Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de políticas basadas en la identidad (políticas de IAM) para la gestión de costes AWS
nota
Las siguientes acciones AWS Identity and Access Management (IAM) finalizaron el soporte estándar en julio de 2023:
-
espacio de nombres
aws-portal -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
Si lo estás utilizando AWS Organizations, puedes usar los scripts de migración masiva de políticas para actualizar las políticas desde tu cuenta de pagador. También puede utilizar la referencia de mapeo de acciones de antigua a granular para verificar las acciones de IAM que deben agregarse.
Para obtener más información, consulta el blog sobre los cambios en la AWS facturación, la gestión de AWS costes y los permisos de las consolas de cuentas
Si tienes o formas Cuenta de AWS parte de uno AWS Organizations creado el 6 de marzo de 2023 a las 11:00 (PDT) o después de esa fecha, las acciones detalladas ya están en vigor en tu organización.
En este tema se ofrecen ejemplos de políticas basadas en identidad que muestran cómo un administrador de una cuenta puede adjuntar políticas de permisos a identidades de IAM (es decir, grupos y roles) y, de ese modo, conceder permisos para realizar operaciones en recursos de la Administración de facturación y costos.
Para obtener un análisis completo de AWS las cuentas y los usuarios, consulta ¿Qué es la IAM? en la Guía del usuario de IAM.
Para obtener más información acerca de cómo actualizar las políticas administradas por el cliente, consulte Edición de políticas administradas por el cliente (consola) en la Guía del usuario de IAM.
Políticas de acciones de Administración de facturación y costos
En la siguiente tabla se resumen los permisos que utiliza para conceder o denegar a los usuarios el acceso a la información de facturación y a las herramientas. Para ver ejemplos de políticas que utilizan estos permisos, consulte AWS Ejemplos de políticas de gestión de costes.
Para ver una lista de políticas de acciones de la consola de Facturación, consulte Políticas de acciones de facturación en la Guía del usuario de facturación.
| Nombre del permiso | Descripción |
|---|---|
|
|
Conceda o deniegue permisos a los usuarios para ver las páginas de la consola de Administración de facturación y costos. Para ver un ejemplo de política, consulte Permitir a los usuarios de IAM ver su información de facturación en la Guía del usuario de facturación. |
aws-portal:ViewUsage |
Permita o deniegue a los usuarios el permiso para ver los informes AWS Para permitir a los usuarios ver informes de uso, debe conceder los permisos Para ver un ejemplo de política, consulte Permitir a los usuarios de IAM acceder a la página de la consola de informes en la Guía del usuario de facturación. |
|
|
Conceda o deniegue permisos a los usuarios para modificar las siguientes páginas de la consola Gestión de costos y facturación: Para permitir a los usuarios modificar estas páginas de la consola, debe conceder los permisos |
|
|
Conceda o deniegue permisos a los usuarios para ver las siguientes páginas de la consola Gestión de costos y facturación: |
aws-portal:ModifyAccount |
Conceda o deniegue permisos a los usuarios para modificar Configuración de la cuenta Para permitir a los usuarios modificar la configuración de la cuenta, debe conceder los permisos Para ver un ejemplo de una política que deniega de forma explícita a un usuario el acceso a la página de la consola Configuración de la cuenta, consulte Denegar el acceso a la configuración de la cuenta, pero permitir el acceso completo al resto de la información de facturación y de uso. |
budgets:ViewBudget |
Conceda o deniegue permisos a los usuarios para ver Presupuestos Para permitir a los usuarios ver los presupuestos, también debe conceder el permiso |
budgets:ModifyBudget |
Conceda o deniegue permisos a los usuarios para modificar Presupuestos Para permitir a los usuarios ver y modificar los presupuestos, también debe conceder el permiso |
ce:GetPreferences |
Conceda o deniegue permisos a los usuarios para ver la página de preferencias de Explorador de costos. Para ver una política de ejemplo, consulte Ver y actualizar la página Preferences (Preferencias) de Explorador de costos. |
ce:UpdatePreferences |
Conceda o deniegue permisos a los usuarios para actualizar la página de preferencias de Explorador de costos. Para ver una política de ejemplo, consulte Ver y actualizar la página Preferences (Preferencias) de Explorador de costos. |
ce:DescribeReport |
Conceda o deniegue permisos a los usuarios para ver la página de informes de Explorador de costos. Para ver una política de ejemplo, consulte Ver, crear, actualizar y eliminar a través de la página Reports (Informes) de Explorador de costos. |
ce:CreateReport |
Conceda o deniegue permisos a los usuarios para crear informes con la página de informes de Explorador de costos. Para ver una política de ejemplo, consulte Ver, crear, actualizar y eliminar a través de la página Reports (Informes) de Explorador de costos. |
ce:UpdateReport |
Conceda o deniegue permisos a los usuarios para actualizar con la página de informes de Explorador de costos. Para ver una política de ejemplo, consulte Ver, crear, actualizar y eliminar a través de la página Reports (Informes) de Explorador de costos. |
ce:DeleteReport |
Conceda o deniegue permisos a los usuarios para eliminar informes con la página de informes de Explorador de costos. Para ver una política de ejemplo, consulte Ver, crear, actualizar y eliminar a través de la página Reports (Informes) de Explorador de costos. |
ce:DescribeNotificationSubscription |
Conceda o deniegue permisos a los usuarios para ver las alertas de vencimiento de las reservas de Explorador de costos en la página de información general de las reservas. Para ver una política de ejemplo, consulte Ver, crear, actualizar y eliminar reservas y alertas de Savings Plans. |
ce:CreateNotificationSubscription |
Conceda o deniegue permisos a los usuarios para crear alertas de vencimiento de las reservas de Explorador de costos en la página de información general de las reservas. Para ver una política de ejemplo, consulte Ver, crear, actualizar y eliminar reservas y alertas de Savings Plans. |
ce:UpdateNotificationSubscription |
Conceda o deniegue permisos a los usuarios para actualizar las alertas de vencimiento de las reservas de Explorador de costos en la página de información general de las reservas. Para ver una política de ejemplo, consulte Ver, crear, actualizar y eliminar reservas y alertas de Savings Plans. |
ce:DeleteNotificationSubscription |
Conceda o deniegue permisos a los usuarios para eliminar alertas de vencimiento de las reservas de Explorador de costos en la página de información general de las reservas. Para ver una política de ejemplo, consulte Ver, crear, actualizar y eliminar reservas y alertas de Savings Plans. |
ce:CreateCostCategoryDefinition |
Conceda o deniegue permisos a los usuarios para crear categorías de costos. Para ver un ejemplo de política, consulte Ver y administrar las categorías de costos en la Guía del usuario de facturación. Puede añadir etiquetas de recursos a los monitores durante |
ce:DeleteCostCategoryDefinition |
Conceda o deniegue permisos a los usuarios para eliminar categorías de costos. Para ver un ejemplo de política, consulte Ver y administrar las categorías de costos en la Guía del usuario de facturación. |
ce:DescribeCostCategoryDefinition |
Conceda o deniegue permisos a los usuarios para ver categorías de costos. Para ver un ejemplo de política, consulte Ver y administrar las categorías de costos en la Guía del usuario de facturación. |
ce:ListCostCategoryDefinitions |
Conceda o deniegue permisos a los usuarios para crear una lista de categorías de costos. Para ver un ejemplo de política, consulte Ver y administrar las categorías de costos en la Guía del usuario de facturación. |
ce:ListTagsForResource |
Conceda o deniegue permisos a los usuarios para enumerar todas las etiquetas de recursos de un recurso determinado. Para ver una lista de los recursos compatibles, consulta ResourceTagla referencia de la AWS Billing and Cost Management API. |
ce:UpdateCostCategoryDefinition |
Conceda o deniegue permisos a los usuarios para actualizar las categorías de costos. Para ver un ejemplo de política, consulte Ver y administrar las categorías de costos en la Guía del usuario de facturación. |
ce:CreateAnomalyMonitor |
Conceda o deniegue permisos a los usuarios para crear un monitoreo único de Detección de anomalías en los costos de AWS. Puede añadir etiquetas de recursos a los monitores durante |
ce:GetAnomalyMonitors |
Conceda o deniegue permisos a los usuarios para ver todos los monitores de Detección de anomalías en los costos de AWS. |
ce:UpdateAnomalyMonitor |
Conceda o deniegue permisos a los usuarios para actualizar los monitores de Detección de anomalías en los costos de AWS. |
ce:DeleteAnomalyMonitor |
Conceda o deniegue permisos a los usuarios para eliminar monitores de Detección de anomalías en los costos de AWS. |
ce:CreateAnomalySubscription |
Conceda o deniegue permisos a los usuarios para crear una suscripción única a la Detección de anomalías en los costos de AWS. Puede añadir etiquetas de recursos a las suscripciones durante |
ce:GetAnomalySubscriptions |
Conceda o deniegue permisos a los usuarios para ver las suscripciones a la Detección de anomalías en los costos de AWS. |
ce:UpdateAnomalySubscription |
Conceda o deniegue permisos a los usuarios para actualizar las suscripciones a la Detección de anomalías en los costos de AWS. |
ce:DeleteAnomalySubscription |
Conceda o deniegue permisos a los usuarios para eliminar las suscripciones a la Detección de anomalías en los costos de AWS. |
ce:GetAnomalies |
Conceda o deniegue permisos a los usuarios para ver todas las anomalías en la Detección de anomalías en los costos de AWS. |
ce:ProvideAnomalyFeedback |
Conceda o deniegue permisos a los usuarios para brindar retroalimentación sobre una detección de la Detección de anomalías en los costos de AWS. |
ce:TagResource |
Conceda o deniegue permisos a los usuarios para añadir pares clave-valor de etiquetas de recursos a un recurso. Para ver una lista de los recursos compatibles, consulta ResourceTagla referencia de la AWS Billing and Cost Management API. |
ce:UntagResource |
Conceda o deniegue permisos a los usuarios para eliminar etiquetas de recursos de un recurso. Para ver una lista de los recursos compatibles, consulta ResourceTagla referencia de la AWS Billing and Cost Management API. |
Políticas administradas
nota
Las siguientes acciones AWS Identity and Access Management (IAM) finalizaron el soporte estándar en julio de 2023:
-
espacio de nombres
aws-portal -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
Si lo estás utilizando AWS Organizations, puedes usar los scripts de migración masiva de políticas para actualizar las políticas desde tu cuenta de pagador. También puede utilizar la referencia de mapeo de acciones de antigua a granular para verificar las acciones de IAM que deben agregarse.
Para obtener más información, consulta el blog sobre los cambios en la AWS facturación, la gestión de AWS costes y los permisos de las consolas de cuentas
Si tienes o formas Cuenta de AWS parte de uno AWS Organizations creado el 6 de marzo de 2023 a las 11:00 (PDT) o después de esa fecha, las acciones detalladas ya están en vigor en tu organización.
Las políticas administradas son políticas independientes basadas en la identidad que puedes adjuntar a varios usuarios, grupos y roles de tu cuenta. AWS Puede utilizar políticas AWS gestionadas para controlar el acceso a Billing and Cost Management.
Una política AWS gestionada es una política independiente creada y administrada por AWS. AWS las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes. AWS las políticas administradas le permiten asignar los permisos adecuados a los usuarios, grupos y roles con más facilidad que si tuviera que escribir las políticas usted mismo.
No puede cambiar los permisos definidos en las políticas AWS gestionadas. AWS actualiza ocasionalmente los permisos definidos en una política AWS gestionada. Cuando esto ocurre, la actualización afecta a todas las entidades principales (usuarios, grupos y roles) a los que está asociada la política.
Billing and Cost Management proporciona varias políticas AWS gestionadas para casos de uso comunes.
Temas
- Permite el acceso total a AWS los presupuestos, incluidas las acciones presupuestarias
- Permite controlar AWS los recursos
- Permite que Cost Optimization Hub llame a los servicios necesarios para que el servicio funcione
- Permite el acceso de solo lectura a Cost Optimization Hub
- Permite el acceso de administrador al Centro de optimización de costos
- AWS Cost Management actualiza las políticas AWS gestionadas
Permite el acceso total a AWS los presupuestos, incluidas las acciones presupuestarias
Nombre de la política administrada: AWSBudgetsActionsWithAWSResourceControlAccess
Esta política gestionada se centra en el usuario y garantiza que usted cuente con los permisos adecuados para conceder permiso a AWS Budgets para ejecutar las acciones definidas. Esta política proporciona acceso completo a AWS los presupuestos, incluidas las acciones presupuestarias, para recuperar el estado de sus políticas y gestionar AWS los recursos utilizando los AWS Management Console.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "budgets:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "budgets.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "aws-portal:ModifyBilling", "ec2:DescribeInstances", "iam:ListGroups", "iam:ListPolicies", "iam:ListRoles", "iam:ListUsers", "organizations:ListAccounts", "organizations:ListOrganizationalUnitsForParent", "organizations:ListPolicies", "organizations:ListRoots", "rds:DescribeDBInstances", "sns:ListTopics" ], "Resource": "*" } ] }
Permite controlar AWS los recursos
Nombre de la política administrada: AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM
Esta política gestionada se centra en las acciones específicas que AWS Budgets toma en tu nombre al completar una acción específica. Esta política otorga permiso para controlar AWS los recursos. Por ejemplo, inicia y detiene las instancias de Amazon EC2 o Amazon RDS mediante la ejecución de scripts de AWS Systems Manager (SSM).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "ssm.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ssm:StartAutomationExecution" ], "Resource": [ "arn:aws:ssm:*:*:automation-definition/AWS-StartEC2Instance:*", "arn:aws:ssm:*:*:automation-definition/AWS-StopEC2Instance:*", "arn:aws:ssm:*:*:automation-definition/AWS-StartRdsInstance:*", "arn:aws:ssm:*:*:automation-definition/AWS-StopRdsInstance:*" ] } ] }
Permite que Cost Optimization Hub llame a los servicios necesarios para que el servicio funcione
Nombre de la política administrada: CostOptimizationHubServiceRolePolicy
Permite que Cost Optimization Hub recupere información de la organización y recopile datos y metadatos relacionados con la optimización.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AwsOrgsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListParents", "organizations:DescribeOrganizationalUnit" ], "Resource": [ "*" ] }, { "Sid": "CostExplorerAccess", "Effect": "Allow", "Action": [ "ce:ListCostAllocationTags" ], "Resource": [ "*" ] } ] }
Para obtener más información, consulte Uso de funciones vinculadas a servicios para Cost Optimization Hub.
Permite el acceso de solo lectura a Cost Optimization Hub
Nombre de la política administrada: CostOptimizationHubReadOnlyAccess
Esta política gestionada proporciona acceso de solo lectura al Centro de optimización de costes.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CostOptimizationHubReadOnlyAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:ListEnrollmentStatuses", "cost-optimization-hub:GetPreferences", "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries" ], "Resource": "*" } ] }
Permite el acceso de administrador al Centro de optimización de costos
Nombre de la política administrada: CostOptimizationHubAdminAccess
Esta política gestionada proporciona acceso de administrador al Centro de optimización de costes.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CostOptimizationHubAdminAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:ListEnrollmentStatuses", "cost-optimization-hub:UpdateEnrollmentStatus", "cost-optimization-hub:GetPreferences", "cost-optimization-hub:UpdatePreferences", "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries", "organizations:EnableAWSServiceAccess" ], "Resource": "*" }, { "Sid": "AllowCreationOfServiceLinkedRoleForCostOptimizationHub", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/cost-optimization-hub.bcm.amazonaws.com/AWSServiceRoleForCostOptimizationHub" ], "Condition": { "StringLike": { "iam:AWSServiceName": "cost-optimization-hub.bcm.amazonaws.com" } } }, { "Sid": "AllowAWSServiceAccessForCostOptimizationHub", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringLike": { "organizations:ServicePrincipal": [ "cost-optimization-hub.bcm.amazonaws.com" ] } } } ] }
AWS Cost Management actualiza las políticas AWS gestionadas
Consulte los detalles sobre las actualizaciones de las políticas AWS gestionadas de AWS Cost Management desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial de documentos de gestión de AWS costes.
| Cambio | Descripción | Fecha |
|---|---|---|
|
Actualización de una política existente AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM |
Hemos actualizado la política con permisos restringidos. La ssm:StartAutomationExecution acción solo está permitida para recursos específicos utilizados por las acciones presupuestarias. |
14/12/2023 |
|
Actualización de políticas existentes |
Cost Optimization Hub actualizó las dos políticas gestionadas siguientes:
|
14 de diciembre de 2023 |
|
Adición de una nueva política |
Cost Optimization Hub agregó una nueva política para utilizarla con las funciones vinculadas a los servicios, que permite el acceso a los AWS servicios y recursos utilizados o administrados por Cost Optimization Hub. | 11/02/2023 |
| AWS Cost Management comenzó a rastrear los cambios | AWS Cost Management comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas | 11/02/2023 |
