Migration der Zugriffskontrolle für AWS Billing

Anmerkung

Für die folgenden AWS Identity and Access Management (IAM-) Aktionen wurde der Standardsupport im Juli 2023 eingestellt:

Namespace aws-portal
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

Wenn Sie verwenden AWS Organizations, können Sie die Bulk Policy Migrator-Skripte oder den Bulk Policy Migrator verwenden, um die Richtlinien von Ihrem Zahlerkonto aus zu aktualisieren. Sie können auch die Referenz zur Zuordnung detaillierter IAM-Aktionen verwenden, um die IAM-Aktionen zu überprüfen, die hinzugefügt werden müssen.

Wenn Sie über einen am oder nach dem 6. März 2023 AWS-Konto, 11:00 Uhr (PDT) AWS Organizations erstellten verfügen oder Teil eines solchen sind, sind die detaillierten Maßnahmen in Ihrer Organisation bereits wirksam.

Sie können detaillierte Zugriffskontrollen verwenden, um Einzelpersonen in Ihrer Organisation Zugriff auf Dienste zu gewähren. AWS Billing and Cost Management Sie können beispielsweise den Zugriff auf den Cost Explorer bereitstellen, ohne Zugriff auf die Fakturierungs- und Kostenmanagement-Konsole zu gewähren.

Um die detaillierten Zugriffskontrollen verwenden zu können, müssen Sie Ihre Richtlinien von aws-portal auf die neuen IAM-Aktionen migrieren.

Die folgenden IAM-Aktionen in Ihren Berechtigungsrichtlinien oder Service-Kontrollrichtlinien (SCP) müssen bei dieser Migration aktualisiert werden:

aws-portal:ViewAccount
aws-portal:ViewBilling
aws-portal:ViewPaymentMethods
aws-portal:ViewUsage
aws-portal:ModifyAccount
aws-portal:ModifyBilling
aws-portal:ModifyPaymentMethods
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

Informationen dazu, wie Sie das Tool Betroffene Richtlinien verwenden können, um Ihre betroffenen IAM-Richtlinien zu identifizieren, finden Sie unter Wie Sie das Tool für betroffene Richtlinien verwenden.

Anmerkung

Der API-Zugriff auf AWS Cost Explorer, AWS Kosten- und Nutzungsberichte sowie AWS Budgets bleiben davon unberührt.

Aktivieren des Zugriffs auf die Konsole für Fakturierung und Kostenmanagement bleiben unverändert.

Themen

Verwalten von Zugriffsberechtigungen

AWS Billing ist in den AWS Identity and Access Management (IAM) -Service integriert, sodass Sie kontrollieren können, wer in Ihrer Organisation auf bestimmte Seiten in der Billing and Cost Management-Konsole zugreifen kann. Dazu gehören Features wie Zahlungen, Abrechnung, Gutschriften, kostenloses Kontingent, Zahlungseinstellungen, konsolidierte Abrechnung, Steuereinstellungen und Kontoseiten.

Verwenden Sie die folgenden IAM-Berechtigungen zur differenzierten Steuerung der Fakturierungs- und Kostenmanagement-Konsole.

Um einen detaillierten Zugriff zu ermöglichen, ersetzen Sie die aws-portal-Richtlinie durch account, billing, payments, freetier, invoicing, tax, und consolidatedbilling.

Ersetzen Sie zusätzlich purchase-orders:ViewPurchaseOrders und purchase-orders:ModifyPurchaseOrders durch die detaillierten Aktionen aus purchase-orders, account, und payments.

Mithilfe detaillierter Aktionen AWS Billing

Diese Tabelle fasst die Berechtigungen zusammen, die IAM-Benutzern und -Rollen den Zugriff auf Ihre Fakturierungsinformationen gewähren oder verweigern. Beispiele für Richtlinien, die diese Berechtigungen benutzen, finden Sie unter AWS Beispiele für Abrechnungsrichtlinien.

Eine Liste der Aktionen für die AWS Cost Management Konsole finden Sie unter AWS Cost Management Aktionsrichtlinien im AWS Cost Management Benutzerhandbuch.

Feature-Name in der Fakturierungs- und Kostenmanagement-Konsole	IAM-Aktion	Beschreibung
Startseite: Rechnungen	`account:GetAccountInformation` `billing:Get` `payments:List` `tax:List*`	Gewährt die Berechtigung zur Ansicht der Startseite. Diese Berechtigungen sind schreibgeschützt. Anmerkung Diese Berechtigungen gelten nur für die Konsole. Für diese Berechtigungen ist kein API-Zugriff verfügbar.
Rechnungen	`account:GetAccountInformation` `billing:Get` `consolidatedbilling:Get` `consolidatedbilling:List` `invoicing:List` `payments:List*`	Gewährt die Berechtigung zur Ansicht der Rechnungsseite. Diese Berechtigungen sind schreibgeschützt. Anmerkung Diese Berechtigungen gelten nur für die Konsole. Für diese Berechtigungen ist kein API-Zugriff verfügbar.
	`invoicing:Get*`	Gewährt die Berechtigung zum Herunterladen von Rechnungen von der Rechnungsseite. Anmerkung Diese Berechtigung gilt nur für die Konsole. Für diese Berechtigung ist kein API-Zugriff verfügbar.
	`cur:Get*`	Gewährt die Berechtigung zum Herunterladen von CSV-Berichten von der Rechnungsseite. Anmerkung Diese Berechtigung gilt nur für die Konsole. Für diese Berechtigung ist kein API-Zugriff verfügbar.
	`billing:ListBillingViews`	Erteilt die Berechtigung, die einzelnen erstellten AWS Billing Conductor Abrechnungsgruppen `ARN` und deren Beschreibung einzusehen. Dies ist erforderlich, um eine Berichtspriorität für bestimmte Gruppen zu erstellen. Anmerkung Diese Berechtigung gilt nur für die Konsole. Für diese Berechtigung ist kein API-Zugriff verfügbar.
Zahlungen	`account:GetAccountInformation` `billing:Get` `payments:Get` `payments:List*`	Gewährt die Berechtigung zur Ansicht der Seite Zahlungen. Dies sind schreibgeschützte Berechtigungen für die Registerkarten Payments due (Fällige Zahlungen), Unapplied funds (Nicht eingesetzte Mittel), Transaction (Überweisung) und Advance pay (Vorauszahlung). Anmerkung Diese Berechtigungen gelten nur für die Konsole. Für diese Berechtigungen ist kein API-Zugriff verfügbar.
	`invoicing:Get*`	Gewährt die Berechtigung zum Herunterladen einer Rechnung von der Registerkarte Überweisungen. Anmerkung Diese Berechtigung gilt nur für die Konsole. Für diese Berechtigung ist kein API-Zugriff verfügbar.
	`payments:Update*`	Gewährt die Berechtigung, Advance Pay zu verwenden und Zahlungsdetails einzurichten.
	`payments:Make` `invoicing:Get`	Gewährt die Berechtigung, einen Finanzierungsantrag für Advance Pay zu erstellen und eine Zahlung vorzunehmen.
Guthaben	`billing:Get*` `account:GetAccountInformation`	Gewährt die Berechtigung zur Ansicht der Seite Guthaben.
Guthaben	`billing:RedeemCredits`	Gewährt die Berechtigung zur Einlösung von Guthaben.
Bestellungen	`account:GetAccountInformation` `account:GetContactInformation` `payments:Get` `payments:List` `purchase-orders:ListPurchaseOrders` `purchase-orders:ListPurchaseOrderInvoices` `tax:ListTaxRegistrations` `consolidatedbilling:GetAccountBillingRole`	Gewährt die Berechtigung zur Ansicht der Seite Bestellungen.
	`purchase-orders:GetPurchaseOrder`	Gewährt die Berechtigung, Details zu einer Bestellung einzusehen.
	`purchase-orders:AddPurchaseOrder`	Gewährt die Berechtigung zum Hinzufügen einer Bestellung.
	`purchase-orders:DeletePurchaseOrder`	Gewährt die Berechtigung zum Löschen einer Bestellung.
	`purchase-orders:UpdatePurchaseOrder` `purchase-orders:UpdatePurchaseOrderStatus`	Gewährt die Berechtigung zur Aktualisierung von Bestellungen und Bestellstatus.
AWS Kosten- und Nutzungsberichte	`cur:GetClassic*` `cur:DescribeReportDefinitions`	Erteilt die Berechtigung zum Anzeigen einer Liste von AWS CUR-Berichten auf der Seite AWS Kosten- und Nutzungsberichte. Anmerkung `cur:GetClassic*` ist eine Berechtigung, die nur für die Konsole gilt. Für diese Berechtigung ist kein API-Zugriff verfügbar.
	`billing:ListBillingViews`	Erteilt die Berechtigung, die einzelnen in AWS Billing Conductor erstellten Abrechnungsgruppen `ARN` und deren Beschreibung einzusehen. Dies ist erforderlich, um eine Berichtspriorität für bestimmte Gruppen zu erstellen. Anmerkung Diese Berechtigung gilt nur für die Konsole. Für diese Berechtigung ist kein API-Zugriff verfügbar.
	`s3:ListAllMyBuckets` `s3:CreateBucket` `s3:PutBucketPolicy` `s3:GetBucketLocation` `cur:Validate*` `cur:PutReportDefinition`	Erteilt Genehmigungsaktionen, die für die Erstellung eines neuen AWS CUR-Berichts erforderlich sind. Anmerkung `cur:Validate*` ist eine Berechtigung, die nur für die Konsole gilt. Für diese Berechtigungen ist kein API-Zugriff verfügbar.
	`cur:Validate*` `s3:CreateBucket` `s3:ListAllMyBuckets` `s3:PutBucketPolicy` `s3:GetBucketLocation` `cur:ModifyReportDefinition`	Erteilt die Berechtigung zum Bearbeiten der AWS CUR-Definition. Anmerkung `cur:Validate*` ist eine Berechtigung, die nur für die Konsole gilt. Für diese Berechtigungen ist kein API-Zugriff verfügbar.
	`cur:DeleteReportDefinition`	Erteilt die Berechtigung zum Löschen von AWS CUR-Berichten.
	`cur:GetUsage*`	Gewährt die Berechtigung zum Herunterladen von Nutzungsberichten.
	`sustainability:GetCarbonFootprintSummary`	Gewährt die Berechtigung zur Ansicht von Nachhaltigkeitsdaten für Ihr AWS-Konto.
Kostenkategorien	`account:GetAccountInformation` `ce:ListCostCategoryDefinitions` `ce:DescribeCostCategoryDefinition` `ce:GetCostAndUsage` `ce:ListTagsForResource` `consolidatedbilling:GetAccountBillingRole`	Gewährt die Berechtigung, Kostenkategorien einzusehen. Anmerkung `account:GetAccountInformation` ist eine Berechtigung, die nur für die Konsole gilt. Für diese Berechtigungen ist kein API-Zugriff verfügbar.
	`billing:Get` `ce:TagResource` `ce:ListCostAllocationTags` `consolidatedbilling:List` `ce:CreateCostCategoryDefinition` `pricing:DescribeServices` `ce:GetDimensionValues` `ce:GetTags`	Gewährt die Berechtigung, Kostenkategorien zu erstellen. Anmerkung `billing:Get` und `consolidatedbilling:List` ist eine Berechtigung, die nur für die Konsole gilt. Für diese Berechtigungen ist kein API-Zugriff verfügbar.
	`ce:UpdateCostCategoryDefinition` `ce:UntagResource`	Gewährt die Berechtigung zur Änderung von Kostenkategorien.
	`ce:DeleteCostCategoryDefinition`	Gewährt die Berechtigung zum Löschen von Kostenkategorien.
Kostenzuordnungs-Tags	`account:GetAccountInformation` `ce:ListCostAllocationTags` `consolidatedbilling:GetAccountBillingRole`	Gewährt die Berechtigung zur Anzeige von Kostenzuordnungs-Tags.
Kostenzuordnungs-Tags	`ce:UpdateCostAllocationTagsStatus`	Gewährt die Berechtigung zur Aktivierung oder Deaktivierung von Kostenzuordnungs-Tags.
AWS Budgets	`budgets:ViewBudget` `budgets:DescribeBudgetActionsForBudget` `budgets:DescribeBudgetAction` `budgets:DescribeBudgetActionsForAccount` `budgets:DescribeBudgetActionHistories`	Gewährt die Berechtigung zur Ansicht der Seite Budgets.
AWS Budgets	`budgets:CreateBudgetAction` `budgets:ExecuteBudgetAction` `budgets:DeleteBudgetAction` `budgets:UpdateBudgetAction` `budgets:ModifyBudget`	Gewährt die Berechtigung zum Erstellen, Löschen und Ändern von Budgets und Budgetaktionen.
Kostenloses Kontingent	`billing:Get` `freetier:Get`	Gewährt die Berechtigung, die Nutzungsgrenzen des kostenlosen -Kontingents und den Status der bisherigen Nutzung im Monat (month-to-date – MTD) einzusehen.
Fakturierungseinstellungen	`account:GetAccountInformation` `billing:Get` `consolidatedbilling:Get` `consolidatedbilling:List` `cur:GetClassic` `cur:Validate` `freetier:Get` `invoicing:Get*`	Gewährt die Berechtigungen, die erforderlich sind, um alle Abschnitte auf der Seite Fakturierungseinstellungen einzusehen. Anmerkung Diese Berechtigungen gelten nur für die Konsole. Für diese Berechtigungen ist kein API-Zugriff verfügbar.
Fakturierungseinstellungen	`billing:Update` `freetier:Put` `cur:PutClassic` `s3:ListAllMyBuckets` `s3:CreateBucket` `s3:PutBucketPolicy` `s3:GetBucketLocation` `invoicing:Put`	Gewährt die Berechtigung, die folgenden Änderungen auf der Seite Fakturierungseinstellungen vorzunehmen: Aktivieren oder deaktivieren Sie die Aufteilung von Guthaben in RI oder Savings-Plans-Rabattaufteilung Legen Sie die Einstellungen für Free Tier Usage Alert (Warnung der Datennutzung im kostenlosen Kontingent) fest Legen Sie detailed billing reports (detaillierte Fakturierungsberichte), Liefereinstellungen und Präferenzen fest Legen Sie die PDF invoice by email (PDF-Rechnung per E-Mail)-Einstellungen fest oder aktualisieren Sie sie Anmerkung `billing:Update`, `freetier:Put`, `cur:PutClassic*` sind Berechtigungen, die nur für die Konsole gelten. Für diese Berechtigungen ist kein API-Zugriff verfügbar.
Zahlungspräferenzen	`account:GetAccountInformation` `billing:Get` `payments:GetPaymentInstrument` `payments:List` `payments:GetPaymentStatus`	Gewährt die Berechtigung zur Ansicht der Seite Fakturierungseinstellungen. Anmerkung Diese Berechtigungen gelten nur für die Konsole. Für diese Berechtigungen ist kein API-Zugriff verfügbar.
	`payments:Update` `payments:Make` `payments:CreatePaymentInstrument` `payments:DeletePaymentInstrument`	Gewährt die Berechtigung zum Erstellen oder Aktualisieren von Zahlungsarten. Anmerkung `payments:Make*` ist nur erforderlich, wenn für eine Zahlungskarte die Multi-Faktor-Authentifizierung (MFA) verlangt.
	`tax:PutTaxRegistration` `tax:Delete*` `payments:UpdatePaymentPreferences` `payments:CreatePaymentInstrument`	Gewährt die Berechtigung zum Aktualisieren oder Löschen von Steuerregistrierungsnummern.
	`payments:Update*`	Gewährt die Berechtigung zur Aktualisierung von Zahlungsprofilen. Anmerkung Diese Berechtigung gilt nur für die Konsole. Für diese Berechtigung ist kein API-Zugriff verfügbar.
Steuereinstellungen	`tax:List` `tax:Get`	Gewährt die Berechtigung, die Steuereinstellungen einzusehen.
	`tax:BatchPut*`	Gewährt die Berechtigung, die zur Aktualisierung der Steuereinstellungen erforderlich ist.
	`tax:Put*`	Gewährt die Berechtigung zum Einrichten des Steuererbes.
	`tax:UpdateExemptions` `support:CreateCase` `support:AddAttachmentsToSet`	Gewährt die Berechtigung zur Aktualisierung der Steuerbefreiung.
Account	`account:Get` `account:List` `billing:Get` `payments:List`	Gewährt die Berechtigung, die Kontoeinstellungen einzusehen. Anmerkung `billing:Get*` ist eine Berechtigung, die nur für die Konsole gilt. Für diese Berechtigung ist kein API-Zugriff verfügbar.
	`account:CloseAccount`	Erteilt die Erlaubnis zum Schließen AWS-Konten. Anmerkung Diese Berechtigung gilt nur für die Konsole. Für diese Berechtigung ist kein API-Zugriff verfügbar.
	`account:DisableRegion`	Erteilt die Erlaubnis, eine AWS Region auf der Kontoseite zu deaktivieren.
	`account:EnableRegion`	Erteilt die Erlaubnis, eine AWS Region auf der Kontoseite zu aktivieren.
	`account:PutAlternateContact`	Gewährt die Berechtigung zum Schreiben alternativer Kontakte für das Konto.
	`account:PutChallengeQuestions`	Gewährt die Berechtigung, Sicherheitsabfragen für das Konto zu erstellen. Anmerkung Diese Berechtigung gilt nur für die Konsole. Für diese Berechtigung ist kein API-Zugriff verfügbar.
	`account:PutContactInformation`	Gewährt die Berechtigung, die erforderlich ist, um die Hauptkontaktinformationen, einschließlich der Adresse, für das Konto festzulegen oder zu schreiben.
	`billing:PutContractInformation`	Gewährt die Berechtigung, die Vertragsdaten des Kontos festzulegen, wenn das Konto für die Betreuung von Kunden des öffentlichen Sektors verwendet wird. Zu den Informationen, die abgerufen werden können, gehören die Namen der Endbenutzerorganisationen, die Vertragsnummer und die Bestellnummern. Anmerkung Diese Berechtigung gilt nur für die Konsole. Für diese Berechtigung ist kein API-Zugriff verfügbar.
	`billing:Update*`	Gewährt die Berechtigung, die erforderlich ist, um die Einstellung IAM-Zugriff aktivieren auf der Seite Konto zu aktivieren oder zu deaktivieren.
	`payments:Update*`	Gewährt die Berechtigung zur Festlegung von Vorauszahlungen, Währungspräferenzen, Kontaktdaten und Adresse für die Rechnungsstellung sowie die Zahlungsbedingungen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

AWS Beispiele für Abrechnungsrichtlinien

Massenmigration Ihrer Richtlinien