为成本和使用情况报告设置 Amazon S3 存储桶 - Amazon 成本和使用情况报告
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为成本和使用情况报告设置 Amazon S3 存储桶

要接收账单报告,您的Amazon账户中必须有一个 Amazon S3 存储桶才能接收和存储您的报告。在账单控制台中创建成本和使用情况报告时,您可以选择自己拥有的现有 Amazon S3 存储桶或创建新的存储桶。无论哪种情况,都将要求您查看并确认以下默认存储桶策略的应用。在 Amazon S3 控制台中编辑此策略或在创建成本和使用情况报告后更改存储桶所有者将导致无法提交报告。Amazon将账单报告数据存储在您的 Amazon S3 存储桶中是按标准的 Amazon S3 费率计费的。有关更多信息,请参阅配额和限制

创建成本和使用情况报告时,以下策略适用于每个存储桶:

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "billingreports.amazonaws.com"
            },
            "Action": [
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy"
            ],
            "Resource":"arn:aws-cn:s3:::DOC-EXAMPLE-BUCKET",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws-cn:cur:cn-northwest-1:${AccountId}:definition/*",
                    "aws:SourceAccount": "${AccountId}"
                }
            }
        },
        {
            "Sid": "Stmt1335892526596",
            "Effect": "Allow",
            "Principal": {
                "Service": "billingreports.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws-cn:s3:::DOC-EXAMPLE-BUCKET/*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws-cn:cur:cn-northwest-1:${AccountId}:definition/*",
                    "aws:SourceAccount": "${AccountId}"
                }
            }
        }
    ]
}

此默认策略有助于确保存储桶拥有者可以读取成本和使用情况报告数据,并确认该存储桶归创建成本和使用情况报告的账户所有。具体来说:

  • 每次交付成本和使用情况报告时,Amazon首先确认存储桶是否仍归设置该报告的账户所有。如果存储桶所有权已更改,则报告将无法交付。这有助于确保账户账单数据的安全性。此存储桶策略允许 Amazon ("Effect": "Allow") 检查哪个账户拥有该存储桶 ("Action": ["s3:GetBucketAcl", "s3:GetBucketPolicy")。

  • 要将报告传送到您的 Amazon S3 存储桶,Amazon需要该存储桶的写入权限。为此,存储桶策略授予 ("Effect": "Allow") Amazon 成本和使用情况报告服务 ("Service": "billingreports.amazonaws.com") 向您拥有的存储桶 ("Action": "s3:PutObject") 交付 ("Resource": "arn:aws-cn:s3:::DOC-EXAMPLE-BUCKET/*") 报告的权限。

    此存储桶策略不授予在您的存储桶中读取或删除任何对象的Amazon权限,包括交付后的成本和使用情况报告。

  • 对于启用了 ACL 的 Amazon S3 存储桶,在提交报告时会Amazon进一步BucketOwnerFullControl将 ACL 应用于报告。默认情况下,诸如这些报告之类的 Amazon S3 对象只能由编写它们的用户或服务主体读取。要向您或存储桶所有者提供阅读报告的权限,Amazon必须应用 BucketOwnerFullControl ACL。ACL 向存储桶所有者授Permission.FullControl予这些报告的权限。但是,建议禁用 ACL 并使用 Amazon S3 存储桶策略来控制访问权限。请注意,Amazon S3 已更改默认设置,对于新创建的存储桶,ACL 在默认情况下处于禁用状态。有关更多信息,请参阅 Controlling ownership of objects and disabling ACLs for your bucket(为您的桶控制对象所有权和禁用 ACL)。

如果您在账单控制台中看到 “成本和使用情况报告” 的存储桶无效错误,则应验证该策略和存储桶所有权在报告设置后是否未更改。