Billing and Cost Management 策略示例 - AWS 账单和成本管理

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

Billing and Cost Management 策略示例

本主题包含几个示例策略,您可以将它们附加到您的 IAM 用户或组以控制对您的账户的账单信息和工具的访问权限。以下基本规则适用于Billing and Cost Management的 IAM 策略:

  • Version 始终为 2012-10-17

  • Effect 始终是 AllowDeny.

  • Action 是操作的名称或通配符 (*)。

    操作前缀为 budgets(对于 AWS Budgets)、cur(对于 AWS Cost and Usage Reports)aws-portal(对于 AWS Billing)或 ce(对于 Cost Explorer)。

  • 对于 AWS Billing,Resource 始终为 *

    对于在 budget 资源上执行的操作,请指定预算 Amazon 资源名称 (ARN)。

  • 一个策略中可能包含多个语句。

注意

这些策略要求您在账户设置控制台页面上激活 IAM 用户对Billing and Cost Management控制台的访问权限。有关更多信息,请参阅激活对 Billing and Cost Management 控制台的访问权限

示例 1:允许 IAM 用户查看您的账单信息

要允许某个 IAM 用户查看您的账单信息而不向该 IAM 用户提供对敏感账户信息(如您的密码和账户活动报告)的访问权限,请使用类似于以下示例策略的策略。此策略允许 IAM 用户查看以下Billing and Cost Management控制台页面,而不会向他们提供对账户设置报告控制台页面的访问权限:

  • 控制面板

  • Cost Explorer

  • 账单

  • 订单和发票

  • 整合账单

  • Preferences

  • Credits

  • 预付款

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:ViewBilling", "Resource": "*" } ] }

示例 2:允许 IAM 用户可访问报表控制台页面

要允许 IAM 用户访问报告控制台页面和查看包含账户活动信息的使用率报告,请使用类似于此示例策略的策略。

有关各操作的定义,请参阅计费操作

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:ViewUsage", "aws-portal:ViewBilling", "cur:DescribeReportDefinitions", "cur:PutReportDefinition", "cur:DeleteReportDefinition", "cur:ModifyReportDefinition" ], "Resource": "*" } ] }

示例3: 拒绝 IAM 用户访问 Billing and Cost Management 控制台

要显式拒绝 IAM 用户访问所有Billing and Cost Management控制台页面,请使用类似于此示例策略的策略。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "aws-portal:*", "Resource": "*" } ] }

示例4: 允许完全访问 AWS 但拒绝 IAM 用户访问 Billing and Cost Management 控制台

要拒绝 IAM 用户访问 Billing and Cost Management 控制台上的所有内容,请使用以下策略。在这种情况下,您还应拒绝用户访问 AWS Identity and Access Management (IAM),这样,用户就无法访问控制对账单信息和工具的访问权限的策略。

重要

该策略不允许进行任何操作。可将此策略与允许特定操作的其他策略结合使用。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } ] }

实施例5: 允许 IAM 用户查看 Billing and Cost Management 控制台(帐户设置除外)

此策略允许对所有Billing and Cost Management控制台进行只读访问,包括付款方式报告控制台页面,但拒绝访问账户设置页面,从而保护账户密码、联系信息和安全问题。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:View*", "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }

实施例6: 允许 IAM 用户修改账单信息

要允许 IAM 用户在Billing and Cost Management控制台中修改账户账单信息,您还必须允许 IAM 用户查看您的账单信息。以下策略示例允许 IAM 用户修改整合账单首选项服务抵扣金额控制台页面。它还允许 IAM 用户查看以下Billing and Cost Management控制台页面:

  • 控制面板

  • Cost Explorer

  • 账单

  • 订单和发票

  • 预付款

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:*Billing", "Resource": "*" } ] }

实例7: 允许 IAM 用户创建预算

要允许 IAM 用户在Billing and Cost Management控制台中创建预算,您还必须允许 IAM 用户查看您的账单信息、创建 CloudWatch 警报和创建 Amazon SNS 通知。以下策略示例允许 IAM 用户修改预算控制台页面。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1435216493000", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "aws-portal:ModifyBilling", "budgets:ViewBudget", "budgets:ModifyBudget" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216514000", "Effect": "Allow", "Action": [ "cloudwatch:*" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216552000", "Effect": "Allow", "Action": [ "sns:*" ], "Resource": [ "arn:aws:sns:us-east-1" ] } ] }

实施例8: 拒绝访问帐户设置,但允许完全访问所有其他计费和使用信息

要保护您的账户密码、联系信息和安全问题,您可以拒绝 IAM 用户访问账户设置,同时仍允许完全访问Billing and Cost Management控制台中的其余功能,如以下示例所示。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:*Billing", "aws-portal:*Usage", "aws-portal:*PaymentMethods" ], "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }

实施例9: 将报告存入 Amazon S3 桶

以下策略允许Billing and Cost Management将您的详细 AWS 账单保存到 Amazon S3 存储桶,只要您同时拥有 AWS 账户和 Amazon S3 存储桶。请注意,此策略必须应用于 Amazon S3 存储桶而不是 IAM 用户。也就是说,它是一种基于资源的策略,而不是基于用户的策略。您应拒绝 IAM 用户访问无需访问您的账单的 IAM 用户的存储桶。

Replace bucketname 的桶名称。

有关更多信息,请参阅使用存储桶策略和用户策略

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": [ "s3:GetBucketAcl", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::bucketname" }, { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucketname/*" } ] }

实施例10: 查找产品和价格

要允许 IAM 用户使用 AWS Price List Service API,请使用以下策略授予他们访问权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "pricing:DescribeServices", "pricing:GetAttributeValues", "pricing:GetProducts" ], "Resource": [ "*" ] } ] }

实例11: 查看成本和使用情况

要允许 IAM 用户使用 AWS Cost Explorer API,请使用以下策略授予他们访问的权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:*" ], "Resource": [ "*" ] } ] }

实例12: 启用和禁用AWS区域

例如 IAM 允许用户启用和禁用区域的策略,请参阅 AWS: 允许启用和禁用 AWS 区域IAM 用户指南.

实施例13: 查看和管理成本类别

要允许 IAM 用户使用、查看和管理成本类别,请使用以下策略授予用户访问权限。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:DescribeCostCategoryDefinition", "ce:UpdateCostCategoryDefinition", "ce:CreateCostCategoryDefinition", "ce:DeleteCostCategoryDefinition", "ce:ListCostCategoryDefinitions", "pricing:DescribeServices" ], "Resource": "*" } ] }

实例14: 创建、查看、编辑或删除 AWS Cost and Usage Reports

此策略允许 IAM 用户使用 API 创建、查看、编辑或删除 sample-report

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageSampleReport", "Action": [ "cur:PutReportDefinition", "cur:DeleteReportDefinition", "cur:ModifyReportDefinition" ], "Resource": "arn:aws:cur:*:123456789012:definition/sample-report" }, { "Sid": "DescribeReportDefs", "Effect": "Allow", "Action": "cur:DescribeReportDefinitions", "Resource": "*" } ] }

实例15: 查看和管理采购订单

本政策允许 IAM 用户查看和管理采购订单,使用以下策略授予访问权限。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "purchase-orders:ViewPurchaseOrders", "purchase-orders:ModifyPurchaseOrders" ], "Resource": "*" } ] }

实施例16: 允许只读访问异常检测

要允许 IAM 用户只读访问异常检测,请使用以下策略授予访问权限。ce:ProvideAnomalyFeedback 作为只读访问的一部分是可选的。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ce:Get*" ], "Effect": "Allow", "Resource": "*" } ] }