使用基于身份的策略(IAM 策略)进行成本管理 Amazon - Amazon Cost Management
Billing and Cost Management 操作策略托管式策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用基于身份的策略(IAM 策略)进行成本管理 Amazon

注意

以下 Amazon Identity and Access Management (IAM) 操作已到期标准支持:

  • aws-portal 命名空间

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

如果您尚未在 2024 年 3 月之前为新的 IAM 操作迁移到新的精细操作,请在 2024 年 3 月之前完成迁移任务。

如果您使用的是 Amazon Organizations,则可以使用批量策略迁移程序脚本从付款人账户更新策略。您还可以使用旧到精细操作映射参考来验证需要添加的 IAM 操作。

有关更多信息,请参阅 Changes to Amazon Billing, Amazon Cost Management, and Account Consoles Permission 博客文章。

如果您于 2023 年 11 月 16 Amazon Web Services 账户 日 11:00(PDT)或之后拥有或是 2023 年 11 月 16 日 11:00(PDT)或之后所Amazon Organizations创建的成员,则精细操作已经在您的组织内生效。

本主题提供了基于身份的策略的示例,这些策略演示账户管理员如何将权限策略附加到 IAM 身份(角色和群组),从而授予对 Billing 和 Cost Management 资源执行操作的权限。

有关Amazon账户和用户的完整讨论,请参阅什么是 IAM?IAM 用户指南中。

有关如何更新客户托管策略的信息,请参阅 IAM 用户指南中的编辑客户托管策略(控制台)

Billing and Cost Management 操作策略

此表总结了允许或拒绝 用户访问您的账单信息和工具的权限。有关使用这些权限的策略示例,请参阅Amazon成本管理标签的权限

有关账单控制台操作策略列表,请参阅账单用户指南中的账单操作策略

权限名称 描述

aws-portal:ViewBilling

允许、拒绝用户查看 Billing and Cost Managing 控制台页面。有关策略示例,请参阅账单用户指南中的允许 IAM 用户查看您的账单信息
aws-portal:ViewUsage

允许、拒绝用户查看Amazon使用情况报告

要允许 UBilling Billin ViewUsage g ViewBilling

有关策略示例,请参阅账单用户指南中的允许 IAM 用户访问报告控制台页面

aws-portal:ModifyBilling

允许或拒绝 用户修改以下账单和成本管理控制台页面的权限:

要允许 ModifyBilling 页面,您必须同时允许ModifyBillingViewBilling。有关策略示例,请参阅 允许用户修改账单信息的权限

aws-portal:ViewAccount

允许或拒绝 用户查看以下账单和成本管理控制台页面的权限:
aws-portal:ModifyAccount

允许、拒绝用户修改账户设置

要允许 ModifyBillin ModifyAccount g ViewAccount

有关明确拒绝用户访问 “账户设置” 控制台页面的策略示例,请参阅拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息
budgets:ViewBudget

允许或拒绝用户查看预算预算的权限。

要允许用户查看预算的权限ViewBilling
budgets:ModifyBudget

允许或拒绝用户修改预算的权限。

要允许 Billing 和 ModifyBilling ViewBilling
ce:GetPreferences

允许、拒绝用户查看 Cost Explore 首选项页面。

有关策略示例,请参阅 查看和更新 Cost Explorer 首选项页面
ce:UpdatePreferences

允许、拒绝用户更新 Cost Explore 首选项页面。

有关策略示例,请参阅 查看和更新 Cost Explorer 首选项页面
ce:DescribeReport

允许或拒绝用户查看成本分配标签的权限。

有关策略示例,请参阅 使用 Cost Explorer 报告页面查看、创建、更新和删除
ce:CreateReport

允许、拒绝用户使用 Cost Exling 报告页面。

有关策略示例,请参阅 使用 Cost Explorer 报告页面查看、创建、更新和删除
ce:UpdateReport

允许或拒绝用户使用 Cost Exling 报告页面。

有关策略示例,请参阅 使用 Cost Explorer 报告页面查看、创建、更新和删除
ce:DeleteReport

允许、拒绝用户使用 Cost Exling 报告页面。

有关策略示例,请参阅 使用 Cost Explorer 报告页面查看、创建、更新和删除
ce:DescribeNotificationSubscription

在预订概览中为用户授予或拒绝用户在预订概览中为用户查看 Cost Explorer 预留到期警报的权限。

有关策略示例,请参阅 查看、创建、更新和删除预留和 Savings Plans 提醒
ce:CreateNotificationSubscription

允许或拒绝用户在预留概览页面内创建 Cost Explorer 预留到期警报。

有关策略示例,请参阅 查看、创建、更新和删除预留和 Savings Plans 提醒
ce:UpdateNotificationSubscription

允许或拒绝用户在预留概览页面内允许或是 Cost Explorer 预留到期警报的更新权限。

有关策略示例,请参阅 查看、创建、更新和删除预留和 Savings Plans 提醒
ce:DeleteNotificationSubscription

允许或拒绝用户在预留概览页面内允许或是 Cost Explorer 预留到期警报所创建的成员。

有关策略示例,请参阅 查看、创建、更新和删除预留和 Savings Plans 提醒
ce:CreateCostCategoryDefinition

允许或拒绝 用户创建成本类别的权限。

有关政策示例,请参阅《账单用户指南》中的查看和管理成本类别

您的可持续发展标签的权限Create。要创建带有资源标签的监视器,您需要ce:TagResource权限。
ce:DeleteCostCategoryDefinition

允许或拒绝 用户删除成本类别的权限。

有关政策示例,请参阅《账单用户指南》中的查看和管理成本类别
ce:DescribeCostCategoryDefinition

允许或拒绝 用户查看成本类别的权限。

有关政策示例,请参阅《账单用户指南》中的查看和管理成本类别
ce:ListCostCategoryDefinitions

允许或拒绝 用户列出成本类别的权限。

有关政策示例,请参阅《账单用户指南》中的查看和管理成本类别
ce:ListTagsForResource

允许、拒绝用户列出给定资源的所有资源标签。有关支持的资源列表,请参阅 Amazon Billing and Cost ManagementAPI 参考ResourceTag中的。
ce:UpdateCostCategoryDefinition

允许或拒绝 用户更新成本类别的权限。

有关政策示例,请参阅《账单用户指南》中的查看和管理成本类别
ce:CreateAnomalyMonitor

允许或拒绝用户创建单个Amazon成本异常检测监控器。您的可持续发展标签的权限Create。要创建带有资源标签的监视器,您需要ce:TagResource权限。
ce:GetAnomalyMonitors

允许、拒绝用户查看所有Amazon成本异常检测监控器。
ce:UpdateAnomalyMonitor

允许、拒绝用户更新Amazon成本异常检测监控器。
ce:DeleteAnomalyMonitor

允许、拒绝用户删除Amazon成本异常检测监控器。
ce:CreateAnomalySubscription

允许或拒绝用户为Amazon成本异常检测创建单一订阅权限。您的可持续发展标签的权限Create。要创建带有资源标签的订阅,您需要该ce:TagResource权限。
ce:GetAnomalySubscriptions

允许或拒绝用户查看Amazon成本异常检测的所有订阅权限。
ce:UpdateAnomalySubscription

允许、拒绝用户更新Amazon成本异常检测订阅。
ce:DeleteAnomalySubscription

允许、拒绝用户删除Amazon成本异常检测订阅。
ce:GetAnomalies

允许、拒绝用户查看Amazon成本异常检测中所有异常。
ce:ProvideAnomalyFeedback

允许或拒绝用户为检测到Amazon的成本异常检测提供反馈权限。
ce:TagResource

允许、拒绝用户向资源添加资源标签键值对。有关支持的资源列表,请参阅 Amazon Billing and Cost ManagementAPI 参考ResourceTag中的。
ce:UntagResource

允许或拒绝用户从资源中删除资源标签的权限。有关支持的资源列表,请参阅 Amazon Billing and Cost ManagementAPI 参考ResourceTag中的。

托管式策略

注意

以下 Amazon Identity and Access Management (IAM) 操作已到期标准支持:

  • aws-portal 命名空间

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

如果您尚未在 2024 年 3 月之前为新的 IAM 操作迁移到新的精细操作,请在 2024 年 3 月之前完成迁移任务。

如果您使用的是 Amazon Organizations,则可以使用批量策略迁移程序脚本从付款人账户更新策略。您还可以使用旧到精细操作映射参考来验证需要添加的 IAM 操作。

有关更多信息,请参阅 Changes to Amazon Billing, Amazon Cost Management, and Account Consoles Permission 博客文章。

如果您于 2023 年 11 月 16 Amazon Web Services 账户 日 11:00(PDT)或之后拥有或是 2023 年 11 月 16 日 11:00(PDT)或之后所Amazon Organizations创建的成员,则精细操作已经在您的组织内生效。

托管策略是基于身份的独立策略,可以将其附加到 Amazon 账户中的多个用户、组和角色。您可以使用 Amazon 托管策略来控制 Billing and Cost Management 中的访问权限。

Amazon管理策略是由中为管理的独立策略Amazon。 Amazon托管策略旨在为许多常见用例提供权限。 Amazon与必须自己编写策略相比,托管策略可以更轻松地为用户、组和角色分配适当的权限。

您无法更改Amazon托管策略中定义的权限。 Amazon偶尔会更新Amazon托管策略中定义的权限。当发生此情况时,更新会影响策略附加到的所有委托人实体(用户、组和角色)。

Billing and Cost Management 为常见使用案例提供了多个 Amazon 托管策略。

允许对 Amazon Budgets(包括预算操作)的完全访问权限

托管策略名称:AWSBudgetsActionsWithAWSResourceControlAccess

此托管策略以用户为重点,可确保您拥有适当的权限来授予 Budg Amazon ets 所创建的成员。此政策提供对预算(包括Amazon预算操作)的完全访问权限,以检索您的政策状态并使用来检索您的政策状态和运行Amazon资源Amazon Web Services Management Console。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "budgets:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "budgets.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ModifyBilling",
                "ec2:DescribeInstances",
                "iam:ListGroups",
                "iam:ListPolicies",
                "iam:ListRoles",
                "iam:ListUsers",
                "organizations:ListAccounts",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListPolicies",
                "organizations:ListRoots",
                "rds:DescribeDBInstances",
                "sns:ListTopics"
            ],
            "Resource": "*"
        }
    ]
}

允许 Amazon Budgets 控制 Amazon 资源的广泛权限。

托管策略名称:AWSBudgetsActionsRolePolicyForResourceAdministrationWithSSM

此托管策略侧重于完成特定操作时 Amazon Budgets 代表您执行的特定操作。此策略授予 Amazon Budgets 控制 Amazon 资源的广泛权限。例如,通过运行 Amazon Systems Manager (SSM) 脚本启动和停止 Amazon EC2 或 Amazon RDS 实例。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstanceStatus",
                "ec2:StartInstances",
                "ec2:StopInstances",
                "rds:DescribeDBInstances",
                "rds:StartDBInstance",
                "rds:StopDBInstance"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "ssm.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartAutomationExecution"
            ],
            "Resource": "*"
        }
    ]
}