Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS Ejemplos de políticas de gestión de costes
nota
Las siguientes acciones AWS Identity and Access Management (IAM) finalizaron el soporte estándar en julio de 2023:
-
espacio de nombres
aws-portal
-
purchase-orders:ViewPurchaseOrders
-
purchase-orders:ModifyPurchaseOrders
Si lo estás utilizando AWS Organizations, puedes usar los scripts de migración masiva de políticas para actualizar las políticas desde tu cuenta de pagador. También puede utilizar la referencia de mapeo de acciones de antigua a granular para verificar las acciones de IAM que deben agregarse.
Para obtener más información, consulta el blog sobre los cambios en la AWS facturación, la gestión de AWS costes y los permisos de las consolas de cuentas
Si tienes o formas Cuenta de AWS parte de uno AWS Organizations creado el 6 de marzo de 2023 a las 11:00 (PDT) o después de esa fecha, las acciones detalladas ya están en vigor en tu organización.
Este tema contiene políticas de ejemplo que puede adjuntar a un rol de IAM para controlar el acceso a la información y herramientas de facturación de su cuenta. Las siguientes reglas básicas se aplican a las políticas de IAM para Administración de facturación y costos:
-
Version
es siempre2012-10-17
. -
Effect
es siempreAllow
oDeny
. -
Action
es el nombre de la acción o un asterisco (*
).El prefijo de acción es
budgets
para AWS los presupuestos,cur
los informes de AWS costes y uso,aws-portal
la AWS facturación o el exploradorce
de costes. -
Resource
siempre es*
para AWS facturación.Para las acciones que se llevan a cabo con un recurso de
budget
, especifique el nombre de recurso de Amazon (ARN) del presupuesto. -
Es posible tener varias declaraciones en una política.
Para ver una lista de ejemplos de políticas de la consola de Facturación, consulte los Ejemplos de políticas de facturación en la Guía del usuario de facturación.
nota
Estas políticas requieren que active el acceso de usuario a la consola de Administración de facturación y costos en la página de la consola Configuración de la cuenta
Temas
- Denegar a los usuarios el acceso a la consola de Administración de facturación y costos
- Denegue el acceso al widget de costo y uso de la AWS consola a las cuentas de los miembros
- Denegue el acceso al widget de costo y uso de la AWS consola a usuarios y roles específicos
- Permitir el acceso total a AWS los servicios pero denegar a los usuarios el acceso a la consola Billing and Cost Management
- Permitir a los usuarios ver la consola de Administración de facturación y costos, excepto la configuración de la cuenta
- Permitir a los usuarios modificar la información de facturación
- Permitir a los usuarios crear presupuestos
- Denegar el acceso a la configuración de la cuenta, pero permitir el acceso completo al resto de la información de facturación y de uso
- Informes de depósito en un bucket de Amazon S3
- Ver costos y uso
- Habilite y deshabilite AWS las regiones
- Ver y actualizar la página Preferences (Preferencias) de Explorador de costos
- Ver, crear, actualizar y eliminar a través de la página Reports (Informes) de Explorador de costos
- Ver, crear, actualizar y eliminar reservas y alertas de Savings Plans
- Permita el acceso de solo lectura a la detección de anomalías de costes AWS
- Permita que AWS Budgets aplique las políticas de IAM y los SCP
- Permita que AWS Budgets aplique las políticas de IAM y los SCP y se dirija a las instancias de EC2 y RDS
Denegar a los usuarios el acceso a la consola de Administración de facturación y costos
Para denegar de forma explícita a un usuario el acceso a todas las páginas de la consola de Administración de facturación y costos, utilice una política similar a esta política de ejemplo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "aws-portal:*", "Resource": "*" } ] }
Denegue el acceso al widget de costo y uso de la AWS consola a las cuentas de los miembros
Para restringir el acceso de la cuenta de miembro (vinculada) a los datos de costo y uso, utilice su cuenta de administración (pagador) para acceder a la pestaña de preferencias del Explorador de costos y desmarque la opción Acceso de la cuenta vinculada. Esto denegará el acceso a los datos de costo y uso de la consola Cost Explorer (administración de AWS costos), la API Cost Explorer y el widget de costo y uso de la página de inicio de la AWS consola, independientemente de las acciones de IAM que realice el usuario o el rol de la cuenta de un miembro.
Denegue el acceso al widget de costo y uso de la AWS consola a usuarios y roles específicos
Para denegar el acceso a los widgets de costo y uso de la AWS consola a usuarios y roles específicos, usa la política de permisos que se indica a continuación.
nota
Al agregar esta política a un usuario o rol, se denegará a los usuarios el acceso a la consola AWS Cost Explorer (Cost Management) y a las API de Cost Explorer.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ce:*", "Resource": "*" } ] }
Permitir el acceso total a AWS los servicios pero denegar a los usuarios el acceso a la consola Billing and Cost Management
Para denegar a los usuarios el acceso a todo el contenido de la consola de Administración de facturación y costos, utilice la siguiente política. En este caso, también debes denegar el acceso de los usuarios a AWS Identity and Access Management (IAM) para que no puedan acceder a las políticas que controlan el acceso a la información y las herramientas de facturación.
importante
Esta política no permite ninguna acción. Utilice esta política en combinación con otras políticas que permiten acciones específicas.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } ] }
Permitir a los usuarios ver la consola de Administración de facturación y costos, excepto la configuración de la cuenta
Esta política permite el acceso de solo lectura a toda la consola de Administración de facturación y costos, incluidas las páginas Método de pago e Informes, pero deniega el acceso a la página Configuración de la cuenta. De este modo, protege la contraseña de la cuenta, la información de contacto y las preguntas de seguridad.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:View*", "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
Permitir a los usuarios modificar la información de facturación
Para permitir que los usuarios modifiquen la información de facturación de la cuenta en la consola de Administración de facturación y costos, debe permitir que los usuarios consulten su información de facturación. La siguiente política de ejemplo permite a un usuario modificar las páginas de la consola Facturación unificada, Preferencias y Créditos. También permite a un usuario ver las siguientes páginas de la consola de Administración de facturación y costos:
-
Panel
-
Explorador de costos
-
Facturas
-
Pedidos y facturas
-
Pago por adelantado
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:*Billing", "Resource": "*" } ] }
Permitir a los usuarios crear presupuestos
Para permitir a los usuarios crear presupuestos en la consola Billing and Cost Management, también debe permitir a los usuarios ver su información de facturación, crear CloudWatch alarmas y crear notificaciones de Amazon SNS. La siguiente política de ejemplo permite a un usuario de modificar la página de la consola Presupuesto.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1435216493000", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "aws-portal:ModifyBilling", "budgets:ViewBudget", "budgets:ModifyBudget" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216514000", "Effect": "Allow", "Action": [ "cloudwatch:*" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216552000", "Effect": "Allow", "Action": [ "sns:*" ], "Resource": [ "arn:aws:sns:us-east-1::" ] } ] }
Denegar el acceso a la configuración de la cuenta, pero permitir el acceso completo al resto de la información de facturación y de uso
Para proteger la contraseña de su cuenta, la información de contacto y las preguntas de seguridad, puede denegar a los usuarios el acceso a Configuración de la cuenta, mientras permite el acceso completo al resto de las funcionalidades de la consola de Administración de facturación y costos, como se muestra en el siguiente ejemplo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:*Billing", "aws-portal:*Usage", "aws-portal:*PaymentMethods" ], "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
Informes de depósito en un bucket de Amazon S3
La siguiente política permite a Billing and Cost Management guardar tus AWS facturas detalladas en un bucket de Amazon S3, siempre y cuando seas propietario tanto de la AWS cuenta como del bucket de Amazon S3. Tenga en cuenta que esta política debe aplicarse al bucket de Amazon S3, en lugar de a un usuario. Es decir, es una política basada en recursos, no una política basada en usuario. Debe denegar el acceso de usuarios de al bucket para todos los usuarios de que no necesiten obtener acceso a las facturas.
Sustituya bucketname
por el nombre de su bucket.
Para obtener más información, consulte Uso de políticas de bucket y políticas de usuario en la Guía del usuario de Amazon Simple Storage Service.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": [ "s3:GetBucketAcl", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::
bucketname
" }, { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucketname
/*" } ] }
Ver costos y uso
Para permitir que los usuarios utilicen la API AWS Cost Explorer, utilice la siguiente política para concederles acceso.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:*" ], "Resource": [ "*" ] } ] }
Habilite y deshabilite AWS las regiones
Para ver un ejemplo de política de IAM que permite a los usuarios habilitar y deshabilitar regiones, consulte AWS: Permite habilitar y deshabilitar AWS regiones en la Guía del usuario de IAM.
Ver y actualizar la página Preferences (Preferencias) de Explorador de costos
Esta política permite a un usuario ver y actualizar a través de la página Preferencias de Explorador de costos.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:UpdatePreferences" ], "Resource": "*" } ] }
La siguiente política permite a los usuarios ver Explorador de costos, pero no les permite ver o editar la página Preferencias.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:GetPreferences", "ce:UpdatePreferences" ], "Resource": "*" } ] }
La siguiente política permite a los usuarios ver Explorador de costos, pero no les permite editar la página Preferencias.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:UpdatePreferences" ], "Resource": "*" } ] }
Ver, crear, actualizar y eliminar a través de la página Reports (Informes) de Explorador de costos
Esta política permite a un usuario ver, crear, actualizar y eliminar a través de la página Informes de Explorador de costos.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
La siguiente política permite a los usuarios ver Explorador de costos, pero no les permite ver o editar la página Informes.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeReport", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
La siguiente política permite a los usuarios ver Explorador de costos, pero no les permite editar la página Informes.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
Ver, crear, actualizar y eliminar reservas y alertas de Savings Plans
Esta política permite a un usuario ver, crear, actualizar y eliminar alertas de vencimiento de reservas y alertas de Savings Plans. Para editar las alertas de vencimiento de reservas o las alertas de Savings Plans, un usuario necesita las tres acciones granulares: ce:CreateNotificationSubscription
, ce:UpdateNotificationSubscription
y ce:DeleteNotificationSubscription
.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
La siguiente política permite a los usuarios ver Explorador de costos, pero no les permite ver o editar las páginas Alertas de vencimiento de reservas y Alertas de Savings Plans.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeNotificationSubscription", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
La siguiente política permite a los usuarios ver Explorador de costos, pero no les permite editar las páginas Alertas de vencimiento de reservas y Alertas de Savings Plans.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
Permita el acceso de solo lectura a la detección de anomalías de costes AWS
Para permitir a los usuarios el acceso de solo lectura a AWS Cost Anomaly Detection, utilice la siguiente política para concederles el acceso. ce:ProvideAnomalyFeedback
es opcional como parte del acceso de solo lectura.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ce:Get*" ], "Effect": "Allow", "Resource": "*" } ] }
Permita que AWS Budgets aplique las políticas de IAM y los SCP
Esta política permite a AWS Budgets aplicar las políticas de IAM y las políticas de control de servicios (SCP) en nombre del usuario.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy" ], "Resource": "*" } ] }
Permita que AWS Budgets aplique las políticas de IAM y los SCP y se dirija a las instancias de EC2 y RDS
Esta política permite a AWS Budgets aplicar políticas de IAM y políticas de control de servicios (SCP) y dirigirse a las instancias de Amazon EC2 y Amazon RDS en nombre del usuario.
Política de confianza
nota
Esta política de confianza permite a AWS Budgets asumir una función que puede solicitar a otros servicios en su nombre. Para obtener más información sobre las mejores prácticas respecto a permisos entre servicios como este, consulte Prevención de la sustitución confusa entre servicios.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "budgets.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:budgets::123456789012:budget/*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } ] }
Política de permisos
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance", "ssm:StartAutomationExecution" ], "Resource": "*" } ] }