Migrar o controle de acesso para AWS Billing

nota

As seguintes ações AWS Identity and Access Management (IAM) chegaram ao fim do suporte padrão em julho de 2023:

• Namespace do aws-portal

• purchase-orders:ViewPurchaseOrders

• purchase-orders:ModifyPurchaseOrders

Se você estiver usando AWS Organizations, poderá usar os scripts do migrador de políticas em massa ou o migrador de políticas em massa para atualizar as políticas da sua conta de pagador. Você também poderá usar a referência de mapeamento de ações antigas para granulares para verificar as ações do IAM que precisam ser adicionadas.

Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.

Você pode usar controles de acesso refinados para fornecer aos indivíduos da sua organização acesso aos serviços. AWS Billing and Cost Management Por exemplo, é possível conceder acesso ao Cost Explorer sem fornecer acesso ao console de faturamento e gerenciamento de custos.

Para usar os controles de acesso refinados, será necessário migrar suas políticas do aws-portal para as novas ações do IAM.

As seguintes ações do IAM em suas políticas de permissão ou políticas de controle de serviço (SCP) necessitam de atualização com essa migração:

• aws-portal:ViewAccount

• aws-portal:ViewBilling

• aws-portal:ViewPaymentMethods

• aws-portal:ViewUsage

• aws-portal:ModifyAccount

• aws-portal:ModifyBilling

• aws-portal:ModifyPaymentMethods

• purchase-orders:ViewPurchaseOrders

• purchase-orders:ModifyPurchaseOrders

Para saber como usar a ferramenta Affected policies (Políticas afetadas) para identificar suas políticas do IAM afetadas, consulte Como usar a ferramenta Políticas afetadas.

nota

O acesso à API AWS Cost Explorer, aos relatórios de AWS custo e uso e aos AWS orçamentos permanece inalterado.

Ativar o acesso ao console do Billing and Cost Management permanecem inalterados.

Tópicos

• Gerenciar permissões de acesso
• Usando o console para migrar suas políticas em massa
• Como usar a ferramenta Políticas afetadas
• Com scripts, migre suas políticas em massa para usar ações do IAM refinadas
• Mapeamento de referência de ações do IAM refinadas

Gerenciar permissões de acesso

AWS Billing se integra ao serviço AWS Identity and Access Management (IAM) para que você possa controlar quem em sua organização pode acessar páginas específicas no console do Billing and Cost Management. Isso inclui recursos como pagamentos, cobrança, créditos, nível gratuito, preferências de pagamento, faturamento consolidado, Configurações de impostos e páginas de conta.

Utilize as seguintes permissões do IAM para um controle mais granular no console de faturamento e gerenciamento de custos.

Para fornecer acesso refinado, substitua a política aws-portal por account, billing, payments, freetier, invoicing, tax e consolidatedbilling.

Além disso, substitua purchase-orders:ViewPurchaseOrders e purchase-orders:ModifyPurchaseOrders pelas ações refinadas em purchase-orders, account e payments.

Usando ações refinadas AWS Billing

Esta tabela resume as permissões que concedem ou negam aos usuários e perfis do IAM acesso às suas informações de faturamento. Para obter exemplos de políticas que usam essas permissões, consulte AWS Exemplos de políticas de cobrança.

Para obter uma lista de ações para o AWS Cost Management console, consulte as políticas de AWS Cost Management ações no Guia AWS Cost Management do usuário.

Nome do atributo no console de faturamento e gerenciamento de custos	Ação do IAM	Descrição
Página inicial de faturamento	account:GetAccountInformation billing:Get* payments:List* tax:List*	Concede permissão para visualizar a página Início. Estas são permissões somente leitura. nota Estas são permissões somente para o console. Não há acesso de API disponível para estas permissões.
Faturas	account:GetAccountInformation billing:Get* consolidatedbilling:Get* consolidatedbilling:List* invoicing:List* payments:List*	Concede permissão para visualizar a página Faturas. Estas são permissões somente leitura. nota Estas são permissões somente para o console. Não há acesso de API disponível para estas permissões.
	invoicing:Get*	Concede permissão para baixar faturas da página Faturas. nota Esta é uma permissão somente para o console. Não há acesso de API disponível para esta permissão.
	cur:Get*	Concede permissão para baixar relatórios CSV da página Faturas. nota Esta é uma permissão somente para o console. Não há acesso de API disponível para esta permissão.
	billing:ListBillingViews	Concede permissão para visualizar ARN e descrever cada grupo de AWS Billing Conductor cobrança criado. Isso é necessário para criar uma preferência de relatório para grupos específicos. nota Esta é uma permissão somente para o console. Não há acesso de API disponível para esta permissão.
Pagamentos	account:GetAccountInformation billing:Get* payments:Get* payments:List*	Concede permissão para visualizar a página Pagamentos. Estas são permissões somente leitura nas guias Payments due (Pagamentos devidos), Unapplied funds (Fundos não aplicados), Transaction (Transação) e Advance pay (Pagamento antecipado). nota Estas são permissões somente para o console. Não há acesso de API disponível para estas permissões.
	invoicing:Get*	Concede permissão para baixar uma fatura da página Transações. nota Esta é uma permissão somente para o console. Não há acesso de API disponível para esta permissão.
	payments:Update*	Concede a ação de permissão necessária para usar o pagamento antecipado e configurar detalhes de pagamento.
	payments:Make* invoicing:Get*	Concede permissão para gerar um documento de solicitação de financiamento para pagamento antecipado e, em seguida, efetuar um pagamento.
Credits (Créditos)	billing:Get* account:GetAccountInformation	Concede permissão para visualizar a página Créditos.
	billing:RedeemCredits	Concede permissão para resgatar créditos.
Ordens de compra	account:GetAccountInformation account:GetContactInformation payments:Get* payments:List* purchase-orders:ListPurchaseOrders purchase-orders:ListPurchaseOrderInvoices tax:ListTaxRegistrations consolidatedbilling:GetAccountBillingRole	Concede permissão para visualizar a página Ordens de compra.
	purchase-orders:GetPurchaseOrder	Concede permissão para visualizar detalhes de uma ordem de compra.
	purchase-orders:AddPurchaseOrder	Concede permissão para adicionar uma ordem de compra.
	purchase-orders:DeletePurchaseOrder	Concede permissão para excluir uma ordem de compra.
	purchase-orders:UpdatePurchaseOrder purchase-orders:UpdatePurchaseOrderStatus	Concede permissão para atualizar ordens de compra e status de ordens de compra.
AWS Relatórios de custos e uso	cur:GetClassic* cur:DescribeReportDefinitions	Concede permissão para visualizar uma lista de relatórios AWS CUR na página Relatórios de AWS custo e uso. nota cur:GetClassic* é uma permissão somente para o console. Não há acesso de API disponível para esta permissão.
	billing:ListBillingViews	Concede permissão para visualizar ARN e descrever cada grupo de cobrança criado no AWS Billing Conductor. Isso é necessário para criar uma preferência de relatório para grupos específicos. nota Esta é uma permissão somente para o console. Não há acesso de API disponível para esta permissão.
	s3:ListAllMyBuckets s3:CreateBucket s3:PutBucketPolicy s3:GetBucketLocation cur:Validate* cur:PutReportDefinition	Concede as ações de permissão necessárias para criar um novo relatório AWS CUR. nota cur:Validate* é uma permissão somente para o console. Não há acesso de API disponível para estas permissões.
	cur:Validate* s3:CreateBucket s3:ListAllMyBuckets s3:PutBucketPolicy s3:GetBucketLocation cur:ModifyReportDefinition	Concede permissão para editar a definição de AWS CUR. nota cur:Validate* é uma permissão somente para o console. Não há acesso de API disponível para estas permissões.
	cur:DeleteReportDefinition	Concede permissão para excluir relatórios AWS CUR.
	cur:GetUsage*	Concede permissão para baixar relatórios de uso.
	sustainability:GetCarbonFootprintSummary	Concede permissão para visualizar dados de sustentabilidade de sua  Conta da AWS.
Categorias de custos	account:GetAccountInformation ce:ListCostCategoryDefinitions ce:DescribeCostCategoryDefinition ce:GetCostAndUsage ce:ListTagsForResource consolidatedbilling:GetAccountBillingRole	Concede permissão para visualizar categorias de custo. nota account:GetAccountInformation é uma permissão somente para o console. Não há acesso de API disponível para estas permissões.
	billing:Get* ce:TagResource ce:ListCostAllocationTags consolidatedbilling:List* ce:CreateCostCategoryDefinition pricing:DescribeServices ce:GetDimensionValues ce:GetTags	Concede permissão para criar categorias de custo. nota billing:Get* e consolidatedbilling:List* são permissões somente para o console. Não há acesso de API disponível para estas permissões.
	ce:UpdateCostCategoryDefinition ce:UntagResource	Concede permissão para modificar categorias de custo.
	ce:DeleteCostCategoryDefinition	Concede permissão para excluir categorias de custo.
Tags de alocação de custos	account:GetAccountInformation ce:ListCostAllocationTags consolidatedbilling:GetAccountBillingRole	Concede permissões para visualizar etiquetas de alocação de custo.
	ce:UpdateCostAllocationTagsStatus	Concede permissão para ativar ou desativar etiquetas de alocação de custo.
AWS Budgets	budgets:ViewBudget budgets:DescribeBudgetActionsForBudget budgets:DescribeBudgetAction budgets:DescribeBudgetActionsForAccount budgets:DescribeBudgetActionHistories	Concede permissão para visualizar a página Orçamentos.
	budgets:CreateBudgetAction budgets:ExecuteBudgetAction budgets:DeleteBudgetAction budgets:UpdateBudgetAction budgets:ModifyBudget	Concede permissão para criar, excluir e modificar orçamentos e ações de orçamentos.
Nível gratuito	billing:Get* freetier:Get*	Concede permissão para visualizar limites de uso do nível gratuito e status de uso acumulado no mês.
Preferências de faturamento	account:GetAccountInformation billing:Get* consolidatedbilling:Get* consolidatedbilling:List* cur:GetClassic* cur:Validate* freetier:Get* invoicing:Get*	Concede as ações de permissão necessárias para visualizar todas as seções na página Preferências de faturamento. nota Estas são permissões somente para o console. Não há acesso de API disponível para estas permissões.
	billing:Update* freetier:Put* cur:PutClassic* s3:ListAllMyBuckets s3:CreateBucket s3:PutBucketPolicy s3:GetBucketLocation invoicing:Put*	Concede permissão para fazer as seguintes alterações na página Preferências de faturamento: Ativar ou desativar o compartilhamento de crédito para RI ou o compartilhamento de descontos de Savings Plans. Definir preferências de Free Tier Usage Alert (Alerta de uso do nível gratuito) Definir configurações de entrega e preferências de detailed billing reports (relatórios de faturamento detalhados) Definir ou atualizar as preferências de PDF invoice by email (Fatura em PDF por e-mail) nota billing:Update*, freetier:Put* e cur:PutClassic* são permissões somente para o console. Não há acesso de API disponível para estas permissões.
Preferências de pagamento	account:GetAccountInformation billing:Get* payments:GetPaymentInstrument payments:List* payments:GetPaymentStatus	Concede permissão para visualizar a página Preferências de pagamento. nota Estas são permissões somente para o console. Não há acesso de API disponível para estas permissões.
	payments:Update* payments:Make* payments:CreatePaymentInstrument payments:DeletePaymentInstrument	Concede permissão para criar ou atualizar formas de pagamento. nota payments:Make* só será necessária se um cartão de pagamento exigir a autenticação multifator (MFA).
	tax:PutTaxRegistration tax:Delete* payments:UpdatePaymentPreferences payments:CreatePaymentInstrument	Concede permissão para atualizar ou excluir números de registro fiscal.
	payments:Update*	Concede permissão para atualizar perfis de pagamento. nota Esta é uma permissão somente para o console. Não há acesso de API disponível para esta permissão.
Configurações de impostos	tax:List* tax:Get*	Concede permissão para visualizar as configurações fiscais.
	tax:BatchPut*	Concede a ação de permissão necessária para atualizar configurações de fiscais.
	tax:Put*	Concede permissão para definir a herança fiscal.
	tax:UpdateExemptions support:CreateCase support:AddAttachmentsToSet	Concede permissão para atualizar isenções fiscais.
Conta	account:Get* account:List* billing:Get* payments:List*	Concede permissão para visualizar Configurações da conta. nota billing:Get* é uma permissão somente para o console. Não há acesso de API disponível para esta permissão.
	account:CloseAccount	Concede permissão para fechar Contas da AWS. nota Esta é uma permissão somente para o console. Não há acesso de API disponível para esta permissão.
	account:DisableRegion	Concede permissão para desativar uma AWS região na página Conta.
	account:EnableRegion	Concede permissão para ativar uma AWS região na página Conta.
	account:PutAlternateContact	Concede permissão para gravar os contatos alternativos da conta.
	account:PutChallengeQuestions	Concede permissão para definir as perguntas de desafio de segurança da conta. nota Esta é uma permissão somente para o console. Não há acesso de API disponível para esta permissão.
	account:PutContactInformation	Concede a ação de permissão necessária para definir ou escrever as principais informações de contato, incluindo endereço, da conta.
	billing:PutContractInformation	Concede permissão para definir as informações do contrato da conta, se a conta for usada para atender clientes do setor público. As informações que podem ser obtidas incluem nomes da organização do usuário final, número do contrato e números de ordens de compra. nota Esta é uma permissão somente para o console. Não há acesso de API disponível para esta permissão.
	billing:Update*	Concede a ação de permissão necessária para ativar ou desativar a configuração Ativar acesso ao IAM na página Conta.
	payments:Update*	Concede permissão para definir pagamento antecipado, preferência de moeda, detalhes de contato e endereço de faturamento e termos e condições de pagamento.