AWSExemplos de políticas do Cost Management - Gerenciamento de Custos da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSExemplos de políticas do Cost Management

Este tópico contém exemplos de políticas que podem ser anexadas ao usuário ou grupo do IAM para controlar o acesso às informações de faturamento e ferramentas da sua conta. As seguintes regras básicas se aplicam às políticas do IAM para o Billing and Cost Management:

  • Version é sempre 2012-10-17.

  • Effect é sempre Allow ou Deny.

  • Action é o nome da ação ou um caractere curinga (*).

    O prefixo de ação é budgets para o AWS Budgets, cur para Relatórios de uso e de custo da AWS, aws-portal para faturamento da AWS ou ce para o Cost Explorer.

  • Resource é sempre * para AWS Billing.

    Para ações realizadas em um recurso budget, especifique o nome de recurso da Amazon (ARN) do orçamento.

  • É possível ter várias instruções em uma política.

Para obter uma lista de exemplos de políticas para o console de faturamento, consulteExemplos de políticas de faturamentonoGuia do usuário do faturamento.

nota

Essas políticas exigem que você ative o acesso de usuários do IAM ao console de Billing and Cost Management na página do console Account Settings (Configurações da conta). Para obter mais informações, consulte Ativar o acesso ao console do Billing and Cost Management.

Negar aos usuários do IAM acesso ao console do Billing and Cost Management

Para negar explicitamente que um usuário do IAM acesse todas as páginas do console do Billing and Cost Management, use uma política semelhante a este exemplo de política.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "aws-portal:*", "Resource": "*" } ] }

Negar acesso ao widget de uso e custo do Console AWS para contas-membro

Para restringir o acesso da conta-membro (vinculada) a dados de custo e uso, use sua conta de gerenciamento (pagador) para acessar a guia de preferências do Cost Explorer e desmarque Linked Account Access (Acesso à conta vinculada). Isso negará acesso aos dados de custo e uso do console do Cost Explorer (AWS Cost Management), da API do Cost Explorer e do widget de custo e uso da página inicial do Console AWS, independentemente das ações do IAM que um usuário ou uma função do IAM da conta-membro possa ter.

Negar acesso ao widget de uso e custo do Console AWS para usuários e funções específicos do IAM

Para negar acesso ao widget de uso e custo do Console AWS para usuários e funções específicos do IAM, use a política de permissões abaixo.

nota

Adicionar essa política a um usuário ou função do IAM recusará a esses usuários o acesso ao console do Cost Explorer (AWS Cost Management) e às APIs do Cost Explorer também.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ce:*", "Resource": "*" } ] }

Permitir acesso total aos serviços da AWS, mas negar aos usuários do IAM o acesso ao console de Billing and Cost Management.

Para negar aos usuários do IAM o acesso a tudo no console do Billing and Cost Management, use a política a seguir. Nesse caso, também é necessário negar o acesso dos usuários ao AWS Identity and Access Management (IAM), para que eles não possam acessar as políticas que controlam o acesso às informações e ferramentas de faturamento.

Importante

Esta política não permite qualquer ação. Use essa política em combinação com outras políticas que permitam ações específicas.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } ] }

Permitir que os usuários do IAM visualizem o console do Billing and Cost Management, exceto as configurações da conta

Essa política permite acesso somente leitura a tudo do console do Billing and Cost Management, incluindo as páginas do console Payments Method (Métodos de pagamento) e Reports (Relatórios), mas nega acesso à página Account Settings (Configurações da conta), protegendo, assim, a senha, as informações de contato e as perguntas de segurança da conta.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:View*", "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }

Permitir que os usuários do IAM modifiquem as informações de faturamento

Para permitir que usuários do IAM modifiquem as informações de faturamento da conta no console do Billing and Cost Management, também é necessário permitir que eles visualizem as informações de faturamento. O exemplo de política a seguir permite que um usuário do IAM modifique as páginas do console Consolidated Billing (Faturamento consolidado), Preferences (Prefências) e Credits (Créditos). Ele também permite que um usuário do IAM visualize as seguintes páginas do console do Billing and Cost Management:

  • Dashboard (Painel)

  • Cost Explorer

  • Bills (Faturas)

  • Orders and invoices (Pedidos e faturas)

  • Advance Payment (Pagamento antecipado)

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:*Billing", "Resource": "*" } ] }

Permitir que os usuários do IAM criem orçamentos

Para permitir que usuários do IAM criem orçamentos no console do Billing and Cost Management, é necessário permitir que eles também visualizem suas informações de faturamento, criem CloudWatch alarmes e crie notificações do Amazon SNS. O exemplo de política a seguir permite que um usuário do IAM modifique a página do console Budget (Orçamento).

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1435216493000", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "aws-portal:ModifyBilling", "budgets:ViewBudget", "budgets:ModifyBudget" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216514000", "Effect": "Allow", "Action": [ "cloudwatch:*" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216552000", "Effect": "Allow", "Action": [ "sns:*" ], "Resource": [ "arn:aws:sns:us-east-1" ] } ] }

Recusar o acesso às configurações da conta, mas permitir acesso total a todas as outras informações de faturamento e uso

Para proteger a senha, as informações de contato e as perguntas de segurança da sua conta, é possível negar o acesso do usuário do IAM às Account Settings (Configurações da conta) sem deixar de permitir o acesso completo ao restante da funcionalidade do console do Billing and Cost Management, como mostrado no exemplo a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:*Billing", "aws-portal:*Usage", "aws-portal:*PaymentMethods" ], "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }

Depositar relatórios em um bucket do Amazon S3

A política a seguir permite que o Billing and Cost Management salve suas faturas detalhadas da AWS em um bucket do Amazon S3, contanto que você seja o proprietário da conta da AWS e do bucket do Amazon S3. Observe que essa política deve ser aplicada ao bucket do Amazon S3 e não a um usuário do IAM. Ou seja, é uma política baseada em recursos, não no usuário. Você deve negar acesso ao bucket a usuários do IAM que não precisam ter acesso às suas faturas.

Substitua bucketname pelo nome do seu bucket.

Para obter mais informações, consulte Usar políticas de bucket e políticas de usuário no Manual do usuário do Amazon Simple Storage Service.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": [ "s3:GetBucketAcl", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::bucketname" }, { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucketname/*" } ] }

Visualizar custos e uso

Para permitir que os usuários do IAM usem a API do Cost Explorer da AWS, utilize a política a seguir para conceder acesso:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:*" ], "Resource": [ "*" ] } ] }

Habilitar ou desabilitar regiões da AWS

Para um exemplo de política do IAM que permite que os usuários habilitem e desabilitem regiões, consulteAWS: Permite ativar e desabilitarAWSRegiões danoManual do usuário do IAM.

Visualizar e atualizar a página de preferências do Cost Explorer

Essa política permite que um usuário do IAM visualize e atualize usando a Página de preferências do Cost Explorer.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:UpdatePreferences" ], "Resource": "*" } ] }

A política a seguir permite que os usuários do IAM visualizem o Cost Explorer, mas neguem permissão para exibir ou editar a página Preferences (Preferências).

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:GetPreferences", "ce:UpdatePreferences" ], "Resource": "*" } ] }

A política a seguir permite que os usuários do IAM visualizem o Cost Explorer, mas neguem permissão para editar a página Preferences (Preferências).

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:UpdatePreferences" ], "Resource": "*" } ] }

Visualizar, criar, atualizar e excluir usando a página de relatórios do Cost Explorer

Essa política permite que um usuário do IAM visualize, crie, atualize e exclua usando a Página de relatórios do Cost Explorer.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }

A política a seguir permite que os usuários do IAM visualizem o Cost Explorer, mas neguem permissão para visualizar ou editar a página Reports (Relatórios).

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeReport", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }

A política a seguir permite que os usuários do IAM visualizem o Cost Explorer, mas neguem permissão para editar a página Reports (Relatórios).

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }

Exibir, criar, atualizar e excluir alertas de reserva e dos Savings Plans

Essa política permite que um usuário do IAM visualize, crie, atualize e exclua alertas de validade de reserva e alertas dos Savings Plans. Para editar alertas de validade de reserva ou alertas dos Savings Plans, um usuário precisa de todas as três ações detalhadas: ce:CreateNotificationSubscription, ce:UpdateNotificationSubscription e ce:DeleteNotificationSubscription.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }

A política a seguir permite que os usuários do IAM visualizem o Cost Explorer, mas neguem permissão para visualizar ou editar as páginas Reservation Expiration Alerts (Alertas de validade de reservas) e Savings Plans alert (Alerta dos Savings Plans).

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeNotificationSubscription", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }

A política a seguir permite que os usuários do IAM visualizem o Cost Explorer, mas neguem permissão para editar as páginas Reservation Expiration Alerts (Alertas de validade de reservas) e Savings Plans alert (Alerta dos Savings Plans).

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }

Permitir acesso somente leitura à Detecção de anomalias de custo da AWS

Para permitir aos usuários do IAM acesso somente leitura à Detecção de anomalias de custo da AWS, use a política a seguir para conceder acesso a eles. ce:ProvideAnomalyFeedback é opcional como parte do acesso somente leitura.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ce:Get*" ], "Effect": "Allow", "Resource": "*" } ] }

Permitir que o AWS Budgets aplique políticas e SCPs do IAM

Essa política permite que o AWS Budgets aplique políticas do IAM e políticas de controle de serviço (SCPs) em nome do usuário.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy" ], "Resource": "*" } ] }

Permitir que o AWS Budgets aplique políticas e SCPs do IAM e instâncias de destino do EC2 e do RDS

Essa política permite que o AWS Budgets aplique políticas do IAM e políticas de controle de serviço (SCPs) direcionem instâncias do Amazon EC2 e do Amazon RDS em nome do usuário.

Política de confiança

nota

Essa política de confiança permiteAWSOrçamentos para assumir uma função que pode chamar outros serviços em seu nome. Para obter mais informações sobre as melhores práticas para permissões entre serviços como esta, consultePrevenção contra o ataque “Confused deputy” em todos os serviços.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "budgets.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:budgets::123456789012:budget/*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } ] }

Política de permissões

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance", "ssm:StartAutomationExecution" ], "Resource": "*" } ] }