以身分識別為基礎的政策，含 AWS

根據預設，使用者和角色沒有建立或修改帳單資源的權限。他們也無法使用 AWS Management Console、 AWS Command Line Interface (AWS CLI) 或執行工作 AWS API。若要授與使用者對所需資源執行動作的權限，IAM管理員可以建立IAM策略。然後，系統管理員可以將IAM原則新增至角色，使用者可以擔任這些角色。

若要瞭解如何使用這些範例原則文件來建立以IAM身分識別為基礎的JSON策略，請參閱使用指南中的IAM建立IAM策略。

如需 [計費] 所定義之動作和資源類型的詳細資訊，包括各ARNs資源類型的格式，請參閱服務授權參考中的 AWS 計費動作、資源和條件索引鍵。

內容

• 政策最佳實務
• 使用帳單主控台
• 允許使用者檢視他們自己的許可
• 使用以身分為基礎的政策進行帳單
  • AWS 帳單主控台動作

政策最佳實務

以身分識別為基礎的政策會決定某人是否可以在您的帳戶中建立、存取或刪除帳單資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時，請遵循下列準則及建議事項：

• 開始使用 AWS 受管原則並邁向最低權限權限 — 若要開始授與使用者和工作負載的權限，請使用可授與許多常見使用案例權限的AWS 受管理原則。它們可用在您的 AWS 帳戶. 建議您透過定義特定於您使用案例的 AWS 客戶管理政策，進一步降低使用權限。如需詳細資訊，請參閱AWS 《IAM使用指南》中針對工作職能的AWS 受管理策略或受管理的策略。

• 套用最低權限權限 — 當您使用原則設定權限時，IAM只授與執行工作所需的權限。為實現此目的，您可以定義在特定條件下可以對特定資源採取的動作，這也稱為最低權限許可。如需有關使用套用權限IAM的詳細資訊，請參閱《使用指南》IAM中的IAM《策略與權限》。

• 使用IAM策略中的條件進一步限制存取 — 您可以在策略中新增條件，以限制對動作和資源的存取。例如，您可以撰寫政策條件，以指定必須使用傳送所有要求SSL。您也可以使用條件來授與服務動作的存取權 (如透過特 AWS 服務定的方式使用) AWS CloudFormation。如需詳細資訊，請參閱《IAM使用指南》中的IAMJSON策略元素：條件。

• 使用 IAM Access Analyzer 驗證您的原IAM則，以確保安全和功能性的權限 — IAM Access Analyzer 會驗證新的和現有的原則，以便原則遵循IAM原則語言 (JSON) 和IAM最佳做法。IAMAccess Analyzer 提供超過 100 項原則檢查和可行的建議，協助您撰寫安全且功能正常的原則。如需詳細資訊，請參閱IAM使IAM用指南中的存取分析器原則驗證。

• 需要多因素驗證 (MFA) — 如果您的案例需要使IAM用者或 root 使用者 AWS 帳戶，請開啟以取得額外MFA的安全性。若要在呼叫API作業MFA時需要，請在原則中新增MFA條件。如需詳細資訊，請參閱《IAM使用指南》中的 ＜ 設定MFA受保護的API存取 ＞。

如需中最佳作法的詳細資訊IAM，請參閱《IAM使用指南》IAM中的「安全性最佳作法」。

使用帳單主控台

若要存取 AWS 帳單主控台，您必須擁有最少一組權限。這些權限必須允許您在 AWS 帳戶. 如果您建立比最基本必要許可更嚴格的身分型政策，則對於具有該政策的實體 (使用者或角色) 而言，主控台就無法如預期運作。

您不需要為只對 AWS CLI 或撥打電話的使用者允許最低主控台權限 AWS API。而是只允許存取符合他們嘗試執行之API作業的動作。

您可以在AWS 受管理政策部分中找到訪問詳細信息，例如啟用 AWS 計費控制台所需的權限，管理員訪問權限和只讀訪問權限。

允許使用者檢視他們自己的許可

此範例顯示如何建立原則，讓使IAM用者檢視附加至其使用者身分識別的內嵌和受管理原則。此原則包含在主控台上或以程式設計方式使用或完成此動作的 AWS CLI 權限 AWS API。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

使用以身分為基礎的政策進行帳單

注意

下列 AWS Identity and Access Management (IAM) 動作已於 2023 年 7 月終止標準支援：

• aws-portal 命名空間

• purchase-orders:ViewPurchaseOrders

• purchase-orders:ModifyPurchaseOrders

如果您使用的是 AWS Organizations，您可以使用大量政策移轉程式指令碼或大量政策移轉工具來更新付款人帳戶中的政策。您還可以使用舊的到細微的操作映射引用來驗證需要添加的IAM操作。

如果您在 2023 年 3 月 6 日 AWS 帳戶，11:00 AM (PDT) 或之後 AWS Organizations 建立，或屬於建立的一部分，則細微動作已在您的組織中生效。

重要

除了IAM政策之外，您還必須在 [帳戶設定] 主控台頁面上授與 [Billing and Cost Management] 主控台的IAM存取權。

如需詳細資訊，請參閱下列主題：

• 啟用 Billing and Cost Management 主控台的存取權

• IAM教學課程：在IAM使用者指南中授予帳單主控台的存取權

使用此區段可查看以身分為基礎的原則帳戶管理員如何將權限原則附加至IAM身分識別 (角色和群組)，以及授與對帳單資源執行作業的權限。

如需 AWS 帳戶 和使用者的詳細資訊，請參閱什麼是IAM？ 在《IAM使用者指南》中。

如需有關如何更新客戶受管政策的資訊，請參閱IAM使用指南中的編輯客戶管理策略 (主控台)。

AWS 帳單主控台動作

此表格總結列出授與帳單主控台資訊和工具存取權的權限。如需使用這些許可的政策範例，請參閱 AWS 帳單政策範例。

如需「 AWS 成本管理」主控台的動作政策清單，請參閱「AWS 成本管理系統使用指南」中的「AWS 成本管理系統」動作政策。

許可名稱	描述
aws-portal:ViewBilling	授與檢視 Billing and Cost Management 主控台頁面的權限。
aws-portal:ModifyBilling	授與修改下列「Billing and Cost Management」主控台頁面的權限： Budgets (預算) Consolidated Billing (合併帳單) Billing preferences (帳單偏好設定) Credits (點數) Tax settings (稅務設定) Payment methods (付款方式) Purchase orders (採購訂單) Cost Allocation Tags (成本分配標籤) 若要允許IAM使用者修改這些主控台頁面，您必須同時允許ModifyBilling和ViewBilling。如需政策範例，請參閱 允許IAM使用者修改帳單資訊。
aws-portal:ViewAccount	授予檢視帳戶設定的權限。
aws-portal:ModifyAccount	授予修改帳戶設定的權限。 若要允許IAM使用者修改帳戶設定，您必須同時允許ModifyAccount和ViewAccount。 如需明確拒絕IAM使用者存取 [帳戶設定] 主控台頁面的原則範例，請參閱拒絕存取帳戶設定，但允許所有其他帳單和用量資訊的完整存取權。
aws-portal:ViewPaymentMethods	授予檢視付款方式的權限。
aws-portal:ModifyPaymentMethods	授予修改付款方式的權限。 若要允許使用者修改付款方式，您必須同時允許 ModifyPaymentMethods 和 ViewPaymentMethods。
billing:ListBillingViews	授予取得專業帳單群組帳單資訊的權限。這是使用 AWS 帳單頁面上的計費指揮，或AWS 成本和用量報告進行。 如需檢視帳單群組詳細資訊的詳細資訊，請參閱 AWS Billing Conductor 使用者指南中的檢視您的帳單群組詳細資訊。
sustainability:GetCarbonFootprintSummary	授予查看 AWS 客戶碳足跡工具和數據的權限。您可以從 [帳單與 AWS 成本管理] 主控台的 [成本和用量報告] 頁面存取此功能。 如需政策的範例，請參閱 允許IAM用戶查看您的帳單信息和碳足跡報告。
cur:DescribeReportDefinitions	授與檢視成 AWS 本和使用量報告的權限。 AWS 「成本和使用量報告」權限適用於使用「成本和用量報告服務」和「帳單API與AWS 成本管理」主控台建立的所有報表。如果您使用 Billing and Cost Management 主控台建立報告，建議您更新使用IAM者的權限。未更新許可會造成使用者無法在主控台報告頁面上檢視、編輯和移除報告。 如需政策的範例，請參閱 允許IAM使用者存取報告主控台頁面。
cur:PutReportDefinition	授與建立成 AWS 本和用量報告的權限。 AWS 「成本和使用量報告」權限適用於使用「成本和用量報告服務」和「帳單API與AWS 成本管理」主控台建立的所有報表。如果您使用 Billing and Cost Management 主控台建立報告，建議您更新使用IAM者的權限。未更新許可會造成使用者無法在主控台報告頁面上檢視、編輯和移除報告。 如需政策的範例，請參閱 允許IAM使用者存取報告主控台頁面。
cur:DeleteReportDefinition	授與刪除 AWS 成本和用量報告的權限。 AWS 「成本和使用量報告」權限適用於使用「成本和用量報告服務」和「帳單API與AWS 成本管理」主控台建立的所有報表。如果您使用 Billing and Cost Management 主控台建立報告，建議您更新使用IAM者的權限。未更新許可會造成使用者無法在主控台報告頁面上檢視、編輯和移除報告。 如需政策的範例，請參閱 建立、檢視、編輯或刪除 AWS 成本和用量報告。
cur:ModifyReportDefinition	授與修改成 AWS 本和用量報告的權限。 AWS 「成本和使用量報告」權限適用於使用「成本和用量報告服務」和「帳單API與AWS 成本管理」主控台建立的所有報表。如果您使用 Billing and Cost Management 主控台建立報告，建議您更新使用IAM者的權限。未更新許可會造成使用者無法在主控台報告頁面上檢視、編輯和移除報告。 如需政策的範例，請參閱 建立、檢視、編輯或刪除 AWS 成本和用量報告。
ce:CreateCostCategoryDefinition	授與建立成本類別的權限。 如需政策範例，請參閱 檢視和管理成本類別。
ce:DeleteCostCategoryDefinition	授與刪除成本類別的權限。 如需政策範例，請參閱 檢視和管理成本類別。
ce:DescribeCostCategoryDefinition	授與檢視成本類別的權限。 如需政策範例，請參閱 檢視和管理成本類別。
ce:ListCostCategoryDefinitions	授與列出成本類別的權限。 如需政策範例，請參閱 檢視和管理成本類別。
ce:UpdateCostCategoryDefinition	授與更新成本類別的權限。 如需政策範例，請參閱 檢視和管理成本類別。
aws-portal:ViewUsage	授與檢視 AWS 使用情況報告的權限。 若要允許使用IAM者檢視使用情況報告，您必須同時允許ViewUsage和ViewBilling。 如需政策範例，請參閱 允許IAM使用者存取報告主控台頁面。
payments:ListTagsForResource	允許或拒絕IAM使用者檢視付款方式標籤的權限。
payments:TagResource	允許或拒絕IAM使用者新增付款方式標籤的權限。
payments:UntagResource	允許或拒絕IAM使用者從付款方式移除標籤的權限。
payments:ListPaymentInstruments	允許或拒絕IAM使用者列出其註冊付款方式的權限。
payments:UpdatePaymentInstrument	允許或拒絕IAM使用者更新其付款方式的權限。
pricing:DescribeServices	授予透過「價目表 AWS 服務」檢視服務產品與 AWS 價格的權限API。 若要允許使用IAM者使用「 AWS 價目表服務」API，您必須允許DescribeServicesGetAttributeValues、和GetProducts。 如需政策範例，請參閱 尋找產品和價格。
pricing:GetAttributeValues	授予透過「價目表 AWS 服務」檢視服務產品與 AWS 價格的權限API。 若要允許使用IAM者使用「 AWS 價目表服務」API，您必須允許DescribeServicesGetAttributeValues、和GetProducts。 如需政策範例，請參閱 尋找產品和價格。
pricing:GetProducts	授予透過「價目表 AWS 服務」檢視服務產品與 AWS 價格的權限API。 若要允許使用IAM者使用「 AWS 價目表服務」API，您必須允許DescribeServicesGetAttributeValues、和GetProducts。 如需政策範例，請參閱 尋找產品和價格。
purchase-orders:ViewPurchaseOrders	授予檢視採購單的權限。 如需政策範例，請參閱 檢視並管理採購訂單。
purchase-orders:ModifyPurchaseOrders	授予修改採購單的權限。 如需政策範例，請參閱 檢視並管理採購訂單。
tax:GetExemptions	授與唯讀存取權的權限，以依稅捐主控台檢視免稅與免稅型態。 如需政策範例，請參閱 允許IAM使用者檢視美國免稅額並建立 AWS Support 案例。
tax:UpdateExemptions	授予將免稅上傳至美國免稅主控台的權限。 如需政策範例，請參閱 允許IAM使用者檢視美國免稅額並建立 AWS Support 案例。
support:CreateCase	授予文件支持案例的權限，這是從免稅控制台上傳豁免所需的權限。 如需政策範例，請參閱 允許IAM使用者檢視美國免稅額並建立 AWS Support 案例。
support:AddAttachmentsToSet	授予將免稅證明上傳至免稅主控台所需的支援案例文件的權限。 如需政策範例，請參閱 允許IAM使用者檢視美國免稅額並建立 AWS Support 案例。
customer-verification:GetCustomerVerificationEligibility	（僅適用於擁有印度帳單或聯絡地址的客戶） 授予擷取客戶驗證資格的權限。
customer-verification:GetCustomerVerificationDetails	（僅適用於擁有印度帳單或聯絡地址的客戶） 授予擷取客戶驗證資料的權限。
customer-verification:CreateCustomerVerificationDetails	（僅適用於擁有印度帳單或聯絡地址的客戶） 授予建立客戶驗證資料的權限。
customer-verification:UpdateCustomerVerificationDetails	（僅適用於擁有印度帳單或聯絡地址的客戶） 授予更新客戶驗證資料的權限。
mapcredit:ListAssociatedPrograms	授與檢視付款人帳戶相關聯Migration Acceleration Program合約與控制面板的權限。
mapcredit:ListQuarterSpend	授予檢視付款人帳戶Migration Acceleration Program合格支出的權限。
mapcredit:ListQuarterCredits	授予檢視付款人帳戶Migration Acceleration Program抵免額的權限。