使用基于身份的策略(IAM 策略)进行成本管理 Amazon - Amazon 成本管理
Billing and Cost Management 操作策略托管策略策略更新
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用基于身份的策略(IAM 策略)进行成本管理 Amazon

注意

以下 Amazon Identity and Access Management (IAM) 操作已结束标准支持:

  • aws-portal 命名空间

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

如果您尚未将旧的 IAM 操作迁移到新的精细操作,则必须在 2024 年 3 月之前完成迁移。

如果您正在使用 Amazon Organizations,则可以使用批量策略迁移程序脚本从您的付款人账户更新政策。您还可以使用旧到精细操作映射参考来验证需要添加的 IAM 操作。

有关更多信息,请参阅Amazon 账单、 Amazon 成本管理和账户控制台权限变更博客。

如果您在 2023 年 11 月 16 日上午 11:00(太平洋夏令时)当天或之后 Amazon Organizations 创建了或参与其中,则细粒度的操作已经在您的组织中生效。 Amazon Web Services 账户

本主题提供了基于身份的策略的示例,这些示例展示了账户管理员如何将权限策略附加到 IAM 身份(即用户、组和角色),从而授予对账单和成本管理资源执行操作的权限。

有关 Amazon 账户和用户的完整讨论,请参阅什么是 IAM?IAM 用户指南中。

有关如何能更新客户管理型策略的说明,请参阅 IAM 用户指南中的编辑客户管理型策略(控制台)

Billing and Cost Management 操作策略

此表总结了允许或拒绝 用户访问您的账单信息和工具的权限。有关使用这些权限的策略示例,请参阅Amazon 成本管理政策示例

有关账单控制台操作策略的列表,请参阅账单用户指南中的账单操作策略

权限名称 描述

aws-portal:ViewBilling

允许或拒绝用户查看以下账单和成本管理控制台页面的权限。有关策略示例,请参阅账单用户指南中的允许 IAM 用户查看您的账单信息
aws-portal:ViewUsage

允许或拒绝用户查看 Amazon 使用情况报告的权限。

要允许用户查看使用率报告,您必须同时允许 ViewUsageViewBilling

有关策略示例,请参阅账单用户指南中的允许 IAM 用户访问报告控制台页面

aws-portal:ModifyBilling

允许或拒绝 用户修改以下账单和成本管理控制台页面的权限:

要允许用户修改这些控制台页面,您必须同时允许 ModifyBillingViewBilling。有关策略示例,请参阅允许用户修改账单信息

aws-portal:ViewAccount

允许或拒绝 用户查看以下账单和成本管理控制台页面的权限:
aws-portal:ModifyAccount

允许或拒绝用户修改账户设置的权限。

要允许用户修改账户设置,您必须同时允许 ModifyAccountViewAccount

有关显式拒绝、用户访问账户设置控制台页面的策略的示例,请参阅 拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息
budgets:ViewBudget

允许或拒绝用户查看预算的权限。

要允许用户查看预算,您还必须允许 ViewBilling
budgets:ModifyBudget

允许或拒绝用户修改预算的权限。

要允许用户查看和修改预算,您还必须允许ViewBilling
ce:GetPreferences

允许或拒绝用户查看 Cost Explorer 首选项页面的权限。

有关策略示例,请参阅查看和更新 Cost Explorer 首选项页面
ce:UpdatePreferences

允许或拒绝用户更新 Cost Explorer 首选项页面的权限。

有关策略示例,请参阅查看和更新 Cost Explorer 首选项页面
ce:DescribeReport

允许或拒绝用户查看 Cost Explorer 报告页面的权限。

有关策略示例,请参阅使用 Cost Explorer 报告页面查看、创建、更新和删除
ce:CreateReport

允许或拒绝用户使用 Cost Explorer 报告页面创建报告的权限。

有关策略示例,请参阅使用 Cost Explorer 报告页面查看、创建、更新和删除
ce:UpdateReport

允许或拒绝用户使用 Cost Explorer 报告页面更新的权限。

有关策略示例,请参阅使用 Cost Explorer 报告页面查看、创建、更新和删除
ce:DeleteReport

允许或拒绝用户使用 Cost Explorer 报告页面删除报告的权限。

有关策略示例,请参阅使用 Cost Explorer 报告页面查看、创建、更新和删除
ce:DescribeNotificationSubscription

允许或拒绝用户在预留概览页面中查看 Cost Explorer 预留到期提醒的权限。

有关策略示例,请参阅查看、创建、更新和删除预留和 Savings Plans 提醒
ce:CreateNotificationSubscription

允许或拒绝用户在预留概览页面中创建 Cost Explorer 预留到期提醒的权限。

有关策略示例,请参阅查看、创建、更新和删除预留和 Savings Plans 提醒
ce:UpdateNotificationSubscription

允许或拒绝用户在预留概览页面中更新 Cost Explorer 预留到期提醒的权限。

有关策略示例,请参阅查看、创建、更新和删除预留和 Savings Plans 提醒
ce:DeleteNotificationSubscription

允许或拒绝用户在预留概览页面中删除 Cost Explorer 预留到期提醒的权限。

有关策略示例,请参阅查看、创建、更新和删除预留和 Savings Plans 提醒
ce:CreateCostCategoryDefinition

允许或拒绝 用户创建成本类别的权限。

有关策略示例,请参阅账单用户指南中的查看和管理成本类别

在此期间,您可以将资源标签添加到监控 Create。要创建带有资源标签的监控,您需要 ce:TagResource 权限。
ce:DeleteCostCategoryDefinition

允许或拒绝 用户删除成本类别的权限。

有关策略示例,请参阅账单用户指南中的查看和管理成本类别
ce:DescribeCostCategoryDefinition

允许或拒绝 用户查看成本类别的权限。

有关策略示例,请参阅账单用户指南中的查看和管理成本类别
ce:ListCostCategoryDefinitions

允许或拒绝 用户列出成本类别的权限。

有关策略示例,请参阅账单用户指南中的查看和管理成本类别
ce:ListTagsForResource

允许或拒绝用户列出给定资源的所有资源标签的权限。有关支持的资源列表,请参阅 Amazon Billing and Cost Management API 参考ResourceTag中的。
ce:UpdateCostCategoryDefinition

允许或拒绝 用户更新成本类别的权限。

有关策略示例,请参阅账单用户指南中的查看和管理成本类别
ce:CreateAnomalyMonitor

允许或拒绝用户创建单个 “ Amazon 成本异常检测” 监控器的权限。在此期间,您可以将资源标签添加到监控 Create。要创建带有资源标签的监控,您需要 ce:TagResource 权限。
ce:GetAnomalyMonitors

允许或拒绝用户查看所有 Amazon 成本异常检测监控器的权限。
ce:UpdateAnomalyMonitor

允许或拒绝用户更新 Amazon 成本异常情况检测监控的权限。
ce:DeleteAnomalyMonitor

允许或拒绝用户删除 Amazon 成本异常情况检测监控的权限。
ce:CreateAnomalySubscription

允许或拒绝用户创建 Amazon 成本异常检测单一订阅的权限。您可以在此期间为订阅添加资源标签 Create。要创建带有资源标签的订阅,您需要该 ce:TagResource 权限。
ce:GetAnomalySubscriptions

允许或拒绝用户查看 Amazon 成本异常检测的所有订阅的权限。
ce:UpdateAnomalySubscription

允许或拒绝用户更新 Amazon 成本异常情况检测订阅的权限。
ce:DeleteAnomalySubscription

允许或拒绝用户删除 Amazon 成本异常情况检测订阅的权限。
ce:GetAnomalies

允许或拒绝用户查看 Amazon 成本异常检测中所有异常的权限。
ce:ProvideAnomalyFeedback

允许或拒绝用户就检测到 Amazon 的成本异常检测提供反馈的权限。
ce:TagResource

允许或拒绝用户向资源添加资源标签键值对的权限。有关支持的资源列表,请参阅 Amazon Billing and Cost Management API 参考ResourceTag中的。
ce:UntagResource

允许或拒绝用户从资源中删除资源标签的权限。有关支持的资源列表,请参阅 Amazon Billing and Cost Management API 参考ResourceTag中的。

托管策略

注意

以下 Amazon Identity and Access Management (IAM) 操作已结束标准支持:

  • aws-portal 命名空间

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

如果您尚未将旧的 IAM 操作迁移到新的精细操作,则必须在 2024 年 3 月之前完成迁移。

如果您正在使用 Amazon Organizations,则可以使用批量策略迁移程序脚本从您的付款人账户更新政策。您还可以使用旧到精细操作映射参考来验证需要添加的 IAM 操作。

有关更多信息,请参阅Amazon 账单、 Amazon 成本管理和账户控制台权限变更博客。

如果您在 2023 年 11 月 16 日上午 11:00(太平洋夏令时)当天或之后 Amazon Organizations 创建了或参与其中,则细粒度的操作已经在您的组织中生效。 Amazon Web Services 账户

托管策略是基于身份的独立策略,您可以将其附加到账户 Amazon 中的多个用户、群组和角色。在 Billing and Billing and Cost Management 中,您可以使用 Amazon 托管策略来控制访问权限。

Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管策略旨在为许多常见用例提供权限。 Amazon 与必须自己编写策略相比,托管策略使您可以更轻松地为用户、组和角色分配适当的权限。

您无法更改 Amazon 托管策略中定义的权限。 Amazon 偶尔会更新 Amazon 托管策略中定义的权限。当发生此情况时,更新会影响策略附加到的所有委托人实体(用户、组和角色)。

Billing and Cost Managem Amazon ent 为常见用例提供了多种托管策略。

允许完全访问 Amazon 预算,包括预算操作

托管策略名称:AWSBudgetsActionsWithAWSResourceControlAccess

此托管策略以用户为中心,确保您拥有适当的权限,可以授予 Amazon 预算执行定义操作的权限。此政策提供对 Amazon 预算(包括预算操作)的完全访问权限,以检索您的政策状态并使用管理 Amazon 资源 Amazon Web Services Management Console。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "budgets:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "budgets.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ModifyBilling",
                "ec2:DescribeInstances",
                "iam:ListGroups",
                "iam:ListPolicies",
                "iam:ListRoles",
                "iam:ListUsers",
                "organizations:ListAccounts",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListPolicies",
                "organizations:ListRoots",
                "rds:DescribeDBInstances",
                "sns:ListTopics"
            ],
            "Resource": "*"
        }
    ]
}

允许对 Amazon Budgets 进行只读访问

托管策略名称:AWSBudgetsReadOnlyAccess

此托管策略允许通过对 Amazon 预算进行只读访问 Amazon Web Services Management Console。该策略可以附加到您的用户、组和角色。

{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid": "AWSBudgetsReadOnlyAccess",
      "Effect" : "Allow",
      "Action" : [
        "aws-portal:ViewBilling",
        "budgets:ViewBudget",
        "budgets:Describe*"
        "budgets:ListTagsForResource"
      ],
      "Resource" : "*"
    }
  ]
}

允许控制 Amazon 资源的权限

托管策略名称:AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM

此托管政策侧重于 Budg Amazon ets 在完成特定操作时代表您采取的具体行动。此策略授予控制 Amazon 资源的权限。例如,通过运行 S Amazon ystems Manager (SSM) 脚本来启动和停止 Amazon EC2 或 Amazon RDS 实例。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstanceStatus",
                "ec2:StartInstances",
                "ec2:StopInstances",
                "rds:DescribeDBInstances",
                "rds:StartDBInstance",
                "rds:StopDBInstance"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "ssm.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartAutomationExecution"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:automation-definition/AWS-StartEC2Instance:*",
                "arn:aws:ssm:*:*:automation-definition/AWS-StopEC2Instance:*",
                "arn:aws:ssm:*:*:automation-definition/AWS-StartRdsInstance:*",
                "arn:aws:ssm:*:*:automation-definition/AWS-StopRdsInstance:*"
            ]
        }
    ]
}

允许成本优化中心调用使服务正常运行所需的服务

托管策略名称:CostOptimizationHubServiceRolePolicy

允许成本优化中心检索组织信息并收集与优化相关的数据和元数据。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AwsOrgsAccess",
            "Effect": "Allow",
            "Action":  [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListParents",
                "organizations:DescribeOrganizationalUnit"
            ],
            "Resource":  [
                "*" 
            ]
        },
        {
            "Sid": "AwsOrgsScopedAccess",
            "Effect": "Allow",
            "Action":  [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*",
            "Condition": { 
                "StringLikeIfExists": {
                    "organizations:ServicePrincipal": [ "cost-optimization-hub.bcm.amazonaws.com" ]
                }
            }
        },
        {
            "Sid": "CostExplorerAccess",
            "Effect": "Allow",
            "Action": [
                "ce:ListCostAllocationTags",
                "ce:GetCostAndUsage"
            ],
            "Resource":  [
                "*" 
            ]
        }
    ]
}

有关更多信息,请参阅成本优化中心的服务相关角色

允许对成本优化中心进行只读访问

托管策略名称:CostOptimizationHubReadOnlyAccess

此托管式策略提供对成本优化中心的只读访问权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CostOptimizationHubReadOnlyAccess",
            "Effect": "Allow",
            "Action": [
                "cost-optimization-hub:ListEnrollmentStatuses",
                "cost-optimization-hub:GetPreferences",
                "cost-optimization-hub:GetRecommendation",
                "cost-optimization-hub:ListRecommendations",
                "cost-optimization-hub:ListRecommendationSummaries"
            ],
            "Resource": "*"
        }
    ]
}

允许对成本优化中心进行管理员访问

托管策略名称:CostOptimizationHubAdminAccess

此托管式策略提供对成本优化中心的管理员访问权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CostOptimizationHubAdminAccess",
            "Effect": "Allow",
            "Action": [
                "cost-optimization-hub:ListEnrollmentStatuses",
                "cost-optimization-hub:UpdateEnrollmentStatus",
                "cost-optimization-hub:GetPreferences",
                "cost-optimization-hub:UpdatePreferences",
                "cost-optimization-hub:GetRecommendation",
                "cost-optimization-hub:ListRecommendations",
                "cost-optimization-hub:ListRecommendationSummaries",
                "organizations:EnableAWSServiceAccess"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowCreationOfServiceLinkedRoleForCostOptimizationHub",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/cost-optimization-hub.bcm.amazonaws.com/AWSServiceRoleForCostOptimizationHub"
            ],
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "cost-optimization-hub.bcm.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AllowAWSServiceAccessForCostOptimizationHub",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "organizations:ServicePrincipal": [
                        "cost-optimization-hub.bcm.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

允许拆分成本分配数据调用使服务正常运行所需的服务

托管策略名称:SplitCostAllocationDataServiceRolePolicy

允许拆分成本分配数据检索 Amazon Organizations 信息(如果适用),并收集客户选择加入的分割成本分配数据服务的遥测数据。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AwsOrganizationsAccess",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListParents"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonManagedServiceForPrometheusAccess",
            "Effect": "Allow",
            "Action": [
                "aps:ListWorkspaces",
                "aps:QueryMetrics"
            ],
            "Resource": "*"
        }
    ]
}

有关更多信息,请参阅拆分成本分配数据的服务相关角色

允许数据导出访问其他 Amazon 服务

托管策略名称:AWSBCMDataExportsServiceRolePolicy

允许数据导出代表您访问其他 Amazon 服务,例如成本优化中心。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CostOptimizationRecommendationAccess",
            "Effect": "Allow",
            "Action":  [
                "cost-optimization-hub:ListEnrollmentStatuses",
                "cost-optimization-hub:ListRecommendations"
            ],
            "Resource": "*" 
        }
    ]
}

有关更多信息,请参阅 Data Exports 的服务相关角色

Amazon 成本管理对 Amazon 托管政策的更新

查看自该服务开始跟踪 Amazon 成本管理 Amazon 托管政策变更以来这些更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “ Amazon 成本管理文档历史记录” 页面上的 RSS feed。

更改 描述 日期

更新现有策略

CostOptimizationHubServiceRolePolicy

 我们更新了策略,添加了 organizations:ListDelegatedAdministratorsce:GetCostAndUsage 操作。 07/05/2024

更新现有策略

AWSBudgetsReadOnlyAccess

 我们更新了策略,添加了 budgets:ListTagsForResource 操作。 06/17/2024

添加了一个新策略

AWSBCMDataExportsServiceRolePolicy

 Data Exports 添加了一项用于服务相关角色的新策略,该策略允许访问其他 Amazon 服务,例如成本优化中心。 06/10/2024

添加了一个新策略

SplitCostAllocationDataServiceRolePolicy

 拆分成本分配数据添加了用于服务相关角色的新策略,该策略允许访问由拆分成本分配数据使用或管理的 Amazon 服务和资源。 04/16/2024

更新现有策略

AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM

 我们更新了策略,缩小了权限范围。仅允许对预算操作使用的特定资源执行 ssm:StartAutomationExecution 操作。 12/14/2023

更新现有策略

CostOptimizationHubReadOnlyAccess

CostOptimizationHubAdminAccess

 成本优化中心更新了以下两个托管式策略:

  • CostOptimizationHubReadOnlyAccess:修复了 GetRecommendation “” 中的错字;删除了 SLR 策略所涵盖的权限。

  • CostOptimizationHubAdminAccess:修复了 GetRecommendation “” 中的错字;删除了 SLR 策略所涵盖的权限;增加了启用服务访问和创建 SLR 的权限,以便该策略提供选择加入和使用成本优化中心的所有必要权限。

 12/14/2023

添加了一个新策略

CostOptimizationHubServiceRolePolicy

 成本优化中心添加了一项用于服务相关角色的新策略,该策略允许访问成本优化中心使用或管理的 Amazon 服务和资源。 11/02/2023
Amazon 成本管理部门开始跟踪变更 Amazon 成本管理部门开始跟踪其 Amazon 托管政策的变更 11/02/2023