Migrando o controle de acesso para gerenciamento de AWS custos

nota

As seguintes ações AWS Identity and Access Management (IAM) chegaram ao fim do suporte padrão em julho de 2023:

Namespace do aws-portal
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

Se você estiver usando AWS Organizations, poderá usar os scripts do migrador de políticas em massa para atualizar as políticas da sua conta de pagador. Você também poderá usar a referência de mapeamento de ações antigas para granulares para verificar as ações do IAM que precisam ser adicionadas.

Para obter mais informações, consulte o blog Alterações no AWS faturamento, no gerenciamento de AWS custos e nas permissões dos consoles de contas.

Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.

Você pode usar controles de acesso refinados para fornecer aos indivíduos da sua organização acesso aos serviços. AWS Billing and Cost Management Por exemplo, você pode fornecer acesso ao Cost Explorer sem fornecer acesso ao console de AWS faturamento.

Para usar os controles de acesso refinados, será necessário migrar suas políticas do aws-portal para as novas ações do IAM.

As seguintes ações do IAM em suas políticas de permissão ou políticas de controle de serviço (SCP) necessitam de atualização com essa migração:

aws-portal:ViewAccount
aws-portal:ViewBilling
aws-portal:ViewPaymentMethods
aws-portal:ViewUsage
aws-portal:ModifyAccount
aws-portal:ModifyBilling
aws-portal:ModifyPaymentMethods
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

Para saber como usar a ferramenta Affected policies (Políticas afetadas) para identificar suas políticas do IAM afetadas, consulte Como usar a ferramenta Políticas afetadas.

nota

Solicitações programáticas AWS Cost Explorer, relatórios de AWS custo e uso e AWS orçamentos permanecem inalterados.

Ativar o acesso ao console do Billing and Cost Management permanecem inalterados.

Tópicos

Gerenciar permissões de acesso

AWS O gerenciamento de custos se integra ao serviço AWS Identity and Access Management (IAM) para que você possa controlar quem em sua organização tem acesso a páginas específicas no console de gerenciamento de AWS custos. Você pode controlar o acesso aos recursos de gerenciamento de AWS custos. Por exemplo, AWS Cost Explorer, Savings Plans e recomendações de reservas, Savings Plans e relatórios de cobertura e utilização de reservas.

Use as seguintes permissões do IAM para controle granular do console de gerenciamento de AWS custos.

Usando ações refinadas de gerenciamento AWS de custos

Esta tabela resume as permissões que concedem ou negam aos usuários e perfis do IAM acesso às suas informações de custos e uso. Para obter exemplos de políticas que usam essas permissões, consulte AWS Exemplos de políticas de gerenciamento de custos.

Para ver uma lista de ações para o console de AWS faturamento, consulte Políticas de ações AWS de cobrança no guia do usuário de AWS faturamento.

Nome do recurso no console de gerenciamento de AWS custos	Ação do IAM	Descrição
AWS Página inicial de gerenciamento de custos	`ce:GetCostAndUsage` `ce:GetDimensionValues` `ce:GetCostForecast` `ce:GetReservationUtilization` `ce:GetReservationPurchaseRecommendation` `ce:DescribeReport` `ce:GetDimensionValues` `ce:GetReservationUtilization`	Conceda ou negue aos usuários permissão para visualizar a página AWS Cost Management Home. Todas as ações do IAM são necessárias para visualizar a página.
AWS Explorador de Custos	`ce:GetCostCategories` `ce:GetDimensionValues` `ce:GetCostAndUsageWithResources` `ce:GetCostAndUsage` `ce:GetCostForecast` `ce:GetTags` `ce:GetUsageForecast` `ce:DescribeReport`	Permitir ou negar aos usuários do IAM permissões para visualizar a página de relatórios do AWS Cost Explorer.
AWS Explorador de Custos	`ce:CreateReport`	Permitir ou negar aos usuários permissão para salvar relatórios do Cost Explorer.
Relatórios	`ce:DescribeReport`	Permite ou nega aos usuários a permissão para visualizar os relatórios de uso da .
Relatórios	`ce:DeleteReport`	Conceda ou negue aos usuários permissão para excluir um relatório salvo.
AWS Budgets	`budgets:ViewBudget` `budgets:DescribeBudgetActionsForBudget` `budgets:DescribeBudgetAction` `budgets:DescribeBudgetActionsForAccount` `budgets:DescribeBudgetActionHistories`	Conceda ou negue aos usuários permissão para visualizar a página Orçamentos.
AWS Budgets	`budgets:CreateBudgetAction` `budgets:ExecuteBudgetAction` `budgets:DeleteBudgetAction` `budgets:UpdateBudgetAction` `budgets:ModifyBudget`	Permitir ou negar aos usuários permissão para criar, excluir e modificar orçamentos e ações de orçamentos.
AWS Detecção de anomalias de custo	`ce:GetDimensionValues` `ce:GetCostAndUsage` `ce:CreateAnomalyMonitor` `ce:GetAnomalyMonitors` `ce:UpdateAnomalyMonitor` `ce:DeleteAnomalyMonitor` `ce:CreateAnomalySubscription` `ce:GetAnomalySubscriptions` `ce:UpdateAnomalySubscription` `ce:DeleteAnomalySubscription` `ce:GetAnomalies` `ce:ProvideAnomalyFeedback`	Conceda ou negue aos usuários permissão para visualizar, criar, excluir e atualizar na página Detecção de anomalias de custo.
Recomendações de redimensionamento	`ce:GetDimensionValues` `ce:GetTags` `ce:GetRightsizingRecommendation`	Conceda ou negue aos usuários permissão para visualizar a página Savings Plans Overview (Visão geral dos Savings Plans).
Visão geral dos Savings Plans	`ce:GetSavingsPlansUtilizationDetails` `ce:GetSavingsPlansPurchaseRecommendation`
	`ce:DescribeNotificationSubscription`	Conceda ou negue aos usuários permissão para visualizar configurações de notificação existentes para alertas de Savings Plans expirados e em fila.
	`ce:CreateNotificationSubscription` `ce:UpdateNotificationSubscription` `ce:DeleteNotificationSubscription`	Conceda ou negue aos usuários permissão para atualizar configurações de notificação existentes para alertas de Savings Plans expirados e em fila.
Inventário de Savings Plans	`savingsplans:DescribeSavingsPlans` `ce:GetSavingsPlansUtilizationDetails`	Conceda ou negue aos usuários permissão para visualizar Savings Plans comprados.
Inventário de Savings Plans	`savingsplans:DescribeSavingsPlansOfferings`	Permita ou negue aos usuários permissões para adicionar os Savings Plans que eles desejam renovar ao carrinho.
Savings Plans recommendations (Recomendações dos Savings Plans)	`ce:GetSavingsPlansPurchaseRecommendation` `ce:ListSavingsPlansPurchaseRecommendationGeneration`	Conceda ou negue aos usuários permissão para visualizar recomendações de Savings Plans geradas.
	`ce:StartSavingsPlansPurchaseRecommendationGeneration`	Permita ou negue aos usuários a permissão para calcular um novo conjunto de recomendações com base no uso mais recente e no inventário de Savings Plans.
Compre Savings Plans	`savingsplans:DescribeSavingsPlansOfferings`	Conceda ou negue aos usuários permissão para adicionar Savings Plans ao carrinho.
Savings Plans utilization report (Relatório de utilização dos Savings Plans)	`ce:DescribeReport` `ce:GetSavingsPlansUtilization` `ce:GetSavingsPlansUtilizationDetails` `ce:GetDimensionValues`	Conceda ou negue aos usuários permissão para visualizar a utilização de seus Savings Plans existentes.
	`savingsplans:DescribeSavingsPlanRates`	Conceda ou negue aos usuários permissão para visualizar a tarifa dos Savings Plans.
Savings Plans coverage report (Relatório de cobertura dos Savings Plans)	`ce:GetDimensionValues` `ce:GetSavingsPlansCoverage` `ce:GetCostCategories` `ce:DescribeReport` `ce:GetSavingsPlansPurchaseRecommendation`	Conceda ou negue aos usuários permissão para visualizar os gastos elegíveis cobertos pelos Savings Plans.
Savings Plans cart	`savingsplans:DescribeSavingsPlansOfferings` `savingsplans:DescribeSavingsPlans`	Conceda ou negue aos usuários permissão para comprar Savings Plans.
Savings Plans cart	`savingsplans:CreateSavingsPlan`
Reservations overview (Visão geral de reservas)	`ce:GetReservationUtilization` `ce:GetReservationCoverage` `ce:GetReservationPurchaseRecommendation` `ce:DescribeReport`	Conceda ou negue aos usuários permissão para visualizar a página Visão geral de reservas.
	`ce:DescribeNotificationSubscription`	Conceda ou negue aos usuários permissão para visualizar configurações de notificação existentes para alertas de instâncias reservadas (IR) expiradas.
	`ce:CreateNotificationSubscription` `ce:UpdateNotificationSubscription` `ce:DeleteNotificationSubscription`	Conceda ou negue aos usuários permissão para atualizar configurações de notificação para alertas de IR expirados.
Reservations recommendations (Recomendações de reservas)	`ce:GetReservationPurchaseRecommendation` `ce:GetDimensionValues`	Conceda ou negue aos usuários permissão para visualizar recomendações de reservas.
Reservations utilization reports (Relatório de utilização de reservas)	`ce:GetDimensionValues` `ce:GetReservationUtilization` `ce:DescribeReport`	Conceda ou negue aos usuários permissão para visualizar a utilização de sua IR existente.
	`ce:CreateReport`	Permitir ou negar aos usuários permissão para salvar relatórios RI.
Reservations coverage report (Relatório de cobertura de reservas)	`ce:GetReservationCoverage` `ce:GetReservationPurchaseRecommendation` `ce:DescribeReport` `ce:GetDimensionValues` `ce:GetCostCategories`	Conceda ou negue aos usuários permissão para visualizar gastos elegíveis cobertos por reservas (IRs).
	`ce:CreateReport`	Conceda ou negue aos usuários permissão para salvar relatórios de cobertura de IR.
Preferences	`ce:GetPreferences`	Permita ou negue aos usuários a permissão de visualizar as preferências AWS do Gerenciamento de Custos.
Preferences	`ce:UpdatePreferences`	Permita ou negue aos usuários a permissão para atualizar as preferências do AWS Cost Management.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS Exemplos de políticas de gerenciamento de custos

Como usar a ferramenta Políticas afetadas