Tutoriel IAM : Accorder l'accès à la console de facturation - AWS Identity and Access Management
PrérequisÉtape 1 : Activer l'accès IAM aux informations de facturation de votre compte AWS de testÉtape 2 : Créer des utilisateurs et des groupes de testÉtape 3 : Créer un rôle pour accorder l'accès à la console AWS BillingÉtape 4 : Tester l'accès à la consoleRécapitulatifRessources connexes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Tutoriel IAM : Accorder l'accès à la console de facturation

Le propriétaire du Compte AWS (Utilisateur racine d'un compte AWS) peut accorder aux utilisateurs et aux rôles IAM l'accès aux données AWS Billing and Cost Management qui concernent leurs Compte AWS. Les instructions de ce tutoriel vous aident à configurer un scénario prétesté. Ce scénario vous aide à acquérir une expérience pratique de la configuration des autorisations de facturation sans avoir à vous préoccuper de votre compte AWS de production principal.

Prérequis

Effectuez les opérations suivantes avant de commencer à suivre les étapes de ce tutoriel :

  • Créez un Compte AWS de test.

  • Connectez-vous à votre Compte AWS en tant qu'utilisateur root.

  • Enregistrez le numéro de votre Compte AWS de test afin de pouvoir l'utiliser dans le tutoriel. Par exemple, dans ce tutoriel, nous utilisons le numéro de compte 111122223333. Chaque fois qu'une étape utilise ce numéro de compte, remplacez-le par votre numéro de compte de test.

Étape 1 : Activer l'accès IAM aux informations de facturation de votre compte AWS de test

Dans ce scénario, vous vous connectez à votre Compte AWS de test en tant qu'utilisateur root pour accorder à IAM l'accès aux informations de facturation. Lorsque vous accordez à IAM l'accès aux informations de facturation, les utilisateurs et les rôles IAM peuvent accéder à la console AWS Billing and Cost Management. Ce paramètre n'accorde pas aux utilisateurs et aux rôles IAM les autorisations nécessaires pour accéder à ces pages de la console. Il accorde l'accès aux utilisateurs ou aux rôles IAM qui disposent des politiques IAM requises. Si des politiques sont déjà associées à des utilisateurs ou à des rôles IAM, mais que ce paramètre n'est pas activé, les autorisations accordées par ces politiques ne sont pas en vigueur.

Note

Comptes AWS créés à l'aide de AWS Organizations disposent d'un accès IAM aux informations de facturation activé par défaut.

Étape 2 : Créer des utilisateurs et des groupes de test

Dans ce scénario, vous accordez aux utilisateurs IAM l'accès à la console de facturation et vous créez deux utilisateurs :

  • Pat Candella

    Pat est membre du département financier et s'occupe de la facturation et des paiements. Pat a besoin d'un accès complet aux informations de facturation de votre Compte AWS.

  • Terry Whitlock

    Terry fait partie de votre service d'assistance informatique. La plupart du temps, Terry n'a pas besoin d'accéder à la console de facturation, mais il en a parfois besoin pour répondre aux questions des employés du département financier.

Étape 3 : Créer un rôle pour accorder l'accès à la console AWS Billing

Un rôle IAM est une identité IAM que vous pouvez créer dans votre compte et qui dispose d'autorisations spécifiques. Un rôle IAM est similaire à un utilisateur IAM, car il s'agit d'une identité AWS avec des politiques d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire dans AWS. En revanche, au lieu d'être associé de manière unique à une personne, un rôle est conçu pour être assumé par tout utilisateur qui en a besoin. En outre, un rôle ne dispose pas d'informations d'identification standard à long-terme comme un mot de passe ou des clés d'accès associées. Au lieu de cela, lorsque vous adoptez un rôle, il vous fournit des informations d'identification de sécurité temporaires pour votre session de rôle. Vous pouvez utiliser des rôles pour déléguer l'accès à des utilisateurs, des applications ou des services qui n'ont normalement pas accès à vos ressources AWS. Dans ce scénario, vous créez un rôle que Terry Whitlock peut endosser pour accéder à la console de facturation.

Étape 4 : Tester l'accès à la console

Une fois que vous avez terminé les tâches de base, vous êtes prêt à tester la politique. Les tests permettent de s'assurer que la politique fonctionne comme vous le souhaitez. En testant l'accès de chaque utilisateur, vous pouvez comparer les expériences des utilisateurs.

Prérequis

Effectuez les opérations suivantes avant de commencer à suivre les étapes de ce tutoriel :

  • Créez un Compte AWS de test.

  • Connectez-vous à votre Compte AWS en tant qu'utilisateur root.

  • Enregistrez le numéro de votre Compte AWS de test afin de pouvoir l'utiliser dans le tutoriel. Par exemple, dans ce tutoriel, nous utilisons le numéro de compte 111122223333. Chaque fois qu'une étape utilise ce numéro de compte, remplacez-le par votre numéro de compte de test.

Étape 1 : Activer l'accès IAM aux informations de facturation de votre compte AWS de test

Dans ce scénario, vous vous connectez à votre Compte AWS de test en tant qu'utilisateur root pour accorder à IAM l'accès aux informations de facturation. Lorsque vous accordez l'accès aux informations de facturation, les utilisateurs et les rôles IAM peuvent accéder à la console AWS Billing and Cost Management. Ce paramètre n'accorde pas aux utilisateurs et aux rôles IAM les autorisations nécessaires pour accéder à ces pages de la console. Il accorde simplement l'accès aux utilisateurs ou aux rôles IAM qui disposent des politiques IAM requises.

Note

Comptes AWS créés à l'aide de AWS Organizations disposent d'un accès IAM aux informations de facturation activé par défaut.

Pour activer l'accès de l'utilisateur et du rôle IAM à la Billing and Cost Management console (console de gestion de la facturation et des coûts)

  1. Connectez-vous à l'AWS Management Console avec les informations d'identification de votre utilisateur root (l'adresse e-mail et le mot de passe que vous avez utilisés pour créer votre AWS).

  2. Dans la barre de navigation, sélectionnez le nom de votre compte, puis Compte.

  3. Faites défiler la page jusqu'à la section Accès des utilisateurs et des rôles IAM aux données de facturation, puis sélectionnez Modifier.

  4. Cochez la case Activate IAM Access (Activer l'accès IAM) pour activer l'accès aux pages de la console de Gestion de la facturation et des coûts.

  5. Choisissez Mettre à jour.

    La page affiche le message L'accès des utilisateurs/rôles IAM aux données de facturation est activé.

Dans l'étape suivante de ce tutoriel, vous allez attacher des politiques IAM pour accorder ou refuser l'accès à certaines fonctionnalités de facturation.

Étape 2 : Créer des utilisateurs et des groupes de test

Aucune identité n'est définie pour votre compte AWS de test, à l'exception de l'utilisateur root. Pour permettre l'accès aux informations de facturation, nous créons des identités supplémentaires auxquelles nous pouvons accorder l'autorisation d'accéder aux informations de facturation.

Créer des utilisateurs et des groupes de test

  1. Connectez-vous à la console IAM en tant que propriétaire du compte en choisissant Utilisateur root et en saisissant votre adresse e-mail Compte AWS. Sur la page suivante, saisissez votre mot de passe.

    Note

    En tant qu'utilisateur root, vous ne pouvez pas vous connecter à la page Se connecter en tant qu'utilisateur IAM. Si la page Se connecter en tant qu'utilisateur IAM s'affiche, choisissez Se connecter à l'aide de l'adresse e-mail de l'utilisateur root en bas de la page. Pour obtenir de l'aide sur la connexion en tant qu'utilisateur root, consultez Connexion à la AWS Management Console en tant qu'utilisateur root dans le Guide de l'utilisateur Connexion à AWS.

  2. Dans le volet de navigation, sélectionnez Utilisateurs, puis Ajouter des utilisateurs.

    Note

    Si IAM Identity Center est activé, AWS Management Console affiche un rappel indiquant qu'il est préférable de gérer l'accès des utilisateurs dans IAM Identity Center. Dans ce tutoriel, les utilisateurs IAM que nous créons vont découvrir comment fournir un accès aux informations de facturation. Si vous avez créé des utilisateurs dans IAM Identity Center, vous attribuez le jeu d'autorisations de facturation à ces utilisateurs ou groupes à l'aide d'IAM Identity Center au lieu d'IAM.

  3. Dans User name (Nom d'utilisateur), saisissez pcandella. Les noms ne peuvent pas contenir d'espaces.

  4. Cochez la case située en regard de Fournir un accès utilisateur à AWS Management Console – facultatif, puis sélectionnez Je veux créer un utilisateur IAM.

  5. Sous Mot de passe de la console, sélectionnez Mot de passe généré automatiquement.

  6. Décochez la case située en regard de l'option L'utilisateur doit créer un nouveau mot de passe à la prochaine connexion (recommandé), puis sélectionnez Suivant. Comme cet utilisateur IAM est destiné à des fins de test, nous allons télécharger le mot de passe à utiliser lors de la procédure de vérification.

  7. Sur la page Définir les autorisations, sous Options d'autorisations, sélectionnez Ajouter un utilisateur au groupe. Ensuite, sous Groupes d'utilisateurs, sélectionnez Créer un groupe.

  8. Sur la page Créer un groupe d'utilisateurs, saisissez BillingGroup dans le champ Nom du groupe d'utilisateurs. Ensuite, sous Politiques d'autorisations, sélectionnez la politique de la fonction gérée par AWS Facturation.

  9. Sélectionnez Créer un groupe d'utilisateurs pour revenir à la page Définir les autorisations.

  10. Sous Groupes d'utilisateurs, cochez la case du BillingGroup que vous avez créé.

  11. Sélectionnez Suivant pour accéder à la page Vérifier et créer.

  12. Sur la page Vérifier et créer, vérifiez la liste des appartenances à des groupes d'utilisateurs pour le nouvel utilisateur. Une fois que vous êtes prêt à continuer, sélectionnez Créer l'utilisateur.

  13. Sur la page Récupérer le mot de passe, sélectionnez Télécharger le fichier .csv pour enregistrer le fichier .csv contenant les informations de connexion de l'utilisateur (URL de connexion, nom d'utilisateur et mot de passe).

    Enregistrez ce fichier pour l'utiliser comme référence lorsque vous vous connectez à AWS en tant qu'utilisateur IAM

  14. Sélectionnez Retourner à la liste des utilisateurs

  15. Répétez cette procédure en apportant les modifications suivantes pour créer l'utilisateur Terry Whitlock et un groupe pour les utilisateurs du support.

    1. À l'étape 3, pour Nom d'utilisateur, saisissez twhitlock.

    2. À l'étape 8, pour Nom du groupe d'utilisateurs, saisissez SupportGroup. Ensuite, sous Politiques d'autorisations, sélectionnez la politique de la fonction gérée par AWS SupportUser.

Vous pouvez vérifier les nouveaux utilisateurs, groupes et rôles IAM dans les listes de la console. Pour chaque élément que vous avez créé, vous pouvez sélectionner le nom pour en afficher les détails. Lorsque vous affichez les détails de l'utilisateur, la console affiche Facturation sous Politiques d'autorisations pour pcandella et SupportUser sous Politiques d'autorisations pour twhitlock.

Pour plus d'informations sur l'utilisation des politiques pour accorder aux utilisateurs IAM l'accès aux fonctionnalités d'AWS Billing and Cost Management, consultez Utilisation de politiques basées sur l'identité (politiques IAM) pour AWS Billing dans le Guide de l'utilisateur AWS Billing.

Étape 3 : Créer un rôle pour accorder l'accès à la console AWS Billing

Vous pouvez utiliser un rôle pour accorder aux utilisateurs IAM l'accès à la console de facturation. Les rôles fournissent des informations d'identification temporaires que les utilisateurs peuvent utiliser en cas de besoin. Dans ce tutoriel, l'utilisateur twhitlock doit pouvoir accéder aux informations de facturation lorsqu'une demande d'assistance du département financier l'oblige à enquêter sur un problème.

  1. Connectez-vous à la console IAM en tant que propriétaire du compte en choisissant Utilisateur root et en saisissant votre adresse e-mail Compte AWS. Sur la page suivante, saisissez votre mot de passe.

    Note

    En tant qu'utilisateur root, vous ne pouvez pas vous connecter à la page Se connecter en tant qu'utilisateur IAM. Si la page Se connecter en tant qu'utilisateur IAM s'affiche, choisissez Se connecter à l'aide de l'adresse e-mail de l'utilisateur root en bas de la page. Pour obtenir de l'aide sur la connexion en tant qu'utilisateur root, consultez Connexion à la AWS Management Console en tant qu'utilisateur root dans le Guide de l'utilisateur Connexion à AWS.

  2. Dans le panneau de navigation, sélectionnez Utilisateurs, puis sélectionnez l'utilisateur twhitlock pour en afficher les détails. Copiez l'ARN de l'utilisateur twhitlock dans le presse-papiers.

  3. Dans le panneau de navigation, sélectionnez Rôles, puis Créer un rôle.

  4. Sur la page Sélectionner une entité d'approbation, sélectionnez Politique d'approbation personnalisée, puis sous Modifier la déclaration, complétez les éléments suivants :

    • Ajouter des actions pour STS : vérifiez que AssumeRole est sélectionné.

    • Dans Ajouter un principal, sélectionnez Ajouter pour afficher la boîte de dialogue Ajouter un principal. Pour Type de principal, sélectionnez utilisateurs IAM, puis pour ARN, collez l'ARN de l'utilisateur twhitlock que vous avez copié dans le presse-papiers à l'étape 16. Puis, sélectionnez Ajouter le principal.

  5. Sélectionnez Suivant pour accéder à la page Ajouter des autorisations.

  6. Sous la zone de filtre pour Politiques d'autorisations, saisissez Billing, puis sélectionnez la politique de la fonction gérée par AWS Facturation.

  7. Cliquez sur Suivant pour accéder à la page Nommer, vérifier et créer. Sous Nom du rôle, saisissez TempBillingAccess, puis sélectionnez Créer un rôle.

    Vous recevez une notification indiquant que le rôle a été créé. Affichez le rôle pour consulter les détails le concernant. Dans la section Résumé, prenez note des informations suivantes :

    • Par défaut, la durée maximale de la session d'une heure par défaut. Passé ce délai, l'utilisateur qui a endossé le rôle utilise de nouveau les autorisations de son compte de base. Si l'utilisateur souhaite continuer à utiliser les autorisations du rôle, il doit de nouveau changer de rôle. Vous pouvez modifier le rôle pour augmenter la durée maximale. La durée de session la plus longue possible est de 12 heures.

    • Lien pour changer de rôle dans la console. Vous pouvez copier le lien pour le fournir directement aux utilisateurs que vous ajoutez en tant que principaux dans la politique d'approbation. Vous pouvez consulter et modifier la politique d'approbation dans l'onglet Relations d'approbation.

Étape 4 : Tester l'accès à la console

Nous vous recommandons de tester l'accès en vous connectant en tant que chacun des utilisateurs de test afin de vous rendre compte de l'expérience de vos utilisateurs. Suivez les étapes ci-dessous pour vous connecter aux deux comptes de test pour voir les différences de droits d'accès.

Tester l'accès à la facturation en se connectant avec les deux utilisateurs de test

  1. Utilisez votre ID ou alias de compte AWS, votre nom d'utilisateur IAM et votre mot de passe pour vous connecter à la console IAM.

    Note

    Pour plus de commodité, la page de connexion à AWS utilise un cookie de navigateur pour mémoriser votre nom d'utilisateur IAM et vos informations de compte. Si vous vous êtes déjà connecté en tant qu'utilisateur différent, sélectionnez Sign in to a different account (Se connecter à un compte différent) en bas de la page pour revenir à la page de connexion principale. Sur cette page, vous pouvez saisir votre ID ou alias de compte AWS pour être redirigé vers la page de connexion de l'utilisateur IAM de votre compte.

  2. Connectez-vous avec chaque utilisateur en suivant la procédure fournie ci-dessous afin de pouvoir comparer les différentes expériences utilisateur.

    Accès complet

    1. Connectez-vous à votre compte Compte AWS en tant qu'utilisateur pcandella.

    2. Dans la barre de navigation, choisissez pcandella@111122223333, puis sélectionnez Tableau de bord de facturation.

    3. Parcourez les pages et sélectionnez les différents boutons pour vous assurer de disposer de toutes les autorisations de modification.

    Pas d'accès

    1. Connectez-vous à votre compte Compte AWS en tant qu'utilisateur twhitlock.

    2. Dans la barre de navigation, choisissez twhitlock@111122223333, puis sélectionnez Tableau de bord de facturation.

    3. Un message s'affiche indiquant que vous avez besoin d'autorisations. Aucune donnée de facturation n'est visible.

    Changer de rôle pour améliorer l'accès

    1. Connectez-vous à votre compte Compte AWS en tant qu'utilisateur twhitlock.

    2. Dans la barre de navigation, choisissez twhitlock@111122223333, puis sélectionnez Changer de rôle.

      La page Changer de rôle s'ouvre. Complétez les informations comme suit :

      • Account-111122223333

      • Role-TempBillingAccess

      Sélectionnez Changer de rôle

      Vous pouvez également utiliser l'URL fournie dans Lien pour changer de rôle dans la console afin d'ouvrir la page Changer de rôle.

    3. La console affiche le Tableau de bord AWS Billing et la barre de navigation affiche TempBillingAccess@111122223333.

Récapitulatif

Vous avez maintenant terminé les étapes nécessaires pour permettre aux utilisateurs IAM d'accéder à la console AWS Billing. Par conséquent, vous avez vu de première main ce qu'est l'expérience de la console de facturation de vos utilisateurs. Vous pouvez maintenant procéder à l'implémentation de cette logique dans votre environnement de production à votre convenance.

Ressources connexes

Pour obtenir des informations connexes contenues dans le Guide de l'utilisateur AWS Billing, veuillez consulter les ressources suivantes :

Pour obtenir des informations connexes contenues dans le IAM Guide de l'utilisateur, veuillez consulter les ressources suivantes :