Refuser aux utilisateurs l'accès à la console Billing and Cost Management Refuser l'accès au widget de coût et d'utilisation de la AWS console pour les comptes membres Refuser l'accès au widget de coût et d'utilisation de la AWS console pour des utilisateurs et des rôles spécifiques Autoriser l'accès complet aux AWS services mais refuser aux utilisateurs l'accès à la console Billing and Cost Management Autoriser les utilisateurs à consulter la console Billing and Cost Management, à l'exception des paramètres du compte Autoriser les utilisateurs à modifier les informations de facturation Permettre aux utilisateurs de créer des budgets Refus de l'accès aux paramètres du compte, mais autorisation d'accès complet à toutes les autres informations de facturation et d'utilisation Dépôt des rapports dans un compartiment Amazon S3 Affichage des coûts et de l'utilisation Activer et désactiver les AWS régions Affichage et mise à jour la page des préférences Cost Explorer Affichage, création, mise à jour et suppression à l'aide de la page des rapports Cost Explorer Affichage, création, mise à jour et suppression des alertes de réservation et de Savings Plans Autoriser l'accès en lecture seule à la détection des anomalies de AWS coûts Autoriser AWS les budgets à appliquer les politiques IAM et les SCP Permettre à AWS Budgets d'appliquer les politiques IAM et les SCP et de cibler les instances EC2 et RDS

AWS Exemples de politiques de gestion des coûts

Note

Les actions AWS Identity and Access Management (IAM) suivantes ont atteint la fin du support standard en juillet 2023 :

Espace de noms aws-portal
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

Si vous en utilisez AWS Organizations, vous pouvez utiliser les scripts de migration de politiques en masse pour mettre à jour les politiques depuis votre compte payeur. Vous pouvez également utiliser la référence du mappage entre les anciennes et les nouvelles actions détaillées pour vérifier les actions IAM qui doivent être ajoutées.

Pour plus d'informations, consultez le blog sur les modifications apportées à la AWS facturation, à la gestion des AWS coûts et aux autorisations des consoles de comptes.

Si vous en avez AWS Organizations créé un ou en faites partie le 6 mars 2023 ou après cette date, 11 h 00 (PDT), les actions détaillées sont déjà en vigueur dans votre organisation. Compte AWS

Cette rubrique contient des exemples de politiques que vous pouvez associer à votre rôle ou groupe IAM pour contrôler l'accès aux informations et aux outils de facturation de votre compte. Les règles de base suivantes s'appliquent aux stratégies IAM pour la Gestion de la facturation et des coûts :

Version est toujours 2012-10-17.
Effect est toujours Allow ou Deny.
Action est le nom de l'action ou un caractère générique (*).

Le préfixe d'action est budgets destiné aux AWS budgets, cur aux rapports de AWS coûts et d'utilisation, aws-portal à la AWS facturation ou ce à Cost Explorer.
Resourceest toujours * destiné à la AWS facturation.

Pour les actions exécutées sur une ressource budget, spécifiez l’Amazon Resource Name (ARN) du budget.
Il peut exister plusieurs déclarations dans une seule stratégie.

Pour obtenir une liste d'exemples de politiques pour la console de facturation, consultez la section Exemples de politiques de facturation dans le guide de l'utilisateur de facturation.

Note

Ces politiques exigent que vous activiez l'accès des utilisateurs à la console Billing and Cost Management sur la page de la console Account Settings. Pour plus d’informations, consultez Activation de l'accès à la console de Gestion de la facturation et des coûts.

Rubriques

Refuser aux utilisateurs l'accès à la console Billing and Cost Management
Refuser l'accès au widget de coût et d'utilisation de la AWS console pour les comptes membres
Refuser l'accès au widget de coût et d'utilisation de la AWS console pour des utilisateurs et des rôles spécifiques
Autoriser l'accès complet aux AWS services mais refuser aux utilisateurs l'accès à la console Billing and Cost Management
Autoriser les utilisateurs à consulter la console Billing and Cost Management, à l'exception des paramètres du compte
Autoriser les utilisateurs à modifier les informations de facturation
Permettre aux utilisateurs de créer des budgets
Refus de l'accès aux paramètres du compte, mais autorisation d'accès complet à toutes les autres informations de facturation et d'utilisation
Dépôt des rapports dans un compartiment Amazon S3
Affichage des coûts et de l'utilisation
Activer et désactiver les AWS régions
Affichage et mise à jour la page des préférences Cost Explorer
Affichage, création, mise à jour et suppression à l'aide de la page des rapports Cost Explorer
Affichage, création, mise à jour et suppression des alertes de réservation et de Savings Plans
Autoriser l'accès en lecture seule à la détection des anomalies de AWS coûts
Autoriser AWS les budgets à appliquer les politiques IAM et les SCP
Permettre à AWS Budgets d'appliquer les politiques IAM et les SCP et de cibler les instances EC2 et RDS

Refuser aux utilisateurs l'accès à la console Billing and Cost Management

Pour refuser explicitement à un utilisateur l'accès à toutes les pages de la console Billing and Cost Management, utilisez une politique similaire à cet exemple de politique.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "aws-portal:*",
            "Resource": "*"
        }
    ]
}

Pour restreindre l'accès du compte membre (lié) aux données de coût et d'utilisation, utilisez votre compte de gestion (souscripteur) pour accéder à l'onglet Preferences (Préférences) de Cost Explorer et décochez la case Linked Account Access (Accès au compte lié). Cela empêchera l'accès aux données de coûts et d'utilisation depuis la console Cost Explorer (AWS Cost Management), l'API Cost Explorer et le widget de coûts et d'utilisation de la page d'accueil de la AWS console, quelles que soient les actions IAM effectuées par l'utilisateur ou le rôle d'un compte membre.

Refuser l'accès au widget de coût et d'utilisation de la AWS console pour des utilisateurs et des rôles spécifiques

Pour refuser l'accès au widget relatif aux coûts et à l'utilisation de la AWS console à des utilisateurs et à des rôles spécifiques, appliquez la politique d'autorisation ci-dessous.

Note

L'ajout de cette politique à un utilisateur ou à un rôle empêchera également les utilisateurs d'accéder à la console AWS Cost Explorer (Cost Management) et aux API Cost Explorer.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ce:*",
            "Resource": "*"
        }
    ]
}

Autoriser l'accès complet aux AWS services mais refuser aux utilisateurs l'accès à la console Billing and Cost Management

Pour refuser aux utilisateurs l'accès à tout ce qui se trouve sur la console Billing and Cost Management, appliquez la politique suivante. Dans ce cas, vous devez également refuser l'accès des utilisateurs à AWS Identity and Access Management (IAM) afin qu'ils ne puissent pas accéder aux politiques qui contrôlent l'accès aux informations et aux outils de facturation.

Important

Cette stratégie n'autorise aucune action. Utilisez cette stratégie conjointement à d'autres stratégies qui autorisent des actions spécifiques.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "aws-portal:*",
                "iam:*"
            ],
            "Resource": "*"
        }
    ]
}

Autoriser les utilisateurs à consulter la console Billing and Cost Management, à l'exception des paramètres du compte

Cette politique autorise un accès en lecture seule à l'ensemble de la console Billing and Cost Management, y compris les pages de la console Payments Method et Reports, mais refuse l'accès à la page des paramètres du compte, protégeant ainsi le mot de passe du compte, les informations de contact et les questions de sécurité.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:View*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "aws-portal:*Account",
            "Resource": "*"
        }
    ]
}

Autoriser les utilisateurs à modifier les informations de facturation

Pour permettre aux utilisateurs de modifier les informations de facturation du compte dans la console Billing and Cost Management, vous devez également autoriser les utilisateurs à consulter vos informations de facturation. L'exemple de politique suivant permet à un utilisateur de modifier les pages de la console de facturation consolidée, de préférences et de crédits. Il permet également à l'utilisateur de consulter les pages suivantes de la console Billing and Cost Management :

Tableau de bord
Cost Explorer
Factures
Commandes et factures
Paiement anticipé


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:*Billing",
            "Resource": "*"
        }
    ]
}

Permettre aux utilisateurs de créer des budgets

Pour permettre aux utilisateurs de créer des budgets dans la console Billing and Cost Management, vous devez également autoriser les utilisateurs à consulter vos informations de facturation, à créer des CloudWatch alarmes et à créer des notifications Amazon SNS. L'exemple de politique suivant permet à un utilisateur de modifier la page de la console Budget.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1435216493000",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling",
                "aws-portal:ModifyBilling",
                "budgets:ViewBudget",
                "budgets:ModifyBudget"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "Stmt1435216514000",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "Stmt1435216552000",
            "Effect": "Allow",
            "Action": [
                "sns:*"
            ],
            "Resource": [
                "arn:aws:sns:us-east-1::"
            ]
        }
    ]
}

Refus de l'accès aux paramètres du compte, mais autorisation d'accès complet à toutes les autres informations de facturation et d'utilisation

Pour protéger le mot de passe, les informations de contact et les questions de sécurité de votre compte, vous pouvez refuser aux utilisateurs l'accès aux paramètres du compte tout en garantissant un accès complet au reste des fonctionnalités de la console Billing and Cost Management, comme illustré dans l'exemple suivant.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:*Billing",
                "aws-portal:*Usage",
                "aws-portal:*PaymentMethods"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "aws-portal:*Account",
            "Resource": "*"
        }
    ]
}

Dépôt des rapports dans un compartiment Amazon S3

La politique suivante permet à Billing and Cost Management d'enregistrer vos AWS factures détaillées dans un compartiment Amazon S3, à condition que vous soyez propriétaire à la fois du AWS compte et du compartiment Amazon S3. Notez que cette politique doit être appliquée au compartiment Amazon S3, et non à un utilisateur. En d'autres termes, il s'agit d'une stratégie basée sur les ressources, et non sur l'utilisateur. Vous devez refuser l'accès au bucket aux utilisateurs qui n'ont pas besoin d'accéder à vos factures.

Remplacez bucketname par le nom de votre compartiment.

Pour plus d'informations, consultez Utilisation des stratégies de compartiment et des stratégies d'utilisateur dans le Guide de l'utilisateur Amazon Simple Storage Service.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Principal": {
      "Service": "billingreports.amazonaws.com"
    },
    "Action": [
      "s3:GetBucketAcl",
      "s3:GetBucketPolicy"
    ],
    "Resource": "arn:aws:s3:::bucketname"
  },
  {
    "Effect": "Allow",
    "Principal": {
      "Service": "billingreports.amazonaws.com"
    },
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::bucketname/*"
  }
  ]
}

Affichage des coûts et de l'utilisation

Pour autoriser les utilisateurs à utiliser l'API AWS Cost Explorer, appliquez la politique suivante pour leur accorder l'accès.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ce:*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

Activer et désactiver les AWS régions

Pour un exemple de politique IAM qui permet aux utilisateurs d'activer et de désactiver les régions, voir AWS: Autoriser l'activation et la désactivation des AWS régions dans le guide de l'utilisateur IAM.

Affichage et mise à jour la page des préférences Cost Explorer

Cette politique permet à un utilisateur de consulter et de mettre à jour à l'aide de la page des préférences de Cost Explorer.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling",
        "ce:UpdatePreferences"
       ],
      "Resource": "*"
    }
  ]
}

La politique suivante autorise les utilisateurs à consulter Cost Explorer, mais leur refuse l'autorisation d'afficher ou de modifier la page des préférences.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:GetPreferences",
                "ce:UpdatePreferences"
            ],
            "Resource": "*"
        }
    ]
}

La politique suivante permet aux utilisateurs d'afficher Cost Explorer, mais de refuser l'autorisation de modifier la page des préférences.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:UpdatePreferences"
            ],
            "Resource": "*"
        }
    ]
}

Affichage, création, mise à jour et suppression à l'aide de la page des rapports Cost Explorer

Cette politique permet à un utilisateur de consulter, de créer, de mettre à jour et de supprimer à l'aide de la page des rapports de Cost Explorer.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling",
        "ce:CreateReport",
        "ce:UpdateReport",
        "ce:DeleteReport"
       ],
      "Resource": "*"
    }
  ]
}

La politique suivante autorise les utilisateurs à consulter Cost Explorer, mais leur refuse l'autorisation de consulter ou de modifier la page Rapports.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:DescribeReport",
                "ce:CreateReport",
                "ce:UpdateReport",
                "ce:DeleteReport"
            ],
            "Resource": "*"
        }
    ]
}

La politique suivante permet aux utilisateurs de consulter Cost Explorer, mais de refuser l'autorisation de modifier la page Rapports.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action":  
                "ce:CreateReport",
                "ce:UpdateReport",
                "ce:DeleteReport"
            ],
            "Resource": "*"
        }
    ]
}

Affichage, création, mise à jour et suppression des alertes de réservation et de Savings Plans

Cette politique permet à un utilisateur de consulter, de créer, de mettre à jour et de supprimer les alertes d'expiration des réservations et les alertes Savings Plans. Pour modifier les alertes d'expiration de réservation ou les alertes de Savings Plans, un utilisateur a besoin des trois actions détaillées suivantes :ce:CreateNotificationSubscription, ce:UpdateNotificationSubscription et ce:DeleteNotificationSubscription.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling",
        "ce:CreateNotificationSubscription",
        "ce:UpdateNotificationSubscription",
        "ce:DeleteNotificationSubscription"
       ],
      "Resource": "*"
    }
  ]
}

La politique suivante autorise les utilisateurs à consulter Cost Explorer, mais refuse l'autorisation de consulter ou de modifier les pages d'alertes d'expiration des réservations et d'alerte Savings Plans.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:DescribeNotificationSubscription",
                "ce:CreateNotificationSubscription",
                "ce:UpdateNotificationSubscription",
                "ce:DeleteNotificationSubscription"
            ],
            "Resource": "*"
        }
    ]
}

La politique suivante permet aux utilisateurs de consulter Cost Explorer, mais refuse l'autorisation de modifier les pages d'alerte d'expiration des réservations et d'alerte Savings Plans.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:CreateNotificationSubscription",
                "ce:UpdateNotificationSubscription",
                "ce:DeleteNotificationSubscription"
            ],
            "Resource": "*"
        }
    ]
}

Autoriser l'accès en lecture seule à la détection des anomalies de AWS coûts

Pour autoriser les utilisateurs à accéder en lecture seule à AWS Cost Anomaly Detection, appliquez la politique suivante pour leur accorder l'accès. ce:ProvideAnomalyFeedbackest facultatif dans le cadre de l'accès en lecture seule.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ce:Get*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Autoriser AWS les budgets à appliquer les politiques IAM et les SCP

Cette politique permet à AWS Budgets d'appliquer des politiques IAM et des politiques de contrôle des services (SCP) au nom de l'utilisateur.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:AttachGroupPolicy",
        "iam:AttachRolePolicy",
        "iam:AttachUserPolicy",
        "iam:DetachGroupPolicy",
        "iam:DetachRolePolicy",
        "iam:DetachUserPolicy",
        "organizations:AttachPolicy",
        "organizations:DetachPolicy"
      ],
      "Resource": "*"
    }
  ]
}

Permettre à AWS Budgets d'appliquer les politiques IAM et les SCP et de cibler les instances EC2 et RDS

Cette politique permet à AWS Budgets d'appliquer des politiques IAM et des politiques de contrôle des services (SCP) et de cibler les instances Amazon EC2 et Amazon RDS au nom de l'utilisateur.

Politique d’approbation

Note

Cette politique de confiance permet à AWS Budgets d'assumer un rôle qui peut appeler d'autres services en votre nom. Pour plus d'informations sur les meilleures pratiques relatives aux autorisations interservices de ce type, consultezPrévention du cas de figure de l’adjoint désorienté entre services.


{
"Version": "2012-10-17",
"Statement": [
  {
    "Effect": "Allow",
    "Principal": {
      "Service": "budgets.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:budgets::123456789012:budget/*"
      },
      "StringEquals": {
        "aws:SourceAccount": "123456789012"
      }
    }
  }
]
}

Politique d'autorisations


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstanceStatus",
        "ec2:StartInstances",
        "ec2:StopInstances",
        "iam:AttachGroupPolicy",
        "iam:AttachRolePolicy",
        "iam:AttachUserPolicy",
        "iam:DetachGroupPolicy",
        "iam:DetachRolePolicy",
        "iam:DetachUserPolicy",
        "organizations:AttachPolicy",
        "organizations:DetachPolicy",
        "rds:DescribeDBInstances",
        "rds:StartDBInstance",
        "rds:StopDBInstance",
        "ssm:StartAutomationExecution"
      ],
      "Resource": "*"
    }
  ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisation des politiques IAM pour la gestion des AWS coûts

Migrer le contrôle d'accès