Política baseada em identidade com faturamento AWS - AWS Faturamento

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Política baseada em identidade com faturamento AWS

Por padrão, usuários e funções não têm permissão para criar ou modificar recursos de faturamento. Eles também não podem realizar tarefas usando a AWS API AWS Management Console, AWS Command Line Interface (AWS CLI) ou. Para conceder aos usuários permissão para executar ações nos recursos de que eles precisam, um administrador do IAM pode criar políticas do IAM. O administrador pode então adicionar as políticas do IAM aos perfis, e os usuários podem assumir os perfis.

Para saber como criar uma política baseada em identidade do IAM usando esses exemplos de documento de política JSON, consulte Criação de políticas do IAM no Guia do Usuário do IAM.

Para obter detalhes sobre ações e tipos de recursos definidos pelo Faturamento, incluindo o formato dos ARNs para cada um dos tipos de recursos, consulte Ações, recursos e chaves de condição para AWS cobrança na Referência de Autorização de Serviço.

Práticas recomendadas de políticas

As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos de faturamento em sua conta. Essas ações podem incorrer em custos para a Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:

  • Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões aos seus usuários e cargas de trabalho, use as políticas AWS gerenciadas que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para mais informações, consulte Políticas gerenciadas pela AWS ou Políticas gerenciadas pela AWS para funções de trabalho no Guia do usuário do IAM.

  • Aplique permissões de privilégio mínimo: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como permissões de privilégio mínimo. Para mais informações sobre como usar o IAM para aplicar permissões, consulte Políticas e permissões no IAM no Guia do usuário do IAM.

  • Use condições nas políticas do IAM para restringir ainda mais o acesso: você pode adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, você pode escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como AWS CloudFormation. Para obter mais informações, consulte Elementos de política JSON do IAM: Condition no Guia do usuário do IAM.

  • Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações acionáveis para ajudar você a criar políticas seguras e funcionais. Para mais informações, consulte Validação de políticas do IAM Access Analyzer no Guia do Usuário do IAM.

  • Exigir autenticação multifator (MFA) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir a MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para mais informações, consulte Configuração de acesso à API protegido por MFA no Guia do usuário do IAM.

Para mais informações sobre as práticas recomendadas do IAM, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.

Usando o console de faturamento

Para acessar o console AWS de faturamento, você precisa ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os recursos de faturamento em seu Conta da AWS. Se você criar uma política baseada em identidade que seja mais restritiva do que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.

Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente a ações que correspondam a operação de API que estiverem tentando executar.

Você pode encontrar detalhes de acesso, como as permissões necessárias para ativar o console de AWS faturamento, o acesso de administrador e o acesso somente para leitura, na seção. AWS políticas gerenciadas

Permitir que os usuários visualizem suas próprias permissões

Este exemplo mostra como você pode criar uma política que permite que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }

Usando políticas baseadas em identidade para faturamento

nota

As seguintes ações AWS Identity and Access Management (IAM) chegaram ao fim do suporte padrão em julho de 2023:

  • Namespace do aws-portal

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

Se você estiver usando AWS Organizations, poderá usar os scripts do migrador de políticas em massa para atualizar as políticas da sua conta de pagador. Você também poderá usar a referência de mapeamento de ações antigas para granulares para verificar as ações do IAM que precisam ser adicionadas.

Para obter mais informações, consulte o blog Alterações no AWS faturamento, no gerenciamento de AWS custos e nas permissões dos consoles de contas.

Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.

Importante

Além das políticas do IAM, você deve conceder acesso do IAM ao console de Billing and Cost Management na página do console Account Settings (Configurações de conta).

Para obter mais informações, consulte os tópicos a seguir.

Use esta seção para ver como um administrador de contas com políticas baseadas em identidade pode anexar políticas de permissões às identidades do IAM (funções e grupos) e conceder permissões para realizar operações em recursos de faturamento.

Para obter mais informações sobre usuários Contas da AWS e usuários, consulte O que é o IAM? no Guia do usuário do IAM.

Para obter informações sobre como atualizar políticas gerenciadas pelo cliente, consulte Editar políticas gerenciadas pelo cliente (console) no Manual do usuário do IAM.

AWS Ações de cobrança

Esta tabela resume as permissões que concedem acesso às suas informações e ferramentas de faturamento. Para obter exemplos de políticas que usam essas permissões, consulte AWS Exemplos de políticas de cobrança.

Para obter uma lista de políticas de ações para o console de gerenciamento de AWS custos, consulte AWS Políticas de ações de gerenciamento de AWS custos no Guia do usuário do gerenciamento de custos.

Nome da permissão Descrição
aws-portal:ViewBilling

Concede permissão para visualizar as páginas do console do Billing and Cost Management.

aws-portal:ModifyBilling

Concede permissão para modificar as seguintes páginas do console do Billing and Cost Management:

Para permitir que os usuários do IAM modifiquem essas páginas do console, é necessário permitir ModifyBilling e ViewBilling. Para visualizar um exemplo de política, consulte Permitir que os usuários do IAM modifiquem as informações de faturamento.

aws-portal:ViewAccount

Concede permissão para visualizar as configurações da conta.

aws-portal:ModifyAccount

Concede permissão para modificar as configurações da conta.

Para permitir que os usuários do IAM modifiquem as configurações da conta, é necessário permitir ModifyAccount e ViewAccount.

Para obter um exemplo de uma política que nega explicitamente o acesso à página do console de Configurações da conta a um usuário do IAM, consulte Recusar o acesso às configurações da conta, mas permitir acesso total a todas as outras informações de faturamento e uso.

aws-portal:ViewPaymentMethods

Concede permissão para visualizar os métodos de pagamento.

aws-portal:ModifyPaymentMethods

Concede permissão para modificar os métodos de pagamento.

Para permitir que os usuários modifiquem os métodos de pagamento, é necessário permitir ModifyPaymentMethods e ViewPaymentMethods.

billing:ListBillingViews

Concede permissão para obter informações de cobrança para grupos de cobrança pro forma. Isso é feito usando o AWS Billing Conductor na página Faturas ou os Relatórios de AWS Custo e Uso.

Para obter mais informações sobre visualização dos seus grupos de faturamento do, consulte Viewing your billing group details (Visualizar os detalhes do grupo de faturamento) no Guia do usuário do AWS Billing Conductor.

sustainability:GetCarbonFootprintSummary

Concede permissão para visualizar a ferramenta e os dados da pegada de carbono do AWS cliente. Isso pode ser acessado na página Relatórios de AWS Custos e Uso do console Billing and Cost Management.

Para obter um exemplo de política, consulte Permitir que os usuários do IAM visualizem suas informações de faturamento o relatório de pegada de carbono.

cur:DescribeReportDefinitions

Concede permissão para visualizar relatórios de AWS custo e uso.

AWS As permissões de Relatórios de Custo e Uso se aplicam a todos os relatórios criados usando a API do Serviço de Relatórios de AWS Custo e Uso e o console Billing and Cost Management. Se você cria relatórios usando o console do Billing and Cost Management, recomendamos atualizar as permissões para os usuários do IAM. Se você não as atualizar, pode ser que os usuários percam o acesso a visualizações, edição e exclusão de relatórios na página de relatórios do console.

Para obter um exemplo de política, consulte Permitir que os usuários do IAM acessem a página de relatórios do console.

cur:PutReportDefinition

Concede permissão para criar relatórios de AWS custo e uso.

AWS As permissões de Relatórios de Custo e Uso se aplicam a todos os relatórios criados usando a API do Serviço de Relatórios de AWS Custo e Uso e o console Billing and Cost Management. Se você cria relatórios usando o console do Billing and Cost Management, recomendamos atualizar as permissões para os usuários do IAM. Se você não as atualizar, pode ser que os usuários percam o acesso a visualizações, edição e exclusão de relatórios na página de relatórios do console.

Para obter um exemplo de política, consulte Permitir que os usuários do IAM acessem a página de relatórios do console.

cur:DeleteReportDefinition

Concede permissão para excluir relatórios de AWS custo e uso.

AWS As permissões de Relatórios de Custo e Uso se aplicam a todos os relatórios criados usando a API do Serviço de Relatórios de AWS Custo e Uso e o console Billing and Cost Management. Se você cria relatórios usando o console do Billing and Cost Management, recomendamos atualizar as permissões para os usuários do IAM. Se você não as atualizar, pode ser que os usuários percam o acesso a visualizações, edição e exclusão de relatórios na página de relatórios do console.

Para obter um exemplo de política, consulte Criar, visualizar, editar ou excluir Relatórios uso e de custo da AWS.

cur:ModifyReportDefinition

Concede permissão para modificar os relatórios de AWS custo e uso.

AWS As permissões de Relatórios de Custo e Uso se aplicam a todos os relatórios criados usando a API do Serviço de Relatórios de AWS Custo e Uso e o console Billing and Cost Management. Se você cria relatórios usando o console do Billing and Cost Management, recomendamos atualizar as permissões para os usuários do IAM. Se você não as atualizar, pode ser que os usuários percam o acesso a visualizações, edição e exclusão de relatórios na página de relatórios do console.

Para obter um exemplo de política, consulte Criar, visualizar, editar ou excluir Relatórios uso e de custo da AWS.

ce:CreateCostCategoryDefinition

Concede permissões para criar categorias de custo.

Para visualizar um exemplo de política, consulte Visualizar e gerenciar as categorias de custos.

ce:DeleteCostCategoryDefinition

Concede permissões para excluir categorias de custo.

Para visualizar um exemplo de política, consulte Visualizar e gerenciar as categorias de custos.

ce:DescribeCostCategoryDefinition

Concede permissões para visualizar categorias de custo.

Para visualizar um exemplo de política, consulte Visualizar e gerenciar as categorias de custos.

ce:ListCostCategoryDefinitions

Concede permissões para listar categorias de custo.

Para visualizar um exemplo de política, consulte Visualizar e gerenciar as categorias de custos.

ce:UpdateCostCategoryDefinition

Concede permissões para atualizar as categorias de custo.

Para visualizar um exemplo de política, consulte Visualizar e gerenciar as categorias de custos.

aws-portal:ViewUsage

Concede permissão para visualizar relatórios AWS de uso.

Para permitir que os usuários do IAM visualizem relatórios de uso, é necessário permitir o ViewUsage e o ViewBilling.

Para visualizar um exemplo de política, consulte Permitir que os usuários do IAM acessem a página de relatórios do console.

pricing:DescribeServices

Concede permissão para visualizar produtos AWS de serviços e preços por meio da API de serviços de lista de AWS preços.

Para permitir que os usuários do IAM usem a API do AWS Price List ServiceDescribeServices, você deve permitirGetAttributeValues, GetProducts e.

Para visualizar um exemplo de política, consulte Encontrar produtos e preços.

pricing:GetAttributeValues

Concede permissão para visualizar produtos AWS de serviços e preços por meio da API de serviços de lista de AWS preços.

Para permitir que os usuários do IAM usem a API do AWS Price List ServiceDescribeServices, você deve permitirGetAttributeValues, GetProducts e.

Para visualizar um exemplo de política, consulte Encontrar produtos e preços.

pricing:GetProducts

Concede permissão para visualizar produtos AWS de serviços e preços por meio da API de serviços de lista de AWS preços.

Para permitir que os usuários do IAM usem a API do AWS Price List ServiceDescribeServices, você deve permitirGetAttributeValues, GetProducts e.

Para visualizar um exemplo de política, consulte Encontrar produtos e preços.

purchase-orders:ViewPurchaseOrders

Concede permissão para visualizar pedidos de compra.

Para visualizar um exemplo de política, consulte Visualizar e gerenciar ordens de compra.

purchase-orders:ModifyPurchaseOrders

Concede permissão para modificar pedidos de compra.

Para visualizar um exemplo de política, consulte Visualizar e gerenciar ordens de compra.

tax:GetExemptions

Concede permissão para acesso somente de leitura para visualizar isenções e tipos de isenção por console fiscal.

Para visualizar um exemplo de política, consulte Permita que os usuários do IAM visualizem as isenções fiscais dos EUA e criem casos AWS Support.

tax:UpdateExemptions

Concede permissão para carregar uma isenção no console de isenções fiscais dos EUA.

Para visualizar um exemplo de política, consulte Permita que os usuários do IAM visualizem as isenções fiscais dos EUA e criem casos AWS Support.

support:CreateCase

Concede permissão para arquivar casos de suporte, necessários para fazer o upload da isenção do console de isenções fiscais.

Para visualizar um exemplo de política, consulte Permita que os usuários do IAM visualizem as isenções fiscais dos EUA e criem casos AWS Support.

support:AddAttachmentsToSet

Concede permissão para anexar documentos a casos de suporte necessários para carregar certificados de isenção no console de isenção de impostos.

Para visualizar um exemplo de política, consulte Permita que os usuários do IAM visualizem as isenções fiscais dos EUA e criem casos AWS Support.

customer-verification:GetCustomerVerificationEligibility

(Somente para clientes com endereço de cobrança ou contato na Índia)

Concede permissão para recuperar a elegibilidade para verificação do cliente.

customer-verification:GetCustomerVerificationDetails

(Somente para clientes com endereço de cobrança ou contato na Índia)

Concede permissão para recuperar dados de verificação do cliente.

customer-verification:CreateCustomerVerificationDetails

(Somente para clientes com endereço de cobrança ou contato na Índia)

Concede permissão para criar dados de verificação do cliente.

customer-verification:UpdateCustomerVerificationDetails

(Somente para clientes com endereço de cobrança ou contato na Índia)

Concede permissão para atualizar os dados de verificação do cliente.

mapcredit:ListAssociatedPrograms

Concede permissão para visualizar os Migration Acceleration Program contratos e o painel associados à conta do pagador.

mapcredit:ListQuarterSpend

Concede permissão para visualizar o gasto Migration Acceleration Program elegível para a conta do pagador.

mapcredit:ListQuarterCredits

Concede permissão para visualizar os Migration Acceleration Program créditos da conta do pagador.