AWS Exemplos de políticas de gerenciamento de custos

nota

As seguintes ações AWS Identity and Access Management (IAM) chegaram ao fim do suporte padrão em julho de 2023:

• Namespace do aws-portal

• purchase-orders:ViewPurchaseOrders

• purchase-orders:ModifyPurchaseOrders

Se você estiver usando AWS Organizations, poderá usar os scripts do migrador de políticas em massa para atualizar as políticas da sua conta de pagador. Você também poderá usar a referência de mapeamento de ações antigas para granulares para verificar as ações do IAM que precisam ser adicionadas.

Para obter mais informações, consulte o blog Alterações no AWS faturamento, no gerenciamento de AWS custos e nas permissões dos consoles de contas.

Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.

Este tópico contém exemplos de políticas que podem ser anexadas ao grupo ou perfil do IAM para controlar o acesso às informações de faturamento e ferramentas da sua conta. As seguintes regras básicas se aplicam às políticas do IAM para o Billing and Cost Management:

• Version é sempre 2012-10-17.

• Effect é sempre Allow ou Deny.

• Action é o nome da ação ou um caractere curinga (*).

  O prefixo da ação é budgets para AWS Orçamentos, cur Relatórios de AWS Custo e Uso, aws-portal AWS Faturamento ou Cost ce Explorer.

• Resourceé sempre * para AWS cobrança.

  Para ações realizadas em um recurso budget, especifique o nome de recurso da Amazon (ARN) do orçamento.

• É possível ter várias instruções em uma política.

Para ver uma lista de exemplos de políticas para o console de faturamento, consulte Exemplos de políticas de cobrança no Guia do usuário de faturamento.

nota

Essas políticas exigem que você ative o acesso de usuários ao console de Billing and Cost Management na página do console Account Settings (Configurações da conta). Para ter mais informações, consulte Ativar o acesso ao console do Billing and Cost Management.

Negar aos usuários acesso ao console do Billing and Cost Management

Para negar explicitamente que um usuário acesse todas as páginas do console do Billing and Cost Management, use uma política semelhante a este exemplo de política.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "aws-portal:*",
            "Resource": "*"
        }
    ]
}

Negar acesso ao widget de custo e uso do AWS console para contas de membros

Para restringir o acesso da conta-membro (vinculada) a dados de custo e uso, use sua conta de gerenciamento (pagador) para acessar a guia de preferências do Explorador de Custos e desmarque Linked Account Access (Acesso à conta vinculada). Isso negará o acesso aos dados de custo e uso do console do Cost Explorer (AWS Cost Management), da API Cost Explorer e do widget de custo e uso da página inicial do AWS console, independentemente das ações do IAM que o usuário ou a função da conta membro tenha.

Negar acesso ao widget de custo e uso do AWS console para usuários e funções específicos

Para negar o acesso ao widget de custo e uso do AWS console para usuários e funções específicos, use a política de permissões abaixo.

nota

Adicionar essa política a um usuário ou função negará aos usuários o acesso ao console do Cost Explorer (AWS Cost Management) e às APIs do Cost Explorer.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ce:*",
            "Resource": "*"
        }
    ]
}

Permita acesso total aos AWS serviços, mas negue aos usuários o acesso ao console Billing and Cost Management

Para negar aos usuários o acesso a tudo no console do Billing and Cost Management, use a política a seguir. Nesse caso, você também deve negar o acesso do usuário ao AWS Identity and Access Management (IAM) para que os usuários não possam acessar as políticas que controlam o acesso às informações e ferramentas de cobrança.

Importante

Esta política não permite qualquer ação. Use essa política em combinação com outras políticas que permitam ações específicas.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "aws-portal:*",
                "iam:*"
            ],
            "Resource": "*"
        }
    ]
}

Permitir que os usuários visualizem o console do Billing and Cost Management, exceto as configurações da conta

Essa política permite acesso somente leitura a tudo do console do Billing and Cost Management, incluindo as páginas do console Payments Method (Métodos de pagamento) e Reports (Relatórios), mas nega acesso à página Account Settings (Configurações da conta), protegendo, assim, a senha, as informações de contato e as perguntas de segurança da conta.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:View*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "aws-portal:*Account",
            "Resource": "*"
        }
    ]
}

Permitir que os usuários modifiquem as informações de faturamento

Para permitir que usuários modifiquem as informações de faturamento da conta no console do Billing and Cost Management, também é necessário permitir que eles visualizem as informações de faturamento. O exemplo de política a seguir permite que um usuário modifique as páginas do console Faturamento consolidado, Preferências e Créditos. Ele também permite que um usuário visualize as seguintes páginas do console do Billing and Cost Management:

• Painel

• Explorador de Custos

• Faturas

• Pedidos e faturas

• Pagamento antecipado

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:*Billing",
            "Resource": "*"
        }
    ]
}

Permitir que usuários criem orçamentos

Para permitir que os usuários criem orçamentos no console Billing and Cost Management, você também deve permitir que os usuários visualizem suas informações de cobrança, CloudWatch criem alarmes e criem notificações do Amazon SNS. O exemplo de política a seguir permite que um usuário do modifique a página do console Orçamento.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1435216493000",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling",
                "aws-portal:ModifyBilling",
                "budgets:ViewBudget",
                "budgets:ModifyBudget"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "Stmt1435216514000",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "Stmt1435216552000",
            "Effect": "Allow",
            "Action": [
                "sns:*"
            ],
            "Resource": [
                "arn:aws:sns:us-east-1::"
            ]
        }
    ]
}

Recusar o acesso às configurações da conta, mas permitir acesso total a todas as outras informações de faturamento e uso

Para proteger a senha, as informações de contato e as perguntas de segurança da sua conta, é possível negar o acesso do usuário às Configurações da conta sem deixar de permitir o acesso completo ao restante da funcionalidade do console do Billing and Cost Management, como mostrado no exemplo a seguir.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:*Billing",
                "aws-portal:*Usage",
                "aws-portal:*PaymentMethods"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "aws-portal:*Account",
            "Resource": "*"
        }
    ]
}

Depositar relatórios em um bucket do Amazon S3

A política a seguir permite que o Billing and Cost Management salve suas faturas AWS detalhadas em um bucket do Amazon S3, desde que você possua a conta AWS e o bucket do Amazon S3. Observe que essa política deve ser aplicada ao bucket do Amazon S3 e não a um usuário. Ou seja, é uma política baseada em recursos, não no usuário. Você deve negar o acesso ao bucket a usuários do que não precisam ter acesso às suas faturas.

Substitua bucketname pelo nome do seu bucket.

Para obter mais informações, consulte Usar políticas de bucket e políticas de usuário no Manual do usuário do Amazon Simple Storage Service.

{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Principal": {
      "Service": "billingreports.amazonaws.com"
    },
    "Action": [
      "s3:GetBucketAcl",
      "s3:GetBucketPolicy"
    ],
    "Resource": "arn:aws:s3:::bucketname"
  },
  {
    "Effect": "Allow",
    "Principal": {
      "Service": "billingreports.amazonaws.com"
    },
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::bucketname/*"
  }
  ]
}

Visualizar custos e uso

Para permitir que os usuários usem a API AWS Cost Explorer, use a política a seguir para conceder acesso a eles.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ce:*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

Ativar e desativar AWS regiões

Para ver um exemplo de política do IAM que permite aos usuários ativar e desativar regiões, consulte AWS: Permite ativar e desativar AWS regiões no Guia do usuário do IAM.

Visualizar e atualizar a página de preferências do Explorador de Custos

Essa política permite que um usuário visualize e atualize usando a Página de preferências do Explorador de Custos.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling",
        "ce:UpdatePreferences"
       ],
      "Resource": "*"
    }
  ]
}

A política a seguir permite que os usuários visualizem o Explorador de Custos, mas neguem permissão para exibir ou editar a página Preferências.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:GetPreferences",
                "ce:UpdatePreferences"
            ],
            "Resource": "*"
        }
    ]
} 

A política a seguir permite que os usuários visualizem o Explorador de Custos, mas neguem permissão para editar a página Preferências.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:UpdatePreferences"
            ],
            "Resource": "*"
        }
    ]
}

Visualizar, criar, atualizar e excluir usando a página de relatórios do Explorador de Custos

Essa política permite que um usuário visualize, crie, atualize e exclua usando a Página de relatórios do Explorador de Custos.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling",
        "ce:CreateReport",
        "ce:UpdateReport",
        "ce:DeleteReport"
       ],
      "Resource": "*"
    }
  ]
}

A política a seguir permite que os usuários visualizem o Explorador de Custos, mas neguem permissão para visualizar ou editar a página Relatórios.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:DescribeReport",
                "ce:CreateReport",
                "ce:UpdateReport",
                "ce:DeleteReport"
            ],
            "Resource": "*"
        }
    ]
}

A política a seguir permite que os usuários visualizem o Explorador de Custos, mas neguem permissão para editar a página Relatórios.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action":  
                "ce:CreateReport",
                "ce:UpdateReport",
                "ce:DeleteReport"
            ],
            "Resource": "*"
        }
    ]
}

Exibir, criar, atualizar e excluir alertas de reserva e dos Savings Plans

Essa política permite que um usuário visualize, crie, atualize e exclua alertas de validade de reserva e alertas dos Savings Plans. Para editar alertas de validade de reserva ou alertas dos Savings Plans, um usuário precisa de todas as três ações detalhadas: ce:CreateNotificationSubscription, ce:UpdateNotificationSubscription e ce:DeleteNotificationSubscription.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling",
        "ce:CreateNotificationSubscription",
        "ce:UpdateNotificationSubscription",
        "ce:DeleteNotificationSubscription"
       ],
      "Resource": "*"
    }
  ]
}

A política a seguir permite que os usuários visualizem o Explorador de Custos, mas neguem permissão para visualizar ou editar as páginas Alertas de validade de reservas e Alerta dos Savings Plans.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:DescribeNotificationSubscription",
                "ce:CreateNotificationSubscription",
                "ce:UpdateNotificationSubscription",
                "ce:DeleteNotificationSubscription"
            ],
            "Resource": "*"
        }
    ]
}

A política a seguir permite que os usuários visualizem o Explorador de Custos, mas neguem permissão para editar as páginas Alertas de validade de reservas e Alerta dos Savings Plans.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:CreateNotificationSubscription",
                "ce:UpdateNotificationSubscription",
                "ce:DeleteNotificationSubscription"
            ],
            "Resource": "*"
        }
    ]
}

Permita acesso somente para leitura à Detecção de anomalias de AWS custo

Para permitir que os usuários tenham acesso somente para leitura à Detecção de anomalias de AWS custo, use a política a seguir para conceder acesso a eles. ce:ProvideAnomalyFeedbacké opcional como parte do acesso somente para leitura.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ce:Get*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Permita que AWS os orçamentos apliquem políticas e SCPs do IAM

Essa política permite que a AWS Budgets aplique políticas de IAM e políticas de controle de serviços (SCPs) em nome do usuário.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:AttachGroupPolicy",
        "iam:AttachRolePolicy",
        "iam:AttachUserPolicy",
        "iam:DetachGroupPolicy",
        "iam:DetachRolePolicy",
        "iam:DetachUserPolicy",
        "organizations:AttachPolicy",
        "organizations:DetachPolicy"
      ],
      "Resource": "*"
    }
  ]
}

Permita que AWS os orçamentos apliquem políticas e SCPs do IAM e visem instâncias do EC2 e do RDS

Essa política permite que a AWS Budgets aplique políticas do IAM e políticas de controle de serviços (SCPs) e vise instâncias do Amazon EC2 e do Amazon RDS em nome do usuário.

Política de confiança

nota

Essa política de confiança permite que a AWS Budgets assuma uma função que pode chamar outros serviços em seu nome. Para obter mais informações sobre as melhores práticas para permissões entre serviços como essa, consulte Prevenção contra o ataque “Confused deputy” entre serviços.

{
"Version": "2012-10-17",
"Statement": [
  {
    "Effect": "Allow",
    "Principal": {
      "Service": "budgets.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:budgets::123456789012:budget/*"
      },
      "StringEquals": {
        "aws:SourceAccount": "123456789012"
      }
    }
  }
]
}

Política de permissões

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstanceStatus",
        "ec2:StartInstances",
        "ec2:StopInstances",
        "iam:AttachGroupPolicy",
        "iam:AttachRolePolicy",
        "iam:AttachUserPolicy",
        "iam:DetachGroupPolicy",
        "iam:DetachRolePolicy",
        "iam:DetachUserPolicy",
        "organizations:AttachPolicy",
        "organizations:DetachPolicy",
        "rds:DescribeDBInstances",
        "rds:StartDBInstance",
        "rds:StopDBInstance",
        "ssm:StartAutomationExecution"
      ],
      "Resource": "*"
    }
  ]
}