Amazon Cost Explorer Service 的操作、资源和条件键 - 服务授权参考
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon Cost Explorer Service 的操作、资源和条件键

Amazon Cost Explorer Service(服务前缀:ce)提供以下可用于 IAM 权限策略的服务特定资源、操作和条件上下文键。

参考:

Amazon Cost Explorer Service 定义的操作

您可以在 IAM policy 语句的 Action 元素中指定以下操作。可以使用策略授予在 Amazon 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。

有关下表中各列的详细信息,请参阅操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
CreateAnomalyMonitor 授予权限以创建新的异常监控 Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateAnomalySubscription 授予权限以创建新的异常订阅 Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateCostCategoryDefinition 授予权限以创建具有请求的名称和规则的新成本类别 Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateNotificationSubscription [仅权限] 授予创建预留到期提醒的权限 Write
CreateReport [仅权限] 授予创建 Cost Explorer 报告的权限 Write
DeleteAnomalyMonitor 授予权限以删除异常监控 Write

anomalymonitor*

aws:ResourceTag/${TagKey}

DeleteAnomalySubscription 授予权限以删除异常订阅 Write

anomalysubscription*

aws:ResourceTag/${TagKey}

DeleteCostCategoryDefinition 授予权限以删除成本类别 Write

costcategory*

aws:ResourceTag/${TagKey}

DeleteNotificationSubscription [仅权限] 授予删除预留到期提醒的权限 Write
DeleteReport [仅权限] 授予删除 Cost Explorer 报告的权限 Write
DescribeCostCategoryDefinition 授予权限以检索成本类别的名称、ARN、规则、定义和生效日期等描述 Read

costcategory*

aws:ResourceTag/${TagKey}

DescribeNotificationSubscription [仅权限] 授予查看预留到期提醒的权限 Read
DescribeReport [仅权限] 授予查看 Cost Explorer 报告页面的权限 Read
GetAnomalies 授予权限以检索异常 Read

anomalymonitor*

aws:ResourceTag/${TagKey}

GetAnomalyMonitors 授予权限以查询异常监控 Read

anomalymonitor*

aws:ResourceTag/${TagKey}

GetAnomalySubscriptions 授予权限以查询异常订阅 Read

anomalysubscription*

aws:ResourceTag/${TagKey}

GetCostAndUsage 授予权限以检索您的账户的成本和使用率指标 Read
GetCostAndUsageWithResources 授予权限以检索您的账户资源的成本和使用率指标 Read
GetCostCategories 授予查询指定时间段内 Cost Catagory 名称和值的权限 Read
GetCostForecast 授予权限以检索预测时间段的成本预测 Read
GetDimensionValues 授予权限以检索筛选条件在一段时间内的所有可用筛选条件值 Read
GetPreferences [仅权限] 授予查看“Cost Explorer 首选项”页面的权限 Read
GetReservationCoverage 授予权限以检索您的账户的预留范围 Read
GetReservationPurchaseRecommendation 授予权限以检索您的账户的预留建议 Read
GetReservationUtilization 授予权限以检索您的账户的预留利用率 Read
GetRightsizingRecommendation 授予权限以检索您的账户的合理调整大小建议 Read
GetSavingsPlansCoverage 授予权限以检索您账户的 Savings Plans 覆盖范围 Read
GetSavingsPlansPurchaseRecommendation 授予权限以检索您账户的 Savings Plans 建议 Read
GetSavingsPlansUtilization 授予权限以检索您账户的 Savings Plans 利用率 Read
GetSavingsPlansUtilizationDetails 授予权限以检索您账户的 Savings Plans 利用率详细信息 Read
GetTags 授予权限以查询指定时间段的标签 Read
GetUsageForecast 授予权限以检索预测时间段的使用情况预测 Read
ListCostAllocationTags 授予列出成本分配标签的权限 List
ListCostCategoryDefinitions 授予权限以检索所有 Cost Categories 的名称、ARN 和生效日期 List
ListTagsForResource 授予列示 Cost Explorer 资源标签的权限 Read

anomalymonitor

anomalysubscription

costcategory

aws:ResourceTag/${TagKey}

ProvideAnomalyFeedback 授予权限以提供对检测到的异常的反馈 Write
TagResource 授予标记 Cost Explorer 资源的权限 Tagging

anomalymonitor

anomalysubscription

costcategory

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

UntagResource 授予从 Cost Explorer 资源中删除标签的权限 Tagging

anomalymonitor

anomalysubscription

costcategory

aws:TagKeys

aws:ResourceTag/${TagKey}

UpdateAnomalyMonitor 授予权限以更新现有异常监控 Write

anomalymonitor*

aws:ResourceTag/${TagKey}

UpdateAnomalySubscription 授予权限以更新现有异常订阅 Write

anomalysubscription*

aws:ResourceTag/${TagKey}

UpdateCostAllocationTagsStatus 授予更新现有成本分配标签状态的权限 Write
UpdateCostCategoryDefinition 授予权限以更新现有成本类别 Write

costcategory*

aws:ResourceTag/${TagKey}

UpdateNotificationSubscription [仅权限] 授予更新预留到期提醒的权限 Write
UpdatePreferences [仅权限] 授予编辑“Cost Explorer 首选项”页的权限 Write
UpdateReport [仅权限] 授予更新 Cost Explorer 报告的权限 Write

Amazon Cost Explorer Service 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅资源类型表

资源类型 ARN 条件键
anomalysubscription arn:${Partition}:ce::${Account}:anomalysubscription/${Identifier}

aws:ResourceTag/${TagKey}

anomalymonitor arn:${Partition}:ce::${Account}:anomalymonitor/${Identifier}

aws:ResourceTag/${TagKey}

costcategory arn:${Partition}:ce::${Account}:costcategory/${Identifier}

aws:ResourceTag/${TagKey}

Amazon Cost Explorer Service 的条件键

Amazon Cost Explorer Service 定义以下可以在 IAM policy 的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 按请求中传递的标签筛选访问权限 字符串
aws:ResourceTag/${TagKey} 按与资源关联的标签筛选访问权限 字符串
aws:TagKeys 按请求中传递的标签键筛选访问权限 字符串数组