Tutorial do IAM: Delegar acesso ao console de faturamento - AWS Identity and Access Management

Tutorial do IAM: Delegar acesso ao console de faturamento

Os proprietários de contas da AWS podem delegar acesso a usuários específicos do IAM, que precisam visualizar ou gerenciar os dados do AWS Billing and Cost Management para uma conta da AWS. As instruções a seguir ajudarão você a configurar um cenário pré-testado. Este cenário ajudará você a obter experiência prática na configuração de permissões de faturamento sem a preocupação de afetar a conta de produção principal da AWS. Se você anexar uma política gerenciada aos usuários do IAM em vez de seguir este tutorial, primeiro deverá ativar o acesso ao console do AWS Billing and Cost Management na Etapa 1.

Esse fluxo de trabalho tem quatro etapas básicas.

Etapa 1: Ativar o acesso aos dados de faturamento na sua conta de teste da AWS

Se você criar uma única conta da AWS, somente o proprietário da conta da AWS (usuário raiz da Conta da AWS) terá acesso para visualizar e gerenciar as informações de faturamento. Os usuários do IAM não podem acessar os dados de faturamento até que o proprietário da conta ative o acesso ao IAM e também anexe políticas que fornecem ações de faturamento ao usuário ou à função. Para visualizar tarefas adicionais que exijam que você faça login como usuário raiz, consulte Tarefas da AWS que requerem o usuário raiz da conta.

Se você criar uma conta-membro usando AWS Organizations, esse recurso será ativado por padrão.

Etapa 2: Criar políticas do IAM que concedem permissões para dados de faturamento

Depois de ativar o acesso ao faturamento na sua conta, você ainda deverá conceder explicitamente o acesso aos dados de faturamento a usuários ou grupos de usuários específicos do IAM. Você concede esse acesso a uma política gerenciada pelo cliente.

Etapa 3: anexar políticas de faturamento aos seus grupos de usuários

Quando você anexa uma política a um grupo de usuários, todos os membros desse grupo recebem o conjunto completo de permissões de acesso associadas a essa política. Nesse cenário, você anexa as novas políticas de faturamento a grupos que contêm apenas os usuários que exigem acesso de faturamento.

Etapa 4: Testar o acesso ao console de faturamento

Depois de concluir as tarefas principais, você estará pronto para testar a política. Os testes garantem que a política funcione da maneira desejada.

Pré-requisitos

Crie uma conta de teste da AWS para ser usada com este tutorial. Nessa conta, crie dois usuários e dois grupos de usuários de teste da forma resumida na tabela a seguir. Certifique-se de atribuir uma senha a cada usuário, para que você possa fazer login mais tarde na Etapa 4.

Criar contas de usuário Criar e configurar contas de grupo de usuários
Nome de usuário Nome do grupo de usuários Adicionar usuário como membro
FinanceManager BillingFullAccessGroup FinanceManager
FinanceUser BillingViewAccessGroup FinanceUser

Etapa 1: Ativar o acesso aos dados de faturamento na sua conta de teste da AWS

Primeiro, ative o acesso de faturamento para seus usuários de teste no console do AWS Billing and Cost Management.

nota

Se você criar uma conta-membro usando AWS Organizations, esse recurso será ativado por padrão.

Como ativar o acesso ao console do Billing and Cost Management para a função e o usuário do IAM

  1. Faça login no AWS Management Console com suas credenciais de conta raiz (especificamente, o endereço de e-mail e a senha usados para criar sua conta da AWS).

  2. Na barra de navegação, escolha o nome da conta e, em seguida, escolha My Account (Minha conta).

  3. Próximo de IAM User and Role Access to Billing Information (Acesso do usuário e da função do IAM a informações de faturamento), escolha Edit (Editar).

  4. Marque a caixa de seleção Activate IAM Access (Ativar acesso ao IAM) para ativar o acesso às páginas do console do Billing and Cost Management.

  5. Escolha Update (Atualizar).

Agora é possível usar as políticas do IAM para controlar quais páginas o usuário pode acessar.

Após a ativação do acesso dos usuários do IAM, você pode anexar políticas do IAM para conceder ou negar acesso a recursos de faturamento específicos. Para obter mais informações sobre o uso de políticas para conceder aos usuários do IAM acesso aos recursos do AWS Billing and Cost Management, consulte Uso de políticas baseadas em identidade (políticas do IAM) para o Billing and Cost Management no Guia do usuário do AWS Billing.

Etapa 2: Criar políticas do IAM que concedem permissões para dados de faturamento

Em seguida, crie políticas personalizadas que concedam permissões de acesso total e de visualização às páginas no console do Billing and Cost Management. Para obter informações gerais sobre políticas de permissões do IAM, consulte Políticas gerenciadas e políticas em linha.

Para criar políticas do IAM que concedam permissões para dados de faturamento

  1. Faça login no AWS Management Console como um usuário com credenciais de administrador. Para aderir às práticas recomendadas do IAM, não faça login com as credenciais de usuário raiz da . Para mais informações, consulte Criar o seu primeiro usuário administrador e um grupo de usuários do IAM.

  2. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  3. No painel de navegação, escolha Políticas e, em seguida, Criar política.

  4. Na guia Editor visual, selecione Escolher um serviço para iniciar. Em seguida, escolha Faturamento.

  5. Siga estas etapas para criar duas políticas:

    Acesso total

    1. Escolha Select actions (Selecionar ações), em seguida, marque a caixa de seleção ao lado de All Billing actions (aws-portal:*) (Todas as ações de faturamento [aws-portal: *]). Você não precisa selecionar um recurso ou condição para esta política.

    2. Escolha Review policy (Revisar política).

    3. Na página Review (Revisar), ao lado de Name (Nome), digite BillingFullAccess e, em seguida, escolha Create policy (Criar política) para salvá-la.

    Acesso somente leitura

    1. Repita as etapas 3 e 4.

    2. Escolha Selecionar ações e, em seguida, marque a caixa de seleção ao lado de Leitura. Você não precisa selecionar um recurso ou condição para esta política.

    3. Escolha Review policy (Revisar política).

    4. Na página Revisar, em Nome, digite BillingViewAccess. Em seguida, escolha Criar política para salvá-la.

    Para revisar as descrições de cada uma das permissões disponíveis nas políticas do IAM que concedem aos usuários acesso ao console do Billing and Cost Management, consulte Descrições das permissões de faturamento.

Etapa 3: anexar políticas de faturamento aos seus grupos de usuários

Agora que você tem políticas de faturamento personalizadas disponíveis, poderá anexá-las aos seus grupos de usuários correspondentes que você criou anteriormente. Embora seja possível anexar uma política diretamente a um usuário ou a uma função, recomendamos (de acordo com as melhores práticas do IAM) o uso de grupos de usuários.

Para anexar políticas de faturamento aos seus grupos de usuários

  1. No painel de navegação, escolha Políticas para exibir a lista completa de políticas disponíveis para a sua conta da AWS. Para anexar cada política ao seu respectivo grupo de usuários apropriado, siga estas etapas:

    Acesso total

    1. Na caixa de pesquisa da política, digite BillingFullAccess e, em seguida, marque a caixa de seleção ao lado do nome da política.

    2. Escolha Actions (Ações) e Attach (Anexar).

    3. Na caixa de pesquisa da identidade (usuário, grupo de usuários e função), digite BillingFullAccessGroup, marque a caixa de seleção ao lado do nome do grupo de usuários e, em seguida, escolha Attach policy (Anexar política).

    Acesso somente leitura

    1. Na caixa de pesquisa da política, digite BillingViewAccess e, em seguida, marque a caixa de seleção ao lado do nome da política.

    2. Escolha Actions (Ações) e Attach (Anexar).

    3. Na caixa de pesquisa da identidade (usuário, grupo de usuários e função), digite BillingViewAccessGroup, marque a caixa de seleção ao lado do nome do grupo de usuários e, em seguida, escolha Attach policy (Anexar política).

  2. Saia do console e vá para Etapa 4: Testar o acesso ao console de faturamento.

Etapa 4: Testar o acesso ao console de faturamento

Recomendamos que você teste o acesso fazendo login como cada usuário de teste para conhecer o que os usuários podem experimentar. Use as etapas a seguir para fazer login usando as duas contas de teste para ver a diferença entre os direitos de acesso.

Para testar o acesso de faturamento fazendo login com as duas contas de usuário de teste

  1. Use o ID ou o alias da conta da AWS, o nome de usuário do IAM e a senha para fazer login no console do IAM.

    nota

    Para sua conveniência, a página de login da AWS usa um cookie do navegador para lembrar seu nome de usuário e as informações da conta do IAM. Se você já tiver feito login como outro usuário, escolha Sign in to a different account (Fazer login com uma conta diferente) próximo à parte inferior da página para retornar à página de login principal. Daí, você pode inserir o ID ou o alias da conta da AWS para ser redirecionado para a página de login de usuário do IAM da sua conta.

  2. Faça login com cada conta usando as etapas descritas a seguir, para que você possa comparar as diferentes experiências do usuário.

    Acesso total

    1. Faça login em sua conta da AWS como o usuário FinanceManager.

    2. Na barra de navegação, escolha FinanceManager@<account alias or ID number> (FinanceManager@<alias da conta ou número do ID>) e escolha My Billing Dashboard (Meu painel de faturamento).

    3. Navegue pelas páginas e escolha os vários botões para garantir que você tenha permissões de modificação totais.

    Acesso somente leitura

    1. Faça login em sua conta da AWS como o usuário FinanceUser.

    2. Na barra de navegação, escolha FinanceUser@<account alias or ID number> e selecione My Billing Dashboard (Meu painel de faturamento).

    3. Navegue pelas páginas. Você pode exibir custos, relatórios e dados de faturamento sem problemas. No entanto, se você escolher uma opção para modificar um valor, receberá a mensagem Acesso negado. Por exemplo, na página Preferências, marque qualquer uma das caixas de seleção na página e, em seguida, escolha Salvar preferências. A mensagem do console informa que você precisa de permissões ModifyBilling para fazer alterações nessa página.

Recursos relacionados

Para obter as informações relacionadas encontradas no Guia do usuário do AWS Billing, consulte os seguintes recursos:

Para obter informações relacionadas no Guia do usuário do IAM, consulte os seguintes recursos:

Resumo

Você já concluiu com êxito todas as etapas necessárias para delegar acesso ao usuário ao console do Billing and Cost Management. Como resultado, você viu em primeira mão como será a experiência do console de faturamento dos usuários. Agora é possível prosseguir para implementar essa lógica no ambiente de produção conforme sua conveniência.