As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Política baseada em identidade com faturamento AWS
Por padrão, usuários e funções não têm permissão para criar ou modificar recursos de faturamento. Eles também não podem realizar tarefas usando a AWS API AWS Management Console, AWS Command Line Interface (AWS CLI) ou. Para conceder aos usuários permissão para executar ações nos recursos de que precisam, um administrador do IAM pode criar políticas do IAM. O administrador pode então adicionar as políticas do IAM aos perfis e os usuários podem presumir os perfis.
Para saber como criar uma política baseada em identidade do IAM usando esses exemplos de documento de política JSON, consulte Criação de políticas do IAM no Guia do Usuário do IAM.
Para obter detalhes sobre ações e tipos de recursos definidos pelo Faturamento, incluindo o formato dos ARNs para cada um dos tipos de recursos, consulte Ações, recursos e chaves de condição para AWS cobrança na Referência de Autorização de Serviço.
Sumário
Melhores práticas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos de faturamento em sua conta. Essas ações podem incorrer em custos para seus Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
-
Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões para seus usuários e cargas de trabalho, use as políticas AWS gerenciadas que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para obter mais informações, consulte Políticas gerenciadas pela AWS ou Políticas gerenciadas pela AWS para funções de trabalho no Guia do Usuário do IAM.
-
Aplique permissões de privilégio mínimo –- ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em atributos específicos sob condições específicas, também conhecidas como permissões de privilégio mínimo. Para obter mais informações sobre como usar o IAM para aplicar permissões, consulte Políticas e permissões no IAM no Guia do Usuário do IAM.
-
Use condições nas políticas do IAM para restringir ainda mais o acesso –- você pode adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, você pode gravar uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como AWS CloudFormation. Para obter mais informações, consulte Elementos da política JSON do IAM: Condição no Guia do usuário do IAM.
-
Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais –- o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de 100 verificações de política e recomendações acionáveis para ajudá-lo a criar políticas seguras e funcionais. Para obter mais informações, consulte Validação de políticas do IAM Access Analyzer no Guia do Usuário do IAM.
-
Exigir autenticação multifator (MFA) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para obter mais informações, consulte Configuração de acesso à API protegido por MFA no Guia do Usuário do IAM.
Para obter mais informações sobre as práticas recomendadas do IAM, consulte Práticas Recomendadas de Segurança no IAM no Guia do Usuário do IAM.
Usando o console de faturamento
Para acessar o console AWS de faturamento, você precisa ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os recursos de faturamento em seu Conta da AWS. Se você criar uma política baseada em identidade que seja mais restritiva do que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente a ações que correspondam a operação de API que estiverem tentando executar.
Você pode encontrar detalhes de acesso, como as permissões necessárias para ativar o console de AWS faturamento, o acesso de administrador e o acesso somente para leitura, na seção. AWS políticas gerenciadas
Permitir que usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Usando políticas baseadas em identidade para faturamento
nota
As seguintes ações AWS Identity and Access Management (IAM) chegaram ao fim do suporte padrão em julho de 2023:
-
Namespace do
aws-portal
-
purchase-orders:ViewPurchaseOrders
-
purchase-orders:ModifyPurchaseOrders
Se você estiver usando AWS Organizations, poderá usar os scripts do migrador de políticas em massa ou o migrador de políticas em massa para atualizar as políticas da sua conta de pagador. Você também poderá usar a referência de mapeamento de ações antigas para granulares para verificar as ações do IAM que precisam ser adicionadas.
Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.
Importante
Além das políticas do IAM, você deve conceder acesso do IAM ao console de Billing and Cost Management na página do console Account Settings
Para obter mais informações, consulte os tópicos a seguir.
Use esta seção para ver como um administrador de contas com políticas baseadas em identidade pode anexar políticas de permissões às identidades do IAM (funções e grupos) e conceder permissões para realizar operações em recursos de faturamento.
Para obter mais informações sobre usuários Contas da AWS e usuários, consulte O que é o IAM? no Guia do usuário do IAM.
Para obter informações sobre como atualizar políticas gerenciadas pelo cliente, consulte Editar políticas gerenciadas pelo cliente (console) no Manual do usuário do IAM.
AWS Ações do console de faturamento
Essa tabela resume as permissões que concedem acesso às informações e ferramentas do console de faturamento. Para obter exemplos de políticas que usam essas permissões, consulte AWS Exemplos de políticas de cobrança.
Para obter uma lista de políticas de ações para o console de gerenciamento de AWS custos, consulte AWS Políticas de ações de gerenciamento de AWS custos no Guia do usuário do gerenciamento de custos.
Nome da permissão | Descrição |
---|---|
aws-portal:ViewBilling
|
Concede permissão para visualizar as páginas do console do Billing and Cost Management. |
aws-portal:ModifyBilling
|
Concede permissão para modificar as seguintes páginas do console do Billing and Cost Management: Para permitir que os usuários do IAM modifiquem essas páginas do console, é necessário permitir |
aws-portal:ViewAccount
|
Concede permissão para visualizar as configurações da conta |
aws-portal:ModifyAccount |
Concede permissão para modificar as configurações da conta Para permitir que os usuários do IAM modifiquem as configurações da conta, é necessário permitir Para obter um exemplo de uma política que nega explicitamente o acesso à página do console de Configurações da conta a um usuário do IAM, consulte Recusar o acesso às configurações da conta, mas permitir acesso total a todas as outras informações de faturamento e uso. |
aws-portal:ViewPaymentMethods |
Concede permissão para visualizar os métodos de pagamento |
aws-portal:ModifyPaymentMethods |
Concede permissão para modificar os métodos de pagamento Para permitir que os usuários modifiquem os métodos de pagamento, é necessário permitir |
billing:ListBillingViews |
Concede permissão para obter informações de cobrança para grupos de cobrança pro forma. Isso é feito usando o AWS Billing Conductor na página Faturas ou os Relatórios de AWS Custo e Uso. Para obter mais informações sobre visualização dos seus grupos de faturamento do, consulte Viewing your billing group details (Visualizar os detalhes do grupo de faturamento) no Guia do usuário do AWS Billing Conductor. |
sustainability:GetCarbonFootprintSummary |
Concede permissão para visualizar a ferramenta e os dados da pegada de carbono do AWS cliente. Isso pode ser acessado na página Relatórios de AWS Custos e Uso do console Billing and Cost Management. Para obter um exemplo de política, consulte Permitir que os usuários do IAM visualizem suas informações de faturamento o relatório de pegada de carbono. |
cur:DescribeReportDefinitions |
Concede permissão para visualizar relatórios de AWS custo e uso. AWS As permissões de Relatórios de Custo e Uso se aplicam a todos os relatórios criados usando a API do Serviço de Relatórios de AWS Custo e Uso e o console Billing and Cost Management. Se você cria relatórios usando o console do Billing and Cost Management, recomendamos atualizar as permissões para os usuários do IAM. Se você não as atualizar, pode ser que os usuários percam o acesso a visualizações, edição e exclusão de relatórios na página de relatórios do console. Para obter um exemplo de política, consulte Permitir que os usuários do IAM acessem a página de relatórios do console. |
cur:PutReportDefinition |
Concede permissão para criar relatórios de AWS custo e uso. AWS As permissões de Relatórios de Custo e Uso se aplicam a todos os relatórios criados usando a API do Serviço de Relatórios de AWS Custo e Uso e o console Billing and Cost Management. Se você cria relatórios usando o console do Billing and Cost Management, recomendamos atualizar as permissões para os usuários do IAM. Se você não as atualizar, pode ser que os usuários percam o acesso a visualizações, edição e exclusão de relatórios na página de relatórios do console. Para obter um exemplo de política, consulte Permitir que os usuários do IAM acessem a página de relatórios do console. |
cur:DeleteReportDefinition |
Concede permissão para excluir relatórios de AWS custo e uso. AWS As permissões de Relatórios de Custo e Uso se aplicam a todos os relatórios criados usando a API do Serviço de Relatórios de AWS Custo e Uso e o console Billing and Cost Management. Se você cria relatórios usando o console do Billing and Cost Management, recomendamos atualizar as permissões para os usuários do IAM. Se você não as atualizar, pode ser que os usuários percam o acesso a visualizações, edição e exclusão de relatórios na página de relatórios do console. Para obter um exemplo de política, consulte Criar, visualizar, editar ou excluir Relatórios uso e de custo da AWS. |
cur:ModifyReportDefinition |
Concede permissão para modificar os relatórios de AWS custo e uso. AWS As permissões de Relatórios de Custo e Uso se aplicam a todos os relatórios criados usando a API do Serviço de Relatórios de AWS Custo e Uso e o console Billing and Cost Management. Se você cria relatórios usando o console do Billing and Cost Management, recomendamos atualizar as permissões para os usuários do IAM. Se você não as atualizar, pode ser que os usuários percam o acesso a visualizações, edição e exclusão de relatórios na página de relatórios do console. Para obter um exemplo de política, consulte Criar, visualizar, editar ou excluir Relatórios uso e de custo da AWS. |
ce:CreateCostCategoryDefinition |
Concede permissões para criar categorias de custo. Para visualizar um exemplo de política, consulte Visualizar e gerenciar as categorias de custos. |
ce:DeleteCostCategoryDefinition |
Concede permissões para excluir categorias de custo. Para visualizar um exemplo de política, consulte Visualizar e gerenciar as categorias de custos. |
ce:DescribeCostCategoryDefinition |
Concede permissões para visualizar categorias de custo. Para visualizar um exemplo de política, consulte Visualizar e gerenciar as categorias de custos. |
ce:ListCostCategoryDefinitions |
Concede permissões para listar categorias de custo. Para visualizar um exemplo de política, consulte Visualizar e gerenciar as categorias de custos. |
ce:UpdateCostCategoryDefinition |
Concede permissões para atualizar as categorias de custo. Para visualizar um exemplo de política, consulte Visualizar e gerenciar as categorias de custos. |
aws-portal:ViewUsage |
Concede permissão para visualizar relatórios AWS Para permitir que os usuários do IAM visualizem relatórios de uso, é necessário permitir o Para visualizar um exemplo de política, consulte Permitir que os usuários do IAM acessem a página de relatórios do console. |
payments:ListTagsForResource |
Permita ou negue aos usuários do IAM a permissão para visualizar as tags de uma forma de pagamento. |
payments:TagResource |
Permita ou negue aos usuários do IAM a permissão de adicionar tags a uma forma de pagamento. |
payments:UntagResource |
Permita ou negue aos usuários do IAM a permissão para remover tags de uma forma de pagamento. |
payments:ListPaymentInstruments |
Permita ou negue aos usuários do IAM a permissão de listar suas formas de pagamento registradas. |
payments:UpdatePaymentInstrument |
Permita ou negue aos usuários do IAM a permissão para atualizar suas formas de pagamento. |
pricing:DescribeServices |
Concede permissão para visualizar produtos AWS de serviços e preços por meio da API de serviços de lista de AWS preços. Para permitir que os usuários do IAM usem a API do AWS Price List Service Para visualizar um exemplo de política, consulte Encontrar produtos e preços. |
pricing:GetAttributeValues |
Concede permissão para visualizar produtos AWS de serviços e preços por meio da API de serviços de lista de AWS preços. Para permitir que os usuários do IAM usem a API do AWS Price List Service Para visualizar um exemplo de política, consulte Encontrar produtos e preços. |
pricing:GetProducts |
Concede permissão para visualizar produtos AWS de serviços e preços por meio da API de serviços de lista de AWS preços. Para permitir que os usuários do IAM usem a API do AWS Price List Service Para visualizar um exemplo de política, consulte Encontrar produtos e preços. |
purchase-orders:ViewPurchaseOrders |
Concede permissão para visualizar pedidos de compra. Para visualizar um exemplo de política, consulte Visualizar e gerenciar ordens de compra. |
purchase-orders:ModifyPurchaseOrders |
Concede permissão para modificar pedidos de compra. Para visualizar um exemplo de política, consulte Visualizar e gerenciar ordens de compra. |
tax:GetExemptions |
Concede permissão para acesso somente de leitura para visualizar isenções e tipos de isenção por console fiscal. Para visualizar um exemplo de política, consulte Permita que os usuários do IAM visualizem as isenções fiscais dos EUA e criem casos AWS Support. |
tax:UpdateExemptions |
Concede permissão para carregar uma isenção no console de isenções fiscais dos EUA. Para visualizar um exemplo de política, consulte Permita que os usuários do IAM visualizem as isenções fiscais dos EUA e criem casos AWS Support. |
support:CreateCase |
Concede permissão para arquivar casos de suporte, necessários para fazer o upload da isenção do console de isenções fiscais. Para visualizar um exemplo de política, consulte Permita que os usuários do IAM visualizem as isenções fiscais dos EUA e criem casos AWS Support. |
support:AddAttachmentsToSet |
Concede permissão para anexar documentos a casos de suporte necessários para carregar certificados de isenção no console de isenção de impostos. Para visualizar um exemplo de política, consulte Permita que os usuários do IAM visualizem as isenções fiscais dos EUA e criem casos AWS Support. |
customer-verification:GetCustomerVerificationEligibility |
(Somente para clientes com endereço de cobrança ou contato na Índia) Concede permissão para recuperar a elegibilidade para verificação do cliente. |
customer-verification:GetCustomerVerificationDetails |
(Somente para clientes com endereço de cobrança ou contato na Índia) Concede permissão para recuperar dados de verificação do cliente. |
customer-verification:CreateCustomerVerificationDetails |
(Somente para clientes com endereço de cobrança ou contato na Índia) Concede permissão para criar dados de verificação do cliente. |
customer-verification:UpdateCustomerVerificationDetails |
(Somente para clientes com endereço de cobrança ou contato na Índia) Concede permissão para atualizar os dados de verificação do cliente. |
mapcredit:ListAssociatedPrograms |
Concede permissão para visualizar os Migration Acceleration Program contratos e o painel associados à conta do pagador. |
mapcredit:ListQuarterSpend |
Concede permissão para visualizar o gasto Migration Acceleration Program elegível para a conta do pagador. |
mapcredit:ListQuarterCredits |
Concede permissão para visualizar os Migration Acceleration Program créditos da conta do pagador. |