AWS Billing에 대한 액세스 제어 마이그레이션하기

참고

다음 AWS Identity and Access Management (IAM) 조치는 2023년 7월에 표준 지원이 종료되었습니다.

• aws-portal 네임스페이스

• purchase-orders:ViewPurchaseOrders

• purchase-orders:ModifyPurchaseOrders

를 사용하는 AWS Organizations경우 대량 정책 마이그레이션 스크립트 또는 대량 정책 마이그레이션기를 사용하여 지급인 계정에서 정책을 업데이트할 수 있습니다. 또한 기존에서 세분화된 작업 매핑 참조를 사용하여 추가해야 하는 IAM 작업을 확인할 수 있습니다.

2023년 3월 6일 오전 11시 (PDT) 이후에 AWS Organizations 만든 작업이 있거나 해당 작업에 참여하고 있다면 세분화된 작업이 이미 조직에 적용되고 있습니다. AWS 계정

세분화된 액세스 제어를 사용하여 조직의 개인에게 서비스 액세스 권한을 제공할 수 있습니다. AWS Billing and Cost Management 예를 들어, 과금 정보 및 비용 관리 콘솔에 대한 액세스 권한을 제공하지 않고 Cost Explorer에 대한 액세스 권한을 제공할 수 있습니다.

세분화된 액세스 제어를 사용하려면 아래 정책에서 새 조치로 정책을 마이그레이션해야 합니다. aws-portal IAM

권한 정책 또는 서비스 제어 정책 (SCP) 의 다음 IAM 작업을 수행하려면 이 마이그레이션으로 업데이트해야 합니다.

• aws-portal:ViewAccount

• aws-portal:ViewBilling

• aws-portal:ViewPaymentMethods

• aws-portal:ViewUsage

• aws-portal:ModifyAccount

• aws-portal:ModifyBilling

• aws-portal:ModifyPaymentMethods

• purchase-orders:ViewPurchaseOrders

• purchase-orders:ModifyPurchaseOrders

영향을 받는 정책 도구를 사용하여 영향을 받는 정책을 식별하는 방법을 알아보려면 을 참조하십시오영향을 받는 정책 도구를 사용하는 방법. IAM

참고

API AWS 비용 및 사용 보고서 AWS Cost Explorer, AWS 예산에 대한 액세스는 영향을 받지 않습니다.

Billing and Cost Management 콘솔에 대한 액세스 권한 활성화는 변경되지 않습니다.

주제

• 액세스 권한 관리하기
• 콘솔을 사용하여 정책을 일괄 마이그레이션하세요.
• 영향을 받는 정책 도구를 사용하는 방법
• 스크립트를 사용하여 정책을 대량으로 마이그레이션하여 세분화된 조치를 취하도록 하세요. IAM
• 세분화된 작업 IAM 매핑 참조

액세스 권한 관리하기

AWS Billing Billing and Cost Management 콘솔의 특정 페이지에 액세스할 수 있는 조직 내 사용자를 제어할 수 있도록 AWS Identity and Access Management (IAM) 서비스와 통합됩니다. 여기에는 결제, 청구, 크레딧, 프리 티어, 결제 기본 설정, 통합 청구, 세금 설정 및 계정 페이지와 같은 기능이 포함됩니다.

Billing and Cost Management 콘솔을 세부적으로 제어하려면 다음 IAM 권한을 사용하십시오.

세분화된 액세스 권한을 제공하려면 aws-portal 정책을 account, billing, payments, freetier, invoicing, tax, 및 consolidatedbilling으로 바꿉니다.

또한 purchase-orders:ViewPurchaseOrders 및 purchase-orders:ModifyPurchaseOrders을 아래의 purchase-orders, account 및 payments 아래의 세분화된 작업으로 바꾸세요.

AWS Billing 세분화된 작업 사용

이 표에는 IAM 사용자 및 역할의 결제 정보 액세스를 허용하거나 거부하는 권한이 요약되어 있습니다. 이러한 권한을 사용하는 정책의 예는 AWS 결제 정책 예제단원을 참조하세요.

AWS Cost Management 콘솔 작업 목록은 AWS Cost Management 사용 설명서의AWS Cost Management 작업 정책을 참조하십시오.

과금 정보 및 비용 관리 콘솔의 기능 이름	IAM조치	설명
청구 홈	account:GetAccountInformation billing:Get* payments:List* tax:List*	홈 페이지를 볼 수 있는 권한을 부여합니다. 읽기 전용 권한입니다. 참고 이러한 권한은 콘솔에만 해당합니다. 이러한 권한에는 API 액세스할 수 없습니다.
청구서	account:GetAccountInformation billing:Get* consolidatedbilling:Get* consolidatedbilling:List* invoicing:List* payments:List*	청구서 페이지를 볼 수 있는 권한을 부여합니다. 읽기 전용 권한입니다. 참고 이러한 권한은 콘솔에만 해당합니다. 이러한 권한에는 API 액세스할 수 없습니다.
	invoicing:Get*	청구서 페이지에서 인보이스를 다운로드할 수 있는 사용자 권한을 부여합니다. 참고 이 권한은 콘솔에만 해당합니다. 이 권한에는 API 액세스할 수 없습니다.
	cur:Get*	Bills 페이지에서 CSV 보고서를 다운로드할 수 있는 권한을 부여합니다. 참고 이 권한은 콘솔에만 해당합니다. 이 권한에는 API 액세스할 수 없습니다.
	billing:ListBillingViews	생성된 각 AWS Billing Conductor 결제 그룹의 설명 ARN 및 내용을 볼 수 있는 권한을 부여합니다. 특정 그룹에 대한 보고서 기본 설정을 생성하려면 필요합니다. 참고 이 권한은 콘솔에만 해당합니다. 이 권한에는 API 액세스할 수 없습니다.
결제	account:GetAccountInformation billing:Get* payments:Get* payments:List*	결제 페이지를 볼 수 있는 권한을 부여합니다. Payments due(결제 기한), Unapplied funds(미반제 선불금), Transaction(트랜잭션) 및 Advance pay(선결제) 탭에 대한 읽기 전용 권한입니다. 참고 이러한 권한은 콘솔에만 해당합니다. 이러한 권한에는 API 액세스할 수 없습니다.
	invoicing:Get*	트랜잭션 탭에서 인보이스를 다운로드할 수 있는 사용자 권한을 부여합니다. 참고 이 권한은 콘솔에만 해당합니다. 이 권한에는 API 액세스할 수 없습니다.
	payments:Update*	선결제를 사용하고 결제 세부 정보를 설정하려면 필요한 사용자 권한 작업을 부여합니다.
	payments:Make* invoicing:Get*	선결제에 대한 자금 지원 요청 문서를 생성하고 결제할 수 있는 사용자 권한을 부여합니다.
Credits	billing:Get* account:GetAccountInformation	크레딧 페이지를 볼 수 있는 권한을 부여합니다.
	billing:RedeemCredits	크레딧을 사용할 수 있는 권한을 부여합니다.
구매 주문	account:GetAccountInformation account:GetContactInformation payments:Get* payments:List* purchase-orders:ListPurchaseOrders purchase-orders:ListPurchaseOrderInvoices tax:ListTaxRegistrations consolidatedbilling:GetAccountBillingRole	구매 주문 페이지를 볼 수 있는 권한을 부여합니다.
	purchase-orders:GetPurchaseOrder	구매 주문의 세부 정보를 볼 수 있는 권한을 부여합니다.
	purchase-orders:AddPurchaseOrder	구매 주문을 추가할 수 있는 권한을 부여합니다.
	purchase-orders:DeletePurchaseOrder	구매 주문을 삭제할 수 있는 권한을 부여합니다.
	purchase-orders:UpdatePurchaseOrder purchase-orders:UpdatePurchaseOrderStatus	구매 주문 및 구매 주문 상태를 업데이트할 수 있는 사용자 권한을 부여합니다.
AWS 비용 및 사용 보고서	cur:GetClassic* cur:DescribeReportDefinitions	AWS 비용 및 사용 AWS CUR 보고서 페이지에서 보고서 목록을 볼 수 있는 권한을 부여합니다. 참고 cur:GetClassic* 권한은 콘솔에만 해당합니다. 이 권한에는 API 액세스할 수 없습니다.
	billing:ListBillingViews	Billing Conductor에서 AWS 생성한 각 청구 그룹의 설명 ARN 및 내용을 볼 수 있는 권한을 부여합니다. 특정 그룹에 대한 보고서 기본 설정을 생성하려면 필요합니다. 참고 이 권한은 콘솔에만 해당합니다. 이 권한에는 API 액세스할 수 없습니다.
	s3:ListAllMyBuckets s3:CreateBucket s3:PutBucketPolicy s3:GetBucketLocation cur:Validate* cur:PutReportDefinition	새 AWS CUR 보고서를 만드는 데 필요한 권한 작업을 부여합니다. 참고 cur:Validate* 권한은 콘솔에만 해당합니다. 이러한 권한에는 API 액세스할 수 없습니다.
	cur:Validate* s3:CreateBucket s3:ListAllMyBuckets s3:PutBucketPolicy s3:GetBucketLocation cur:ModifyReportDefinition	AWS CUR정의를 편집할 권한을 부여합니다. 참고 cur:Validate* 권한은 콘솔에만 해당합니다. 이러한 권한에는 API 액세스할 수 없습니다.
	cur:DeleteReportDefinition	AWS CUR보고서를 삭제할 권한을 부여합니다.
	cur:GetUsage*	사용 보고서를 다운로드할 수 있는 권한을 부여합니다.
	sustainability:GetCarbonFootprintSummary	귀하의  AWS 계정을(를) 위한 지속 가능성 데이터를 볼 수 있는 권한을 부여합니다.
비용 범주	account:GetAccountInformation ce:ListCostCategoryDefinitions ce:DescribeCostCategoryDefinition ce:GetCostAndUsage ce:ListTagsForResource consolidatedbilling:GetAccountBillingRole	비용 범주를 볼 수 있는 권한을 부여합니다. 참고 account:GetAccountInformation 권한은 콘솔에만 해당합니다. 이러한 권한에는 API 액세스할 수 없습니다.
	billing:Get* ce:TagResource ce:ListCostAllocationTags consolidatedbilling:List* ce:CreateCostCategoryDefinition pricing:DescribeServices ce:GetDimensionValues ce:GetTags	비용 범주를 생성할 수 있는 권한을 부여합니다. 참고 billing:Get* 및 consolidatedbilling:List* 권한은 콘솔에만 해당합니다. 이러한 권한에는 API 액세스할 수 없습니다.
	ce:UpdateCostCategoryDefinition ce:UntagResource	비용 범주를 수정할 수 있는 권한을 부여합니다.
	ce:DeleteCostCategoryDefinition	비용 범주를 삭제할 수 있는 권한을 부여합니다.
비용 할당 태그	account:GetAccountInformation ce:ListCostAllocationTags consolidatedbilling:GetAccountBillingRole	비용 할당 태그를 볼 수 있는 권한을 부여합니다.
	ce:UpdateCostAllocationTagsStatus	비용 할당 태그를 활성화하거나 비활성화할 수 있는 권한을 부여합니다.
AWS Budgets	budgets:ViewBudget budgets:DescribeBudgetActionsForBudget budgets:DescribeBudgetAction budgets:DescribeBudgetActionsForAccount budgets:DescribeBudgetActionHistories	예산 페이지를 볼 수 있는 권한을 부여합니다.
	budgets:CreateBudgetAction budgets:ExecuteBudgetAction budgets:DeleteBudgetAction budgets:UpdateBudgetAction budgets:ModifyBudget	예산 및 예산 작업을 생성, 삭제 및 수정할 수 있는 사용자 권한을 부여합니다.
프리 티어	billing:Get* freetier:Get*	프리 티어 사용 한도 및 월간 누계 사용 상태를 볼 수 있는 권한을 부여합니다.
결제 기본 설정	account:GetAccountInformation billing:Get* consolidatedbilling:Get* consolidatedbilling:List* cur:GetClassic* cur:Validate* freetier:Get* invoicing:Get*	청구 기본 설정 페이지의 모든 섹션을 보는 데 필요한 사용자 권한 작업을 부여합니다. 참고 이러한 권한은 콘솔에만 해당합니다. 이러한 권한에는 API 액세스할 수 없습니다.
	billing:Update* freetier:Put* cur:PutClassic* s3:ListAllMyBuckets s3:CreateBucket s3:PutBucketPolicy s3:GetBucketLocation invoicing:Put*	청구 기본 설정 페이지에서 다음과 같은 내용을 변경할 수 있는 사용자 권한을 부여합니다. 크레딧 공유를 RI 또는 절감형 플랜 할인 공유로 설정/해제 Free Tier Usage Alert(프리 티어 사용 알림) 기본 설정 지정 detailed billing reports(세부 청구 보고서) 전송 설정 및 기본 설정 지정 이메일 환경설정을 통한 PDF 청구서 설정 또는 업데이트 참고 billing:Update*, freetier:Put*, cur:PutClassic* 권한은 콘솔에만 해당합니다. 이러한 권한에는 API 액세스할 수 없습니다.
결제 기본 설정	account:GetAccountInformation billing:Get* payments:GetPaymentInstrument payments:List* payments:GetPaymentStatus	결제 기본 설정 페이지를 볼 수 있는 권한을 부여합니다. 참고 이러한 권한은 콘솔에만 해당합니다. 이러한 권한에는 API 액세스할 수 없습니다.
	payments:Update* payments:Make* payments:CreatePaymentInstrument payments:DeletePaymentInstrument	결제 방법을 생성하거나 업데이트할 수 있는 권한을 부여합니다. 참고 payments:Make*결제 카드에 다단계 인증 (MFA) 이 필요한 경우에만 필요합니다.
	tax:PutTaxRegistration tax:Delete* payments:UpdatePaymentPreferences payments:CreatePaymentInstrument	사업자 등록 번호를 업데이트하거나 삭제할 수 있는 사용자 권한을 부여합니다.
	payments:Update*	결제 프로필을 업데이트할 수 있는 권한을 부여합니다. 참고 이 권한은 콘솔에만 해당합니다. 이 권한에는 API 액세스할 수 없습니다.
세금 설정	tax:List* tax:Get*	세금 설정을 볼 수 있는 권한을 부여합니다.
	tax:BatchPut*	세금 설정을 업데이트하는 데 필요한 사용자 권한 작업을 부여합니다.
	tax:Put*	세금 상속을 설정할 수 있는 권한을 부여합니다.
	tax:UpdateExemptions support:CreateCase support:AddAttachmentsToSet	면세를 업데이트할 수 있는 권한을 부여합니다.
계정	account:Get* account:List* billing:Get* payments:List*	계정 설정을 볼 수 있는 권한을 부여합니다. 참고 billing:Get* 권한은 콘솔에만 해당합니다. 이 권한에는 API 액세스할 수 없습니다.
	account:CloseAccount	닫을 수 있는 권한을 AWS 계정부여합니다. 참고 이 권한은 콘솔에만 해당합니다. 이 권한에는 API 액세스할 수 없습니다.
	account:DisableRegion	계정 페이지에서 AWS 지역을 비활성화할 수 있는 권한을 부여합니다.
	account:EnableRegion	계정 페이지에서 AWS 지역을 활성화할 권한을 부여합니다.
	account:PutAlternateContact	계정의 대체 연락처를 작성할 수 있는 권한을 부여합니다.
	account:PutChallengeQuestions	계정에 대한 보안 챌린지 질문을 설정할 수 있는 권한을 부여합니다. 참고 이 권한은 콘솔에만 해당합니다. 이 권한에는 API 액세스할 수 없습니다.
	account:PutContactInformation	주소를 포함하여 계정에 대한 기본 연락처 정보를 설정하거나 작성하는 데 필요한 사용자 권한 작업을 부여합니다.
	billing:PutContractInformation	계정이 공공 부문 고객에게 서비스를 제공하는 데 사용되는 경우 계정 계약 정보를 설정할 수 있는 사용자 권한을 부여합니다. 가져올 수 있는 정보에는 최종 사용자 조직 이름, 계약 번호 및 PO 번호가 포함됩니다. 참고 이 권한은 콘솔에만 해당합니다. 이 권한에는 API 액세스할 수 없습니다.
	billing:Update*	계정 페이지에서 IAM액세스 활성화 설정을 켜거나 끄는 데 필요한 권한을 부여합니다.
	payments:Update*	선결제, 통화 기본 설정, 청구 연락처 세부 정보 및 주소, 결제 약관을 설정할 수 있는 사용자 권한을 부여합니다.