Migrazione del controllo degli accessi per AWS Billing

Nota

Le seguenti azioni AWS Identity and Access Management (IAM) hanno raggiunto la fine del supporto standard a luglio 2023:

• Spazio dei nomi aws-portal

• purchase-orders:ViewPurchaseOrders

• purchase-orders:ModifyPurchaseOrders

Se utilizzi AWS Organizations, puoi utilizzare gli script Bulk Policy Migrator o Bulk Policy Migrator per aggiornare le politiche dal tuo account di pagamento. Puoi anche utilizzare il riferimento alla mappatura dalle vecchie operazioni alle operazioni granulari per verificare le operazioni IAM da aggiungere.

Se ne hai AWS Organizations creato uno Account AWS o ne fai parte a partire dal 6 marzo 2023 alle 11:00 (PDT), le azioni dettagliate sono già in vigore nella tua organizzazione.

Puoi utilizzare controlli di accesso granulari per fornire ai singoli membri dell'organizzazione l'accesso ai servizi. AWS Billing and Cost Management Ad esempio, puoi fornire l'accesso a Esploratore dei costi senza fornire l'accesso alla console Gestione fatturazione e costi.

Per utilizzare i controlli di accesso granulari, dovrai migrare le tue policy da aws-portal alle nuove operazioni IAM.

Le seguenti operazioni IAM nelle policy di autorizzazione o nelle policy di controllo dei servizi (SCP) richiedono l'aggiornamento con questa migrazione:

• aws-portal:ViewAccount

• aws-portal:ViewBilling

• aws-portal:ViewPaymentMethods

• aws-portal:ViewUsage

• aws-portal:ModifyAccount

• aws-portal:ModifyBilling

• aws-portal:ModifyPaymentMethods

• purchase-orders:ViewPurchaseOrders

• purchase-orders:ModifyPurchaseOrders

Per scoprire come utilizzare lo strumento Affected policies (Policy interessate) per identificare le policy IAM interessate, consulta la pagina Come utilizzare lo strumento policy interessate.

Nota

L'accesso alle API AWS Cost Explorer, i report AWS sui costi e sull'utilizzo e i AWS budget rimangono inalterati.

Attivazione dell'accesso alla console di gestione fatturazione e costi rimane invariato.

Argomenti

• Gestione delle autorizzazioni di accesso
• Utilizzo della console per migrare in blocco le tue politiche
• Come utilizzare lo strumento policy interessate
• Usa gli script per migrare in blocco le tue policy per utilizzare azioni IAM granulari
• Riferimento alla mappatura delle azioni IAM granulari

Gestione delle autorizzazioni di accesso

AWS Billing si integra con il servizio AWS Identity and Access Management (IAM) in modo da poter controllare chi nella propria organizzazione può accedere a pagine specifiche sulla console di Billing and Cost Management. Ciò include pagine di funzionalità come pagamenti, fatturazione, crediti, piano gratuito, preferenze di pagamento, fatturazione consolidata, impostazioni fiscali e account.

Utilizza le seguenti autorizzazioni IAM per il controllo granulare della console di Gestione fatturazione e costi.

Per fornire un accesso granulare, sostituisci la policy aws-portal con account, billing, payments, freetier, invoicing, tax, e consolidatedbilling.

Inoltre, sostituisci purchase-orders:ViewPurchaseOrders e purchase-orders:ModifyPurchaseOrders con le operazioni granulari in purchase-orders, account e payments.

Utilizzo di azioni granulari AWS Billing

Questa tabella riepiloga le autorizzazioni che concedono o negano agli utenti e ai ruoli IAM l'accesso alle tue informazioni di fatturazione. Per esempi di policy che utilizzano queste autorizzazioni, consulta AWS Esempi di politiche di fatturazione.

Per un elenco delle azioni per la AWS Cost Management console, consulta le politiche AWS Cost Management relative alle azioni nella Guida per l'AWS Cost Management utente.

Nome della funzionalità nella console di Gestione fatturazione e costi	Operazione IAM	Descrizione
Pagina Home di fatturazione	account:GetAccountInformation billing:Get* payments:List* tax:List*	Concede l'autorizzazione per visualizzare la pagina Home. Queste autorizzazioni sono di sola lettura. Nota Queste autorizzazioni valgono solo per la console. Per queste autorizzazioni non è disponibile alcun accesso API.
Fatture	account:GetAccountInformation billing:Get* consolidatedbilling:Get* consolidatedbilling:List* invoicing:List* payments:List*	Concede l'autorizzazione per visualizzare la pagina Fatture. Queste autorizzazioni sono di sola lettura. Nota Queste autorizzazioni valgono solo per la console. Per queste autorizzazioni non è disponibile alcun accesso API.
	invoicing:Get*	Concede l'autorizzazione per scaricare le fatture dalla pagina Fatture. Nota Questa autorizzazione vale solo per la console. Per questa autorizzazione non è disponibile alcun accesso API.
	cur:Get*	Concede l'autorizzazione per scaricare i report CSV dalla pagina Fatture. Nota Questa autorizzazione vale solo per la console. Per questa autorizzazione non è disponibile alcun accesso API.
	billing:ListBillingViews	Concede l'autorizzazione alla visualizzazione ARN e alla descrizione di ogni gruppo di AWS Billing Conductor fatturazione creato. Ciò è necessario per creare una preferenza di report per gruppi specifici. Nota Questa autorizzazione vale solo per la console. Per questa autorizzazione non è disponibile alcun accesso API.
Pagamenti	account:GetAccountInformation billing:Get* payments:Get* payments:List*	Concede l'autorizzazione per visualizzare la pagina Pagamenti. Queste autorizzazioni sono di sola lettura per le schede Payments due (Pagamenti dovuti), Unapplied funds (Fondi non applicati), Transactions (Transazioni) e Advance pay (Pagamento anticipato). Nota Queste autorizzazioni valgono solo per la console. Per queste autorizzazioni non è disponibile alcun accesso API.
	invoicing:Get*	Concede l'autorizzazione per scaricare una fattura dalla pagina Transazioni. Nota Questa autorizzazione vale solo per la console. Per questa autorizzazione non è disponibile alcun accesso API.
	payments:Update*	Concede l'autorizzazione all'operazione necessaria per utilizzare un pagamento anticipato e configurare i dettagli di pagamento.
	payments:Make* invoicing:Get*	Concede l'autorizzazione per generare un documento di richiesta di fondi per un pagamento anticipato ed effettuare un pagamento.
Crediti	billing:Get* account:GetAccountInformation	Concede l'autorizzazione per visualizzare la pagina Crediti.
	billing:RedeemCredits	Concede l'autorizzazione per riscattare i crediti.
Ordini di acquisto	account:GetAccountInformation account:GetContactInformation payments:Get* payments:List* purchase-orders:ListPurchaseOrders purchase-orders:ListPurchaseOrderInvoices tax:ListTaxRegistrations consolidatedbilling:GetAccountBillingRole	Concede l'autorizzazione per visualizzare la pagina Ordini di acquisto.
	purchase-orders:GetPurchaseOrder	Concede l'autorizzazione per visualizzare i dettagli di un ordine di acquisto.
	purchase-orders:AddPurchaseOrder	Concede l'autorizzazione per aggiungere un ordine di acquisto.
	purchase-orders:DeletePurchaseOrder	Concede l'autorizzazione per eliminare un ordine di acquisto.
	purchase-orders:UpdatePurchaseOrder purchase-orders:UpdatePurchaseOrderStatus	Concede l'autorizzazione per aggiornare gli ordini di acquisto e il relativo stato.
AWS Report di costi e utilizzo	cur:GetClassic* cur:DescribeReportDefinitions	Concede l'autorizzazione a visualizzare un elenco di report AWS CUR nella pagina Rapporti sui AWS costi e sull'utilizzo. Nota L'autorizzazione cur:GetClassic* vale solo per la console. Per questa autorizzazione non è disponibile alcun accesso API.
	billing:ListBillingViews	Concede l'autorizzazione alla visualizzazione ARN e alla descrizione di ogni gruppo di fatturazione creato in Billing Conductor. AWS Ciò è necessario per creare una preferenza di report per gruppi specifici. Nota Questa autorizzazione vale solo per la console. Per questa autorizzazione non è disponibile alcun accesso API.
	s3:ListAllMyBuckets s3:CreateBucket s3:PutBucketPolicy s3:GetBucketLocation cur:Validate* cur:PutReportDefinition	Concede le azioni di autorizzazione necessarie per creare un nuovo rapporto CUR. AWS Nota L'autorizzazione cur:Validate* vale solo per la console. Per queste autorizzazioni non è disponibile alcun accesso API.
	cur:Validate* s3:CreateBucket s3:ListAllMyBuckets s3:PutBucketPolicy s3:GetBucketLocation cur:ModifyReportDefinition	Concede l'autorizzazione a modificare la definizione CUR AWS . Nota L'autorizzazione cur:Validate* vale solo per la console. Per queste autorizzazioni non è disponibile alcun accesso API.
	cur:DeleteReportDefinition	Concede l'autorizzazione a eliminare AWS i report CUR.
	cur:GetUsage*	Concede l'autorizzazione per scaricare i report sull'utilizzo.
	sustainability:GetCarbonFootprintSummary	Concede l'autorizzazione per visualizzare i dati sulla sostenibilità per il tuo  Account AWS.
Categorie di costo	account:GetAccountInformation ce:ListCostCategoryDefinitions ce:DescribeCostCategoryDefinition ce:GetCostAndUsage ce:ListTagsForResource consolidatedbilling:GetAccountBillingRole	Concede l'autorizzazione per visualizzare le categorie di costi. Nota L'autorizzazione account:GetAccountInformation vale solo per la console. Per queste autorizzazioni non è disponibile alcun accesso API.
	billing:Get* ce:TagResource ce:ListCostAllocationTags consolidatedbilling:List* ce:CreateCostCategoryDefinition pricing:DescribeServices ce:GetDimensionValues ce:GetTags	Concede l'autorizzazione per creare le categorie di costi. Nota Le autorizzazioni billing:Get* e consolidatedbilling:List* valgono solo per la console. Per queste autorizzazioni non è disponibile alcun accesso API.
	ce:UpdateCostCategoryDefinition ce:UntagResource	Concede l'autorizzazione per modificare le categorie di costi.
	ce:DeleteCostCategoryDefinition	Concede l'autorizzazione per eliminare le categorie di costo.
Tag di allocazione dei costi	account:GetAccountInformation ce:ListCostAllocationTags consolidatedbilling:GetAccountBillingRole	Concede le autorizzazioni per visualizzare i tag di allocazione costi
	ce:UpdateCostAllocationTagsStatus	Concede l'autorizzazione per attivare o disattivare i tag di allocazione dei costi.
Budget AWS	budgets:ViewBudget budgets:DescribeBudgetActionsForBudget budgets:DescribeBudgetAction budgets:DescribeBudgetActionsForAccount budgets:DescribeBudgetActionHistories	Concede l'autorizzazione per visualizzare la pagina Budget.
	budgets:CreateBudgetAction budgets:ExecuteBudgetAction budgets:DeleteBudgetAction budgets:UpdateBudgetAction budgets:ModifyBudget	Concede l'autorizzazione per creare, eliminare e modificare budget e operazioni di budget.
Piano gratuito	billing:Get* freetier:Get*	Concede l'autorizzazione per visualizzare i limiti di utilizzo del piano gratuito e lo stato di utilizzo dall'inizio del mese a oggi.
Preferenze di fatturazione	account:GetAccountInformation billing:Get* consolidatedbilling:Get* consolidatedbilling:List* cur:GetClassic* cur:Validate* freetier:Get* invoicing:Get*	Concede l'autorizzazione alle operazioni necessarie visualizzare tutte le sezioni della pagina Preferenze di fatturazione. Nota Queste autorizzazioni valgono solo per la console. Per queste autorizzazioni non è disponibile alcun accesso API.
	billing:Update* freetier:Put* cur:PutClassic* s3:ListAllMyBuckets s3:CreateBucket s3:PutBucketPolicy s3:GetBucketLocation invoicing:Put*	Concede l'autorizzazione per apportare le seguenti modifiche nella pagina Preferenze di fatturazione: Attivazione o disattivazione della condivisione del credito di istanze riservate o dello sconto Savings Plans Impostazione delle preferenze relative a Free Tier Usage Alert (Avvisi di utilizzo del piano gratuito) Configurazione delle impostazioni e delle preferenze di consegna dei Detailed billing reports (Report di fatturazione dettagliati) Impostazione o aggiornamento delle preferenze relative a PDF invoice by email (Fattura in PDF tramite e-mail) Nota Le autorizzazioni billing:Update*, freetier:Put* e cur:PutClassic* valgono solo per la console. Per queste autorizzazioni non è disponibile alcun accesso API.
Preferenze di pagamento	account:GetAccountInformation billing:Get* payments:GetPaymentInstrument payments:List* payments:GetPaymentStatus	Concede l'autorizzazione per visualizzare la pagina Preferenze di pagamento. Nota Queste autorizzazioni valgono solo per la console. Per queste autorizzazioni non è disponibile alcun accesso API.
	payments:Update* payments:Make* payments:CreatePaymentInstrument payments:DeletePaymentInstrument	Concede l'autorizzazione per creare o aggiornare i metodi di pagamento. Nota payments:Make* è richiesto solo se la carta di pagamento richiede l'autenticazione a più fattori (MFA).
	tax:PutTaxRegistration tax:Delete* payments:UpdatePaymentPreferences payments:CreatePaymentInstrument	Concede l'autorizzazione per aggiornare o eliminare i codici di registrazione fiscale.
	payments:Update*	Concede l'autorizzazione per aggiornare i profili di pagamento. Nota Questa autorizzazione vale solo per la console. Per questa autorizzazione non è disponibile alcun accesso API.
Impostazioni fiscali	tax:List* tax:Get*	Concede l'autorizzazione per visualizzare le impostazioni fiscali.
	tax:BatchPut*	Concede l'autorizzazione all'operazione necessaria per aggiornare le impostazioni fiscali.
	tax:Put*	Concede l'autorizzazione per impostare le tasse di successione.
	tax:UpdateExemptions support:CreateCase support:AddAttachmentsToSet	Concede l'autorizzazione per aggiornare i dati delle esenzioni fiscali.
Account	account:Get* account:List* billing:Get* payments:List*	Concede l'autorizzazione per visualizzare le impostazioni dell'account. Nota L'autorizzazione billing:Get* vale solo per la console. Per questa autorizzazione non è disponibile alcun accesso API.
	account:CloseAccount	Concede l'autorizzazione alla chiusura. Account AWS Nota Questa autorizzazione vale solo per la console. Per questa autorizzazione non è disponibile alcun accesso API.
	account:DisableRegion	Concede l'autorizzazione a disattivare una AWS regione nella pagina Account.
	account:EnableRegion	Concede l'autorizzazione ad attivare una AWS regione nella pagina Account.
	account:PutAlternateContact	Concede l'autorizzazione per scrivere i contatti alternativi per l'account.
	account:PutChallengeQuestions	Concede l'autorizzazione per impostare le domande di sicurezza per l'account. Nota Questa autorizzazione vale solo per la console. Per questa autorizzazione non è disponibile alcun accesso API.
	account:PutContactInformation	Concede l'autorizzazione all'operazione necessaria per impostare o scrivere le informazioni di contatto principali, incluso l'indirizzo, per l'account.
	billing:PutContractInformation	Concede l'autorizzazione per impostare le informazioni sul contratto dell'account, se l'account viene utilizzato per servire clienti del settore pubblico. Le informazioni che possono essere estratte includono i nomi delle organizzazioni degli utenti finali, il numero di contratto e i numeri di ordine di acquisto. Nota Questa autorizzazione vale solo per la console. Per questa autorizzazione non è disponibile alcun accesso API.
	billing:Update*	Concede l'autorizzazione all'operazione necessaria per attivare o disattivare l'impostazione Attiva IAM Access sulla pagina Account.
	payments:Update*	Concede l'autorizzazione per impostare il pagamento anticipato, la valuta preferita, i dati di contatto e l'indirizzo di fatturazione, nonché i termini e le condizioni di pagamento.