本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
基于身份的政策 AWS Billing
默认情况下,用户和角色无权创建或修改账单资源。他们也无法使用来执行任务 AWS Management Console, AWS Command Line Interface (AWS CLI),或 AWS API。要授予用户对其所需资源执行操作的权限,IAM管理员可以创建IAM策略。然后,管理员可以将IAM策略添加到角色中,用户可以代入这些角色。
要了解如何使用这些示例策略文档创建IAM基于身份的JSON策略,请参阅IAM用户指南中的创建IAM策略。
有关 Billing 定义的操作和资源类型(包括每种资源类型的格式)的详细信息,请参阅操作、资源和条件密钥 ARNs AWS服务授权参考中的账单。
策略最佳实践
基于身份的政策决定了某人是否可以在您的账户中创建、访问或删除账单资源。这些操作可能会使您付出代价 AWS 账户。 创建或编辑基于身份的策略时,请遵循以下准则和建议:
-
开始使用 AWS 托管策略并转向最低权限权限 — 要开始向您的用户和工作负载授予权限,请使用 AWS 为许多常见用例授予权限的托管策略。它们在你的 AWS 账户。 我们建议您通过定义来进一步减少权限 AWS 特定于您的用例的客户托管政策。有关更多信息,请参阅 AWS 托管策略或 AWS 《IAM用户指南》中工作职能的托管策略。
-
应用最低权限权限-使用IAM策略设置权限时,仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为最低权限许可。有关使用应用权限IAM的更多信息,请参阅《IAM用户指南》IAM中的策略和权限。
-
使用IAM策略中的条件进一步限制访问权限-您可以在策略中添加条件以限制对操作和资源的访问权限。例如,您可以编写一个策略条件来指定所有请求都必须使用发送SSL。如果通过特定条件使用服务操作,则也可以使用条件来授予对服务操作的访问权限 AWS 服务之外的压缩算法(例如 AWS CloudFormation。 有关更多信息,请参阅《IAM用户指南》中的IAMJSON策略元素:条件。
-
使用 A IAM ccess Analyzer 验证您的IAM策略以确保权限的安全性和功能性 — A IAM ccess Analyzer 会验证新的和现有的策略,以便策略符合IAM策略语言 (JSON) 和IAM最佳实践。IAMAccess Analyzer 提供了 100 多项策略检查和可行的建议,可帮助您制定安全和实用的策略。有关更多信息,请参阅《IAM用户指南》中的 IAMAccess Analyzer 策略验证。
-
需要多因素身份验证 (MFA)-如果您的场景需要IAM用户或 root 用户 AWS 账户,请打开MFA以提高安全性。要要求MFA何时调用API操作,请在策略中添加MFA条件。有关更多信息,请参阅《IAM用户指南》中的配置MFA受保护的API访问权限。
有关中最佳做法的更多信息IAM,请参阅《IAM用户指南》IAM中的安全最佳实践。
使用账单控制台
要访问 AWS 账单控制台,您必须拥有一组最低权限。这些权限必须允许您列出和查看您的账单资源的详细信息 AWS 账户。 如果您创建的基于身份的策略比所需的最低权限更严格,则控制台将无法按预期运行,适用于使用该策略的实体(用户或角色)。
您无需为仅拨打控制台的用户设置最低控制台权限 AWS CLI 或者 AWS API。相反,只允许访问与他们尝试执行的API操作相匹配的操作。
您可以找到访问详细信息,例如启用所需的权限 AWS “账单控制台”、“管理员访问权限” 和 “只读权限AWS 托管策略” 部分。
允许用户查看他们自己的权限
此示例说明如何创建允许IAM用户查看附加到其用户身份的内联和托管策略的策略。此策略包括通过控制台或以编程方式使用控制台完成此操作的权限 AWS CLI 或者 AWS API.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
使用基于身份的账单策略
注意
以下 AWS Identity and Access Management (IAM) 行动已于 2023 年 7 月结束标准支持:
-
aws-portal
命名空间 -
purchase-orders:ViewPurchaseOrders
-
purchase-orders:ModifyPurchaseOrders
如果你正在使用 AWS Organizations,您可以使用批量策略迁移器脚本或批量策略迁移器从您的付款人账户更新政策。您也可以使用从旧到精细的操作映射参考来验证需要添加的IAM操作。
如果你有 AWS 账户,或者是其中的一部分 AWS Organizations 在 2023 年 3 月 6 日上午 11:00 或之后创建,精细操作已在您的组织中生效。PDT
重要
除IAM策略外,您还必须在 “账户设置”
有关更多信息,请参阅以下主题:
使用本节了解基于身份的策略账户管理员如何将权限策略附加到IAM身份(角色和群组),并授予对账单资源执行操作的权限。
有关 AWS 账户 和用户,请参阅 Wh at IsIAM? 在《IAM用户指南》中。
有关如何更新客户托管策略的信息,请参阅《IAM用户指南》中的编辑客户托管策略(控制台)。
AWS 账单控制台操作
下表汇总了授予对账单控制台信息和工具访问权限的权限。有关使用这些权限的策略示例,请参阅AWS 账单政策示例。
有关操作策略的列表 AWS 成本管理控制台,请参阅 AWS 中的成本管理行动政策 AWS 成本管理用户指南。
权限名称 | 描述 |
---|---|
aws-portal:ViewBilling
|
授予查看 Billing and Cost Management 控制台页面的权限。 |
aws-portal:ModifyBilling
|
授予修改以下 Billing and Cost Management 控制台页面的权限: 要允许IAM用户修改这些控制台页面,必须同时允许 |
aws-portal:ViewAccount
|
授予查看 “账户设置” |
aws-portal:ModifyAccount |
授予修改账户设置 要允许IAM用户修改账户设置,必须同时允许 有关明确拒绝IAM用户访问账户设置控制台页面的策略示例,请参阅拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息。 |
aws-portal:ViewPaymentMethods |
授予查看付款方式 |
aws-portal:ModifyPaymentMethods |
授予修改付款方式 要允许用户修改付款方式,您必须同时允许 |
billing:ListBillingViews |
授予获取形式账单组账单信息的权限。这是使用以下方法制作的 AWS 账单页面上的账单指挥员,或 AWS 成本和使用情况报告。 有关查看账单组详细信息的更多信息,请参阅中的查看您的账单组详细信息 AWS 计费指挥用户指南。 |
sustainability:GetCarbonFootprintSummary |
授予查看权限 AWS 客户碳足迹工具和数据。可通过以下网址访问 AWS Billing and Cost Management 控制台的 “成本和使用情况报告” 页面。 有关策略的示例,请参阅允许IAM用户查看您的账单信息和碳足迹报告。 |
cur:DescribeReportDefinitions |
授予查看权限 AWS 成本和使用情况报告。 AWS 成本和使用情况报告权限适用于使用创建的所有报告 AWS 成本和使用情况报告服务API以及 Billing and Cost Management 控制台。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新IAM用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。 有关策略的示例,请参阅允许IAM用户访问报告控制台页面。 |
cur:PutReportDefinition |
授予创建权限 AWS 成本和使用情况报告。 AWS 成本和使用情况报告权限适用于使用创建的所有报告 AWS 成本和使用情况报告服务API以及 Billing and Cost Management 控制台。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新IAM用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。 有关策略的示例,请参阅允许IAM用户访问报告控制台页面。 |
cur:DeleteReportDefinition |
授予删除权限 AWS 成本和使用情况报告。 AWS 成本和使用情况报告权限适用于使用创建的所有报告 AWS 成本和使用情况报告服务API以及 Billing and Cost Management 控制台。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新IAM用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。 有关策略的示例,请参阅创建、查看、编辑或删除 AWS 成本和使用情况报告。 |
cur:ModifyReportDefinition |
授予修改权限 AWS 成本和使用情况报告。 AWS 成本和使用情况报告权限适用于使用创建的所有报告 AWS 成本和使用情况报告服务API以及 Billing and Cost Management 控制台。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新IAM用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。 有关策略的示例,请参阅创建、查看、编辑或删除 AWS 成本和使用情况报告。 |
ce:CreateCostCategoryDefinition |
授予创建成本类别的权限。 有关策略示例,请参阅查看和管理成本类别。 |
ce:DeleteCostCategoryDefinition |
授予删除成本类别的权限。 有关策略示例,请参阅查看和管理成本类别。 |
ce:DescribeCostCategoryDefinition |
授予查看成本类别的权限。 有关策略示例,请参阅查看和管理成本类别。 |
ce:ListCostCategoryDefinitions |
授予列出成本类别的权限。 有关策略示例,请参阅查看和管理成本类别。 |
ce:UpdateCostCategoryDefinition |
授予更新成本类别的权限。 有关策略示例,请参阅查看和管理成本类别。 |
aws-portal:ViewUsage |
授予查看权限 AWS 使用情况报告 要允许IAM用户查看使用情况报告,必须同时允许 有关策略示例,请参阅允许IAM用户访问报告控制台页面。 |
payments:ListTagsForResource |
允许或拒绝IAM用户查看付款方式标签的权限。 |
payments:TagResource |
允许或拒绝IAM用户为付款方式添加标签的权限。 |
payments:UntagResource |
允许或拒绝IAM用户从付款方式中移除标签的权限。 |
payments:ListPaymentInstruments |
允许或拒绝IAM用户列出其注册的付款方式。 |
payments:UpdatePaymentInstrument |
允许或拒绝IAM用户更新其付款方式的权限。 |
pricing:DescribeServices |
授予查看权限 AWS 服务产品和定价通过 AWS 价目表服务API。 允许IAM用户使用 AWS 价目表服务API,您必须允许 有关策略示例,请参阅查找产品和价格。 |
pricing:GetAttributeValues |
授予查看权限 AWS 服务产品和定价通过 AWS 价目表服务API。 允许IAM用户使用 AWS 价目表服务API,您必须允许 有关策略示例,请参阅查找产品和价格。 |
pricing:GetProducts |
授予查看权限 AWS 服务产品和定价通过 AWS 价目表服务API。 允许IAM用户使用 AWS 价目表服务API,您必须允许 有关策略示例,请参阅查找产品和价格。 |
purchase-orders:ViewPurchaseOrders |
授予查看采购订单的权限。 有关策略示例,请参阅查看和管理采购订单。 |
purchase-orders:ModifyPurchaseOrders |
授予修改采购订单的权限。 有关策略示例,请参阅查看和管理采购订单。 |
tax:GetExemptions |
授予通过税务控制台查看免税和免税类型的只读访问权限。 有关策略示例,请参阅允许IAM用户查看美国免税并创建 AWS Support 案件。 |
tax:UpdateExemptions |
授予将免税上传到美国免税控制台的权限。 有关策略示例,请参阅允许IAM用户查看美国免税并创建 AWS Support 案件。 |
support:CreateCase |
授予提交支持案例的权限,这是从免税控制台上传免税信息所必需的。 有关策略示例,请参阅允许IAM用户查看美国免税并创建 AWS Support 案件。 |
support:AddAttachmentsToSet |
授予将免税证书上传到免税控制台所需的支持案例的附加文件的权限。 有关策略示例,请参阅允许IAM用户查看美国免税并创建 AWS Support 案件。 |
customer-verification:GetCustomerVerificationEligibility |
(仅适用于拥有印度账单或联系地址的客户) 授予检索客户验证资格的权限。 |
customer-verification:GetCustomerVerificationDetails |
(仅适用于拥有印度账单或联系地址的客户) 授予检索客户验证数据的权限。 |
customer-verification:CreateCustomerVerificationDetails |
(仅适用于拥有印度账单或联系地址的客户) 授予创建客户验证数据的权限。 |
customer-verification:UpdateCustomerVerificationDetails |
(仅适用于拥有印度账单或联系地址的客户) 授予更新客户验证数据的权限。 |
mapcredit:ListAssociatedPrograms |
授予查看关联内容的权限 Migration Acceleration Program 付款人账户的协议和控制面板。 |
mapcredit:ListQuarterSpend |
授予查看权限 Migration Acceleration Program 付款人账户符合条件的支出。 |
mapcredit:ListQuarterCredits |
授予查看权限 Migration Acceleration Program 付款人账户的积分。 |