为 Amazon 成本管理使用基于身份的策略 (IAM policy)
注意
以下 Amazon Identity and Access Management(IAM)操作已终止标准支持:
-
aws-portal命名空间 -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
如果您尚未将旧的 IAM 操作迁移到新的精细操作,则必须在 2024 年 3 月之前完成迁移。
如果您使用的是 Amazon Organizations,则可以使用批量策略迁移程序脚本从付款人账户更新策略。您还可以使用旧到精细操作映射参考来验证需要添加的 IAM 操作。
有关更多信息,请参阅 Changes to Amazon Billing, Amazon Cost Management, and Account Consoles Permission
如果您的 Amazon Web Services 账户是在 2023 年 11 月 16 日上午 11:00(太平洋夏令时)或之后创建的,或者您是在该日期或之后创建的 Amazon Organizations 的成员,则精细操作已经在您的组织内生效。
本主题提供了基于身份的策略的示例,这些示例展示了账户管理员如何将权限策略附加到 IAM 身份(即用户、组和角色),从而授予对账单和成本管理资源执行操作的权限。
有关 Amazon 账户和用户的全面讨论,请参阅 IAM 用户指南中的什么是 IAM?。
有关如何能更新客户管理型策略的说明,请参阅 IAM 用户指南中的编辑客户管理型策略(控制台)。
Billing and Cost Management 操作策略
此表总结了允许或拒绝 用户访问您的账单信息和工具的权限。有关使用这些权限的策略示例,请参阅Amazon 成本管理策略示例。
有关账单控制台操作策略的列表,请参阅账单用户指南中的账单操作策略。
| 权限名称 | 描述 |
|---|---|
|
|
允许或拒绝用户查看以下账单和成本管理控制台页面的权限。有关策略示例,请参阅账单用户指南中的允许 IAM 用户查看您的账单信息。 |
aws-portal:ViewUsage |
允许或拒绝用户查看 Amazon 使用率报告 要允许用户查看使用率报告,您必须同时允许 有关策略示例,请参阅账单用户指南中的允许 IAM 用户访问报告控制台页面。 |
|
|
允许或拒绝 用户修改以下账单和成本管理控制台页面的权限: 要允许用户修改这些控制台页面,您必须同时允许 |
|
|
允许或拒绝 用户查看以下账单和成本管理控制台页面的权限: |
aws-portal:ModifyAccount |
允许或拒绝用户修改账户设置 要允许用户修改账户设置,您必须同时允许 有关显式拒绝、用户访问账户设置控制台页面的策略的示例,请参阅 拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息。 |
budgets:ViewBudget |
允许或拒绝用户查看预算 要允许用户查看预算,您还必须允许 |
budgets:ModifyBudget |
允许或拒绝用户修改预算 要允许用户查看和修改预算,您还必须允许 |
ce:GetPreferences |
允许或拒绝用户查看 Cost Explorer 首选项页面的权限。 有关策略示例,请参阅 查看和更新 Cost Explorer 首选项页面。 |
ce:UpdatePreferences |
允许或拒绝用户更新 Cost Explorer 首选项页面的权限。 有关策略示例,请参阅 查看和更新 Cost Explorer 首选项页面。 |
ce:DescribeReport |
允许或拒绝用户查看 Cost Explorer 报告页面的权限。 有关策略示例,请参阅 使用 Cost Explorer 报告页面查看、创建、更新和删除。 |
ce:CreateReport |
允许或拒绝用户使用 Cost Explorer 报告页面创建报告的权限。 有关策略示例,请参阅 使用 Cost Explorer 报告页面查看、创建、更新和删除。 |
ce:UpdateReport |
允许或拒绝用户使用 Cost Explorer 报告页面更新的权限。 有关策略示例,请参阅 使用 Cost Explorer 报告页面查看、创建、更新和删除。 |
ce:DeleteReport |
允许或拒绝用户使用 Cost Explorer 报告页面删除报告的权限。 有关策略示例,请参阅 使用 Cost Explorer 报告页面查看、创建、更新和删除。 |
ce:DescribeNotificationSubscription |
允许或拒绝用户在预留概览页面中查看 Cost Explorer 预留到期提醒的权限。 有关策略示例,请参阅 查看、创建、更新和删除预留和 Savings Plans 提醒。 |
ce:CreateNotificationSubscription |
允许或拒绝用户在预留概览页面中创建 Cost Explorer 预留到期提醒的权限。 有关策略示例,请参阅 查看、创建、更新和删除预留和 Savings Plans 提醒。 |
ce:UpdateNotificationSubscription |
允许或拒绝用户在预留概览页面中更新 Cost Explorer 预留到期提醒的权限。 有关策略示例,请参阅 查看、创建、更新和删除预留和 Savings Plans 提醒。 |
ce:DeleteNotificationSubscription |
允许或拒绝用户在预留概览页面中删除 Cost Explorer 预留到期提醒的权限。 有关策略示例,请参阅 查看、创建、更新和删除预留和 Savings Plans 提醒。 |
ce:CreateCostCategoryDefinition |
允许或拒绝 用户创建成本类别的权限。 有关策略示例,请参阅账单用户指南中的查看和管理成本类别。 在此期间,您可以将资源标签添加到监控 |
ce:DeleteCostCategoryDefinition |
允许或拒绝 用户删除成本类别的权限。 有关策略示例,请参阅账单用户指南中的查看和管理成本类别。 |
ce:DescribeCostCategoryDefinition |
允许或拒绝 用户查看成本类别的权限。 有关策略示例,请参阅账单用户指南中的查看和管理成本类别。 |
ce:ListCostCategoryDefinitions |
允许或拒绝 用户列出成本类别的权限。 有关策略示例,请参阅账单用户指南中的查看和管理成本类别。 |
ce:ListTagsForResource |
允许或拒绝用户列出给定资源的所有资源标签的权限。有关支持的资源列表,请参阅 Amazon 账单与成本管理 API 参考中的资源标签。 |
ce:UpdateCostCategoryDefinition |
允许或拒绝 用户更新成本类别的权限。 有关策略示例,请参阅账单用户指南中的查看和管理成本类别。 |
ce:CreateAnomalyMonitor |
允许或拒绝用户创建单个 Amazon 成本异常情况检测监控的权限。在此期间,您可以将资源标签添加到监控 |
ce:GetAnomalyMonitors |
允许或拒绝用户查看所有 Amazon 成本异常情况检测监控的权限。 |
ce:UpdateAnomalyMonitor |
允许或拒绝用户更新 Amazon 成本异常情况检测监控的权限。 |
ce:DeleteAnomalyMonitor |
允许或拒绝用户删除 Amazon 成本异常情况检测监控的权限。 |
ce:CreateAnomalySubscription |
允许或拒绝用户创建单个 Amazon 成本异常情况检测订阅的权限。您可以在此期间为订阅添加资源标签 |
ce:GetAnomalySubscriptions |
允许或拒绝用户查看所有 Amazon 成本异常情况检测订阅的权限。 |
ce:UpdateAnomalySubscription |
允许或拒绝用户更新 Amazon 成本异常情况检测订阅的权限。 |
ce:DeleteAnomalySubscription |
允许或拒绝用户删除 Amazon 成本异常情况检测订阅的权限。 |
ce:GetAnomalies |
允许或拒绝用户在 Amazon 成本异常情况检测中查看所有异常的权限。 |
ce:ProvideAnomalyFeedback |
允许或拒绝用户为检测到的 Amazon 成本异常情况检测提供反馈的权限。 |
ce:TagResource |
允许或拒绝用户向资源添加资源标签键值对的权限。有关支持的资源列表,请参阅 Amazon 账单与成本管理 API 参考中的资源标签。 |
ce:UntagResource |
允许或拒绝用户从资源中删除资源标签的权限。有关支持的资源列表,请参阅 Amazon 账单与成本管理 API 参考中的资源标签。 |
ce:GetCostAndUsageComparisons |
|
ce:GetCostComparisonDrivers |
账单与成本管理建议的操作策略
要开始使用建议的操作,您需要拥有下列核心权限:
-
bcm-recommended-actions:ListRecommendedActions
根据建议的操作类型,还需要授予其他权限。下表汇总了不同的建议操作类型以及查看建议操作所需的相应 IAM 策略权限。
注意
即使授予了 IAM 策略权限,也只有在建议的操作实际适用时才会看到相应的建议操作类型。
| 建议的操作类型 | 所需权限名称 | 描述 |
|---|---|---|
| 付款方式已过期 |
|
适用于付款相关的建议操作。 |
| 付款方式无效 |
|
适用于付款相关的建议操作。 |
| 付款逾期 |
|
适用于付款相关的建议操作。 |
| 到期付款 |
|
适用于付款相关的建议操作。 |
| 修复税务登记信息 |
|
适用于与税务设置相关的建议操作。 |
| 更新免税证明 |
|
适用于与税务设置相关的建议操作。 |
| 迁移到精细权限 |
|
适用于与 IAM 权限相关的建议操作。 |
| 查看预算警报 |
|
适用于与预算相关的建议操作。 |
| 查看超出预算 |
|
适用于与预算相关的建议操作。 |
| 查看免费套餐使用量提醒 |
|
适用于与免费套餐相关的建议操作。 |
| 查看异常 |
|
适用于与成本异常检测相关的建议操作。 |
| 查看即将到期的预留 |
|
适用于与成本优化相关的建议操作。 |
| 查看即将到期的节省计划 |
|
适用于与成本优化相关的建议操作。 |
| 查看节省机会建议 |
|
适用于与成本优化相关的建议操作。 |
| 启用成本优化中心 |
|
适用于与成本优化相关的建议操作。 |
| 创建预算 |
|
适用于与预算相关的建议操作。 |
| 创建预留预算 |
|
适用于与预算相关的建议操作。 |
| 创建节省计划预算 |
|
适用于与预算相关的建议操作。 |
| 添加备用账单联系人 |
|
适用于与账户相关的建议操作。 |
| 创建异常监控 |
|
适用于与成本异常检测相关的建议操作。 |
托管策略
注意
以下 Amazon Identity and Access Management(IAM)操作已终止标准支持:
-
aws-portal命名空间 -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
如果您尚未将旧的 IAM 操作迁移到新的精细操作,则必须在 2024 年 3 月之前完成迁移。
如果您使用的是 Amazon Organizations,则可以使用批量策略迁移程序脚本从付款人账户更新策略。您还可以使用旧到精细操作映射参考来验证需要添加的 IAM 操作。
有关更多信息,请参阅 Changes to Amazon Billing, Amazon Cost Management, and Account Consoles Permission
如果您的 Amazon Web Services 账户是在 2023 年 11 月 16 日上午 11:00(太平洋夏令时)或之后创建的,或者您是在该日期或之后创建的 Amazon Organizations 的成员,则精细操作已经在您的组织内生效。
托管策略是基于身份的独立策略,可以将其附加到 Amazon 账户中的多个用户、组和角色。您可以使用 Amazon 托管策略来控制 Billing and Cost Management 中的访问权限。
Amazon 托管策略是由 Amazon 创建和管理的独立策略。Amazon 托管策略可用于为很多常见使用案例提供权限。与必须自己编写策略相比,通过 Amazon 托管策略可以更轻松地将适当的权限分配给用户、组和角色。
您不能更改 Amazon 托管策略中定义的权限。Amazon 有时会更新 Amazon 托管策略中定义的权限。当发生此情况时,更新会影响策略附加到的所有委托人实体(用户、组和角色)。
Billing and Cost Management 为常见使用案例提供了多个 Amazon 托管策略。
主题
允许对 Amazon Budgets(包括预算操作)的完全访问权限
托管策略名称:AWSBudgetsActionsWithAWSResourceControlAccess
此管理策略以用户为中心,可确保您拥有向 Amazon Budgets 授予权限以运行定义的操作的适当权限。此策略提供对 Amazon Budgets 的完全访问权限(包括预算操作),以便检索策略状态和使用 Amazon Web Services 管理控制台 运行 Amazon 资源。
允许对 Amazon Budgets 进行只读访问
托管策略名称:AWSBudgetsReadOnlyAccess
此托管式策略允许通过 Amazon Web Services 管理控制台 对 Amazon Budgets 进行只读访问。该策略可以附加到您的用户、组和角色。
允许 Amazon Budgets 调用验证账单视图访问权限所需的服务
托管策略名称:BudgetsServiceRolePolicy
允许 Amazon Budgets 验证对跨账户界限共享的账单视图的访问权限。
有关更多信息,请参阅适用于 Budgets 的服务相关角色。
允许控制 Amazon 资源的权限
托管策略名称:AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM
此托管策略侧重于完成特定操作时 Amazon Budgets 代表您执行的特定操作。此策略授予控制 Amazon 资源的权限。例如,通过运行 Amazon Systems Manager (SSM) 脚本启动和停止 Amazon EC2 或 Amazon RDS 实例。
允许成本优化中心调用使服务正常运行所需的服务
托管策略名称:CostOptimizationHubServiceRolePolicy
允许成本优化中心检索组织信息并收集与优化相关的数据和元数据。
要查看此策略的权限,请参阅《Amazon 托管式策略参考指南》中的 CostOptimizationHubServiceRolePolicy。
有关更多信息,请参阅成本优化中心的服务相关角色。
允许对成本优化中心进行只读访问
托管策略名称:CostOptimizationHubReadOnlyAccess
此托管式策略提供对成本优化中心的只读访问权限。
允许对成本优化中心进行管理员访问
托管策略名称:CostOptimizationHubAdminAccess
此托管式策略提供对成本优化中心的管理员访问权限。
允许拆分成本分配数据调用使服务正常运行所需的服务
托管策略名称:SplitCostAllocationDataServiceRolePolicy
允许拆分成本分配数据检索 Amazon Organizations 信息(如果适用),并收集客户选择加入的拆分成本分配数据服务的遥测数据。
有关更多信息,请参阅拆分成本分配数据的服务相关角色。
允许数据导出访问其他 Amazon 服务
托管策略名称:AWSBCMDataExportsServiceRolePolicy
允许数据导出代表您访问其他 Amazon 服务(例如成本优化中心)。
有关更多信息,请参阅数据导出的服务相关角色。
Amazon 成本管理的 Amazon 托管式策略更新
查看有关自此服务开始跟踪这些更改以来 Amazon 成本管理的 Amazon 托管式策略更新的详细信息。有关此页面更改的自动提示,请订阅 Amazon 成本管理文档历史记录页面上的 RSS 源。
| 更改 | 描述 | 日期 |
|---|---|---|
|
添加了一个新策略 |
Budgets 添加了用于服务相关角色的新策略,该策略允许访问 Budgets 使用或管理的 Amazon 服务和资源。 | 08/06/2025 |
|
更新现有策略 |
我们更新了策略,添加了 ce:GetDimensionValues 操作。 |
07/23/2025 |
|
更新现有策略 |
我们更新了策略,添加了 organizations:ListDelegatedAdministrators 和 ce:GetCostAndUsage 操作。 |
07/05/2024 |
|
更新现有策略 |
我们更新了策略,添加了 budgets:ListTagsForResource 操作。 |
06/17/2024 |
|
添加了一个新策略 |
数据导出添加了一项用于服务相关角色的新策略,该策略允许访问其他 Amazon 服务,例如成本优化中心。 | 06/10/2024 |
|
添加了一个新策略 |
拆分成本分配数据添加了用于服务相关角色的新策略,该策略允许访问由拆分成本分配数据使用或管理的 Amazon 服务和资源。 | 04/16/2024 |
|
更新现有策略 AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM |
我们更新了策略,缩小了权限范围。仅允许对预算操作使用的特定资源执行 ssm:StartAutomationExecution 操作。 |
12/14/2023 |
|
更新现有策略 |
成本优化中心更新了以下两个托管式策略:
|
12/14/2023 |
|
添加了一个新策略 |
成本优化中心添加了用于服务相关角色的新策略,该策略允许访问成本优化中心使用或管理的 Amazon 服务和资源。 | 11/02/2023 |
| Amazon 成本管理开始跟踪更改 | Amazon 成本管理开始跟踪其 Amazon 托管式策略的更改 | 11/02/2023 |