Memigrasi kontrol akses untuk AWS Billing

catatan

Tindakan AWS Identity and Access Management (IAM) berikut telah mencapai akhir dukungan standar pada Juli 2023:

aws-portalnamespace
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

Jika Anda menggunakan AWS Organizations, Anda dapat menggunakan skrip migrasi kebijakan massal atau migrator kebijakan massal untuk memperbarui kebijakan dari akun pembayar Anda. Anda juga dapat menggunakan referensi pemetaan tindakan lama ke granular untuk memverifikasi IAM tindakan yang perlu ditambahkan.

Jika Anda memiliki Akun AWS, atau merupakan bagian dari yang AWS Organizations dibuat pada atau setelah 6 Maret 2023, 11:00 AM (PDT), tindakan halus sudah berlaku di organisasi Anda.

Anda dapat menggunakan kontrol akses berbutir halus untuk memberi individu di organisasi Anda akses ke layanan. AWS Billing and Cost Management Misalnya, Anda dapat memberikan akses ke Cost Explorer tanpa menyediakan akses ke konsol Billing and Cost Management.

Untuk menggunakan kontrol akses berbutir halus, Anda harus memigrasikan kebijakan dari bawah aws-portal ke tindakan baru. IAM

IAMTindakan berikut dalam kebijakan izin atau kebijakan kontrol layanan (SCP) memerlukan pembaruan dengan migrasi ini:

aws-portal:ViewAccount
aws-portal:ViewBilling
aws-portal:ViewPaymentMethods
aws-portal:ViewUsage
aws-portal:ModifyAccount
aws-portal:ModifyBilling
aws-portal:ModifyPaymentMethods
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

Untuk mempelajari cara menggunakan alat Kebijakan yang terpengaruh untuk mengidentifikasi kebijakan yang terkena dampakIAM, lihatCara menggunakan alat kebijakan yang terpengaruh.

catatan

APIakses ke AWS Cost Explorer, Laporan AWS Biaya dan Penggunaan, dan AWS Anggaran tetap tidak terpengaruh.

Mengaktifkan akses ke konsol Manajemen Penagihan dan Biayatetap tidak berubah.

Topik

Mengelola izin akses

AWS Billing terintegrasi dengan layanan AWS Identity and Access Management (IAM) sehingga Anda dapat mengontrol siapa di organisasi Anda yang dapat mengakses halaman tertentu di konsol Billing and Cost Management. Ini termasuk fitur seperti Pembayaran, Penagihan, Kredit, Tingkat Gratis, preferensi Pembayaran, Penagihan Konsolidasi, pengaturan Pajak, dan halaman Akun.

Gunakan IAM izin berikut untuk kontrol granular untuk konsol Billing and Cost Management.

Untuk menyediakan akses berbutir halus, ganti aws-portal kebijakan denganaccount,,,billing, payments freetierinvoicing, tax dan. consolidatedbilling

Selain itu, ganti purchase-orders:ViewPurchaseOrders dan purchase-orders:ModifyPurchaseOrders dengan tindakan berbutir halus di bawahpurchase-orders,, account dan. payments

Menggunakan tindakan berbutir halus AWS Billing

Tabel ini merangkum izin yang memungkinkan atau menolak akses IAM pengguna dan peran ke informasi penagihan Anda. Untuk contoh kebijakan yang menggunakan izin ini, lihat AWS Contoh kebijakan penagihan.

Untuk daftar tindakan untuk AWS Cost Management konsol, lihat kebijakan AWS Cost Management tindakan di Panduan AWS Cost Management Pengguna.

Nama fitur di konsol Billing and Cost Management	IAMaksi	Deskripsi
Rumah Penagihan	`account:GetAccountInformation` `billing:Get` `payments:List` `tax:List*`	Memberikan izin untuk melihat halaman Beranda. Ini adalah izin hanya-baca. catatan Ini adalah izin untuk konsol saja. Tidak ada API akses yang tersedia untuk izin ini.
Tagihan	`account:GetAccountInformation` `billing:Get` `consolidatedbilling:Get` `consolidatedbilling:List` `invoicing:List` `payments:List*`	Memberikan izin untuk melihat halaman Tagihan. Ini adalah izin hanya-baca. catatan Ini adalah izin untuk konsol saja. Tidak ada API akses yang tersedia untuk izin ini.
	`invoicing:Get*`	Memberikan izin untuk mengunduh faktur dari halaman Tagihan. catatan Ini adalah izin untuk konsol saja. Tidak ada API akses yang tersedia untuk izin ini.
	`cur:Get*`	Memberikan izin untuk mengunduh CSV laporan dari halaman Tagihan. catatan Ini adalah izin untuk konsol saja. Tidak ada API akses yang tersedia untuk izin ini.
	`billing:ListBillingViews`	Memberikan izin untuk melihat `ARN` dan deskripsi setiap grup AWS Billing Conductor penagihan yang dibuat. Ini diperlukan untuk membuat preferensi laporan untuk grup tertentu. catatan Ini adalah izin untuk konsol saja. Tidak ada API akses yang tersedia untuk izin ini.
Pembayaran	`account:GetAccountInformation` `billing:Get` `payments:Get` `payments:List*`	Memberikan izin untuk melihat halaman Pembayaran. Ini adalah izin baca-saja untuk tab Pembayaran yang jatuh tempo, Dana yang tidak diterapkan, Transaksi, dan Pembayaran di muka. catatan Ini adalah izin untuk konsol saja. Tidak ada API akses yang tersedia untuk izin ini.
	`invoicing:Get*`	Memberikan izin untuk mengunduh faktur dari tab Transaksi. catatan Ini adalah izin untuk konsol saja. Tidak ada API akses yang tersedia untuk izin ini.
	`payments:Update*`	Memberikan tindakan izin yang diperlukan untuk menggunakan Pembayaran di Muka dan mengatur detail pembayaran.
	`payments:Make` `invoicing:Get`	Memberikan izin untuk membuat dokumen permintaan pendanaan untuk Pembayaran di Muka, dan melakukan pembayaran.
Kredit	`billing:Get*` `account:GetAccountInformation`	Memberikan izin untuk melihat halaman Kredit.
Kredit	`billing:RedeemCredits`	Memberikan izin untuk menebus kredit.
Pesanan pembelian	`account:GetAccountInformation` `account:GetContactInformation` `payments:Get` `payments:List` `purchase-orders:ListPurchaseOrders` `purchase-orders:ListPurchaseOrderInvoices` `tax:ListTaxRegistrations` `consolidatedbilling:GetAccountBillingRole`	Memberikan izin untuk melihat halaman Pesanan Pembelian.
	`purchase-orders:GetPurchaseOrder`	Memberikan izin untuk melihat detail pesanan pembelian.
	`purchase-orders:AddPurchaseOrder`	Memberikan izin untuk menambahkan pesanan pembelian.
	`purchase-orders:DeletePurchaseOrder`	Memberikan izin untuk menghapus pesanan pembelian.
	`purchase-orders:UpdatePurchaseOrder` `purchase-orders:UpdatePurchaseOrderStatus`	Memberikan izin untuk memperbarui pesanan pembelian dan status pesanan pembelian.
AWS Laporan Biaya dan Penggunaan	`cur:GetClassic*` `cur:DescribeReportDefinitions`	Memberikan izin untuk melihat daftar AWS CUR laporan di halaman Laporan AWS Biaya dan Penggunaan. catatan `cur:GetClassic*`adalah izin untuk konsol saja. Tidak ada API akses yang tersedia untuk izin ini.
	`billing:ListBillingViews`	Memberikan izin untuk melihat `ARN` dan deskripsi setiap grup penagihan yang dibuat di Konduktor AWS Penagihan. Ini diperlukan untuk membuat preferensi laporan untuk grup tertentu. catatan Ini adalah izin untuk konsol saja. Tidak ada API akses yang tersedia untuk izin ini.
	`s3:ListAllMyBuckets` `s3:CreateBucket` `s3:PutBucketPolicy` `s3:GetBucketLocation` `cur:Validate*` `cur:PutReportDefinition`	Memberikan tindakan izin yang diperlukan untuk membuat AWS CUR laporan baru. catatan `cur:Validate*`adalah izin untuk konsol saja. Tidak ada API akses yang tersedia untuk izin ini.
	`cur:Validate*` `s3:CreateBucket` `s3:ListAllMyBuckets` `s3:PutBucketPolicy` `s3:GetBucketLocation` `cur:ModifyReportDefinition`	Memberikan izin untuk mengedit AWS CUR definisi. catatan `cur:Validate*`adalah izin untuk konsol saja. Tidak ada API akses yang tersedia untuk izin ini.
	`cur:DeleteReportDefinition`	Memberikan izin untuk menghapus AWS CUR laporan.
	`cur:GetUsage*`	Memberikan izin untuk mengunduh laporan penggunaan.
	`sustainability:GetCarbonFootprintSummary`	Memberikan izin untuk melihat data keberlanjutan untuk Anda. Akun AWS
Kategori biaya	`account:GetAccountInformation` `ce:ListCostCategoryDefinitions` `ce:DescribeCostCategoryDefinition` `ce:GetCostAndUsage` `ce:ListTagsForResource` `consolidatedbilling:GetAccountBillingRole`	Memberikan izin untuk melihat kategori biaya. catatan `account:GetAccountInformation`adalah izin untuk konsol saja. Tidak ada API akses yang tersedia untuk izin ini.
	`billing:Get` `ce:TagResource` `ce:ListCostAllocationTags` `consolidatedbilling:List` `ce:CreateCostCategoryDefinition` `pricing:DescribeServices` `ce:GetDimensionValues` `ce:GetTags`	Memberikan izin untuk membuat kategori biaya. catatan `billing:Get`dan `consolidatedbilling:List` merupakan izin untuk konsol saja. Tidak ada API akses yang tersedia untuk izin ini.
	`ce:UpdateCostCategoryDefinition` `ce:UntagResource`	Memberikan izin untuk memodifikasi kategori biaya.
	`ce:DeleteCostCategoryDefinition`	Memberikan izin untuk menghapus kategori biaya.
Tag alokasi biaya	`account:GetAccountInformation` `ce:ListCostAllocationTags` `consolidatedbilling:GetAccountBillingRole`	Memberikan izin untuk melihat tag alokasi biaya.
Tag alokasi biaya	`ce:UpdateCostAllocationTagsStatus`	Memberikan izin untuk mengaktifkan atau menonaktifkan tag alokasi biaya.
AWS Budgets	`budgets:ViewBudget` `budgets:DescribeBudgetActionsForBudget` `budgets:DescribeBudgetAction` `budgets:DescribeBudgetActionsForAccount` `budgets:DescribeBudgetActionHistories`	Memberikan izin untuk melihat halaman Anggaran.
AWS Budgets	`budgets:CreateBudgetAction` `budgets:ExecuteBudgetAction` `budgets:DeleteBudgetAction` `budgets:UpdateBudgetAction` `budgets:ModifyBudget`	Memberikan izin untuk membuat, menghapus, dan memodifikasi tindakan Anggaran dan Anggaran.
Tingkat gratis	`billing:Get` `freetier:Get`	Memberikan izin untuk melihat batas penggunaan tingkat gratis dan status penggunaan bulan hingga saat ini.
Preferensi penagihan	`account:GetAccountInformation` `billing:Get` `consolidatedbilling:Get` `consolidatedbilling:List` `cur:GetClassic` `cur:Validate` `freetier:Get` `invoicing:Get*`	Memberikan tindakan izin yang diperlukan untuk melihat semua bagian di halaman Preferensi penagihan. catatan Ini adalah izin untuk konsol saja. Tidak ada API akses yang tersedia untuk izin ini.
Preferensi penagihan	`billing:Update` `freetier:Put` `cur:PutClassic` `s3:ListAllMyBuckets` `s3:CreateBucket` `s3:PutBucketPolicy` `s3:GetBucketLocation` `invoicing:Put`	Memberikan izin untuk membuat perubahan berikut di halaman preferensi Penagihan: Aktifkan atau nonaktifkan pembagian kredit ke RI atau Savings Plans discount sharing Tetapkan preferensi Peringatan Penggunaan Tingkat Gratis Mengatur pengaturan dan preferensi pengiriman laporan penagihan terperinci Mengatur atau memperbarui PDFfaktur berdasarkan preferensi email catatan `billing:Update`,`freetier:Put`, `cur:PutClassic*` adalah izin untuk konsol saja. Tidak ada API akses yang tersedia untuk izin ini.
Preferensi pembayaran	`account:GetAccountInformation` `billing:Get` `payments:GetPaymentInstrument` `payments:List` `payments:GetPaymentStatus`	Memberikan izin untuk melihat halaman Preferensi pembayaran. catatan Ini adalah izin untuk konsol saja. Tidak ada API akses yang tersedia untuk izin ini.
	`payments:Update` `payments:Make` `payments:CreatePaymentInstrument` `payments:DeletePaymentInstrument`	Memberikan izin untuk membuat atau memperbarui metode pembayaran. catatan `payments:Make*`hanya diperlukan jika kartu pembayaran memerlukan otentikasi multi-faktor ()MFA.
	`tax:PutTaxRegistration` `tax:Delete*` `payments:UpdatePaymentPreferences` `payments:CreatePaymentInstrument`	Memberikan izin untuk memperbarui atau menghapus nomor registrasi pajak.
	`payments:Update*`	Memberikan izin untuk memperbarui profil pembayaran. catatan Ini adalah izin untuk konsol saja. Tidak ada API akses yang tersedia untuk izin ini.
Pengaturan pajak	`tax:List` `tax:Get`	Memberikan izin untuk melihat pengaturan pajak.
	`tax:BatchPut*`	Memberikan tindakan izin yang diperlukan untuk memperbarui pengaturan pajak.
	`tax:Put*`	Memberikan izin untuk menetapkan warisan pajak.
	`tax:UpdateExemptions` `support:CreateCase` `support:AddAttachmentsToSet`	Memberikan izin untuk memperbarui pembebasan pajak.
Akun	`account:Get` `account:List` `billing:Get` `payments:List`	Memberikan izin untuk melihat setelan Akun. catatan `billing:Get*`adalah izin untuk konsol saja. Tidak ada API akses yang tersedia untuk izin ini.
	`account:CloseAccount`	Memberikan izin untuk menutup Akun AWS. catatan Ini adalah izin untuk konsol saja. Tidak ada API akses yang tersedia untuk izin ini.
	`account:DisableRegion`	Memberikan izin untuk mematikan AWS Wilayah di halaman Akun.
	`account:EnableRegion`	Memberikan izin untuk mengaktifkan AWS Wilayah di halaman Akun.
	`account:PutAlternateContact`	Memberikan izin untuk menulis kontak alternatif untuk akun tersebut.
	`account:PutChallengeQuestions`	Memberikan izin untuk mengatur pertanyaan tantangan keamanan untuk akun. catatan Izin ini hanya untuk konsol. Tidak ada API akses yang tersedia untuk izin ini.
	`account:PutContactInformation`	Memberikan izin tindakan yang diperlukan untuk mengatur atau menulis informasi kontak utama, termasuk alamat, untuk akun.
	`billing:PutContractInformation`	Memberikan izin untuk mengatur informasi kontrak akun, jika akun tersebut digunakan untuk melayani pelanggan sektor publik. Informasi yang dapat ditarik termasuk nama organisasi pengguna akhir, nomor kontrak, dan nomor PO. catatan Izin ini hanya untuk konsol. Tidak ada API akses yang tersedia untuk izin ini.
	`billing:Update*`	Memberikan tindakan izin yang diperlukan untuk mengaktifkan atau menonaktifkan pengaturan Aktifkan IAM Akses pada halaman Akun.
	`payments:Update*`	Memberikan izin untuk menetapkan pembayaran di muka, preferensi mata uang, detail kontak dan alamat penagihan, serta syarat dan ketentuan pembayaran.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

AWS Contoh kebijakan penagihan

Migrasi kebijakan Anda secara massal