本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 账单政策示例
注意
以下 AWS Identity and Access Management (IAM) 操作已于 2023 年 7 月结束标准支持:
-
aws-portal命名空间 -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
如果您正在使用 AWS Organizations,则可以使用批量策略迁移器脚本或批量策略迁移器从您的付款人账户更新政策。您也可以使用从旧到精细的操作映射参考来验证需要添加的IAM操作。
如果您在 2023 年 3 月 6 日上午 11:00 当天或之后 AWS Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 AWS 账户 PDT
重要
-
这些政策要求您在账户设置
控制台页面上激活IAM用户对账单和成本管理控制台的访问权限。有关更多信息,请参阅 激活对 Billing and Cost Management 控制台的访问权限。 -
要使用 AWS 托管策略,请参阅AWS 托管策略。
本主题包含示例政策,您可以将这些策略附加到您的IAM用户或群组,以控制对账户账单信息和工具的访问权限。以下基本规则适用于账单和成本管理IAM政策:
-
Version始终为2012-10-17。 -
Effect始终为Allow或Deny。 -
Action是操作的名称或通配符 (*)。操作前缀
budgets用于 AWS 预算、curAWS 成本和使用情况报告、aws-portalAWS 账单或ceCost Explorer。 -
Resource始终*用于 AWS 计费。对于对
budget资源执行的操作,请指定预算 Amazon 资源名称 (ARN)。 -
一个策略中可能包含多个语句。
有关 AWS 成本管理控制台的操作策略列表,请参阅AWS 成本管理用户指南中的AWS 成本管理策略示例。
主题
- 允许IAM用户查看您的账单信息
- 允许IAM用户查看您的账单信息和碳足迹报告
- 允许IAM用户访问报告控制台页面
- 拒绝IAM用户访问账单和成本管理控制台
- 拒绝成员账号访问 AWS 控制台费用和使用情况小工具
- 拒绝特定IAM用户和角色访问 AWS 控制台成本和使用情况小组件
- 允许IAM用户查看您的账单信息,但拒绝访问碳足迹报告
- 允许IAM用户访问碳足迹报告,但拒绝访问账单信息
- 允许用户完全访问 AWS 服务,但拒绝IAM用户访问账单和成本管理控制台
- 允许IAM用户查看 Billing and Cost Management 控制台,但账户设置除外
- 允许IAM用户修改账单信息
- 拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息
- 将报告存入 Amazon S3 存储桶
- 查找产品和价格
- 查看成本和使用情况
- 启用和禁用 AWS 区域
- 查看和管理成本类别
- 创建、查看、编辑或删除 AWS 成本和使用情况报告
- 查看和管理采购订单
- 查看和更新 Cost Explorer 首选项页面
- 使用 Cost Explorer 报告页面查看、创建、更新和删除
- 查看、创建、更新和删除预留和 Savings Plans 提醒
- 允许对 “ AWS 成本异常检测” 进行只读访问
- 允许 AWS 预算应用IAM政策和 SCPs
- 允许 AWS Budget IAM s 应用政策SCPs并定位EC2和RDS实例
- 允许IAM用户查看美国免税和创建 AWS Support 案例
- (适用于账单或联系地址在印度的客户)允许对客户验证信息进行只读访问
- (适用于账单或联系地址在印度的客户)查看、创建和更新客户验证信息
- 在账单控制台中查看AWS Migration Acceleration Program信息
允许IAM用户查看您的账单信息
要允许IAM用户在不向用户提供敏感账户信息的访问权限的情况下查看您的账单信息,请使用类似于以下示例政策的策略。IAM此类策略会阻止用户访问您的密码和账户活动报告。此政策允许IAM用户查看以下 Billing and Cost Management 控制台页面,而无需授予他们访问账户设置或报告控制台页面的权限:
-
控制面板
-
Cost Explorer
-
账单
-
订单和发票
-
整合账单
-
Preferences
-
Credits
-
Advance Payment
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:ViewBilling", "Resource": "*" } ] }
允许IAM用户查看您的账单信息和碳足迹报告
要允许IAM用户同时查看账单信息和碳足迹报告,请使用类似于以下示例的政策。此策略会阻止用户访问您的密码和账户活动报告。此政策允许IAM用户查看以下 Billing and Cost Management 控制台页面,而无需授予他们访问账户设置或报告控制台页面的权限:
-
控制面板
-
Cost Explorer
-
账单
-
订单和发票
-
整合账单
-
Preferences
-
Credits
-
Advance Payment
-
AWS 成本和使用情况报告页面的 AWS 客户碳足迹工具部分
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": "aws-portal:ViewBilling", "Resource": "*" }, {"Effect": "Allow", "Action": "sustainability:GetCarbonFootprintSummary", "Resource": "*" } ] }
允许IAM用户访问报告控制台页面
要允许IAM用户访问报告控制台页面并查看包含账户活动信息的使用情况报告,请使用类似于此示例策略的策略。
有关各操作的定义,请参阅AWS 账单控制台操作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:ViewUsage", "aws-portal:ViewBilling", "cur:DescribeReportDefinitions", "cur:PutReportDefinition", "cur:DeleteReportDefinition", "cur:ModifyReportDefinition" ], "Resource": "*" } ] }
拒绝IAM用户访问账单和成本管理控制台
要明确拒绝IAM用户访问所有 Billing and Cost Management 控制台页面,请使用类似于此示例策略的策略。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "aws-portal:*", "Resource": "*" } ] }
拒绝成员账号访问 AWS 控制台费用和使用情况小工具
要限制成员(关联)账户访问成本和使用数据,请使用管理(付款人)账户访问 Cost Explorer 首选项选项卡,然后取消选中 Linked Account Access(关联账户访问)。无论成员账户的IAM用户或角色执行了什么IAM操作,这都将拒绝从 Cost Explorer(AWS 成本管理) AWS 控制台API、Cost Explorer 和控制台主页的 “成本和使用情况” 小部件访问成本和使用情况数据。
拒绝特定IAM用户和角色访问 AWS 控制台成本和使用情况小组件
要拒绝特定IAM用户和角色访问 AWS 控制台成本和使用情况小组件,请使用以下权限策略。
注意
向IAM用户或角色添加此策略也会拒绝用户访问 Cost Explorer(AWS 成本管理)控制台和 Cost Explorer APIs。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ce:*", "Resource": "*" } ] }
允许IAM用户查看您的账单信息,但拒绝访问碳足迹报告
允许IAM用户在 Billing and Cost Management 控制台中同时查看账单信息,但不允许访问 AWS 客户碳足迹工具。此工具位于 “ AWS 成本和使用情况报告” 页面。
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": "aws-portal:ViewBilling", "Resource": "*" }, {"Effect": "Deny", "Action": "sustainability:GetCarbonFootprintSummary", "Resource": "*" } ] }
允许IAM用户访问碳足迹报告,但拒绝访问账单信息
允许IAM用户访问 AWS 成本和使用情况报告页面中的 AWS 客户碳足迹工具,但拒绝访问Billing and Cost Management控制台中的账单信息。
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Deny", "Action": "aws-portal:ViewBilling", "Resource": "*" }, {"Effect": "Allow", "Action": "sustainability:GetCarbonFootprintSummary", "Resource": "*" } ] }
允许用户完全访问 AWS 服务,但拒绝IAM用户访问账单和成本管理控制台
要拒绝IAM用户访问Billing and Cost Management控制台上的所有内容,请使用以下策略。拒绝用户访问 AWS Identity and Access Management (IAM),以防止访问控制账单信息和工具访问权限的策略。
重要
该策略不允许进行任何操作。可将此策略与允许特定操作的其他策略结合使用。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } ] }
允许IAM用户查看 Billing and Cost Management 控制台,但账户设置除外
此策略允许对所有 Billing and Cost Management 控制台进行只读访问。这包括 Payments Method(付款方式)和 Reports(报告)控制台页面。但是,此策略将拒绝对 Account Settings(账户设置)页面的访问。这意味着它可会保护账户密码、联系信息和安全问题。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:View*", "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
允许IAM用户修改账单信息
要允许IAM用户在 Billing and Cost Management 控制台中修改账户账单信息,请允许IAM用户查看您的账单信息。以下策略示例允许IAM用户修改整合账单、首选项和积分控制台页面。它还允许IAM用户查看以下 Billing and Cost Management 控制台页面:
-
控制面板
-
Cost Explorer
-
账单
-
订单和发票
-
Advance Payment
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:*Billing", "Resource": "*" } ] }
拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息
为了保护您的账户密码、联系信息和安全问题,请拒绝IAM用户访问账户设置,同时仍允许用户完全访问账单和成本管理控制台中的其余功能。以下是示例策略。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:*Billing", "aws-portal:*Usage", "aws-portal:*PaymentMethods" ], "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
将报告存入 Amazon S3 存储桶
如果您同时拥有该 AWS 账户和 Amazon S3 存储桶,则以下政策允许 AWS 账单和成本管理部门将您的详细账单保存到 Amazon S3 存储桶中。此策略必须应用于 Amazon S3 存储桶,而不是IAM用户。这是因为,它是一种基于资源的策略,而不是基于用户的策略。我们建议您拒绝IAM不需要访问您的账单的IAM用户访问存储桶。
Replace(替换) DOC-EXAMPLE-BUCKET1 用你的存储桶的名字。
有关更多信息,请参阅 Amazon Simple Storage Service 用户指南中的使用存储桶策略和用户策略。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": [ "s3:GetBucketAcl", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET1" }, { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*" } ] }
查找产品和价格
要允许IAM用户使用 AWS 价目表服务API,请使用以下策略向他们授予访问权限。
此政策授予使用两种 AWS 价目表批量API AWS 查询的权限API。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "pricing:DescribeServices", "pricing:GetAttributeValues", "pricing:GetProducts", "pricing:GetPriceListFileUrl", "pricing:ListPriceLists" ], "Resource": [ "*" ] } ] }
查看成本和使用情况
要允许IAM用户使用 Cost Ex AWS plorerAPI,请使用以下策略向他们授予访问权限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:*" ], "Resource": [ "*" ] } ] }
启用和禁用 AWS 区域
有关允许用户启用和禁用区域的IAM策略示例,请参阅《IAM用户指南》中的 AWS:允许启用和禁用 AWS 区域。
查看和管理成本类别
要允许IAM用户使用、查看和管理成本类别,请使用以下策略向他们授予访问权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:GetCostAndUsage", "ce:DescribeCostCategoryDefinition", "ce:UpdateCostCategoryDefinition", "ce:CreateCostCategoryDefinition", "ce:DeleteCostCategoryDefinition", "ce:ListCostCategoryDefinitions", "ce:TagResource", "ce:UntagResource", "ce:ListTagsForResource", "pricing:DescribeServices" ], "Resource": "*" } ] }
创建、查看、编辑或删除 AWS 成本和使用情况报告
此策略允许IAM用户sample-report使用创建、查看、编辑或删除API。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageSampleReport", "Effect": "Allow", "Action": [ "cur:PutReportDefinition", "cur:DeleteReportDefinition", "cur:ModifyReportDefinition" ], "Resource": "arn:aws:cur:*:123456789012:definition/sample-report" }, { "Sid": "DescribeReportDefs", "Effect": "Allow", "Action": "cur:DescribeReportDefinitions", "Resource": "*" } ] }
查看和管理采购订单
此政策允许IAM用户查看和管理采购订单,使用以下策略授予访问权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "purchase-orders:*" ], "Resource": "*" } ] }
查看和更新 Cost Explorer 首选项页面
此政策允许IAM用户使用 Cos t Explorer 首选项页面进行查看和更新。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:UpdatePreferences" ], "Resource": "*" } ] }
以下策略允许IAM用户查看 Cost Explorer,但拒绝其查看或编辑 “首选项” 页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:GetPreferences", "ce:UpdatePreferences" ], "Resource": "*" } ] }
以下策略允许IAM用户查看 Cost Explorer,但拒绝编辑首选项页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:UpdatePreferences" ], "Resource": "*" } ] }
使用 Cost Explorer 报告页面查看、创建、更新和删除
此政策允许IAM用户使用 Cos t Explorer 报告页面查看、创建、更新和删除。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
以下策略允许IAM用户查看 Cost Explorer,但拒绝其查看或编辑报告页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeReport", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
以下策略允许IAM用户查看 Cost Explorer,但拒绝编辑报告页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
查看、创建、更新和删除预留和 Savings Plans 提醒
此政策允许IAM用户查看、创建、更新和删除预订到期提醒和 Savings Pl ans 提醒。要编辑预留到期提醒或 Savings Plans 提醒,用户需要所有三个粒度的操作:ce:CreateNotificationSubscription、ce:UpdateNotificationSubscription 和 ce:DeleteNotificationSubscription。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
以下政策允许IAM用户查看 Cost Explorer,但拒绝查看或编辑预订到期提醒和 Savings Pl ans 提醒页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeNotificationSubscription", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
以下政策允许IAM用户查看 Cost Explorer,但拒绝编辑预订到期提醒和 Savings Pl ans 提醒页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
允许对 “ AWS 成本异常检测” 进行只读访问
要允许IAM用户以只读方式访问 AWS 成本异常检测,请使用以下策略向他们授予访问权限。 ce:ProvideAnomalyFeedback作为只读访问权限的一部分,是可选的。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ce:Get*" ], "Effect": "Allow", "Resource": "*" } ] }
允许 AWS 预算应用IAM政策和 SCPs
此政策允 AWS 许 Bud IAM gets 代表用户应用策略和服务控制策略 (SCPs)。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy" ], "Resource": "*" } ] }
允许 AWS Budget IAM s 应用政策SCPs并定位EC2和RDS实例
该政策允 AWS 许 Bu IAM dgets 应用策略和服务控制政策 (SCPs),EC2并代表用户定位亚马逊和亚马逊RDS实例。
信任策略
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "budgets.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
权限策略
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance", "ssm:StartAutomationExecution" ], "Resource": "*" } ] }
允许IAM用户查看美国免税和创建 AWS Support 案例
此政策允许IAM用户在免税控制台中查看美国免税和创建上传免税证书的 AWS Support 案例。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "aws-portal:*", "tax:GetExemptions", "tax:UpdateExemptions", "support:CreateCase", "support:AddAttachmentsToSet" ], "Resource": [ "*" ], "Effect": "Allow" } ] }
(适用于账单或联系地址在印度的客户)允许对客户验证信息进行只读访问
此政策允许IAM用户以只读方式访问客户验证信息。
有关各操作的定义,请参阅AWS 账单控制台操作。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "customer-verification:GetCustomerVerificationEligibility", "customer-verification:GetCustomerVerificationDetails" ], "Resource": "*" }] }
(适用于账单或联系地址在印度的客户)查看、创建和更新客户验证信息
此政策允许IAM用户管理其客户验证信息。
有关各操作的定义,请参阅AWS 账单控制台操作
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "customer-verification:CreateCustomerVerificationDetails", "customer-verification:UpdateCustomerVerificationDetails", "customer-verification:GetCustomerVerificationEligibility", "customer-verification:GetCustomerVerificationDetails" ], "Resource": "*" }] }
在账单控制台中查看AWS Migration Acceleration Program信息
该政策允许IAM用户在账单控制台中查看付款人账户的Migration Acceleration Program协议、积分和符合条件的支出。
有关各操作的定义,请参阅AWS 账单控制台操作。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "mapcredit:ListQuarterSpend", "mapcredit:ListQuarterCredits", "mapcredit:ListAssociatedPrograms" ], "Resource": "*" }] }
