Autoriser les utilisateurs IAM pour afficher vos informations de facturation Autoriser les utilisateurs IAM pour afficher vos informations de facturation et votre rapport d'empreinte carbone Autorisation des utilisateurs IAM à accéder à la page de console de rapports Rejet de l'accès des utilisateurs IAM à la console de Gestion de la facturation et des coûts Refuser l'accès au widget de coût et d'utilisation de la AWS console pour les comptes membres Refuser l'accès au widget de coût et d'utilisation de la AWS console pour des utilisateurs et des rôles IAM spécifiques Autoriser les utilisateurs IAM à consulter vos informations de facturation, mais refuser l'accès au rapport sur l'empreinte carbone Autoriser les utilisateurs IAM à accéder aux rapports sur l'empreinte carbone, mais refuser l'accès aux informations de facturation Autoriser l'accès complet aux AWS services mais refuser aux utilisateurs IAM l'accès aux consoles Billing and Cost Management Permet d'accorder aux utilisateurs IAM l'autorisation d'afficher la console de Gestion de la facturation et des coûts, à l'exception des paramètres du compte Autorisation des utilisateurs IAM à modifier les informations de facturation Refus de l'accès aux paramètres du compte, mais autorisation d'accès complet à toutes les autres informations de facturation et d'utilisation Dépôt des rapports dans un compartiment Amazon S3 Recherche de produits et de prix Affichage des coûts et de l'utilisation Activer et désactiver les AWS régions Affichage et gestion des catégories de coûts Création, affichage, modification ou suppression des Rapports d'utilisation et de coûts AWS Affichage et gestion des bons de commande Affichage et mise à jour la page des préférences Cost Explorer Affichage, création, mise à jour et suppression à l'aide de la page des rapports Cost Explorer Affichage, création, mise à jour et suppression des alertes de réservation et de Savings Plans Autoriser l'accès en lecture seule à la détection des anomalies de AWS coûts Autoriser AWS les budgets à appliquer les politiques IAM et les SCP Permettre à AWS Budgets d'appliquer les politiques IAM et les SCP et de cibler les instances EC2 et RDS Permettre aux utilisateurs d'IAM de consulter les exonérations fiscales américaines et de créer des dossiers AWS Support (Pour les clients ayant une adresse de facturation ou de contact en Inde) Autoriser l'accès en lecture seule aux informations de vérification des clients (Pour les clients ayant une adresse de facturation ou de contact en Inde) Voir, créer et mettre à jour les informations de vérification des clients Afficher AWS Migration Acceleration Program les informations dans la console de facturation

AWS Exemples de politiques de facturation

Note

Les actions AWS Identity and Access Management (IAM) suivantes ont atteint la fin du support standard en juillet 2023 :

Espace de noms aws-portal
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

Si vous en utilisez AWS Organizations, vous pouvez utiliser les scripts de migration de politiques par lots ou le migrateur de politiques par lots pour mettre à jour les politiques depuis votre compte payeur. Vous pouvez également utiliser la référence du mappage entre les anciennes et les nouvelles actions détaillées pour vérifier les actions IAM qui doivent être ajoutées.

Si vous en avez AWS Organizations créé un ou en faites partie le 6 mars 2023 ou après cette date, 11 h 00 (PDT), les actions détaillées sont déjà en vigueur dans votre organisation. Compte AWS

Important

Ces stratégies impliquent que vous activiez l'accès des utilisateurs IAM à la console de Gestion de la facturation et des coûts sur la page de console Account Settings (Paramètres du compte). Pour plus d’informations, consultez Activation de l'accès à la console de Gestion de la facturation et des coûts.
Pour utiliser les politiques AWS gérées, voirAWS politiques gérées.

Cette rubrique contient des exemples de stratégies que vous pouvez lier à votre groupe ou utilisateur IAM afin de contrôler l'accès aux informations et outils de facturation de votre compte. Les règles de base suivantes s'appliquent aux stratégies IAM pour la Gestion de la facturation et des coûts :

Version est toujours 2012-10-17.
Effect est toujours Allow ou Deny.
Action est le nom de l'action ou un caractère générique (*).

Le préfixe d'action est budgets destiné aux AWS budgets, cur aux rapports de AWS coûts et d'utilisation, aws-portal à la AWS facturation ou ce à Cost Explorer.
Resourceest toujours * destiné à la AWS facturation.

Pour les actions exécutées sur une ressource budget, spécifiez l'Amazon Resource Name (ARN) du budget.
Il peut exister plusieurs déclarations dans une seule stratégie.

Pour obtenir la liste des politiques d'actions pour la console de gestion des AWS coûts, consultez les exemples de politiques de gestion des AWS coûts dans le guide de l'utilisateur de la gestion des AWS coûts.

Rubriques

Autoriser les utilisateurs IAM pour afficher vos informations de facturation
Autoriser les utilisateurs IAM pour afficher vos informations de facturation et votre rapport d'empreinte carbone
Autorisation des utilisateurs IAM à accéder à la page de console de rapports
Rejet de l'accès des utilisateurs IAM à la console de Gestion de la facturation et des coûts
Refuser l'accès au widget de coût et d'utilisation de la AWS console pour les comptes membres
Refuser l'accès au widget de coût et d'utilisation de la AWS console pour des utilisateurs et des rôles IAM spécifiques
Autoriser les utilisateurs IAM à consulter vos informations de facturation, mais refuser l'accès au rapport sur l'empreinte carbone
Autoriser les utilisateurs IAM à accéder aux rapports sur l'empreinte carbone, mais refuser l'accès aux informations de facturation
Autoriser l'accès complet aux AWS services mais refuser aux utilisateurs IAM l'accès aux consoles Billing and Cost Management
Permet d'accorder aux utilisateurs IAM l'autorisation d'afficher la console de Gestion de la facturation et des coûts, à l'exception des paramètres du compte
Autorisation des utilisateurs IAM à modifier les informations de facturation
Refus de l'accès aux paramètres du compte, mais autorisation d'accès complet à toutes les autres informations de facturation et d'utilisation
Dépôt des rapports dans un compartiment Amazon S3
Recherche de produits et de prix
Affichage des coûts et de l'utilisation
Activer et désactiver les AWS régions
Affichage et gestion des catégories de coûts
Création, affichage, modification ou suppression des Rapports d'utilisation et de coûts AWS
Affichage et gestion des bons de commande
Affichage et mise à jour la page des préférences Cost Explorer
Affichage, création, mise à jour et suppression à l'aide de la page des rapports Cost Explorer
Affichage, création, mise à jour et suppression des alertes de réservation et de Savings Plans
Autoriser l'accès en lecture seule à la détection des anomalies de AWS coûts
Autoriser AWS les budgets à appliquer les politiques IAM et les SCP
Permettre à AWS Budgets d'appliquer les politiques IAM et les SCP et de cibler les instances EC2 et RDS
Permettre aux utilisateurs d'IAM de consulter les exonérations fiscales américaines et de créer des dossiers AWS Support
(Pour les clients ayant une adresse de facturation ou de contact en Inde) Autoriser l'accès en lecture seule aux informations de vérification des clients
(Pour les clients ayant une adresse de facturation ou de contact en Inde) Voir, créer et mettre à jour les informations de vérification des clients
Afficher AWS Migration Acceleration Program les informations dans la console de facturation

Autoriser les utilisateurs IAM pour afficher vos informations de facturation

Pour autoriser un utilisateur IAM à afficher vos informations de facturation sans accorder à cet utilisateur IAM l'accès aux informations de compte sensibles, utilisez une stratégie similaire à l'exemple de stratégie suivant. Une telle stratégie empêche les utilisateurs d'accéder à votre mot de passe et aux rapports d'activité du compte. Cette politique autorise les utilisateurs IAM à consulter les pages suivantes de la console de Gestion de la facturation et des coûts, sans leur donner accès aux pages Paramètres du compte ou Rapports de la console :

Tableau de bord
Cost Explorer
Factures
Commandes et factures
Facturation consolidée
Préférences
Crédits
Paiement anticipé


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:ViewBilling",
            "Resource": "*"
        }
    ]
}

Autoriser les utilisateurs IAM pour afficher vos informations de facturation et votre rapport d'empreinte carbone

Pour permettre à un utilisateur IAM de visualiser à la fois les informations de facturation et le rapport d'empreinte carbone, utilisez une politique similaire à l'exemple suivant. Cette politique empêche les utilisateurs d'accéder à votre mot de passe et aux rapports d'activité du compte. Cette stratégie autorise les utilisateurs IAM à consulter les pages suivantes de la console de Gestion de la facturation et des coûts, sans leur donner accès aux pages Paramètres du compte ou Rapports de la console :

Tableau de bord
Cost Explorer
Factures
Commandes et factures
Facturation consolidée
Préférences
Crédits
Paiement anticipé
La section relative à l'outil d'empreinte carbone du AWS client sur la page des rapports sur les AWS coûts et l'utilisation


{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": "aws-portal:ViewBilling",
            "Resource": "*"
        },
        {"Effect": "Allow",
            "Action": "sustainability:GetCarbonFootprintSummary",
            "Resource": "*"
        }
    ]
}

Autorisation des utilisateurs IAM à accéder à la page de console de rapports

Pour autoriser un utilisateur IAM à accéder à la page Reports (Rapports) de la console et à consulter les rapports d'utilisation qui contiennent des informations sur l'activité du compte, utilisez une stratégie semblable à l'exemple de stratégie suivant.

Pour obtenir des définitions de chaque action, consultez AWS Actions de la console de facturation.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewUsage",
                "aws-portal:ViewBilling",
                "cur:DescribeReportDefinitions",
                "cur:PutReportDefinition",
                "cur:DeleteReportDefinition",
                "cur:ModifyReportDefinition"
            ],
            "Resource": "*"
        }
    ]
}

Rejet de l'accès des utilisateurs IAM à la console de Gestion de la facturation et des coûts

Pour rejeter explicitement à un utilisateur IAM l'accès à toutes les pages de la console de Gestion de la facturation et des coûts, utilisez une politique semblable à l'exemple de politique suivant.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "aws-portal:*",
            "Resource": "*"
        }
    ]
}

Pour restreindre l'accès du compte membre (lié) aux données de coût et d'utilisation, utilisez votre compte de gestion (souscripteur) pour accéder à l'onglet Preferences (Préférences) de Cost Explorer et décochez la case Linked Account Access (Accès au compte lié). Cela empêchera l'accès aux données de coûts et d'utilisation depuis la console Cost Explorer (AWS Cost Management), l'API Cost Explorer et le widget de coûts et d'utilisation de la page d'accueil de la AWS console, quelles que soient les actions IAM effectuées par l'utilisateur ou le rôle IAM d'un compte membre.

Refuser l'accès au widget de coût et d'utilisation de la AWS console pour des utilisateurs et des rôles IAM spécifiques

Pour refuser l'accès au widget relatif au coût et à l'utilisation de la AWS console à des utilisateurs et à des rôles IAM spécifiques, utilisez la politique d'autorisation ci-dessous.

Note

L'ajout de cette politique à un utilisateur ou à un rôle IAM empêchera également les utilisateurs d'accéder à la console AWS Cost Explorer (Cost Management) et aux API Cost Explorer.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ce:*",
            "Resource": "*"
        }
    ]
}

Autoriser les utilisateurs IAM à consulter vos informations de facturation, mais refuser l'accès au rapport sur l'empreinte carbone

Permettre à un utilisateur IAM d'accéder à la fois aux informations de facturation dans les consoles Billing and Cost Management, mais ne pas autoriser l'accès à l'outil d'empreinte carbone du AWS client. Cet outil se trouve sur la page Rapports sur les AWS coûts et l'utilisation.


{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": "aws-portal:ViewBilling",
            "Resource": "*"
        },
        {"Effect": "Deny",
            "Action": "sustainability:GetCarbonFootprintSummary",
            "Resource": "*"
        }
    ]
}

Autoriser les utilisateurs IAM à accéder aux rapports sur l'empreinte carbone, mais refuser l'accès aux informations de facturation

Permettre aux utilisateurs d'un IAM d'accéder à l'outil d'empreinte carbone du AWS client sur la page AWS Cost and Usage Reports, mais de refuser l'accès à la consultation des informations de facturation dans les consoles Billing and Cost Management.


{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Deny",
            "Action": "aws-portal:ViewBilling",
            "Resource": "*"
        },
        {"Effect": "Allow",
            "Action": "sustainability:GetCarbonFootprintSummary",
            "Resource": "*"
        }
    ]
}

Autoriser l'accès complet aux AWS services mais refuser aux utilisateurs IAM l'accès aux consoles Billing and Cost Management

Pour refuser aux utilisateurs IAM l'accès à l'intégralité du contenu de la console de Gestion de la facturation et des coûts, utilisez la politique suivante. Refusez l'accès des utilisateurs à AWS Identity and Access Management (IAM) pour empêcher l'accès aux politiques qui contrôlent l'accès aux informations et aux outils de facturation.

Important

Cette stratégie n'autorise aucune action. Utilisez cette stratégie conjointement à d'autres stratégies qui autorisent des actions spécifiques.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "aws-portal:*",
                "iam:*"
            ],
            "Resource": "*"
        }
    ]
}

Permet d'accorder aux utilisateurs IAM l'autorisation d'afficher la console de Gestion de la facturation et des coûts, à l'exception des paramètres du compte

Cette stratégie accorde un accès en lecture seule à l'ensemble du contenu de la console de Gestion de la facturation et des coûts. Cela inclut les pages Payments Method (Moyen de paiement) et Reports (Rapports) de la console. Toutefois, cette stratégie refuse l'accès à la page Account Settings (Paramètres de compte). Cela signifie que le mot de passe du compte, les informations de contact et les questions de sécurité sont protégés.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:View*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "aws-portal:*Account",
            "Resource": "*"
        }
    ]
}

Autorisation des utilisateurs IAM à modifier les informations de facturation

Pour autoriser les utilisateurs IAM à modifier les informations de facturation du compte sur la console de Gestion de la facturation et des coûts, autorisez les utilisateurs IAM à afficher vos informations de facturation. L'exemple de stratégie suivant autorise un utilisateur IAM à modifier les pages Consolidated Billing (Facturation consolidée), Preferences (Préférence) et Credits (Crédits) de la console. Ceci permet également à un utilisateur IAM d'afficher les pages suivantes de la console de Gestion de la facturation et des coûts :

Tableau de bord
Cost Explorer
Factures
Commandes et factures
Paiement anticipé


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:*Billing",
            "Resource": "*"
        }
    ]
}

Refus de l'accès aux paramètres du compte, mais autorisation d'accès complet à toutes les autres informations de facturation et d'utilisation

Pour protéger le mot de passe de votre compte, vos informations de contact et vos questions de sécurité, refusez aux utilisateurs IAM l'accès à Account Settings (Paramètres du compte), tout en leur accordant un accès complet aux autres fonctionalités de la console de Gestion de la facturation et des coûts. La politique suivante est un exemple.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:*Billing",
                "aws-portal:*Usage",
                "aws-portal:*PaymentMethods"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "aws-portal:*Account",
            "Resource": "*"
        }
    ]
}

Dépôt des rapports dans un compartiment Amazon S3

La politique suivante permet à Billing and Cost Management d'enregistrer vos AWS factures détaillées dans un compartiment Amazon S3 si vous possédez à la fois le AWS compte et le compartiment Amazon S3. Cette politique doit être appliquée au compartiment Amazon S3, plutôt qu'à un utilisateur IAM. En effet, il s'agit d'une politique basée sur les ressources, et non sur l'utilisateur. Nous recommandons de refuser l'accès au compartiment aux utilisateurs IAM qui n'ont pas besoin d'accéder à vos factures.

Remplacez DOC-EXAMPLE-BUCKET1 par le nom de votre compartiment.

Pour plus d'informations, consultez Utilisation des politiques de compartiment et des stratégies d'utilisateur dans le Guide de l'utilisateur Amazon Simple Storage Service.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Principal": {
      "Service": "billingreports.amazonaws.com"
    },
    "Action": [
      "s3:GetBucketAcl",
      "s3:GetBucketPolicy"
    ],
    "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET1"
  },
  {
    "Effect": "Allow",
    "Principal": {
      "Service": "billingreports.amazonaws.com"
    },
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*"
  }
  ]
}

Recherche de produits et de prix

Pour autoriser un utilisateur IAM à utiliser l'API du service AWS Price List, appliquez la politique suivante pour lui accorder l'accès.

Cette politique autorise l'utilisation à la fois de l'API AWS Price List Bulk API AWS Price List Query.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "pricing:DescribeServices",
                "pricing:GetAttributeValues",
                "pricing:GetProducts",
                "pricing:GetPriceListFileUrl",
                "pricing:ListPriceLists"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Affichage des coûts et de l'utilisation

Pour autoriser les utilisateurs IAM à utiliser l'API AWS Cost Explorer, appliquez la politique suivante pour leur accorder l'accès.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ce:*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

Activer et désactiver les AWS régions

Pour un exemple de politique IAM qui permet aux utilisateurs d'activer et de désactiver les régions, voir AWS: Autoriser l'activation et la désactivation des AWS régions dans le guide de l'utilisateur IAM.

Affichage et gestion des catégories de coûts

Pour permettre aux utilisateurs IAM d'utiliser, d'afficher et de gérer les catégories de coûts, utilisez la stratégie suivante pour leur accorder l'accès.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling",
        "ce:GetCostAndUsage",
        "ce:DescribeCostCategoryDefinition",
        "ce:UpdateCostCategoryDefinition",
        "ce:CreateCostCategoryDefinition",
        "ce:DeleteCostCategoryDefinition",
        "ce:ListCostCategoryDefinitions",
        "ce:TagResource",
        "ce:UntagResource",
        "ce:ListTagsForResource",
        "pricing:DescribeServices"
      ],
      "Resource": "*"
    }
  ]
}

Création, affichage, modification ou suppression des Rapports d'utilisation et de coûts AWS

Cette stratégie permet à un utilisateur IAM de créer, d'afficher, de modifier ou de supprimer sample-report à l'aide de l'API.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ManageSampleReport",
            "Effect": "Allow",
			"Action": [
                "cur:PutReportDefinition", 
                "cur:DeleteReportDefinition",
                "cur:ModifyReportDefinition"
            ],
            "Resource": "arn:aws:cur:*:123456789012:definition/sample-report"
        },
        {
            "Sid": "DescribeReportDefs",
            "Effect": "Allow",
            "Action": "cur:DescribeReportDefinitions",
            "Resource": "*"
        }
    ]
}

Affichage et gestion des bons de commande

Cette stratégie permet à un utilisateur IAM d'afficher et de gérer les bons de commande à l'aide de la stratégie suivante pour accorder l'accès.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling",
                "purchase-orders:*"
            ],
            "Resource": "*"
        }
    ]
}

Affichage et mise à jour la page des préférences Cost Explorer

Cette stratégie permet à un utilisateur IAM de procéder à un affichage et à une mise à jour à l'aide de la page de préférences Cost Explorer.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling",
        "ce:UpdatePreferences"
       ],
      "Resource": "*"
    }
  ]
}

La stratégie suivante permet aux utilisateurs IAM d'afficher Cost Explorer, mais refuse l'autorisation d'afficher ou de modifier la page Preferences (Préférences).


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:GetPreferences",
                "ce:UpdatePreferences"
            ],
            "Resource": "*"
        }
    ]
}

La stratégie suivante permet aux utilisateurs IAM d'afficher Cost Explorer, mais refuse l'autorisation de modifier la page Preferences (Préférences).


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:UpdatePreferences"
            ],
            "Resource": "*"
        }
    ]
}

Affichage, création, mise à jour et suppression à l'aide de la page des rapports Cost Explorer

Cette stratégie permet à un utilisateur IAM de procéder à un affichage, à une création, à une mise et à une suppression à jour à l'aide de la page de préférences Cost Explorer.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling",
        "ce:CreateReport",
        "ce:UpdateReport",
        "ce:DeleteReport"
       ],
      "Resource": "*"
    }
  ]
}

La stratégie suivante permet aux utilisateurs IAM d'afficher Cost Explorer, mais refuse l'autorisation d'afficher ou de modifier la page Reports (Rapports).


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:DescribeReport",
                "ce:CreateReport",
                "ce:UpdateReport",
                "ce:DeleteReport"
            ],
            "Resource": "*"
        }
    ]
}

La stratégie suivante permet aux utilisateurs IAM d'afficher Cost Explorer, mais refuse l'autorisation de modifier la page Reports (Rapports).


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:CreateReport",
                "ce:UpdateReport",
                "ce:DeleteReport"
            ],
            "Resource": "*"
        }
    ]
}

Affichage, création, mise à jour et suppression des alertes de réservation et de Savings Plans

Cette stratégie permet à un utilisateur IAM d'afficher, de créer, de mettre à jour et de supprimer des allertes d'expiration de réservation et des alertes de Savings Plans. Pour modifier les alertes d'expiration de réservation ou les alertes de Savings Plans, un utilisateur a besoin des trois actions détaillées suivantes :ce:CreateNotificationSubscription, ce:UpdateNotificationSubscription et ce:DeleteNotificationSubscription.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling",
        "ce:CreateNotificationSubscription",
        "ce:UpdateNotificationSubscription",
        "ce:DeleteNotificationSubscription"
       ],
      "Resource": "*"
    }
  ]
}

La stratégie suivante permet aux utilisateurs IAM d'afficher Cost Explorer, mais refuse l'autorisation d'afficher ou de modifier les pages Reservation Expiration Alerts (Alertes d'expiration de réservation) et Savings Plans alert (Alertes de Savings Plans).


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:DescribeNotificationSubscription",
                "ce:CreateNotificationSubscription",
                "ce:UpdateNotificationSubscription",
                "ce:DeleteNotificationSubscription"
            ],
            "Resource": "*"
        }
    ]
}

La stratégie suivante permet aux utilisateurs IAM d'afficher Cost Explorer, mais refuse l'autorisation de modifier les pages Reservation Expiration Alerts (Alertes d'expiration de réservation) et Savings Plans alert (Alertes de Savings Plans).


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:CreateNotificationSubscription",
                "ce:UpdateNotificationSubscription",
                "ce:DeleteNotificationSubscription"
            ],
            "Resource": "*"
        }
    ]
}

Autoriser l'accès en lecture seule à la détection des anomalies de AWS coûts

Pour autoriser les utilisateurs IAM à accéder en lecture seule à AWS Cost Anomaly Detection, appliquez la politique suivante pour leur accorder l'accès. ce:ProvideAnomalyFeedbackest facultatif dans le cadre de l'accès en lecture seule.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ce:Get*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Autoriser AWS les budgets à appliquer les politiques IAM et les SCP

Cette politique permet à AWS Budgets d'appliquer des politiques IAM et des politiques de contrôle des services (SCP) au nom de l'utilisateur.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:AttachGroupPolicy",
        "iam:AttachRolePolicy",
        "iam:AttachUserPolicy",
        "iam:DetachGroupPolicy",
        "iam:DetachRolePolicy",
        "iam:DetachUserPolicy",
        "organizations:AttachPolicy",
        "organizations:DetachPolicy"
      ],
      "Resource": "*"
    }
  ]
}

Permettre à AWS Budgets d'appliquer les politiques IAM et les SCP et de cibler les instances EC2 et RDS

Cette politique permet à AWS Budgets d'appliquer des politiques IAM et des politiques de contrôle des services (SCP) et de cibler les instances Amazon EC2 et Amazon RDS au nom de l'utilisateur.

Politique d’approbation


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "budgets.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Politique d'autorisations


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstanceStatus",
        "ec2:StartInstances",
        "ec2:StopInstances",
        "iam:AttachGroupPolicy",
        "iam:AttachRolePolicy",
        "iam:AttachUserPolicy",
        "iam:DetachGroupPolicy",
        "iam:DetachRolePolicy",
        "iam:DetachUserPolicy",
        "organizations:AttachPolicy",
        "organizations:DetachPolicy",
        "rds:DescribeDBInstances",
        "rds:StartDBInstance",
        "rds:StopDBInstance",
        "ssm:StartAutomationExecution"
      ],
      "Resource": "*"
    }
  ]
}

Permettre aux utilisateurs d'IAM de consulter les exonérations fiscales américaines et de créer des dossiers AWS Support

Cette politique permet à un utilisateur IAM de consulter les exonérations fiscales américaines et de créer des AWS Support dossiers pour télécharger des certificats d'exemption dans la console d'exonération fiscale.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "aws-portal:*",
                "tax:GetExemptions",
                "tax:UpdateExemptions",
                "support:CreateCase",
                "support:AddAttachmentsToSet"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

(Pour les clients ayant une adresse de facturation ou de contact en Inde) Autoriser l'accès en lecture seule aux informations de vérification des clients

Cette politique accorde aux utilisateurs IAM l'accès en lecture seule aux informations de vérification des clients.

Pour obtenir des définitions de chaque action, consultez AWS Actions de la console de facturation.


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "customer-verification:GetCustomerVerificationEligibility",
            "customer-verification:GetCustomerVerificationDetails"
        ],
        "Resource": "*"
    }]
}

(Pour les clients ayant une adresse de facturation ou de contact en Inde) Voir, créer et mettre à jour les informations de vérification des clients

Cette politique permet aux utilisateurs IAM de gérer leurs informations de vérification des clients.

Pour obtenir des définitions de chaque action, consultez AWS Actions de la console de facturation.


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "customer-verification:CreateCustomerVerificationDetails",
            "customer-verification:UpdateCustomerVerificationDetails",
            "customer-verification:GetCustomerVerificationEligibility",
            "customer-verification:GetCustomerVerificationDetails"
        ],
        "Resource": "*"
    }]
}

Afficher AWS Migration Acceleration Program les informations dans la console de facturation

Cette politique permet aux utilisateurs d'IAM de consulter les Migration Acceleration Program accords, les crédits et les dépenses éligibles pour le compte du payeur dans la console de facturation.

Pour obtenir des définitions de chaque action, consultez AWS Actions de la console de facturation.


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "mapcredit:ListQuarterSpend",
            "mapcredit:ListQuarterCredits",
            "mapcredit:ListAssociatedPrograms"
        ],
        "Resource": "*"
    }]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Politique basée sur l'identité avec facturation

Migrer le contrôle d'accès