As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usando políticas baseadas em identidade (IAMpolíticas) para AWS gerenciamento de custos
nota
As seguintes AWS Identity and Access Management (IAM) ações chegaram ao fim do suporte padrão em julho de 2023:
-
Namespace do
aws-portal -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
Se você estiver usando AWS Organizations, poderá usar os scripts do migrador de políticas em massa para atualizar as políticas da sua conta de pagador. Você também pode usar a referência de mapeamento de ações antiga para granular para verificar as IAM ações que precisam ser adicionadas.
Para obter mais informações, consulte o blog Alterações no AWS faturamento, no gerenciamento de AWS custos e nas permissões dos consoles de contas
Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.
Este tópico fornece exemplos de políticas baseadas em identidade que demonstram como um administrador de conta pode anexar políticas de permissões a IAM identidades (funções e grupos) e, assim, conceder permissões para realizar operações em recursos de Billing and Cost Management.
Para uma discussão completa sobre AWS contas e usuários, consulte O que éIAM? no Guia do IAM usuário.
Para obter informações sobre como você pode atualizar as políticas gerenciadas pelo cliente, consulte Edição de políticas gerenciadas pelo cliente (console) no Guia IAM do usuário.
Tópicos
Políticas de ações do Billing and Cost Management
Essa tabela resume as permissões que permitem ou negam acesso a suas informações e ferramentas de faturamento a usuários do . Para obter exemplos de políticas que usam essas permissões, consulte AWS Exemplos de políticas de gerenciamento de custos.
Para obter uma lista das políticas de ações para o console do Billing, consulte Políticas de ações do Billing no Guia do usuário do Billing.
| Nome da permissão | Descrição |
|---|---|
|
|
Permitir ou negar aos usuários permissões para visualizar as seguintes páginas do console do Billing and Cost Management. Para ver um exemplo de política, consulte Permitir que IAM os usuários visualizem suas informações de cobrança no Guia do usuário de faturamento. |
aws-portal:ViewUsage |
Permita ou negue aos usuários a permissão para visualizar os relatórios AWS Para permitir que os usuários visualizem relatórios de uso, é necessário permitir o Para ver um exemplo de política, consulte Permitir que IAM os usuários acessem a página do console de relatórios no Guia do usuário de faturamento. |
|
|
Permitir ou negar permissão aos usuários do para modificar as seguintes páginas do console de Gerenciamento de faturamento e custos: Para permitir que os usuários do |
|
|
Permitir ou negar permissão aos usuários do para visualizar as seguintes páginas do console de Gerenciamento de faturamento e custos: |
aws-portal:ModifyAccount |
Permitir ou negar permissão aos usuários para modificar as Configurações da conta Para permitir que os usuários do Para obter um exemplo de uma política que nega explicitamente o acesso à página do console de Configurações da conta, consulte Recusar o acesso às configurações da conta, mas permitir acesso total a todas as outras informações de faturamento e uso. |
budgets:ViewBudget |
Permitir ou negar permissão aos usuários do para visualizar Orçamentos Para permitir que os usuários visualizem orçamentos, também é necessário permitir |
budgets:ModifyBudget |
Permitir ou negar permissão aos usuários do para modificar Orçamentos Para permitir que os usuários do visualizem e modifiquem orçamentos, também é necessário permitir |
ce:GetPreferences |
Permitir ou negar aos usuários permissões para visualizar a página de preferências do Cost Explorer. Para visualizar um exemplo de política, consulte Visualizar e atualizar a página de preferências do Explorador de Custos. |
ce:UpdatePreferences |
Permitir ou negar aos usuários permissões para atualizar a página de preferências do Cost Explorer. Para visualizar um exemplo de política, consulte Visualizar e atualizar a página de preferências do Explorador de Custos. |
ce:DescribeReport |
Permitir ou negar aos usuários permissões para visualizar a página de relatórios do Cost Explorer. Para visualizar um exemplo de política, consulte Visualizar, criar, atualizar e excluir usando a página de relatórios do Explorador de Custos. |
ce:CreateReport |
Permitir ou negar aos usuários permissões para criar relatórios usando a página de relatórios do Cost Explorer. Para visualizar um exemplo de política, consulte Visualizar, criar, atualizar e excluir usando a página de relatórios do Explorador de Custos. |
ce:UpdateReport |
Permitir ou negar aos usuários permissões para atualizar usando a página de relatórios do Cost Explorer. Para visualizar um exemplo de política, consulte Visualizar, criar, atualizar e excluir usando a página de relatórios do Explorador de Custos. |
ce:DeleteReport |
Permitir ou negar aos usuários permissões para excluir relatórios usando a página de relatórios do Cost Explorer. Para visualizar um exemplo de política, consulte Visualizar, criar, atualizar e excluir usando a página de relatórios do Explorador de Custos. |
ce:DescribeNotificationSubscription |
Permitir ou negar aos usuários do IAM permissões para visualizar alertas de validade de reservas do Cost Explorer na página de visão geral da reserva. Para visualizar um exemplo de política, consulte Exibir, criar, atualizar e excluir alertas de reserva e dos Savings Plans. |
ce:CreateNotificationSubscription |
Permitir ou negar aos usuários permissões para criar alertas de validade de reservas do Cost Explorer na página de visão geral da reserva. Para visualizar um exemplo de política, consulte Exibir, criar, atualizar e excluir alertas de reserva e dos Savings Plans. |
ce:UpdateNotificationSubscription |
Permitir ou negar aos usuários permissões para atualizar alertas de validade de reservas do Cost Explorer na página de visão geral da reserva. Para visualizar um exemplo de política, consulte Exibir, criar, atualizar e excluir alertas de reserva e dos Savings Plans. |
ce:DeleteNotificationSubscription |
Permitir ou negar aos usuários permissões para excluir alertas de validade de reservas do Cost Explorer na página de visão geral da reserva. Para visualizar um exemplo de política, consulte Exibir, criar, atualizar e excluir alertas de reserva e dos Savings Plans. |
ce:CreateCostCategoryDefinition |
Permitir ou negar permissões de usuários do para criar categorias de custos. Para ver um exemplo de política, consulte Visualizar e gerenciar categorias de custo no Guia do usuário de faturamento. É possível adicionar tags de recurso aos monitores durante a |
ce:DeleteCostCategoryDefinition |
Permitir ou negar permissões de usuários do para excluir categorias de custos. Para ver um exemplo de política, consulte Visualizar e gerenciar categorias de custo no Guia do usuário de faturamento. |
ce:DescribeCostCategoryDefinition |
Permitir ou negar permissões de usuários do para visualizar as categorias de custos. Para ver um exemplo de política, consulte Visualizar e gerenciar categorias de custo no Guia do usuário de faturamento. |
ce:ListCostCategoryDefinitions |
Permitir ou negar permissões de usuários do para listar as categorias de custos. Para ver um exemplo de política, consulte Visualizar e gerenciar categorias de custo no Guia do usuário de faturamento. |
ce:ListTagsForResource |
Conceda ou negue aos usuários permissão para listar todas as tags de recurso para determinado recurso. Para obter uma lista dos recursos compatíveis, consulte ResourceTagna AWS Billing and Cost Management APIReferência. |
ce:UpdateCostCategoryDefinition |
Permitir ou negar permissões de usuários do para atualizar as categorias de custos. Para ver um exemplo de política, consulte Visualizar e gerenciar categorias de custo no Guia do usuário de faturamento. |
ce:CreateAnomalyMonitor |
Permitir ou negar permissões aos usuários para criar um único monitor de Detecção de anomalias de custo da AWS. É possível adicionar tags de recurso aos monitores durante a |
ce:GetAnomalyMonitors |
Permitir ou negar permissões aos usuários para visualizar todos os monitores de Detecção de anomalias de custo da AWS. |
ce:UpdateAnomalyMonitor |
Permitir ou negar permissões aos usuários para atualizar os monitores de Detecção de anomalias de custo da AWS. |
ce:DeleteAnomalyMonitor |
Permitir ou negar permissões aos usuários para excluir os monitores de Detecção de anomalias de custo da AWS. |
ce:CreateAnomalySubscription |
Permitir ou negar permissões aos usuários para criar uma única assinatura para Detecção de anomalias de custo da AWS. É possível adicionar tags de recurso às assinaturas durante a |
ce:GetAnomalySubscriptions |
Permitir ou negar permissões aos usuários para visualizar todas as assinaturas para Detecção de anomalias de custo da AWS. |
ce:UpdateAnomalySubscription |
Permitir ou negar permissões aos usuários para atualizar as assinaturas para Detecção de anomalias de custo da AWS. |
ce:DeleteAnomalySubscription |
Permitir ou negar permissões aos usuários para excluir as assinaturas para Detecção de anomalias de custo da AWS. |
ce:GetAnomalies |
Permitir ou negar permissões aos usuários para visualizar todas anomalias na Detecção de anomalias de custo da AWS. |
ce:ProvideAnomalyFeedback |
Permitir ou negar permissões aos usuários para fornecer feedback sobre uma anomalia detectada na Detecção de anomalias de custo da AWS. |
ce:TagResource |
Conceda ou negue aos usuários permissão para adicionar pares de chave-valor de tag de recurso a um recurso. Para obter uma lista dos recursos compatíveis, consulte ResourceTagna AWS Billing and Cost Management APIReferência. |
ce:UntagResource |
Permita ou negue aos usuários permissões para excluir tags de recursos de um recurso. Para obter uma lista dos recursos compatíveis, consulte ResourceTagna AWS Billing and Cost Management APIReferência. |
Políticas gerenciadas
nota
As seguintes AWS Identity and Access Management (IAM) ações chegaram ao fim do suporte padrão em julho de 2023:
-
Namespace do
aws-portal -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
Se você estiver usando AWS Organizations, poderá usar os scripts do migrador de políticas em massa para atualizar as políticas da sua conta de pagador. Você também pode usar a referência de mapeamento de ações antiga para granular para verificar as IAM ações que precisam ser adicionadas.
Para obter mais informações, consulte o blog Alterações no AWS faturamento, no gerenciamento de AWS custos e nas permissões dos consoles de contas
Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.
As políticas gerenciadas são políticas autônomas baseadas em identidade que você pode anexar a vários usuários, grupos e funções em sua conta. AWS Você pode usar políticas AWS gerenciadas para controlar o acesso no Billing and Cost Management.
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns. AWS as políticas gerenciadas facilitam a atribuição de permissões apropriadas a usuários, grupos e funções do que se você mesmo tivesse que escrever as políticas.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. AWS ocasionalmente atualiza as permissões definidas em uma política AWS gerenciada. Quando isso ocorre, a atualização afetará todas as principais entidades (usuários, grupos e funções) às quais a política está anexada.
O Billing and Cost Management fornece AWS várias políticas gerenciadas para casos de uso comuns.
Tópicos
- Permite acesso total aos AWS orçamentos, incluindo ações orçamentárias
- Permite acesso somente para leitura aos AWS orçamentos
- Permite permissão para controlar AWS recursos
- Permite que o Cost Optimization Hub chame os serviços necessários para que o serviço funcione
- Permite acesso somente para leitura ao Cost Optimization Hub
- Permite o acesso do administrador ao Cost Optimization Hub
- Permite dividir os dados de alocação de custos para chamar os serviços necessários para que o serviço funcione
- Permite que as exportações de dados acessem outros AWS serviços
Permite acesso total aos AWS orçamentos, incluindo ações orçamentárias
Nome da política gerenciada: AWSBudgetsActionsWithAWSResourceControlAccess
Essa política gerenciada é focada no usuário, garantindo que você tenha as permissões adequadas para conceder permissão aos AWS orçamentos para executar as ações definidas. Essa política fornece acesso total aos AWS orçamentos, incluindo ações orçamentárias, para recuperar o status de suas políticas e executar recursos usando o. AWS AWS Management Console
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "budgets:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "budgets.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "aws-portal:ModifyBilling", "ec2:DescribeInstances", "iam:ListGroups", "iam:ListPolicies", "iam:ListRoles", "iam:ListUsers", "organizations:ListAccounts", "organizations:ListOrganizationalUnitsForParent", "organizations:ListPolicies", "organizations:ListRoots", "rds:DescribeDBInstances", "sns:ListTopics" ], "Resource": "*" } ] }
Permite acesso somente para leitura aos AWS orçamentos
Nome da política gerenciada: AWSBudgetsReadOnlyAccess
Essa política gerenciada permite acesso somente de leitura aos AWS orçamentos por meio do. AWS Management Console A política pode ser anexada aos seus usuários, grupos e funções.
{ "Version" : "2012-10-17", "Statement" : [ { "Sid": "AWSBudgetsReadOnlyAccess", "Effect" : "Allow", "Action" : [ "aws-portal:ViewBilling", "budgets:ViewBudget", "budgets:Describe*" "budgets:ListTagsForResource" ], "Resource" : "*" } ] }
Permite permissão para controlar AWS recursos
Nome da política gerenciada: AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM
Essa política gerenciada se concentra em ações específicas que a AWS Budgets realiza em seu nome ao concluir uma ação específica. Essa política dá permissão para controlar AWS recursos. Por exemplo, inicia e interrompe RDS instâncias da Amazon EC2 ou da Amazon executando scripts do AWS Systems Manager (SSM).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "ssm.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ssm:StartAutomationExecution" ], "Resource": [ "arn:aws:ssm:*:*:automation-definition/AWS-StartEC2Instance:*", "arn:aws:ssm:*:*:automation-definition/AWS-StopEC2Instance:*", "arn:aws:ssm:*:*:automation-definition/AWS-StartRdsInstance:*", "arn:aws:ssm:*:*:automation-definition/AWS-StopRdsInstance:*" ] } ] }
Permite que o Cost Optimization Hub chame os serviços necessários para que o serviço funcione
Nome da política gerenciada: CostOptimizationHubServiceRolePolicy
Permite que o Cost Optimization Hub recupere informações da organização e colete dados e metadados relacionados à otimização.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AwsOrgsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListParents", "organizations:DescribeOrganizationalUnit" ], "Resource": [ "*" ] }, { "Sid": "AwsOrgsScopedAccess", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringLikeIfExists": { "organizations:ServicePrincipal": [ "cost-optimization-hub.bcm.amazonaws.com" ] } } }, { "Sid": "CostExplorerAccess", "Effect": "Allow", "Action": [ "ce:ListCostAllocationTags", "ce:GetCostAndUsage" ], "Resource": [ "*" ] } ] }
Para obter mais informações, consulte Funções vinculadas ao serviço para o Cost Optimization Hub.
Permite acesso somente para leitura ao Cost Optimization Hub
Nome da política gerenciada: CostOptimizationHubReadOnlyAccess
Essa política gerenciada fornece acesso somente para leitura ao Cost Optimization Hub.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CostOptimizationHubReadOnlyAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:ListEnrollmentStatuses", "cost-optimization-hub:GetPreferences", "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries" ], "Resource": "*" } ] }
Permite o acesso do administrador ao Cost Optimization Hub
Nome da política gerenciada: CostOptimizationHubAdminAccess
Essa política gerenciada fornece acesso administrativo ao Cost Optimization Hub.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CostOptimizationHubAdminAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:ListEnrollmentStatuses", "cost-optimization-hub:UpdateEnrollmentStatus", "cost-optimization-hub:GetPreferences", "cost-optimization-hub:UpdatePreferences", "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries", "organizations:EnableAWSServiceAccess" ], "Resource": "*" }, { "Sid": "AllowCreationOfServiceLinkedRoleForCostOptimizationHub", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/cost-optimization-hub.bcm.amazonaws.com/AWSServiceRoleForCostOptimizationHub" ], "Condition": { "StringLike": { "iam:AWSServiceName": "cost-optimization-hub.bcm.amazonaws.com" } } }, { "Sid": "AllowAWSServiceAccessForCostOptimizationHub", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringLike": { "organizations:ServicePrincipal": [ "cost-optimization-hub.bcm.amazonaws.com" ] } } } ] }
Permite dividir os dados de alocação de custos para chamar os serviços necessários para que o serviço funcione
Nome da política gerenciada: SplitCostAllocationDataServiceRolePolicy
Permite que os dados de alocação de custos divididos recuperem informações da AWS Organizations, se aplicável, e coletem dados de telemetria para os serviços de dados de alocação de custos divididos pelos quais o cliente optou por aceitar.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AwsOrganizationsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListParents" ], "Resource": "*" }, { "Sid": "AmazonManagedServiceForPrometheusAccess", "Effect": "Allow", "Action": [ "aps:ListWorkspaces", "aps:QueryMetrics" ], "Resource": "*" } ] }
Para obter mais informações, consulte Funções vinculadas a serviços para dados de alocação de custos divididos.
Permite que as exportações de dados acessem outros AWS serviços
Nome da política gerenciada: AWSBCMDataExportsServiceRolePolicy
Permite que as exportações de dados acessem outros AWS serviços, como o Cost Optimization Hub, em seu nome.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CostOptimizationRecommendationAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:ListEnrollmentStatuses", "cost-optimization-hub:ListRecommendations" ], "Resource": "*" } ] }
Para obter mais informações, consulte Funções vinculadas ao serviço para exportações de dados.
AWS Atualizações do gerenciamento de custos nas políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas para gerenciamento de AWS custos desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o RSS feed na página de histórico do documento de gerenciamento de AWS custos.
| Alteração | Descrição | Data |
|---|---|---|
|
Atualizar a política existente |
Atualizamos a política para adicionar organizations:ListDelegatedAdministrators as ce:GetCostAndUsage ações e. |
07/05/2024 |
|
Atualizar a política existente |
Atualizamos a política para adicionar a budgets:ListTagsForResource ação. |
17/06/2024 |
|
Adição de uma nova política |
A Data Exports adicionou uma nova política para ser usada com funções vinculadas a serviços, o que permite o acesso a outros AWS serviços, como o Cost Optimization Hub. | 06/10/2024 |
|
Adição de uma nova política |
Os dados de alocação de custos divididos adicionaram uma nova política a ser usada com funções vinculadas a serviços, que permite o acesso a AWS serviços e recursos usados ou gerenciados por dados de alocação de custos divididos. | 16/04/2024 |
|
Atualizar a política existente AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM |
Atualizamos a política com permissões reduzidas. A ssm:StartAutomationExecution ação só é permitida para recursos específicos usados pelas ações do Orçamento. |
14/12/2023 |
|
Atualização nas políticas existentes |
O Cost Optimization Hub atualizou as duas políticas gerenciadas a seguir:
|
14/12/2023 |
|
Adição de uma nova política |
O Cost Optimization Hub adicionou uma nova política para ser usada com funções vinculadas a serviços, que permite o acesso aos AWS serviços e recursos usados ou gerenciados pelo Cost Optimization Hub. | 11/02/2023 |
| AWS O Cost Management começou a monitorar as mudanças | AWS A Cost Management começou a monitorar as mudanças em suas políticas AWS gerenciadas | 11/02/2023 |
