Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in AWS Billing
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, die für gelten AWS Fakturierung und Kostenmanagement, finden Sie unter [AWS Services im Umfang nach Compliance-Programmen AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Diese Dokumentation erläutert, wie das Modell der geteilten Verantwortung bei der Verwendung von Fakturierung und Kostenmanagement zum Tragen kommt. Die folgenden Themen veranschaulichen, wie Sie Fakturierung und Kostenmanagement zur Erfüllung Ihrer Sicherheits- und Compliance-Ziele konfigurieren können. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, mit denen Sie Ihre Ressourcen für Billing and Cost Management überwachen und sichern können.
**Topics**
+ [Datenschutz in AWS Fakturierung und Kostenmanagement](data-protection.md)
+ [Identity and Access Management für die AWS Abrechnung](security-iam.md)
+ [Verwenden von serviceverknüpften Rollen für AWS Billing](using-service-linked-roles.md)
+ [Anmeldung und Überwachung AWS Fakturierung und Kostenmanagement](billing-security-logging.md)
+ [Konformitätsprüfung für AWS Fakturierung und Kostenmanagement](Billing-compliance.md)
+ [Resilienz in AWS Fakturierung und Kostenmanagement](disaster-recovery-resiliency.md)
+ [Sicherheit der Infrastruktur in AWS Fakturierung und Kostenmanagement](infrastructure-security.md)
**Anmerkung**
Wenn Sie die Rechnungsübertragung als Rechnungsquellkonto verwenden, werden Ihre Abrechnungs- und Kostenverwaltungsdaten auf ein externes Verwaltungskonto (Rechnungsüberweisungskonto) übertragen. Das Konto für die Rechnungsüberweisung steuert Ihre Abrechnung und Ihr Kostenmanagement. Das Rechnungsquellenkonto kann die Auswirkungen der Rechnungsübertragung mithilfe von IAM-Richtlinien nicht außer Kraft setzen. Um die Kontrolle über Ihre Abrechnungs- und Kostenmanagementdaten zurückzugewinnen, müssen Sie sich von der Rechnungsübertragung zurückziehen. Weitere Informationen finden Sie unter [Rechnungsmanagement auf externe Konten übertragen](orgs_transfer_billing.md).
# Datenschutz in AWS Fakturierung und Kostenmanagement
Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) und geteilter Verantwortung gilt für den Datenschutz in AWS Fakturierung und Kostenmanagement. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Billing and Cost Management oder auf andere Weise AWS-Services über die Konsole AWS CLI, API oder arbeiten AWS SDKs. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
# Identity and Access Management für die AWS Abrechnung
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAM-Administratoren steuern, wer *authentifiziert* (angemeldet) und *autorisiert* (Berechtigungen besitzt) ist Fakturierungsressourcen zu nutzen. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
Informationen zum Aktivieren des Zugriffs auf die Fakturierungskonsole finden Sie im [IAM-Tutorial: Gewähren von Zugriff auf die Fakturierungskonsole](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) im *IAM-Benutzerhandbuch*.
## Benutzerarten und Fakturierungsberechtigungen
In dieser Tabelle werden die Standardaktionen zusammengefasst, die in für jede Art -Fakturierungsbenutzer zulässig sind.
**Benutzerarten und Fakturierungsberechtigungen**
| Benutzertyp | Description | Fakturierungsberechtigungen |
| --- | --- | --- |
| Kontoinhaber | Die Person oder Entität, in deren Namen Ihr Konto eingerichtet ist. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/security-iam.html) |
| Benutzer | Eine Person oder eine Anwendung, die durch einen Kontoinhaber oder Administrator als Benutzer in einem Konto definiert ist. Konten können mehrere -Benutzer enthalten. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/security-iam.html) |
| Inhaber des Verwaltungskontos der Organisation | Die Person oder Organisation, die mit einem AWS Organizations Verwaltungskonto verknüpft ist. Das Verwaltungskonto zahlt für die AWS Nutzung, die durch ein Mitgliedskonto in einer Organisation anfällt. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/security-iam.html) |
| Mitgliedskontoinhaber der Organisation | Die Person oder Organisation, die mit einem AWS Organizations Mitgliedskonto verknüpft ist. Das Verwaltungskonto zahlt für die AWS Nutzung, die durch ein Mitgliedskonto in einer Organisation anfällt. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/security-iam.html) |
# Übersicht über die Verwaltung von Zugriffsberechtigungen
## Gewähren von Zugriff auf Ihre Fakturierungsdaten und Tools
Standardmäßig haben IAM-Benutzer keinen Zugriff auf die [Konsole für AWS Fakturierung und Kostenmanagement](https://console.aws.amazon.com/billing/).
Wenn Sie eine erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem so genannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
Als Administrator können Sie unter Ihrem AWS Konto Rollen erstellen, die Ihre Benutzer übernehmen können. Nachdem Sie Rollen erstellt haben, können Sie ihnen je nach benötigtem Zugriff Ihre IAM-Richtlinie zuordnen. Sie können beispielsweise einigen Benutzer eingeschränkten Zugriff auf Ihre Abrechnungsinformationen und Tools erteilen, und anderen vollständigen Zugriff auf alle Informationen und Tools.
Gehen Sie wie folgt vor, um IAM-Entitäten Zugriff auf die Billing and Cost Management-Konsole zu gewähren:
+ [Aktivieren Sie IAM Access](#ControllingAccessWebsite-Activate) als AWS-Konto Root-Benutzer. Sie müssen diese Aktion nur einmal für Ihr Konto abschließen.
+ Erstellen Sie Ihre IAM-Identitäten, z. B. einen Benutzer, eine Gruppe oder eine Rolle.
+ Verwenden Sie eine AWS verwaltete Richtlinie oder erstellen Sie eine vom Kunden verwaltete Richtlinie, die Berechtigungen für bestimmte Aktionen in der Billing and Cost Management-Konsole gewährt. Weitere Informationen finden Sie unter [Verwendung identitätsbasierter Richtlinien für die Abrechnung](security_iam_id-based-policy-examples.md#billing-permissions-ref).
Weitere Informationen finden Sie im [IAM-Tutorial: Zugriff auf die Abrechnungskonsole gewähren](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) im *IAM-Benutzerhandbuch*.
**Anmerkung**
Berechtigungen für Cost Explorer gelten für alle Konten und Mitgliedskonten, unabhängig von IAM-Richtlinien. Weitere Informationen finden Sie unter [Steuern des Zugriffs auf den AWS Cost Explorer](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-access.html).
## Aktivieren des Zugriffs auf die Konsole für Fakturierung und Kostenmanagement
IAM-Benutzer und -Rollen in und AWS-Konto können standardmäßig nicht auf die Billing and Cost Management-Konsole zugreifen. Dies gilt auch dann, wenn sie über IAM-Richtlinien verfügen, die den Zugriff auf bestimmte Abrechnungsfeatures gewähren. Um Zugriff zu gewähren, kann der AWS-Konto Root-Benutzer die Einstellung „**IAM-Zugriff aktivieren**“ verwenden.
Wenn Sie diese Einstellung verwenden AWS Organizations, aktivieren Sie diese Einstellung in jedem Verwaltungs- oder Mitgliedskonto, für das Sie IAM-Benutzern und -Rollen Zugriff auf die Billing and Cost Management-Konsole gewähren möchten. Für erstellte Mitgliedskonten ist diese Option standardmäßig aktiviert. Weitere Informationen finden Sie unter [Aktivierung des IAM-Zugriffs auf die Konsole AWS Fakturierung und Kostenmanagement](billing-getting-started.md#activating-iam-access-to-billing-console).
In der Fakturierungskonsole steuert die Einstellung **IAM-Zugriff aktivieren** den Zugriff auf folgende Seiten:
+ Startseite
+ Budgets
+ Budgets Reports (Budgetberichte)
+ AWS Kosten- und Nutzungsberichte
+ Kostenkategorien
+ Kostenzuordnungs-Tags
+ Rechnungen
+ Payments (Zahlungen)
+ Guthaben
+ Bestellungen
+ Fakturierungseinstellungen
+ Payment methods (Zahlungsweisen)
+ Steuereinstellungen
+ Cost Explorer
+ Berichte
+ Rightsizing recommendations (Empfehlungen zur richtigen Dimensionierung)
+ Savings Plans recommendations (Empfehlungen für Savings Plans)
+ Savings Plans utilization report (Savings-Plans-Nutzungsbericht)
+ Savings Plans coverage report (Savings-Plans-Abdeckungsbericht)
+ Reservations overview (Reservierungsübersicht)
+ Reservations recommendations (Reservierungsempfehlungen)
+ Reservations utilization report (Reservierungsnutzungsbericht)
+ Reservations coverage report (Reservierungsabdeckungsbericht)
+ Präferenzen
**Wichtig**
Die Aktivierung des IAM-Zugriffs allein gewährt Rollen nicht die erforderlichen Berechtigungen für diese Konsolenseiten für Billing and Cost Management. Neben der Aktivierung des IAM-Zugriffs müssen Sie diesen Rollen auch die erforderlichen IAM-Richtlinien zuordnen. Weitere Informationen finden Sie unter [Verwendung identitätsbasierter Richtlinien für die Abrechnung](security_iam_id-based-policy-examples.md#billing-permissions-ref).
Die Einstellung **Activate IAM Access** (IAM-Zugriff aktivieren) steuert nicht den Zugriff auf folgende Seiten und Ressourcen:
+ Die Konsolenseiten für die Erkennung von AWS Kostenanomalien, die Übersicht über die Savings Plans, das Inventar der Savings Plans, den Kauf von Sparplänen und den Warenkorb für Savings Plans
+ Die Ansicht „Kostenmanagement“ im AWS Console Mobile Application
+ Das Billing and Cost Management SDK APIs (AWS Cost Explorer, AWS Budgets und AWS Kosten- und Nutzungsberichte APIs)
+ AWS Systems Manager Anwendungsmanager
+ Der in der Konsole integrierte AWS Pricing Calculator
+ Die Kostenanalysefunktion in Amazon Q
+ Die AWS Activate Console
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Problembehebung bei der AWS Rechnungsstellung, Identität und Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [So funktioniert die AWS Abrechnung mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Identitätsbasierte Richtlinie mit Abrechnung AWS](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### Verbundidentität
Es hat sich bewährt, dass menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen.
Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.
Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) oder indem Sie eine AWS Oder-API-Operation AWS CLI aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# So funktioniert die AWS Abrechnung mit IAM
Die Abrechnung ist in den AWS Identity and Access Management (IAM) -Service integriert, sodass Sie kontrollieren können, wer in Ihrer Organisation Zugriff auf bestimmte Seiten in der [Abrechnungskonsole](https://console.aws.amazon.com/cost-management/home) hat. Sie können den Zugriff auf Rechnungen und detaillierte Informationen zu Gebühren und Kontoaktivitäten, Budgets, Zahlungsmethoden und Guthaben kontrollieren.
Weitere Informationen zum Aktivieren des Zugriffs auf die Konsole für Fakturierung und Kostenmanagement finden Sie unter [Tutorial: Delegieren von Zugriff auf die Fakturierungskonsole](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) im *IAM-Benutzerhandbuch*.
Bevor Sie IAM zur Verwaltung des Zugriffs auf Billing verwenden, sollten Sie sich darüber informieren, welche IAM-Funktionen für Billing verfügbar sind.
**IAM-Funktionen, die Sie mit Billing verwenden können AWS**
| IAM-Feature | Unterstützung bei der Abrechnung |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies) | Nein |
| [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources) | Teilweise |
| [Bedingungsschlüssel für die Richtlinie](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ja |
| [ACLs](#security_iam_service-with-iam-acls) | Nein |
| [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags) | Teilweise |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Forward Access Sessions (FAS)](#security_iam_service-with-iam-principal-permissions) | Ja |
| [Servicerollen](#security_iam_service-with-iam-roles-service) | Ja |
| [Service-verknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked) | Nein |
Einen allgemeinen Überblick darüber, wie Billing und andere AWS Dienste mit den meisten IAM-Funktionen funktionieren, finden Sie im [IAM-Benutzerhandbuch unter AWS Dienste, die mit *IAM* funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
## Identitätsbasierte Richtlinien für die Abrechnung
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Beispiele für identitätsbasierte Richtlinien für die Abrechnung
Beispiele für identitätsbasierte Abrechnungsrichtlinien finden Sie unter. [Identitätsbasierte Richtlinie mit Abrechnung AWS](security_iam_id-based-policy-examples.md)
## Ressourcenbasierte Richtlinien innerhalb von Billing
**Unterstützt ressourcenbasierte Richtlinien:** Nein
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Richtlinienaktionen für die Abrechnung
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Eine Liste der Abrechnungsaktionen finden Sie unter [Durch AWS Billing definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html) in der *Serviceautorisierungsreferenz*.
Bei Richtlinienaktionen in Billing wird vor der Aktion das folgende Präfix verwendet:
```
billing
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:
```
"Action": [
"billing:action1",
"billing:action2"
]
```
Beispiele für identitätsbasierte Abrechnungsrichtlinien finden Sie unter. [Identitätsbasierte Richtlinie mit Abrechnung AWS](security_iam_id-based-policy-examples.md)
## Richtlinienressourcen für die Abrechnung
**Unterstützt Richtlinienressourcen:** teilweise
Richtlinienressourcen werden nur für Monitore, Abonnements und Kostenkategorien unterstützt.
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Eine Liste der AWS Cost Explorer-Ressourcentypen finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Cost Explorer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostexplorerservice.html) in der *Service Authorization Reference*.
Beispiele für identitätsbasierte Abrechnungsrichtlinien finden Sie unter. [Identitätsbasierte Richtlinie mit Abrechnung AWS](security_iam_id-based-policy-examples.md)
## Bedingungsschlüssel für Richtlinien für die Fakturierung
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Eine Liste der Bedingungsschlüssel, Aktionen und Ressourcen für die Abrechnung finden Sie unter [Bedingungsschlüssel für die AWS Abrechnung](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html) in der *Serviceautorisierungsreferenz.*
Beispiele für identitätsbasierte Abrechnungsrichtlinien finden Sie unter. [Identitätsbasierte Richtlinie mit Abrechnung AWS](security_iam_id-based-policy-examples.md)
## Zugriffskontrolllisten (ACLs) in Billing
**Unterstützt ACLs:** Nein
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
## Attributbasierte Zugriffskontrolle (ABAC) mit Abrechnung
**Unterstützt ABAC (Tags in Richtlinien):** Teilweise
ABAC (Tags in Richtlinien) werden nur für Monitore, Abonnements und Kostenkategorien unterstützt.
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS Ressourcen anhängen und dann ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
## Temporäre Anmeldeinformationen bei der Abrechnung verwenden
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Zugriffssitzungen für die Abrechnung weiterleiten
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward-Access-Sitzungen (FAS) verwenden die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, in Kombination mit der Anforderung, Anfragen AWS-Service an nachgelagerte Dienste zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Servicerollen für die Abrechnung
**Unterstützt Servicerollen:** Ja
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
**Warnung**
Das Ändern der Berechtigungen für eine Servicerolle kann dazu führen, dass die Abrechnungsfunktion beeinträchtigt wird. Bearbeiten Sie Servicerollen nur, wenn Billing eine Anleitung dazu enthält.
## Servicebezogene Rollen für die Abrechnung
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine serviceverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Details zum Erstellen oder Verwalten von serviceverknüpften Rollen finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Tabelle nach einem Service mit einem `Yes` in der Spalte **Service-linked role** (Serviceverknüpfte Rolle). Wählen Sie den Link **Yes** (Ja) aus, um die Dokumentation für die serviceverknüpfte Rolle für diesen Service anzuzeigen.
# Identitätsbasierte Richtlinie mit Abrechnung AWS
Standardmäßig sind Benutzer und Rollen nicht berechtigt, Abrechnungsressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu den von Billing definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für die AWS Abrechnung](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html) in der *Serviceautorisierungsreferenz*.
**Contents**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Abrechnungskonsole](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Verwendung identitätsbasierter Richtlinien für die Abrechnung](#billing-permissions-ref)
+ [AWS Aktionen in der Abrechnungskonsole](#user-permissions)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Abrechnungsressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Abrechnungskonsole
Um auf die AWS Abrechnungskonsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Abrechnungsressourcen in Ihrem aufzulisten und einzusehen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
Im Abschnitt finden Sie Zugangsdetails wie die für die Aktivierung der AWS Abrechnungskonsole erforderlichen Berechtigungen, Administratorzugriff und Lesezugriff. [AWS verwaltete Richtlinien](managed-policies.md)
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API oder. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Verwendung identitätsbasierter Richtlinien für die Abrechnung
**Anmerkung**
Für die folgenden AWS Identity and Access Management (IAM-) Aktionen wurde der Standardsupport im Juli 2023 eingestellt:
Namespace `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Wenn Sie verwenden AWS Organizations, können Sie die Bulk [Policy Migrator-Skripte oder den Bulk Policy Migrator](migrate-iam-permissions.md) verwenden, um die Richtlinien von Ihrem Zahlerkonto aus zu aktualisieren. Sie können auch die [Referenz zur Zuordnung detaillierter IAM-Aktionen](migrate-granularaccess-iam-mapping-reference.md) verwenden, um die IAM-Aktionen zu überprüfen, die hinzugefügt werden müssen.
Wenn Sie über einen am oder nach dem 6. März 2023 AWS-Konto, 11:00 Uhr (PDT) AWS Organizations erstellten verfügen oder Teil eines solchen sind, sind die detaillierten Maßnahmen in Ihrer Organisation bereits wirksam.
**Wichtig**
Zusätzlich zu den IAM-Richtlinien müssen Sie auf der Konsolenseite [Kontoeinstellungen](https://console.aws.amazon.com/billing/home#/account) IAM-Zugriff auf die Konsole für Fakturierung und Kostenmanagement gewähren.
Weitere Informationen finden Sie unter den folgenden Themen:
[Aktivieren des Zugriffs auf die Konsole für Fakturierung und Kostenmanagement](control-access-billing.md#ControllingAccessWebsite-Activate)
[IAM-Tutorial: Gewähren von Zugriff auf die Fakturierungskonsole](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) im *IAM-Benutzerhandbuch*
In diesem Abschnitt erfahren Sie, wie ein Kontoadministrator für identitätsbasierte Richtlinien IAM-Identitäten (Rollen und Gruppen) Berechtigungsrichtlinien zuordnen und Berechtigungen zur Ausführung von Vorgängen mit Abrechnungsressourcen erteilen kann.
[Weitere Informationen zu AWS-Konten und Benutzern finden Sie unter Was ist IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_Introduction.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zum Aktualisieren von kundenverwalteten Richtlinien finden Sie unter [Bearbeiten von vom Kunden verwalteten Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console) im *IAM-Benutzerhandbuch*.
### AWS Aktionen in der Abrechnungskonsole
In dieser Tabelle sind die Berechtigungen zusammengefasst, die Zugriff auf die Informationen und Tools Ihrer Abrechnungskonsole gewähren. Beispiele für Richtlinien, die diese Berechtigungen benutzen, finden Sie unter [AWS Beispiele für Abrechnungsrichtlinien](billing-example-policies.md).
Eine Liste der Aktionsrichtlinien für die AWS Cost Management-Konsole finden Sie unter [AWS Cost Management-Aktionsrichtlinien](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#user-permissions) im *AWS Cost Management-Benutzerhandbuch*.
| Berechtigungsname | Description |
| --- | --- |
| aws-portal:ViewBilling | Erteilt die Berechtigung zum Anzeigen der Konsolenseiten für Billing and Cost Management. |
| aws-portal:ModifyBilling | Erteilt die Berechtigung, die folgenden Seiten der Billing and Cost Management-Konsole zu ändern: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/security_iam_id-based-policy-examples.html) Sie müssen sowohl `ModifyBilling` als auch `ViewBilling` zulassen, um IAM-Benutzern zu gestatten, diese Konsolenseiten zu ändern. Eine Beispielrichtlinie finden Sie unter [IAM-Benutzern erlauben, Fakturierungsinformationen zu ändern](billing-example-policies.md#example-billing-deny-modifybilling). |
| aws-portal:ViewAccount | Erteilt die Berechtigung zum Anzeigen der [Kontoeinstellungen](https://console.aws.amazon.com/billing/home#/account). |
| aws-portal:ModifyAccount | Erteilt die Erlaubnis, die [Kontoeinstellungen](https://console.aws.amazon.com/billing/home#/account) zu ändern. Sie müssen sowohl `ModifyAccount` als auch `ViewAccount` zulassen, um IAM-Benutzern zu gestatten, die Kontoeinstellungen zu ändern. Ein Beispiel für eine Richtlinie, die einem IAM-Benutzer den Zugriff auf die Konsolenseite **Account Settings** (Kontoeinstellungen) explizit verweigert, finden Sie unter [Verweigern des Zugriffs auf Kontoeinstellungen, aber vollständigen Zugriff auf alle anderen Fakturierungs- und Nutzungsdaten gewähren](billing-example-policies.md#example-billing-deny-modifyaccount). |
| aws-portal:ViewPaymentMethods | Erteilt die Erlaubnis, [Zahlungsmethoden](https://console.aws.amazon.com/billing/home#/paymentmethods) einzusehen. |
| aws-portal:ModifyPaymentMethods | Erteilt die Erlaubnis, [Zahlungsmethoden](https://console.aws.amazon.com/billing/home#/paymentmethods) zu ändern. Sie müssen sowohl `ModifyPaymentMethods` als auch `ViewPaymentMethods` zulassen, um Benutzern zu gestatten, die Zahlungsweisen zu ändern. |
| billing:ListBillingViews | Erteilt die Erlaubnis, eine Liste der verfügbaren Abrechnungsansichten abzurufen. Dazu gehören benutzerdefinierte Abrechnungsansichten und Abrechnungsansichten, die den Pro-forma-Abrechnungsgruppen entsprechen. Weitere Informationen zu benutzerdefinierten Abrechnungsansichten finden Sie unter [Steuern des Datenzugriffs für das Kostenmanagement mit der Abrechnungsansicht](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-view.html). Weitere Informationen über das Anzeigen Ihrer Abrechnungsgruppendetails finden Sie unter [Anzeigen von Abrechnungsgruppendetails](https://docs.aws.amazon.com/billingconductor/latest/userguide/viewing-abc.html) im*AWS Billing Conductor-Benutzerhandbuch*. |
| billing:CreateBillingView | Erteilt die Berechtigung zum Erstellen benutzerdefinierter Abrechnungsansichten. Ein Beispiel für eine Richtlinie finden Sie unter [Benutzern ermöglichen, benutzerdefinierte Abrechnungsansichten zu erstellen, zu verwalten und zu teilen](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view). |
| billing:UpdateBillingView | Erteilt die Erlaubnis, benutzerdefinierte Abrechnungsansichten zu aktualisieren. Ein Beispiel für eine Richtlinie finden Sie unter [Benutzern ermöglichen, benutzerdefinierte Abrechnungsansichten zu erstellen, zu verwalten und zu teilen](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view). |
| billing:DeleteBillingView | Erteilt die Erlaubnis, benutzerdefinierte Abrechnungsansichten zu löschen. Ein Beispiel für eine Richtlinie finden Sie unter [Benutzern ermöglichen, benutzerdefinierte Abrechnungsansichten zu erstellen, zu verwalten und zu teilen](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view). |
| billing:GetBillingView | Erteilt die Erlaubnis, die Definition von Abrechnungsansichten abzurufen. Ein Beispiel für eine Richtlinie finden Sie unter [Benutzern ermöglichen, benutzerdefinierte Abrechnungsansichten zu erstellen, zu verwalten und zu teilen](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view). |
| sustainability:GetCarbonFootprintSummary | Erteilt die Erlaubnis, das AWS Customer Carbon Footprint Tool und die zugehörigen Daten einzusehen. Darauf kann über die Seite AWS Kosten- und Nutzungsberichte der Billing and Cost Management Kostenmanagement-Konsole zugegriffen werden. Ein Beispiel für eine Richtlinie finden Sie unter [IAM-Benutzern erlauben, Ihre Fakturierungsinformationen und Ihren CO2-Fußabdruckbericht einzusehen](billing-example-policies.md#example-ccft-policy). |
| cur:DescribeReportDefinitions | Erteilt die Berechtigung zum Anzeigen von AWS Kosten- und Nutzungsberichten. AWS Die Berechtigungen für Kosten- und Nutzungsberichte gelten für alle Berichte, die mit der [AWS Cost and Usage Reports Service](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) API und der Billing and Cost Management-Konsole erstellt werden. Wenn Sie Berichte über die Konsole für Fakturierung und Kostenmanagement erstellen, sollten Sie die Berechtigungen für IAM-Benutzer aktualisieren. Wenn Sie die Berechtigungen nicht aktualisieren, verlieren die Benutzer den Zugriff auf die Anzeige, Bearbeitung und Entfernung von Berichten auf der Seite Reports (Berichte) der Konsole. Ein Beispiel für eine Richtlinie finden Sie unter [IAM-Benutzern Zugriff auf die Konsolenseite „Reports“ (Berichte) erteilen](billing-example-policies.md#example-billing-view-reports). |
| cur:PutReportDefinition | Erteilt die Berechtigung zur Erstellung von AWS Kosten- und Nutzungsberichten. AWS Die Berechtigungen für Kosten- und Nutzungsberichte gelten für alle Berichte, die mit der [AWS Cost and Usage Reports Service](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) API und der Billing and Cost Management-Konsole erstellt werden. Wenn Sie Berichte über die Konsole für Fakturierung und Kostenmanagement erstellen, sollten Sie die Berechtigungen für IAM-Benutzer aktualisieren. Wenn Sie die Berechtigungen nicht aktualisieren, verlieren die Benutzer den Zugriff auf die Anzeige, Bearbeitung und Entfernung von Berichten auf der Seite Reports (Berichte) der Konsole. Ein Beispiel für eine Richtlinie finden Sie unter [IAM-Benutzern Zugriff auf die Konsolenseite „Reports“ (Berichte) erteilen](billing-example-policies.md#example-billing-view-reports). |
| cur:DeleteReportDefinition | Erteilt die Berechtigung zum Löschen von AWS Kosten- und Nutzungsberichten. AWS Die Berechtigungen für Kosten- und Nutzungsberichte gelten für alle Berichte, die mit der [AWS Cost and Usage Reports Service](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) API und der Billing and Cost Management-Konsole erstellt werden. Wenn Sie Berichte über die Konsole für Fakturierung und Kostenmanagement erstellen, sollten Sie die Berechtigungen für IAM-Benutzer aktualisieren. Wenn Sie die Berechtigungen nicht aktualisieren, verlieren die Benutzer den Zugriff auf die Anzeige, Bearbeitung und Entfernung von Berichten auf der Seite Reports (Berichte) der Konsole. Ein Beispiel für eine Richtlinie finden Sie unter [AWS Kosten- und Nutzungsberichte erstellen, anzeigen, bearbeiten oder löschen](billing-example-policies.md#example-policy-report-definition). |
| cur:ModifyReportDefinition | Erteilt die Berechtigung zum Ändern von AWS Kosten- und Nutzungsberichten. AWS Die Berechtigungen für Kosten- und Nutzungsberichte gelten für alle Berichte, die mit der [AWS Cost and Usage Reports Service](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) API und der Billing and Cost Management-Konsole erstellt werden. Wenn Sie Berichte über die Konsole für Fakturierung und Kostenmanagement erstellen, sollten Sie die Berechtigungen für IAM-Benutzer aktualisieren. Wenn Sie die Berechtigungen nicht aktualisieren, verlieren die Benutzer den Zugriff auf die Anzeige, Bearbeitung und Entfernung von Berichten auf der Seite Reports (Berichte) der Konsole. Ein Beispiel für eine Richtlinie finden Sie unter [AWS Kosten- und Nutzungsberichte erstellen, anzeigen, bearbeiten oder löschen](billing-example-policies.md#example-policy-report-definition). |
| ce:CreateCostCategoryDefinition | Erteilt Berechtigungen zum Erstellen von Kostenkategorien. Eine Beispielrichtlinie finden Sie unter [Anzeigen und Verwalten von Kostenkategorien](billing-example-policies.md#example-policy-cc-api). |
| ce:DeleteCostCategoryDefinition | Erteilt Berechtigungen zum Löschen von Kostenkategorien. Eine Beispielrichtlinie finden Sie unter [Anzeigen und Verwalten von Kostenkategorien](billing-example-policies.md#example-policy-cc-api). |
| ce:DescribeCostCategoryDefinition | Erteilt Berechtigungen zum Anzeigen von Kostenkategorien. Eine Beispielrichtlinie finden Sie unter [Anzeigen und Verwalten von Kostenkategorien](billing-example-policies.md#example-policy-cc-api). |
| ce:ListCostCategoryDefinitions | Erteilt Berechtigungen zum Auflisten von Kostenkategorien. Eine Beispielrichtlinie finden Sie unter [Anzeigen und Verwalten von Kostenkategorien](billing-example-policies.md#example-policy-cc-api). |
| ce:UpdateCostCategoryDefinition | Erteilt Berechtigungen zum Aktualisieren von Kostenkategorien. Eine Beispielrichtlinie finden Sie unter [Anzeigen und Verwalten von Kostenkategorien](billing-example-policies.md#example-policy-cc-api). |
| aws-portal:ViewUsage | Erteilt die Berechtigung zum Anzeigen AWS von [Nutzungsberichten](https://console.aws.amazon.com/billing/home#/reports). Sie müssen sowohl `ViewUsage` als auch `ViewBilling` zulassen, um IAM-Benutzern das Anzeigen von Nutzungsberichten zu erlauben. Eine Beispielrichtlinie finden Sie unter [IAM-Benutzern Zugriff auf die Konsolenseite „Reports“ (Berichte) erteilen](billing-example-policies.md#example-billing-view-reports). |
| payments:AcceptFinancingApplicationTerms | Ermöglicht IAM-Benutzern, den Bedingungen des finanzierenden Kreditgebers zuzustimmen. Benutzer müssen ihre Bankkontodaten für die Rückzahlung angeben und die vom Kreditgeber bereitgestellten rechtlichen Dokumente unterschreiben. |
| payments:CreateFinancingApplication | Ermöglicht IAM-Benutzern, ein neues Finanzierungsdarlehen zu beantragen und auf die gewählte Finanzierungsoption zu verweisen. |
| payments:GetFinancingApplication | Ermöglicht IAM-Benutzern das Abrufen der Details eines Finanzierungsantrags. Zum Beispiel Status, Limits, Bedingungen und Informationen zum Kreditgeber. |
| payments:GetFinancingLine | Ermöglicht IAM-Benutzern das Abrufen der Details eines Finanzierungsdarlehens. Zum Beispiel Status und Salden. |
| payments:GetFinancingLineWithdrawal | Ermöglicht IAM-Benutzern das Abrufen der Auszahlungsdetails. Zum Beispiel Salden und Rückzahlungen. |
| payments:GetFinancingOption | Ermöglicht IAM-Benutzern das Abrufen der Details einer bestimmten Finanzierungsoption. |
| payments:ListFinancingApplications | Ermöglicht IAM-Benutzern, die Identifikatoren für alle Finanzierungsanträge aller Kreditgeber abzurufen. |
| payments:ListFinancingLines | Ermöglicht IAM-Benutzern, die Identifikatoren für alle Finanzierungsdarlehen aller Kreditgeber abzurufen. |
| payments:ListFinancingLineWithdrawals | Ermöglicht IAM-Benutzern, alle vorhandenen Auszahlungen für ein bestimmtes Darlehen abzurufen. |
| payments:ListTagsForResource | Erlaubt oder verweigert IAM-Benutzern die Erlaubnis, Tags für eine Zahlungsmethode einzusehen. |
| payments:TagResource | Erlauben oder verweigern Sie IAM-Benutzern das Hinzufügen von Stichwörtern für eine Zahlungsmethode. |
| payments:UntagResource | Erlauben oder verweigern Sie IAM-Benutzern die Erlaubnis, Tags aus einer Zahlungsmethode zu entfernen. |
| payments:UpdateFinancingApplication | Erlauben Sie IAM-Benutzern, einen Finanzierungsantrag zu ändern und zusätzliche vom Kreditgeber angeforderte Informationen einzureichen. |
| payments:ListPaymentInstruments | Erlauben oder verweigern Sie IAM-Benutzern die Erlaubnis, ihre registrierten Zahlungsmethoden aufzulisten. |
| payments:UpdatePaymentInstrument | Erlauben oder verweigern Sie IAM-Benutzern die Aktualisierung ihrer Zahlungsmethoden. |
| pricing:DescribeServices | Erteilt die Berechtigung, AWS Serviceprodukte und Preise über die AWS Price List Service API einzusehen. Um IAM-Benutzern die Nutzung der AWS Price List Service API zu ermöglichen, müssen Sie `DescribeServices``GetAttributeValues`, und `GetProducts` zulassen. Eine Beispielrichtlinie finden Sie unter [Finden von Produkten und Preisen](billing-example-policies.md#example-policy-pe-api). |
| pricing:GetAttributeValues | Erteilt die Berechtigung zum Anzeigen von AWS Serviceprodukten und Preisen über die AWS Price List Service API. Um IAM-Benutzern die Nutzung der AWS Price List Service API zu ermöglichen, müssen Sie `DescribeServices``GetAttributeValues`, und `GetProducts` zulassen. Eine Beispielrichtlinie finden Sie unter [Finden von Produkten und Preisen](billing-example-policies.md#example-policy-pe-api). |
| pricing:GetProducts | Erteilt die Berechtigung zum Anzeigen von AWS Serviceprodukten und Preisen über die AWS Price List Service API. Um IAM-Benutzern die Nutzung der AWS Price List Service API zu ermöglichen, müssen Sie `DescribeServices``GetAttributeValues`, und `GetProducts` zulassen. Eine Beispielrichtlinie finden Sie unter [Finden von Produkten und Preisen](billing-example-policies.md#example-policy-pe-api). |
| purchase-orders:ViewPurchaseOrders | Erteilt die Erlaubnis, [Bestellungen](manage-purchaseorders.md) einzusehen. Eine Beispielrichtlinie finden Sie unter [Anzeigen und Verwalten von Bestellungen](billing-example-policies.md#example-view-manage-purchaseorders). |
| purchase-orders:ModifyPurchaseOrders | Erteilt die Erlaubnis, [Bestellungen](manage-purchaseorders.md) zu ändern. Eine Beispielrichtlinie finden Sie unter [Anzeigen und Verwalten von Bestellungen](billing-example-policies.md#example-view-manage-purchaseorders). |
| tax:GetExemptions | Erteilt die Berechtigung für den Lesezugriff zum Anzeigen von Ausnahmen und Befreiungsarten in der Steuerkonsole. Eine Beispielrichtlinie finden Sie unter [Erlauben Sie IAM-Benutzern, Steuerbefreiungen in den USA einzusehen und Fälle zu erstellen Support](billing-example-policies.md#example-awstaxexemption). |
| tax:UpdateExemptions | Erteilt die Erlaubnis, eine Steuerbefreiung in die US-Steuerbefreiungskonsole hochzuladen. Eine Beispielrichtlinie finden Sie unter [Erlauben Sie IAM-Benutzern, Steuerbefreiungen in den USA einzusehen und Fälle zu erstellen Support](billing-example-policies.md#example-awstaxexemption). |
| support:CreateCase | Erteilt die Erlaubnis, Support-Anfragen einzureichen, die zum Hochladen der Steuerbefreiung aus der Steuerbefreiungskonsole erforderlich sind. Eine Beispielrichtlinie finden Sie unter [Erlauben Sie IAM-Benutzern, Steuerbefreiungen in den USA einzusehen und Fälle zu erstellen Support](billing-example-policies.md#example-awstaxexemption). |
| support:AddAttachmentsToSet | Erteilt die Erlaubnis, Dokumente an Support-Anfragen anzuhängen, die für das Hochladen von Freistellungsbescheinigungen in die Steuerbefreiungskonsole erforderlich sind. Eine Beispielrichtlinie finden Sie unter [Erlauben Sie IAM-Benutzern, Steuerbefreiungen in den USA einzusehen und Fälle zu erstellen Support](billing-example-policies.md#example-awstaxexemption). |
| customer-verification:GetCustomerVerificationEligibility | (Nur für Kunden mit einer Rechnungs- oder Kontaktadresse in Indien) Erteilt die Erlaubnis, die Kundenbestätigungsberechtigung abzurufen. |
| customer-verification:GetCustomerVerificationDetails | (Nur für Kunden mit einer Rechnungs- oder Kontaktadresse in Indien) Erteilt die Erlaubnis zum Abrufen von Kundenbestätigungsdaten. |
| customer-verification:CreateCustomerVerificationDetails | (Nur für Kunden mit einer Rechnungs- oder Kontaktadresse in Indien) Erteilt die Erlaubnis, Kundenbestätigungsdaten zu erstellen. |
| customer-verification:UpdateCustomerVerificationDetails | (Nur für Kunden mit einer Rechnungs- oder Kontaktadresse in Indien) Erteilt die Erlaubnis, Kundenbestätigungsdaten zu aktualisieren. |
| mapcredit:ListAssociatedPrograms | Erteilt die Berechtigung, die zugehörigen Migration Acceleration Program Vereinbarungen und das Dashboard für das Zahlerkonto einzusehen. |
| mapcredit:ListQuarterSpend | Erteilt die Erlaubnis, die Migration Acceleration Program berechtigten Ausgaben für das Konto des Zahlers einzusehen. |
| mapcredit:ListQuarterCredits | Erteilt die Erlaubnis, das Migration Acceleration Program Guthaben für das Konto des Zahlers einzusehen. |
| invoicing:BatchGetInvoiceProfile | Erteilt die Berechtigung für den Lesezugriff zum Anzeigen von Rechnungsprofilen für AWS die Rechnungskonfiguration. |
| invoicing:CreateInvoiceUnit | Erteilt die Berechtigung zum Erstellen von Rechnungseinheiten für die AWS Rechnungskonfiguration. |
| invoicing:DeleteInvoiceUnit | Erteilt die Berechtigung zum Löschen von Rechnungseinheiten für die AWS Rechnungskonfiguration. |
| invoicing:GetInvoiceUnit | Erteilt die Berechtigung für den Lesezugriff zum Anzeigen von Rechnungseinheiten für die AWS Rechnungskonfiguration. |
| invoicing:ListInvoiceUnits | Erteilt die Berechtigung, alle Rechnungseinheiten für AWS die Rechnungskonfiguration aufzulisten. |
| invoicing:ListTagsForResource | Erlaubt oder verweigert IAM-Benutzern die Berechtigung, Tags für eine Rechnungseinheit für die AWS Rechnungskonfiguration anzuzeigen. |
| invoicing:TagResource | Erlauben oder verweigern Sie IAM-Benutzern die Erlaubnis, Tags für eine Rechnungseinheit zur AWS Rechnungskonfiguration hinzuzufügen. |
| invoicing:UntagResource | Erlauben oder verweigern Sie IAM-Benutzern die Erlaubnis, Tags für AWS die Rechnungskonfiguration aus einer Rechnungseinheit zu entfernen. |
| invoicing:UpdateInvoiceUnit | Erteilt Bearbeitungsberechtigungen zum Aktualisieren von Rechnungseinheiten für die AWS Rechnungskonfiguration. |
# AWS Beispiele für Abrechnungsrichtlinien
**Anmerkung**
Für die folgenden AWS Identity and Access Management (IAM-) Aktionen wurde der Standardsupport im Juli 2023 eingestellt:
Namespace `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Wenn Sie verwenden AWS Organizations, können Sie die Bulk [Policy Migrator-Skripte oder den Bulk Policy Migrator](migrate-iam-permissions.md) verwenden, um die Richtlinien von Ihrem Zahlerkonto aus zu aktualisieren. Sie können auch die [Referenz zur Zuordnung detaillierter IAM-Aktionen](migrate-granularaccess-iam-mapping-reference.md) verwenden, um die IAM-Aktionen zu überprüfen, die hinzugefügt werden müssen.
Wenn Sie über einen am oder nach dem 6. März 2023 AWS-Konto, 11:00 Uhr (PDT) AWS Organizations erstellten verfügen oder Teil eines solchen sind, sind die detaillierten Maßnahmen in Ihrer Organisation bereits wirksam.
**Wichtig**
Diese Richtlinien erfordern, dass Sie den IAM-Benutzerzugriff auf die Konsole für Fakturierung und Kostenmanagement auf der Konsolenseite [Account Settings](https://console.aws.amazon.com/billing/home#/account) (Kontoeinstellungen) aktivieren. Weitere Informationen finden Sie unter [Aktivieren des Zugriffs auf die Konsole für Fakturierung und Kostenmanagement](control-access-billing.md#ControllingAccessWebsite-Activate).
Informationen zur Verwendung AWS verwalteter Richtlinien finden Sie unter. [AWS verwaltete Richtlinien](managed-policies.md)
Dieses Thema enthält Beispiel-Richtlinien, die Sie Ihren IAM-Benutzern oder Gruppen zuordnen können, um den Zugriff auf Fakturierungsdaten und Tools für Ihr Konto zu kontrollieren. Die folgenden Grundregeln gelten für IAM-Richtlinien für Fakturierung und Kostenmanagement:
+ `Version` ist immer `2012-10-17 `.
+ `Effect` ist immer `Allow` oder `Deny`.
+ `Action` ist der Name der Aktion oder ein Platzhalter (`*`).
Das Aktionspräfix gilt `budgets` für AWS Budgets, `cur` für AWS Kosten- und Nutzungsberichte, `aws-portal` für AWS Fakturierung oder `ce` für Cost Explorer.
+ `Resource`steht immer `*` für AWS Fakturierung.
Geben Sie für an einer `budget`-Ressource ausgeführte Aktionen den Amazon-Ressourcennamen (ARN) des Budgets an.
+ Es ist möglich, mehrere Anweisungen in einer Richtlinie zu verwenden.
Eine Liste der Aktionsrichtlinien für die AWS Cost Management-Konsole finden Sie unter [AWS Cost Management-Richtlinienbeispiele](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html) im *AWS Cost Management-Benutzerhandbuch*.
**Topics**
+ [IAM-Benutzern die Anzeige Ihrer Fakturierungsdaten erlauben](#example-billing-view-billing-only)
+ [IAM-Benutzern erlauben, Ihre Fakturierungsinformationen und Ihren CO2-Fußabdruckbericht einzusehen](#example-ccft-policy)
+ [IAM-Benutzern Zugriff auf die Konsolenseite „Reports“ (Berichte) erteilen](#example-billing-view-reports)
+ [IAM-Benutzern den Zugriff auf die Konsole für Fakturierung und Kostenmanagement verweigern](#example-billing-deny-all)
+ [Verweigern AWS Sie Mitgliedskonten den Zugriff auf das Konsolen-Widget für Kosten und Nutzung](#example-billing-deny-widget)
+ [Verweigern AWS Sie bestimmten IAM-Benutzern und -Rollen den Zugriff auf das Widget „Kosten und Nutzung“ der Konsole](#example-billing-deny-ce)
+ [IAM-Benutzern erlauben, Ihre Fakturierungsinformationen einzusehen, aber den Zugriff auf Ihren CO2-Fußabdruckbericht verweigern](#example-ccft-policy-deny)
+ [Einem IAM-Benutzern erlauben, auf Berichte zum CO2-Fußabdruck zuzugreifen, aber verweigern, auf Fakturierungsdaten zuzugreifen](#example-ccft-policy-allow)
+ [Vollzugriff auf AWS Dienste zulassen, aber IAM-Benutzern den Zugriff auf die Billing and Cost Management Management-Konsolen verweigern](#ExampleAllowAllDenyBilling)
+ [IAM-Benutzern das Anzeigen der Fakturierung und Kostenmanagementkonsole erlauben, ausgenommen Kontoeinstellungen](#example-billing-read-only)
+ [IAM-Benutzern erlauben, Fakturierungsinformationen zu ändern](#example-billing-deny-modifybilling)
+ [Verweigern des Zugriffs auf Kontoeinstellungen, aber vollständigen Zugriff auf alle anderen Fakturierungs- und Nutzungsdaten gewähren](#example-billing-deny-modifyaccount)
+ [Ablegen von Berichten in einem Amazon-S3-Bucket](#example-billing-s3-bucket)
+ [Finden von Produkten und Preisen](#example-policy-pe-api)
+ [Anzeigen der Kosten und Nutzung](#example-policy-ce-api)
+ [Regionen aktivieren und deaktivieren AWS](#enable-disable-regions)
+ [Anzeigen und Verwalten von Kostenkategorien](#example-policy-cc-api)
+ [AWS Kosten- und Nutzungsberichte erstellen, anzeigen, bearbeiten oder löschen](#example-policy-report-definition)
+ [Anzeigen und Verwalten von Bestellungen](#example-view-manage-purchaseorders)
+ [Anzeigen und Aktualisieren der Cost-Explorer-Einstellungen-Seite](#example-view-update-ce)
+ [Anzeigen, Erstellen, Aktualisieren und Löschen über die Berichte-Seite von Cost Explorer](#example-view-ce-reports)
+ [Anzeigen, Erstellen, Aktualisieren und Löschen von Reservierungs- und Savings-Plans-Warnungen](#example-view-ce-expiration)
+ [Erlauben Sie den schreibgeschützten Zugriff auf die Erkennung von AWS Kostenanomalien](#example-policy-ce-ad)
+ [AWS Budgets die Anwendung von IAM-Richtlinien ermöglichen und SCPs](#example-budgets-IAM-SCP)
+ [Ermöglicht AWS Budgets, IAM-Richtlinien und SCPs anzuwenden und EC2- und RDS-Instances als Ziel zu verwenden](#example-budgets-applySCP)
+ [Erlauben Sie IAM-Benutzern, Steuerbefreiungen in den USA einzusehen und Fälle zu erstellen Support](#example-awstaxexemption)
+ [(Für Kunden mit einer Rechnungs- oder Kontaktadresse in Indien) Lesezugriff auf Informationen zur Kundenverifizierung zulassen](#example-aispl-verification)
+ [(Für Kunden mit einer Rechnungs- oder Kontaktadresse in Indien) Anzeigen, Erstellen und Aktualisieren von Informationen zur Kundenverifizierung](#example-aispl-verification-view)
+ [AWS Migration Acceleration ProgramInformationen in der Abrechnungskonsole anzeigen](#read-only-migration-acceleration-program-policy)
+ [Erlauben Sie den Zugriff auf die AWS Rechnungskonfiguration in der Abrechnungskonsole](#invoice-config-policy)
## IAM-Benutzern die Anzeige Ihrer Fakturierungsdaten erlauben
Um einem IAM-Benutzer zu erlauben, Ihre Abrechnungsinformationen anzuzeigen, ohne ihm Zugriff auf sensible Kontodaten zu gewähren, können Sie eine Richtlinie ähnlich der folgenden Beispielrichtlinie verwenden. Eine solche Richtlinie verhindert, dass Benutzer auf Ihr Passwort und Ihre Kontoaktivitätsberichte zugreifen. Mit dieser Richtlinie können IAM-Benutzer die folgenden Seiten der Konsole für Fakturierung und Kostenmanagement anzeigen, ohne Zugriff auf die Seiten **Account Settings** (Kontoeinstellungen) oder **Reports** (Berichte) zu erhalten:
+ **Dashboard**
+ **Cost Explorer**
+ **Rechnungen**
+ **Bestellungen und Rechnungen**
+ **Konsolidierte Fakturierung**
+ **Präferenzen**
+ **Guthaben**
+ **Vorauszahlung**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
}
]
}
```
------
## IAM-Benutzern erlauben, Ihre Fakturierungsinformationen und Ihren CO2-Fußabdruckbericht einzusehen
Um einem IAM-Benutzer zu ermöglichen, sowohl Fakturierungsinformationen als auch den CO2-Fußabdruckbericht anzuzeigen, verwenden Sie eine Richtlinie ähnlich dem folgenden Beispiel. Diese Richtlinie verhindert, dass Benutzer auf Ihr Passwort und Ihre Kontoaktivitätsberichte zugreifen. Mit dieser Richtlinie können IAM-Benutzer die folgenden Seiten der Konsole für Fakturierung und Kostenmanagement anzeigen, ohne Zugriff auf die Seiten **Account Settings** (Kontoeinstellungen) oder **Reports** (Berichte) zu erhalten:
+ **Dashboard**
+ **Cost Explorer**
+ **Rechnungen**
+ **Bestellungen und Rechnungen**
+ **Konsolidierte Fakturierung**
+ **Präferenzen**
+ **Guthaben**
+ **Vorauszahlung**
+ **Der Bereich AWS Customer Carbon Footprint Tool auf der Seite AWS Kosten- und Nutzungsberichte**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Allow",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## IAM-Benutzern Zugriff auf die Konsolenseite „Reports“ (Berichte) erteilen
Damit IAM-Benutzer auf die Konsolenseite **Reports** (Berichte) zugreifen und die Nutzungsberichte mit den Kontoaktivitäten anzeigen können, verwenden Sie eine Richtlinie ähnlich dieser Beispielrichtlinie.
Definitionen einer jeden Aktion finden Sie unter [AWS Aktionen in der Abrechnungskonsole](security_iam_id-based-policy-examples.md#user-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewUsage",
"aws-portal:ViewBilling",
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*"
}
]
}
```
------
## IAM-Benutzern den Zugriff auf die Konsole für Fakturierung und Kostenmanagement verweigern
Um einem IAM-Benutzer den Zugriff auf alle Seiten der Konsole für Fakturierung und Kostenmanagement ausdrücklich zu verweigern, können Sie eine Richtlinie ähnlich dieser Beispielrichtlinie verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "aws-portal:*",
"Resource": "*"
}
]
}
```
------
## Verweigern AWS Sie Mitgliedskonten den Zugriff auf das Konsolen-Widget für Kosten und Nutzung
Um den Zugriff von (verknüpften) Mitgliederkonten auf Preis- und Nutzungsdaten einzuschränken, verwenden Sie Ihr Verwaltungskonto (Zahler), um auf die Registerkarte der Cost-Explorer-Einstellungen zuzugreifen und deaktivieren Sie **Linked Account Access** (Verknüpfter Kontozugriff). Dadurch wird der Zugriff auf Kosten- und Nutzungsdaten über die Cost Explorer Explorer-Konsole (AWS Cost Management), die Cost Explorer Explorer-API und das Kosten- und Nutzungs-Widget der AWS Konsolen-Startseite verweigert, unabhängig davon, welche IAM-Aktionen der IAM-Benutzer oder die IAM-Rolle eines Mitgliedskontos ausführt.
## Verweigern AWS Sie bestimmten IAM-Benutzern und -Rollen den Zugriff auf das Widget „Kosten und Nutzung“ der Konsole
Verwenden Sie die unten stehende Berechtigungsrichtlinie, um bestimmten IAM-Benutzern und -Rollen den Zugriff auf das Widget „Kosten und Nutzung“ der AWS Konsole zu verweigern.
**Anmerkung**
Wenn Sie diese Richtlinie einem IAM-Benutzer oder einer IAM-Rolle hinzufügen, wird Benutzern auch der Zugriff auf die Cost Explorer-Konsole (AWS Cost Management) und den Cost Explorer APIs verweigert.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ce:*",
"Resource": "*"
}
]
}
```
------
## IAM-Benutzern erlauben, Ihre Fakturierungsinformationen einzusehen, aber den Zugriff auf Ihren CO2-Fußabdruckbericht verweigern
Damit ein IAM-Benutzer sowohl Rechnungsinformationen in der Billing- als auch in der Cost Management-Konsole einsehen kann, aber nicht auf das AWS Customer Carbon Footprint Tool zugreifen kann. Dieses Tool befindet sich auf der Seite AWS Kosten- und Nutzungsberichte.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Deny",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## Einem IAM-Benutzern erlauben, auf Berichte zum CO2-Fußabdruck zuzugreifen, aber verweigern, auf Fakturierungsdaten zuzugreifen
Um einem IAM-Benutzer den Zugriff auf das AWS Customer Carbon Footprint Tool auf der Seite AWS Kosten- und Nutzungsberichte zu ermöglichen, aber den Zugriff auf die Rechnungsinformationen in den Billing Billing and Cost Management Management-Konsolen zu verweigern.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Deny",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Allow",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## Vollzugriff auf AWS Dienste zulassen, aber IAM-Benutzern den Zugriff auf die Billing and Cost Management Management-Konsolen verweigern
Verwenden Sie die folgende Richtlinie, um IAM-Benutzern den Zugriff auf alle Elemente der Konsole für Fakturierung und Kostenmanagement zu verweigern. Verweigern Sie den Benutzerzugriff auf AWS Identity and Access Management (IAM), um den Zugriff auf die Richtlinien zu verhindern, die den Zugriff auf Abrechnungsinformationen und Tools steuern.
**Wichtig**
Diese Richtlinie lässt keine Aktionen zu. Verwenden Sie diese Richtlinie in Kombination mit anderen Richtlinien, die bestimmte Aktionen zulassen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aws-portal:*",
"iam:*"
],
"Resource": "*"
}
]
}
```
------
## IAM-Benutzern das Anzeigen der Fakturierung und Kostenmanagementkonsole erlauben, ausgenommen Kontoeinstellungen
Diese Richtlinie gewährt schreibgeschützten Zugriff auf die gesamte Fakturierungs- und Kostenmanagement-Konsole. Dazu gehören die Konsolenseiten **Zahlungsweise** und **Berichte**. Diese Richtlinie verweigert jedoch den Zugriff auf die Seite **Kontoeinstellungen**. Sie schützt also das Kontopasswort, die Kontaktinformationen und Sicherheitsfragen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:View*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## IAM-Benutzern erlauben, Fakturierungsinformationen zu ändern
Damit IAM-Benutzer Kontoabrechnungsinformationen in der Konsole für Fakturierung und Kostenmanagement ändern können, erlauben Sie IAM-Benutzern die Anzeige Ihrer Abrechnungsinformationen. Mit der folgenden Beispielrichtlinie gestatten Sie einem IAM-Benutzer, die Konsolenseiten **Consolidated Billing** (Konsolidierte Fakturierung), **Preferences** (Einstellungen) und **Credits** (Guthaben) zu ändern. Darüber hinaus können IAM-Benutzer die folgenden Seiten der Konsole für Fakturierung und Kostenmanagement anzeigen:
+ **Dashboard**
+ **Cost Explorer**
+ **Rechnungen**
+ **Bestellungen und Rechnungen**
+ **Vorauszahlung**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:*Billing",
"Resource": "*"
}
]
}
```
------
## Verweigern des Zugriffs auf Kontoeinstellungen, aber vollständigen Zugriff auf alle anderen Fakturierungs- und Nutzungsdaten gewähren
Zum Schutz Ihres Kontopassworts, der Kontaktinformationen und der Sicherheitsfragen verweigern Sie den IAM-Benutzerzugriff auf **Account Settings** (Kontoeinstellungen), während vollständiger Zugriff auf die restliche Funktionalität der Konsole für Fakturierung und Kostenmanagement gewährt wird. Es folgt eine Beispielrichtlinie .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:*Billing",
"aws-portal:*Usage",
"aws-portal:*PaymentMethods"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## Ablegen von Berichten in einem Amazon-S3-Bucket
Die folgende Richtlinie ermöglicht es Billing and Cost Management, Ihre detaillierten AWS Rechnungen in einem Amazon S3 S3-Bucket zu speichern, wenn Sie sowohl das AWS Konto als auch den Amazon S3 S3-Bucket besitzen. Diese Richtlinie muss auf den Amazon-S3-Bucket angewendet werden, nicht auf einen IAM-Benutzer. Das liegt daran, dass es sich um eine ressourcenbasierte Richtlinie und keine benutzerbasierte Richtlinie handelt. Wir empfehlen, dass Sie den IAM-Benutzerzugriff auf den Bucket für IAM-Benutzer verweigern, die keinen Zugriff auf Ihre Rechnungen benötigen.
Ersetzen Sie *amzn-s3-demo-bucket1* durch den Namen von Ihrem Bucket.
Weitere Informationen finden Sie unter [Verwenden von Bucket-Richtlinien und Benutzerrichtlinien](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-iam-policies.html) im *Benutzerhandbuch für Amazon Simple Storage*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": [
"s3:GetBucketAcl",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1"
},
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"
}
]
}
```
------
## Finden von Produkten und Preisen
Um einem IAM-Benutzer die Nutzung der AWS Price List Service API zu ermöglichen, verwenden Sie die folgende Richtlinie, um ihm Zugriff zu gewähren.
Diese Richtlinie gewährt die Erlaubnis, sowohl die AWS Price List Bulk API AWS Price List Query API zu verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts",
"pricing:GetPriceListFileUrl",
"pricing:ListPriceLists"
],
"Resource": [
"*"
]
}
]
}
```
------
## Anzeigen der Kosten und Nutzung
Um IAM-Benutzern die Verwendung der AWS Cost Explorer Explorer-API zu ermöglichen, verwenden Sie die folgende Richtlinie, um ihnen Zugriff zu gewähren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ce:*"
],
"Resource": [
"*"
]
}
]
}
```
------
## Regionen aktivieren und deaktivieren AWS
Ein Beispiel für eine IAM-Richtlinie, die es Benutzern ermöglicht, Regionen zu aktivieren und zu deaktivieren, finden Sie unter [AWS: Ermöglicht das Aktivieren und Deaktivieren von AWS Regionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws-enable-disable-regions.html) im *IAM-Benutzerhandbuch*.
## Anzeigen und Verwalten von Kostenkategorien
Damit IAM-Benutzer Kostenkategorien verwenden, anzeigen und verwalten können, verwenden Sie die folgende Richtlinie, um ihnen Zugriff zu gewähren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:GetCostAndUsage",
"ce:DescribeCostCategoryDefinition",
"ce:UpdateCostCategoryDefinition",
"ce:CreateCostCategoryDefinition",
"ce:DeleteCostCategoryDefinition",
"ce:ListCostCategoryDefinitions",
"ce:TagResource",
"ce:UntagResource",
"ce:ListTagsForResource",
"pricing:DescribeServices"
],
"Resource": "*"
}
]
}
```
------
## AWS Kosten- und Nutzungsberichte erstellen, anzeigen, bearbeiten oder löschen
Diese Richtlinie ermöglicht es einem IAM-Benutzer, einen `sample-report` unter Verwendung der API zu erstellen, anzuzeigen oder zu löschen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageSampleReport",
"Effect": "Allow",
"Action": [
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "arn:aws:cur:*:123456789012:definition/sample-report"
},
{
"Sid": "DescribeReportDefs",
"Effect": "Allow",
"Action": "cur:DescribeReportDefinitions",
"Resource": "*"
}
]
}
```
------
## Anzeigen und Verwalten von Bestellungen
Diese Richtlinie ermöglicht es einem IAM-Benutzer, Bestellungen anzuzeigen und zu verwalten. Dabei wird folgende Richtlinie verwendet, um Zugriff zu gewähren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"purchase-orders:*"
],
"Resource": "*"
}
]
}
```
------
## Anzeigen und Aktualisieren der Cost-Explorer-Einstellungen-Seite
Diese Richtlinie ermöglicht einem IAM-Benutzer das Anzeigen und Aktualisieren über die **Einstellungen-Seite von Cost Explorer**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
Die folgende Richtlinie ermöglicht es IAM-Benutzern, Cost Explorer anzuzeigen, nicht jedoch das Anzeigen oder Bearbeiten der Seite **Preferences** (Einstellungen).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:GetPreferences",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
Die folgende Richtlinie ermöglicht es IAM-Benutzern, Cost Explorer anzuzeigen, nicht jedoch das Bearbeiten der Seite **Preferences** (Einstellungen).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
## Anzeigen, Erstellen, Aktualisieren und Löschen über die Berichte-Seite von Cost Explorer
Diese Richtlinie ermöglicht einem IAM-Benutzer das Anzeigen, Erstellen, Aktualisieren und Löschen über die **Berichte-Seite von Cost Explorer**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
Die folgende Richtlinie ermöglicht es IAM-Benutzern, Cost Explorer anzuzeigen, nicht jedoch das Anzeigen oder Bearbeiten der Seite **Reports** (Berichte).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeReport",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
Die folgende Richtlinie ermöglicht es IAM-Benutzern, Cost Explorer anzuzeigen, nicht jedoch das Bearbeiten der Seite **Reports** (Berichte).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
## Anzeigen, Erstellen, Aktualisieren und Löschen von Reservierungs- und Savings-Plans-Warnungen
Diese Richtlinie ermöglicht es einem IAM-Benutzer, [Warnungen zum Ablauf von Reservierungen](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ce-ris.html) und [Savings-Plans-Warnungen](https://docs.aws.amazon.com/savingsplans/latest/userguide/sp-overview.html#sp-alert) anzuzeigen, zu erstellen, zu aktualisieren und zu löschen. Um Warnungen zum Ablauf von Reservierungen oder Savings-Plans-Warnungen zu bearbeiten, benötigt ein Benutzer alle drei detaillierten Aktionen: `ce:CreateNotificationSubscription`, `ce:UpdateNotificationSubscription` und `ce:DeleteNotificationSubscription`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
Die folgende Richtlinie ermöglicht IAM-Benutzern das Anzeigen von Cost Explorer, nicht jedoch das Anzeigen oder Bearbeiten der Seiten für **Warnungen zum Ablauf von Reservierungen** und **Savings-Plans-Warnungen**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeNotificationSubscription",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
Die folgende Richtlinie ermöglicht IAM-Benutzern das Anzeigen von Cost Explorer, nicht jedoch das Bearbeiten der Seiten für **Warnungen zum Ablauf von Reservierungen** und **Savings-Plans-Warnungen**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
## Erlauben Sie den schreibgeschützten Zugriff auf die Erkennung von AWS Kostenanomalien
Um IAM-Benutzern nur Lesezugriff auf AWS Cost Anomaly Detection zu gewähren, verwenden Sie die folgende Richtlinie, um ihnen Zugriff zu gewähren. `ce:ProvideAnomalyFeedback`ist im Rahmen des schreibgeschützten Zugriffs optional.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ce:Get*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS Budgets die Anwendung von IAM-Richtlinien ermöglichen und SCPs
Diese Richtlinie ermöglicht es AWS Budgets, IAM-Richtlinien und Dienststeuerungsrichtlinien (SCPs) im Namen des Benutzers anzuwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": "*"
}
]
}
```
------
## Ermöglicht AWS Budgets, IAM-Richtlinien und SCPs anzuwenden und EC2- und RDS-Instances als Ziel zu verwenden
Diese Richtlinie ermöglicht es AWS Budgets, IAM-Richtlinien und Service Control Policies (SCPs) anzuwenden und Amazon EC2- und Amazon RDS-Instances im Namen des Benutzers ins Visier zu nehmen.
Vertrauensrichtlinie
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "budgets.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Berechtigungsrichtlinie
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceStatus",
"ec2:StartInstances",
"ec2:StopInstances",
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"rds:DescribeDBInstances",
"rds:StartDBInstance",
"rds:StopDBInstance",
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
```
------
## Erlauben Sie IAM-Benutzern, Steuerbefreiungen in den USA einzusehen und Fälle zu erstellen Support
Diese Richtlinie ermöglicht es einem IAM-Benutzer, US-Steuerbefreiungen einzusehen und Support Fälle zu erstellen, um Steuerbefreiungsbescheinigungen in die Steuerbefreiungskonsole hochzuladen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:*",
"tax:GetExemptions",
"tax:UpdateExemptions",
"support:CreateCase",
"support:AddAttachmentsToSet"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
## (Für Kunden mit einer Rechnungs- oder Kontaktadresse in Indien) Lesezugriff auf Informationen zur Kundenverifizierung zulassen
Diese Richtlinie ermöglicht IAM-Benutzern schreibgeschützten Zugriff auf Informationen zur Kundenverifizierung.
Definitionen einer jeden Aktion finden Sie unter [AWS Aktionen in der Abrechnungskonsole](security_iam_id-based-policy-examples.md#user-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"customer-verification:GetCustomerVerificationEligibility",
"customer-verification:GetCustomerVerificationDetails"
],
"Resource": "*"
}]
}
```
------
## (Für Kunden mit einer Rechnungs- oder Kontaktadresse in Indien) Anzeigen, Erstellen und Aktualisieren von Informationen zur Kundenverifizierung
Diese Richtlinie ermöglicht es IAM-Benutzern, ihre Informationen zur Kundenverifizierung zu verwalten.
Definitionen einer jeden Aktion finden Sie unter [AWS Aktionen in der Abrechnungskonsole](security_iam_id-based-policy-examples.md#user-permissions)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"customer-verification:CreateCustomerVerificationDetails",
"customer-verification:UpdateCustomerVerificationDetails",
"customer-verification:GetCustomerVerificationEligibility",
"customer-verification:GetCustomerVerificationDetails"
],
"Resource": "*"
}]
}
```
------
## AWS Migration Acceleration ProgramInformationen in der Abrechnungskonsole anzeigen
Diese Richtlinie ermöglicht es IAM-Benutzern, die Migration Acceleration Program Verträge, Gutschriften und berechtigten Ausgaben für das Konto des Zahlers in der Abrechnungskonsole einzusehen.
Definitionen einer jeden Aktion finden Sie unter [AWS Aktionen in der Abrechnungskonsole](security_iam_id-based-policy-examples.md#user-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"mapcredits:ListQuarterSpend",
"mapcredits:ListQuarterCredits",
"mapcredits:ListAssociatedPrograms"
],
"Resource": "*"
}]
}
```
------
## Erlauben Sie den Zugriff auf die AWS Rechnungskonfiguration in der Abrechnungskonsole
Diese Richtlinie ermöglicht IAM-Benutzern den Zugriff auf die AWS Rechnungskonfiguration in der Abrechnungskonsole.
Definitionen einer jeden Aktion finden Sie unter [AWS Aktionen in der Abrechnungskonsole](security_iam_id-based-policy-examples.md#user-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"invoicing:ListInvoiceUnits",
"invoicing:GetInvoiceUnit",
"invoicing:CreateInvoiceUnit",
"invoicing:UpdateInvoiceUnit",
"invoicing:DeleteInvoiceUnit",
"invoicing:BatchGetInvoiceProfile"
],
"Resource": [
"*"
]
}
]
}
```
------
# Migration der Zugriffskontrolle für AWS Billing
**Anmerkung**
Für die folgenden AWS Identity and Access Management (IAM-) Aktionen wurde der Standardsupport im Juli 2023 eingestellt:
Namespace `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Wenn Sie verwenden AWS Organizations, können Sie die Bulk [Policy Migrator-Skripte oder den Bulk Policy Migrator](migrate-iam-permissions.md) verwenden, um die Richtlinien von Ihrem Zahlerkonto aus zu aktualisieren. Sie können auch die [Referenz zur Zuordnung detaillierter IAM-Aktionen](migrate-granularaccess-iam-mapping-reference.md) verwenden, um die IAM-Aktionen zu überprüfen, die hinzugefügt werden müssen.
Wenn Sie über einen am oder nach dem 6. März 2023 AWS-Konto, 11:00 Uhr (PDT) AWS Organizations erstellten verfügen oder Teil eines solchen sind, sind die detaillierten Maßnahmen in Ihrer Organisation bereits wirksam.
Sie können detaillierte Zugriffskontrollen verwenden, um Einzelpersonen in Ihrer Organisation Zugriff auf Dienste zu gewähren. AWS Fakturierung und Kostenmanagement Sie können beispielsweise den Zugriff auf den Cost Explorer bereitstellen, ohne Zugriff auf die Fakturierungs- und Kostenmanagement-Konsole zu gewähren.
Um die detaillierten Zugriffskontrollen verwenden zu können, müssen Sie Ihre Richtlinien von `aws-portal` auf die neuen IAM-Aktionen migrieren.
Die folgenden IAM-Aktionen in Ihren Berechtigungsrichtlinien oder Service-Kontrollrichtlinien (SCP) müssen bei dieser Migration aktualisiert werden:
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
Informationen dazu, wie Sie das Tool **Betroffene Richtlinien** verwenden können, um Ihre betroffenen IAM-Richtlinien zu identifizieren, finden Sie unter [Wie Sie das Tool für betroffene Richtlinien verwenden](migrate-security-iam-tool.md).
**Anmerkung**
Der API-Zugriff auf AWS Cost Explorer, AWS Kosten- und Nutzungsberichte sowie AWS Budgets bleiben davon unberührt.
[Aktivieren des Zugriffs auf die Konsole für Fakturierung und Kostenmanagement](control-access-billing.md#ControllingAccessWebsite-Activate) bleiben unverändert.
**Topics**
+ [Verwalten von Zugriffsberechtigungen](#migrate-control-access-billing)
+ [Verwenden Sie die Konsole für die Massenmigration Ihrer Richtlinien](migrate-granularaccess-console.md)
+ [Wie Sie das Tool für betroffene Richtlinien verwenden](migrate-security-iam-tool.md)
+ [Verwenden Sie Skripte, um Ihre Richtlinien auf einmal zu migrieren, damit detaillierte IAM-Aktionen verwendet werden können](migrate-iam-permissions.md)
+ [Referenz zur Zuordnung detaillierter IAM-Aktionen](migrate-granularaccess-iam-mapping-reference.md)
## Verwalten von Zugriffsberechtigungen
AWS Billing ist in den AWS Identity and Access Management (IAM) -Service integriert, sodass Sie kontrollieren können, wer in Ihrer Organisation auf bestimmte Seiten in der [Billing and Cost Management-Konsole](https://console.aws.amazon.com/billing/) zugreifen kann. Dazu gehören Features wie Zahlungen, Abrechnung, Gutschriften, kostenloses Kontingent, Zahlungseinstellungen, konsolidierte Abrechnung, Steuereinstellungen und Kontoseiten.
Verwenden Sie die folgenden IAM-Berechtigungen zur differenzierten Steuerung der Fakturierungs- und Kostenmanagement-Konsole.
Um einen detaillierten Zugriff zu ermöglichen, ersetzen Sie die `aws-portal`-Richtlinie durch `account`, `billing`, `payments`, `freetier`, `invoicing`, `tax`, und `consolidatedbilling`.
Ersetzen Sie zusätzlich `purchase-orders:ViewPurchaseOrders` und `purchase-orders:ModifyPurchaseOrders` durch die detaillierten Aktionen aus `purchase-orders`, `account`, und `payments`.
### Mithilfe detaillierter Aktionen AWS Billing
Diese Tabelle fasst die Berechtigungen zusammen, die IAM-Benutzern und -Rollen den Zugriff auf Ihre Fakturierungsinformationen gewähren oder verweigern. Beispiele für Richtlinien, die diese Berechtigungen benutzen, finden Sie unter [AWS Beispiele für Abrechnungsrichtlinien](billing-example-policies.md).
Eine Liste der Aktionen für die AWS Cost Management Konsole finden Sie unter [AWS Cost Management Aktionsrichtlinien](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#user-permissions) im *AWS Cost Management Benutzerhandbuch*.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html)
# Verwenden Sie die Konsole für die Massenmigration Ihrer Richtlinien
**Anmerkung**
Für die folgenden AWS Identity and Access Management (IAM-) Aktionen wurde der Standardsupport im Juli 2023 eingestellt:
Namespace `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Wenn Sie verwenden AWS Organizations, können Sie die Bulk [Policy Migrator-Skripte oder den Bulk Policy Migrator](migrate-iam-permissions.md) verwenden, um die Richtlinien von Ihrem Zahlerkonto aus zu aktualisieren. Sie können auch die [Referenz zur Zuordnung detaillierter IAM-Aktionen](migrate-granularaccess-iam-mapping-reference.md) verwenden, um die IAM-Aktionen zu überprüfen, die hinzugefügt werden müssen.
Wenn Sie über einen am oder nach dem 6. März 2023 AWS-Konto, 11:00 Uhr (PDT) AWS Organizations erstellten verfügen oder Teil eines solchen sind, sind die detaillierten Maßnahmen in Ihrer Organisation bereits wirksam.
In diesem Abschnitt wird beschrieben, wie Sie die [AWS Fakturierung und Kostenmanagement Konsole](https://console.aws.amazon.com/billing/) verwenden können, um Ihre alten Richtlinien von Ihren Unternehmenskonten oder Standardkonten zu den detaillierten Aktionen in großen Mengen zu migrieren. Sie können die Migration Ihrer älteren Richtlinien mithilfe der Konsole auf zwei Arten abschließen:
**Verwenden des von AWS empfohlenen Migrationsprozesses**
Dabei handelt es sich um einen optimierten Einzelaktionsprozess, bei dem Sie ältere Aktionen auf die detaillierten Aktionen migrieren, die von zugeordnet sind. AWS Weitere Informationen finden Sie unter [Verwenden der empfohlenen Aktionen zur Massenmigration älterer Richtlinien](migrate-console-streamlined.md).
**Verwenden Sie den maßgeschneiderten Migrationsprozess**
Dieser Prozess ermöglicht es Ihnen, die AWS vor der Massenmigration empfohlenen Maßnahmen zu überprüfen und zu ändern sowie festzulegen, welche Konten in Ihrer Organisation migriert werden. Weitere Informationen finden Sie unter [Anpassen von Aktionen zur Massenmigration älterer Richtlinien](migrate-console-customized.md).
## Voraussetzungen für die Massenmigration mithilfe der Konsole
Für beide Migrationsoptionen müssen Sie in der Konsole Ihre Zustimmung geben, sodass Sie den von Ihnen zugewiesenen IAM-Vorgängen differenzierte Aktionen empfehlen AWS können. Dazu müssen Sie sich als [IAM-Principal mit den folgenden IAM-Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) bei Ihrem AWS Konto anmelden, um mit den Richtlinienaktualisierungen fortzufahren.
------
#### [ Management account ]
```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced",
"aws-portal:UpdateConsoleActionSetEnforced",
"purchase-orders:UpdateConsoleActionSetEnforced",
"iam:GetAccountAuthorizationDetails",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:CreateFunction",
"lambda:InvokeFunction",
"lambda:RemovePermission",
"scheduler:GetSchedule",
"scheduler:DeleteSchedule",
"scheduler:CreateSchedule",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:CreateStackSet",
"cloudformation:CreateStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStackSets",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:ListStacks",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:CreateStack",
"cloudformation:UpdateStackInstances",
"cloudformation:UpdateStackSet",
"cloudformation:DescribeStacks",
"ec2:DescribeRegions",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"iam:GenerateOrganizationsAccessReport",
"iam:GetOrganizationsAccessReport",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"organizations:ListAccountsForParent",
"organizations:ListRoots",
"sts:AssumeRole",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:GetInlinePolicyForPermissionSet",
"sso:DescribePermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sso:ProvisionPermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```
------
#### [ Member account or standard account ]
```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced", // Not needed for member account
"aws-portal:UpdateConsoleActionSetEnforced", // Not needed for member account
"purchase-orders:UpdateConsoleActionSetEnforced", // Not needed for member account
"iam:GetAccountAuthorizationDetails",
"ec2:DescribeRegions",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```
------
**Topics**
+ [Voraussetzungen für die Massenmigration mithilfe der Konsole](#migrate-granularaccess-console-prereq)
+ [Verwenden der empfohlenen Aktionen zur Massenmigration älterer Richtlinien](migrate-console-streamlined.md)
+ [Anpassen von Aktionen zur Massenmigration älterer Richtlinien](migrate-console-customized.md)
+ [Ihre Änderungen an der Massenmigrationsrichtlinie rückgängig machen](migrate-console-rollback.md)
+ [Bestätigung Ihrer Migration](#migrate-console-complete)
# Verwenden der empfohlenen Aktionen zur Massenmigration älterer Richtlinien
Sie können alle Ihre alten Richtlinien migrieren, indem Sie die detaillierten Aktionen verwenden, die von zugeordnet sind. AWS Denn AWS Organizations dies gilt für alle veralteten Richtlinien für alle Konten. Sobald Sie Ihren Migrationsprozess abgeschlossen haben, sind die detaillierten Maßnahmen wirksam. Sie haben die Möglichkeit, den Massenmigrationsprozess mithilfe von Testkonten zu testen, bevor Sie Ihre gesamte Organisation verpflichten. Weitere Informationen finden Sie im folgenden Abschnitt.
**Um all Ihre Richtlinien mithilfe detaillierter Aktionen zu migrieren, die von AWS**
1. Melden Sie sich an der [AWS-Managementkonsole](https://console.aws.amazon.com/) an.
1. Geben Sie in die Suchleiste oben auf der Seite **Bulk Policy Migrator** ein.
1. **Wählen Sie auf der Seite **Neue IAM-Aktionen verwalten** die Option Bestätigen und migrieren aus.**
1. Bleiben Sie auf der Seite **Migration wird ausgeführt**, bis die Migration abgeschlossen ist. Informationen zum Fortschritt finden Sie in der Statusleiste.
1. Sobald der Abschnitt **Migration in Bearbeitung** auf **Erfolgreiche Migration** aktualisiert wird, werden Sie zur Seite **Neue IAM-Aktionen verwalten** weitergeleitet.
## Testen Sie Ihre Massenmigration
Sie können die Massenmigration von veralteten Richtlinien zu AWS empfohlenen, detaillierten Aktionen mithilfe von Testkonten testen, bevor Sie sich zur Migration Ihrer gesamten Organisation verpflichten. Sobald Sie den Migrationsprozess für Ihre Testkonten abgeschlossen haben, werden die detaillierten Aktionen auf Ihre Testkonten angewendet.
**Um Ihre Testkonten für die Massenmigration zu verwenden**
1. Melden Sie sich an der [AWS-Managementkonsole](https://console.aws.amazon.com/) an.
1. Geben Sie in die Suchleiste oben auf der Seite **Bulk Policy Migrator** ein.
1. Wählen Sie auf der Seite **Neue IAM-Aktionen verwalten** die Option **Anpassen** aus.
1. Sobald die Konten und Richtlinien in der Tabelle **Konten migrieren** geladen sind, wählen Sie ein oder mehrere Testkonten aus der AWS Kontenliste aus.
1. (Optional) Um die Zuordnung zwischen Ihrer alten Richtlinie und den AWS empfohlenen detaillierten Aktionen zu ändern, wählen Sie **Standardzuordnung anzeigen**. **Ändern Sie die Zuordnung und wählen Sie Speichern.**
1. Wählen Sie **Bestätigen und migrieren**.
1. Bleiben Sie auf der Konsolenseite, bis die Migration abgeschlossen ist.
# Anpassen von Aktionen zur Massenmigration älterer Richtlinien
Sie können Ihre Massenmigration auf verschiedene Arten anpassen, anstatt die AWS empfohlene Aktion für alle Ihre Konten zu verwenden. Sie haben die Möglichkeit, alle Änderungen, die an Ihren alten Richtlinien erforderlich sind, vor der Migration zu überprüfen, bestimmte Konten in Ihren Organizations auszuwählen, die gleichzeitig migriert werden sollen, und den Zugriffsbereich zu ändern, indem Sie die zugewiesenen, detaillierten Aktionen aktualisieren.
**Um Ihre betroffenen Richtlinien vor der Massenmigration zu überprüfen**
1. Melden Sie sich an der [AWS-Managementkonsole](https://console.aws.amazon.com/) an.
1. Geben Sie in die Suchleiste oben auf der Seite **Bulk Policy Migrator** ein.
1. **Wählen Sie auf der Seite **Neue IAM-Aktionen verwalten** die Option Anpassen aus.**
1. Sobald die Konten und Richtlinien in der Tabelle **Konten migrieren** geladen sind, wählen Sie die Zahl in der Spalte **Anzahl der betroffenen IAM-Richtlinien** aus, um die betroffenen Richtlinien anzuzeigen. Sie können auch sehen, wann diese Richtlinie zuletzt für den Zugriff auf die Billing and Cost Management Management-Konsolen verwendet wurde.
1. Wählen Sie einen Richtliniennamen, um sie in der IAM-Konsole zu öffnen, Definitionen einzusehen und die Richtlinie manuell zu aktualisieren.
**Hinweise**
Dadurch werden Sie möglicherweise von Ihrem aktuellen Konto abgemeldet, wenn die Richtlinie von einem anderen Mitgliedskonto stammt.
Sie werden nicht zur entsprechenden IAM-Seite weitergeleitet, wenn für Ihr aktuelles Konto eine Massenmigration durchgeführt wird.
1. (Optional) Wählen Sie „**Standardzuordnung anzeigen“**, um sich die älteren Richtlinien anzusehen und die detaillierte Richtlinie zu verstehen, die von zugeordnet wurde. AWS
**Um eine Gruppe von Konten aus Ihrer Organisation zu migrieren, wählen Sie diese aus**
1. Melden Sie sich an der [AWS-Managementkonsole](https://console.aws.amazon.com/) an.
1. Geben Sie in die Suchleiste oben auf der Seite **Bulk Policy Migrator** ein.
1. Wählen Sie auf der Seite **Neue IAM-Aktionen verwalten** die Option **Anpassen** aus.
1. Sobald die Konten und Richtlinien in der Tabelle **Konten migrieren** geladen sind, wählen Sie ein oder mehrere Konten für die Migration aus.
1. Wählen Sie **Bestätigen und migrieren** aus.
1. Bleiben Sie auf der Konsolenseite, bis die Migration abgeschlossen ist.
**Um den Zugriffsbereich zu ändern, indem Sie die abgebildeten, detaillierten Aktionen aktualisieren**
1. Melden Sie sich an der [AWS-Managementkonsole](https://console.aws.amazon.com/) an.
1. Geben Sie in die Suchleiste oben auf der Seite **Bulk Policy Migrator** ein.
1. **Wählen Sie auf der Seite **Neue IAM-Aktionen verwalten** die Option Anpassen aus.**
1. Wählen Sie **Standardzuordnung anzeigen** aus.
1. Wählen Sie **Bearbeiten** aus.
1. Fügen Sie IAM-Aktionen für die Billing and Cost Management Kostenmanagement-Services hinzu, auf die Sie den Zugriff kontrollieren möchten, oder entfernen Sie sie. Weitere Informationen zu detaillierten Aktionen und dem damit gesteuerten Zugriff finden Sie unter. [Referenz zur Zuordnung detaillierter IAM-Aktionen](migrate-granularaccess-iam-mapping-reference.md)
1. Wählen Sie **Änderungen speichern ** aus.
Die aktualisierte Zuordnung wird für alle future Migrationen von dem Konto verwendet, bei dem Sie angemeldet sind. Dies kann jederzeit geändert werden.
# Ihre Änderungen an der Massenmigrationsrichtlinie rückgängig machen
Sie können alle Richtlinienänderungen, die Sie während der Massenmigration vorgenommen haben, mithilfe der im Massenmigrationstool angegebenen Schritte sicher rückgängig machen. Die Rollback-Funktion funktioniert auf Kontoebene. Sie können Richtlinienaktualisierungen für alle Konten oder für bestimmte Gruppen migrierter Konten rückgängig machen. Sie können jedoch keine Änderungen für bestimmte Richtlinien in einem Konto rückgängig machen.
**Um Änderungen bei der Massenmigration rückgängig zu machen**
1. Melden Sie sich an der [AWS-Managementkonsole](https://console.aws.amazon.com/) an.
1. Geben Sie in die Suchleiste oben auf der Seite **Bulk Policy Migrator** ein.
1. Wählen Sie auf der Seite **Neue IAM-Aktionen verwalten** die Registerkarte **Rollback-Änderungen** aus.
1. Wählen Sie alle Konten aus, für die ein Rollback durchgeführt werden soll. Die Konten müssen in der Spalte **Rollback-Status `Migrated`** angezeigt werden.
1. Wählen Sie die **Schaltfläche „Änderungen rückgängig machen“**.
1. Bleiben Sie auf der Konsolenseite, bis das Rollback abgeschlossen ist.
## Bestätigung Ihrer Migration
Mithilfe des Migrationstools können Sie feststellen, ob AWS Organizations Konten noch migriert werden müssen.
**Um zu überprüfen, ob alle Konten migriert wurden**
1. Melden Sie sich an der [AWS-Managementkonsole](https://console.aws.amazon.com/) an.
1. Geben Sie in die Suchleiste oben auf der Seite **Bulk Policy Migrator** ein.
1. Wählen Sie auf der Seite **Neue IAM-Aktionen verwalten** den Tab **Konten migrieren** aus.
Alle Konten wurden erfolgreich migriert, wenn in der Tabelle keine verbleibenden Konten angezeigt werden.
# Wie Sie das Tool für betroffene Richtlinien verwenden
**Anmerkung**
Für die folgenden AWS Identity and Access Management (IAM-) Aktionen wurde der Standardsupport im Juli 2023 eingestellt:
Namespace `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Wenn Sie verwenden AWS Organizations, können Sie die Bulk [Policy Migrator-Skripte oder den Bulk Policy Migrator](migrate-iam-permissions.md) verwenden, um die Richtlinien von Ihrem Zahlerkonto aus zu aktualisieren. Sie können auch die [Referenz zur Zuordnung detaillierter IAM-Aktionen](migrate-granularaccess-iam-mapping-reference.md) verwenden, um die IAM-Aktionen zu überprüfen, die hinzugefügt werden müssen.
Wenn Sie über einen am oder nach dem 6. März 2023 AWS-Konto, 11:00 Uhr (PDT) AWS Organizations erstellten verfügen oder Teil eines solchen sind, sind die detaillierten Maßnahmen in Ihrer Organisation bereits wirksam.
Sie können das Tool **Betroffene Richtlinien** in der Abrechnungskonsole verwenden, um IAM-Richtlinien (ausgenommen SCPs) zu identifizieren und auf die IAM-Aktionen zu verweisen, die von dieser Migration betroffen sind. Verwenden Sie das Tool **Betroffene Richtlinien**, um die folgenden Aufgaben auszuführen:
+ Identifizieren Sie die IAM-Richtlinien und verweisen Sie auf die IAM-Aktionen, die von dieser Migration betroffen sind.
+ Kopieren Sie die aktualisierte Richtlinie in Ihre Zwischenablage.
+ Öffnen Sie die betroffene Richtlinie im IAM-Richtlinien-Editor.
+ Speichern Sie die aktualisierte Richtlinie für Ihr Konto.
+ Schalten Sie die detaillierten Berechtigungen ein und deaktivieren Sie die alten Aktionen.
Dieses Tool funktioniert innerhalb der Grenzen des AWS Kontos, mit dem Sie angemeldet sind, und Informationen zu anderen AWS Organizations Konten werden nicht weitergegeben.
**Wie Sie das das Tool für betroffene Richtlinien verwenden**
1. Melden Sie sich bei an AWS-Managementkonsole und öffnen Sie die AWS Fakturierung und Kostenmanagement Konsole unter [https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/).
1. Fügen Sie die folgende URL in Ihren Browser ein, um auf das Tool für **betroffene Richtlinien** zuzugreifen: [https://console.aws.amazon.com/poliden/home?region=us-east-1#/](https://console.aws.amazon.com/poliden/home?region=us-east-1#/).
**Anmerkung**
Sie müssen über die Berechtigung `iam:GetAccountAuthorizationDetails` verfügen, um diese Seite einzusehen.
1. Sehen Sie sich die Tabelle an, in der die betroffenen IAM-Richtlinien aufgeführt sind. Verwenden Sie die Spalte **Deprecated IAM actions** (Veraltete IAM-Aktionen), um bestimmte IAM-Aktionen zu überprüfen, auf die in einer Richtlinie verwiesen wird.
1. Wählen Sie in der Spalte **Aktualisierte Richtlinie kopieren** die Option **Kopieren** aus, um die aktualisierte Richtlinie in Ihre Zwischenablage zu kopieren. Die aktualisierte Richtlinie enthält die bestehende Richtlinie und die vorgeschlagenen detaillierten Aktionen, die ihr als separater `Sid`-Block angehängt sind. Dieser Block hat das Präfix `AffectedPoliciesMigrator` am Ende der Richtlinie.
1. Wählen Sie in der Spalte **Richtlinie in der IAM-Konsole bearbeiten** die Option **Bearbeiten** aus, um zum IAM-Richtlinien-Editor zu wechseln. Sie sehen den JSON-Code Ihrer bestehenden Richtlinie.
1. Ersetzen Sie die gesamte bestehende Richtlinie durch die aktualisierte Richtlinie, die Sie in Schritt 4 kopiert haben. Sie können nach Bedarf weitere Änderungen vornehmen.
1. Wählen Sie **Weiter** und dann **Änderungen speichern** aus.
1. Wiederholen Sie die Schritte 3 bis 7 für alle betroffenen Richtlinien.
1. Nachdem Sie Ihre Richtlinien aktualisiert haben, aktualisieren Sie das Tool **Betroffene Richtlinien**, um sicherzustellen, dass keine betroffenen Richtlinien aufgeführt sind. In der Spalte **Neue IAM-Aktionen gefunden** sollte für alle Richtlinien der Wert **Ja** stehen und die Schaltflächen **Kopieren** und **Bearbeiten** sind deaktiviert. Ihre betroffenen Richtlinien wurden aktualisiert.
**So aktivieren Sie detaillierte Aktionen für Ihr Konto**
Gehen Sie nach der Aktualisierung Ihrer Richtlinien wie folgt vor, um die detaillierten Aktionen für Ihr Konto zu aktivieren.
Nur das Verwaltungskonto (Zahler) einer Organisation oder einzelne Konten können den Abschnitt **Neue IAM-Aktionen verwalten** verwenden. Ein einzelnes Konto kann die neuen Aktionen für sich selbst aktivieren. Ein Verwaltungskonto kann neue Aktionen für die gesamte Organisation oder für eine Teilmenge von Mitgliedskonten ermöglichen. Wenn Sie ein Verwaltungskonto haben, aktualisieren Sie die betroffenen Richtlinien für alle Mitgliedskonten und aktivieren Sie die neuen Aktionen für Ihre Organisation. Weitere Informationen finden Sie unter [Wie kann ich Konten zwischen neuen detaillierten Aktionen und bestehenden IAM-Aktionen umschalten](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/#How-to-toggle-accounts-between-new-fine-grained-actions-or-existing-IAM-Actions)? Abschnitt im Blogbeitrag. AWS
**Anmerkung**
Um die auszuführen, müssen Sie über die folgenden Berechtigungen verfügen:
`aws-portal:GetConsoleActionSetEnforced`
`aws-portal:UpdateConsoleActionSetEnforced`
`ce:GetConsoleActionSetEnforced`
`ce:UpdateConsoleActionSetEnforced`
`purchase-orders:GetConsoleActionSetEnforced`
`purchase-orders:UpdateConsoleActionSetEnforced`
Wenn Sie den Abschnitt **Neue IAM-Aktionen verwalten** nicht sehen, bedeutet dies, dass Ihr Konto die detaillierten IAM-Aktionen bereits aktiviert hat.
1. Unter **Neue IAM-Aktionen verwalten** erhält die Einstellung **Aktueller erzwungener Aktionssatz** den Status **Bestehend**.
Wählen Sie **Neue Aktionen aktivieren (Fine Grained)** und anschließend **Änderungen anwenden**.
1. Wählen Sie im Dialogfeld **Yes (Ja)** aus. Der Status **Aktueller erzwungener Aktionssatz** ändert sich in **Fine Grained**. Das bedeutet, dass die neuen Aktionen für Ihr AWS-Konto oder Ihre Organisation erzwungen werden.
1. (Optional) Anschließend können Sie Ihre bestehenden Richtlinien aktualisieren, um alle alten Aktionen zu entfernen.
**Example Beispiel: Vor und nach der IAM-Richtlinie**
Die folgende IAM-Richtlinie hat die alte `aws-portal:ViewPaymentMethods`-Aktion.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
}
]
}
```
Nachdem Sie die aktualisierte Richtlinie kopiert haben, enthält das folgende Beispiel den neuen `Sid`-Block mit den detaillierten Aktionen.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
},
{
"Sid": "AffectedPoliciesMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"invoicing:GetInvoicePDF",
"payments:GetPaymentInstrument",
"payments:GetPaymentStatus",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}
]
}
```
## Zugehörige Ressourcen
Weitere Informationen finden Sie unter [Seite](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu den neuen detaillierten Aktionen finden Sie in der [Referenz zur Zuordnung detaillierter IAM-Aktionen](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html) und unter [Benutzen detaillierter Abrechnungsaktionen](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html#migrate-user-permissions).
# Verwenden Sie Skripte, um Ihre Richtlinien auf einmal zu migrieren, damit detaillierte IAM-Aktionen verwendet werden können
**Anmerkung**
Für die folgenden AWS Identity and Access Management (IAM-) Aktionen wurde der Standardsupport im Juli 2023 eingestellt:
Namespace `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Wenn Sie verwenden AWS Organizations, können Sie die Bulk [Policy Migrator-Skripte oder den Bulk Policy Migrator](#migrate-iam-permissions) verwenden, um die Richtlinien von Ihrem Zahlerkonto aus zu aktualisieren. Sie können auch die [Referenz zur Zuordnung detaillierter IAM-Aktionen](migrate-granularaccess-iam-mapping-reference.md) verwenden, um die IAM-Aktionen zu überprüfen, die hinzugefügt werden müssen.
Wenn Sie über einen am oder nach dem 6. März 2023 AWS-Konto, 11:00 Uhr (PDT) AWS Organizations erstellten verfügen oder Teil eines solchen sind, sind die detaillierten Maßnahmen in Ihrer Organisation bereits wirksam.
Zur Migration Ihrer IAM-Richtlinien auf die neuen Aktionen, die so genannten detaillierten Aktionen, können Sie Skripte von der Website [AWS -Samples](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles) verwenden.
Sie führen diese Skripte auf dem Zahlerkonto Ihrer Organisation aus, um die folgenden betroffenen Richtlinien in Ihrer Organisation zu ermitteln, die die alten IAM-Aktionen verwenden:
+ Vom Kunden verwaltete IAM-Richtlinien
+ IAM-Inline-Richtlinien für Rollen, Gruppen und Benutzer
+ Richtlinien zur Dienstkontrolle (SCPs) (gilt nur für das Konto des Zahlers)
+ Berechtigungssätze
Die Skripte generieren Vorschläge für neue Aktionen, die existierenden Aktionen entsprechen, die in der Richtlinie verwendet werden. Anschließend überprüfen Sie die Vorschläge und fügen mithilfe der Skripte die neuen Aktionen für alle betroffenen Richtlinien in Ihrer Organisation hinzu. Sie müssen weder verwaltete noch AWS verwaltete Richtlinien SCPs (z. B. AWS Control Tower und AWS Organizations SCPs) aktualisieren. AWS
Sie verwenden diese Skripte, um:
+ Optimieren Sie die Richtlinienaktualisierungen, damit Sie die betroffenen Richtlinien vom Konto des Zahlers aus verwalten können.
+ Reduzieren Sie den Zeitraum, den Sie für die Aktualisierung der Richtlinien benötigen. Sie müssen sich nicht bei jedem Mitgliedskonto anmelden und die Richtlinien manuell aktualisieren.
+ Gruppieren Sie identische Richtlinien aus verschiedenen Mitgliedskonten. Sie können dann dieselben Updates für alle identischen Richtlinien überprüfen und anwenden, anstatt sie einzeln zu überprüfen.
+ Stellen Sie sicher, dass der Benutzerzugriff auch nach der AWS Einstellung der alten IAM-Aktionen am 6. Juli 2023 nicht beeinträchtigt wird.
Weitere Informationen zu Richtlinien und Richtlinien zur Dienststeuerung (SCPs) finden Sie in den folgenden Themen:
+ [Verwalten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) im *IAM-Benutzerhandbuch*
+ [Richtlinien zur Dienststeuerung (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations Benutzerhandbuch*
+ [Benutzerdefinierte Berechtigungen](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetcustom.html) im *IAM Identity Center-Benutzerhandbuch*
## -Übersicht
Halten Sie sich an dieses Thema, um die folgenden Schritte auszuführen:
**Topics**
+ [-Übersicht](#overview-bulk-migrate-policies)
+ [Voraussetzungen](#prerequisites-running-the-scripts)
+ [Schritt 1: Einrichten Ihrer Umgebung](#set-up-your-environment-and-download-the-scripts)
+ [Schritt 2: Erstellen Sie das CloudFormation StackSet](#create-the-cloudformation-stack)
+ [Schritt 3: Identifizieren der betroffenen Richtlinien](#identify-the-affected-policies)
+ [Schritt 4: Überprüfen der vorgeschlagenen Änderungen](#review-the-affected-policies)
+ [Schritt 5: Aktualisieren der betroffenen Richtlinien](#update-the-affected-policies)
+ [Schritt 6: Ihre Änderungen rückgängig machen (optional)](#revert-changes)
+ [Beispiele für IAM-Richtlinien](#examples-of-similar-policies)
## Voraussetzungen
Bevor Sie beginnen, müssen Sie Folgendes tun:
+ [Python 3](https://www.python.org/downloads/) herunterladen und installieren
+ Melden Sie sich bei Ihrem Zahlerkonto an und stellen Sie sicher, dass Sie über einen IAM-Prinzipal mit den folgenden IAM-Berechtigungen verfügen:
```
"iam:GetAccountAuthorizationDetails",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"sso:DescribePermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"sso:GetInlinePolicyForPermissionSet",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:ProvisionPermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sts:AssumeRole"
```
**Tipp**
Zu Beginn empfehlen wir Ihnen, eine Teilmenge eines Kontos zu verwenden, z. B. ein Testkonto, um zu überprüfen, ob die vorgeschlagenen Änderungen erwartet werden.
Anschließend können Sie die Skripte für die verbleibenden Konten in Ihrer Organisation erneut ausführen.
## Schritt 1: Einrichten Ihrer Umgebung
Laden Sie zunächst die erforderlichen Dateien von der [AWS -Samples](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles)-Website herunter. Anschließend führen Sie Befehle aus, um Ihre Umgebung einzurichten.
**Einrichten Ihrer Umgebung**
1. Klonen Sie das Repository von der [AWS -Samples](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles)-Website. Führen Sie im Befehlszeilen-Fenster den folgenden Befehl aus:
```
git clone https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles.git
```
1. Navigieren Sie zu dem Verzeichnis, in das Sie die Dateien heruntergeladen haben. Sie können folgenden Befehl verwenden:
```
cd bulk-policy-migrator-scripts-for-account-cost-billing-consoles
```
Im Repository können Sie die folgenden Skripte und Ressourcen finden:
+ `billing_console_policy_migrator_role.json`— Die CloudFormation Vorlage, mit der die `BillingConsolePolicyMigratorRole` IAM-Rolle in Mitgliedskonten Ihrer Organisation erstellt wird. Diese Rolle ermöglicht es den Skripten, die Rolle zu übernehmen und dann die betroffenen Richtlinien zu lesen und zu aktualisieren.
+ `action_mapping_config.json`— Enthält die one-to-many Zuordnung der alten Aktionen zu den neuen Aktionen. Die Skripte verwenden diese Datei, um die neuen Aktionen für jede betroffene Richtlinie vorzuschlagen, die die alten Aktionen enthält.
Jede alte Aktion entspricht mehreren detaillierten Aktionen. Die in der Datei vorgeschlagenen neuen Aktionen bieten Benutzern AWS-Services vor der Migration Zugriff auf dieselben.
+ `identify_affected_policies.py` – Scannt und identifiziert die betroffenen Richtlinien in Ihrer Organisation. Dieses Skript generiert eine `affected_policies_and_suggestions.json`-Datei, in der die betroffenen Richtlinien zusammen mit den vorgeschlagenen neuen Aktionen aufgeführt sind.
Betroffene Richtlinien, die dieselben alten Aktionen verwenden, werden in der JSON-Datei zusammengefasst, sodass Sie die vorgeschlagenen neuen Aktionen überprüfen oder aktualisieren können.
+ `update_affected_policies.py` – Aktualisiert die betroffenen Richtlinien in Ihrer Organisation. Das Skript gibt die `affected_policies_and_suggestions.json`-Datei ein und fügt dann die vorgeschlagenen neuen Aktionen zu den Richtlinien hinzu.
+ `rollback_affected_policies.py` – (Optional) Macht Änderungen rückgängig, die an den betroffenen Richtlinien vorgenommen wurden. Dieses Skript entfernt die neuen, detaillierten Aktionen aus den betroffenen Richtlinien.
1. Sie können die folgenden Befehle ausführen, um die virtuelle Umgebung einzurichten und zu aktivieren.
```
python3 -m venv venv
```
```
source venv/bin/activate
```
1. Führen Sie den folgenden Befehl aus, um die AWS SDK für Python (Boto3) Abhängigkeit zu installieren.
```
pip install -r requirements.txt
```
**Anmerkung**
Sie müssen Ihre AWS Anmeldeinformationen für die Verwendung von AWS Command Line Interface (AWS CLI) konfigurieren. Weitere Informationen finden Sie unter [AWS SDK für Python (Boto3)](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/credentials.html).
Weitere Informationen finden Sie in der Datei [README.md](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles#readme).
## Schritt 2: Erstellen Sie das CloudFormation StackSet
Gehen Sie wie folgt vor, um ein CloudFormation *Stack-Set* zu erstellen. Dieses Stack-Set erstellt dann die IAM-Rolle `BillingConsolePolicyMigratorRole` für alle Mitgliedskonten Ihrer Organisation.
**Anmerkung**
Sie müssen diesen Schritt nur einmal vom Verwaltungskonto (Zahlerkonto) aus ausführen.
**Um das zu erstellen CloudFormation StackSet**
1. Öffnen Sie die `billing_console_policy_migrator_role.json` Datei in einem Texteditor und ersetzen Sie jede Instanz von *``* durch die Konto-ID des Zahlerkontos (z. B.*123456789012*).
1. Speichern Sie die Datei.
1. Melden Sie sich AWS-Managementkonsole als Zahlerkonto an.
1. Erstellen Sie in der CloudFormation Konsole ein Stack-Set mit der `billing_console_policy_migrator_role.json` Datei, die Sie aktualisiert haben.
Weitere Informationen finden Sie im *AWS CloudFormation Benutzerhandbuch* unter [Erstellen eines Stack-Sets auf der AWS CloudFormation Konsole](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html).
Nach CloudFormation der Erstellung des Stack-Sets hat jedes Mitgliedskonto in Ihrer Organisation eine `BillingConsolePolicyMigratorRole` IAM-Rolle.
Die IAM-Rolle enthält die folgenden Berechtigungen:
```
"iam:GetAccountAuthorizationDetails",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion"
```
**Hinweise**
Für jedes Mitgliedskonto rufen die Skripts den [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)API-Vorgang auf, um temporäre Anmeldeinformationen für die Übernahme der `BillingConsolePolicyMigratorRole` IAM-Rolle abzurufen.
Die Skripts rufen den [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)API-Vorgang auf, um alle Mitgliedskonten abzurufen.
Die Skripte rufen auch IAM-API-Vorgänge auf, um die Lese- und Schreibberechtigungen für die Richtlinien auszuführen.
## Schritt 3: Identifizieren der betroffenen Richtlinien
Nachdem Sie das Stack-Set erstellt und die Dateien heruntergeladen haben, führen Sie das `identify_affected_policies.py`-Skript aus. Dieses Skript übernimmt die `BillingConsolePolicyMigratorRole`-IAM-Rolle für jedes Mitgliedskonto und identifiziert dann die betroffenen Richtlinien.
**So identifizieren Sie die betroffenen Richtlinien**
1. Navigieren Sie zu dem Verzeichnis, in das Sie die Skripte heruntergeladen haben.
```
cd policy_migration_scripts/scripts
```
1. Führen Sie das `identify_affected_policies.py`-Skript aus.
Sie können auch die folgenden Eingabeparameter verwenden:
+ AWS-Konten dass Sie möchten, dass das Skript scannt. Verwenden Sie die folgenden Eingabeparameter, um Konten anzugeben:
+ `--all` – Scannt alle Mitgliedskonten Ihrer Organisation.
```
python3 identify_affected_policies.py --all
```
+ `--accounts` – Scannt eine Teilgruppe der Mitgliedskonten Ihrer Organisation.
```
python3 identify_affected_policies.py --accounts 111122223333, 444455556666, 777788889999
```
+ `--exclude-accounts` – Schließt bestimmte Mitgliedskonten Ihrer Organisation aus.
```
python3 identify_affected_policies.py --all --exclude-accounts 111111111111, 222222222222, 333333333333
```
+ ` –-action-mapping-config-file` – (Optional) Gibt den Pfad zur `action_mapping_config.json`-Datei an. Das Skript verwendet diese Datei, um Vorschläge für Aktualisierungen der betroffenen Richtlinien zu generieren. Wenn Sie den Pfad nicht angeben, verwendet das Skript die `action_mapping_config.json`-Datei im Ordner.
```
python3 identify_affected_policies.py –-action-mapping-config-file c:\Users\username\Desktop\Scripts\action_mapping_config.json –-all
```
**Anmerkung**
Mit diesem Skript können Sie keine Organisationseinheiten (OUs) angeben.
Nachdem Sie das Skript ausgeführt haben, erstellt es zwei JSON-Dateien in einem `Affected_Policies_`-Ordner:
+ `affected_policies_and_suggestions.json`
+ `detailed_affected_policies.json`
**`affected_policies_and_suggestions.json`**
Listet die betroffenen Richtlinien mit den vorgeschlagenen neuen Maßnahmen auf. Betroffene Richtlinien, die dieselben alten Aktionen verwenden, sind in der Datei zusammengefasst.
Diese Datei enthält die folgenden Abschnitte:
+ Metadaten, die einen Überblick über die Konten bieten, die Sie im Skript angegeben haben, einschließlich:
+ Gescannte Konten und der für das `identify_affected_policies.py`-Skript verwendete Eingabeparameter
+ Anzahl der betroffenen Konten
+ Anzahl der betroffenen Policen
+ Anzahl ähnlicher Richtliniengruppen
+ Ähnliche Richtliniengruppen – Enthält die Liste der Konten und Richtlinienndetails, einschließlich der folgenden Abschnitte:
+ `ImpactedPolicies` – Gibt an, welche Richtlinien betroffen und in der Gruppe enthalten sind
+ `ImpactedPolicyStatements` – Stellt Informationen zu den `Sid`-Blöcken bereit, die derzeit die alten Aktionen in der betroffenen Richtlinie verwenden. Dieser Abschnitt enthält die alten Aktionen und IAM-Elemente wie `Effect`, `Principal`, `NotPrincipal`, `NotAction` und `Condition`.
+ `SuggestedPolicyStatementsToAppend` – Stellt die vorgeschlagenen neuen Aktionen bereit, die als neuer `SID`-Block hinzugefügt werden.
Wenn Sie die Richtlinien aktualisieren, wird dieser Block an das Ende der Richtlinien angehängt.
**Example `affected_policies_and_suggestions.json`-Beispieldatei**
In dieser Datei werden Richtlinien zusammengefasst, die sich auf der Grundlage der folgenden Kriterien ähneln:
+ Es werden dieselben alten Aktionen verwendet – Richtlinien, die in allen `SID`-Blöcken dieselben alten Aktionen haben.
+ Übereinstimmende Details – Zusätzlich zu den betroffenen Aktionen enthalten die Richtlinien identische IAM-Elemente, wie zum Beispiel:
+ `Effect` (`Allow`/`Deny`)
+ `Principal` (wem wird der Zugriff gewährt oder verweigert)
+ `NotAction` (welche Aktionen sind nicht erlaubt)
+ `NotPrincipal` (wem wird der Zugriff explizit verweigert)
+ `Resource`(für welche AWS Ressourcen die Richtlinie gilt)
+ `Condition` (alle spezifischen Bedingungen, unter denen die Richtlinie gilt)
Weitere Informationen finden Sie unter [Beispiele für IAM-Richtlinien](#examples-of-similar-policies).
**Example Beispiel-`affected_policies_and_suggestions.json`**
```
[{
"AccountsScanned": [
"111111111111",
"222222222222"
],
"TotalAffectedAccounts": 2,
"TotalAffectedPolicies": 2,
"TotalSimilarPolicyGroups": 2
},
{
"GroupName": "Group1",
"ImpactedPolicies": [{
"Account": "111111111111",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-Allow",
"PolicyIdentifier": "1111111_1-user:Inline-Test-Policy-Allow"
},
{
"Account": "222222222222",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-Allow",
"PolicyIdentifier": "222222_1-group:Inline-Test-Policy-Allow"
}
],
"ImpactedPolicyStatements": [
[{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccounts"
],
"Resource": "*"
}]
],
"SuggestedPolicyStatementsToAppend": [{
"Sid": "BillingConsolePolicyMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"account:GetAlternateContact",
"account:GetChallengeQuestions",
"account:GetContactInformation",
"billing:GetContractInformation",
"billing:GetIAMAccessPreference",
"billing:GetSellerOfRecord",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}]
},
{
"GroupName": "Group2",
"ImpactedPolicies": [{
"Account": "111111111111",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-deny",
"PolicyIdentifier": "1111111_2-user:Inline-Test-Policy-deny"
},
{
"Account": "222222222222",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-deny",
"PolicyIdentifier": "222222_2-group:Inline-Test-Policy-deny"
}
],
"ImpactedPolicyStatements": [
[{
"Sid": "VisualEditor0",
"Effect": "deny",
"Action": [
"aws-portal:ModifyAccount"
],
"Resource": "*"
}]
],
"SuggestedPolicyStatementsToAppend": [{
"Sid": "BillingConsolePolicyMigrator1",
"Effect": "Deny",
"Action": [
"account:CloseAccount",
"account:DeleteAlternateContact",
"account:PutAlternateContact",
"account:PutChallengeQuestions",
"account:PutContactInformation",
"billing:PutContractInformation",
"billing:UpdateIAMAccessPreference",
"payments:UpdatePaymentPreferences"
],
"Resource": "*"
}]
}
]
```
**`detailed_affected_policies.json`**
Enthält die Definition aller betroffenen Richtlinien, die das `identify_affected_policies.py`-Skript für Mitgliedskonten identifiziert hat.
In der Datei werden ähnliche Richtlinien zusammengefasst. Sie können diese Datei als Referenz verwenden, sodass Sie Richtlinienänderungen überprüfen und verwalten können, ohne sich bei jedem Mitgliedskonto anmelden zu müssen, um die Aktualisierungen für jede Richtlinie und jedes Konto einzeln zu überprüfen.
Sie können die Datei nach dem Richtliniennamen durchsuchen (z. B. `YourCustomerManagedReadOnlyAccessBillingUser`) und dann die betroffenen Richtliniendefinitionen überprüfen.
**Example Beispiel: `detailed_affected_policies.json`**
## Schritt 4: Überprüfen der vorgeschlagenen Änderungen
Nachdem das Skript die `affected_policies_and_suggestions.json`-Datei erstellt hat, überprüfen Sie sie und nehmen alle Änderungen vor.
**So überprüfen Sie die betroffenen Richtlinien**
1. Öffnen Sie die Datei `affected_policies_and_suggestions.json` in einem Texteditor.
1. Stellen Sie in dem `AccountsScanned`-Abschnitt sicher, dass die Anzahl ähnlicher Gruppen, die in den gescannten Konten identifiziert wurden, erwartet wird.
1. Prüfen Sie die vorgeschlagenen detaillierten Maßnahmen, die zu den betroffenen Richtlinien hinzugefügt werden.
1. Aktualisieren Sie Ihre Datei nach Bedarf und speichern Sie sie dann.
### Beispiel 1: Aktualisieren der `action_mapping_config.json`-Datei
Sie können die vorgeschlagenen Zuordnungen in der `action_mapping_config.json` aktualisieren. Nachdem Sie die Datei aktualisiert haben, können Sie das `identify_affected_policies.py`-Skript erneut ausführen. Dieses Skript generiert aktualisierte Vorschläge für die betroffenen Richtlinien.
Sie können mehrere Versionen der `action_mapping_config.json`-Datei erstellen, um die Richtlinien für verschiedene Konten mit unterschiedlichen Berechtigungen zu ändern. Sie könnten beispielsweise eine Datei mit dem Namen `action_mapping_config_testing.json` erstellen, um die Berechtigungen für Ihre Testkonten und `action_mapping_config_production.json` für Ihre Produktionskonten zu migrieren.
### Beispiel 2: Aktualisieren der `affected_policies_and_suggestions.json`-Datei
Um Änderungen an den vorgeschlagenen Ersetzungen für eine bestimmte betroffene Richtliniengruppe vorzunehmen, können Sie den Abschnitt „Ersatzvorschläge“ in der `affected_policies_and_suggestions.json`-Datei direkt bearbeiten.
Alle Änderungen, die Sie in diesem Abschnitt vornehmen, werden auf alle Richtlinien innerhalb der jeweiligen betroffenen Richtliniengruppe angewendet.
### Beispiel 3: Anpassen einer bestimmten Richtlinie
Wenn Sie feststellen, dass eine Richtlinie innerhalb einer betroffenen Richtliniengruppe andere Änderungen als die vorgeschlagenen Aktualisierungen benötigt, können Sie wie folgt vorgehen:
+ Schließt bestimmte Konten aus dem `identify_affected_policies.py`-Skript aus. Sie können diese ausgeschlossenen Konten dann separat überprüfen.
+ Aktualisieren Sie die betroffenen `Sid`-Blöcke, indem Sie die betroffenen Richtlinien und Konten entfernen, für die unterschiedliche Berechtigungen erforderlich sind. Erstellen Sie einen JSON-Block, der nur die spezifischen Konten enthält oder sie von der aktuellen Ausführung der Richtlinie ausschließt, die von der Aktualisierung betroffen ist.
Wenn Sie das `identify_affected_policies.py`-Skript erneut ausführen, werden nur die entsprechenden Konten im aktualisierten Block angezeigt. Anschließend können Sie die Ersatzvorschläge für diesen bestimmten `Sid`-Block verfeinern.
## Schritt 5: Aktualisieren der betroffenen Richtlinien
Nachdem Sie die Ersatzvorschläge überprüft und verfeinert haben, führen Sie das `update_affected_policies.py`-Skript aus. Das Skript verwendet die `affected_policies_and_suggestions.json`-Datei als Eingabe. Dieses Skript übernimmt die `BillingConsolePolicyMigratorRole`-IAM-Rolle, um die in der `affected_policies_and_suggestions.json`-Datei aufgeführten betroffenen Richtlinien zu aktualisieren.
**So aktualisieren Sie die betroffenen Richtlinien**
1. Wenn Sie dies noch nicht getan haben, öffnen Sie ein Befehlszeilenfenster für die AWS CLI.
1. Geben Sie den folgenden Befehl ein, um das `update_affected_policies.py`-Skript auszuführen. Sie können die folgenden Eingabeparameter eingeben:
+ Der Verzeichnispfad der `affected_policies_and_suggestions.json`-Datei, die eine Liste der betroffenen Richtlinien enthält, die aktualisiert werden sollen. Diese Datei ist eine Ausgabe des vorherigen Schritts.
```
python3 update_affected_policies.py --affected-policies-directory Affected_Policies_
```
Das `update_affected_policies.py`-Skript aktualisiert die betroffenen Richtlinien in der `affected_policies_and_suggestions.json`-Datei mit den vorgeschlagenen neuen Aktionen. Das Skript fügt den Richtlinien einen `Sid` Block hinzu, der als identifiziert ist`BillingConsolePolicyMigrator#`, wobei *\$1* dies einem inkrementellen Zähler entspricht (z. B. 1, 2, 3).
Wenn die betroffene Richtlinie beispielsweise mehrere `Sid`-Blöcke enthält, die alte Aktionen verwenden, fügt das Skript mehrere `Sid`-Blöcke hinzu, die als `BillingConsolePolicyMigrator#` erscheinen, um jedem `Sid`-Block zu entsprechen.
**Wichtig**
Das Skript entfernt keine alten IAM-Aktionen aus den Richtlinien und ändert auch keine vorhandenen `Sid`-Blöcke in den Richtlinien. Stattdessen werden `Sid`-Blöcke erstellt und an das Ende der Richtlinie angehängt. Diese neuen `Sid`-Blöcke enthalten die vorgeschlagenen neuen Aktionen aus der JSON-Datei. Dadurch wird sichergestellt, dass die Berechtigungen der ursprünglichen Richtlinien nicht geändert werden.
Wir raten davon ab, den Namen der `BillingConsolePolicyMigrator#`-`Sid`-Blöcke zu ändern, falls Sie Ihre Änderungen rückgängig machen müssen.
**Example Beispiel: Richtlinie mit angehängten `Sid`-Blöcken**
Sehen Sie sich die angefügten `Sid`-Blöcke in den `BillingConsolePolicyMigrator1`- und `BillingConsolePolicyMigrator2`-Blöcken an.
Das Skript generiert einen Statusbericht, der erfolglose Vorgänge enthält, und gibt die JSON-Datei lokal aus.
**Example Beispiel: Statusbericht**
```
[{
"Account": "111111111111",
"PolicyType": "Customer Managed Policy"
"PolicyName": "AwsPortalViewPaymentMethods",
"PolicyIdentifier": "identifier",
"Status": "FAILURE", // FAILURE or SKIPPED
"ErrorMessage": "Error message details"
}]
```
**Wichtig**
Wenn Sie die `identify_affected_policies.py`- und `update_affected_policies.py` -Skripte erneut ausführen, überspringen sie alle Richtlinien, die den `BillingConsolePolicyMigratorRole#`-`Sid`-Block enthalten. Die Skripte gehen davon aus, dass diese Richtlinien zuvor gescannt und aktualisiert wurden und dass keine zusätzlichen Updates erforderlich sind. Dadurch wird verhindert, dass das Skript dieselben Aktionen in der Richtlinie dupliziert.
Nachdem Sie die betroffenen Richtlinien aktualisiert haben, können Sie das neue IAM verwenden, indem Sie das Tool für betroffene Richtlinien verwenden. Wenn Sie Probleme feststellen, können Sie das Tool verwenden, um zu den vorherigen Aktionen zurückzukehren. Sie können auch ein Skript verwenden, um Ihre Richtlinienaktualisierungen rückgängig zu machen.
Weitere Informationen finden Sie unter [Wie Sie das Tool für betroffene Richtlinien verwenden](migrate-security-iam-tool.md) und im Blogbeitrag [Änderungen an den Berechtigungen für AWS Fakturierung, Kostenmanagement und Kontokonsolen](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/).
Um Ihre Aktualisierungen zu verwalten, können Sie:
Die Skripte für jedes Konto einzeln ausführen.
Das Skript stapelweise für ähnliche Konten ausführen, z. B. für Test-, QA- und Produktionskonten.
Das Skript für alle Konten ausführen.
Wählen Sie eine Mischung aus der stapelweisen Aktualisierung einiger Konten und der anschließenden einzelnen Aktualisierung anderer Konten.
## Schritt 6: Ihre Änderungen rückgängig machen (optional)
Das `rollback_affected_policies.py`-Skript macht die Änderungen rückgängig, die auf jede betroffene Richtlinie für die angegebenen Konten angewendet wurden. Das Skript entfernt alle `Sid`-Blöcke, die das `update_affected_policies.py`-Skript angehängt hat. Diese `Sid`-Blöcke haben das `BillingConsolePolicyMigratorRole#`-Format.
**So machen Sie Ihre Änderungen rückgängig**
1. Wenn Sie dies noch nicht getan haben, öffnen Sie ein Befehlszeilenfenster für die AWS CLI.
1. Geben Sie den folgenden Befehl ein, um das `rollback_affected_policies.py`-Skript auszuführen. Sie können die folgenden Eingabeparameter eingeben:
+ `--accounts`
+ Gibt eine durch Kommas getrennte Liste der Elemente an AWS-Konto IDs , die Sie in das Rollback aufnehmen möchten.
+ Das folgende Beispiel scannt die Richtlinien in der angegebenen Liste und entfernt alle Anweisungen AWS-Konten, die den Block enthalten. `BillingConsolePolicyMigrator#` `Sid`
```
python3 rollback_affected_policies.py –-accounts 111122223333, 555555555555, 666666666666
```
+ `--all`
+ Schließt alle AWS-Konto IDs in Ihrer Organisation ein.
+ Im folgenden Beispiel werden die Richtlinien in Ihrer Organisation gescannt und alle Anweisungen entfernt, die den `BillingConsolePolicyMigratorRole#`-`Sid`-Block enthalten.
```
python3 rollback_affected_policies.py –-all
```
+ `--exclude-accounts`
+ Gibt eine durch Kommas getrennte Liste der Elemente an AWS-Konto IDs , die Sie vom Rollback ausschließen möchten.
Sie können diesen Parameter nur verwenden, wenn Sie auch den `--all`-Parameter angeben.
+ Im folgenden Beispiel werden die Richtlinien für alle AWS-Konten in Ihrer Organisation gescannt, mit Ausnahme der angegebenen Konten.
```
python3 rollback_affected_policies.py --all --exclude-accounts 777777777777, 888888888888, 999999999999
```
## Beispiele für IAM-Richtlinien
Richtlinien gelten als ähnlich, wenn Folgendes identisch ist:
+ Betroffene Aktionen in allen `Sid`-Blöcken.
+ Details bei folgenden IAM-Elementen:
+ `Effect` (`Allow`/`Deny`)
+ `Principal` (wem wird der Zugriff gewährt oder verweigert)
+ `NotAction` (welche Aktionen sind nicht erlaubt)
+ `NotPrincipal` (wem wird der Zugriff explizit verweigert)
+ `Resource`(für welche AWS Ressourcen die Richtlinie gilt)
+ `Condition` (alle spezifischen Bedingungen, unter denen die Richtlinie gilt)
Die folgenden Beispiele zeigen Richtlinien, die IAM aufgrund ihrer Unterschiede als ähnlich oder nicht ähnlich betrachten könnte.
**Example Beispiel 1: Richtlinien werden als ähnlich angesehen**
Jeder Richtlinientyp ist anders, aber beide Richtlinien enthalten einen `Sid`-Block mit derselben betroffenen `Action`.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
**Example Beispiel 2: Richtlinien werden als ähnlich angesehen**
Beide Richtlinien enthalten einen `Sid`-Block mit derselben betroffenen `Action`. Richtlinie 2 enthält zusätzliche Aktionen, aber diese Aktionen sind nicht betroffen.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing",
"athena:*"
],
"Resource": "*"
}]
}
```
**Example Beispiel 3: Richtlinien werden als ähnlich angesehen**
Beide Richtlinien enthalten einen `Sid`-Block mit derselben betroffenen `Action`. Richtlinie 2 enthält jedoch ein `Condition`-Element, das in Richtlinie 1 nicht vorhanden ist.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing",
"athena:*"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "true"
}
}
}]
}
```
**Example Beispiel 4: Richtlinien werden als ähnlich angesehen**
Richtlinie 1 hat einen einzigen `Sid`-Block mit einer betroffenen `Action`. Richtlinie 2 hat mehrere `Sid`-Blöcke, aber die betroffene `Action` erscheint nur in einem Block.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"cloudtrail:Get*"
],
"Resource": "*"
}
]
}
```
**Example Beispiel 5: Richtlinien werden als ähnlich angesehen**
Richtlinie 1 hat einen einzigen `Sid`-Block mit einer betroffenen `Action`. Richtlinie 2 besteht aus mehreren `Sid`-Blöcken, und die betroffenen `Action` werden in mehreren Blöcken angezeigt.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*"
],
"Resource": "*"
}
]
}
```
**Example Beispiel 6: Richtlinien werden als ähnlich angesehen**
Beide Richtlinien bestehen aus mehreren `Sid`-Blöcken, und in jedem `Sid`-Block befindet sich dieselbe betroffene `Action`.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"iam:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"iam:Update*"
],
"Resource": "*"
}
]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"athena:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"athena:Update*"
],
"Resource": "*"
}
]
}
```
**Example Beispiel 7**
Die folgenden beiden Richtlinien werden nicht als ähnlich angesehen.
Richtlinie 1 hat einen einzigen `Sid`-Block mit einer betroffenen `Action`. Richtlinie 2 hat einen `Sid`-Block mit derselben betroffenen `Action`. Richtlinie 2 enthält jedoch auch einen weiteren `Sid`-Block mit unterschiedlichen Aktionen.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"iam:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"iam:Update*"
],
"Resource": "*"
}
]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"athena:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:*Billing",
"athena:Update*"
],
"Resource": "*"
}
]
}
```
# Referenz zur Zuordnung detaillierter IAM-Aktionen
**Anmerkung**
Für die folgenden AWS Identity and Access Management (IAM-) Aktionen wurde der Standardsupport im Juli 2023 eingestellt:
Namespace `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Wenn Sie verwenden AWS Organizations, können Sie die Bulk [Policy Migrator-Skripte oder den Bulk Policy Migrator](migrate-iam-permissions.md) verwenden, um die Richtlinien von Ihrem Zahlerkonto aus zu aktualisieren. Sie können auch die [Referenz zur Zuordnung detaillierter IAM-Aktionen](#migrate-granularaccess-iam-mapping-reference) verwenden, um die IAM-Aktionen zu überprüfen, die hinzugefügt werden müssen.
Wenn Sie über einen am oder nach dem 6. März 2023 AWS-Konto, 11:00 Uhr (PDT) AWS Organizations erstellten verfügen oder Teil eines solchen sind, sind die detaillierten Maßnahmen in Ihrer Organisation bereits wirksam.
Sie müssen die folgenden IAM-Aktionen in Ihre Berechtigungsrichtlinien oder Service-Kontrollrichtlinien (SCP) migrieren:
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
In diesem Thema können Sie die Zuordnung der alten zu den neuen detaillierten Aktionen für jede IAM-Aktion, die wir außer Betrieb nehmen, einsehen.
**-Übersicht**
1. Überprüfen Sie Ihre betroffenen IAM-Richtlinien in Ihrem AWS-Konto. Befolgen Sie dazu die Schritte im Tool **Betroffene Richtlinien**, um Ihre betroffenen IAM-Richtlinien zu identifizieren. Siehe [Wie Sie das Tool für betroffene Richtlinien verwenden](migrate-security-iam-tool.md).
1. Verwenden Sie die IAM-Konsole, um die neuen differenzierten Berechtigungen zu Ihrer Richtlinie hinzuzufügen. Wenn Ihre Richtlinie beispielsweise die Berechtigung `purchase-orders:ModifyPurchaseOrders` zulässt, müssen Sie jede Aktion in der Tabelle [Zuordnung für purchase-orders:ModifyPurchaseOrders](#mapping-for-purchase-ordersmodifypurchaseorders) hinzufügen.
**Alte Richtlinie**
Mit der folgenden Richtlinie kann ein Benutzer beliebige Bestellungen im Konto hinzufügen, löschen oder ändern.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "purchase-orders:ModifyPurchaseOrders",
"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
}
]
}
```
------
**Neue Richtlinie**
Mit der folgenden Richtlinie kann ein Benutzer außerdem jede Bestellung im Konto hinzufügen, löschen oder ändern. Beachten Sie, dass jede differenzierte Berechtigung nach der alten Berechtigung `purchase-orders:ModifyPurchaseOrders` angezeigt wird. Diese Berechtigungen geben Ihnen mehr Kontrolle darüber, welche Aktionen Sie zulassen oder ablehnen möchten.
**Tipp**
Wir empfehlen Ihnen, die alten Berechtigungen beizubehalten, um sicherzustellen, dass Sie keine Berechtigungen verlieren, bis diese Migration abgeschlossen ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"purchase-orders:ModifyPurchaseOrders",
"purchase-orders:AddPurchaseOrder",
"purchase-orders:DeletePurchaseOrder",
"purchase-orders:UpdatePurchaseOrder",
"purchase-orders:UpdatePurchaseOrderStatus"
],
"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
}
]
}
```
------
1. Speichern Sie Ihre Änderungen.
**Hinweise**
Informationen zum manuellen Bearbeiten von Richtlinien in der IAM-Konsole finden Sie unter [Bearbeiten von vom Kunden verwalteten Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console) im *IAM-Benutzerhandbuch*.
Informationen zur Massenmigration Ihrer IAM-Richtlinien zur Verwendung differenzierter Aktionen (neuer Aktionen) finden Sie unter [Verwenden Sie Skripte, um Ihre Richtlinien auf einmal zu migrieren, damit detaillierte IAM-Aktionen verwendet werden können](migrate-iam-permissions.md).
**Contents**
+ [Zuordnung für aws-portal:ViewAccount](#mapping-for-aws-portalviewaccount)
+ [Zuordnung für aws-portal:ViewBilling](#mapping-for-aws-portalviewbilling)
+ [Zuordnung für aws-portal:ViewPaymentMethods](#mapping-for-aws-portalviewpaymentmethods)
+ [Zuordnung für aws-portal:ViewUsage](#mapping-for-aws-portalviewusage)
+ [Zuordnung für aws-portal:ModifyAccount](#mapping-for-aws-portalmodifyaccount)
+ [Zuordnung für aws-portal:ModifyBilling](#mapping-for-aws-portalmodifybilling)
+ [Zuordnung für aws-portal:ModifyPaymentMethods](#mapping-for-aws-portalmodifypaymentmethods)
+ [Zuordnung für purchase-orders:ViewPurchaseOrders](#mapping-for-purchase-ordersviewpurchaseorders)
+ [Zuordnung für purchase-orders:ModifyPurchaseOrders](#mapping-for-purchase-ordersmodifypurchaseorders)
## Zuordnung für aws-portal:ViewAccount
| Neue Aktion | Description | Zugriffsebene |
| --- | --- | --- |
| account:GetAccountInformation | Gewährt die Berechtigung zum Abrufen der Kontoinformationen für ein Konto | Lesen |
| account:GetAlternateContact | Gewährt die Berechtigung zum Abrufen der alternativen Kontakte für ein Konto | Lesen |
| account:GetContactInformation | Erteilung der Berechtigung zum Abrufen der Hauptkontaktinformationen für ein Konto | Lesen |
| billing:GetContractInformation | Gewährt die Berechtigung zum Einsehen der Vertragsinformationen des Kontos, einschließlich der Vertragsnummer, der Namen der Endbenutzerorganisationen, der Bestellnummern und ob das Konto für die Betreuung von Kunden des öffentlichen Sektors verwendet wird | Lesen |
| billing:GetIAMAccessPreference | Gewährt die Berechtigung zum Abrufen des Status der Rechnungspräferenz IAM-Zugriff zulassen | Lesen |
| billing:GetSellerOfRecord | Gewährt die Berechtigung, den standardmäßig eingetragenen Verkäufer des Kontos abzurufen | Lesen |
| payments:ListPaymentPreferences | Gewährt die Berechtigung, Zahlungspräferenzen zu erhalten (zum Beispiel bevorzugte Zahlungswährung, bevorzugte Zahlungsmethode) | Lesen |
## Zuordnung für aws-portal:ViewBilling
| Neue Aktion | Description | Zugriffsebene |
| --- | --- | --- |
| account:GetAccountInformation | Gewährt die Berechtigung zum Abrufen der Kontoinformationen für ein Konto | Lesen |
| billing:GetBillingData | Gewährt die Berechtigung zum Ausführen von Abfragen zu Abrechnungsinformationen | Lesen |
| billing:GetBillingDetails | Gewährt die Berechtigung zum Anzeigen der Rechnungsinformationen für Einzelposten | Lesen |
| billing:GetBillingNotifications | Erteilt die Erlaubnis, Benachrichtigungen einzusehen, die von gesendet wurden und sich auf die AWS Rechnungsinformationen Ihres Kontos beziehen | Lesen |
| billing:GetBillingPreferences | Gewährt die Berechtigung zum Einsehen der Rechnungspräferenzen, wie Reserved Instances, Savings Plans und Teilen von Guthaben | Lesen |
| billing:GetContractInformation | Gewährt die Berechtigung zum Einsehen der Vertragsinformationen des Kontos, einschließlich der Vertragsnummer, der Namen der Endbenutzerorganisationen, der Bestellnummern und ob das Konto für die Betreuung von Kunden des öffentlichen Sektors verwendet wird | Lesen |
| billing:GetCredits | Gewährt die Berechtigung zum Aufrufen des eingelösten Guthabens | Lesen |
| billing:GetIAMAccessPreference | Gewährt die Berechtigung zum Abrufen des Status der Rechnungspräferenz IAM-Zugriff zulassen | Lesen |
| billing:GetSellerOfRecord | Gewährt die Berechtigung, den standardmäßig eingetragenen Verkäufer des Kontos abzurufen | Lesen |
| billing:ListBillingViews | Gewährt die Berechtigung, Abrechnungsinformationen für Ihre Proforma-Abrechnungsgruppen abzurufen | Auflisten |
| ce:DescribeNotificationSubscription | Gewährt die Berechtigung zum Anzeigen von Warnungen beim Ablauf der Reservierung | Lesen |
| ce:DescribeReport | Gewährt die Berechtigung zum Anzeigen der Berichtsseite für Cost Explorer | Read |
| ce:GetAnomalies | Gewährt die Berechtigung zum Abrufen von Anomalien | Read |
| ce:GetAnomalyMonitors | Gewährt die Berechtigung zum Abfragen von Anomalieüberwachungen | Read |
| ce:GetAnomalySubscriptions | Gewährt die Berechtigung zum Abfragen von Anomalieabonnements | Read |
| ce:GetCostAndUsage | Gewährt die Berechtigung zum Abrufen der Kosten und Nutzungsmetriken für Ihr Konto | Read |
| ce:GetCostAndUsageWithResources | Gewährt die Berechtigung zum Abrufen der Kosten und Nutzungsmetriken mit Ressourcen für Ihr Konto | Lesen |
| ce:GetCostCategories | Gewährt die Berechtigung zum Abfragen der Namen und Werte von Kostenkategorien für einen angegebenen Zeitraum | Lesen |
| ce:GetCostForecast | Gewährt die Berechtigung zum Abrufen einer Kostenschätzung für einen prognostizierten Zeitraum | Read |
| ce:GetDimensionValues | Gewährt die Berechtigung zum Abrufen aller verfügbaren Filterwerte eines Filters für einen bestimmten Zeitraum | Lesen |
| ce:GetPreferences | Gewährt die Berechtigung zum Anzeigen der Einstellungenseite für Cost Explorer | Lesen |
| ce:GetReservationCoverage | Gewährt die Berechtigung zum Abrufen der Reservierungsabdeckung für Ihr Konto | Lesen |
| ce:GetReservationPurchaseRecommendation | Gewährt die Berechtigung zum Abrufen der Reservierungsempfehlungen für Ihr Konto | Read |
| ce:GetReservationUtilization | Gewährt die Berechtigung zum Abrufen der Reservierungsauslastung für Ihr Konto | Read |
| ce:GetRightsizingRecommendation | Gewährt die Berechtigung zum Abrufen der Rightsizing-Empfehlungen für Ihr Konto | Read |
| ce:GetSavingsPlansCoverage | Gewährt die Berechtigung zum Abrufen der Savings Plans für Ihr Konto | Read |
| ce:GetSavingsPlansPurchaseRecommendation | Gewährt die Berechtigung zum Abrufen der Empfehlungen für Savings Plans für Ihr Konto | Read |
| ce:GetSavingsPlansUtilization | Gewährt die Berechtigung zum Abrufen der Savings Plans-Nutzung für Ihr Konto | Read |
| ce:GetSavingsPlansUtilizationDetails | Gewährt die Berechtigung zum Abrufen Savings Plans-Nutzungsdetails für Ihr Konto | Read |
| ce:GetTags | Gewährt die Berechtigung zum Abfragen von Tags für einen bestimmten Zeitraum | Read |
| ce:GetUsageForecast | Gewährt die Berechtigung zum Abrufen einer Nutzungsschätzung für einen prognostizierten Zeitraum | Lesen |
| ce:ListCostAllocationTags | Gewährt die Berechtigung zum Auflisten aller Kostenzuordnungs-Tags | Auflisten |
| ce:ListSavingsPlansPurchaseRecommendationGeneration | Gewährt die Berechtigung zum Abrufen einer Liste Ihrer historischen Empfehlungsgenerationen | Lesen |
| consolidatedbilling:GetAccountBillingRole | Gewährt die Berechtigung zum Erhalten der Kontorolle (Zahler, Verknüpft, Regulär) | Lesen |
| consolidatedbilling:ListLinkedAccounts | Gewährt die Berechtigung zum Erhalten der Liste der Mitglieder- und verknüpften Konten | Auflisten |
| cur:GetClassicReport | Gewährt die Berechtigung zum Abrufen des CSV-Berichts für Ihre Rechnung | Lesen |
| cur:GetClassicReportPreferences | Gewährt die Berechtigung zum Erhalten des klassischen Berichtsaktivierungsstatus für Nutzungsberichte | Lesen |
| cur:ValidateReportDestination | Erteilt die Berechtigung zur Überprüfung, ob der Amazon S3 S3-Bucket mit den entsprechenden Berechtigungen für die AWS CUR-Lieferung vorhanden ist | Lesen |
| freetier:GetFreeTierAlertPreference | Erteilt die Erlaubnis, die bevorzugte Kostenloses AWS-Kontingent Warnmeldung abzurufen (anhand der E-Mail-Adresse) | Lesen |
| freetier:GetFreeTierUsage | Erteilt die Erlaubnis, Kostenloses AWS-Kontingent Nutzungslimits und den month-to-date Nutzungsstatus (MTD) abzurufen | Lesen |
| invoicing:GetInvoiceEmailDeliveryPreferences | Gewährt die Berechtigung zum Erhalten der Einstellungen zur E-Mail-Zustellung von Rechnungen | Lesen |
| invoicing:GetInvoicePDF | Gewährt die Berechtigung zum Erhalten der Rechnungs-PDF | Lesen |
| invoicing:ListInvoiceSummaries | Gewährt die Berechtigung zum Erhalten von zusammenfassenden Rechnungsinformationen für Ihr Konto oder Ihr verknüpftes Konto | Auflisten |
| payments:GetPaymentInstrument | Gewährt die Berechtigung zum Abrufen von Informationen zu einem Zahlungsinstrument | Lesen |
| payments:GetPaymentStatus | Gewährt die Berechtigung, den Zahlungsstatus von Rechnungen abzurufen | Lesen |
| payments:ListPaymentPreferences | Gewährt die Berechtigung, Zahlungspräferenzen zu erhalten (zum Beispiel bevorzugte Zahlungswährung, bevorzugte Zahlungsmethode) | Lesen |
| tax:GetTaxInheritance | Gewährt die Berechtigung zum Anzeigen des Steuererbstatus | Lesen |
| tax:GetTaxRegistrationDocument | Gewährt die Berechtigung zum Herunterladen von Steuerregistrierungsdokumenten | Lesen |
| tax:ListTaxRegistrations | Gewährt die Berechtigung zum Anzeigen der Steuerregistrierung | Lesen |
## Zuordnung für aws-portal:ViewPaymentMethods
| Neue Aktion | Description | Zugriffsebene |
| --- | --- | --- |
| account:GetAccountInformation | Gewährt die Berechtigung zum Abrufen der Kontoinformationen für ein Konto | Lesen |
| invoicing:GetInvoicePDF | Gewährt die Berechtigung zum Erhalten der Rechnungs-PDF | Lesen |
| payments:GetPaymentInstrument | Gewährt die Berechtigung zum Abrufen von Informationen zu einem Zahlungsinstrument | Lesen |
| payments:GetPaymentStatus | Gewährt die Berechtigung, den Zahlungsstatus von Rechnungen abzurufen | Lesen |
| payments:ListPaymentPreferences | Gewährt die Berechtigung, Zahlungspräferenzen zu erhalten (zum Beispiel bevorzugte Zahlungswährung, bevorzugte Zahlungsmethode) | Auflisten |
## Zuordnung für aws-portal:ViewUsage
| Neue Aktion | Description | Zugriffsebene |
| --- | --- | --- |
| cur:GetUsageReport | Erteilt die Berechtigung zum Abrufen einer Liste AWS-Services mit Verwendungsarten und Vorgängen für den Nutzungsbericht-Workflow sowie zum Herunterladen von Nutzungsberichten | Lesen |
## Zuordnung für aws-portal:ModifyAccount
| Neue Aktion | Description | Zugriffsebene |
| --- | --- | --- |
| account:CloseAccount | Gewährt die Berechtigung zum Schließen eines Kontos | Schreiben |
| account:DeleteAlternateContact | Gewährt die Berechtigung zum Löschen der alternativen Kontakte für ein Konto | Schreiben |
| account:PutAlternateContact | Gewährt die Berechtigung zum Ändern der alternativen Kontakte für ein Konto | Schreiben |
| account:PutChallengeQuestions | Gewährt die Berechtigung zum Ändern der Sicherheitsabfragen für ein Konto | Schreiben |
| account:PutContactInformation | Erteilung der Berechtigung zur Aktualisierung der primären Kontaktinformationen für ein Konto | Schreiben |
| billing:PutContractInformation | Gewährt die Berechtigung zum Einrichten der Vertragsinformationen des Kontos, einschließlich der Namen der Endbenutzerorganisationen und ob das Konto für die Betreuung von Kunden des öffentlichen Sektors verwendet wird | Schreiben |
| billing:UpdateIAMAccessPreference | Gewährt die Berechtigung zum Aktualisieren der Rechnungspräferenz IAM-Zugriff zulassen | Schreiben |
| payments:UpdatePaymentPreferences | Gewährt die Berechtigung, Zahlungspräferenzen zu aktualisieren (zum Beispiel bevorzugte Zahlungswährung, bevorzugte Zahlungsmethode) | Schreiben |
## Zuordnung für aws-portal:ModifyBilling
| Neue Aktion | Description | Zugriffsebene |
| --- | --- | --- |
| billing:PutContractInformation | Gewährt die Berechtigung zum Einrichten der Vertragsinformationen des Kontos, einschließlich der Namen der Endbenutzerorganisationen und ob das Konto für die Betreuung von Kunden des öffentlichen Sektors verwendet wird | Schreiben |
| billing:RedeemCredits | Erteilt die Erlaubnis zum Einlösen eines AWS Guthabens | Schreiben |
| billing:UpdateBillingPreferences | Gewährt die Berechtigung zum Aktualisieren der Rechnungspräferenzen, wie Reserved Instances, Savings Plans und Teilen von Guthaben | Schreiben |
| ce:CreateAnomalyMonitor | Gewährt die Berechtigung zum Erstellen einer neuen Anomalieüberwachung | Schreiben |
| ce:CreateAnomalySubscription | Gewährt die Berechtigung zum Erstellen eines neuen Anomalieabonnements | Schreiben |
| ce:CreateNotificationSubscription | Gewährt die Berechtigung zum Erstellen von Warnungen beim Ablauf der Reservierung | Schreiben |
| ce:CreateReport | Gewährt die Berechtigung zum Erstellen von Cost-Explorer-Berichten | Write |
| ce:DeleteAnomalyMonitor | Gewährt die Berechtigung zum Löschen einer Anomalieüberwachung | Write |
| ce:DeleteAnomalySubscription | Gewährt die Berechtigung zum Löschen eines Anomalieabonnements | Schreiben |
| ce:DeleteNotificationSubscription | Gewährt die Berechtigung zum Löschen von Warnungen beim Ablauf der Reservierung | Schreiben |
| ce:DeleteReport | Gewährt die Berechtigung zum Löschen von Cost-Explorer-Berichten | Schreiben |
| ce:ProvideAnomalyFeedback | Gewährt die Berechtigung, Feedback zu erkannten Anomalien zu geben | Schreiben |
| ce:StartSavingsPlansPurchaseRecommendationGeneration | Gewährt die Berechtigung zum Anfordern der Generierung einer Empfehlung für Savings Plans | Schreiben |
| ce:UpdateAnomalyMonitor | Gewährt die Berechtigung zum Aktualisieren einer vorhandenen Anomalieüberwachung | Write |
| ce:UpdateAnomalySubscription | Gewährt die Berechtigung zum Aktualisieren eines vorhandenen Anomalieabonnements | Schreiben |
| ce:UpdateCostAllocationTagsStatus | Gewährt die Berechtigung zum Aktualisieren vorhandener Kostenzuordnungs-Tags-Status | Schreiben |
| ce:UpdateNotificationSubscription | Gewährt die Berechtigung zum Aktualisieren von Warnungen beim Ablauf der Reservierung | Schreiben |
| ce:UpdatePreferences | Gewährt die Berechtigung zum Bearbeiten der Seite Cost-Explorer-Einstellungen | Schreiben |
| cur:PutClassicReportPreferences | Gewährt die Berechtigung zum Aktivieren klassischer Berichte | Schreiben |
| freetier:PutFreeTierAlertPreference | Erteilt die Erlaubnis, die Kostenloses AWS-Kontingent Benachrichtigungseinstellungen festzulegen (nach E-Mail-Adresse) | Schreiben |
| invoicing:PutInvoiceEmailDeliveryPreferences | Gewährt die Berechtigung zum Aktualisieren der Einstellungen zur E-Mail-Zustellung von Rechnungen | Schreiben |
| payments:CreatePaymentInstrument | Gewährt die Berechtigung, ein Zahlungsinstrument zu erstellen | Schreiben |
| payments:DeletePaymentInstrument | Gewährt die Berechtigung, ein Zahlungsinstrument zu löschen | Schreiben |
| payments:MakePayment | Gewährt die Berechtigung, eine Zahlung zu tätigen, eine Zahlung zu authentifizieren, eine Zahlungsmethode zu überprüfen und ein Finanzantragsdokument für Advance Pay zu erstellen | Schreiben |
| payments:UpdatePaymentPreferences | Gewährt die Berechtigung, Zahlungspräferenzen zu aktualisieren (zum Beispiel bevorzugte Zahlungswährung, bevorzugte Zahlungsmethode) | Schreiben |
| tax:BatchPutTaxRegistration | Gewährt die Berechtigung zum gebündelten Aktualisieren von Steuerregistrierungen | Schreiben |
| tax:DeleteTaxRegistration | Gewährt die Berechtigung zum Löschen von Steuerregistrierungsdaten | Schreiben |
| tax:PutTaxInheritance | Gewährt die Berechtigung zum Einrichten des Steuererbes | Schreiben |
## Zuordnung für aws-portal:ModifyPaymentMethods
| Neue Aktion | Description | Zugriffsebene |
| --- | --- | --- |
| account:GetAccountInformation | Gewährt die Berechtigung zum Abrufen der Kontoinformationen für ein Konto | Lesen |
| payments:DeletePaymentInstrument | Gewährt die Berechtigung, ein Zahlungsinstrument zu löschen | Schreiben |
| payments:CreatePaymentInstrument | Gewährt die Berechtigung, ein Zahlungsinstrument zu erstellen | Schreiben |
| payments:MakePayment | Gewährt die Berechtigung, eine Zahlung zu tätigen, eine Zahlung zu authentifizieren, eine Zahlungsmethode zu überprüfen und ein Finanzantragsdokument für Advance Pay zu erstellen | Schreiben |
| payments:UpdatePaymentPreferences | Gewährt die Berechtigung, Zahlungspräferenzen zu aktualisieren (zum Beispiel bevorzugte Zahlungswährung, bevorzugte Zahlungsmethode) | Schreiben |
## Zuordnung für purchase-orders:ViewPurchaseOrders
| Neue Aktion | Description | Zugriffsebene |
| --- | --- | --- |
| invoicing:GetInvoicePDF | Gewährt die Berechtigung zum Erhalten einer Rechnungs-PDF | Get |
| payments:ListPaymentPreferences | Gewährt die Berechtigung, Zahlungspräferenzen zu erhalten (zum Beispiel bevorzugte Zahlungswährung, bevorzugte Zahlungsmethode) | Auflisten |
| purchase-orders:GetPurchaseOrder | Gewährt die Berechtigung zum Abrufen einer Bestellung | Lesen |
| purchase-orders:ListPurchaseOrderInvoices | Gewährt die Berechtigung, Bestellungen und deren Details aufzurufen | Auflisten |
| purchase-orders:ListPurchaseOrders | Gewährt die Berechtigung zum Abrufen aller verfügbaren Bestellungen | Auflisten |
## Zuordnung für purchase-orders:ModifyPurchaseOrders
| Neue Aktion | Description | Zugriffsebene |
| --- | --- | --- |
| purchase-orders:AddPurchaseOrder | Gewährt die Berechtigung zum Hinzufügen einer Bestellung | Schreiben |
| purchase-orders:DeletePurchaseOrder | Gewährt die Berechtigung zum Löschen einer Bestellung. | Schreiben |
| purchase-orders:UpdatePurchaseOrder | Gewährt die Berechtigung zum Aktualisieren einer vorhandenen Bestellung | Schreiben |
| purchase-orders:UpdatePurchaseOrderStatus | Gewährt die Berechtigung zum Einrichten eines Bestellstatus | Schreiben |
# AWS verwaltete Richtlinien
Verwaltete Richtlinien sind eigenständige identitätsbasierte Richtlinien, die Sie mehreren Benutzern, Gruppen und Rollen in Ihrem AWS Konto zuordnen können. Sie können AWS verwaltete Richtlinien verwenden, um den Zugriff in Billing zu kontrollieren.
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen. AWS Mit verwalteten Richtlinien können Sie Benutzern, Gruppen und Rollen leichter entsprechende Berechtigungen zuweisen, als wenn Sie die Richtlinien selbst schreiben müssten.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. AWS aktualisiert gelegentlich die Berechtigungen, die in einer AWS verwalteten Richtlinie definiert sind. Diese Aktualisierung wirkt sich auf alle Prinzipal-Entitäten (Benutzer, Gruppen und Rollen) aus, an die die Richtlinie angefügt ist.
Billing bietet mehrere AWS verwaltete Richtlinien für allgemeine Anwendungsfälle.
**Topics**
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html)](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html)](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html)](#security-iam-awsmanpol-Billing)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html)](#security-iam-awsmanpol-AWSAccountActivityAccess)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html)](#security-iam-awsmanpol-AWSPriceListServiceFullAccess)
+ [Aktualisierungen der AWS verwalteten Richtlinien für die AWS Rechnungsstellung](#security-iam-awsmanpol-updates)
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html)
Diese verwaltete Richtlinie gewährt vollen Zugriff auf die Fakturierungs- und Kostenmanagement-Konsole sowie auf die Bestellungskonsole. Die Richtlinie ermöglicht dem Benutzer das Anzeigen, Erstellen, Aktualisieren und Löschen der Bestellungen des Kontos.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSPurchaseOrdersServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html)
Diese verwaltete Richtlinie gewährt Benutzern nur Lesezugriff auf Funktionen in der AWS Fakturierung und Kostenmanagement Konsole.
### Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `account`— Ruft Informationen über ihr AWS Konto ab.
+ `aws-portal`— Gewährt Benutzern allgemeine Anzeigeberechtigungen für die Seiten der Billing and Cost Management-Konsole.
+ `billing`— Bietet umfassenden Zugriff auf AWS Abrechnungsinformationen, z. B. Abrechnungspräferenzen, aktive Verträge, zugewiesene Gutschriften oder Rabatte, IAM-Einstellungen, registrierter Verkäufer und eine Liste mit Abrechnungsberichten.
+ `budgets`— Rufen Sie Informationen zu den für die AWS Budgets Funktion festgelegten Aktionen ab.
+ `ce`— Rufen Sie Kosten- und Nutzungsinformationen, Tags und Dimensionswerte ab, um die AWS Cost Explorer Explorer-Funktion anzuzeigen.
+ `consolidatedbilling`— Rufen Sie mithilfe der Funktion für die konsolidierte Fakturierung Rollen und Details zu den AWS-Konten konfigurierten Personen ab.
+ `cur`— Ruft Informationen über ihre AWS Cost and Usage Report Daten ab.
+ `freetier`— Informationen zu Kostenloses AWS-Kontingent Warn- und Nutzungspräferenzen abrufen.
+ `invoicing`— Informationen zu ihren Rechnungseinstellungen abrufen.
+ `mapcredits`— Rufen Sie Ausgaben und Guthaben im Zusammenhang mit der Vereinbarung zum Migration Acceleration Program (MAP) 2.0 ab.
+ `payments`— Rufen Sie Informationen zur Finanzierung, zum Zahlungsstatus und zu den Zahlungsinstrumenten ab.
+ `purchase-orders`— Rufen Sie Informationen zu Rechnungen ab, die mit ihren Bestellungen verknüpft sind.
+ `sustainability`— Rufen Sie Informationen zum CO2-Fußabdruck auf der Grundlage ihrer AWS Nutzung ab.
+ `tax`— Rufen Sie die registrierten Steuerinformationen aus den Steuereinstellungen ab.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSBillingReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html)
Diese verwaltete Richtlinie gewährt Benutzern die Berechtigung, die AWS Fakturierung und Kostenmanagement Konsole anzuzeigen und zu bearbeiten. Dazu gehören die Anzeige der Kontonutzung, die Änderung von Budgets und Zahlungsmethoden.
Die Berechtigungen für diese Richtlinie finden Sie unter [Abrechnung](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html) in der *Referenz für AWS verwaltete Richtlinien*.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html)
Diese verwaltete Richtlinie gewährt Benutzern die Erlaubnis, die Seite mit den **Kontoaktivitäten** aufzurufen.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSAccountActivityAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html)
Diese verwaltete Richtlinie gewährt Benutzern vollen Zugriff auf den AWS Preislistenservice.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSPriceListServiceFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html) in der *Referenz zu von AWS verwalteten Richtlinien*.
## Aktualisierungen der AWS verwalteten Richtlinien für die AWS Rechnungsstellung
Hier finden Sie Informationen zu Aktualisierungen der AWS verwalteten Richtlinien für die AWS Rechnungsstellung seit Beginn der Erfassung dieser Änderungen durch diesen Dienst. Wenn Sie automatische Benachrichtigungen über Änderungen an dieser Seite erhalten möchten, abonnieren Sie den RSS-Feed auf der Seite mit dem Verlauf der AWS Rechnungsdokumente.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [Abrechnung](#security-iam-awsmanpol-Billing) und [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Aktualisierung vorhandener Richtlinien | Wir haben die folgenden Berechtigungen zur Rechnungsstellung hinzugefügt: `Billing` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/managed-policies.html) Wir haben die folgenden Rechnungsberechtigungen hinzugefügt zu: `AWSBillingReadOnlyAccess` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/managed-policies.html) | 19. November 2025 |
| [Abrechnung](#security-iam-awsmanpol-Billing) und [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Aktualisierung vorhandener Policen | Wir haben die folgenden Berechtigungen zur Rechnungsstellung hinzugefügt: `Billing` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/managed-policies.html) Wir haben die folgenden Rechnungsberechtigungen hinzugefügt zu: `AWSBillingReadOnlyAccess` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/managed-policies.html) | 1. Oktober 2025 |
| [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – Aktualisierung auf bestehende Richtlinien | Wir haben die folgenden Berechtigungen zu `AWSBillingReadOnlyAccess` hinzugefügt. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/managed-policies.html) | 21. August 2025 |
| [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – Aktualisierung auf bestehende Richtlinien | Wir haben die folgenden Kostenloses AWS-Kontingent Berechtigungen hinzugefügt zu`AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/managed-policies.html) | 09. Juli 2025 |
| [Abrechnung](#security-iam-awsmanpol-Billing) und [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Aktualisierung vorhandener Policen | Wir haben die folgenden MAP 2.0-Berechtigungen zu `Billing` und hinzugefügt`AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/managed-policies.html) | 27. März 2025 |
| [Abrechnung](#security-iam-awsmanpol-Billing) — Aktualisierung der bestehenden Richtlinien | Wir haben die folgenden Berechtigungen zur Rechnungsstellung hinzugefügt: `Billing` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/managed-policies.html) | 17. Januar 2025 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy), [Abrechnung](#security-iam-awsmanpol-Billing) und [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Aktualisierung vorhandener Richtlinien | Wir haben die folgende Genehmigung zur Rechnungsstellung hinzugefügt: `AWSPurchaseOrdersServiceRolePolicy` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/managed-policies.html) Wir haben die folgenden Berechtigungen zur Rechnungsstellung hinzugefügt: `AWSBillingReadOnlyAccess` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/managed-policies.html) Wir haben die folgenden Rechnungsberechtigungen hinzugefügt zu: `Billing` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/managed-policies.html) | 01. Dezember 2024 |
| [Abrechnung](#security-iam-awsmanpol-Billing) und [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Aktualisierung vorhandener Richtlinien | Wir haben die folgenden Zahlungsberechtigungen hinzugefügt`Billing`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/managed-policies.html) Wir haben die folgenden Zahlungsberechtigungen hinzugefügt zu`AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/managed-policies.html) | 12. November 2024 |
| [AWSPriceListServiceFullAccess ](#security-iam-awsmanpol-AWSPriceListServiceFullAccess) – Richtlinie aktualisieren | Wir haben die Dokumentation zu den `AWSPriceListServiceFullAccess` Richtlinien für den AWS Preislistenservice hinzugefügt. Die Richtlinie wurde ursprünglich im Jahr 2017 eingeführt. Wir haben `Sid": "AWSPriceListServiceFullAccess` die bestehende Richtlinie aktualisiert. | 2. Juli 2024 |
| [Abrechnung](#security-iam-awsmanpol-Billing) und [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Aktualisierung der bestehenden Richtlinien | Wir haben `Billing` die folgenden Berechtigungen im Zusammenhang mit Kostenzuordnungs-Tags hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/managed-policies.html) Wir haben `AWSBillingReadOnlyAccess` die folgende Tag-bezogene Berechtigung hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/managed-policies.html) | 31. Mai 2024 |
| [Abrechnung](#security-iam-awsmanpol-Billing) und [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Aktualisierung vorhandener Policen | Wir haben `Billing` die folgenden Berechtigungen im Zusammenhang mit Kostenzuordnungs-Tags hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/managed-policies.html) Wir haben `AWSBillingReadOnlyAccess` die folgende Berechtigung im Zusammenhang mit Kostenzuordnungs-Tags hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/managed-policies.html) | 25. März 2024 |
| [Abrechnung](#security-iam-awsmanpol-Billing) und [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Aktualisierung vorhandener Richtlinien | Wir haben `Billing` die folgenden Berechtigungen im Zusammenhang mit Kostenzuordnungs-Tags hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/managed-policies.html) Wir haben `AWSBillingReadOnlyAccess` die folgende Berechtigung im Zusammenhang mit Kostenzuordnungs-Tags hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/managed-policies.html) | 26. Juli 2023 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy), [Abrechnung](#security-iam-awsmanpol-Billing) und [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Aktualisierung vorhandener Richtlinien | Wir haben `Billing` und `AWSPurchaseOrdersServiceRolePolicy` die folgenden Berechtigungen im Zusammenhang mit Bestellungs-Tags hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/managed-policies.html) Wir haben `AWSBillingReadOnlyAccess` die folgende Tag-bezogene Berechtigung hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/managed-policies.html) | 17. Juli 2023 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy), [Abrechnung](#security-iam-awsmanpol-Billing) und [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Aktualisierung vorhandener Richtlinien [AWSAccountActivityAccess](#security-iam-awsmanpol-AWSAccountActivityAccess)— Für die AWS Abrechnung wurde eine neue AWS verwaltete Richtlinie dokumentiert | Aktualisierten Aktionssatz für alle Richtlinien hinzugefügt. | 6. März 2023 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy) – Aktualisierung auf eine bestehende Richtlinie | AWS Durch die Abrechnung wurden unnötige Berechtigungen entfernt. | 18. November 2021 |
| AWS Billing hat begonnen, Änderungen nachzuverfolgen | AWS Billing hat damit begonnen, Änderungen an den AWS verwalteten Richtlinien nachzuverfolgen. | 18. November 2021 |
# Problembehebung bei der AWS Rechnungsstellung, Identität und Zugriff
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Billing und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion in Billing durchzuführen](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte meine Zugriffsschlüssel anzeigen](#security_iam_troubleshoot-access-keys)
+ [Ich bin Administrator und möchte anderen den Zugriff auf Billing ermöglichen](#security_iam_troubleshoot-admin-delegate)
+ [Ich möchte Personen außerhalb von mir den Zugriff auf meine AWS-Konto Billing-Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion in Billing durchzuführen
Wenn Ihnen AWS-Managementkonsole mitgeteilt wird, dass Sie nicht berechtigt sind, eine Aktion durchzuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
Der folgende Beispielfehler tritt auf, wenn der `mateojackson`-Benutzer versucht, die Konsole zum Anzeigen von Details zu einer fiktiven `my-example-widget`-Ressource zu verwenden, jedoch nicht über `billing:GetWidget`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: billing:GetWidget on resource: my-example-widget
```
In diesem Fall bittet Mateo seinen Administrator um die Aktualisierung seiner Richtlinien, um unter Verwendung der Aktion `my-example-widget` auf die Ressource `billing:GetWidget` zugreifen zu können.
## Ich bin nicht berechtigt, iam auszuführen: PassRole
Wenn Sie die Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die `iam:PassRole` Aktion durchzuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an Billing übergeben können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen Billing `marymajor` versucht, über die Konsole eine Aktion auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen odzur Verfügung gestellt.
## Ich möchte meine Zugriffsschlüssel anzeigen
Nachdem Sie Ihre IAM-Benutzerzugriffsschlüssel erstellt haben, können Sie Ihre Zugriffsschlüssel-ID jederzeit anzeigen. Sie können Ihren geheimen Zugriffsschlüssel jedoch nicht erneut anzeigen. Wenn Sie den geheimen Zugriffsschlüssel verlieren, müssen Sie ein neues Zugriffsschlüsselpaar erstellen.
Zugriffsschlüssel bestehen aus zwei Teilen: einer Zugriffsschlüssel-ID (z. B. `AKIAIOSFODNN7EXAMPLE`) und einem geheimen Zugriffsschlüssel (z. B. `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`). Ähnlich wie bei Benutzernamen und Passwörtern müssen Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel zusammen verwenden, um Ihre Anforderungen zu authentifizieren. Verwalten Sie Ihre Zugriffsschlüssel so sicher wie Ihren Benutzernamen und Ihr Passwort.
**Wichtig**
Geben Sie Ihre Zugriffsschlüssel nicht an Dritte weiter, auch nicht für die [Suche nach Ihrer kanonischen Benutzer-ID](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId). Auf diese Weise können Sie jemandem dauerhaften Zugriff auf Ihre gewähren AWS-Konto.
Während der Erstellung eines Zugriffsschlüsselpaars werden Sie aufgefordert, die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel an einem sicheren Speicherort zu speichern. Der geheime Zugriffsschlüssel ist nur zu dem Zeitpunkt verfügbar, an dem Sie ihn erstellen. Wenn Sie Ihren geheimen Zugriffsschlüssel verlieren, müssen Sie Ihrem IAM-Benutzer neue Zugriffsschlüssel hinzufügen. Sie können maximal zwei Zugriffsschlüssel besitzen. Wenn Sie bereits zwei Zugriffschlüssel besitzen, müssen Sie ein Schlüsselpaar löschen, bevor Sie ein neues erstellen. Anweisungen hierfür finden Sie unter [Verwalten von Zugriffsschlüsseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey) im *IAM-Benutzerhandbuch*.
## Ich bin Administrator und möchte anderen den Zugriff auf Billing ermöglichen
Um anderen den Zugriff auf Billing zu ermöglichen, müssen Sie den Personen oder Anwendungen, die Zugriff benötigen, die entsprechenden Berechtigungen erteilen. Wenn Sie Personen und Anwendungen verwalten, weisen Sie Benutzern oder Gruppen Berechtigungssätze zu, um deren Zugriffsebene zu definieren. AWS IAM Identity Center Mit Berechtigungssätzen werden automatisch IAM-Richtlinien erstellt und den IAM-Rollen zugewiesen, die der Person oder Anwendung zugeordnet sind. Weitere Informationen finden Sie im *AWS IAM Identity Center Benutzerhandbuch* unter [Berechtigungssätze](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html).
Wenn Sie IAM Identity Center nicht verwenden, müssen Sie IAM-Entitäten (Benutzer oder Rollen) für die Personen oder Anwendungen erstellen, die Zugriff benötigen. Anschließend müssen Sie der Entität eine Richtlinie hinzufügen, die ihr die richtigen Berechtigungen in Billing gewährt. Nachdem die Berechtigungen erteilt wurden, geben Sie die Anmeldeinformationen an den Benutzer oder Anwendungsentwickler weiter. Sie werden diese Anmeldeinformationen für den Zugriff verwenden AWS. *Weitere Informationen zum Erstellen von IAM-Benutzern, -Gruppen, -Richtlinien und -Berechtigungen finden Sie im [IAM-Benutzerhandbuch unter IAM-Identitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) [sowie Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).*
## Ich möchte Personen außerhalb von mir den Zugriff auf meine AWS-Konto Billing-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Billing diese Funktionen unterstützt, finden Sie unter. [So funktioniert die AWS Abrechnung mit IAM](security_iam_service-with-iam.md)
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs für einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Verwenden von serviceverknüpften Rollen für AWS Billing
AWS Billing verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. AWS Billing Mit Diensten verknüpfte Rollen sind vordefiniert AWS Billing und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine dienstbezogene Rolle AWS Billing erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS Billing definiert die Berechtigungen ihrer dienstbezogenen Rollen und AWS Billing kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dadurch werden Ihre AWS Billing Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.
**Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte Dienstverknüpfte Rollen nach den Diensten, für die **Ja steht**.** Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
## Berechtigungen für dienstverknüpfte Rollen für AWS Billing
AWS Billing verwendet die dienstbezogene Rolle **Billing — Ermöglicht dem Abrechnungsservice**, den Zugriff auf Abrechnungsansichtsdaten für abgeleitete Abrechnungsansichten zu überprüfen.
Die mit dem Abrechnungsdienst verknüpfte Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `billing.amazonaws.com`
Die genannte Rollenberechtigungsrichtlinie AWSBilling ServiceRolePolicy ermöglicht es AWS Billing , die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ Aktion: `billing:GetBillingViewData` für `arn:${Partition}:billing:::billingview/*`
Sie müssen Berechtigungen konfigurieren, damit eine Benutzer, Gruppen oder Rollen eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen können. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen einer dienstbezogenen Rolle für AWS Billing
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine Abrechnungsansicht mithilfe einer Abrechnungsansicht aus einem anderen Konto in der AWS-Managementkonsole, der oder der AWS API erstellen oder verknüpfen AWS CLI, AWS Billing wird die serviceverknüpfte Rolle für Sie erstellt.
**Wichtig**
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Wenn Sie den AWS Billing Service vor dem 1. Januar 2017 genutzt haben, als er begann, dienstbezogene Rollen zu unterstützen, AWS Billing haben Sie außerdem die Rolle Abrechnung in Ihrem Konto erstellt. Weitere Informationen finden Sie unter [Eine neue Rolle ist erschienen in meinem AWS-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
## Bearbeiten einer serviceverknüpften Rolle für AWS Billing
AWS Billing ermöglicht es Ihnen nicht, die mit dem Abrechnungsdienst verknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für AWS Billing
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
### Manuelles Löschen der serviceverknüpften Rolle
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die mit dem Abrechnungsdienst verknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für serviceverknüpfte Rollen AWS Billing
AWS Billing unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter [AWS -Regionen und Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Anmeldung und Überwachung AWS Fakturierung und Kostenmanagement
Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung Ihres AWS Kontos. Zum Überwachen Ihrer Nutzung von Fakturierung und Kostenmanagement stehen verschiedene Tools zur Verfügung.
## AWS Kosten- und Nutzungsberichte
AWS Kosten- und Nutzungsberichte verfolgen Ihre AWS Nutzung und enthalten geschätzte Gebühren für Ihr Konto. Jeder Bericht enthält Einzelposten für jede einzigartige Kombination von AWS Produkten, Nutzungsarten und Vorgängen, die Sie in Ihrem AWS Konto verwenden. Sie können die AWS Kosten- und Nutzungsberichte so anpassen, dass die Informationen entweder stunden- oder tageweise zusammengefasst werden.
Weitere Informationen zu AWS Kosten- und Nutzungsberichten finden Sie im [https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html).
## AWS CloudTrail
Billing and Cost Management ist in einen Service integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Service in Billing and Cost Management ausgeführt wurden. CloudTrail erfasst alle Schreib- und Bearbeitungs-API-Aufrufe für Billing and Cost Management als Ereignisse, einschließlich Aufrufe von der Billing and Cost Management-Konsole und von Codeaufrufen an das Billing and Cost Management APIs.
Weitere Informationen zu AWS CloudTrail finden Sie unter[Protokollierung von API-Aufrufen für Billing and Cost Management mit AWS CloudTrail](logging-using-cloudtrail.md).
# Protokollierung von API-Aufrufen für Billing and Cost Management mit AWS CloudTrail
Billing and Cost Management ist in einen Service integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Service in Billing and Cost Management ausgeführt wurden. CloudTrail erfasst API-Aufrufe für Billing and Cost Management als Ereignisse, einschließlich Aufrufe von der Billing and Cost Management-Konsole und von Codeaufrufen an das Billing and Cost Management APIs. Eine vollständige Liste der CloudTrail Ereignisse im Zusammenhang mit der Abrechnung finden Sie unter[AWS Billing CloudTrail Ereignisse](#billing-cloudtrail-events).
Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Übermittlung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für Billing and Cost Management. Auch wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse in der CloudTrail-Konsole in **Event history (Ereignisverlauf)** anzeigen. Anhand der von CloudTrail gesammelten Informationen können Sie die Anfrage an Billing and Cost Management, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln.
Weitere Informationen darüber CloudTrail, einschließlich der Konfiguration und Aktivierung, finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## AWS Billing CloudTrail Ereignisse
In diesem Abschnitt finden Sie eine vollständige Liste der CloudTrail Ereignisse im Zusammenhang mit Billing and Cost Management.
****
| Ereignisname | Definition | Ereignisquelle |
| --- | --- | --- |
| `AddPurchaseOrder` | Protokolliert die Erstellung einer Bestellung. | purchase-orders.amazonaws.com |
| `AcceptFxPaymentCurrencyTermsAndConditions` | Protokolliert die Annahme der Bedingungen für die Zahlung in einer anderen Währung als USD. | billingconsole.amazonaws.com |
| `CloseAccount` | Protokolliert die Schließung eines Kontos. | billingconsole.amazonaws.com |
| `CreateCustomerVerificationDetails` | (Nur für Kunden mit einer Rechnungs- oder Kontaktadresse in Indien) Protokolliert die Erstellung der Kundenüberprüfungsdetails des Kontos. | customer-verification.amazonaws.com |
| `CreateOrigamiReportPreference` | Protokolliert die Erstellung des Kosten- und Nutzungsberichts (nur für das Verwaltungskonto). | billingconsole.amazonaws.com |
| `DeletePurchaseOrder` | Protokolliert die Löschung einer Bestellung. | purchase-orders.amazonaws.com |
| `DeleteOrigamiReportPreferences` | Protokolliert das Löschen des Kosten- und Nutzungsberichts (nur für das Verwaltungskonto). | billingconsole.amazonaws.com |
| `DownloadCommercialInvoice` | Protokolliert den Download einer Handelsrechnung. | billingconsole.amazonaws.com |
| `DownloadECSVForBillingPeriod` | Protokolliert den Download der eCSV-Datei (monatlicher Nutzungsbericht) für einen bestimmten Abrechnungszeitraum. | billingconsole.amazonaws.com |
| `DownloadRegistrationDocument` | Protokolliert den Download des Steuerregistrierungsdokuments. | billingconsole.amazonaws.com |
| `EnableBillingAlerts` | Protokolliert die Zustimmung zum Empfang von CloudWatch Abrechnungsbenachrichtigungen für geschätzte Gebühren. | billingconsole.amazonaws.com |
| `FindECSVForBillingPeriod` | Protokolliert den Abruf der ECSV-Datei für einen bestimmten Abrechnungszeitraum. | billingconsole.amazonaws.com |
| `GetAccountEDPStatus` | Protokolliert den Abruf des EDV-Status des Kontos. | billingconsole.amazonaws.com |
| `GetAddresses` | Protokolliert den Zugriff auf Steueradresse, Rechnungsadresse und Kontaktadresse eines Kontos. | billingconsole.amazonaws.com |
| `GetAllAccounts` | Protokolliert den Zugriff auf alle Mitgliedskontonummern des Verwaltungskontos. | billingconsole.amazonaws.com |
| `GetBillsForBillingPeriod` | Protokolliert den Zugriff auf die Nutzung und die Gebühren des Kontos für einen bestimmten Abrechnungszeitraum. | billingconsole.amazonaws.com |
| `GetBillsForLinkedAccount` | Protokolliert den Zugriff auf ein Verwaltungskonto, das die Nutzung und Gebühren eines der Mitgliedskonten in der konsolidierten Fakturierungsfamilie für einen bestimmten Fakturierungszeitraum abruft. | billingconsole.amazonaws.com |
| `GetCommercialInvoicesForBillingPeriod` | Protokolliert den Zugriff auf die Metadaten der Handelsrechnungen des Kontos für den bestimmten Abrechnungszeitraum. | billingconsole.amazonaws.com |
| `GetConsolidatedBillingFamilySummary` | Protokolliert den Zugriff auf das Verwaltungskonto und ruft die Zusammenfassung der gesamten konsolidierten Fakturierungsfamilie ab. | billingconsole.amazonaws.com |
| `GetCustomerVerificationEligibility` | (Nur für Kunden mit einer Rechnungs- oder Kontaktadresse in Indien) Protokolliert den Abruf der Berechtigungsnachweise des Kunden für das Konto. | customer-verification.amazonaws.com |
| `GetCustomerVerificationDetails` | (Nur für Kunden mit einer Rechnungs- oder Kontaktadresse in Indien) Protokolliert den Abruf der Kundenüberprüfungsdetails des Kontos. | customer-verification.amazonaws.com |
| `GetLinkedAccountNames` | Protokolliert den Abruf der Mitgliederkontonamen aus einem Verwaltungskonto, die zur konsolidierten Fakturierungsfamilie gehören, für einen bestimmten Abrechnungszeitraum. | billingconsole.amazonaws.com |
| `GetPurchaseOrder` | Protokolliert den Abruf einer Bestellung. | purchase-orders.amazonaws.com |
| `GetSupportedCountryCodes` | Protokolliert den Zugriff auf alle von der Steuerkonsole unterstützten Ländercodes. | billingconsole.amazonaws.com |
| `GetTotal` | Protokolliert den Abruf der Gesamtgebühren des Kontos. | billingconsole.amazonaws.com |
| `GetTotalAmountForForecast` | Protokolliert den Zugriff auf die prognostizierten Gebühren für den bestimmten Abrechnungszeitraum. | billingconsole.amazonaws.com |
| `ListCostAllocationTags` | Protokolliert den Abruf und die Auflistung von Kostenzuteilungs-Tags. | ce.amazonaws.com |
| `ListCostAllocationTagBackfillHistory` | Protokolliert den Abruf und die Auflistung des Verlaufs der Anfragen zum Auffüllen von Kostenzuweisungs-Tags. | ce.amazonaws.com |
| `ListPurchaseOrders` | Protokolliert den Abruf und die Auflistung von Bestellungen. | purchase-orders.amazonaws.com |
| `ListPurchaseOrderInvoices` | Protokolliert den Abruf und die Liste der Rechnungen, die mit einer Bestellung verbunden sind. | purchase-orders.amazonaws.com |
| `ListTagsForResource` | Führt die mit einer Ressource verknüpften Tags auf. Denn `payments` diese Aktion bezieht sich auf eine Zahlungsmethode. Denn `purchase-orders` diese Aktion bezieht sich auf eine Bestellung. | purchase-orders.amazonaws.com |
| `RedeemPromoCode` | Protokolliert die Einlösung von Aktionsgutschriften für ein Konto. | billingconsole.amazonaws.com |
| `SetAccountContractMetadata` | Protokolliert die Erstellung, Löschung oder Aktualisierung der erforderlichen Vertragsinformationen für Kunden des öffentlichen Sektors. | billingconsole.amazonaws.com |
| `SetAccountPreferences` | Protokolliert die Aktualisierungen des Kontonamens, der E-Mail-Adresse und des Passworts. | billingconsole.amazonaws.com |
| `SetAdditionalContacts` | Protokolliert die Erstellung, Löschung oder Aktualisierung der alternativen Kontakte für die Abrechnung, den Betrieb und die Sicherheitskommunikation. | billingconsole.amazonaws.com |
| `SetContactAddress` | Protokolliert die Erstellung, Löschung oder Aktualisierung der Kontaktinformationen für den Kontoinhaber, einschließlich der Adresse und Telefonnummer. | billingconsole.amazonaws.com |
| `SetCreatedByOptIn` | Protokolliert das Opt-In der Voreinstellung für das awscreatedby-Kostenzuweisungs-Tag. | billingconsole.amazonaws.com |
| `SetCreditSharing` | Protokolliert den Verlauf der Voreinstellung für die Guthabenfreigabe für das Verwaltungskonto. | billingconsole.amazonaws.com |
| `SetFreetierBudgetsPreference` | Protokolliert die Voreinstellung (Opt-In oder Opt-Out) für den Empfangs von Warnungen über die Nutzung des kostenlosen Kontingents. | billingconsole.amazonaws.com |
| `SetFxPaymentCurrency` | Protokolliert die Erstellung, Löschung oder Aktualisierung der bevorzugten Währung, die für die Zahlung Ihrer Rechnung verwendet wird. | billingconsole.amazonaws.com |
| `SetIAMAccessPreference` | Protokolliert die Erstellung, Löschung oder Aktualisierung des Zugriffs auf die Fakturierungskonsole des IAM-Benutzers. Diese Einstellung gilt nur für Kunden mit Root-Zugriff. | billingconsole.amazonaws.com |
| `SetPANInformation` | Protokolliert die Erstellung, Löschung oder Aktualisierung von PAN-Informationen unter AWS Indien. | billingconsole.amazonaws.com |
| `SetPayInformation` | Protokolliert den Verlauf der Zahlungsmethoden (Rechnung oder credit/debit Karte) für das Konto. | billingconsole.amazonaws.com |
| `SetRISharing` | Protokolliert den Verlauf der Einstellungen für die gemeinsame Nutzung von RI/Savings Plänen für das Verwaltungskonto. | billingconsole.amazonaws.com |
| `SetSecurityQuestions` | Protokolliert die Erstellung, Löschung oder Aktualisierung der Fragen zur Sicherheitsabfrage, um Sie als Kontoinhaber AWS identifizieren zu können. | billingconsole.amazonaws.com |
| `StartCostAllocationTagBackfill` | Protokolliert die Erstellung einer Backfill-Anfrage für den Aktivierungsstatus aller Kostenzuweisungs-Tags. | ce.amazonaws.com |
| `TagResource` | Protokolliert das Tagging einer Ressource. Denn `payments` diese Aktion bezieht sich auf eine Zahlungsmethode. Denn `purchase-orders` diese Aktion bezieht sich auf eine Bestellung. | purchase-orders.amazonaws.com |
| `UntagResource` | Protokolliert das Löschen von Tags aus einer Ressource. Denn `payments` diese Aktion bezieht sich auf eine Zahlungsmethode. Denn `purchase-orders` diese Aktion bezieht sich auf eine Bestellung. | purchase-orders.amazonaws.com |
| `UpdateCostAllocationTagsStatus` | Protokolliert den aktiven oder inaktiven Status eines bestimmten Kostenzuordnungs-Tags. | ce.amazonaws.com |
| `UpdateCustomerVerificationDetails` | (Nur für Kunden mit einer Rechnungs- oder Kontaktadresse in Indien) Protokolliert die Aktualisierung der Kundenüberprüfungsdaten des Kontos. | customer-verification.amazonaws.com |
| `UpdateOrigamiReportPreference` | Protokolliert die Aktualisierung des Kosten- und Nutzungsberichts (nur für das Verwaltungskonto). | billingconsole.amazonaws.com |
| `UpdatePurchaseOrder` | Protokolliert die Aktualisierung einer Bestellung. | purchase-orders.amazonaws.com |
| `UpdatePurchaseOrderStatus` | Protokolliert die Aktualisierung eines Bestellungsstatus. | purchase-orders.amazonaws.com |
| `ValidateAddress` | Protokolliert die Validierung der Steueradresse eines Kontos. | billingconsole.amazonaws.com |
### Zahlungen und CloudTrail Ereignisse
In diesem Abschnitt finden Sie eine vollständige Liste der CloudTrail Ereignisse für die **Zahlungsfunktion** in der AWS Billing Konsole. Diese CloudTrail Ereignisse verwenden `payments.amazonaws.com` anstelle von`billingconsole.amazonaws.com`.
****
| Ereignisname | Definition |
| --- | --- |
| `Financing_AcceptFinancingApplicationTerms` | Protokolliert die Annahme von Bedingungen in einem Finanzierungsantrag. |
| `Financing_CreateFinancingApplication` | Protokolliert die Erstellung eines Finanzierungsantrags. |
| `Financing_GetFinancingApplication` | Protokolliert den Zugriff auf einen Finanzierungsantrag. |
| `Financing_GetFinancingApplicationDocument` | Protokolliert den Zugriff auf ein Dokument, das einem Finanzierungsantrag zugeordnet ist. |
| `Financing_GetFinancingLine` | Protokolliert den Zugriff auf eine Finanzierungslinie. |
| `Financing_GetFinancingLineWithdrawal` | Protokolliert den Zugriff auf eine Auszahlung einer Finanzierungslinie. |
| `Financing_GetFinancingLineWithdrawalDocument` | Protokolliert den Zugriff auf ein Dokument, das mit einer Auszahlung einer Finanzierungsposition verknüpft ist. |
| `Financing_GetFinancingLineWithdrawalStatements` | Protokolliert den Zugriff auf Kontoauszüge im Zusammenhang mit einer Auszahlung aus einer Finanzposition. |
| `Financing_GetFinancingOption` | Protokolliert den Zugriff auf eine Finanzierungsoption. |
| `Financing_ListFinancingApplications` | Protokolliert die Liste der Metadaten des Finanzierungsantrags. |
| `Financing_ListFinancingLines` | Protokolliert die Liste der Metadaten der Finanzierungsposition. |
| `Financing_ListFinancingLineWithdrawals` | Protokolliert die Liste der Metadaten zur Auszahlung von Finanzierungen. |
| `Financing_UpdateFinancingApplication` | Protokolliert die Aktualisierung eines Finanzierungsantrags. |
| Instruments\$1Authenticate | Protokolliert die Authentifizierung des Zahlungsinstruments. |
| `Instruments_Create` | Protokolliert die Erstellung von Zahlungsinstrumenten. |
| `Instruments_Delete` | Protokolliert das Löschen von Zahlungsinstrumenten. |
| `Instruments_Get` | Protokolliert den Zugriff auf Zahlungsinstrumente. |
| `Instruments_List` | Protokolliert die Liste der Metadaten von Zahlungsinstrumenten. |
| `Instruments_StartCreate` | Protokolliert die Vorgänge vor der Erstellung des Zahlungsinstruments. |
| `Instruments_Update` | Protokolliert die Aktualisierung von Zahlungsinstrumenten. |
| `ListTagsForResource` | Protokolliert die Liste der Stichwörter, die einer Zahlungsressource zugeordnet sind. |
| `Policy_GetPaymentInstrumentEligibility` | Protokolliert den Zugriff auf die Eignung von Zahlungsinstrumenten. |
| `Preferences_BatchGetPaymentProfiles` | Protokolliert den Zugriff auf Zahlungsprofile. |
| `Preferences_CreatePaymentProfile` | Protokolliert die Erstellung von Zahlungsprofilen. |
| `Preferences_DeletePaymentProfile` | Protokolliert das Löschen von Zahlungsprofilen. |
| `Preferences_ListPaymentProfiles` | Protokolliert die Liste der Metadaten von Zahlungsprofilen. |
| `Preferences_UpdatePaymentProfile` | Protokolliert die Aktualisierung der Zahlungsprofile. |
| `Programs_ListPaymentProgramOptions` | Protokolliert die Liste der Zahlungsprogrammoptionen. |
| `Programs_ListPaymentProgramStatus` | Protokolliert die Liste der Teilnahmeberechtigungen und des Anmeldestatus für das Zahlungsprogramm. |
| `TagResource` | Protokolliert das Tagging einer Zahlungsressource. |
| `TermsAndConditions_AcceptTermsAndConditionsForProgramByAccountId` | Protokolliert die akzeptierten Zahlungsbedingungen. |
| `TermsAndConditions_GetAcceptedTermsAndConditionsForProgramByAccountId` | Protokolliert den Zugriff auf die akzeptierten Allgemeinen Geschäftsbedingungen. |
| `TermsAndConditions_GetRecommendedTermsAndConditionsForProgram` | Protokolliert den Zugriff auf empfohlene Geschäftsbedingungen. |
| `UntagResource` | Protokolliert das Löschen von Stichwörtern aus einer Zahlungsressource. |
### CloudTrail Ereignisse in den Steuereinstellungen
In diesem Abschnitt finden Sie eine vollständige Liste der CloudTrail Ereignisse für die Funktion **Steuereinstellungen** in der AWS Billing Konsole. Diese CloudTrail Ereignisse verwenden `taxconsole.amazonaws.com` oder `tax.amazonaws.com` anstelle von`billingconsole.amazonaws.com`.
**CloudTrail Ereignisse für die Steuereinstellungskonsole**
| Ereignisname | Definition | Ereignisquelle |
| --- | --- | --- |
| `BatchGetTaxExemptions` | Protokolliert den Zugriff auf US-Steuerbefreiungen eines Kontos und aller damit verknüpften Konten. | taxconsole.amazon.com |
| `CreateCustomerCase` | Protokolliert die Erstellung eines Kundensupportfalls zur Validierung der US-Steuerbefreiung für ein Konto. | taxconsole.amazon.com |
| `DownloadTaxInvoice` | Protokolliert den Download einer Rechnung mit Steuerausweis. | taxconsole.amazon.com |
| `GetTaxExemptionTypes` | Protokolliert den Zugriff auf alle unterstützten US-Befreiungsarten durch die Steuerkonsole. | taxconsole.amazon.com |
| `GetTaxInheritance` | Protokolliert den Zugriff auf die Steuervererbungspräferenz (ein- oder ausschalten) eines Kontos. | taxconsole.amazon.com |
| `GetTaxInvoicesMetadata` | Protokolliert den Abruf von Metadaten für Rechnungen mit Steuerausweis. | taxconsole.amazon.com |
| `GetTaxRegistration` | Protokolliert den Zugriff auf die Steuerregistrierungsnummer eines Kontos. | taxconsole.amazon.com |
| `PreviewTaxRegistrationChange` | Protokolliert die Vorschau der Änderungen der Steuerregistrierung vor der Bestätigung. | taxconsole.amazon.com |
| `SetTaxInheritance` | Protokolliert die Voreinstellung (Opt-In oder Opt-Out) der Steuervererbung. | taxconsole.amazon.com |
**CloudTrail Ereignisse für die Steuereinstellungen-API**
| Ereignisname | Definition | Ereignisquelle |
| --- | --- | --- |
| `BatchDeleteTaxRegistration` | Protokolliert das Batch-Löschen der Steuerregistrierung für mehrere Konten. | tax.amazonaws.com |
| `BatchGetTaxExemptions` | Protokolliert den Zugriff auf Steuerbefreiungen für ein oder mehrere Konten. | tax.amazonaws.com |
| `BatchPutTaxRegistration` | Protokolliert die Einstellungen der Steuerregistrierung mehrerer Konten. | tax.amazonaws.com |
| `DeleteTaxRegistration` | Protokolliert das Löschen der Umsatzsteuer-Identifikationsnummer für ein Konto. | tax.amazonaws.com |
| `GetTaxExemptionTypes` | Protokolliert den Zugriff auf alle unterstützten Steuerbefreiungsarten durch die Steuerkonsole. | tax.amazonaws.com |
| `GetTaxInheritance` | Protokolliert den Zugriff auf die Steuervererbungspräferenz (ein- oder ausschalten) eines Kontos. | tax.amazonaws.com |
| `GetTaxRegistration` | Protokolliert den Zugriff auf die Steuerregistrierung eines Kontos. | tax.amazonaws.com |
| `GetTaxRegistrationDocument` | Protokolliert das Abrufen des Steuerregistrierungsdokuments eines Kontos. | tax.amazonaws.com |
| `ListTaxExemptions` | Protokolliert den Zugriff auf Steuerbefreiungen der AWS Organisationskonten. | tax.amazonaws.com |
| `ListTaxRegistrations` | Protokolliert den Zugriff auf die Steuerregistrierungsdetails aller Mitgliedskonten des Verwaltungskontos. | tax.amazonaws.com |
| `PutTaxExemption` | Protokolliert die Festlegung der Steuerbefreiung für ein oder mehrere Konten. | tax.amazonaws.com |
| `PutTaxInheritance` | Protokolliert die Festlegung der Präferenz (Opt-In oder Opt-Out) für steuerliche Erbschaften. | tax.amazonaws.com |
| `PutTaxRegistration` | Protokolliert die Einstellungen der Steuerregistrierung eines Kontos. | tax.amazonaws.com |
### Ereignisse bei der Rechnungsstellung CloudTrail
In diesem Abschnitt finden Sie eine vollständige Liste der CloudTrail Ereignisse für die **Rechnungsstellungsfunktion** in der AWS Billing Konsole. Diese CloudTrail Ereignisse verwenden`invoicing.amazonaws.com`.
****
| Ereignisname | Definition |
| --- | --- |
| `CreateInvoiceUnit` | Protokolliert die Erstellung einer Rechnungseinheit. |
| `DeleteInvoiceUnit` | Protokolliert das Löschen einer Rechnungseinheit. |
| `GetInvoiceProfiles` | Protokolliert den Zugriff auf das Rechnungsprofil eines Kontos. |
| `GetInvoiceUnit` | Protokolliert den Zugriff auf eine Rechnungseinheit. |
| `ListInvoiceUnits` | Protokolliert den Abruf und die Auflistung von Rechnungseinheiten. |
| `UpdateInvoiceUnit` | Protokolliert die Aktualisierung einer Rechnungseinheit. |
## Informationen zu Billing and Cost Management in CloudTrail
CloudTrail ist in Ihrem AWS Konto aktiviert, wenn Sie das Konto erstellen. Wenn unterstützte Ereignisaktivitäten in Billing and Cost Management auftreten, wird diese Aktivität zusammen mit anderen AWS Serviceereignissen in der CloudTrail **Ereignishistorie in einem Ereignis** aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem AWS Konto anzeigen, suchen und herunterladen. Weitere Informationen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Ereignisse mit CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem AWS Konto, einschließlich Ereignisse für die Billing and Cost Management, erstellen Sie einen Trail. Ein Trail ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie einen Trail in der Konsole erstellen, gilt der Trail standardmäßig für alle AWS Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren.
Weitere Informationen finden Sie hier:
+ [Übersicht zum Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Unterstützte Dienste und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Empfangen von CloudTrail Protokolldateien aus mehreren Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) und [Empfangen von CloudTrail Protokolldateien von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
+ Gibt an, ob die Anforderung mit Root- oder IAM-Benutzer-Anmeldeinformationen ausgeführt wurde.
+ Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
+ Ob die Anfrage von einem anderen AWS Dienst gestellt wurde.
*Weitere Informationen finden Sie im [CloudTrail UserIdentity-Element](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html) im AWS CloudTrail Benutzerhandbuch.*
## CloudTrail Beispiele für Protokolleinträge
Die folgenden Beispiele beziehen sich auf bestimmte CloudTrail Protokolleintragsszenarien für Billing and Cost Management.
**Topics**
+ [Protokolldateieinträge für Fakturierungs- und Kostenmanagement](#understanding-service-name-entries)
+ [Steuerkonsole](#CT-example-tax)
+ [Zahlungen](#CT-example-payments-create)
### Protokolldateieinträge für Fakturierungs- und Kostenmanagement
Ein *Trail* ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar und enthält Informationen über die angeforderte Aktion, Datum und Uhrzeit der Aktion, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass sie nicht in einer bestimmten Reihenfolge angezeigt werden.
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die `SetContactAddress` Aktion demonstriert.
```
{
"eventVersion": "1.05",
"userIdentity": {
"accountId": "111122223333",
"accessKeyId": "AIDACKCEVSQ6C2EXAMPLE"
},
"eventTime": "2018-05-30T16:44:04Z",
"eventSource": "billingconsole.amazonaws.com",
"eventName": "SetContactAddress",
"awsRegion": "us-east-1",
"sourceIPAddress": "100.100.10.10",
"requestParameters": {
"website": "https://amazon.com",
"city": "Seattle",
"postalCode": "98108",
"fullName": "Jane Doe",
"districtOrCounty": null,
"phoneNumber": "206-555-0100",
"countryCode": "US",
"addressLine1": "Nowhere Estates",
"addressLine2": "100 Main Street",
"company": "AnyCompany",
"state": "Washington",
"addressLine3": "Anytown, USA",
"secondaryPhone": "206-555-0101"
},
"responseElements": null,
"eventID": "5923c499-063e-44ac-80fb-b40example9f",
"readOnly": false,
"eventType": "AwsConsoleAction",
"recipientAccountId": "1111-2222-3333"
}
```
### Steuerkonsole
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die `CreateCustomerCase` Aktion verwendet.
```
{
"eventVersion":"1.05",
"userIdentity":{
"accountId":"111122223333",
"accessKeyId":"AIDACKCEVSQ6C2EXAMPLE"
},
"eventTime":"2018-05-30T16:44:04Z",
"eventSource":"taxconsole.amazonaws.com",
"eventName":"CreateCustomerCase",
"awsRegion":"us-east-1",
"sourceIPAddress":"100.100.10.10",
"requestParameters":{
"state":"NJ",
"exemptionType":"501C",
"exemptionCertificateList":[
{
"documentName":"ExemptionCertificate.png"
}
]
},
"responseElements":{
"caseId":"case-111122223333-iris-2022-3cd52e8dbf262242"
},
"eventID":"5923c499-063e-44ac-80fb-b40example9f",
"readOnly":false,
"eventType":"AwsConsoleAction",
"recipientAccountId":"1111-2222-3333"
}
```
### Zahlungen
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die `Instruments_Create` Aktion verwendet.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Root",
"principalId": "111122223333",
"arn": "arn:aws:iam::111122223333:",
"accountId": "111122223333",
"accessKeyId": "AIDACKCEVSQ6C2EXAMPLE",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-05-01T00:00:00Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-05-01T00:00:00Z",
"eventSource": "payments.amazonaws.com",
"eventName": "Instruments_Create",
"awsRegion": "us-east-1",
"sourceIPAddress": "100.100.10.10",
"userAgent": "AWS",
"requestParameters": {
"accountId": "111122223333",
"paymentMethod": "CreditCard",
"address": "HIDDEN_DUE_TO_SECURITY_REASONS",
"accountHolderName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"cardNumber": "HIDDEN_DUE_TO_SECURITY_REASONS",
"cvv2": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationMonth": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationYear": "HIDDEN_DUE_TO_SECURITY_REASONS",
"tags": {
"Department": "Finance"
}
},
"responseElements": {
"paymentInstrumentArn": "arn:aws:payments::111122223333:payment-instrument:4251d66c-1b05-46ea-890c-6b4acf6b24ab",
"paymentInstrumentId": "111122223333",
"paymentMethod": "CreditCard",
"consent": "NotProvided",
"creationDate": "2024-05-01T00:00:00Z",
"address": "HIDDEN_DUE_TO_SECURITY_REASONS",
"accountHolderName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationMonth": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationYear": "HIDDEN_DUE_TO_SECURITY_REASONS",
"issuer": "Visa",
"tail": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"requestID": "7c7df9c2-c381-4880-a879-2b9037ce0573",
"eventID": "c251942f-6559-43d2-9dcd-2053d2a77de3",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```
# Konformitätsprüfung für AWS Fakturierung und Kostenmanagement
Externe Prüfer bewerten die Sicherheit und Konformität von AWS Services im Rahmen mehrerer AWS Compliance-Programme. Billing and Cost Management fallen nicht in den Geltungsbereich von AWS Compliance-Programmen.
Eine Liste der AWS Services im Rahmen bestimmter Compliance-Programme finden Sie unter [AWS Services im Umfang nach Compliance-Programmen AWS](https://aws.amazon.com/compliance/services-in-scope/) . Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Herunterladen von Berichten in AWS](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Ihre Compliance-Verantwortung bei der Nutzung von Billing and Cost Management hängt von der Sensibilität Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. AWS stellt die folgenden Ressourcen zur Verfügung, die Sie bei der Einhaltung der Vorschriften unterstützen:
+ [Schnellstartanleitungen für Sicherheit und Compliance](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) – In diesen Bereitstellungsleitfäden werden architektonische Überlegungen erörtert und Schritte für die Bereitstellung von sicherheits- und konformitätsorientierten Basisumgebungen auf AWS angegeben.
+ [AWS Ressourcen zur AWS](https://aws.amazon.com/compliance/resources/) von Vorschriften — Diese Sammlung von Arbeitsmappen und Leitfäden kann auf Ihre Branche und Ihren Standort zutreffen.
+ [Bewertung von Ressourcen anhand von Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) im *AWS Config Entwicklerhandbuch* — Der AWS Config Service bewertet, wie gut Ihre Ressourcenkonfigurationen den internen Praktiken, Branchenrichtlinien und Vorschriften entsprechen.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Dieser AWS Service bietet einen umfassenden Überblick über Ihren Sicherheitsstatus, sodass Sie überprüfen können AWS , ob Sie die Sicherheitsstandards und Best Practices der Branche einhalten.
# Resilienz in AWS Fakturierung und Kostenmanagement
Die AWS globale Infrastruktur basiert auf AWS Regionen und Availability Zones. AWS Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Weitere Informationen zu AWS Regionen und Availability Zones finden Sie unter [AWS Globale](https://aws.amazon.com/about-aws/global-infrastructure/) Infrastruktur.
# Sicherheit der Infrastruktur in AWS Fakturierung und Kostenmanagement
Als verwalteter Dienst AWS Fakturierung und Kostenmanagement ist er durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Billing and Cost Management zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
# Zugriff AWS Fakturierung und Kostenmanagement über einen Schnittstellenendpunkt (AWS PrivateLink)
Sie können verwenden AWS PrivateLink , um eine private Verbindung zwischen Ihrer VPC und AWS Fakturierung und Kostenmanagement herzustellen. Sie können auf Billing and Cost Management zugreifen, als ob es in Ihrer VPC wäre, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder Direct Connect eine Verbindung verwenden zu müssen. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um auf Billing and Cost Management zuzugreifen.
Sie stellen diese private Verbindung her, indem Sie einen *Schnittstellen-Endpunkt* erstellen, der von AWS PrivateLink unterstützt wird. Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt aktivieren. Dabei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Einstiegspunkt für den Datenverkehr dienen, der für die Billing and Cost Management bestimmt ist.
*Weitere Informationen finden Sie AWS PrivateLink im Handbuch unter [Access AWS-Services through](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html).AWS PrivateLink *
Eine vollständige Liste der Dienstnamen finden Sie unter [AWS Dienste, die sich integrieren mit AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html).
## Überlegungen zur Billing and Cost Management
Bevor Sie einen Schnittstellenendpunkt für Billing and Cost Management einrichten, lesen Sie die [Überlegungen](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) im *AWS PrivateLink Leitfaden*.
Billing and Cost Management unterstützt Aufrufe aller API-Aktionen über den Schnittstellenendpunkt.
VPC-Endpunktrichtlinien werden für Billing and Cost Management nicht unterstützt. Standardmäßig ist der vollständige Zugriff auf Billing and Cost Management über den Schnittstellenendpunkt zulässig. Alternativ können Sie den Endpunkt-Netzwerkschnittstellen eine Sicherheitsgruppe zuordnen, um den Datenverkehr zu Billing and Cost Management über den Schnittstellenendpunkt zu steuern.
## Erstellen Sie einen Schnittstellenendpunkt für Billing and Cost Management
Sie können einen Schnittstellenendpunkt für Billing and Cost Management entweder mit der Amazon VPC-Konsole oder mit AWS Command Line Interface (AWS CLI) erstellen. Weitere Informationen finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) im *AWS PrivateLink -Leitfaden*.
Erstellen Sie einen Schnittstellenendpunkt für Billing and Cost Management mit dem folgenden Dienstnamen:
```
com.amazonaws.region.service-name
```
Wenn Sie privates DNS für den Schnittstellenendpunkt aktivieren, können Sie API-Anfragen an Billing and Cost Management stellen, indem Sie den standardmäßigen regionalen DNS-Namen verwenden. Beispiel, `service-name.us-east-1.amazonaws.com`.
## Erstellen einer Endpunktrichtlinie für Ihren Schnittstellen-Endpunkt
Eine Endpunktrichtlinie ist eine IAM-Ressource, die Sie an einen Schnittstellen-Endpunkt anfügen können. Die standardmäßige Endpunktrichtlinie ermöglicht den vollen Zugriff auf Billing and Cost Management über den Schnittstellenendpunkt. Um den Zugriff auf Billing and Cost Management von Ihrer VPC aus zu kontrollieren, fügen Sie dem Schnittstellenendpunkt eine benutzerdefinierte Endpunktrichtlinie hinzu.
Eine Endpunktrichtlinie gibt die folgenden Informationen an:
+ Die Prinzipale, die Aktionen ausführen können (AWS-Konten, IAM-Benutzer und IAM-Rollen).
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, auf denen die Aktionen ausgeführt werden können.
Weitere Informationen finden Sie unter [Steuern des Zugriffs auf Services mit Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) im *AWS PrivateLink -Leitfaden*.
**Beispiel: VPC-Endpunktrichtlinie für die AWS Preislisten-API**
Im Folgenden finden Sie ein Beispiel für eine benutzerdefinierte Endpunktrichtlinie. Wenn Sie diese Richtlinie an Ihren Schnittstellenendpunkt anhängen, können alle Benutzer, die Zugriff auf den Endpunkt haben, auf die AWS Preislisten-API zugreifen.
```
{
"Statement": [
{
"Action": "pricing:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "*"
}
]
}
```
Um den Massendatei-Download für die Preislisten-API über zu verwenden AWS PrivateLink, müssen Sie auch den Amazon S3 S3-Zugriff über aktivieren AWS PrivateLink. Weitere Informationen finden Sie unter [AWS PrivateLink Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html) im *Amazon S3 S3-Benutzerhandbuch*.