Denegar a los usuarios el acceso a la consola de Administración de facturación y costos Denegue el acceso al widget de costo y uso de la AWS consola a las cuentas de los miembros Denegue el acceso al widget de costo y uso de la AWS consola a usuarios y roles específicos Permitir el acceso total a AWS los servicios pero denegar a los usuarios el acceso a la consola Billing and Cost Management Permitir a los usuarios ver la consola de Administración de facturación y costos, excepto la configuración de la cuenta Permitir a los usuarios modificar la información de facturación Permitir a los usuarios crear presupuestos Denegar el acceso a la configuración de la cuenta, pero permitir el acceso completo al resto de la información de facturación y de uso Informes de depósito en un bucket de Amazon S3 Ver costos y uso Habilite y deshabilite AWS las regiones Ver y actualizar la página Preferences (Preferencias) de Explorador de costos Ver, crear, actualizar y eliminar a través de la página Reports (Informes) de Explorador de costos Ver, crear, actualizar y eliminar reservas y alertas de Savings Plans Permita el acceso de solo lectura a la detección de anomalías de costes AWS Permita que AWS Budgets aplique las políticas de IAM y los SCP Permita que AWS Budgets aplique las políticas de IAM y los SCP y se dirija a las instancias de EC2 y RDS

AWS Ejemplos de políticas de gestión de costes

nota

Las siguientes acciones AWS Identity and Access Management (IAM) finalizaron el soporte estándar en julio de 2023:

espacio de nombres aws-portal
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

Si lo estás utilizando AWS Organizations, puedes usar los scripts de migración masiva de políticas para actualizar las políticas desde tu cuenta de pagador. También puede utilizar la referencia de mapeo de acciones de antigua a granular para verificar las acciones de IAM que deben agregarse.

Para obtener más información, consulta el blog sobre los cambios en la AWS facturación, la gestión de AWS costes y los permisos de las consolas de cuentas.

Si tienes o formas Cuenta de AWS parte de uno AWS Organizations creado el 6 de marzo de 2023 a las 11:00 (PDT) o después de esa fecha, las acciones detalladas ya están en vigor en tu organización.

Este tema contiene políticas de ejemplo que puede adjuntar a un rol de IAM para controlar el acceso a la información y herramientas de facturación de su cuenta. Las siguientes reglas básicas se aplican a las políticas de IAM para Administración de facturación y costos:

Version es siempre 2012-10-17.
Effect es siempre Allow o Deny.
Action es el nombre de la acción o un asterisco (*).

El prefijo de acción es budgets para AWS los presupuestos, cur los informes de AWS costes y uso, aws-portal la AWS facturación o el explorador ce de costes.
Resourcesiempre es * para AWS facturación.

Para las acciones que se llevan a cabo con un recurso de budget, especifique el nombre de recurso de Amazon (ARN) del presupuesto.
Es posible tener varias declaraciones en una política.

Para ver una lista de ejemplos de políticas de la consola de Facturación, consulte los Ejemplos de políticas de facturación en la Guía del usuario de facturación.

nota

Estas políticas requieren que active el acceso de usuario a la consola de Administración de facturación y costos en la página de la consola Configuración de la cuenta. Para obtener más información, consulte Activación del acceso a la consola de Administración de facturación y costos.

Temas

Denegar a los usuarios el acceso a la consola de Administración de facturación y costos
Denegue el acceso al widget de costo y uso de la AWS consola a las cuentas de los miembros
Denegue el acceso al widget de costo y uso de la AWS consola a usuarios y roles específicos
Permitir el acceso total a AWS los servicios pero denegar a los usuarios el acceso a la consola Billing and Cost Management
Permitir a los usuarios ver la consola de Administración de facturación y costos, excepto la configuración de la cuenta
Permitir a los usuarios modificar la información de facturación
Permitir a los usuarios crear presupuestos
Denegar el acceso a la configuración de la cuenta, pero permitir el acceso completo al resto de la información de facturación y de uso
Informes de depósito en un bucket de Amazon S3
Ver costos y uso
Habilite y deshabilite AWS las regiones
Ver y actualizar la página Preferences (Preferencias) de Explorador de costos
Ver, crear, actualizar y eliminar a través de la página Reports (Informes) de Explorador de costos
Ver, crear, actualizar y eliminar reservas y alertas de Savings Plans
Permita el acceso de solo lectura a la detección de anomalías de costes AWS
Permita que AWS Budgets aplique las políticas de IAM y los SCP
Permita que AWS Budgets aplique las políticas de IAM y los SCP y se dirija a las instancias de EC2 y RDS

Denegar a los usuarios el acceso a la consola de Administración de facturación y costos

Para denegar de forma explícita a un usuario el acceso a todas las páginas de la consola de Administración de facturación y costos, utilice una política similar a esta política de ejemplo.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "aws-portal:*",
            "Resource": "*"
        }
    ]
}

Para restringir el acceso de la cuenta de miembro (vinculada) a los datos de costo y uso, utilice su cuenta de administración (pagador) para acceder a la pestaña de preferencias del Explorador de costos y desmarque la opción Acceso de la cuenta vinculada. Esto denegará el acceso a los datos de costo y uso de la consola Cost Explorer (administración de AWS costos), la API Cost Explorer y el widget de costo y uso de la página de inicio de la AWS consola, independientemente de las acciones de IAM que realice el usuario o el rol de la cuenta de un miembro.

Denegue el acceso al widget de costo y uso de la AWS consola a usuarios y roles específicos

Para denegar el acceso a los widgets de costo y uso de la AWS consola a usuarios y roles específicos, usa la política de permisos que se indica a continuación.

nota

Al agregar esta política a un usuario o rol, se denegará a los usuarios el acceso a la consola AWS Cost Explorer (Cost Management) y a las API de Cost Explorer.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ce:*",
            "Resource": "*"
        }
    ]
}

Permitir el acceso total a AWS los servicios pero denegar a los usuarios el acceso a la consola Billing and Cost Management

Para denegar a los usuarios el acceso a todo el contenido de la consola de Administración de facturación y costos, utilice la siguiente política. En este caso, también debes denegar el acceso de los usuarios a AWS Identity and Access Management (IAM) para que no puedan acceder a las políticas que controlan el acceso a la información y las herramientas de facturación.

importante

Esta política no permite ninguna acción. Utilice esta política en combinación con otras políticas que permiten acciones específicas.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "aws-portal:*",
                "iam:*"
            ],
            "Resource": "*"
        }
    ]
}

Permitir a los usuarios ver la consola de Administración de facturación y costos, excepto la configuración de la cuenta

Esta política permite el acceso de solo lectura a toda la consola de Administración de facturación y costos, incluidas las páginas Método de pago e Informes, pero deniega el acceso a la página Configuración de la cuenta. De este modo, protege la contraseña de la cuenta, la información de contacto y las preguntas de seguridad.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:View*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "aws-portal:*Account",
            "Resource": "*"
        }
    ]
}

Permitir a los usuarios modificar la información de facturación

Para permitir que los usuarios modifiquen la información de facturación de la cuenta en la consola de Administración de facturación y costos, debe permitir que los usuarios consulten su información de facturación. La siguiente política de ejemplo permite a un usuario modificar las páginas de la consola Facturación unificada, Preferencias y Créditos. También permite a un usuario ver las siguientes páginas de la consola de Administración de facturación y costos:

Panel
Explorador de costos
Facturas
Pedidos y facturas
Pago por adelantado


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:*Billing",
            "Resource": "*"
        }
    ]
}

Permitir a los usuarios crear presupuestos

Para permitir a los usuarios crear presupuestos en la consola Billing and Cost Management, también debe permitir a los usuarios ver su información de facturación, crear CloudWatch alarmas y crear notificaciones de Amazon SNS. La siguiente política de ejemplo permite a un usuario de modificar la página de la consola Presupuesto.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1435216493000",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling",
                "aws-portal:ModifyBilling",
                "budgets:ViewBudget",
                "budgets:ModifyBudget"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "Stmt1435216514000",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "Stmt1435216552000",
            "Effect": "Allow",
            "Action": [
                "sns:*"
            ],
            "Resource": [
                "arn:aws:sns:us-east-1::"
            ]
        }
    ]
}

Denegar el acceso a la configuración de la cuenta, pero permitir el acceso completo al resto de la información de facturación y de uso

Para proteger la contraseña de su cuenta, la información de contacto y las preguntas de seguridad, puede denegar a los usuarios el acceso a Configuración de la cuenta, mientras permite el acceso completo al resto de las funcionalidades de la consola de Administración de facturación y costos, como se muestra en el siguiente ejemplo.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:*Billing",
                "aws-portal:*Usage",
                "aws-portal:*PaymentMethods"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "aws-portal:*Account",
            "Resource": "*"
        }
    ]
}

Informes de depósito en un bucket de Amazon S3

La siguiente política permite a Billing and Cost Management guardar tus AWS facturas detalladas en un bucket de Amazon S3, siempre y cuando seas propietario tanto de la AWS cuenta como del bucket de Amazon S3. Tenga en cuenta que esta política debe aplicarse al bucket de Amazon S3, en lugar de a un usuario. Es decir, es una política basada en recursos, no una política basada en usuario. Debe denegar el acceso de usuarios de al bucket para todos los usuarios de que no necesiten obtener acceso a las facturas.

Sustituya bucketname por el nombre de su bucket.

Para obtener más información, consulte Uso de políticas de bucket y políticas de usuario en la Guía del usuario de Amazon Simple Storage Service.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Principal": {
      "Service": "billingreports.amazonaws.com"
    },
    "Action": [
      "s3:GetBucketAcl",
      "s3:GetBucketPolicy"
    ],
    "Resource": "arn:aws:s3:::bucketname"
  },
  {
    "Effect": "Allow",
    "Principal": {
      "Service": "billingreports.amazonaws.com"
    },
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::bucketname/*"
  }
  ]
}

Ver costos y uso

Para permitir que los usuarios utilicen la API AWS Cost Explorer, utilice la siguiente política para concederles acceso.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ce:*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

Habilite y deshabilite AWS las regiones

Para ver un ejemplo de política de IAM que permite a los usuarios habilitar y deshabilitar regiones, consulte AWS: Permite habilitar y deshabilitar AWS regiones en la Guía del usuario de IAM.

Ver y actualizar la página Preferences (Preferencias) de Explorador de costos

Esta política permite a un usuario ver y actualizar a través de la página Preferencias de Explorador de costos.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling",
        "ce:UpdatePreferences"
       ],
      "Resource": "*"
    }
  ]
}

La siguiente política permite a los usuarios ver Explorador de costos, pero no les permite ver o editar la página Preferencias.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:GetPreferences",
                "ce:UpdatePreferences"
            ],
            "Resource": "*"
        }
    ]
}

La siguiente política permite a los usuarios ver Explorador de costos, pero no les permite editar la página Preferencias.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:UpdatePreferences"
            ],
            "Resource": "*"
        }
    ]
}

Ver, crear, actualizar y eliminar a través de la página Reports (Informes) de Explorador de costos

Esta política permite a un usuario ver, crear, actualizar y eliminar a través de la página Informes de Explorador de costos.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling",
        "ce:CreateReport",
        "ce:UpdateReport",
        "ce:DeleteReport"
       ],
      "Resource": "*"
    }
  ]
}

La siguiente política permite a los usuarios ver Explorador de costos, pero no les permite ver o editar la página Informes.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:DescribeReport",
                "ce:CreateReport",
                "ce:UpdateReport",
                "ce:DeleteReport"
            ],
            "Resource": "*"
        }
    ]
}

La siguiente política permite a los usuarios ver Explorador de costos, pero no les permite editar la página Informes.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action":  
                "ce:CreateReport",
                "ce:UpdateReport",
                "ce:DeleteReport"
            ],
            "Resource": "*"
        }
    ]
}

Ver, crear, actualizar y eliminar reservas y alertas de Savings Plans

Esta política permite a un usuario ver, crear, actualizar y eliminar alertas de vencimiento de reservas y alertas de Savings Plans. Para editar las alertas de vencimiento de reservas o las alertas de Savings Plans, un usuario necesita las tres acciones granulares: ce:CreateNotificationSubscription, ce:UpdateNotificationSubscription y ce:DeleteNotificationSubscription.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling",
        "ce:CreateNotificationSubscription",
        "ce:UpdateNotificationSubscription",
        "ce:DeleteNotificationSubscription"
       ],
      "Resource": "*"
    }
  ]
}

La siguiente política permite a los usuarios ver Explorador de costos, pero no les permite ver o editar las páginas Alertas de vencimiento de reservas y Alertas de Savings Plans.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:DescribeNotificationSubscription",
                "ce:CreateNotificationSubscription",
                "ce:UpdateNotificationSubscription",
                "ce:DeleteNotificationSubscription"
            ],
            "Resource": "*"
        }
    ]
}

La siguiente política permite a los usuarios ver Explorador de costos, pero no les permite editar las páginas Alertas de vencimiento de reservas y Alertas de Savings Plans.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:CreateNotificationSubscription",
                "ce:UpdateNotificationSubscription",
                "ce:DeleteNotificationSubscription"
            ],
            "Resource": "*"
        }
    ]
}

Permita el acceso de solo lectura a la detección de anomalías de costes AWS

Para permitir a los usuarios el acceso de solo lectura a AWS Cost Anomaly Detection, utilice la siguiente política para concederles el acceso. ce:ProvideAnomalyFeedbackes opcional como parte del acceso de solo lectura.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ce:Get*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Permita que AWS Budgets aplique las políticas de IAM y los SCP

Esta política permite a AWS Budgets aplicar las políticas de IAM y las políticas de control de servicios (SCP) en nombre del usuario.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:AttachGroupPolicy",
        "iam:AttachRolePolicy",
        "iam:AttachUserPolicy",
        "iam:DetachGroupPolicy",
        "iam:DetachRolePolicy",
        "iam:DetachUserPolicy",
        "organizations:AttachPolicy",
        "organizations:DetachPolicy"
      ],
      "Resource": "*"
    }
  ]
}

Permita que AWS Budgets aplique las políticas de IAM y los SCP y se dirija a las instancias de EC2 y RDS

Esta política permite a AWS Budgets aplicar políticas de IAM y políticas de control de servicios (SCP) y dirigirse a las instancias de Amazon EC2 y Amazon RDS en nombre del usuario.

Política de confianza

nota

Esta política de confianza permite a AWS Budgets asumir una función que puede solicitar a otros servicios en su nombre. Para obtener más información sobre las mejores prácticas respecto a permisos entre servicios como este, consulte Prevención de la sustitución confusa entre servicios.


{
"Version": "2012-10-17",
"Statement": [
  {
    "Effect": "Allow",
    "Principal": {
      "Service": "budgets.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:budgets::123456789012:budget/*"
      },
      "StringEquals": {
        "aws:SourceAccount": "123456789012"
      }
    }
  }
]
}

Política de permisos


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstanceStatus",
        "ec2:StartInstances",
        "ec2:StopInstances",
        "iam:AttachGroupPolicy",
        "iam:AttachRolePolicy",
        "iam:AttachUserPolicy",
        "iam:DetachGroupPolicy",
        "iam:DetachRolePolicy",
        "iam:DetachUserPolicy",
        "organizations:AttachPolicy",
        "organizations:DetachPolicy",
        "rds:DescribeDBInstances",
        "rds:StartDBInstance",
        "rds:StopDBInstance",
        "ssm:StartAutomationExecution"
      ],
      "Resource": "*"
    }
  ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Uso de políticas de IAM para la gestión de costes AWS

Migración del control de acceso