

策略最佳实践

基于身份的政策决定了某人是否可以在您的账户中创建、访问或删除账单资源。这些操作可能会使 Amazon Web Services 账户产生成本。创建或编辑基于身份的策略时,请遵循以下准则和建议:

  • 开始使用 Amazon 托管策略并转向最低权限权限 — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的Amazon 托管策略。它们在你的版本中可用 Amazon Web Services 账户。我们建议您通过定义针对您的用例的 Amazon 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管策略工作职能的Amazon 托管策略

  • 应用最低权限 – 在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为最低权限许可。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》中的 IAM 中的策略和权限

  • 使用 IAM 策略中的条件进一步限制访问权限 – 您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果服务操作是通过特定的方式使用的,则也可以使用条件来授予对服务操作的访问权限 Amazon Web Service,例如 Amazon CloudFormation。有关更多信息,请参阅《IAM 用户指南》中的 IAM JSON 策略元素:条件

  • 使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性 – IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言 (JSON) 和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》中的 IAM Acess Analyzer 策略验证

  • 需要多重身份验证 (MFA)-如果 Amazon Web Services 账户您的场景需要 IAM 用户或根用户,请启用 MFA 以提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》中的 配置受 MFA 保护的 API 访问

有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》中的 IAM 中的安全最佳实操

使用账单控制台

要访问 Amazon 账单控制台,您必须拥有一组最低权限。这些权限必须允许您在中列出和查看有关账单资源的详细信息 Amazon Web Services 账户。如果创建比必需的最低权限更为严格的基于身份的策略,对于附加了该策略的实体(用户或角色),控制台将无法按预期正常运行。

对于仅调用 Amazon CLI 或 Amazon API 的用户,您无需为其设置最低控制台权限。相反,只允许访问与其尝试执行的 API 操作相匹配的操作。

您可以在该Amazon 托管策略部分中找到访问权限的详细信息,例如启用 Amazon 账单控制台所需的权限、管理员访问权限和只读访问权限。

允许用户查看他们自己的权限

该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上或使用 Amazon CLI 或 Amazon API 以编程方式完成此操作的权限。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }

使用基于身份的账单策略

注意

以下 Amazon Identity and Access Management (IAM) 操作已结束标准支持:

  • aws-portal 命名空间

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

如果您正在使用 Amazon Organizations,则可以使用批量策略迁移程序脚本从您的付款人账户更新政策。您还可以使用旧到精细操作映射参考来验证需要添加的 IAM 操作。

有关更多信息,请参阅Amazon 账单、 Amazon 成本管理和账户控制台权限变更博客。

如果您在 2023 年 11 月 16 日上午 11:00(太平洋夏令时)当天或之后 Amazon Organizations 创建了或参与其中,则细粒度的操作已经在您的组织中生效。 Amazon Web Services 账户

重要

除了 IAM policy 之外,您还必须在账户设置控制台页面上授予 IAM 对账单与成本管理控制台的访问权限。

有关更多信息,请参阅以下主题:

使用本节了解基于身份的策略账户管理员如何将权限策略附加到 IAM 身份(角色和群组),并授予对账单资源执行操作的权限。

有关 Amazon Web Services 账户 和用户的更多信息,请参阅什么是 IAM?IAM 用户指南中。

有关如何能更新客户管理型策略的说明,请参阅 IAM 用户指南中的编辑客户管理型策略(控制台)

Amazon 账单操作

下表汇总了授予对账单信息和工具访问权限的权限。有关使用这些权限的策略示例,请参阅Amazon 账单政策示例

有关 Amazon 成本管理控制台的操作策略列表,请参阅《Amazon 成本管理用户指南》中的Amazon 成本管理操作策略

权限名称 描述
aws-portal:ViewBilling

授予查看 Billing and Cost Management 控制台页面的权限。

aws-portal:ModifyBilling

授予修改以下 Billing and Cost Management 控制台页面的权限:

要允许 IAM 用户修改这些控制台页面,您必须同时允许 ModifyBillingViewBilling。有关策略示例,请参阅允许 IAM 用户修改账单信息

aws-portal:ViewAccount

授予查看 “账户设置” 的权限。

aws-portal:ModifyAccount

授予修改账户设置的权限。

要允许 IAM 用户修改账户设置,您必须同时允许 ModifyAccountViewAccount

有关显式拒绝 IAM 用户访问 Account Settings(账户设置)控制台页面的策略的示例,请参阅 拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息

aws-portal:ViewPaymentMethods

授予查看付款方式的权限。

aws-portal:ModifyPaymentMethods

授予修改付款方式的权限。

要允许用户修改付款方式,您必须同时允许 ModifyPaymentMethodsViewPaymentMethods

billing:ListBillingViews

授予获取形式账单组账单信息的权限。这是使用 “ Amazon 账” 页面上的 Billing Conductor 或 “Amazon 成本和使用情况报告” 进行的。

有关查看账单组详细信息的更多信息,请参阅 Amazon Billing Conductor 用户指南中的查看您的账单组详细信息

sustainability:GetCarbonFootprintSummary

授予查看 Amazon 客户碳足迹工具和数据的权限。可从 Billing and Cost Management 控制台的 “ Amazon 成本和使用情况报告” 页面进行访问。

有关策略的示例,请参阅允许 IAM 用户查看您的账单信息和碳足迹报告

cur:DescribeReportDefinitions

授予查看 Amazon 成本和使用情况报告的权限。

Amazon 成本和使用情况报告权限适用于使用成本和使用情况报告服务 API 和 Bill Amazon ing and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅允许 IAM 用户访问报告控制台页面

cur:PutReportDefinition

授予创建 Amazon 成本和使用情况报告的权限。

Amazon 成本和使用情况报告权限适用于使用成本和使用情况报告服务 API 和 Bill Amazon ing and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅允许 IAM 用户访问报告控制台页面

cur:DeleteReportDefinition

授予删除 Amazon 成本和使用情况报告的权限。

Amazon 成本和使用情况报告权限适用于使用成本和使用情况报告服务 API 和 Bill Amazon ing and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅创建、查看、编辑或删除 Amazon 成本和使用情况报告

cur:ModifyReportDefinition

授予修改 Amazon 成本和使用情况报告的权限。

Amazon 成本和使用情况报告权限适用于使用成本和使用情况报告服务 API 和 Bill Amazon ing and Cost Management 控制台创建的所有报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

有关策略的示例,请参阅创建、查看、编辑或删除 Amazon 成本和使用情况报告

ce:CreateCostCategoryDefinition

授予创建成本类别的权限。

有关策略示例,请参阅查看和管理成本类别

ce:DeleteCostCategoryDefinition

授予删除成本类别的权限。

有关策略示例,请参阅查看和管理成本类别

ce:DescribeCostCategoryDefinition

授予查看成本类别的权限。

有关策略示例,请参阅查看和管理成本类别

ce:ListCostCategoryDefinitions

授予列出成本类别的权限。

有关策略示例,请参阅查看和管理成本类别

ce:UpdateCostCategoryDefinition

授予更新成本类别的权限。

有关策略示例,请参阅查看和管理成本类别

aws-portal:ViewUsage

授予查看 Amazon 使用情况报告的权限。

要允许 IAM 用户查看使用情况报告,您必须同时允许 ViewUsageViewBilling

有关策略示例,请参阅允许 IAM 用户访问报告控制台页面

pricing:DescribeServices

授予通过价目表 Amazon 服务 API 查看服务产品和定 Amazon 价的权限。

要允许 IAM 用户使用 Amazon 价目表服务 API,您必须允许DescribeServicesGetAttributeValues、和GetProducts

有关策略示例,请参阅查找产品和价格

pricing:GetAttributeValues

授予通过价目表 Amazon 服务 API 查看服务产品和定 Amazon 价的权限。

要允许 IAM 用户使用 Amazon 价目表服务 API,您必须允许DescribeServicesGetAttributeValues、和GetProducts

有关策略示例,请参阅查找产品和价格

pricing:GetProducts

授予通过价目表 Amazon 服务 API 查看服务产品和定 Amazon 价的权限。

要允许 IAM 用户使用 Amazon 价目表服务 API,您必须允许DescribeServicesGetAttributeValues、和GetProducts

有关策略示例,请参阅查找产品和价格

purchase-orders:ViewPurchaseOrders

授予查看采购订单的权限。

有关策略示例,请参阅查看和管理采购订单

purchase-orders:ModifyPurchaseOrders

授予修改采购订单的权限。

有关策略示例,请参阅查看和管理采购订单

fapiao:GetAccountFapiaoSetting

授予查看发票设置的权限。

fapiao:UpdateAccountFapiaoInformation

授予在发票设置中更新发票信息的权限。

fapiao:UpdateAccountMailingAddress

授予在发票设置中更新发票邮寄地址的权限。

fapiao:CreateAccountFapiaoSetting

授予创建 Fapiao 设置的权限。

tax:GetExemptions

授予通过税务控制台查看免税和免税类型的只读访问权限。

有关策略示例,请参阅允许 IAM 用户查看美国免税和创建 Amazon Web Services Support 案例

tax:UpdateExemptions

授予将免税上传到美国免税控制台的权限。

有关策略示例,请参阅允许 IAM 用户查看美国免税和创建 Amazon Web Services Support 案例

support:CreateCase

授予提交支持案例的权限,这是从免税控制台上传免税信息所必需的。

有关策略示例,请参阅允许 IAM 用户查看美国免税和创建 Amazon Web Services Support 案例

support:AddAttachmentsToSet

授予将免税证书上传到免税控制台所需的支持案例的附加文件的权限。

有关策略示例,请参阅允许 IAM 用户查看美国免税和创建 Amazon Web Services Support 案例

cloudassist:DescribeAccountRealNameInformation

授予查看真实姓名信息的权限。

cloudassist:UpdateAccountRealNameInformation

授予更新真实姓名信息的权限。

customer-verification:GetCustomerVerificationEligibility

(仅适用于拥有印度账单或联系地址的客户)

授予检索客户验证资格的权限。

customer-verification:GetCustomerVerificationDetails

(仅适用于拥有印度账单或联系地址的客户)

授予检索客户验证数据的权限。

customer-verification:CreateCustomerVerificationDetails

(仅适用于拥有印度账单或联系地址的客户)

授予创建客户验证数据的权限。

customer-verification:UpdateCustomerVerificationDetails

(仅适用于拥有印度账单或联系地址的客户)

授予更新客户验证数据的权限。

mapcredit:ListAssociatedPrograms

授予查看付款人账户关联Migration Acceleration Program协议和控制面板的权限。

mapcredit:ListQuarterSpend

授予查看付款人账户Migration Acceleration Program符合条件的支出的权限。

mapcredit:ListQuarterCredits

授予查看付款人账户Migration Acceleration Program信用额度的权限。