本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon 成本管理政策示例
注意
以下 Amazon Identity and Access Management (IAM) 操作已结束标准支持:
-
aws-portal命名空间 -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
如果您尚未将旧的 IAM 操作迁移到新的精细操作,则必须在 2024 年 3 月之前完成迁移。
如果您正在使用 Amazon Organizations,则可以使用批量策略迁移程序脚本从您的付款人账户更新政策。您还可以使用旧到精细操作映射参考来验证需要添加的 IAM 操作。
有关更多信息,请参阅Amazon 账单、 Amazon 成本管理和账户控制台权限变
如果您在 2023 年 11 月 16 日上午 11:00(太平洋夏令时)当天或之后 Amazon Organizations 创建了或参与其中,则细粒度的操作已经在您的组织中生效。 Amazon Web Services 账户
本主题包含几个示例策略,您可以将它们附加到您的 IAM 角色或组以控制对您的账户的账单信息和工具的访问权限。以下基本规则适用于账单和成本管理的 IAM policy:
-
Version始终为2012-10-17。 -
Effect始终为Allow或Deny。 -
Action是操作的名称或通配符 (*)。操作前缀
budgets用于 Amazon 预算、curAmazon 成本和使用情况报告、aws-portalAmazon 账单或ceCost Explorer。 -
Resource始终*用于 Amazon 计费。对于在
budget资源上执行的操作,请指定预算 Amazon 资源名称 (ARN)。 -
一个策略中可能包含多个语句。
有关账单控制台的策略示例列表,请参阅账单用户指南中的账单政策示例。
注意
这些策略要求您在账户设置
主题
- 拒绝用户对账单和成本管理控制台的访问权限
- 拒绝成员账户访问 Amazon 控制台费用和使用情况小工具
- 拒绝特定用户和角色访问 Amazon 控制台成本和使用情况小组件
- 允许用户完全访问 Amazon 服务,但拒绝用户访问账单和成本管理控制台
- 允许用户查看账单和成本管理控制台(账户设置除外)
- 允许用户修改账单信息
- 允许用户创建预算
- 拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息
- 将报告存入 Amazon S3 存储桶
- 查看成本和使用情况
- 启用和禁用 Amazon 区域
- 查看和更新 Cost Explorer 首选项页面
- 使用 Cost Explorer 报告页面查看、创建、更新和删除
- 查看、创建、更新和删除预留和 Savings Plans 提醒
- 允许对 “ Amazon 成本异常检测” 进行只读访问
- 允许 Amazon 预算应用 IAM 策略和 SCP
- 允许 Amazon 预算应用 IAM 策略和 SCP 并以 EC2 和 RDS 实例为目标
拒绝用户对账单和成本管理控制台的访问权限
要显式拒绝用户访问所有账单和成本管理控制台页面,请使用类似于此示例策略的策略。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "aws-portal:*", "Resource": "*" } ] }
拒绝成员账户访问 Amazon 控制台费用和使用情况小工具
要限制成员(关联)账户访问成本和使用数据,请使用管理(付款人)账户访问 Cost Explorer 首选项选项卡,然后取消选中 Linked Account Access(关联账户访问)。无论成员账户的用户或角色执行了什么 IAM 操作,这都将拒绝从 Cost Explorer(Amazon 成本管理) Amazon 控制台、Cost Explorer API 和控制台主页的 “成本和使用情况” 小部件访问成本和使用情况数据。
拒绝特定用户和角色访问 Amazon 控制台成本和使用情况小组件
要拒绝特定用户和角色访问 Amazon 控制台成本和使用情况小组件,请使用以下权限策略。
注意
向用户或角色添加此策略也会拒绝用户访问 Cost Explorer(Amazon 成本管理)控制台和 Cost Explorer API。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ce:*", "Resource": "*" } ] }
允许用户完全访问 Amazon 服务,但拒绝用户访问账单和成本管理控制台
要拒绝用户访问账单和成本管理控制台上的所有内容,请使用以下策略。在这种情况下,您还应拒绝用户访问 Amazon Identity and Access Management (IAM),这样用户就无法访问控制账单信息和工具访问权限的策略。
重要
该策略不允许进行任何操作。可将此策略与允许特定操作的其他策略结合使用。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } ] }
允许用户查看账单和成本管理控制台(账户设置除外)
此策略允许对所有控制台进行只读访问,包括付款方式和报告控制台页面,但拒绝访问账户设置页面,从而保护账户密码、联系信息和安全问题。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:View*", "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
允许用户修改账单信息
要允许 IAM 用户在账单和成本管理控制台中修改账户账单信息,请允许 IAM 用户查看您的账单信息。以下策略示例允许 IAM 用户修改整合账单、首选项和服务抵扣金额控制台页面。它还允许用户查看以下账单和成本管理控制台页面:
-
控制面板
-
Cost Explorer
-
账单
-
订单和发票
-
Advance Payment
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:*Billing", "Resource": "*" } ] }
允许用户创建预算
要允许用户在账单和成本管理控制台中创建预算,您还必须允许用户查看您的账单信息、创建 CloudWatch 警报和创建 Amazon SNS 通知。以下策略示例允许用户修改预算控制台页面。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1435216493000", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "aws-portal:ModifyBilling", "budgets:ViewBudget", "budgets:ModifyBudget" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216514000", "Effect": "Allow", "Action": [ "cloudwatch:*" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216552000", "Effect": "Allow", "Action": [ "sns:*" ], "Resource": [ "arn:aws:sns:us-east-1::" ] } ] }
拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息
要保护您的账户密码、联系信息和安全问题,您可以拒绝用户访问账户设置,同时仍允许完全访问控制台中的其余功能,如以下示例所示。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:*Billing", "aws-portal:*Usage", "aws-portal:*PaymentMethods" ], "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
将报告存入 Amazon S3 存储桶
以下政策允许账单和成本管理部门将您的详细 Amazon 账单保存到 Amazon S3 存储桶中,前提是您同时拥有该 Amazon 账户和 Amazon S3 存储桶。请注意,此策略必须应用于 Amazon S3 存储桶而不是某个用户。也就是说,它是一种基于资源的策略,而不是基于用户的策略。您应拒绝 用户访问无需访问您的账单的 用户的存储桶。
将 bucketname 替换为您的存储桶的名称。
有关更多信息,请参阅 Amazon Simple Storage Service 用户指南中的使用存储桶策略和用户策略。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": [ "s3:GetBucketAcl", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::bucketname" }, { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucketname/*" } ] }
查看成本和使用情况
要允许用户使用 Cost Ex Amazon plorer API,请使用以下策略向他们授予访问权限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:*" ], "Resource": [ "*" ] } ] }
启用和禁用 Amazon 区域
有关允许用户启用和禁用区域的 IAM 策略示例,请参阅 IAM 用户指南中的 Amazon:允许启用和禁用 Amazon 区域。
查看和更新 Cost Explorer 首选项页面
此策略允许用户使用 Cost Explorer 首选项页面查看和更新。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:UpdatePreferences" ], "Resource": "*" } ] }
以下策略允许用户查看 Cost Explorer,但拒绝查看或编辑首选项页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:GetPreferences", "ce:UpdatePreferences" ], "Resource": "*" } ] }
以下策略允许用户查看 Cost Explorer,但拒绝编辑首选项页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:UpdatePreferences" ], "Resource": "*" } ] }
使用 Cost Explorer 报告页面查看、创建、更新和删除
此策略允许用户使用 Cost Explorer 报告页面查看、创建、更新和删除。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
以下策略允许用户查看 Cost Explorer,但拒绝查看或编辑报告页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeReport", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
以下策略允许用户查看 Cost Explorer,但拒绝编辑报告页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
查看、创建、更新和删除预留和 Savings Plans 提醒
此策略允许用户查看、创建、更新和删除预留到期提醒和节省计划提醒。要编辑预留到期提醒或 Savings Plans 提醒,用户需要所有三个粒度的操作:ce:CreateNotificationSubscription、ce:UpdateNotificationSubscription 和 ce:DeleteNotificationSubscription。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
以下策略允许用户查看 Cost Explorer,但拒绝查看或编辑预留到期提醒和节省计划提醒页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeNotificationSubscription", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
以下策略允许用户查看 Cost Explorer,但拒绝编辑预留到期提醒和节省计划提醒页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
允许对 “ Amazon 成本异常检测” 进行只读访问
要允许用户以只读方式访问 Amazon 成本异常检测,请使用以下策略向他们授予访问权限。 ce:ProvideAnomalyFeedback作为只读访问权限的一部分,是可选的。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ce:Get*" ], "Effect": "Allow", "Resource": "*" } ] }
允许 Amazon 预算应用 IAM 策略和 SCP
此政策允许 Amazon 预算代表用户应用 IAM 策略和服务控制策略 (SCP)。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy" ], "Resource": "*" } ] }
允许 Amazon 预算应用 IAM 策略和 SCP 并以 EC2 和 RDS 实例为目标
该政策允许 Amazon 预算部门应用 IAM 策略和服务控制策略 (SCP),并代表用户将 Amazon EC2 和 Amazon RDS 实例作为目标。
信任策略
注意
此信任政策允许 Amazon Budgets 担任可以代表您调用其他服务的角色。有关此类跨服务权限最佳实践的更多信息,请参阅 防止跨服务混淆座席。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "budgets.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:budgets::123456789012:budget/*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } ] }
权限策略
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance", "ssm:StartAutomationExecution" ], "Resource": "*" } ] }