控制 Cost Explorer 访问权限 - Amazon 成本管理
授予 Cost Explorer 访问权限使用 Cost Explorer 首选项控制访问权限用户访问 Cost Explorer
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

控制 Cost Explorer 访问权限

您可以通过以下方式管理对 Cost Explorer 的访问:

  • 管理账户可以作为根用户启用 Cost Explorer,自动启用所有成员账户。

  • 启用成员账户后,您可以从管理账户中更改 Cost Explorer 设置。您可以控制在 Cost Explorer 中可以访问的信息。这包括成本、退款或积分、折扣和预留实例建议。

  • 在管理账户级别启用 Cost Explorer 后,您可以管理用户 IAM policy。例如,您可以授予 Cost Explorer 访问权限,也可以拒绝用户访问 Cost Explorer。

本主题提供有关如何在 Cost Explorer 中控制访问的详细信息。

有关管理对 Billing and Cost Management 页面的访问权限的更多信息,请参阅 管理访问权限的概述

要参考 Cost Explorer IAM 策略,请参阅 使用基于身份的策略(IAM 策略)进行成本管理 Amazon

有关整合账单的更多信息,请参阅Amazon Organizations 整合账单

授予 Cost Explorer 访问权限

如果您使用根账户凭证登录管理账户,则可以启用 Cost Explorer 访问权限。您的根账户凭证通过账单和成本管理控制台提供。在管理账户级别启用 Cost Explorer 可为所有组织账户启用 Cost Explorer。组织中的所有账户都被授予访问权限,您无法单独授予或拒绝访问权限。

使用 Cost Explorer 首选项控制访问权限

管理账户可以为所有成员账户或不为任何成员账户授予对 Cost Explorer 的访问权限。无法为每个成员账户自定义访问权限。

Amazon Organizations 中的管理账户可以完全访问管理账户和成员账户产生的费用的所有 Billing and Cost Management 信息。成员账户只能访问 Cost Explorer 中自己的成本和使用情况数据。

默认情况下,Amazon Organizations 中的管理账户按应计费率查看所有成本。如果组织加入 Billing Conductor,则管理账户也会按形式费率查看成本。成员账户的 Cost Explorer 视图取决于 Billing Conductor 中的配置。

管理账户的所有者可以:

  • 在 Cost Explorer 中查看所有成本。

  • 授予所有成员账户查看其成员账户、退款账、信用和 RI 建议的费用的权限。

成员账户所有者无法查看 Organizations 中其他账户的费用、退款和 RI 建议。有关整合账单的更多信息,请参阅Amazon Organizations 整合账单

如果您是 Amazon Web Services 账户 账户所有者而未使用整合账单,则您将对所有账单和成本管理信息(包括 Cost Explorer)具有完全访问权限。

如果您已加入 Billing Conductor,则成员账户的 Cost Explorer 视图取决于成员账户是否属于账单组。

如果成员账户属于账单组:

  • 成员账户按形式费率查看所有费用。

  • Cost Explorer 偏好,例如关联账户访问权限关联账户退款和积分关联账户折扣每小时和资源等级数据以及拆分成本分配数据,不适用于成员账户。

如果成员账户不属于账单组:

  • 成员账户按应收费率查看费用。

  • Cost Explorer 偏好设置适用于成员账户。

有关 Billing Conductor 的更多信息,请参阅 Billing Conductor 用户指南

Organizations 账户状态使用案例

组织的账户状态会影响按以下方式显示的成本和使用情况数据:

  • 某个独立账户加入了该组织。此后,该账户将无法再访问该账户为独立账户时的成本和使用数据。

  • 成员账户离开组织成为独立账户。此后,该账户将无法再访问该账户为先前组织成员时的成本和使用情况数据。该账户只能访问作为独立账户生成的数据。

  • 如果某个成员账户离开组织 A 而加入组织 B,该账户不再有权访问其属于组织 A 的成本和使用情况数据。该账户只能访问作为组织 B 的成员生成的数据。

  • 某个账户重新加入其先前所属的组织。此后,该账户可以重新访问其历史成本和使用数据。

使用 Cost Explorer 首选项控制成员账户的访问权限

您可以授予或限制对 Organizations 中所有成员账户的访问权限。在管理账户级别启用账户时,默认情况下会授予所有成员账户访问其成本和使用情况数据的权限。

控制成员账户对 Cost Explorer 数据的访问

  1. 登录 Amazon Web Services Management Console,打开 Amazon 成本管理控制台:https://console.aws.amazon.com/cost-management/home

  2. 在导航窗格中,选择 Preferences

  3. 首选项页面上,选择或清除关联账户访问复选框。

  4. 选择 Save(保存)。

用户访问 Cost Explorer

在管理账户级别启用 Cost Explorer 后,您可以使用 IAM 管理对各个 IAM 用户的账单数据的访问权限。然后,您可以为每个账户授予或撤消个人级别的访问权限,而不是授予对所有成员账户的访问权限。

IAM 用户必须获得显式权限才能查看账单和成本管理控制台中的页面。拥有相应权限之后,用户便可以查看其所属的 Amazon 账户的成本。有关向用户授予所需权限的策略,请参阅管理访问权限的概述