Migration der Zugriffskontrolle für AWS Billing

Anmerkung

Die folgenden AWS Identity and Access Management (IAM) Aktionen haben im Juli 2023 das Ende des Standard-Supports erreicht:

Namespace aws-portal
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

Wenn Sie verwenden AWS Organizations, können Sie die Bulk Policy Migrator-Skripte oder den Bulk Policy Migrator verwenden, um Richtlinien von Ihrem Zahlerkonto aus zu aktualisieren. Sie können auch die Referenz zur Zuordnung von Vorgängen zu detaillierten Aktionen verwenden, um zu überprüfen, welche IAM Aktionen hinzugefügt werden müssen.

Wenn Sie eine Aktion haben oder Teil einer sind AWS-Konto, die am oder nach dem 6. März 2023, 11:00 Uhr (PDT) AWS Organizations erstellt wurde, sind die detaillierten Aktionen in Ihrer Organisation bereits wirksam.

Sie können detaillierte Zugriffskontrollen verwenden, um Einzelpersonen in Ihrer Organisation Zugriff auf Dienste zu gewähren. AWS Billing and Cost Management Sie können beispielsweise den Zugriff auf den Cost Explorer bereitstellen, ohne Zugriff auf die Fakturierungs- und Kostenmanagement-Konsole zu gewähren.

Um die detaillierten Zugriffskontrollen nutzen zu können, müssen Sie Ihre Richtlinien von unter aws-portal auf die neuen Aktionen migrieren. IAM

Die folgenden IAM Aktionen in Ihren Berechtigungsrichtlinien oder Dienststeuerungsrichtlinien (SCP) müssen im Rahmen dieser Migration aktualisiert werden:

aws-portal:ViewAccount
aws-portal:ViewBilling
aws-portal:ViewPaymentMethods
aws-portal:ViewUsage
aws-portal:ModifyAccount
aws-portal:ModifyBilling
aws-portal:ModifyPaymentMethods
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

Informationen dazu, wie Sie das Tool „Betroffene Richtlinien“ verwenden können, um Ihre betroffenen IAM Richtlinien zu ermitteln, finden Sie unterWie Sie das Tool für betroffene Richtlinien verwenden.

Anmerkung

APIDer Zugriff auf AWS Kosten AWS Cost Explorer- und Nutzungsberichte sowie AWS Budgets bleibt davon unberührt.

Aktivieren des Zugriffs auf die Konsole für Fakturierung und Kostenmanagement bleiben unverändert.

Themen

Verwalten von Zugriffsberechtigungen

AWS Billing ist in den Dienst AWS Identity and Access Management (IAM) integriert, sodass Sie steuern können, wer in Ihrer Organisation auf bestimmte Seiten in der Billing and Cost Management-Konsole zugreifen kann. Dazu gehören Features wie Zahlungen, Abrechnung, Gutschriften, kostenloses Kontingent, Zahlungseinstellungen, konsolidierte Abrechnung, Steuereinstellungen und Kontoseiten.

Verwenden Sie die folgenden IAM Berechtigungen für eine detaillierte Steuerung der Billing and Cost Management-Konsole.

Um einen detaillierten Zugriff zu ermöglichen, ersetzen Sie die aws-portal-Richtlinie durch account, billing, payments, freetier, invoicing, tax, und consolidatedbilling.

Ersetzen Sie zusätzlich purchase-orders:ViewPurchaseOrders und purchase-orders:ModifyPurchaseOrders durch die detaillierten Aktionen aus purchase-orders, account, und payments.

Verwenden Sie fein abgestufte Aktionen AWS Billing

In dieser Tabelle sind die Berechtigungen zusammengefasst, die IAM Benutzern und Rollen den Zugriff auf Ihre Rechnungsinformationen gewähren oder verweigern. Beispiele für Richtlinien, die diese Berechtigungen benutzen, finden Sie unter AWS Beispiele für Abrechnungsrichtlinien.

Eine Liste der Aktionen für die AWS Cost Management Konsole finden Sie unter AWS Cost Management Aktionsrichtlinien im AWS Cost Management Benutzerhandbuch.

Feature-Name in der Fakturierungs- und Kostenmanagement-Konsole	IAMAktion	Beschreibung
Startseite: Rechnungen	`account:GetAccountInformation` `billing:Get` `payments:List` `tax:List*`	Gewährt die Berechtigung zur Ansicht der Startseite. Diese Berechtigungen sind schreibgeschützt. Anmerkung Diese Berechtigungen gelten nur für die Konsole. Für diese Berechtigungen ist kein API Zugriff verfügbar.
Rechnungen	`account:GetAccountInformation` `billing:Get` `consolidatedbilling:Get` `consolidatedbilling:List` `invoicing:List` `payments:List*`	Gewährt die Berechtigung zur Ansicht der Rechnungsseite. Diese Berechtigungen sind schreibgeschützt. Anmerkung Diese Berechtigungen gelten nur für die Konsole. Für diese Berechtigungen ist kein API Zugriff verfügbar.
	`invoicing:Get*`	Gewährt die Berechtigung zum Herunterladen von Rechnungen von der Rechnungsseite. Anmerkung Diese Berechtigung gilt nur für die Konsole. Für diese Berechtigung ist kein API Zugriff verfügbar.
	`cur:Get*`	Erteilt die Erlaubnis, CSV Berichte von der Seite Rechnungen herunterzuladen. Anmerkung Diese Berechtigung gilt nur für die Konsole. Für diese Genehmigung ist kein API Zugriff verfügbar.
	`billing:ListBillingViews`	Erteilt die Berechtigung, die einzelnen erstellten AWS Billing Conductor Abrechnungsgruppen `ARN` und deren Beschreibung einzusehen. Dies ist erforderlich, um eine Berichtspriorität für bestimmte Gruppen zu erstellen. Anmerkung Diese Berechtigung gilt nur für die Konsole. Für diese Berechtigung ist kein API Zugriff verfügbar.
Zahlungen	`account:GetAccountInformation` `billing:Get` `payments:Get` `payments:List*`	Gewährt die Berechtigung zur Ansicht der Seite Zahlungen. Dies sind schreibgeschützte Berechtigungen für die Registerkarten Payments due (Fällige Zahlungen), Unapplied funds (Nicht eingesetzte Mittel), Transaction (Überweisung) und Advance pay (Vorauszahlung). Anmerkung Diese Berechtigungen gelten nur für die Konsole. Für diese Berechtigungen ist kein API Zugriff verfügbar.
	`invoicing:Get*`	Gewährt die Berechtigung zum Herunterladen einer Rechnung von der Registerkarte Überweisungen. Anmerkung Diese Berechtigung gilt nur für die Konsole. Für diese Berechtigung ist kein API Zugriff verfügbar.
	`payments:Update*`	Gewährt die Berechtigung, Advance Pay zu verwenden und Zahlungsdetails einzurichten.
	`payments:Make` `invoicing:Get`	Gewährt die Berechtigung, einen Finanzierungsantrag für Advance Pay zu erstellen und eine Zahlung vorzunehmen.
Guthaben	`billing:Get*` `account:GetAccountInformation`	Gewährt die Berechtigung zur Ansicht der Seite Guthaben.
Guthaben	`billing:RedeemCredits`	Gewährt die Berechtigung zur Einlösung von Guthaben.
Bestellungen	`account:GetAccountInformation` `account:GetContactInformation` `payments:Get` `payments:List` `purchase-orders:ListPurchaseOrders` `purchase-orders:ListPurchaseOrderInvoices` `tax:ListTaxRegistrations` `consolidatedbilling:GetAccountBillingRole`	Gewährt die Berechtigung zur Ansicht der Seite Bestellungen.
	`purchase-orders:GetPurchaseOrder`	Gewährt die Berechtigung, Details zu einer Bestellung einzusehen.
	`purchase-orders:AddPurchaseOrder`	Gewährt die Berechtigung zum Hinzufügen einer Bestellung.
	`purchase-orders:DeletePurchaseOrder`	Gewährt die Berechtigung zum Löschen einer Bestellung.
	`purchase-orders:UpdatePurchaseOrder` `purchase-orders:UpdatePurchaseOrderStatus`	Gewährt die Berechtigung zur Aktualisierung von Bestellungen und Bestellstatus.
AWS Kosten- und Nutzungsberichte	`cur:GetClassic*` `cur:DescribeReportDefinitions`	Erteilt die Berechtigung, eine Liste von AWS CUR Berichten auf der Seite AWS Kosten- und Nutzungsberichte anzuzeigen. Anmerkung `cur:GetClassic*` ist eine Berechtigung, die nur für die Konsole gilt. Für diese Berechtigung ist kein API Zugriff verfügbar.
	`billing:ListBillingViews`	Erteilt die Berechtigung, die einzelnen in AWS Billing Conductor erstellten Abrechnungsgruppen `ARN` und deren Beschreibung einzusehen. Dies ist erforderlich, um eine Berichtspriorität für bestimmte Gruppen zu erstellen. Anmerkung Diese Berechtigung gilt nur für die Konsole. Für diese Berechtigung ist kein API Zugriff verfügbar.
	`s3:ListAllMyBuckets` `s3:CreateBucket` `s3:PutBucketPolicy` `s3:GetBucketLocation` `cur:Validate*` `cur:PutReportDefinition`	Erteilt Genehmigungsaktionen, die zum Erstellen eines neuen AWS CUR Berichts erforderlich sind. Anmerkung `cur:Validate*` ist eine Berechtigung, die nur für die Konsole gilt. Für diese Berechtigungen ist kein API Zugriff verfügbar.
	`cur:Validate*` `s3:CreateBucket` `s3:ListAllMyBuckets` `s3:PutBucketPolicy` `s3:GetBucketLocation` `cur:ModifyReportDefinition`	Erteilt die Berechtigung zum Bearbeiten der AWS CUR Definition. Anmerkung `cur:Validate*` ist eine Berechtigung, die nur für die Konsole gilt. Für diese Berechtigungen ist kein API Zugriff verfügbar.
	`cur:DeleteReportDefinition`	Erteilt die Berechtigung zum Löschen von AWS CUR Berichten.
	`cur:GetUsage*`	Gewährt die Berechtigung zum Herunterladen von Nutzungsberichten.
	`sustainability:GetCarbonFootprintSummary`	Gewährt die Berechtigung zur Ansicht von Nachhaltigkeitsdaten für Ihr AWS-Konto.
Kostenkategorien	`account:GetAccountInformation` `ce:ListCostCategoryDefinitions` `ce:DescribeCostCategoryDefinition` `ce:GetCostAndUsage` `ce:ListTagsForResource` `consolidatedbilling:GetAccountBillingRole`	Gewährt die Berechtigung, Kostenkategorien einzusehen. Anmerkung `account:GetAccountInformation` ist eine Berechtigung, die nur für die Konsole gilt. Für diese Berechtigungen ist kein API Zugriff verfügbar.
	`billing:Get` `ce:TagResource` `ce:ListCostAllocationTags` `consolidatedbilling:List` `ce:CreateCostCategoryDefinition` `pricing:DescribeServices` `ce:GetDimensionValues` `ce:GetTags`	Gewährt die Berechtigung, Kostenkategorien zu erstellen. Anmerkung `billing:Get` und `consolidatedbilling:List` ist eine Berechtigung, die nur für die Konsole gilt. Für diese Berechtigungen ist kein API Zugriff verfügbar.
	`ce:UpdateCostCategoryDefinition` `ce:UntagResource`	Gewährt die Berechtigung zur Änderung von Kostenkategorien.
	`ce:DeleteCostCategoryDefinition`	Gewährt die Berechtigung zum Löschen von Kostenkategorien.
Kostenzuordnungs-Tags	`account:GetAccountInformation` `ce:ListCostAllocationTags` `consolidatedbilling:GetAccountBillingRole`	Gewährt die Berechtigung zur Anzeige von Kostenzuordnungs-Tags.
Kostenzuordnungs-Tags	`ce:UpdateCostAllocationTagsStatus`	Gewährt die Berechtigung zur Aktivierung oder Deaktivierung von Kostenzuordnungs-Tags.
AWS Budgets	`budgets:ViewBudget` `budgets:DescribeBudgetActionsForBudget` `budgets:DescribeBudgetAction` `budgets:DescribeBudgetActionsForAccount` `budgets:DescribeBudgetActionHistories`	Gewährt die Berechtigung zur Ansicht der Seite Budgets.
AWS Budgets	`budgets:CreateBudgetAction` `budgets:ExecuteBudgetAction` `budgets:DeleteBudgetAction` `budgets:UpdateBudgetAction` `budgets:ModifyBudget`	Gewährt die Berechtigung zum Erstellen, Löschen und Ändern von Budgets und Budgetaktionen.
Kostenloses Kontingent	`billing:Get` `freetier:Get`	Gewährt die Berechtigung, die Nutzungsgrenzen des kostenlosen -Kontingents und den Status der bisherigen Nutzung im Monat (month-to-date – MTD) einzusehen.
Fakturierungseinstellungen	`account:GetAccountInformation` `billing:Get` `consolidatedbilling:Get` `consolidatedbilling:List` `cur:GetClassic` `cur:Validate` `freetier:Get` `invoicing:Get*`	Gewährt die Berechtigungen, die erforderlich sind, um alle Abschnitte auf der Seite Fakturierungseinstellungen einzusehen. Anmerkung Diese Berechtigungen gelten nur für die Konsole. Für diese Berechtigungen ist kein API Zugriff verfügbar.
Fakturierungseinstellungen	`billing:Update` `freetier:Put` `cur:PutClassic` `s3:ListAllMyBuckets` `s3:CreateBucket` `s3:PutBucketPolicy` `s3:GetBucketLocation` `invoicing:Put`	Gewährt die Berechtigung, die folgenden Änderungen auf der Seite Fakturierungseinstellungen vorzunehmen: Aktivieren oder deaktivieren Sie die Aufteilung von Guthaben in RI oder Savings-Plans-Rabattaufteilung Legen Sie die Einstellungen für Free Tier Usage Alert (Warnung der Datennutzung im kostenlosen Kontingent) fest Legen Sie detailed billing reports (detaillierte Fakturierungsberichte), Liefereinstellungen und Präferenzen fest Richten Sie die PDFRechnung anhand der E-Mail-Einstellungen ein oder aktualisieren Sie sie Anmerkung `billing:Update`, `freetier:Put`, `cur:PutClassic*` sind Berechtigungen, die nur für die Konsole gelten. Für diese Berechtigungen ist kein API Zugriff verfügbar.
Zahlungspräferenzen	`account:GetAccountInformation` `billing:Get` `payments:GetPaymentInstrument` `payments:List` `payments:GetPaymentStatus`	Gewährt die Berechtigung zur Ansicht der Seite Fakturierungseinstellungen. Anmerkung Diese Berechtigungen gelten nur für die Konsole. Für diese Berechtigungen ist kein API Zugriff verfügbar.
	`payments:Update` `payments:Make` `payments:CreatePaymentInstrument` `payments:DeletePaymentInstrument`	Gewährt die Berechtigung zum Erstellen oder Aktualisieren von Zahlungsarten. Anmerkung `payments:Make*`ist nur erforderlich, wenn für eine Zahlungskarte eine Multi-Faktor-Authentifizierung erforderlich ist (MFA).
	`tax:PutTaxRegistration` `tax:Delete*` `payments:UpdatePaymentPreferences` `payments:CreatePaymentInstrument`	Gewährt die Berechtigung zum Aktualisieren oder Löschen von Steuerregistrierungsnummern.
	`payments:Update*`	Gewährt die Berechtigung zur Aktualisierung von Zahlungsprofilen. Anmerkung Diese Berechtigung gilt nur für die Konsole. Für diese Genehmigung ist kein API Zugriff verfügbar.
Steuereinstellungen	`tax:List` `tax:Get`	Gewährt die Berechtigung, die Steuereinstellungen einzusehen.
	`tax:BatchPut*`	Gewährt die Berechtigung, die zur Aktualisierung der Steuereinstellungen erforderlich ist.
	`tax:Put*`	Gewährt die Berechtigung zum Einrichten des Steuererbes.
	`tax:UpdateExemptions` `support:CreateCase` `support:AddAttachmentsToSet`	Gewährt die Berechtigung zur Aktualisierung der Steuerbefreiung.
Account	`account:Get` `account:List` `billing:Get` `payments:List`	Gewährt die Berechtigung, die Kontoeinstellungen einzusehen. Anmerkung `billing:Get*` ist eine Berechtigung, die nur für die Konsole gilt. Für diese Berechtigung ist kein API Zugriff verfügbar.
	`account:CloseAccount`	Erteilt die Erlaubnis zum Schließen AWS-Konten. Anmerkung Diese Berechtigung gilt nur für die Konsole. Für diese Berechtigung ist kein API Zugriff verfügbar.
	`account:DisableRegion`	Erteilt die Erlaubnis, eine AWS Region auf der Kontoseite zu deaktivieren.
	`account:EnableRegion`	Erteilt die Erlaubnis, eine AWS Region auf der Kontoseite zu aktivieren.
	`account:PutAlternateContact`	Gewährt die Berechtigung zum Schreiben alternativer Kontakte für das Konto.
	`account:PutChallengeQuestions`	Gewährt die Berechtigung, Sicherheitsabfragen für das Konto zu erstellen. Anmerkung Diese Berechtigung gilt nur für die Konsole. Für diese Berechtigung ist kein API Zugriff verfügbar.
	`account:PutContactInformation`	Gewährt die Berechtigung, die erforderlich ist, um die Hauptkontaktinformationen, einschließlich der Adresse, für das Konto festzulegen oder zu schreiben.
	`billing:PutContractInformation`	Gewährt die Berechtigung, die Vertragsdaten des Kontos festzulegen, wenn das Konto für die Betreuung von Kunden des öffentlichen Sektors verwendet wird. Zu den Informationen, die abgerufen werden können, gehören die Namen der Endbenutzerorganisationen, die Vertragsnummer und die Bestellnummern. Anmerkung Diese Berechtigung gilt nur für die Konsole. Für diese Berechtigung ist kein API Zugriff verfügbar.
	`billing:Update*`	Erteilt die zum Ein- oder Ausschalten der Einstellung „IAMZugriff aktivieren“ auf der Kontoseite erforderliche Berechtigungsaktion.
	`payments:Update*`	Gewährt die Berechtigung zur Festlegung von Vorauszahlungen, Währungspräferenzen, Kontaktdaten und Adresse für die Rechnungsstellung sowie die Zahlungsbedingungen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

AWS Beispiele für Abrechnungsrichtlinien

Massenmigration Ihrer Richtlinien