本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用基于身份的策略(IAM 策略)进行成本管理 AWS
注意
以下 AWS Identity and Access Management (IAM) 操作已于 2023 年 7 月结束标准支持:
-
aws-portal命名空间 -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
如果您正在使用 AWS Organizations,则可以使用批量策略迁移程序脚本从您的付款人账户更新政策。您还可以使用旧到精细操作映射参考来验证需要添加的 IAM 操作。
有关更多信息,请参阅AWS 账单、 AWS 成本管理和账户控制台权限变
如果您在 2023 年 3 月 6 日上午 11:00(太平洋夏令时)当天或之后 AWS Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 AWS 账户
本主题提供了基于身份的策略的示例,这些示例展示了账户管理员如何将权限策略附加到 IAM 身份(即用户、组和角色),从而授予对账单和成本管理资源执行操作的权限。
有关 AWS 账户和用户的完整讨论,请参阅什么是 IAM? 在 IAM 用户指南中。
有关如何能更新客户管理型策略的说明,请参阅 IAM 用户指南中的编辑客户管理型策略(控制台)。
Billing and Cost Management 操作策略
此表总结了允许或拒绝 用户访问您的账单信息和工具的权限。有关使用这些权限的策略示例,请参阅AWS 成本管理政策示例。
有关账单控制台操作策略的列表,请参阅账单用户指南中的账单操作策略。
| 权限名称 | 描述 |
|---|---|
|
|
允许或拒绝用户查看以下账单和成本管理控制台页面的权限。有关策略示例,请参阅账单用户指南中的允许 IAM 用户查看您的账单信息。 |
aws-portal:ViewUsage |
允许或拒绝用户查看 AWS 使用情况报告的 要允许用户查看使用率报告,您必须同时允许 有关策略示例,请参阅账单用户指南中的允许 IAM 用户访问报告控制台页面。 |
|
|
允许或拒绝 用户修改以下账单和成本管理控制台页面的权限: 要允许用户修改这些控制台页面,您必须同时允许 |
|
|
允许或拒绝 用户查看以下账单和成本管理控制台页面的权限: |
aws-portal:ModifyAccount |
允许或拒绝用户修改账户设置 要允许用户修改账户设置,您必须同时允许 有关显式拒绝、用户访问账户设置控制台页面的策略的示例,请参阅 拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息。 |
budgets:ViewBudget |
允许或拒绝用户查看预算 要允许用户查看预算,您还必须允许 |
budgets:ModifyBudget |
允许或拒绝用户修改预算 要允许用户查看和修改预算,您还必须允许 |
ce:GetPreferences |
允许或拒绝用户查看 Cost Explorer 首选项页面的权限。 有关策略示例,请参阅查看和更新 Cost Explorer 首选项页面。 |
ce:UpdatePreferences |
允许或拒绝用户更新 Cost Explorer 首选项页面的权限。 有关策略示例,请参阅查看和更新 Cost Explorer 首选项页面。 |
ce:DescribeReport |
允许或拒绝用户查看 Cost Explorer 报告页面的权限。 有关策略示例,请参阅使用 Cost Explorer 报告页面查看、创建、更新和删除。 |
ce:CreateReport |
允许或拒绝用户使用 Cost Explorer 报告页面创建报告的权限。 有关策略示例,请参阅使用 Cost Explorer 报告页面查看、创建、更新和删除。 |
ce:UpdateReport |
允许或拒绝用户使用 Cost Explorer 报告页面更新的权限。 有关策略示例,请参阅使用 Cost Explorer 报告页面查看、创建、更新和删除。 |
ce:DeleteReport |
允许或拒绝用户使用 Cost Explorer 报告页面删除报告的权限。 有关策略示例,请参阅使用 Cost Explorer 报告页面查看、创建、更新和删除。 |
ce:DescribeNotificationSubscription |
允许或拒绝用户在预留概览页面中查看 Cost Explorer 预留到期提醒的权限。 有关策略示例,请参阅查看、创建、更新和删除预留和 Savings Plans 提醒。 |
ce:CreateNotificationSubscription |
允许或拒绝用户在预留概览页面中创建 Cost Explorer 预留到期提醒的权限。 有关策略示例,请参阅查看、创建、更新和删除预留和 Savings Plans 提醒。 |
ce:UpdateNotificationSubscription |
允许或拒绝用户在预留概览页面中更新 Cost Explorer 预留到期提醒的权限。 有关策略示例,请参阅查看、创建、更新和删除预留和 Savings Plans 提醒。 |
ce:DeleteNotificationSubscription |
允许或拒绝用户在预留概览页面中删除 Cost Explorer 预留到期提醒的权限。 有关策略示例,请参阅查看、创建、更新和删除预留和 Savings Plans 提醒。 |
ce:CreateCostCategoryDefinition |
允许或拒绝 用户创建成本类别的权限。 有关策略示例,请参阅账单用户指南中的查看和管理成本类别。 在此期间,您可以将资源标签添加到监控 |
ce:DeleteCostCategoryDefinition |
允许或拒绝 用户删除成本类别的权限。 有关策略示例,请参阅账单用户指南中的查看和管理成本类别。 |
ce:DescribeCostCategoryDefinition |
允许或拒绝 用户查看成本类别的权限。 有关策略示例,请参阅账单用户指南中的查看和管理成本类别。 |
ce:ListCostCategoryDefinitions |
允许或拒绝 用户列出成本类别的权限。 有关策略示例,请参阅账单用户指南中的查看和管理成本类别。 |
ce:ListTagsForResource |
允许或拒绝用户列出给定资源的所有资源标签的权限。有关支持的资源列表,请参阅 AWS Billing and Cost Management API 参考ResourceTag中的。 |
ce:UpdateCostCategoryDefinition |
允许或拒绝 用户更新成本类别的权限。 有关策略示例,请参阅账单用户指南中的查看和管理成本类别。 |
ce:CreateAnomalyMonitor |
允许或拒绝用户创建单个 AWS 成本异常情况检测 监控的权限。在此期间,您可以将资源标签添加到监控 |
ce:GetAnomalyMonitors |
允许或拒绝用户查看所有 AWS 成本异常情况检测监控的权限。 |
ce:UpdateAnomalyMonitor |
允许或拒绝用户更新 AWS 成本异常情况检测监控的权限。 |
ce:DeleteAnomalyMonitor |
允许或拒绝用户删除 AWS 成本异常情况检测监控的权限。 |
ce:CreateAnomalySubscription |
允许或拒绝用户创建单个 AWS 成本异常情况检测订阅的权限。您可以在此期间为订阅添加资源标签 |
ce:GetAnomalySubscriptions |
允许或拒绝用户查看所有 AWS 成本异常情况检测订阅的权限。 |
ce:UpdateAnomalySubscription |
允许或拒绝用户更新 AWS 成本异常情况检测订阅的权限。 |
ce:DeleteAnomalySubscription |
允许或拒绝用户删除 AWS 成本异常情况检测订阅的权限。 |
ce:GetAnomalies |
允许或拒绝用户在 AWS 成本异常情况检测中查看所有异常的权限。 |
ce:ProvideAnomalyFeedback |
允许或拒绝用户为检测到的 AWS 成本异常情况检测提供反馈的权限。 |
ce:TagResource |
允许或拒绝用户向资源添加资源标签键值对的权限。有关支持的资源列表,请参阅 AWS Billing and Cost Management API 参考ResourceTag中的。 |
ce:UntagResource |
允许或拒绝用户从资源中删除资源标签的权限。有关支持的资源列表,请参阅 AWS Billing and Cost Management API 参考ResourceTag中的。 |
托管策略
注意
以下 AWS Identity and Access Management (IAM) 操作已于 2023 年 7 月结束标准支持:
-
aws-portal命名空间 -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
如果您正在使用 AWS Organizations,则可以使用批量策略迁移程序脚本从您的付款人账户更新政策。您还可以使用旧到精细操作映射参考来验证需要添加的 IAM 操作。
有关更多信息,请参阅AWS 账单、 AWS 成本管理和账户控制台权限变
如果您在 2023 年 3 月 6 日上午 11:00(太平洋夏令时)当天或之后 AWS Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 AWS 账户
托管策略是基于身份的独立策略,您可以将其附加到账户 AWS 中的多个用户、群组和角色。在 Billing and Billing and Cost Management 中,您可以使用 AWS 托管策略来控制访问权限。
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限。 AWS 与必须自己编写策略相比,托管策略使您可以更轻松地为用户、组和角色分配适当的权限。
您无法更改 AWS 托管策略中定义的权限。 AWS 偶尔会更新 AWS 托管策略中定义的权限。当发生此情况时,更新会影响策略附加到的所有委托人实体(用户、组和角色)。
Billing and Cost Managem AWS ent 为常见用例提供了多种托管策略。
主题
允许完全访问 AWS 预算,包括预算操作
托管策略名称:AWSBudgetsActionsWithAWSResourceControlAccess
此托管策略以用户为重点,确保您拥有适当的权限,可以授予 AWS 预算执行已定义操作的权限。此政策提供对 AWS 预算(包括预算操作)的完全访问权限,以检索您的政策状态并使用管理 AWS 资源 AWS Management Console。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "budgets:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "budgets.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "aws-portal:ModifyBilling", "ec2:DescribeInstances", "iam:ListGroups", "iam:ListPolicies", "iam:ListRoles", "iam:ListUsers", "organizations:ListAccounts", "organizations:ListOrganizationalUnitsForParent", "organizations:ListPolicies", "organizations:ListRoots", "rds:DescribeDBInstances", "sns:ListTopics" ], "Resource": "*" } ] }
允许对 AWS 预算进行只读访问
托管策略名称:AWSBudgetsReadOnlyAccess
此托管策略允许通过对 AWS 预算进行只读访问 AWS Management Console。该策略可以附加到您的用户、群组和角色。
{ "Version" : "2012-10-17", "Statement" : [ { "Sid": "AWSBudgetsReadOnlyAccess", "Effect" : "Allow", "Action" : [ "aws-portal:ViewBilling", "budgets:ViewBudget", "budgets:Describe*" "budgets:ListTagsForResource" ], "Resource" : "*" } ] }
允许控制 AWS 资源
托管策略名称:AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM
此托管政策侧重于 Budg AWS ets 在完成特定操作时代表您采取的具体行动。此策略授予控制 AWS 资源的权限。例如,通过运行 S AWS ystems Manager (SSM) 脚本来启动和停止 Amazon EC2 或 Amazon RDS 实例。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "ssm.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ssm:StartAutomationExecution" ], "Resource": [ "arn:aws:ssm:*:*:automation-definition/AWS-StartEC2Instance:*", "arn:aws:ssm:*:*:automation-definition/AWS-StopEC2Instance:*", "arn:aws:ssm:*:*:automation-definition/AWS-StartRdsInstance:*", "arn:aws:ssm:*:*:automation-definition/AWS-StopRdsInstance:*" ] } ] }
允许成本优化中心调用使服务正常运行所需的服务
托管策略名称:CostOptimizationHubServiceRolePolicy
允许成本优化中心检索组织信息并收集与优化相关的数据和元数据。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AwsOrgsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListParents", "organizations:DescribeOrganizationalUnit" ], "Resource": [ "*" ] }, { "Sid": "AwsOrgsScopedAccess", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringLikeIfExists": { "organizations:ServicePrincipal": [ "cost-optimization-hub.bcm.amazonaws.com" ] } } }, { "Sid": "CostExplorerAccess", "Effect": "Allow", "Action": [ "ce:ListCostAllocationTags", "ce:GetCostAndUsage" ], "Resource": [ "*" ] } ] }
有关更多信息,请参阅成本优化中心的服务相关角色。
允许对成本优化中心进行只读访问
托管策略名称:CostOptimizationHubReadOnlyAccess
此托管策略提供对成本优化中心的只读访问权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CostOptimizationHubReadOnlyAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:ListEnrollmentStatuses", "cost-optimization-hub:GetPreferences", "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries" ], "Resource": "*" } ] }
允许管理员访问成本优化中心
托管策略名称:CostOptimizationHubAdminAccess
此托管策略为管理员提供对成本优化中心的访问权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CostOptimizationHubAdminAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:ListEnrollmentStatuses", "cost-optimization-hub:UpdateEnrollmentStatus", "cost-optimization-hub:GetPreferences", "cost-optimization-hub:UpdatePreferences", "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries", "organizations:EnableAWSServiceAccess" ], "Resource": "*" }, { "Sid": "AllowCreationOfServiceLinkedRoleForCostOptimizationHub", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/cost-optimization-hub.bcm.amazonaws.com/AWSServiceRoleForCostOptimizationHub" ], "Condition": { "StringLike": { "iam:AWSServiceName": "cost-optimization-hub.bcm.amazonaws.com" } } }, { "Sid": "AllowAWSServiceAccessForCostOptimizationHub", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringLike": { "organizations:ServicePrincipal": [ "cost-optimization-hub.bcm.amazonaws.com" ] } } } ] }
允许使用拆分成本分配数据来呼叫使服务正常运行所需的服务
托管策略名称:SplitCostAllocationDataServiceRolePolicy
允许拆分成本分配数据检索 AWS Organizations 信息(如果适用),并收集客户选择加入的分割成本分配数据服务的遥测数据。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AwsOrganizationsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListParents" ], "Resource": "*" }, { "Sid": "AmazonManagedServiceForPrometheusAccess", "Effect": "Allow", "Action": [ "aps:ListWorkspaces", "aps:QueryMetrics" ], "Resource": "*" } ] }
有关更多信息,请参阅用于分割成本分配数据的服务相关角色。
允许数据导出访问其他 AWS 服务
托管策略名称:AWSBCMDataExportsServiceRolePolicy
允许数据导出代表您访问其他 AWS 服务,例如成本优化中心。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CostOptimizationRecommendationAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:ListEnrollmentStatuses", "cost-optimization-hub:ListRecommendations" ], "Resource": "*" } ] }
有关更多信息,请参阅用于数据导出的服务关联角色。
AWS 成本管理对 AWS 托管政策的更新
查看有关 AWS 成本管理 AWS 托管政策自该服务开始跟踪这些变更以来这些更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “ AWS 成本管理文档历史记录” 页面上的 RSS feed。
| 更改 | 描述 | 日期 |
|---|---|---|
|
更新现有策略 |
我们更新了政策,添加了organizations:ListDelegatedAdministrators和ce:GetCostAndUsage操作。 |
07/05/2024 |
|
更新现有策略 |
我们更新了政策以添加budgets:ListTagsForResource操作。 |
06/17/2024 |
|
新增一项政策 |
Data Exports 添加了一项用于服务相关角色的新策略,该策略允许访问其他 AWS 服务,例如成本优化中心。 | 06/10/2024 |
|
新增一项政策 |
拆分成本分配数据添加了用于服务相关角色的新策略,该策略允许访问由拆分成本分配数据使用或管理的 AWS 服务和资源。 | 04/16/2024 |
|
更新现有策略 AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM |
我们使用限定范围的权限更新了政策。仅允许对预算ssm:StartAutomationExecution活动使用的特定资源执行此操作。 |
12/14/2023 |
|
更新现有策略 |
成本优化中心更新了以下两个托管策略:
|
12/14/2023 |
|
新增一项政策 |
成本优化中心添加了一项用于服务相关角色的新策略,该策略允许访问成本优化中心使用或管理的 AWS 服务和资源。 | 11/02/2023 |
| AWS 成本管理部门开始跟踪变更 | AWS 成本管理部门开始跟踪其 AWS 托管政策的变更 | 11/02/2023 |
