本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将基于身份的策略(IAM 策略)用于Amazon成本管理
本主题提供了基于身份的策略的示例,这些示例展示了账户管理员如何将权限策略附加到 IAM 身份(即用户、组和角色),从而授予对 Billing and Cost Management 资源执行操作的权限。
有关 Amazon 账户和 IAM 用户的全面讨论,请参阅 IAM 用户指南中的什么是 IAM?。
有关您可以如何更新客户托管策略的信息,请参阅编辑客户托管策略(控制台)中的IAM 用户指南.
Billing and Cost Management 操作策略
此表总结了允许或拒绝 IAM 用户访问您的账单信息和工具的权限。有关使用这些权限的策略示例,请参阅Amazon成本管理策略示例。
有关 Billing an 控制台的操作策略列表,请参阅账单操作策略中的账单用户指南.
| 权限名称 | 描述 |
|---|---|
|
|
允许或拒绝 IAM 用户查看以下 Billing and Cost Management 控制台页面的权限。有关策略示例,请参阅。允许 IAM 用户查看您的账单信息中的账单用户指南.. |
aws-portal:ViewUsage |
允许或拒绝 IAM 用户查看 Amazon 使用情况报告 要允许 IAM 用户查看使用情况报告,您必须同时允许 有关策略示例,请参阅。允许 IAM 用户访问报告控制台页面中的账单用户指南. |
|
|
允许或拒绝 IAM 用户修改以下账单和成本管理控制台页面的权限: 要允许 IAM 用户修改这些控制台页面,您必须同时允许 |
|
|
允许或拒绝 IAM 用户查看以下账单和成本管理控制台页面的权限: |
aws-portal:ModifyAccount |
允许或拒绝 IAM 用户修改 Account Settings 要允许 IAM 用户修改账户设置,您必须同时允许 有关显式拒绝 IAM 用户访问 Account Settings(账户设置)控制台页面的策略的示例,请参阅 拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息。 |
budgets:ViewBudget |
允许或拒绝 IAM 用户查看 Budgets 要允许 IAM 用户查看预算,您还必须允许 |
budgets:ModifyBudget |
允许或拒绝 IAM 用户修改 Budgets 要允许 IAM 用户查看和修改预算,您还必须允许 |
ce:GetPreferences |
允许或拒绝 IAM 用户查看 Cost Explorer 首选项页面的权限。 有关策略示例,请参阅 查看和更新 Cost Explorer 首选项页面。 |
ce:UpdatePreferences |
允许或拒绝 IAM 用户更新 Cost Explorer 首选项页面的权限。 有关策略示例,请参阅 查看和更新 Cost Explorer 首选项页面。 |
ce:DescribeReport |
允许或拒绝 IAM 用户查看 Cost Explorer 报告页面的权限。 有关策略示例,请参阅 使用 Cost Explorer 报告页面查看、创建、更新和删除。 |
ce:CreateReport |
允许或拒绝 IAM 用户使用 Cost Explorer 报告页面创建报告的权限。 有关策略示例,请参阅 使用 Cost Explorer 报告页面查看、创建、更新和删除。 |
ce:UpdateReport |
允许或拒绝 IAM 用户使用 Cost Explorer 报告页面更新的权限。 有关策略示例,请参阅 使用 Cost Explorer 报告页面查看、创建、更新和删除。 |
ce:DeleteReport |
允许或拒绝 IAM 用户使用 Cost Explorer 报告页面删除报告的权限。 有关策略示例,请参阅 使用 Cost Explorer 报告页面查看、创建、更新和删除。 |
ce:DescribeNotificationSubscription |
允许或拒绝 IAM 用户在预留概览页面中查看 Cost Explorer 预留到期提醒的权限。 有关策略示例,请参阅 查看、创建、更新和删除预留和 Savings Plans 提醒。 |
ce:CreateNotificationSubscription |
允许或拒绝 IAM 用户在预留概览页面中创建 Cost Explorer 预留到期提醒的权限。 有关策略示例,请参阅 查看、创建、更新和删除预留和 Savings Plans 提醒。 |
ce:UpdateNotificationSubscription |
允许或拒绝 IAM 用户在预留概览页面中更新 Cost Explorer 预留到期提醒的权限。 有关策略示例,请参阅 查看、创建、更新和删除预留和 Savings Plans 提醒。 |
ce:DeleteNotificationSubscription |
允许或拒绝 IAM 用户在预留概览页面中删除 Cost Explorer 预留到期提醒的权限。 有关策略示例,请参阅 查看、创建、更新和删除预留和 Savings Plans 提醒。 |
ce:CreateCostCategoryDefinition |
允许或拒绝 IAM 用户创建成本类别的权限。 有关策略示例,请参阅。查看和管理成本类别中的账单用户指南. |
ce:DeleteCostCategoryDefinition |
允许或拒绝 IAM 用户删除成本类别的权限。 有关策略示例,请参阅。查看和管理成本类别中的账单用户指南. |
ce:DescribeCostCategoryDefinition |
允许或拒绝 IAM 用户查看成本类别的权限。 有关策略示例,请参阅。查看和管理成本类别中的账单用户指南. |
ce:ListCostCategoryDefinitions |
允许或拒绝 IAM 用户列出成本类别的权限。 有关策略示例,请参阅。查看和管理成本类别中的账单用户指南. |
ce:UpdateCostCategoryDefinition |
允许或拒绝 IAM 用户更新成本类别的权限。 有关策略示例,请参阅。查看和管理成本类别中的账单用户指南. |
ce:CreateAnomalyMonitor |
允许或拒绝 IAM 用户创建单个 Amazon Cost Anomaly Detection 监控的权限。 |
ce:GetAnomalyMonitors |
允许或拒绝 IAM 用户查看所有 Amazon Cost Anomaly Detection 监控的权限。 |
ce:UpdateAnomalyMonitor |
允许或拒绝 IAM 用户更新 Amazon Cost Anomaly Detection 监控的权限。 |
ce:DeleteAnomalyMonitor |
允许或拒绝 IAM 用户删除 Amazon Cost Anomaly Detection 监控的权限。 |
ce:CreateAnomalySubscription |
允许或拒绝 IAM 用户创建单个 Amazon Cost Anomaly Detection 订阅的权限。 |
ce:GetAnomalySubscriptions |
允许或拒绝 IAM 用户查看所有 Amazon Cost Anomaly Detection 订阅的权限。 |
ce:UpdateAnomalySubscription |
允许或拒绝 IAM 用户更新 Amazon Cost Anomaly Detection 订阅的权限。 |
ce:DeleteAnomalySubscription |
允许或拒绝 IAM 用户删除 Amazon Cost Anomaly Detection 订阅的权限。 |
ce:GetAnomalies |
允许或拒绝 IAM 用户在 Amazon Cost Anomaly Detection 中查看所有异常的权限。 |
ce:ProvideAnomalyFeedback |
允许或拒绝 IAM 用户为检测到的 Amazon Cost Anomaly Detection 提供反馈的权限。 |
托管策略
托管策略是基于身份的独立策略,可以将其附加到 Amazon 账户中的多个用户、组和角色。您可以使用 Amazon 托管策略来控制 Billing and Cost Management 中的访问权限。
网络 ACL 和安全组都允许 (因此可到达您的实例) 的发起 ping 的Amazon托管策略是由创建和管理的独立策略。Amazon.Amazon托管策略可用于为很多常用案例提供权限。Amazon与必须自己编写策略相比,通过 托管策略可以更轻松地将适当的权限分配给用户、组和角色。
您无法更改中定义的权限Amazon托管策略。Amazon有时会更新中定义的权限Amazon托管策略。当发生此情况时,更新会影响策略附加到的所有委托人实体(用户、组和角色)。
Billing and Cost Management 为常见使用案例提供了多个 Amazon 托管策略。
允许对 Amazon Budgets(包括预算操作)的完全访问权限
托管策略名称:AWSBudgetsActionsWithAWSResourceControlAccess
此托管策略专注于用户,以确保您拥有适当的权限来授予以下权限:Amazon用于运行定义操作的预算。此策略提供了Amazon使用检索策略状态和运行的预算(包括预算操作)Amazon使用的资源Amazon Web Services Management Console.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "budgets:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "budgets.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "aws-portal:ModifyBilling", "ec2:DescribeInstances", "iam:ListGroups", "iam:ListPolicies", "iam:ListRoles", "iam:ListUsers", "organizations:ListAccounts", "organizations:ListOrganizationalUnitsForParent", "organizations:ListPolicies", "organizations:ListRoots", "rds:DescribeDBInstances", "sns:ListTopics" ], "Resource": "*" } ] }
允许 Amazon Budgets 控制 Amazon 资源的广泛权限。
托管策略名称:AWSBudgetsActionsRolePolicyForResourceAdministrationWithSSM
此托管策略侧重于完成特定操作时 Amazon Budgets 代表您执行的特定操作。此策略授予 Amazon Budgets 控制 Amazon 资源的广泛权限。例如,通过运行 Amazon Systems Manager (SSM) 脚本启动和停止 Amazon EC2 或 Amazon RDS 实例。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "ssm.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ssm:StartAutomationExecution" ], "Resource": "*" } ] }