AWS 账单和成本管理
用户指南 (版本 2.0)

Billing and Cost Management 权限参考

此参考总结了Billing and Cost Management中允许的针对每种类型的账单用户的默认操作,以及可应用于 IAM 用户的账单权限。参考还提供了可用于允许或拒绝 IAM 用户访问您的账单信息和工具的策略的示例。

有关 AWS 账户和 IAM 用户的全面讨论,请参阅 IAM 用户指南 中的什么是 IAM?

用户类型和账单权限

此表总结了Billing and Cost Management中允许的针对每种类型的账单用户的默认操作。

用户类型 描述 账单权限
账户所有者

以其名义设置 账户的人员或实体。

  • 对所有Billing and Cost Management资源拥有完全控制权。

  • 接收 AWS 月度费用发票。

IAM 用户

由账户所有者或管理用户定义为账户用户的某个人员或应用程序。账户可以包含多个 IAM 用户。

  • 拥有显式授予该用户或该用户所在组的权限。

  • 可获权查看Billing and Cost Management控制台页面。有关更多信息,请参阅控制访问

  • 无法关闭账户。

组织主账户所有者

与 AWS Organizations 主账户关联的人或实体。主账户为组织中的成员账户产生的 AWS 用量付费。

  • 对于仅供主账户使用的全部Billing and Cost Management资源具有完全控制权。

  • 接收为主账户和成员账户开立的 AWS 月度费用发票。

  • 在主账户的账单报告中,查看成员账户的活动。

组织成员账户所有者

与 AWS Organizations 成员账户关联的人或实体。主账户为组织中的成员账户产生的 AWS 用量付费。

  • 没有权限查看不属于本人账户的任何使用报告或账户活动。无法访问组织中其他成员账户或主账户的使用率报告或账户活动。

  • 没有权限查看账单报告。

  • 具有只为自己的账户更新账户信息的权限。无法访问其他成员账户或主账户。

注意

有关组织主账户和成员账户的更多信息,请参阅 AWS Organizations 用户指南

计费操作

此表总结了允许或拒绝 IAM 用户访问您的账单信息和工具的权限。有关使用这些权限的策略示例,请参阅Billing and Cost Management 策略示例

重要

自 2019 年 8 月 19 日起,cur:DescribeReportDefinitionscur:PutReportDefinitioncur:DeleteReportDefinition 权限将适用于所有使用 AWS Cost and Usage Report API 和 Billing and Cost Management 控制台创建的报告。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。

权限名称 描述

aws-portal:ViewBilling

允许或拒绝 IAM 用户查看 Billing and Cost Management 控制台页面的权限:

aws-portal:ModifyBilling

允许或拒绝 IAM 用户修改以下Billing and Cost Management控制台页面的权限:

要允许 IAM 用户修改这些控制台页面,您必须同时允许 ModifyBillingViewBilling。有关策略示例,请参阅示例 6:允许 IAM 用户修改账单信息

aws-portal:ViewAccount

允许或拒绝 IAM 用户查看以下Billing and Cost Management控制台页面的权限:

aws-portal:ModifyAccount

允许或拒绝 IAM 用户修改账户设置的权限。

要允许 IAM 用户修改账户设置,您必须同时允许 ModifyAccountViewAccount

有关明确拒绝 IAM 用户访问账户设置控制台页面的策略的示例,请参阅示例 8:拒绝访问“Account Settings”,但允许完全访问所有其他账单和使用率信息

budgets:ViewBudget

允许或拒绝 IAM 用户查看预算的权限。

要允许 IAM 用户查看预算,您还必须允许 ViewBilling

budgets:ModifyBudget

允许或拒绝 IAM 用户修改预算的权限。

要允许 IAM 用户查看和修改预算,您还必须允许 ViewBilling

aws-portal:ViewPaymentMethods

允许或拒绝 IAM 用户查看付款方式的权限。

aws-portal:ModifyPaymentMethods

允许或拒绝 IAM 用户修改付款方式的权限。

要允许用户修改付款方式,您必须同时允许 ModifyPaymentMethodsViewPaymentMethods

cur:DescribeReportDefinitions

允许或拒绝 IAM 用户使用 API 查看 AWS Cost and Usage Report的权限。

自 2019 年 8 月 19 日起,此权限将适用于 API 和Billing and Cost Management控制台。

有关策略示例,请参阅示例 10:创建、查看、编辑或删除 AWS Cost and Usage report

cur:PutReportDefinition

允许或拒绝 IAM 用户创建 AWS Cost and Usage Report的权限。

自 2019 年 8 月 19 日起,此权限将适用于 API 和Billing and Cost Management控制台。

有关策略示例,请参阅示例 10:创建、查看、编辑或删除 AWS Cost and Usage report

cur:DeleteReportDefinition

允许或拒绝 IAM 用户使用 API 删除 AWS Cost and Usage Report的权限。

自 2019 年 8 月 19 日起,此权限将适用于 API 和Billing and Cost Management控制台。

有关策略示例,请参阅示例 10:创建、查看、编辑或删除 AWS Cost and Usage report

cur:ModifyReportDefinition

允许或拒绝 IAM 用户使用 API 修改 AWS Cost and Usage Report 的权限。

此权限适用于 API 和 Billing and Cost Management 控制台。

有关策略示例,请参阅示例 10:创建、查看、编辑或删除 AWS Cost and Usage report

aws-portal:ViewUsage

允许或拒绝 IAM 用户查看 AWS 使用率报告的权限。

要允许 IAM 用户查看使用率报告,您必须同时允许 ViewUsageViewBilling

有关策略示例,请参阅示例 2:允许 IAM 用户访问“报告”控制台页面

pricing:DescribeServices

允许或拒绝 IAM 用户通过 AWS 价目表服务 API 查看 AWS 服务产品和定价的权限。

要允许 IAM 用户使用 AWS 价目表服务 API,您必须允许 DescribeServicesGetAttributeValuesGetProducts

有关策略示例,请参阅示例 11:查找产品和价格

pricing:GetAttributeValues

允许或拒绝 IAM 用户通过 AWS 价目表服务 API 查看 AWS 服务产品和定价的权限。

要允许 IAM 用户使用 AWS 价目表服务 API,您必须允许 DescribeServicesGetAttributeValuesGetProducts

有关策略示例,请参阅示例 11:查找产品和价格

pricing:GetProducts

允许或拒绝 IAM 用户通过 AWS 价目表服务 API 查看 AWS 服务产品和定价的权限。

要允许 IAM 用户使用 AWS 价目表服务 API,您必须允许 DescribeServicesGetAttributeValuesGetProducts

有关策略示例,请参阅示例 11:查找产品和价格

账单区域操作

下表总结了允许或拒绝 IAM 用户启用或禁用 AWS 区域或显示区域列表及其当前状态的权限。有关使用这些权限的策略示例,请参阅管理 AWS 账户

权限名称 描述
account:EnableRegion 允许或拒绝用户启用区域的权限。
account:DisableRegion 允许或拒绝用户禁用区域的权限。
account:ListRegions 允许用户列出所有区域以及当前的启用或禁用状态。

Billing and Cost Management 策略示例

本主题包含几个示例策略,您可以将它们附加到您的 IAM 用户或组以控制对您的账户的账单信息和工具的访问权限。以下基本规则适用于Billing and Cost Management的 IAM 策略:

  • Version 始终为 2012-10-17

  • Effect 始终为 AllowDeny.

  • Action 是操作的名称或通配符 (*)。

    对于控制台,中国的操作前缀为 awsbillingconsole。其他任何国家/地区的操作前缀为 aws-portal

    操作前缀为 budgets(对于 AWS Budgets)、cur(对于 AWS 成本和使用率报告)aws-portal(对于 AWS Billing)或 ce(对于 成本管理器)。

  • 对于 AWS Billing,Resource 始终为 *

    对于在 budget 资源上执行的操作,请指定预算 Amazon 资源名称 (ARN)。

  • 一个策略中可能包含多个语句。

注意

这些策略要求您在账户设置控制台页面上激活 IAM 用户对Billing and Cost Management控制台的访问权限。有关更多信息,请参阅激活对Billing and Cost Management控制台的访问权限

示例 1:允许 IAM 用户查看您的账单信息

要允许某个 IAM 用户查看您的账单信息而不向该 IAM 用户提供对敏感账户信息(如您的密码和账户活动报告)的访问权限,请使用类似于以下示例策略的策略。此策略允许 IAM 用户查看以下Billing and Cost Management控制台页面,而不会向他们提供对账户设置报告控制台页面的访问权限:

  • 控制面板

  • 成本管理器

  • 账单

  • 订单和发票

  • 整合账单

  • Preferences

  • Credits

  • Advance Payment

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:ViewBilling", "Resource": "*" } ] }

示例 2:允许 IAM 用户访问“报告”控制台页面

要允许 IAM 用户访问报告控制台页面和查看包含账户活动信息的使用率报告,请使用类似于此示例策略的策略。

有关各操作的定义,请参阅计费操作

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:ViewUsage", "aws-portal:ViewBilling", "cur:DescribeReportDefinitions", "cur:PutReportDefinition", "cur:DeleteReportDefinition", "cur:ModifyReportDefinition" ], "Resource": "*" } ] }

示例 3:拒绝 IAM 用户对Billing and Cost Management控制台的访问权限

要显式拒绝 IAM 用户访问所有Billing and Cost Management控制台页面,请使用类似于此示例策略的策略。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "aws-portal:*", "Resource": "*" } ] }

示例 4:允许完全访问 AWS 服务但拒绝 IAM 用户访问Billing and Cost Management控制台

要拒绝 IAM 用户访问 Billing and Cost Management 控制台上的所有内容,请使用以下策略。在这种情况下,您还应拒绝用户访问 AWS Identity and Access Management (IAM),这样,用户就无法访问控制对账单信息和工具的访问权限的策略。

重要

该策略不允许进行任何操作。可将此策略与允许特定操作的其他策略结合使用。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } ] }

示例 5:允许 IAM 用户查看Billing and Cost Management控制台(“账户设置”除外)

此策略允许对所有Billing and Cost Management控制台进行只读访问,包括付款方式报告控制台页面,但拒绝访问账户设置页面,从而保护账户密码、联系信息和安全问题。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:View*", "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }

示例 6:允许 IAM 用户修改账单信息

要允许 IAM 用户在Billing and Cost Management控制台中修改账户账单信息,您还必须允许 IAM 用户查看您的账单信息。以下策略示例允许 IAM 用户修改整合账单首选项服务抵扣金额控制台页面。它还允许 IAM 用户查看以下Billing and Cost Management控制台页面:

  • 控制面板

  • 成本管理器

  • 账单

  • 订单和发票

  • 预付款

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:*Billing", "Resource": "*" } ] }

示例 7:允许 IAM 用户创建预算

要允许 IAM 用户在Billing and Cost Management控制台中创建预算,您还必须允许 IAM 用户查看您的账单信息、创建 CloudWatch 警报和创建 Amazon SNS 通知。以下策略示例允许 IAM 用户修改预算控制台页面。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1435216493000", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "aws-portal:ModifyBilling", "budgets:ViewBudget", "budgets:ModifyBudget" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216514000", "Effect": "Allow", "Action": [ "cloudwatch:*" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216552000", "Effect": "Allow", "Action": [ "sns:*" ], "Resource": [ "arn:aws:sns:us-east-1" ] } ] }

示例 8:拒绝访问“Account Settings”,但允许完全访问所有其他账单和使用率信息

要保护您的账户密码、联系信息和安全问题,您可以拒绝 IAM 用户访问账户设置,同时仍允许完全访问Billing and Cost Management控制台中的其余功能,如以下示例所示。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:*Billing", "aws-portal:*Usage", "aws-portal:*PaymentMethods" ], "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }

示例 9:将报告存入 Amazon S3 存储桶

以下策略允许Billing and Cost Management将您的详细 AWS 账单保存到 Amazon S3 存储桶,只要您同时拥有 AWS 账户和 Amazon S3 存储桶。请注意,此策略必须应用于 Amazon S3 存储桶而不是 IAM 用户。也就是说,它是一种基于资源的策略,而不是基于用户的策略。您应拒绝 IAM 用户访问无需访问您的账单的 IAM 用户的存储桶。

bucketname 替换为您的存储桶的名称。

有关更多信息,请参阅使用存储桶策略和用户策略

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": [ "s3:GetBucketAcl", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::bucketname" }, { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucketname/*" } ] }

示例 10:创建、查看、编辑或删除 AWS Cost and Usage report

此策略允许 IAM 用户使用 API 创建、查看、编辑或删除 sample-report

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageSampleReport", "Action": [ "cur:PutReportDefinition", "cur:DeleteReportDefinition" "cur:ModifyReportDefinition" ], "Resource": "arn:aws:cur:*:123456789012:definition/sample-report" }, { "Sid": "DescribeReportDefs", "Effect": "Allow", "Action": "cur:DescribeReportDefinitions", "Resource": "*" } ] }

示例 11:查找产品和价格

要允许 IAM 用户使用 AWS 价目表服务 API,请使用以下策略授予他们访问权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "pricing:DescribeServices", "pricing:GetAttributeValues", "pricing:GetProducts" ], "Resource": [ "*" ] } ] }

示例 12:查看费用和使用量

要允许 IAM 用户使用 AWS 成本管理器 API,请使用以下策略授予他们访问权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:*" ], "Resource": [ "*" ] } ] }

示例 13:启用和禁用区域

有关允许用户启用和禁用区域的示例 IAM 策略,请参阅 IAM 用户指南 中的 AWS:允许启用和禁用 AWS 区域