遷移 AWS Billing的存取控制

注意

下列 AWS Identity and Access Management (IAM) 行動已於 2023 年 7 月終止標準支援：

aws-portal 命名空間
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

如果您使用的是 AWS Organizations，您可以使用大量政策移轉程式指令碼或大量政策移轉工具來更新付款人帳戶中的政策。也可以使用舊動作至精細動作對應參考來確認需要新增的 IAM 動作。

如果您在 2023 年 3 月 6 日 AWS 帳戶，上午 11:00 (太平洋時間) 或之後 AWS Organizations 建立，或屬於建立的一部分，則細微動作已在您的組織中生效。

您可以使用精細的存取控制，為組織中的個人提供 AWS Billing and Cost Management 服務存取權。例如，您可以在不提供帳單和成本管理主控台存取權的情況下，提供 Cost Explorer 的存取權。

若要使用精細存取控制，您需要將政策從 aws-portal 下遷移至新的 IAM 動作。

您的許可政策或服務控制政策 (SCP) 中的下列 IAM 動作需要透過此遷移進行更新：

aws-portal:ViewAccount
aws-portal:ViewBilling
aws-portal:ViewPaymentMethods
aws-portal:ViewUsage
aws-portal:ModifyAccount
aws-portal:ModifyBilling
aws-portal:ModifyPaymentMethods
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

若要了解如何使用 Affected policies (受影響的政策) 工具來識別受影響的 IAM 政策，請參閱如何使用受影響的政策工具。

注意

API 存取 AWS Cost Explorer、成 AWS 本和用量報告以及 AWS 預算不受影響。

啟用 Billing and Cost Management 主控台的存取權保持不變。

主題

管理存取許可

AWS Billing 與 AWS Identity and Access Management (IAM) 服務整合，讓您可以控制組織中哪些人可以存取 B illing and Cost Management 主控台上的特定頁面。這包括付款、帳單、抵用金、免費方案、付款偏好設定、合併帳單、稅務設定和帳戶頁面等功能。

使用下列 IAM 許可對帳單和成本管理主控台進行精細控制。

若要提供精細存取權，請用 account、billing、payments、freetier、invoicing、tax 和 consolidatedbilling 取代 aws-portal 政策。

此外，用 purchase-orders、account 和 payments 下的精細動作取代 purchase-orders:ViewPurchaseOrders 和 purchase-orders:ModifyPurchaseOrders。

使用細粒度 AWS Billing 動作

下表摘要說明允許或拒絕 IAM 使用者和角色存取帳單資訊的許可。如需使用這些許可的政策範例，請參閱 AWS 帳單政策範例。

如需 AWS Cost Management 控制台的動作清單，請參閱《AWS Cost Management 使用指南》中的處理AWS Cost Management 行動策略。

帳單和成本管理主控台中的功能名稱	IAM 動作	描述
帳單首頁	`account:GetAccountInformation` `billing:Get` `payments:List` `tax:List*`	准許檢視首頁頁面。這些是唯讀許可。注意這些許可僅適用於主控台。這些許可沒有可用的 API 存取權。
Bills (帳單)	`account:GetAccountInformation` `billing:Get` `consolidatedbilling:Get` `consolidatedbilling:List` `invoicing:List` `payments:List*`	准許檢視帳單頁面。這些是唯讀許可。注意這些許可僅適用於主控台。這些許可沒有可用的 API 存取權。
	`invoicing:Get*`	准許從帳單頁面下載發票。注意此許可僅適用於主控台。此許可沒有可用的 API 存取權。
	`cur:Get*`	准許從帳單頁面下載 CSV 報告。注意此許可僅適用於主控台。此許可沒有可用的 API 存取權。
	`billing:ListBillingViews`	授予檢視所建立之每個 AWS Billing Conductor 帳單群組`ARN`及說明的權限。這是針對特定群組建立報告偏好設定所必需的。注意此許可僅適用於主控台。此許可沒有可用的 API 存取權。
付款	`account:GetAccountInformation` `billing:Get` `payments:Get` `payments:List*`	准許檢視付款頁面。這些是 Payments due (到期付款)、Unapplied funds (未沖銷資金)、Transaction (交易) 及 Advance pay (預付款) 索引標籤的唯讀許可。注意這些許可僅適用於主控台。這些許可沒有可用的 API 存取權。
	`invoicing:Get*`	准許從交易索引標籤下載發票。注意此許可僅適用於主控台。此許可沒有可用的 API 存取權。
	`payments:Update*`	准許使用「預付款」和設定付款詳細資料所需的動作。
	`payments:Make` `invoicing:Get`	准許產生「預付款」資金申請文件並進行付款。
Credits (點數)	`billing:Get*` `account:GetAccountInformation`	准許檢視點數頁面。
Credits (點數)	`billing:RedeemCredits`	准許兌換點數。
Purchase orders (採購訂單)	`account:GetAccountInformation` `account:GetContactInformation` `payments:Get` `payments:List` `purchase-orders:ListPurchaseOrders` `purchase-orders:ListPurchaseOrderInvoices` `tax:ListTaxRegistrations` `consolidatedbilling:GetAccountBillingRole`	准許檢視採購訂單頁面。
	`purchase-orders:GetPurchaseOrder`	准許檢視採購訂單的詳細資訊。
	`purchase-orders:AddPurchaseOrder`	准許新增採購訂單。
	`purchase-orders:DeletePurchaseOrder`	准許刪除採購單。
	`purchase-orders:UpdatePurchaseOrder` `purchase-orders:UpdatePurchaseOrderStatus`	准許更新採購訂單和採訂單狀態。
AWS 成本與用量報告	`cur:GetClassic*` `cur:DescribeReportDefinitions`	授與檢視「AWS 成本與使用量報告」頁面上 AWS CUR 報告清單的權限。注意 `cur:GetClassic*` 許可僅適用於主控台。此許可沒有可用的 API 存取權。
	`billing:ListBillingViews`	授予檢視帳單管理員中 AWS 建立之每個帳單群組`ARN`及描述的權限。這是針對特定群組建立報告偏好設定所必需的。注意此許可僅適用於主控台。此許可沒有可用的 API 存取權。
	`s3:ListAllMyBuckets` `s3:CreateBucket` `s3:PutBucketPolicy` `s3:GetBucketLocation` `cur:Validate*` `cur:PutReportDefinition`	授與建立新 AWS CUR 報表所需的權限動作。注意 `cur:Validate*` 許可僅適用於主控台。這些許可沒有可用的 API 存取權。
	`cur:Validate*` `s3:CreateBucket` `s3:ListAllMyBuckets` `s3:PutBucketPolicy` `s3:GetBucketLocation` `cur:ModifyReportDefinition`	授與編輯 AWS CUR 定義的權限。注意 `cur:Validate*` 許可僅適用於主控台。這些許可沒有可用的 API 存取權。
	`cur:DeleteReportDefinition`	授與刪除 AWS CUR 報告的權限。
	`cur:GetUsage*`	准許下載用量報告。
	`sustainability:GetCarbonFootprintSummary`	准許檢視 AWS 帳戶的永續發展資料。
成本類別	`account:GetAccountInformation` `ce:ListCostCategoryDefinitions` `ce:DescribeCostCategoryDefinition` `ce:GetCostAndUsage` `ce:ListTagsForResource` `consolidatedbilling:GetAccountBillingRole`	准許檢視成本類別。注意 `account:GetAccountInformation` 許可僅適用於主控台。這些許可沒有可用的 API 存取權。
	`billing:Get` `ce:TagResource` `ce:ListCostAllocationTags` `consolidatedbilling:List` `ce:CreateCostCategoryDefinition` `pricing:DescribeServices` `ce:GetDimensionValues` `ce:GetTags`	准許建立成本類別。注意 `billing:Get` 和 `consolidatedbilling:List` 許可僅適用於主控台。這些許可沒有可用的 API 存取權。
	`ce:UpdateCostCategoryDefinition` `ce:UntagResource`	准許修改成本類別。
	`ce:DeleteCostCategoryDefinition`	准許刪除成本類別。
成本分配標籤	`account:GetAccountInformation` `ce:ListCostAllocationTags` `consolidatedbilling:GetAccountBillingRole`	准許檢視成本分配標籤。
成本分配標籤	`ce:UpdateCostAllocationTagsStatus`	准許啟用或停用成本分配標籤。
AWS Budgets	`budgets:ViewBudget` `budgets:DescribeBudgetActionsForBudget` `budgets:DescribeBudgetAction` `budgets:DescribeBudgetActionsForAccount` `budgets:DescribeBudgetActionHistories`	准許檢視预算頁面。
AWS Budgets	`budgets:CreateBudgetAction` `budgets:ExecuteBudgetAction` `budgets:DeleteBudgetAction` `budgets:UpdateBudgetAction` `budgets:ModifyBudget`	准許建立、刪除和修改預算和預算動作。
免費方案	`billing:Get` `freetier:Get`	准許檢視免費方案用量限制和每月迄今用量狀態。
Billing preferences (帳單偏好設定)	`account:GetAccountInformation` `billing:Get` `consolidatedbilling:Get` `consolidatedbilling:List` `cur:GetClassic` `cur:Validate` `freetier:Get` `invoicing:Get*`	准許檢視帳單偏好設定頁面所有區段所需的動作。注意這些許可僅適用於主控台。這些許可沒有可用的 API 存取權。
Billing preferences (帳單偏好設定)	`billing:Update` `freetier:Put` `cur:PutClassic` `s3:ListAllMyBuckets` `s3:CreateBucket` `s3:PutBucketPolicy` `s3:GetBucketLocation` `invoicing:Put`	准許在帳單偏好設定頁面做出下列變更：開啟或關閉「抵用金分享至 RI」或「Savings Plans 折扣分享」設定 Free Tier Usage Alert (免費方案用量提醒) 偏好設定設定 detailed billing reports (詳細的帳單報告) 傳送設定和偏好設定設定或更新 PDF invoice by email (透過電子郵件傳送 PDF 發票) 偏好設定注意 `billing:Update`、`freetier:Put`、`cur:PutClassic*` 許可僅適用於主控台。這些許可沒有可用的 API 存取權。
付款偏好設定	`account:GetAccountInformation` `billing:Get` `payments:GetPaymentInstrument` `payments:List` `payments:GetPaymentStatus`	准許檢視付款偏好設定頁面。注意這些許可僅適用於主控台。這些許可沒有可用的 API 存取權。
	`payments:Update` `payments:Make` `payments:CreatePaymentInstrument` `payments:DeletePaymentInstrument`	准許建立或更新付款方式。注意僅在付款卡需要求多重要素驗證 (MFA) 的情況下才會要求 `payments:Make*`。
	`tax:PutTaxRegistration` `tax:Delete*` `payments:UpdatePaymentPreferences` `payments:CreatePaymentInstrument`	准許更新或刪除稅務登記號碼。
	`payments:Update*`	准許更新付款設定檔。注意此許可僅適用於主控台。此許可沒有可用的 API 存取權。
Tax settings (稅務設定)	`tax:List` `tax:Get`	准許檢視稅務設定。
	`tax:BatchPut*`	准許更新稅務設定所需的動作。
	`tax:Put*`	准許設定稅務繼承。
	`tax:UpdateExemptions` `support:CreateCase` `support:AddAttachmentsToSet`	准許更新稅金豁免。
帳戶	`account:Get` `account:List` `billing:Get` `payments:List`	准許檢視帳戶設定。注意 `billing:Get*` 許可僅適用於主控台。此許可沒有可用的 API 存取權。
	`account:CloseAccount`	授予關閉權限 AWS 帳戶。注意此許可僅適用於主控台。此許可沒有可用的 API 存取權。
	`account:DisableRegion`	授予關閉「帳戶」頁面上某個 AWS 區域的權限。
	`account:EnableRegion`	授予開啟 [帳戶] 頁面上某個 AWS 區域的權限。
	`account:PutAlternateContact`	准許寫入帳戶的替代聯絡人。
	`account:PutChallengeQuestions`	准許設定帳戶的安全質詢問題。注意此許可僅適用於主控台。此許可沒有可用的 API 存取權。
	`account:PutContactInformation`	准許設定或寫入帳戶的主要聯絡人資訊 (包括地址) 所需的動作。
	`billing:PutContractInformation`	准許設定帳戶合約資訊 (如果帳戶用於服務公共部門客戶)。可提取的資訊包括最終使用者組織名稱、合約編號及採購訂單編號。注意此許可僅適用於主控台。此許可沒有可用的 API 存取權。
	`billing:Update*`	准許在帳戶頁面開啟或關閉啟用 IAM 存取權設定所需的動作。
	`payments:Update*`	准許設定預付款、貨幣偏好設定、帳單聯絡人詳細資料和地址，以及付款條件與條件。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

AWS 帳單政策範例

大量遷移您的政策