Amazon Cost Explorer Service 的操作、资源和条件键 - 服务授权参考
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon Cost Explorer Service 的操作、资源和条件键

Amazon Cost Explorer Service(服务前缀:ce)提供以下可用于 IAM 权限策略的服务特定资源、操作和条件上下文键。

参考:

Amazon Cost Explorer Service 定义的操作

您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 Amazon 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息,请参阅操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
CreateAnomalyMonitor 授予权限以创建新的异常监控 Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAnomalySubscription 授予权限以创建新的异常订阅 Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateCostCategoryDefinition 授予权限以创建具有请求的名称和规则的新成本类别 Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateNotificationSubscription [仅权限] 授予创建预留到期提醒的权限 Write
CreateReport [仅权限] 授予创建 Cost Explorer 报告的权限 Write
DeleteAnomalyMonitor 授予权限以删除异常监控 Write

anomalymonitor*

aws:ResourceTag/${TagKey}

DeleteAnomalySubscription 授予权限以删除异常订阅 Write

anomalysubscription*

aws:ResourceTag/${TagKey}

DeleteCostCategoryDefinition 授予权限以删除成本类别 Write

costcategory*

aws:ResourceTag/${TagKey}

DeleteNotificationSubscription [仅权限] 授予删除预留到期提醒的权限 Write
DeleteReport [仅权限] 授予删除 Cost Explorer 报告的权限 Write
DescribeCostCategoryDefinition 授予权限以检索成本类别的名称、ARN、规则、定义和生效日期等描述 Read

costcategory*

aws:ResourceTag/${TagKey}

DescribeNotificationSubscription [仅权限] 授予查看预留到期提醒的权限 Read
DescribeReport [仅权限] 授予查看 Cost Explorer 报告页面的权限 Read
GetAnomalies 授予权限以检索异常 Read

anomalymonitor*

aws:ResourceTag/${TagKey}

GetAnomalyMonitors 授予权限以查询异常监控 Read

anomalymonitor*

aws:ResourceTag/${TagKey}

GetAnomalySubscriptions 授予权限以查询异常订阅 读取

anomalysubscription*

aws:ResourceTag/${TagKey}

GetApproximateUsageRecords 授予权限以检索选定资源、级别和每小时粒度首选项的大致使用记录计数(源自上个月的使用情况) 读取
GetConsoleActionSetEnforced [仅权限] 授予权限以查看是否使用现有或精细的 IAM 操作来控制对账单、成本管理和账户控制台的授权 读取
GetCostAndUsage 授予权限以检索您的账户的成本和使用率指标 Read
GetCostAndUsageWithResources 授予权限以检索您的账户资源的成本和使用率指标 Read
GetCostCategories 授予查询指定时间段内 Cost Catagory 名称和值的权限 Read
GetCostForecast 授予权限以检索预测时间段的成本预测 Read
GetDimensionValues 授予权限以检索筛选条件在一段时间内的所有可用筛选条件值 Read
GetPreferences [仅权限] 授予查看“Cost Explorer 首选项”页面的权限 Read
GetReservationCoverage 授予权限以检索您的账户的预留范围 Read
GetReservationPurchaseRecommendation 授予权限以检索您的账户的预留建议 Read
GetReservationUtilization 授予权限以检索您的账户的预留利用率 Read
GetRightsizingRecommendation 授予权限以检索您的账户的合理调整大小建议 读取
GetSavingsPlanPurchaseRecommendationDetails 授予权限以检索账户的实惠配套建议详细信息 读取
GetSavingsPlansCoverage 授予权限以检索您账户的 Savings Plans 覆盖范围 Read
GetSavingsPlansPurchaseRecommendation 授予权限以检索您账户的 Savings Plans 建议 Read
GetSavingsPlansUtilization 授予权限以检索您账户的 Savings Plans 利用率 Read
GetSavingsPlansUtilizationDetails 授予权限以检索您账户的 Savings Plans 利用率详细信息 Read
GetTags 授予权限以查询指定时间段的标签 Read
GetUsageForecast 授予权限以检索预测时间段的使用情况预测 读取
ListCostAllocationTagBackfillHistory 授予权限以列出成本分配标签回填历史记录 列出
ListCostAllocationTags 授予列出成本分配标签的权限 列出
ListCostCategoryDefinitions 授予权限以检索所有 Cost Categories 的名称、ARN 和生效日期 列出
ListSavingsPlansPurchaseRecommendationGeneration 授予权限以检索您的历史建议生成列表 列出
ListTagsForResource 授予列示 Cost Explorer 资源标签的权限 读取

anomalymonitor

anomalysubscription

costcategory

aws:ResourceTag/${TagKey}

ProvideAnomalyFeedback 授予权限以提供对检测到的异常的反馈 写入
StartCostAllocationTagBackfill 授予权限以请求成本分配标签回填 写入
StartSavingsPlansPurchaseRecommendationGeneration 授予权限以请求 Savings Plans 建议生成 写入
TagResource 授予标记 Cost Explorer 资源的权限 标记

anomalymonitor

anomalysubscription

costcategory

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

UntagResource 授予从 Cost Explorer 资源中删除标签的权限 标记

anomalymonitor

anomalysubscription

costcategory

aws:TagKeys

aws:ResourceTag/${TagKey}

UpdateAnomalyMonitor 授予权限以更新现有异常监控 Write

anomalymonitor*

aws:ResourceTag/${TagKey}

UpdateAnomalySubscription 授予权限以更新现有异常订阅 写入

anomalysubscription*

aws:ResourceTag/${TagKey}

UpdateConsoleActionSetEnforced [仅权限] 授予权限以更改是使用现有还是精细的 IAM 操作来控制对账单、成本管理和账户控制台的授权 写入
UpdateCostAllocationTagsStatus 授予更新现有成本分配标签状态的权限 写入
UpdateCostCategoryDefinition 授予权限以更新现有成本类别 Write

costcategory*

aws:ResourceTag/${TagKey}

UpdateNotificationSubscription [仅权限] 授予更新预留到期提醒的权限 Write
UpdatePreferences [仅权限] 授予编辑“Cost Explorer 首选项”页的权限 Write
UpdateReport [仅权限] 授予更新 Cost Explorer 报告的权限 Write

Amazon Cost Explorer Service 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表

资源类型 ARN 条件键
anomalysubscription arn:${Partition}:ce::${Account}:anomalysubscription/${Identifier}

aws:ResourceTag/${TagKey}

anomalymonitor arn:${Partition}:ce::${Account}:anomalymonitor/${Identifier}

aws:ResourceTag/${TagKey}

costcategory arn:${Partition}:ce::${Account}:costcategory/${Identifier}

aws:ResourceTag/${TagKey}

Amazon Cost Explorer Service 的条件键

Amazon Cost Explorer Service 定义以下可以在 IAM policy 的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 按请求中传递的标签筛选访问权限 String
aws:ResourceTag/${TagKey} 按与资源关联的标签筛选访问权限 String
aws:TagKeys 按请求中传递的标签键筛选访问权限 字符串数组