Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad en AWS Billing
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la AWS nube. AWS también le proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [AWS programas](https://aws.amazon.com/compliance/programs/) de de . Para obtener más información sobre los programas de cumplimiento aplicables Administración de facturación y costos de AWS, consulte [AWS Servicios incluidos en el ámbito de aplicación por programa de conformidad y AWS servicios incluidos](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Seguridad en la nube**: su responsabilidad viene determinada por el AWS servicio que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables.
Esta documentación ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza Administración de facturación y costos. Los siguientes temas muestran cómo configurar Administración de facturación y costos para satisfacer los objetivos de seguridad y de conformidad. También aprenderá a utilizar otros AWS servicios que le ayudan a supervisar y proteger sus recursos de Billing and Cost Management.
**Topics**
+ [Protección de datos en Administración de facturación y costos de AWS](data-protection.md)
+ [Identity and Access Management para AWS facturación](security-iam.md)
+ [Uso de funciones vinculadas a servicios para AWS Billing](using-service-linked-roles.md)
+ [Inicio de sesión y supervisión Administración de facturación y costos de AWS](billing-security-logging.md)
+ [Validación de conformidad para Administración de facturación y costos de AWS](Billing-compliance.md)
+ [Resiliencia en Administración de facturación y costos de AWS](disaster-recovery-resiliency.md)
+ [Seguridad de la infraestructura en Administración de facturación y costos de AWS](infrastructure-security.md)
**nota**
Cuando utilizas la transferencia de facturación como cuenta fuente de facturación, tus datos de facturación y gestión de costes se transfieren a una cuenta de gestión externa (cuenta de transferencia de facturas). La cuenta de transferencia de facturas controla tu experiencia de facturación y administración de costos. La cuenta de origen de la factura no puede anular los efectos de la transferencia de facturación mediante las políticas de IAM. Para recuperar el control de tus datos de facturación y gestión de costes, debes retirarte de la transferencia de facturación. Para obtener más información, consulte [Transferir la gestión de facturación a cuentas externas](orgs_transfer_billing.md).
# Protección de datos en Administración de facturación y costos de AWS
El modelo de [responsabilidad AWS compartida modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a la protección de datos en Administración de facturación y costos de AWS. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Se utiliza SSL/TLS para comunicarse con AWS los recursos. Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger la información confidencial almacenada en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con Billing and Cost Management u otro tipo de gestión Servicios de AWS mediante la consola AWS CLI, la API o AWS SDKs. Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
# Identity and Access Management para AWS facturación
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a AWS los recursos. Los administradores de IAM controlan quién se puede *autenticar* (iniciar sesión) y recibir *autorización* (tener permisos) para utilizar los recursos de Facturación. La IAM es una Servicio de AWS herramienta que puede utilizar sin coste adicional.
Para comenzar a activar el acceso a la consola de facturación, consulte el [Tutorial de IAM: Conceder acceso a la consola de facturación](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) en la *Guía del usuario de IAM*.
## Tipos de usuario y permisos de facturación
En la siguiente tabla se resumen las acciones predeterminadas que se permiten en Facturación de para cada tipo de usuario de facturación.
**Tipos de usuario y permisos de facturación**
| Tipo de usuario | Description (Descripción) | Permisos de facturación |
| --- | --- | --- |
| Propietario de la cuenta | La persona o entidad en cuyo nombre está configurada su cuenta. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/security-iam.html) |
| Usuario | Una persona o aplicación definida como usuario en una cuenta por un propietario de cuenta o usuario administrativo. Las cuentas pueden contener varios usuarios de . | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/security-iam.html) |
| Propietario de la cuenta de administración de la organización | La persona o entidad asociada a una cuenta AWS Organizations de administración. La cuenta de administración paga el AWS uso en que incurra la cuenta de un miembro de una organización. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/security-iam.html) |
| Propietario de la cuenta miembro de la organización | La persona o entidad asociada a la cuenta de un AWS Organizations miembro. La cuenta de administración paga el AWS uso en que incurra la cuenta de un miembro de una organización. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/security-iam.html) |
# Información general sobre la administración de permisos de acceso
## Concesión de acceso a la información de facturación y a las herramientas
De forma predeterminada, los usuarios de IAM no tienen acceso a la [consola de Administración de facturación y costos de AWS](https://console.aws.amazon.com/billing/).
Al crear una Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz*, que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
Como administrador, puedes crear funciones en tu AWS cuenta que los usuarios puedan asumir. Una vez creados los roles, puede adjuntarles su política de IAM en función del acceso necesario. Por ejemplo, puede conceder a algunos usuarios acceso limitado a ciertos datos de facturación y herramientas, y conceder a otros acceso completo a toda la información y herramientas.
Para conceder a las entidades de IAM acceso a la consola de Administración de facturación y costos, siga estos pasos:
+ [Active IAM Access](#ControllingAccessWebsite-Activate) como usuario Cuenta de AWS raíz. Solo tiene que completar esta acción una vez para tu cuenta.
+ Cree sus identidades de IAM, como un usuario, un grupo o un rol.
+ Utilice una política AWS gestionada o cree una política gestionada por el cliente que conceda permiso para realizar acciones específicas en la consola Billing and Cost Management. Para obtener más información, consulte [Uso de políticas basadas en identidad para facturación](security_iam_id-based-policy-examples.md#billing-permissions-ref).
Para obtener más información, consulte el [Tutorial de IAM: Conceder acceso a la consola de facturación](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) en la *Guía del usuario de IAM*.
**nota**
Los permisos para Cost Explorer se aplican a todas las cuentas y las cuentas de miembro, independientemente de las políticas de IAM. Para obtener más información, consulte [Controlar el acceso a AWS Cost Explorer](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-access.html).
## Activación del acceso a la consola de Administración de facturación y costos
De forma predeterminada, los usuarios y roles de IAM no Cuenta de AWS pueden acceder a la consola Billing and Cost Management. Esto es válido incluso si tienen políticas de IAM que conceden acceso a determinadas características de facturación. Para conceder el acceso, el usuario Cuenta de AWS raíz puede utilizar la configuración **Activar el acceso a IAM**.
Si lo usa AWS Organizations, active esta configuración en cada cuenta de administración o miembro en la que desee permitir el acceso de los usuarios y roles de IAM a la consola de Billing and Cost Management. Para las cuentas de miembros creadas, esta opción estará habilitada de forma predeterminada. Para obtener más información, consulte [Activar el acceso de IAM a la consola Administración de facturación y costos de AWS](billing-getting-started.md#activating-iam-access-to-billing-console).
En la consola de facturación, la configuración **Activar acceso de IAM** controla el acceso a las siguientes páginas:
+ Inicio
+ Presupuestos
+ Informes de presupuestos
+ AWS Informes de costos y uso
+ Categorías de costos
+ Etiquetas de asignación de costos
+ Facturas
+ Pagos
+ Créditos
+ Orden de compra
+ Preferencias de facturación
+ Métodos de pago
+ Configuración fiscal
+ Explorador de costos
+ Informes
+ Recomendaciones de redimensionamiento
+ Recomendaciones de Savings Plans
+ Informe de uso de Savings Plans
+ Informe de cobertura de Savings Plans
+ Información general de las reservas
+ Recomendaciones de las reservas
+ Informe de uso de las reservas
+ Informe de cobertura de las reservas
+ Preferencias
**importante**
Activar solo el acceso de IAM no concede a los roles los permisos necesarios para estas páginas de la consola de Administración de facturación y costos. Además de activar el acceso de IAM, también debe adjuntar las políticas de IAM necesarias a esos roles. Para obtener más información, consulte [Uso de políticas basadas en identidad para facturación](security_iam_id-based-policy-examples.md#billing-permissions-ref).
La configuración **Activate IAM Access** (Activar acceso de IAM) no controla el acceso a las páginas y los recursos siguientes:
+ Las páginas de consola para AWS Cost Anomaly Detection, Savings Plans resumen, Savings Plans inventario, Purchase Savings Plans y Savings Plans carrito
+ La vista de gestión de costes en el AWS Console Mobile Application
+ El SDK de Billing and Cost Management APIs (explorador de AWS costes, AWS presupuestos e informes de AWS costes y uso APIs)
+ AWS Systems Manager Gestor de aplicaciones
+ El integrado en la consola Calculadora de precios de AWS
+ La capacidad de análisis de costos en Amazon Q
+ El AWS Activate Console
## Público
La forma de usar AWS Identity and Access Management (IAM) varía según su función:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas AWS de identidad y acceso a la facturación](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Cómo funciona AWS la facturación con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Política basada en la identidad con facturación AWS](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Cuenta de AWS usuario root
Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Identidad federada
Como práctica recomendada, exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder Servicios de AWS mediante credenciales temporales.
Una *identidad federada* es un usuario del directorio empresarial, del proveedor de identidades web o al Directory Service que se accede Servicios de AWS mediante credenciales de una fuente de identidad. Las identidades federadas asumen roles que proporcionan credenciales temporales.
Para una administración de acceso centralizada, se recomienda AWS IAM Identity Center. Para obtener más información, consulte [¿Qué es el Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) en la *Guía del usuario de AWS IAM Identity Center *.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del usuario de *IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
El acceso se controla AWS creando políticas y adjuntándolas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos que conceden los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# Cómo funciona AWS la facturación con IAM
La facturación se integra con el servicio AWS Identity and Access Management (IAM) para que puedas controlar qué miembros de tu organización tienen acceso a páginas específicas de la consola de [facturación](https://console.aws.amazon.com/cost-management/home). Puede controlar el acceso a las facturas y la información detallada sobre los cargos y la actividad de la cuenta, los presupuestos, los medios de pago y los créditos.
Para obtener más información acerca de cómo activar el acceso a la consola de Administración de facturación y costos, consulte el [Tutorial: delegar acceso a la consola de Facturación](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) en la *Guía del usuario de IAM*.
Antes de utilizar IAM para administrar el acceso a la facturación, conozca qué características de IAM se pueden utilizar con la facturación.
**Funciones de IAM que puede utilizar con la facturación AWS**
| Característica de IAM | Asistencia para facturación |
| --- | --- |
| [Políticas basadas en identidades](#security_iam_service-with-iam-id-based-policies) | Sí |
| [Políticas basadas en recursos](#security_iam_service-with-iam-resource-based-policies) | No |
| [Acciones de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sí |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Parcial |
| [Claves de condición de política](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sí |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (etiquetas en políticas)](#security_iam_service-with-iam-tags) | Parcial |
| [Credenciales temporales](#security_iam_service-with-iam-roles-tempcreds) | Sí |
| [Sesiones de acceso directo (FAS)](#security_iam_service-with-iam-principal-permissions) | Sí |
| [Roles de servicio](#security_iam_service-with-iam-roles-service) | Sí |
| [Roles vinculados al servicio](#security_iam_service-with-iam-roles-service-linked) | No |
Para obtener una visión general de cómo funcionan la facturación y otros AWS servicios con la mayoría de las funciones de IAM, consulte [AWS los servicios que funcionan con IAM en la Guía del usuario de *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
## Políticas basadas en identidad de facturación
**Compatibilidad con las políticas basadas en identidad:** sí
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Ejemplos de políticas basadas en identidades de facturación
Para ver ejemplos de políticas basadas en identidad de facturación, consulte [Política basada en la identidad con facturación AWS](security_iam_id-based-policy-examples.md).
## Políticas basadas en recursos de facturación
**Admite políticas basadas en recursos:** no
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las *políticas de confianza de roles* de IAM y las *políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos. Los directores pueden incluir cuentas, usuarios, roles, usuarios federados o. Servicios de AWS
Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política en función de recursos. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Acciones de políticas de facturación
**Compatibilidad con las acciones de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Para ver una lista de las acciones de facturación, consulte [las acciones definidas por la AWS facturación](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html) en la *Referencia de autorización del servicio*.
Las acciones de políticas de facturación utilizan el siguiente prefijo antes de la acción:
```
billing
```
Para especificar varias acciones en una única instrucción, sepárelas con comas.
```
"Action": [
"billing:action1",
"billing:action2"
]
```
Para ver ejemplos de políticas basadas en identidad de facturación, consulte [Política basada en la identidad con facturación AWS](security_iam_id-based-policy-examples.md).
## Recursos de políticas de facturación
**Admite recursos de políticas:** en forma parcial
Los recursos de políticas solo con compatibles con los monitores, las suscripciones y las categorías de costos.
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
Para ver una lista de los tipos de recursos de AWS Cost Explorer, consulte [Acciones, recursos y claves de condición del AWS Cost Explorer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostexplorerservice.html) en la *Referencia de autorización de servicio*.
Para ver ejemplos de políticas basadas en identidad de facturación, consulte [Política basada en la identidad con facturación AWS](security_iam_id-based-policy-examples.md).
## Claves de condición de políticas para facturación
**Compatibilidad con claves de condición de políticas específicas del servicio:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Para ver una lista de las claves de condición, acciones y recursos de facturación, consulte [las claves de condición de la AWS facturación](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html) en la *Referencia de autorización de servicio*.
Para ver ejemplos de políticas basadas en identidad de facturación, consulte [Política basada en la identidad con facturación AWS](security_iam_id-based-policy-examples.md).
## Listas de control de acceso (ACLs) en Billing
**Soportes ACLs:** No
Las listas de control de acceso (ACLs) controlan qué directores (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
## Control de acceso basado en atributos (ABAC) con facturación
**Compatibilidad con ABAC (etiquetas en las políticas):** parcial
Las ABAC (etiquetas en las políticas) solo son compatibles con los monitores, las suscripciones y las categorías de costos.
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede adjuntar etiquetas a las entidades y AWS los recursos de IAM y, a continuación, diseñar políticas de ABAC para permitir las operaciones cuando la etiqueta del director coincida con la etiqueta del recurso.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.
*Para obtener más información sobre ABAC, consulte [Definición de permisos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.
## Uso de credenciales temporales con facturación
**Compatibilidad con credenciales temporales:** sí
Las credenciales temporales proporcionan acceso a AWS los recursos a corto plazo y se crean automáticamente cuando se utiliza la federación o se cambia de rol. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
## Sesiones de acceso directo para facturación
**Admite sesiones de acceso directo (FAS):** sí
Las sesiones de acceso directo (FAS) utilizan los permisos del principal que llama y los que solicitan Servicio de AWS para realizar solicitudes a los servicios descendentes. Servicio de AWS Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Roles de servicio para facturación
**Compatible con roles de servicio:** sí
Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Crear un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.
**aviso**
Cambio de los permisos de un rol de servicio podría interrumpir la funcionalidad de facturación Edite los roles de servicio solo cuando la facturación proporcione orientación para hacerlo.
## Roles vinculados a servicios de facturación
**Compatibilidad con roles vinculados al servicio:** no
Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Para más información sobre cómo crear o administrar roles vinculados a servicios, consulta [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Busque un servicio en la tabla que incluya `Yes` en la columna **Rol vinculado a un servicio**. Seleccione el vínculo **Sí** para ver la documentación acerca del rol vinculado a servicios para ese servicio.
# Política basada en la identidad con facturación AWS
De forma predeterminada, los usuarios y roles no tienen permiso para crear ni modificar recursos de facturación. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan.
Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las acciones y los tipos de recursos definidos por la facturación, incluido el formato de cada uno de los tipos de recursos, consulte [las claves de acción, recursos y condición de la AWS facturación](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html) en la Referencia de *autorización del servicio*. ARNs
**Contents**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso de la consola de facturación](#security_iam_id-based-policy-examples-console)
+ [Cómo permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Uso de políticas basadas en identidad para facturación](#billing-permissions-ref)
+ [AWS Acciones de la consola de facturación](#user-permissions)
## Prácticas recomendadas sobre las políticas
Las políticas basadas en identidades determinan si alguien puede crear, acceder o eliminar los recursos de facturación de la cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos**: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Uso de la consola de facturación
Para acceder a la consola AWS de facturación, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los recursos de facturación de su cuenta Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas a la API AWS CLI o a la AWS API. En su lugar, permita el acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar.
En la sección encontrarás información sobre el acceso, como los permisos necesarios para activar la consola de AWS facturación, el acceso de administrador y el [AWS políticas gestionadas](managed-policies.md) acceso de solo lectura.
## Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API o. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Uso de políticas basadas en identidad para facturación
**nota**
Las siguientes acciones AWS Identity and Access Management (IAM) finalizaron el soporte estándar en julio de 2023:
espacio de nombres `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Si las utilizas AWS Organizations, puedes usar los [scripts de migración masiva de políticas o el migrador](migrate-iam-permissions.md) masivo de políticas para actualizar las políticas desde tu cuenta de pagador. También puede utilizar la [referencia de mapeo de acciones de antigua a granular](migrate-granularaccess-iam-mapping-reference.md) para verificar las acciones de IAM que deben agregarse.
Si tienes una Cuenta de AWS o formas parte de una AWS Organizations creada el 6 de marzo de 2023 o después de esa fecha, a las 11:00 a. m. (PDT), las acciones detalladas ya están en vigor en tu organización.
**importante**
Además de las políticas de IAM, debe conceder acceso de IAM a la consola de facturación y administración de costos en la página de la consola [Configuración de la cuenta](https://console.aws.amazon.com/billing/home#/account).
Para obtener más información, consulte los temas siguientes:
[Activación del acceso a la consola de Administración de facturación y costos](control-access-billing.md#ControllingAccessWebsite-Activate)
[Tutorial de IAM: Conceder acceso a la consola de facturación](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) en la *Guía del usuario de IAM*
Utilice esta sección para ver cómo el administrador de una cuenta de políticas basadas en identidades puede adjuntar políticas de permisos a identidades de IAM (es decir, grupos y roles) y conceder permisos para realizar operaciones en recursos de facturación.
[Para obtener más información sobre los usuarios, consulte Cuentas de AWS ¿Qué es la IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_Introduction.html) en la Guía del *usuario de IAM*.
Para obtener más información acerca de cómo actualizar las políticas administradas por el cliente, consulte [Edición de políticas administradas por el cliente (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console) en la *Guía del usuario de IAM*.
### AWS Acciones de la consola de facturación
En la siguiente tabla se resumen los permisos que utiliza para conceder a los usuarios el acceso a las herramientas y la información de la consola de facturación. Para ver ejemplos de políticas que utilizan estos permisos, consulte [AWS Ejemplos de políticas de facturación](billing-example-policies.md).
Para obtener una lista de las políticas de acciones de la consola de administración de AWS costos, consulte [AWS las políticas de acciones de administración](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#user-permissions) de *AWS costos en la Guía del usuario de administración de costos*.
| Nombre del permiso | Description (Descripción) |
| --- | --- |
| aws-portal:ViewBilling | Concede permiso para ver páginas de la consola de Administración de facturación y costos. |
| aws-portal:ModifyBilling | Concede permisos a los usuarios para modificar las siguientes páginas de la consola Administración de facturación y costos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/security_iam_id-based-policy-examples.html) Para permitir a los usuarios de IAM que modifiquen estas páginas de la consola, debe conceder los permisos `ModifyBilling` y `ViewBilling`. Para ver una política de ejemplo, consulte [Permitir a los usuarios de IAM modificar la información de facturación](billing-example-policies.md#example-billing-deny-modifybilling). |
| aws-portal:ViewAccount | Concede permiso para consultar la [configuración de cuenta](https://console.aws.amazon.com/billing/home#/account). |
| aws-portal:ModifyAccount | Concede permiso para modificar la [configuración de cuenta](https://console.aws.amazon.com/billing/home#/account). Para permitir a los usuarios de IAM que modifiquen la configuración de la cuenta, debe conceder los permisos `ModifyAccount` y `ViewAccount`. Para ver un ejemplo de una política que deniega de forma explícita a un usuario de IAM el acceso a la página de la consola **Configuración de la cuenta**, consulte [Cómo denegar el acceso a la configuración de la cuenta, pero permitir el acceso completo al resto de la información de facturación y de uso](billing-example-policies.md#example-billing-deny-modifyaccount). |
| aws-portal:ViewPaymentMethods | Concede permiso para consultar los [métodos de pago](https://console.aws.amazon.com/billing/home#/paymentmethods). |
| aws-portal:ModifyPaymentMethods | Concede permiso para modificar los [métodos de pago](https://console.aws.amazon.com/billing/home#/paymentmethods). Para permitir a los usuarios modificar los métodos de pago, debe conceder los permisos `ModifyPaymentMethods` y `ViewPaymentMethods`. |
| billing:ListBillingViews | Concede permiso para obtener una lista de vistas de facturación disponibles. Esto ofrece vistas de facturación personalizadas y vistas de facturación correspondientes a los grupos de facturación proforma. Para obtener más información sobre las vistas de facturación personalizadas, consulte [Controlar el acceso a los datos de administración de costos con la vista de facturación](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-view.html). Para obtener más información acerca de la visualización de los detalles sobre el grupo de facturación, consulte [Visualización de los detalles del grupo de facturación](https://docs.aws.amazon.com/billingconductor/latest/userguide/viewing-abc.html) en la *Guía del usuario de AWS *. |
| billing:CreateBillingView | Concede permiso para crear vistas de facturación personalizadas. Para ver un ejemplo de política, consulte [Permitir a los usuarios crear, administrar y compartir vistas de facturación personalizadas](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view). |
| billing:UpdateBillingView | Concede permiso para actualizar las vistas de facturación personalizadas. Para ver un ejemplo de política, consulte [Permitir a los usuarios crear, administrar y compartir vistas de facturación personalizadas](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view). |
| billing:DeleteBillingView | Concede permiso para eliminar las vistas de facturación personalizadas. Para ver un ejemplo de política, consulte [Permitir a los usuarios crear, administrar y compartir vistas de facturación personalizadas](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view). |
| billing:GetBillingView | Concede permiso para obtener la definición de vistas de facturación. Para ver un ejemplo de política, consulte [Permitir a los usuarios crear, administrar y compartir vistas de facturación personalizadas](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view). |
| sustainability:GetCarbonFootprintSummary | Otorga permiso para ver la herramienta sobre la huella de carbono AWS del cliente y los datos. Se puede acceder a ella desde la página Informes de AWS costes y uso de la consola Billing and Cost Management. Para ver un ejemplo de una política, consulte [Permite a los usuarios de IAM ver la información de facturación y el informe de la huella de carbono](billing-example-policies.md#example-ccft-policy). |
| cur:DescribeReportDefinitions | Otorga permiso para ver los informes de AWS costos y uso. AWS Los permisos de informes de costo y uso se aplican a todos los informes que se crean mediante la API del [servicio de informes de AWS costo y uso](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) y la consola Billing and Cost Management. Si crea informes mediante la consola de Administración de facturación y costos, recomendamos que actualice los permisos para los usuarios de IAM. En caso contrario, los usuarios perderán el acceso para ver, editar y eliminar informes en la página de informes de la consola. Para ver un ejemplo de una política, consulte [Permitir a los usuarios de IAM acceder a la página de la consola de informes](billing-example-policies.md#example-billing-view-reports). |
| cur:PutReportDefinition | Otorga permiso para crear informes de AWS costos y uso. AWS Los permisos de informes de costo y uso se aplican a todos los informes que se crean mediante la API del [servicio de informes de AWS costo y uso](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) y la consola Billing and Cost Management. Si crea informes mediante la consola de Administración de facturación y costos, recomendamos que actualice los permisos para los usuarios de IAM. En caso contrario, los usuarios perderán el acceso para ver, editar y eliminar informes en la página de informes de la consola. Para ver un ejemplo de una política, consulte [Permitir a los usuarios de IAM acceder a la página de la consola de informes](billing-example-policies.md#example-billing-view-reports). |
| cur:DeleteReportDefinition | Otorga permiso para eliminar los informes de AWS costos y uso. AWS Los permisos de informes de costo y uso se aplican a todos los informes que se crean mediante la API del [servicio de informes de AWS costo y uso](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) y la consola Billing and Cost Management. Si crea informes mediante la consola de Administración de facturación y costos, recomendamos que actualice los permisos para los usuarios de IAM. En caso contrario, los usuarios perderán el acceso para ver, editar y eliminar informes en la página de informes de la consola. Para ver un ejemplo de una política, consulte [Cree, visualice, edite o elimine informes de AWS costes y uso](billing-example-policies.md#example-policy-report-definition). |
| cur:ModifyReportDefinition | Otorga permiso para modificar los informes de AWS costos y uso. AWS Los permisos de informes de costo y uso se aplican a todos los informes que se crean mediante la API del [servicio de informes de AWS costo y uso](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) y la consola Billing and Cost Management. Si crea informes mediante la consola de Administración de facturación y costos, recomendamos que actualice los permisos para los usuarios de IAM. En caso contrario, los usuarios perderán el acceso para ver, editar y eliminar informes en la página de informes de la consola. Para ver un ejemplo de una política, consulte [Cree, visualice, edite o elimine informes de AWS costes y uso](billing-example-policies.md#example-policy-report-definition). |
| ce:CreateCostCategoryDefinition | Concede permisos para crear las categorías de costos. Para ver una política de ejemplo, consulte [Ver y administrar categorías de costos](billing-example-policies.md#example-policy-cc-api). |
| ce:DeleteCostCategoryDefinition | Concede permisos para eliminar las categorías de costos. Para ver una política de ejemplo, consulte [Ver y administrar categorías de costos](billing-example-policies.md#example-policy-cc-api). |
| ce:DescribeCostCategoryDefinition | Concede permisos para ver las categorías de costos. Para ver una política de ejemplo, consulte [Ver y administrar categorías de costos](billing-example-policies.md#example-policy-cc-api). |
| ce:ListCostCategoryDefinitions | Concede permisos para enumerar las categorías de costos. Para ver una política de ejemplo, consulte [Ver y administrar categorías de costos](billing-example-policies.md#example-policy-cc-api). |
| ce:UpdateCostCategoryDefinition | Concede permisos para actualizar las categorías de costos. Para ver una política de ejemplo, consulte [Ver y administrar categorías de costos](billing-example-policies.md#example-policy-cc-api). |
| aws-portal:ViewUsage | Otorga permiso para ver [los informes AWS](https://console.aws.amazon.com/billing/home#/reports) de uso. Para permitir a los usuarios de IAM; ver informes de uso, debe conceder los permisos `ViewUsage` y `ViewBilling`. Para ver una política de ejemplo, consulte [Permitir a los usuarios de IAM acceder a la página de la consola de informes](billing-example-policies.md#example-billing-view-reports). |
| payments:AcceptFinancingApplicationTerms | Permite a los usuarios de IAM aceptar las condiciones ofrecidas por el prestamista de financiación. Los usuarios deben entregar los detalles de su cuenta bancaria para el reembolso y firmar los documentos legales proporcionados por el prestamista. |
| payments:CreateFinancingApplication | Permite a los usuarios de IAM solicitar un nuevo préstamo financiero y consultar la opción de financiación elegida. |
| payments:GetFinancingApplication | Permite a los usuarios de IAM recuperar los detalles de una solicitud de financiación. Por ejemplo, el estado, los límites, las condiciones y la información sobre el prestamista. |
| payments:GetFinancingLine | Permite a los usuarios de IAM recuperar los detalles de un préstamo financiero. Por ejemplo, el estado y los saldos. |
| payments:GetFinancingLineWithdrawal | Permite a los usuarios de IAM recuperar los detalles del retiro. Por ejemplo, los saldos y reembolsos. |
| payments:GetFinancingOption | Permite a los usuarios de IAM recuperar los detalles de una opción de financiación específica. |
| payments:ListFinancingApplications | Permite a los usuarios de IAM recuperar los identificadores de todas las solicitudes de financiación de todos los prestamistas. |
| payments:ListFinancingLines | Permite a los usuarios de IAM recuperar los identificadores de todos los préstamos de financiación de todos los prestamistas. |
| payments:ListFinancingLineWithdrawals | Permite a los usuarios de IAM recuperar todos los retiros existentes de un préstamo determinado. |
| payments:ListTagsForResource | Concede o deniega permisos a los usuarios de IAM para ver las etiquetas de un método de pago. |
| payments:TagResource | Concede o deniega permisos a los usuarios de IAM para añadir las etiquetas de un método de pago. |
| payments:UntagResource | Concede o deniega permisos a los usuarios de IAM para quitar las etiquetas de un método de pago. |
| payments:UpdateFinancingApplication | Permita que los usuarios de IAM modifiquen una solicitud de financiación y envíen la información adicional solicitada por el prestamista. |
| payments:ListPaymentInstruments | Concede o deniega permisos a los usuarios de IAM para enumerar los métodos de pago registrados. |
| payments:UpdatePaymentInstrument | Concede o deniega permisos a los usuarios de IAM para actualizar los métodos de pago. |
| pricing:DescribeServices | Otorga permiso para ver los productos de AWS servicio y los precios a través de la API de AWS Price List Service. Para permitir que los usuarios de IAM utilicen la API del servicio AWS Price List, debes permitir `DescribeServices``GetAttributeValues`, y`GetProducts`. Para ver una política de ejemplo, consulte [Buscar productos y precios](billing-example-policies.md#example-policy-pe-api). |
| pricing:GetAttributeValues | Otorga permiso para ver los productos AWS de servicio y los precios a través de la API del servicio AWS Price List. Para permitir que los usuarios de IAM utilicen la API del servicio AWS Price List, debes permitir `DescribeServices``GetAttributeValues`, y`GetProducts`. Para ver una política de ejemplo, consulte [Buscar productos y precios](billing-example-policies.md#example-policy-pe-api). |
| pricing:GetProducts | Otorga permiso para ver los productos AWS de servicio y los precios a través de la API del servicio AWS Price List. Para permitir que los usuarios de IAM utilicen la API del servicio AWS Price List, debes permitir `DescribeServices``GetAttributeValues`, y`GetProducts`. Para ver una política de ejemplo, consulte [Buscar productos y precios](billing-example-policies.md#example-policy-pe-api). |
| purchase-orders:ViewPurchaseOrders | Concede permiso para ver las [órdenes de compra](manage-purchaseorders.md). Para ver una política de ejemplo, consulte [Ver y administrar órdenes de compra](billing-example-policies.md#example-view-manage-purchaseorders). |
| purchase-orders:ModifyPurchaseOrders | Concede permiso para modificar las [órdenes de compra](manage-purchaseorders.md). Para ver una política de ejemplo, consulte [Ver y administrar órdenes de compra](billing-example-policies.md#example-view-manage-purchaseorders). |
| tax:GetExemptions | Concede permisos de acceso de solo lectura para ver la consola de exenciones y tipos de exenciones por impuesto. Para ver una política de ejemplo, consulte [Permite a los usuarios de IAM consultar las exenciones fiscales de EE. UU. y crear casos Soporte](billing-example-policies.md#example-awstaxexemption). |
| tax:UpdateExemptions | Concede permiso a los usuarios de IAM para cargar una exención en la consola de exenciones fiscales de EE. UU. Para ver una política de ejemplo, consulte [Permite a los usuarios de IAM consultar las exenciones fiscales de EE. UU. y crear casos Soporte](billing-example-policies.md#example-awstaxexemption). |
| support:CreateCase | Concede permiso a los usuarios de IAM para presentar casos de asistencia necesarios para cargar exenciones desde la consola de exenciones fiscales. Para ver una política de ejemplo, consulte [Permite a los usuarios de IAM consultar las exenciones fiscales de EE. UU. y crear casos Soporte](billing-example-policies.md#example-awstaxexemption). |
| support:AddAttachmentsToSet | Concede permiso a los usuarios de IAM para adjuntar documentos a los casos de soporte necesarios para cargar certificados de exención en la consola de exención fiscal. Para ver una política de ejemplo, consulte [Permite a los usuarios de IAM consultar las exenciones fiscales de EE. UU. y crear casos Soporte](billing-example-policies.md#example-awstaxexemption). |
| customer-verification:GetCustomerVerificationEligibility | (Solo para clientes con una dirección de facturación o de contacto en la India) Concede permiso para recuperar la elegibilidad de verificación de clientes. |
| customer-verification:GetCustomerVerificationDetails | (Solo para clientes con una dirección de facturación o de contacto en la India) Concede permiso para recuperar datos de verificación de clientes. |
| customer-verification:CreateCustomerVerificationDetails | (Solo para clientes con una dirección de facturación o de contacto en la India) Concede permiso para crear datos de verificación de clientes. |
| customer-verification:UpdateCustomerVerificationDetails | (Solo para clientes con una dirección de facturación o de contacto en la India) Concede permiso para actualizar datos de verificación de clientes. |
| mapcredit:ListAssociatedPrograms | Concede permiso para ver los acuerdos del Migration Acceleration Program asociados y el panel de la cuenta del pagador. |
| mapcredit:ListQuarterSpend | Concede permiso para ver los gastos del Migration Acceleration Program elegibles de la cuenta del pagador. |
| mapcredit:ListQuarterCredits | Concede permiso para ver los créditos del Migration Acceleration Program de la cuenta del pagador. |
| invoicing:BatchGetInvoiceProfile | Otorga permiso de solo lectura para ver los perfiles de las facturas y configurarlas. AWS |
| invoicing:CreateInvoiceUnit | Otorga permiso para crear unidades de factura para la configuración de las AWS facturas. |
| invoicing:DeleteInvoiceUnit | Otorga permiso para eliminar las unidades de AWS factura para la configuración de las facturas. |
| invoicing:GetInvoiceUnit | Concede permiso de acceso de solo lectura para ver las unidades de factura para la configuración de las AWS facturas. |
| invoicing:ListInvoiceUnits | Otorga permiso para enumerar todas las unidades de factura para la configuración de la AWS factura. |
| invoicing:ListTagsForResource | Permite o deniega a los usuarios de IAM el permiso para ver las etiquetas de una unidad de factura para la configuración de AWS la factura. |
| invoicing:TagResource | Permite o deniega a los usuarios de IAM el permiso para añadir etiquetas a una unidad de factura para la configuración de la AWS factura. |
| invoicing:UntagResource | Permite o deniega a los usuarios de IAM el permiso para eliminar etiquetas de una unidad de AWS facturación para configurarlas. |
| invoicing:UpdateInvoiceUnit | Otorga permisos de edición para actualizar las unidades de factura para la configuración de las AWS facturas. |
# AWS Ejemplos de políticas de facturación
**nota**
Las siguientes acciones AWS Identity and Access Management (IAM) finalizaron el soporte estándar en julio de 2023:
espacio de nombres `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Si las utilizas AWS Organizations, puedes usar los [scripts de migración masiva de políticas o el migrador](migrate-iam-permissions.md) masivo de políticas para actualizar las políticas desde tu cuenta de pagador. También puede utilizar la [referencia de mapeo de acciones de antigua a granular](migrate-granularaccess-iam-mapping-reference.md) para verificar las acciones de IAM que deben agregarse.
Si tienes una Cuenta de AWS o formas parte de una AWS Organizations creada el 6 de marzo de 2023 o después de esa fecha, a las 11:00 a. m. (PDT), las acciones detalladas ya están en vigor en tu organización.
**importante**
Estas políticas requieren que active el acceso de usuario de IAM a la consola de Administración de facturación y costos en la página de la consola [Configuración de la cuenta](https://console.aws.amazon.com/billing/home#/account). Para obtener más información, consulte [Activación del acceso a la consola de Administración de facturación y costos](control-access-billing.md#ControllingAccessWebsite-Activate).
Para usar políticas AWS administradas, consulte. [AWS políticas gestionadas](managed-policies.md)
Este tema contiene políticas de ejemplo que puede adjuntar a un usuario o grupo de IAM para controlar el acceso a la información y herramientas de facturación de su cuenta. Las siguientes reglas básicas se aplican a las políticas de IAM para Administración de facturación y costos:
+ `Version` es siempre `2012-10-17 `.
+ `Effect` es siempre `Allow` o `Deny`.
+ `Action` es el nombre de la acción o un asterisco (`*`).
El prefijo de acción es `budgets` para AWS los presupuestos, `cur` los informes de AWS costes y uso, `aws-portal` la AWS facturación o el explorador `ce` de costes.
+ `Resource`siempre es `*` para AWS facturación.
Para las acciones que se llevan a cabo en un recurso de `budget`, especifique el nombre de recurso de Amazon (ARN) del presupuesto.
+ Es posible tener varias declaraciones en una política.
Para obtener una lista de políticas de acciones para la consola de administración de AWS costos, consulte AWS los [ejemplos de políticas de administración](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html) de *AWS costos en la guía del usuario de administración de costos*.
**Topics**
+ [Permitir a los usuarios de IAM ver la información de facturación](#example-billing-view-billing-only)
+ [Permite a los usuarios de IAM ver la información de facturación y el informe de la huella de carbono](#example-ccft-policy)
+ [Permitir a los usuarios de IAM acceder a la página de la consola de informes](#example-billing-view-reports)
+ [Denegar a los usuarios de IAM el acceso a las consolas de Administración de facturación y costos](#example-billing-deny-all)
+ [Denegue el acceso a los widgets de costo y uso de la AWS consola a las cuentas de los miembros](#example-billing-deny-widget)
+ [Denegue el acceso al widget de costo y uso de la AWS consola a usuarios y roles específicos de IAM](#example-billing-deny-ce)
+ [Permite a los usuarios de IAM ver la información de facturación, pero deniega el acceso al informe de la huella de carbono](#example-ccft-policy-deny)
+ [Permite a los usuarios de IAM acceder a los informes de la huella de carbono, pero deniega el acceso a la información de facturación](#example-ccft-policy-allow)
+ [Permita el acceso total a AWS los servicios pero deniegue a los usuarios de IAM el acceso a las consolas de Billing and Cost Management](#ExampleAllowAllDenyBilling)
+ [Permitir a los usuarios de IAM ver las consolas de Administración de facturación y costos, excepto la configuración de la cuenta](#example-billing-read-only)
+ [Permitir a los usuarios de IAM modificar la información de facturación](#example-billing-deny-modifybilling)
+ [Cómo denegar el acceso a la configuración de la cuenta, pero permitir el acceso completo al resto de la información de facturación y de uso](#example-billing-deny-modifyaccount)
+ [Informes de depósito en un bucket de Amazon S3](#example-billing-s3-bucket)
+ [Buscar productos y precios](#example-policy-pe-api)
+ [Cómo ver costos y uso](#example-policy-ce-api)
+ [Habilite y deshabilite las regiones AWS](#enable-disable-regions)
+ [Ver y administrar categorías de costos](#example-policy-cc-api)
+ [Cree, visualice, edite o elimine informes de AWS costes y uso](#example-policy-report-definition)
+ [Ver y administrar órdenes de compra](#example-view-manage-purchaseorders)
+ [Ver y actualizar la página Preferences (Preferencias) de Cost Explorer](#example-view-update-ce)
+ [Ver, crear, actualizar y eliminar a través de la página Reports (Informes) de Cost Explorer](#example-view-ce-reports)
+ [Ver, crear, actualizar y eliminar reservas y alertas de Savings Plans](#example-view-ce-expiration)
+ [Permita el acceso de solo lectura a la detección de anomalías en los AWS costes](#example-policy-ce-ad)
+ [Permita que AWS Budgets aplique las políticas de IAM y SCPs](#example-budgets-IAM-SCP)
+ [Permita que AWS Budgets aplique las políticas de IAM y los SCP y se dirija a las instancias de EC2 y RDS](#example-budgets-applySCP)
+ [Permite a los usuarios de IAM consultar las exenciones fiscales de EE. UU. y crear casos Soporte](#example-awstaxexemption)
+ [(Para clientes con una dirección de facturación o de contacto en la India) Permita el acceso de solo lectura a la información de verificación del cliente](#example-aispl-verification)
+ [(Para clientes con una dirección de facturación o de contacto en la India) Ver, crear y actualizar la información de verificación del cliente](#example-aispl-verification-view)
+ [Visualización de información de AWS Migration Acceleration Program en la consola de facturación](#read-only-migration-acceleration-program-policy)
+ [Permita el acceso a la configuración de AWS facturas en la consola de facturación](#invoice-config-policy)
## Permitir a los usuarios de IAM ver la información de facturación
Para permitir que un usuario de IAM vea la información de facturación sin concederle acceso a la información de cuenta confidencial, utilice una política similar a la siguiente política de ejemplo. Esta política impide que los usuarios accedan a la contraseña y a los informes de la actividad de la cuenta. Esta política permite a los usuarios de IAM ver las siguientes páginas de la consola de Administración de facturación y costos, sin tener que concederles acceso a las páginas de la consola **Configuración de la cuenta** o **Informes**:
+ **Panel**
+ **Explorador de costos**
+ **Facturas**
+ **Pedidos y facturas**
+ **Facturación unificada**
+ **Preferencias**
+ **Créditos**
+ **Pago por adelantado**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
}
]
}
```
------
## Permite a los usuarios de IAM ver la información de facturación y el informe de la huella de carbono
Para permitir que un usuario de IAM vea tanto la información de facturación como el informe de la huella de carbono, utilice una política similar al siguiente ejemplo. Esta política impide que los usuarios accedan a la contraseña y a los informes de la actividad de la cuenta. Esta política permite a los usuarios de IAM ver las siguientes páginas de la consola de Administración de facturación y costos, sin tener que concederles acceso a las páginas de la consola **Configuración de la cuenta** o **Informes**:
+ **Panel**
+ **Explorador de costos**
+ **Facturas**
+ **Pedidos y facturas**
+ **Facturación unificada**
+ **Preferencias**
+ **Créditos**
+ **Pago por adelantado**
+ **La sección sobre la herramienta sobre la huella de carbono del AWS cliente de la página de informes de AWS costos y uso**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Allow",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## Permitir a los usuarios de IAM acceder a la página de la consola de informes
Para permitir que un usuario de IAM acceda a la página de la consola **Reports** (Informes) y ver los informes de uso que contienen información de la actividad de la cuenta, utilice una política similar a esta política de ejemplo.
Para ver las definiciones de cada acción, consulte [AWS Acciones de la consola de facturación](security_iam_id-based-policy-examples.md#user-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewUsage",
"aws-portal:ViewBilling",
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*"
}
]
}
```
------
## Denegar a los usuarios de IAM el acceso a las consolas de Administración de facturación y costos
Para denegar de forma explícita a un usuario de IAM el acceso a todas las páginas de la consola de Administración de facturación y costos, utilice una política similar a esta política de ejemplo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "aws-portal:*",
"Resource": "*"
}
]
}
```
------
## Denegue el acceso a los widgets de costo y uso de la AWS consola a las cuentas de los miembros
Para restringir el acceso de la cuenta de miembro (vinculada) a los datos de costo y uso, utilice su cuenta de administración (pagador) para acceder a la pestaña de preferencias del Explorador de costos y desmarque la opción **Acceso de la cuenta vinculada**. Esto denegará el acceso a los datos de costo y uso de la consola Cost Explorer (administración de AWS costos), la API Cost Explorer y el widget de costo y uso de la página de inicio de la AWS consola, independientemente de las acciones de IAM que realice el usuario o el rol de IAM de la cuenta de un miembro.
## Denegue el acceso al widget de costo y uso de la AWS consola a usuarios y roles específicos de IAM
Para denegar el acceso a los widgets de coste y uso de la AWS consola a usuarios y funciones específicos de IAM, utiliza la política de permisos que se indica a continuación.
**nota**
Si se agrega esta política a un usuario o rol de IAM, se denegará a los usuarios el acceso a la consola AWS Cost Explorer (Cost Management) y a Cost Explorer APIs .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ce:*",
"Resource": "*"
}
]
}
```
------
## Permite a los usuarios de IAM ver la información de facturación, pero deniega el acceso al informe de la huella de carbono
Permitir a un usuario de IAM acceder a la información de facturación de las consolas Billing and Cost Management, pero no permitir el acceso a la herramienta AWS Customer Carbon Footprint Tool. Esta herramienta se encuentra en la página de informes de AWS costos y uso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Deny",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## Permite a los usuarios de IAM acceder a los informes de la huella de carbono, pero deniega el acceso a la información de facturación
Permitir a los usuarios de IAM acceder a la herramienta de huella de carbono del AWS cliente en la página de informes de AWS costos y uso, pero deniega el acceso para ver la información de facturación en las consolas Billing and Cost Management.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Deny",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Allow",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## Permita el acceso total a AWS los servicios pero deniegue a los usuarios de IAM el acceso a las consolas de Billing and Cost Management
Para denegar a los usuarios de IAM el acceso a todo el contenido de la consola de Administración de facturación y costos, utilice la siguiente política. Denegue el acceso de los usuarios a AWS Identity and Access Management (IAM) para impedir el acceso a las políticas que controlan el acceso a la información y las herramientas de facturación.
**importante**
Esta política no permite ninguna acción. Utilice esta política en combinación con otras políticas que permiten acciones específicas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aws-portal:*",
"iam:*"
],
"Resource": "*"
}
]
}
```
------
## Permitir a los usuarios de IAM ver las consolas de Administración de facturación y costos, excepto la configuración de la cuenta
Esta política permite acceso de solo lectura a toda la consola de Administración de facturación y costos. Esto incluye las páginas de **Método de pago** e **Informes** de la consola. Sin embargo, esta política deniega el acceso a la página **Account Settings** (Configuración de la cuenta). Esto significa que protege la contraseña de la cuenta, la información de contacto y las preguntas de seguridad.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:View*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## Permitir a los usuarios de IAM modificar la información de facturación
Para permitir que los usuarios de IAM modifiquen la información de facturación de la cuenta en la consola de Administración de facturación y costos, permita que los usuarios de IAM consulten su información de facturación. La siguiente política de ejemplo permite a un usuario de IAM modificar las páginas de la consola **Facturación unificada**, **Preferencias** y **Créditos**. También permite a un usuario de IAM ver las siguientes páginas de la consola de Administración de facturación y costos:
+ **Panel**
+ **Explorador de costos**
+ **Facturas**
+ **Pedidos y facturas**
+ **Pago por adelantado**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:*Billing",
"Resource": "*"
}
]
}
```
------
## Cómo denegar el acceso a la configuración de la cuenta, pero permitir el acceso completo al resto de la información de facturación y de uso
Para proteger la contraseña de la cuenta, la información de contacto y las preguntas de seguridad, deniegue a los usuarios de IAM el acceso a **Configuración de la cuenta**, mientras habilita el acceso completo al resto de las funcionalidades de la consola de Administración de facturación y costos. A continuación, se muestra una política de ejemplo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:*Billing",
"aws-portal:*Usage",
"aws-portal:*PaymentMethods"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## Informes de depósito en un bucket de Amazon S3
La siguiente política permite a Billing and Cost Management guardar sus AWS facturas detalladas en un bucket de Amazon S3 si es propietario tanto de la AWS cuenta como del bucket de Amazon S3. Esta política debe aplicarse al bucket de Amazon S3, en lugar de a un usuario de IAM. Esto es así debido a que es una política basada en recursos, no una política basada en usuario. Recomendamos que deniegue el acceso de usuarios de IAM al bucket para todos los usuarios de IAM que no necesiten acceso a las facturas.
Reemplace *amzn-s3-demo-bucket1* con el nombre de su bucket.
Para obtener más información, consulte [Uso de políticas de bucket y políticas de usuario](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-iam-policies.html) en la *Guía del usuario de Amazon Simple Storage Service*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": [
"s3:GetBucketAcl",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1"
},
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"
}
]
}
```
------
## Buscar productos y precios
Para permitir que un usuario de IAM utilice la API del servicio AWS Price List, utilice la siguiente política para concederle acceso.
Esta política otorga permiso para usar tanto la API de listas de AWS precios masivas como la API de consulta de listas de AWS precios.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts",
"pricing:GetPriceListFileUrl",
"pricing:ListPriceLists"
],
"Resource": [
"*"
]
}
]
}
```
------
## Cómo ver costos y uso
Para permitir que los usuarios de IAM utilicen la API AWS Cost Explorer, utilice la siguiente política para concederles acceso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ce:*"
],
"Resource": [
"*"
]
}
]
}
```
------
## Habilite y deshabilite las regiones AWS
Para ver un ejemplo de política de IAM que permite a los usuarios habilitar y deshabilitar regiones, consulte [AWS: Permite habilitar y deshabilitar AWS regiones](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws-enable-disable-regions.html) en la Guía del usuario de *IAM*.
## Ver y administrar categorías de costos
Para permitir a los usuarios de IAM utilizar, ver y administrar las categorías de costos, utilice la siguiente política para concederles acceso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:GetCostAndUsage",
"ce:DescribeCostCategoryDefinition",
"ce:UpdateCostCategoryDefinition",
"ce:CreateCostCategoryDefinition",
"ce:DeleteCostCategoryDefinition",
"ce:ListCostCategoryDefinitions",
"ce:TagResource",
"ce:UntagResource",
"ce:ListTagsForResource",
"pricing:DescribeServices"
],
"Resource": "*"
}
]
}
```
------
## Cree, visualice, edite o elimine informes de AWS costes y uso
Esta política permite a un usuario de IAM crear, ver, editar o eliminar un `sample-report` con la API.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageSampleReport",
"Effect": "Allow",
"Action": [
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "arn:aws:cur:*:123456789012:definition/sample-report"
},
{
"Sid": "DescribeReportDefs",
"Effect": "Allow",
"Action": "cur:DescribeReportDefinitions",
"Resource": "*"
}
]
}
```
------
## Ver y administrar órdenes de compra
Esta política permite a un usuario de IAM ver y administrar órdenes de compra mediante la siguiente política para conceder acceso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"purchase-orders:*"
],
"Resource": "*"
}
]
}
```
------
## Ver y actualizar la página Preferences (Preferencias) de Cost Explorer
Esta política permite a un usuario de IAM ver y actualizar a través de la **página Preferences (Preferencias) de Cost Explorer**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
La siguiente política permite a los usuarios de IAM ver Cost Explorer, pero no les permite ver o editar la página **Preferences** (Preferencias).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:GetPreferences",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
La siguiente política permite a los usuarios de IAM ver Cost Explorer, pero no les permite editar la página **Preferences** (Preferencias).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
## Ver, crear, actualizar y eliminar a través de la página Reports (Informes) de Cost Explorer
Esta política permite a un usuario de IAM ver, crear, actualizar y eliminar a través de la **página Reports (Informes) de Cost Explorer**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
La siguiente política permite a los usuarios de IAM ver Cost Explorer, pero no les permite ver o editar la página **Reports** (Informes).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeReport",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
La siguiente política permite a los usuarios de IAM ver Cost Explorer, pero no les permite editar la página **Reports** (Informes).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
## Ver, crear, actualizar y eliminar reservas y alertas de Savings Plans
Esta política permite a un usuario de IAM ver, crear, actualizar y eliminar [alertas de vencimiento de reservas](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ce-ris.html)y [alertas de Savings Plans](https://docs.aws.amazon.com/savingsplans/latest/userguide/sp-overview.html#sp-alert). Para editar las alertas de vencimiento de reservas o las alertas de Savings Plans, un usuario necesita las tres acciones granulares: `ce:CreateNotificationSubscription`, `ce:UpdateNotificationSubscription` y `ce:DeleteNotificationSubscription`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
La siguiente política permite a los usuarios de IAM ver Cost Explorer, pero no les permite ver o editar las páginas **Reservation Expiration Alerts** (Alertas de vencimiento de reservas) y **Savings Plans alert** (Alertas de Savings Plans).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeNotificationSubscription",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
La siguiente política permite a los usuarios de IAM ver Cost Explorer, pero no les permite editar las páginas **Reservation Expiration Alerts** (Alertas de vencimiento de reservas) y **Savings Plans alert** (Alertas de Savings Plans).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
## Permita el acceso de solo lectura a la detección de anomalías en los AWS costes
Para permitir a los usuarios de IAM el acceso de solo lectura a AWS Cost Anomaly Detection, utilice la siguiente política para concederles el acceso. `ce:ProvideAnomalyFeedback`es opcional como parte del acceso de solo lectura.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ce:Get*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Permita que AWS Budgets aplique las políticas de IAM y SCPs
Esta política permite a AWS Budgets aplicar las políticas de IAM y las políticas de control de servicios (SCPs) en nombre del usuario.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": "*"
}
]
}
```
------
## Permita que AWS Budgets aplique las políticas de IAM y los SCP y se dirija a las instancias de EC2 y RDS
Esta política permite a AWS Budgets aplicar políticas de IAM y políticas de control de servicios (SCP) y dirigirse a las instancias de Amazon EC2 y Amazon RDS en nombre del usuario.
Política de confianza
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "budgets.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Política de permisos
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceStatus",
"ec2:StartInstances",
"ec2:StopInstances",
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"rds:DescribeDBInstances",
"rds:StartDBInstance",
"rds:StopDBInstance",
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
```
------
## Permite a los usuarios de IAM consultar las exenciones fiscales de EE. UU. y crear casos Soporte
Esta política permite a los usuarios de IAM ver las exenciones fiscales estadounidenses y crear Soporte casos para cargar los certificados de exención en la consola de exenciones fiscales.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:*",
"tax:GetExemptions",
"tax:UpdateExemptions",
"support:CreateCase",
"support:AddAttachmentsToSet"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
## (Para clientes con una dirección de facturación o de contacto en la India) Permita el acceso de solo lectura a la información de verificación del cliente
Esta política permite a los usuarios de IAM acceso de solo lectura a la información de verificación.
Para ver las definiciones de cada acción, consulte [AWS Acciones de la consola de facturación](security_iam_id-based-policy-examples.md#user-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"customer-verification:GetCustomerVerificationEligibility",
"customer-verification:GetCustomerVerificationDetails"
],
"Resource": "*"
}]
}
```
------
## (Para clientes con una dirección de facturación o de contacto en la India) Ver, crear y actualizar la información de verificación del cliente
Esta política permite a los usuarios de IAM administrar la información de verificación del cliente.
Para ver las definiciones de cada acción, consulte [AWS Acciones de la consola de facturación](security_iam_id-based-policy-examples.md#user-permissions)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"customer-verification:CreateCustomerVerificationDetails",
"customer-verification:UpdateCustomerVerificationDetails",
"customer-verification:GetCustomerVerificationEligibility",
"customer-verification:GetCustomerVerificationDetails"
],
"Resource": "*"
}]
}
```
------
## Visualización de información de AWS Migration Acceleration Program en la consola de facturación
Esta política permite a los usuarios de IAM ver los acuerdos, créditos y gastos de Migration Acceleration Program elegibles de la cuenta del pagador en la consola de facturación.
Para ver las definiciones de cada acción, consulte [AWS Acciones de la consola de facturación](security_iam_id-based-policy-examples.md#user-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"mapcredits:ListQuarterSpend",
"mapcredits:ListQuarterCredits",
"mapcredits:ListAssociatedPrograms"
],
"Resource": "*"
}]
}
```
------
## Permita el acceso a la configuración de AWS facturas en la consola de facturación
Esta política permite a los usuarios de IAM acceder a la configuración de AWS facturas en la consola de facturación.
Para ver las definiciones de cada acción, consulte [AWS Acciones de la consola de facturación](security_iam_id-based-policy-examples.md#user-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"invoicing:ListInvoiceUnits",
"invoicing:GetInvoiceUnit",
"invoicing:CreateInvoiceUnit",
"invoicing:UpdateInvoiceUnit",
"invoicing:DeleteInvoiceUnit",
"invoicing:BatchGetInvoiceProfile"
],
"Resource": [
"*"
]
}
]
}
```
------
# Migración del control de acceso para AWS Billing
**nota**
Las siguientes acciones AWS Identity and Access Management (IAM) finalizaron el soporte estándar en julio de 2023:
espacio de nombres `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Si las utilizas AWS Organizations, puedes usar los [scripts de migración masiva de políticas o el migrador](migrate-iam-permissions.md) masivo de políticas para actualizar las políticas desde tu cuenta de pagador. También puede utilizar la [referencia de mapeo de acciones de antigua a granular](migrate-granularaccess-iam-mapping-reference.md) para verificar las acciones de IAM que deben agregarse.
Si tienes una Cuenta de AWS o formas parte de una AWS Organizations creada el 6 de marzo de 2023 o después de esa fecha, a las 11:00 a. m. (PDT), las acciones detalladas ya están en vigor en tu organización.
Puede utilizar controles de acceso detallados para proporcionar a las personas de su organización acceso a los servicios. Administración de facturación y costos de AWS Por ejemplo, puede proporcionar acceso al Explorador de costos sin proporcionar acceso a la consola de Administración de facturación y costos.
Para usar los controles de acceso detallados, deberá migrar sus políticas desde el `aws-portal` a las nuevas acciones de IAM.
Las siguientes acciones de IAM en sus políticas de permisos o políticas de control de servicios (SCP) requieren actualización con esta migración:
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
Para obtener información sobre cómo utilizar la herramienta **Políticas afectadas** para identificar las políticas de IAM afectadas, consulte [Cómo usar la herramienta de políticas afectadas](migrate-security-iam-tool.md).
**nota**
El acceso de la API a los AWS Cost Explorer informes de AWS costos y uso y los AWS presupuestos no se ven afectados.
[Activación del acceso a la consola de Administración de facturación y costos](control-access-billing.md#ControllingAccessWebsite-Activate) permanecen sin cambios.
**Topics**
+ [Administración de permisos de acceso](#migrate-control-access-billing)
+ [Uso de la consola para migrar políticas de forma masiva](migrate-granularaccess-console.md)
+ [Cómo usar la herramienta de políticas afectadas](migrate-security-iam-tool.md)
+ [Utilice scripts para migrar de forma masiva sus políticas y utilizar acciones de IAM detalladas](migrate-iam-permissions.md)
+ [Referencia de la asignación de acciones de IAM detalladas](migrate-granularaccess-iam-mapping-reference.md)
## Administración de permisos de acceso
AWS Billing se integra con el servicio AWS Identity and Access Management (IAM) para que pueda controlar qué miembros de su organización pueden acceder a páginas específicas de la [consola de Billing and Cost Management](https://console.aws.amazon.com/billing/). Esto incluye características como Pagos, Facturación, Créditos, Nivel gratuito, Preferencias de pago, Facturación consolidada, Configuración de impuestos y Páginas de cuenta.
Use los siguientes permisos de IAM para el control granular de la consola de Administración de facturación y costos.
Para proporcionar un acceso detallado, sustituya la política de `aws-portal` por `account`, `billing`, `payments`, `freetier`, `invoicing`, `tax`, y `consolidatedbilling`.
Además, reemplace `purchase-orders:ViewPurchaseOrders` y `purchase-orders:ModifyPurchaseOrders` por las acciones detalladas que aparecen en `purchase-orders`, `account` y `payments`.
### Uso de acciones detalladas AWS Billing
Esta tabla resume los permisos que permiten o deniegan a los roles y usuarios de IAM el acceso a su información de facturación. Para ver ejemplos de políticas que utilizan estos permisos, consulte [AWS Ejemplos de políticas de facturación](billing-example-policies.md).
*Para obtener una lista de las acciones de la AWS Cost Management consola, consulte [AWS Cost Management las políticas de acciones](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#user-permissions) en la AWS Cost Management Guía del usuario.*
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html)
# Uso de la consola para migrar políticas de forma masiva
**nota**
Las siguientes acciones AWS Identity and Access Management (IAM) finalizaron el soporte estándar en julio de 2023:
espacio de nombres `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Si las utilizas AWS Organizations, puedes usar los [scripts de migración masiva de políticas o el migrador](migrate-iam-permissions.md) masivo de políticas para actualizar las políticas desde tu cuenta de pagador. También puede utilizar la [referencia de mapeo de acciones de antigua a granular](migrate-granularaccess-iam-mapping-reference.md) para verificar las acciones de IAM que deben agregarse.
Si tienes una Cuenta de AWS o formas parte de una AWS Organizations creada el 6 de marzo de 2023 o después de esa fecha, a las 11:00 a. m. (PDT), las acciones detalladas ya están en vigor en tu organización.
En esta sección, se explica cómo puede utilizar la [consola de Administración de facturación y costos de AWS](https://console.aws.amazon.com/billing/) para migrar de forma masiva políticas heredadas de cuentas de organizaciones o cuentas estándar a las acciones detalladas. Puede completar la migración de las políticas heredadas con la consola de dos maneras:
**Uso del proceso de migración recomendado por AWS**
Se trata de un proceso simplificado y de una sola acción en el que se migran las acciones heredadas a las acciones detalladas según lo asigne AWS. Para obtener más información, consulte [Uso de las acciones recomendadas para migrar de forma masiva las políticas heredadas](migrate-console-streamlined.md).
**Uso del proceso de migración personalizado**
Este proceso te permite revisar y cambiar las acciones recomendadas AWS antes de la migración masiva, así como personalizar las cuentas de tu organización que se van a migrar. Para obtener más información, consulte [Personalización de acciones para migrar de forma masiva las políticas heredadas](migrate-console-customized.md).
## Requisitos previos para la migración masiva con la consola
Ambas opciones de migración requieren tu consentimiento en la consola para AWS poder recomendar acciones específicas a las acciones de IAM heredadas que has asignado. Para ello, tendrás que iniciar sesión en tu AWS cuenta como [director de IAM con las siguientes acciones de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) para continuar con las actualizaciones de la política.
------
#### [ Management account ]
```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced",
"aws-portal:UpdateConsoleActionSetEnforced",
"purchase-orders:UpdateConsoleActionSetEnforced",
"iam:GetAccountAuthorizationDetails",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:CreateFunction",
"lambda:InvokeFunction",
"lambda:RemovePermission",
"scheduler:GetSchedule",
"scheduler:DeleteSchedule",
"scheduler:CreateSchedule",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:CreateStackSet",
"cloudformation:CreateStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStackSets",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:ListStacks",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:CreateStack",
"cloudformation:UpdateStackInstances",
"cloudformation:UpdateStackSet",
"cloudformation:DescribeStacks",
"ec2:DescribeRegions",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"iam:GenerateOrganizationsAccessReport",
"iam:GetOrganizationsAccessReport",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"organizations:ListAccountsForParent",
"organizations:ListRoots",
"sts:AssumeRole",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:GetInlinePolicyForPermissionSet",
"sso:DescribePermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sso:ProvisionPermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```
------
#### [ Member account or standard account ]
```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced", // Not needed for member account
"aws-portal:UpdateConsoleActionSetEnforced", // Not needed for member account
"purchase-orders:UpdateConsoleActionSetEnforced", // Not needed for member account
"iam:GetAccountAuthorizationDetails",
"ec2:DescribeRegions",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```
------
**Topics**
+ [Requisitos previos para la migración masiva con la consola](#migrate-granularaccess-console-prereq)
+ [Uso de las acciones recomendadas para migrar de forma masiva las políticas heredadas](migrate-console-streamlined.md)
+ [Personalización de acciones para migrar de forma masiva las políticas heredadas](migrate-console-customized.md)
+ [Reversión de cambios en la política de migración masiva](migrate-console-rollback.md)
+ [Confirmación de la migración](#migrate-console-complete)
# Uso de las acciones recomendadas para migrar de forma masiva las políticas heredadas
Puede migrar todas sus políticas heredadas mediante las acciones detalladas que asigne AWS. Pues esto AWS Organizations se aplica a todas las políticas antiguas de todas las cuentas. Una vez que complete el proceso de migración, se ejecutarán las acciones detalladas. Puede probar el proceso de migración masiva mediante cuentas de prueba antes de comprometerse a migrar toda la organización. Para más información, consulte la siguiente sección.
**Para migrar todas sus políticas mediante acciones detalladas mapeadas por AWS**
1. Inicie sesión en la [Consola de administración de AWS](https://console.aws.amazon.com/).
1. En la barra de búsqueda situada en la parte superior de la página, introduzca **Bulk Policy Migrator**.
1. En la página **Administrar nuevas acciones de IAM**, seleccione **Confirmar y migrar**.
1. Permanezca en la página **Migración en curso** hasta que se complete la migración. Consulte la barra de estado para ver el progreso.
1. Cuando la sección **Migración en curso** se actualice a **Migración correcta**, se le redirigirá a la página **Administrar nuevas acciones de IAM**.
## Prueba de la migración masiva
Puede probar la migración masiva de las políticas antiguas a las acciones detalladas AWS recomendadas mediante cuentas de prueba antes de comprometerse a migrar toda la organización. Una vez que complete el proceso de migración en las cuentas de prueba, las acciones detalladas se ejecutarán en las cuentas de prueba.
**Uso de cuentas de prueba para la migración masiva**
1. Inicie sesión en la [Consola de administración de AWS](https://console.aws.amazon.com/).
1. En la barra de búsqueda situada en la parte superior de la página, introduzca **Bulk Policy Migrator**.
1. En la página **Gestionar nuevas acciones de IAM**, seleccione **Personalizar**.
1. Una vez que las cuentas y políticas se carguen en la tabla **Migrar cuentas**, seleccione una o más cuentas de prueba de la lista de cuentas. AWS
1. (Opcional) Para cambiar el mapeo entre tu política antigua y las acciones detalladas AWS recomendadas, selecciona **Ver** mapeo predeterminado. Cambie la asignación y elija **Guardar.**
1. Seleccione **Confirmar y migrar**.
1. Permanezca en la página de la consola hasta que se complete la migración.
# Personalización de acciones para migrar de forma masiva las políticas heredadas
Puedes personalizar la migración masiva de varias formas, en lugar de utilizar la acción AWS recomendada para todas tus cuentas. Puede revisar cualquier cambio necesario en las políticas heredadas antes de migrar, elegir cuentas específicas en sus organizaciones para migrarlas a la vez y actualizar las acciones detalladas asignadas para cambiar el rango de acceso.
**Revisión de las políticas afectadas antes de realizar una migración masiva**
1. Inicie sesión en la [Consola de administración de AWS](https://console.aws.amazon.com/).
1. En la barra de búsqueda situada en la parte superior de la página, introduzca **Bulk Policy Migrator**.
1. En la página **Gestionar nuevas acciones de IAM**, seleccione **Personalizar**.
1. Cuando las cuentas y políticas se carguen en la tabla **Migrar cuentas**, seleccione el número que aparece en la columna **Número de políticas de IAM afectadas** para ver las políticas afectadas. También verá cuándo se utilizó una política por última vez para acceder a las consolas de Administración de facturación y costos.
1. Elija un nombre de política para abrirla en la consola de IAM, ver las definiciones y actualizar la política manualmente.
**Notas**
En ese caso, podría cerrar sesión en su cuenta actual si la política procede de la cuenta de otro miembro.
No se le redirigirá a la página de IAM correspondiente si su cuenta actual tiene una migración masiva en curso.
1. (Opcional) Seleccione **Ver asignación predeterminada** para ver las políticas heredadas y entender la política detallada asignada por AWS.
**Migración de un grupo de cuentas para migrarlas desde su organización**
1. Inicie sesión en la [Consola de administración de AWS](https://console.aws.amazon.com/).
1. En la barra de búsqueda situada en la parte superior de la página, introduzca **Bulk Policy Migrator**.
1. En la página **Gestionar nuevas acciones de IAM**, seleccione **Personalizar**.
1. Cuando las cuentas y políticas se carguen en la tabla **Migrar cuentas**, seleccione una o más cuentas para migrar.
1. Seleccione **Confirmar y migrar**.
1. Permanezca en la página de la consola hasta que se complete la migración.
**Actualización de las acciones detalladas asignadas para cambiar el rango de acceso**
1. Inicie sesión en la [Consola de administración de AWS](https://console.aws.amazon.com/).
1. En la barra de búsqueda situada en la parte superior de la página, introduzca **Bulk Policy Migrator**.
1. En la página **Gestionar nuevas acciones de IAM**, seleccione **Personalizar**.
1. Seleccione **Ver asignación predeterminada**.
1. Elija **Edit (Edición de)**.
1. Añada o elimine acciones de IAM para los servicios de Administración de facturación y costos donde desee controlar el acceso. Para obtener más información sobre las acciones detalladas y el acceso que controlan, consulte [Referencia de la asignación de acciones de IAM detalladas](migrate-granularaccess-iam-mapping-reference.md).
1. Seleccione **Save changes (Guardar cambios)**.
La asignación actualizada se usa para todas las futuras migraciones desde la cuenta en la que ha iniciado sesión. Esto se puede cambiar en cualquier momento.
# Reversión de cambios en la política de migración masiva
Puede revertir todos los cambios de política que haya realizado durante el proceso de migración masiva de forma segura. Para ello, siga los pasos que se proporcionan en la herramienta de migración masiva. La característica de reversión funciona a nivel de cuenta. Puede revertir las actualizaciones de las políticas de todas las cuentas o de grupos específicos de cuentas migradas. Sin embargo, no es posible revertir los cambios de políticas específicas de una cuenta.
**Reversión de los cambios de migración masiva**
1. Inicie sesión en la [Consola de administración de AWS](https://console.aws.amazon.com/).
1. En la barra de búsqueda situada en la parte superior de la página, introduzca **Bulk Policy Migrator**.
1. En la página **Administrar nuevas acciones de IAM**, seleccione la pestaña **Revertir cambios**.
1. Seleccione las cuentas que desea revertir. Las cuentas deben mostrar `Migrated` en la columna **Estado de reversión**.
1. Pulse el botón **Revertir cambios**.
1. Permanezca en la página de la consola hasta que se complete la reversión.
## Confirmación de la migración
Puedes ver si hay AWS Organizations cuentas que aún deban migrarse mediante la herramienta de migración.
**Confirmación de la migración de todas las cuentas**
1. Inicie sesión en la [Consola de administración de AWS](https://console.aws.amazon.com/).
1. En la barra de búsqueda situada en la parte superior de la página, introduzca **Bulk Policy Migrator**.
1. En la página **Gestionar nuevas acciones de IAM**, elija la pestaña **Migrar cuentas**.
Si en la tabla no aparecen cuentas, significa que todas las cuentas se han migrado correctamente.
# Cómo usar la herramienta de políticas afectadas
**nota**
Las siguientes acciones AWS Identity and Access Management (IAM) finalizaron el soporte estándar en julio de 2023:
espacio de nombres `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Si las utilizas AWS Organizations, puedes usar los [scripts de migración masiva de políticas o el migrador](migrate-iam-permissions.md) masivo de políticas para actualizar las políticas desde tu cuenta de pagador. También puede utilizar la [referencia de mapeo de acciones de antigua a granular](migrate-granularaccess-iam-mapping-reference.md) para verificar las acciones de IAM que deben agregarse.
Si tienes una Cuenta de AWS o formas parte de una AWS Organizations creada el 6 de marzo de 2023 o después de esa fecha, a las 11:00 a. m. (PDT), las acciones detalladas ya están en vigor en tu organización.
Puedes usar la herramienta **Políticas afectadas** de la consola de facturación para identificar las políticas de IAM (excluidas SCPs) y hacer referencia a las acciones de IAM afectadas por esta migración. Utilice la herramienta **Políticas afectadas** para realizar las siguientes tareas:
+ Identificar las políticas de IAM y hacer referencia a las acciones de IAM afectadas por esta migración
+ Copiar la política actualizada en su portapapeles
+ Abrir la política afectada en el editor de políticas de IAM
+ Guardar la política actualizada para su cuenta
+ Activar los permisos detallados y desactivar las acciones anteriores
Esta herramienta funciona dentro de los límites de la AWS cuenta en la que has iniciado sesión y no se divulga la información relativa a otras AWS Organizations cuentas.
**Cómo utilizar la herramienta Políticas afectadas**
1. Inicia sesión en Consola de administración de AWS y abre la Administración de facturación y costos de AWS consola en [https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/).
1. Pegue la siguiente URL en su navegador para acceder a la herramienta **Políticas afectadas**: [https://console.aws.amazon.com/poliden/home?region=us-east-1#/](https://console.aws.amazon.com/poliden/home?region=us-east-1#/).
**nota**
El permiso `iam:GetAccountAuthorizationDetails` es necesario para consultar esta página.
1. Revise la tabla que enumera las políticas de IAM afectadas. Utilice la columna **Deprecated IAM actions** (Acciones de IAM en desuso) para revisar acciones de IAM específicas a las que se hace referencia en una política.
1. En la columna **Copiar la política actualizada**, seleccione **Copiar** para copiar la política actualizada en el portapapeles. La política actualizada contiene la política existente y las acciones detalladas sugeridas anexas a la misma en un bloque `Sid` separado. Este bloque tiene el prefijo `AffectedPoliciesMigrator` al final de la política.
1. En la columna **Editar política en la consola de IAM**, seleccione **Editar** para ir al editor de políticas de IAM. Verá el JSON de su política actual.
1. Sustituya toda la política existente por la política actualizada que copió en el paso 4. Puede realizar cualquier otro cambio según sea necesario.
1. Elija **Guardar cambios** y después **Probar**.
1. Repita los pasos del 3 al 7 para todas las políticas afectadas.
1. Después de actualizar las políticas, actualice la herramienta **Políticas afectadas** para confirmar que no haya políticas afectadas en la lista. La columna **Nuevas acciones de IAM encontradas** debería indicar **Sí** para todas las políticas y los botones **Copiar** y **Editar** estarán desactivados. Las políticas afectadas están actualizadas.
**Cómo activar acciones detalladas para su cuenta**
Tras actualizar las políticas, siga este procedimiento para habilitar las acciones detalladas en sus cuenta.
Solo la cuenta de administración (pagador) de una organización o cuentas individuales pueden usar la sección **Administrar nuevas acciones de IAM**. Una cuenta individual puede activar las nuevas acciones por sí misma. Una cuenta de administración puede permitir nuevas acciones para toda la organización o para un subconjunto de cuentas de miembros. Si su cuenta es de administración, actualice las políticas afectadas de todas las cuentas de los miembros y active las nuevas acciones para su organización. Para obtener más información, consulta la sección [¿Cómo cambiar las cuentas entre acciones nuevas y específicas o acciones de IAM existentes?](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/#How-to-toggle-accounts-between-new-fine-grained-actions-or-existing-IAM-Actions) sección de la entrada del blog. AWS
**nota**
Para llevar a cabo esta acción, debe tener los siguientes permisos:
`aws-portal:GetConsoleActionSetEnforced`
`aws-portal:UpdateConsoleActionSetEnforced`
`ce:GetConsoleActionSetEnforced`
`ce:UpdateConsoleActionSetEnforced`
`purchase-orders:GetConsoleActionSetEnforced`
`purchase-orders:UpdateConsoleActionSetEnforced`
Si no ve la sección **Administrar nuevas acciones de IAM**, significa que su cuenta ya ha activado las acciones detalladas de IAM.
1. En **Administrar nuevas acciones de IAM**, la configuración **Conjunto de acciones actual aplicado** pasará a tener el estado **Existente**.
Elija **Habilitar nuevas acciones (detalladas)** y, a continuación, elija **Aplicar cambios**.
1. En el cuadro de diálogo, elija **Yes**. El estado **Conjunto de acciones actual aplicado** cambiará a **Detalladas**. Esto significa que las nuevas acciones se aplican para su Cuenta de AWS o para su organización.
1. (Opcional) A continuación, puede actualizar las políticas existentes para eliminar cualquiera de las acciones anteriores.
**Example Ejemplo: antes y después de la política de IAM**
La siguiente política de IAM tiene la acción `aws-portal:ViewPaymentMethods` anterior.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
}
]
}
```
Tras copiar la política actualizada, en el siguiente ejemplo se muestra el nuevo bloque `Sid` con las acciones detalladas.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
},
{
"Sid": "AffectedPoliciesMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"invoicing:GetInvoicePDF",
"payments:GetPaymentInstrument",
"payments:GetPaymentStatus",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}
]
}
```
## Recursos relacionados
Para obtener más información, consulte [Sid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las nuevas acciones detalladas, consulte [Referencia de la asignación de acciones de IAM detalladas](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html) y [Uso de acciones de facturación detalladas](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html#migrate-user-permissions).
# Utilice scripts para migrar de forma masiva sus políticas y utilizar acciones de IAM detalladas
**nota**
Las siguientes acciones AWS Identity and Access Management (IAM) finalizaron el soporte estándar en julio de 2023:
espacio de nombres `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Si las utilizas AWS Organizations, puedes usar los [scripts de migración masiva de políticas o el migrador](#migrate-iam-permissions) masivo de políticas para actualizar las políticas desde tu cuenta de pagador. También puede utilizar la [referencia de mapeo de acciones de antigua a granular](migrate-granularaccess-iam-mapping-reference.md) para verificar las acciones de IAM que deben agregarse.
Si tienes una Cuenta de AWS o formas parte de una AWS Organizations creada el 6 de marzo de 2023 o después de esa fecha, a las 11:00 a. m. (PDT), las acciones detalladas ya están en vigor en tu organización.
Para facilitar la migración de sus políticas de IAM para realizar acciones nuevas, conocidas como acciones detalladas, puede utilizar scripts del sitio web [AWS Samples](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles).
Ejecute estos scripts desde la cuenta del pagador de su organización para identificar las siguientes políticas afectadas de la organización que utilizan las antiguas acciones de IAM:
+ Políticas de IAM administradas por el cliente
+ Políticas de IAM integradas de roles, grupos y usuarios
+ Políticas de control de servicios (SCPs) (se aplican únicamente a la cuenta del pagador)
+ Conjuntos de permisos
Los scripts generan sugerencias de nuevas acciones que corresponden a las acciones existentes utilizadas en la política. A continuación, revise las sugerencias y utilice los scripts para agregar las nuevas acciones en todas las políticas afectadas de la organización. No es necesario actualizar las políticas AWS gestionadas o AWS gestionadas SCPs (por ejemplo, AWS Control Tower y AWS Organizations SCPs).
Estos scripts se utilizan para:
+ Optimizan las actualizaciones de las políticas para ayudar con la administración de las políticas afectadas desde la cuenta del pagador.
+ Reducen la cantidad de tiempo que necesita para actualizar las políticas. No necesita iniciar sesión en cada cuenta de miembro para actualizar manualmente las políticas.
+ Agrupan políticas idénticas de diferentes cuentas de miembros. A continuación, puede revisar y aplicar las mismas actualizaciones en todas las políticas idénticas, en lugar de revisarlas una por una.
+ Asegúrese de que el acceso de los usuarios no se vea afectado después AWS de retirar las antiguas acciones de IAM el 6 de julio de 2023.
Para obtener más información sobre las políticas y las políticas de control de servicios (SCPs), consulte los siguientes temas:
+ [Administración de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) en la *guía del usuario de IAM*
+ [Políticas de control de servicios (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía AWS Organizations del usuario*
+ [Permisos personalizados](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetcustom.html) en la *Guía del usuario del IAM Identity Center*
## Descripción general de
Siga este tema para completar los siguientes pasos:
**Topics**
+ [Descripción general de](#overview-bulk-migrate-policies)
+ [Requisitos previos](#prerequisites-running-the-scripts)
+ [Paso 1: configurar el entorno](#set-up-your-environment-and-download-the-scripts)
+ [Paso 2: Crea el CloudFormation StackSet](#create-the-cloudformation-stack)
+ [Paso 3: identificar las políticas afectadas](#identify-the-affected-policies)
+ [Paso 4: revisar los cambios sugeridos](#review-the-affected-policies)
+ [Paso 5: actualizar las políticas afectadas](#update-the-affected-policies)
+ [Paso 6: revertir los cambios (opcional)](#revert-changes)
+ [Ejemplos de políticas de IAM](#examples-of-similar-policies)
## Requisitos previos
Para comenzar, necesita lo siguiente:
+ Descargue e instale [Python 3](https://www.python.org/downloads/).
+ Inicie sesión en la cuenta del pagador y compruebe que tiene una entidad principal de IAM con los siguientes permisos de IAM:
```
"iam:GetAccountAuthorizationDetails",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"sso:DescribePermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"sso:GetInlinePolicyForPermissionSet",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:ProvisionPermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sts:AssumeRole"
```
**sugerencia**
Para empezar, recomendamos que utilice un subconjunto de una cuenta (como las cuentas de prueba) para comprobar que estén previstos los cambios sugeridos.
A continuación, puede volver a ejecutar los scripts para las cuentas restantes de la organización.
## Paso 1: configurar el entorno
Para comenzar, descargue los archivos requeridos del sitio web [AWS Samples](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles). A continuación, ejecute comandos para configurar el entorno.
**Para configurar su entorno de**
1. Clone el repositorio desde el sitio web [AWS Samples](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles). En una ventana de línea de comando, puede usar el siguiente comando:
```
git clone https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles.git
```
1. Desplácese hasta el directorio en el que descargó los archivos. Puede utilizar el siguiente comando:
```
cd bulk-policy-migrator-scripts-for-account-cost-billing-consoles
```
En el repositorio, puede encontrar los siguientes scripts y recursos:
+ `billing_console_policy_migrator_role.json`— La CloudFormation plantilla que crea la función de `BillingConsolePolicyMigratorRole` IAM en las cuentas de los miembros de su organización. Este rol permite que los scripts asuman el rol y, a continuación, lean y actualicen las políticas afectadas.
+ `action_mapping_config.json`— Contiene el one-to-many mapeo de las acciones antiguas con las nuevas. Los scripts utilizan este archivo para sugerir las nuevas acciones para cada política afectada que contenga las acciones antiguas.
Cada acción antigua corresponde a varias acciones detalladas. Las nuevas acciones sugeridas en el archivo permiten a los usuarios acceder a las mismas Servicios de AWS antes de la migración.
+ `identify_affected_policies.py`: escanea e identifica las políticas afectadas de la organización. Este script genera un archivo de `affected_policies_and_suggestions.json` que enumera las políticas afectadas junto con las nuevas acciones sugeridas.
Las políticas afectadas que utilizan el mismo conjunto de acciones antiguas se agrupan en el archivo JSON para que pueda revisar o actualizar las nuevas acciones sugeridas.
+ `update_affected_policies.py`: actualiza las políticas afectadas de la organización. El script introduce el archivo `affected_policies_and_suggestions.json` y, a continuación, agrega las nuevas acciones sugeridas a las políticas.
+ `rollback_affected_policies.py`: (opcional) revierte los cambios en las políticas afectadas. Este script elimina las nuevas acciones detalladas de las políticas afectadas.
1. Para configurar y activar el entorno virtual, puede ejecutar el siguiente comando:
```
python3 -m venv venv
```
```
source venv/bin/activate
```
1. Ejecute el siguiente comando para instalar la AWS SDK para Python (Boto3) dependencia.
```
pip install -r requirements.txt
```
**nota**
Debe configurar sus AWS credenciales para usar el AWS Command Line Interface (AWS CLI). Para obtener más información, consulte [AWS SDK para Python (Boto3)](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/credentials.html).
Para obtener más información, consulte el archivo [README.md](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles#readme).
## Paso 2: Crea el CloudFormation StackSet
Siga este procedimiento para crear un *conjunto de CloudFormation pilas*. A continuación, este conjunto de pilas crea el rol de IAM de `BillingConsolePolicyMigratorRole` para todas las cuentas de miembros de la organización.
**nota**
Solo necesita completar este paso una vez desde la cuenta de administración (cuenta del pagador).
**Para crear el CloudFormation StackSet**
1. En un editor de texto, abra el `billing_console_policy_migrator_role.json` archivo y sustituya cada instancia de *``* por el ID de cuenta de la cuenta del pagador (por ejemplo,*123456789012*).
1. Guarde el archivo.
1. Inicie sesión en la cuenta Consola de administración de AWS de pagador.
1. En la CloudFormation consola, crea un conjunto de pilas con el `billing_console_policy_migrator_role.json` archivo que has actualizado.
Para obtener más información, consulte [Creación de un conjunto de pilas en la AWS CloudFormation consola](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html) en la *Guía del AWS CloudFormation usuario*.
Una vez CloudFormation creado el conjunto de pilas, cada cuenta de miembro de la organización tendrá una función de `BillingConsolePolicyMigratorRole` IAM.
El rol de IAM contiene los permisos siguientes:
```
"iam:GetAccountAuthorizationDetails",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion"
```
**Notas**
Para cada cuenta de miembro, los scripts llaman a la operación de la [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)API para obtener credenciales temporales que permitan asumir la función de `BillingConsolePolicyMigratorRole` IAM.
Los scripts llaman a la operación de la [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)API para obtener todas las cuentas de los miembros.
Los scripts también llaman a operaciones de la API de IAM para ejecutar los permisos de lectura y la escritura de las políticas.
## Paso 3: identificar las políticas afectadas
Después de crear el conjunto de pilas y descargar los archivos, ejecute el script `identify_affected_policies.py`. Este script asume el rol de IAM de `BillingConsolePolicyMigratorRole` para cada cuenta de miembro y, a continuación, identifica las políticas afectadas.
**Para identificar las políticas afectadas**
1. Desplácese hasta el directorio en el que descargó los scripts.
```
cd policy_migration_scripts/scripts
```
1. Ejecute el script `identify_affected_policies.py`.
Puede utilizar los siguientes parámetros de entrada:
+ Cuentas de AWS que desea que escanee el script. Para especificar cuentas, utilice los siguientes parámetros de entrada:
+ `--all`: escanea todas las cuentas de miembros de la organización.
```
python3 identify_affected_policies.py --all
```
+ `--accounts`: escanea todos los subconjuntos de cuentas de miembros de la organización.
```
python3 identify_affected_policies.py --accounts 111122223333, 444455556666, 777788889999
```
+ `--exclude-accounts`: no incluye las cuentas de miembros específicas de la organización.
```
python3 identify_affected_policies.py --all --exclude-accounts 111111111111, 222222222222, 333333333333
```
+ ` –-action-mapping-config-file`: (opcional) especifique la ruta al archivo `action_mapping_config.json`. El script usa este archivo para generar actualizaciones sugeridas para las políticas afectadas. Si no especifica la ruta, el script usa el archivo `action_mapping_config.json` en la carpeta.
```
python3 identify_affected_policies.py –-action-mapping-config-file c:\Users\username\Desktop\Scripts\action_mapping_config.json –-all
```
**nota**
No puedes especificar unidades organizativas (OUs) con este script.
Tras ejecutar el script, se crean dos archivos JSON en una carpeta de `Affected_Policies_`:
+ `affected_policies_and_suggestions.json`
+ `detailed_affected_policies.json`
**`affected_policies_and_suggestions.json`**
Muestra las políticas afectadas con las nuevas acciones sugeridas. Se agrupan en el archivo las políticas afectadas que utilizan el mismo conjunto de acciones antiguas.
Este archivo contiene las siguientes secciones:
+ Metadatos que proporcionan una descripción general de las cuentas que especificó en el script, incluidas:
+ Las cuentas escaneadas y el parámetro de entrada utilizado para el script `identify_affected_policies.py`
+ La cantidad de cuentas afectadas
+ La cantidad de políticas afectadas
+ Cantidad de grupos de políticas similares
+ Grupos de políticas similares. Incluye la lista de cuentas y detalles de la política, incluidas las siguientes secciones:
+ `ImpactedPolicies`: especifica cuáles son las políticas afectadas e incluidas en el grupo.
+ `ImpactedPolicyStatements`: proporciona información sobre los bloques `Sid` que actualmente utilizan las acciones antiguas de la política afectada. Esta sección incluye las acciones antiguas y los elementos de IAM, como, `Effect`, `Principal`, `NotPrincipal`, `NotAction` y `Condition`.
+ `SuggestedPolicyStatementsToAppend`: proporciona las nuevas acciones sugeridas que se agregan como un nuevo bloque `SID`.
Cuando se actualizan las políticas, este bloque se agrega al final de estas.
**Example Archivo `affected_policies_and_suggestions.json` de ejemplo**
Este archivo agrupa las políticas que son similares en función de los siguientes criterios:
+ Uso de las mismas acciones antiguas. Políticas que tienen las mismas acciones antiguas en todos los bloques `SID`.
+ Detalles coincidentes. Además de las acciones afectadas, las políticas tienen elementos de IAM idénticos, como:
+ `Effect` (`Allow`/`Deny`)
+ `Principal` (a quién se le permite o deniega el acceso)
+ `NotAction` (qué acciones no están permitidas)
+ `NotPrincipal` (a quien se le niega explícitamente el acceso)
+ `Resource`(a qué AWS recursos se aplica la política)
+ `Condition` (cualquier condición específica en la que se aplique la política)
Para obtener más información, consulte [Ejemplos de políticas de IAM](#examples-of-similar-policies).
**Example Ejemplo `affected_policies_and_suggestions.json`**
```
[{
"AccountsScanned": [
"111111111111",
"222222222222"
],
"TotalAffectedAccounts": 2,
"TotalAffectedPolicies": 2,
"TotalSimilarPolicyGroups": 2
},
{
"GroupName": "Group1",
"ImpactedPolicies": [{
"Account": "111111111111",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-Allow",
"PolicyIdentifier": "1111111_1-user:Inline-Test-Policy-Allow"
},
{
"Account": "222222222222",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-Allow",
"PolicyIdentifier": "222222_1-group:Inline-Test-Policy-Allow"
}
],
"ImpactedPolicyStatements": [
[{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccounts"
],
"Resource": "*"
}]
],
"SuggestedPolicyStatementsToAppend": [{
"Sid": "BillingConsolePolicyMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"account:GetAlternateContact",
"account:GetChallengeQuestions",
"account:GetContactInformation",
"billing:GetContractInformation",
"billing:GetIAMAccessPreference",
"billing:GetSellerOfRecord",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}]
},
{
"GroupName": "Group2",
"ImpactedPolicies": [{
"Account": "111111111111",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-deny",
"PolicyIdentifier": "1111111_2-user:Inline-Test-Policy-deny"
},
{
"Account": "222222222222",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-deny",
"PolicyIdentifier": "222222_2-group:Inline-Test-Policy-deny"
}
],
"ImpactedPolicyStatements": [
[{
"Sid": "VisualEditor0",
"Effect": "deny",
"Action": [
"aws-portal:ModifyAccount"
],
"Resource": "*"
}]
],
"SuggestedPolicyStatementsToAppend": [{
"Sid": "BillingConsolePolicyMigrator1",
"Effect": "Deny",
"Action": [
"account:CloseAccount",
"account:DeleteAlternateContact",
"account:PutAlternateContact",
"account:PutChallengeQuestions",
"account:PutContactInformation",
"billing:PutContractInformation",
"billing:UpdateIAMAccessPreference",
"payments:UpdatePaymentPreferences"
],
"Resource": "*"
}]
}
]
```
**`detailed_affected_policies.json`**
Contiene la definición de todas las políticas afectadas que el script `identify_affected_policies.py` identificó para las cuentas de los miembros.
El archivo agrupa políticas similares. Puede utilizar este archivo como referencia para revisar y administrar los cambios en las políticas sin necesidad de iniciar sesión en cada cuenta de miembro para revisar las actualizaciones de cada política y cuenta de forma individual.
Puede buscar el nombre de la política en el archivo (por ejemplo, `YourCustomerManagedReadOnlyAccessBillingUser`) y, a continuación, revisar las definiciones de políticas afectadas.
**Example Ejemplo: `detailed_affected_policies.json`**
## Paso 4: revisar los cambios sugeridos
Una vez que el script haya creado el archivo `affected_policies_and_suggestions.json`, revíselo y haga los cambios necesarios.
**Para revisar las políticas afectadas**
1. Abra el archivo `affected_policies_and_suggestions.json` en un editor de texto.
1. En la sección `AccountsScanned`, compruebe que se espera la cantidad de grupos similares identificados en las cuentas escaneadas.
1. Revise las acciones detalladas sugeridas que se agregarán a las políticas afectadas.
1. Actualice el archivo según sea necesario y, a continuación, guárdelo.
### Ejemplo 1: actualizar el archivo `action_mapping_config.json`
Puede actualizar las asignaciones sugeridas en `action_mapping_config.json`. Después de actualizar el archivo, puede volver a ejecutar el script `identify_affected_policies.py`. El script genera sugerencias actualizadas para las políticas afectadas.
Puede crear varias versiones del archivo `action_mapping_config.json` para cambiar las políticas de diferentes cuentas con diferentes permisos. Por ejemplo, puede crear un archivo con el nombre de `action_mapping_config_testing.json` para migrar los permisos para las cuentas de prueba y `action_mapping_config_production.json` para las cuentas de producción.
### Ejemplo 2: actualizar el archivo `affected_policies_and_suggestions.json`
Para modificar los reemplazos sugeridos para un grupo de políticas afectado específico, puede editar directamente la sección de reemplazos sugeridos del archivo `affected_policies_and_suggestions.json`.
Todos los cambios que realice en esta sección se aplicarán a todas las políticas de ese grupo de políticas afectado específico.
### Ejemplo 3: personalizar una política específica
Si descubre una política dentro de un grupo de políticas afectado que necesita cambios diferentes a los sugeridos, puede hacer lo siguiente:
+ Excluya cuentas específicas del script `identify_affected_policies.py`. A continuación, puede revisar las cuentas excluidas por separado.
+ Actualice los bloques `Sid` afectados eliminando las políticas y cuentas afectadas que necesitan permisos diferentes. Cree un bloque JSON que incluya solo las cuentas específicas o las excluya de la ejecución actual de la política afectada por la actualización.
Cuando vuelva a ejecutar el script `identify_affected_policies.py`, solo aparecerán las cuentas pertinentes en el bloque actualizado. A continuación, puede refinar los reemplazos sugeridos para ese bloque `Sid` específico.
## Paso 5: actualizar las políticas afectadas
Después de revisar y refinar los reemplazos sugeridos, ejecute el script `update_affected_policies.py`. El script toma el archivo `affected_policies_and_suggestions.json` como entrada. Este script asume el rol de IAM de `BillingConsolePolicyMigratorRole` para actualizar las políticas afectadas que figuran en el archivo `affected_policies_and_suggestions.json`.
**Para actualizar las políticas afectadas**
1. Si aún no lo ha hecho, abra una ventana de línea de comandos para la AWS CLI.
1. Ingrese el comando siguiente para ejecutar el script `update_affected_policies.py`. Puede ingresar los siguientes parámetros de entrada:
+ La ruta del directorio del archivo `affected_policies_and_suggestions.json` que contiene una lista de las políticas afectadas que se van a actualizar. Este archivo es un resultado del paso anterior.
```
python3 update_affected_policies.py --affected-policies-directory Affected_Policies_
```
El script `update_affected_policies.py` actualiza las políticas afectadas dentro del archivo `affected_policies_and_suggestions.json` con las nuevas acciones sugeridas. El script añade un `Sid` bloque a las políticas, identificado como`BillingConsolePolicyMigrator#`, donde *\$1* corresponde a un contador incremental (por ejemplo, 1, 2, 3).
Por ejemplo, si hay varios bloques `Sid` en la política afectada que utilizan acciones antiguas, el script agrega varios bloques `Sid` que aparecen como `BillingConsolePolicyMigrator#` para corresponder a cada bloque `Sid`.
**importante**
El script no elimina las acciones de IAM antiguas de las políticas ni cambia los bloques `Sid` existentes en las políticas. En su lugar, crea bloques `Sid` y los agrega al final de la política. Estos nuevos bloques `Sid` contienen las nuevas acciones sugeridas desde el archivo JSON. Esto garantiza que no se modifiquen los permisos de las políticas originales.
No recomendamos cambiar el nombre de los bloques `BillingConsolePolicyMigrator#` `Sid` en caso de que necesite revertir los cambios.
**Example Ejemplo: política con bloques `Sid` adjuntos**
Consulte los bloques `Sid` adjuntos en los bloques `BillingConsolePolicyMigrator1` y `BillingConsolePolicyMigrator2`.
El script genera un informe de estado que contiene operaciones fallidas y genera el archivo JSON localmente.
**Example Ejemplo: informe de estado**
```
[{
"Account": "111111111111",
"PolicyType": "Customer Managed Policy"
"PolicyName": "AwsPortalViewPaymentMethods",
"PolicyIdentifier": "identifier",
"Status": "FAILURE", // FAILURE or SKIPPED
"ErrorMessage": "Error message details"
}]
```
**importante**
Si vuelve a ejecutar los scripts `identify_affected_policies.py` y `update_affected_policies.py`, estos omiten todas las políticas que contiene el bloque `BillingConsolePolicyMigratorRole#``Sid`. Los scripts asumen que esas políticas se escanearon y actualizaron previamente y que no requieren actualizaciones adicionales. Esto evita que el script duplique las mismas acciones de la política.
Luego de actualizar las políticas afectadas, puede utilizar el nuevo IAM mediante la herramienta de políticas afectadas. Si detecta algún problema, puede utilizar la herramienta para volver a las acciones anteriores. También puede usar un script para revertir las actualizaciones de la política.
Para obtener más información, consulte [Cómo usar la herramienta de políticas afectadas](migrate-security-iam-tool.md) la entrada del blog sobre [los cambios en la AWS facturación, la administración de costos y los permisos de las consolas de cuentas](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/).
Para administrar sus actualizaciones, puede:
Ejecute los scripts para cada cuenta de forma individual.
Ejecute el script en lotes para cuentas similares, como cuentas de pruebas, control de calidad y producción.
Ejecute el script para todas las cuentas.
Elija una combinación entre actualizar algunas cuentas en lotes y, luego, actualizar otras de forma individual.
## Paso 6: revertir los cambios (opcional)
El script `rollback_affected_policies.py` revierte los cambios aplicados a cada política afectada para las cuentas especificadas. El script elimina todos los bloques `Sid` que adjuntó el script `update_affected_policies.py`. Estos bloques `Sid` tienen el formato `BillingConsolePolicyMigratorRole#`.
**Para revertir los cambios**
1. Si aún no lo ha hecho, abra una ventana de línea de comandos para la AWS CLI.
1. Ingrese el comando siguiente para ejecutar el script `rollback_affected_policies.py`. Puede ingresar los siguientes parámetros de entrada:
+ `--accounts`
+ Especifica una lista separada por comas de los Cuenta de AWS IDs elementos que desea incluir en la reversión.
+ En el siguiente ejemplo, se analizan las políticas de lo especificado Cuentas de AWS y se eliminan todas las sentencias que contengan el bloque. `BillingConsolePolicyMigrator#` `Sid`
```
python3 rollback_affected_policies.py –-accounts 111122223333, 555555555555, 666666666666
```
+ `--all`
+ Incluye todo lo que Cuenta de AWS IDs hay en su organización.
+ En el siguiente ejemplo, se escanean todas las políticas de la organización y se eliminan todas las instrucciones del bloque `BillingConsolePolicyMigratorRole#` `Sid`.
```
python3 rollback_affected_policies.py –-all
```
+ `--exclude-accounts`
+ Especifica una lista separada por comas de los Cuenta de AWS IDs elementos que desea excluir de la reversión.
Se puede usar este parámetro solo cuando también especifica el parámetro `--all`.
+ En el siguiente ejemplo, se analizan las políticas de toda Cuentas de AWS la organización, excepto las cuentas especificadas.
```
python3 rollback_affected_policies.py --all --exclude-accounts 777777777777, 888888888888, 999999999999
```
## Ejemplos de políticas de IAM
Las políticas se consideran similares si son idénticas:
+ Acciones afectadas en todos los bloques `Sid`.
+ Detalles de los siguientes elementos de IAM:
+ `Effect` (`Allow`/`Deny`)
+ `Principal` (a quién se le permite o deniega el acceso)
+ `NotAction` (qué acciones no están permitidas)
+ `NotPrincipal` (a quien se le niega explícitamente el acceso)
+ `Resource`(a qué AWS recursos se aplica la política)
+ `Condition` (cualquier condición específica en la que se aplique la política)
Los siguientes ejemplos muestran políticas que IAM podría o no considerar similares en función de las diferencias entre ellas.
**Example Ejemplo 1: las políticas se consideran similares**
Cada tipo de política es diferente, pero ambas políticas contienen un bloque `Sid` con la misma `Action` afectada.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
**Example Ejemplo 2: las políticas se consideran similares**
Ambas políticas contienen un bloque `Sid` con el mismo valor de `Action` afectado. La política 2 contiene acciones adicionales, pero estas acciones no se ven afectadas.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing",
"athena:*"
],
"Resource": "*"
}]
}
```
**Example Ejemplo 3: las políticas no se consideran similares**
Ambas políticas contienen un bloque `Sid` con el mismo valor de `Action` afectado. Sin embargo, la política 2 contiene un elemento `Condition` que no está presente en la política 1.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing",
"athena:*"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "true"
}
}
}]
}
```
**Example Ejemplo 4: las políticas se consideran similares**
La política 1 tiene un bloque `Sid` único con un valor de `Action` afectado. La política 2 tiene varios bloques `Sid`, pero la `Action` afectada aparece solo en un bloque.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"cloudtrail:Get*"
],
"Resource": "*"
}
]
}
```
**Example Ejemplo 5: las políticas no se consideran similares**
La política 1 tiene un bloque `Sid` único con un valor de `Action` afectado. La política 2 tiene varios bloques `Sid`, pero la `Action` afectada aparece en varios bloques.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*"
],
"Resource": "*"
}
]
}
```
**Example Ejemplo 6: las políticas se consideran similares**
Ambas políticas tienen varios bloques `Sid`, y la misma `Action` se ve afectada en cada bloque `Sid`.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"iam:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"iam:Update*"
],
"Resource": "*"
}
]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"athena:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"athena:Update*"
],
"Resource": "*"
}
]
}
```
**Example Ejemplo 7**
Las dos políticas siguientes no se consideran similares.
La política 1 tiene un bloque `Sid` único con una `Action` afectada. La política 2 tiene un bloque `Sid` con la misma `Action` afectada. Sin embargo, la política 2 también contiene otro bloque `Sid` con diferentes acciones.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"iam:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"iam:Update*"
],
"Resource": "*"
}
]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"athena:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:*Billing",
"athena:Update*"
],
"Resource": "*"
}
]
}
```
# Referencia de la asignación de acciones de IAM detalladas
**nota**
Las siguientes acciones AWS Identity and Access Management (IAM) finalizaron el soporte estándar en julio de 2023:
espacio de nombres `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Si las utilizas AWS Organizations, puedes usar los [scripts de migración masiva de políticas o el migrador](migrate-iam-permissions.md) masivo de políticas para actualizar las políticas desde tu cuenta de pagador. También puede utilizar la [referencia de mapeo de acciones de antigua a granular](#migrate-granularaccess-iam-mapping-reference) para verificar las acciones de IAM que deben agregarse.
Si tienes una Cuenta de AWS o formas parte de una AWS Organizations creada el 6 de marzo de 2023 o después de esa fecha, a las 11:00 a. m. (PDT), las acciones detalladas ya están en vigor en tu organización.
Deberá migrar las siguientes acciones de IAM en sus políticas de permisos o políticas de control de servicios (SCP):
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
Puede utilizar este tema para ver la asignación detallada de las acciones anteriores con las nuevas para cada acción de IAM que vamos a retirar.
**Descripción general de**
1. Revise las políticas de IAM afectadas en su Cuenta de AWS. Para ello, siga los pasos de la herramienta **Políticas afectadas** para identificar sus políticas de IAM afectadas. Consulte [Cómo usar la herramienta de políticas afectadas](migrate-security-iam-tool.md).
1. Use la consola de IAM para agregar los nuevos permisos detallados a su política. Por ejemplo, si su política concede el permiso `purchase-orders:ModifyPurchaseOrders`, deberá agregar cada acción en la tabla [Asignación para purchase-orders:ModifyPurchaseOrders](#mapping-for-purchase-ordersmodifypurchaseorders).
**Política anterior**
La siguiente política permite a un usuario agregar, eliminar o modificar cualquier pedido de compra de la cuenta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "purchase-orders:ModifyPurchaseOrders",
"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
}
]
}
```
------
**Política nueva**
La siguiente política también permite a un usuario agregar, eliminar o modificar cualquier pedido de la cuenta. Tenga en cuenta que cada permiso detallado aparece después del permiso `purchase-orders:ModifyPurchaseOrders` anterior. Estos permisos le ofrecen un mayor control sobre las acciones que desea permitir o denegar.
**sugerencia**
Le recomendamos que conserve los permisos anteriores para asegurarse de que no pierde permisos hasta que finalice esta migración.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"purchase-orders:ModifyPurchaseOrders",
"purchase-orders:AddPurchaseOrder",
"purchase-orders:DeletePurchaseOrder",
"purchase-orders:UpdatePurchaseOrder",
"purchase-orders:UpdatePurchaseOrderStatus"
],
"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
}
]
}
```
------
1. Guarde los cambios.
**Notas**
Para editar políticas manualmente en la consola de IAM, consulte [Edición de políticas administradas por el cliente (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console) en la *Guía del usuario de IAM*.
Para migrar de forma masiva sus políticas de IAM y usar acciones detalladas (nuevas acciones), consulte [Utilice scripts para migrar de forma masiva sus políticas y utilizar acciones de IAM detalladas](migrate-iam-permissions.md).
**Contents**
+ [Asignación para aws-portal:ViewAccount](#mapping-for-aws-portalviewaccount)
+ [Asignación para aws-portal:ViewBilling](#mapping-for-aws-portalviewbilling)
+ [Asignación para aws-portal:ViewPaymentMethods](#mapping-for-aws-portalviewpaymentmethods)
+ [Asignación para aws-portal:ViewUsage](#mapping-for-aws-portalviewusage)
+ [Asignación para aws-portal:ModifyAccount](#mapping-for-aws-portalmodifyaccount)
+ [Asignación para aws-portal:ModifyBilling](#mapping-for-aws-portalmodifybilling)
+ [Asignación para aws-portal:ModifyPaymentMethods](#mapping-for-aws-portalmodifypaymentmethods)
+ [Asignación para purchase-orders:ViewPurchaseOrders](#mapping-for-purchase-ordersviewpurchaseorders)
+ [Asignación para purchase-orders:ModifyPurchaseOrders](#mapping-for-purchase-ordersmodifypurchaseorders)
## Asignación para aws-portal:ViewAccount
| Nueva acción | Description (Descripción) | Nivel de acceso |
| --- | --- | --- |
| account:GetAccountInformation | Concede permiso para recuperar la información de una cuenta | Lectura |
| account:GetAlternateContact | Otorga permiso para recuperar los contactos alternativos de una cuenta | Lectura |
| account:GetContactInformation | Otorga permiso para recuperar la información de contacto principal para una cuenta | Lectura |
| billing:GetContractInformation | Concede permiso para ver la información contractual de la cuenta, incluido número del contrato, nombres de las organizaciones de los usuarios finales, números de orden de compra y si la cuenta se utiliza para prestar servicios a clientes del sector público | Lectura |
| billing:GetIAMAccessPreference | Concede permiso para recuperar el estado de la preferencia de facturación Permitir acceso de IAM | Lectura |
| billing:GetSellerOfRecord | Concede permiso para recuperar el vendedor registrado predeterminado de la cuenta | Lectura |
| payments:ListPaymentPreferences | Concede permiso para obtener las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Lectura |
## Asignación para aws-portal:ViewBilling
| Nueva acción | Description (Descripción) | Nivel de acceso |
| --- | --- | --- |
| account:GetAccountInformation | Concede permiso para recuperar la información de una cuenta | Lectura |
| billing:GetBillingData | Concede permiso para realizar consultas sobre información de facturación | Lectura |
| billing:GetBillingDetails | Concede permiso para ver información de facturación de elementos de línea detallada | Lectura |
| billing:GetBillingNotifications | Otorga permiso para ver las notificaciones enviadas por AWS relacionadas con la información de facturación de su cuenta | Lectura |
| billing:GetBillingPreferences | Concede permiso para ver preferencias de facturación tales como instancias reservadas, Savings Plans y uso compartido de créditos | Lectura |
| billing:GetContractInformation | Concede permiso para ver la información contractual de la cuenta, incluido número del contrato, nombres de las organizaciones de los usuarios finales, números de orden de compra y si la cuenta se utiliza para prestar servicios a clientes del sector público | Lectura |
| billing:GetCredits | Concede permiso para ver créditos que se han canjeado | Lectura |
| billing:GetIAMAccessPreference | Concede permiso para recuperar el estado de la preferencia de facturación Permitir acceso de IAM | Lectura |
| billing:GetSellerOfRecord | Concede permiso para recuperar el vendedor registrado predeterminado de la cuenta | Lectura |
| billing:ListBillingViews | Otorga permiso para obtener información de facturación para sus grupos de facturación proforma | Enumeración |
| ce:DescribeNotificationSubscription | Concede permiso para ver alertas de caducidad de reserva | Lectura |
| ce:DescribeReport | Concede permiso para ver la página de informes de Cost Explorer | Read |
| ce:GetAnomalies | Concede permiso para recuperar anomalías. | Read |
| ce:GetAnomalyMonitors | Concede permiso para consultar monitores de anomalía | Read |
| ce:GetAnomalySubscriptions | Concede permiso para consultar suscripciones a anomalías | Read |
| ce:GetCostAndUsage | Concede permiso para recuperar las métricas de costo y de uso para su cuenta. | Read |
| ce:GetCostAndUsageWithResources | Concede permiso para recuperar las métricas de costo y de uso con recursos para su cuenta. | Lectura |
| ce:GetCostCategories | Concede permiso para consultar nombres y valores de la categoría de costos para un periodo especificado | Lectura |
| ce:GetCostForecast | Concede permiso para recuperar una previsión de costo para un periodo de tiempo de previsión. | Read |
| ce:GetDimensionValues | Concede permiso para recuperar todos los valores de filtro disponibles de un filtro de un periodo. | Lectura |
| ce:GetPreferences | Concede permiso para ver la página de preferencias de Cost Explorer | Lectura |
| ce:GetReservationCoverage | Concede permiso para recuperar la cobertura de reserva para su cuenta. | Read |
| ce:GetReservationPurchaseRecommendation | Concede permiso para recuperar las recomendaciones de reserva para su cuenta. | Read |
| ce:GetReservationUtilization | Concede permiso para recuperar la utilización de reserva para su cuenta. | Read |
| ce:GetRightsizingRecommendation | Concede permiso para recuperar las recomendaciones de adecuación de tamaño para su cuenta. | Read |
| ce:GetSavingsPlansCoverage | Concede permiso para recuperar la cobertura de Savings Plans para su cuenta. | Read |
| ce:GetSavingsPlansPurchaseRecommendation | Concede permiso para recuperar las recomendaciones de Savings Plans para su cuenta. | Read |
| ce:GetSavingsPlansUtilization | Concede permiso para recuperar la utilización de Savings Plans para su cuenta. | Read |
| ce:GetSavingsPlansUtilizationDetails | Concede permiso para recuperar los detalles de utilización de Savings Plans de su cuenta. | Read |
| ce:GetTags | Concede permiso para consultar las etiquetas de un periodo de tiempo especificado. | Read |
| ce:GetUsageForecast | Concede permiso para recuperar una previsión de uso para un periodo de tiempo de previsión. | Lectura |
| ce:ListCostAllocationTags | Concede permiso para enumerar las etiquetas para la asignación de costos | Enumeración |
| ce:ListSavingsPlansPurchaseRecommendationGeneration | Otorga permiso para enumerar las generaciones de sus recomendaciones históricas | Lectura |
| consolidatedbilling:GetAccountBillingRole | Concede permiso para obtener el rol de la cuenta (pagador, vinculada, normal) | Lectura |
| consolidatedbilling:ListLinkedAccounts | Concede permiso para obtener una lista de cuentas de miembro y vinculadas | Enumeración |
| cur:GetClassicReport | Concede permiso para obtener un informe CSV para su facturación | Lectura |
| cur:GetClassicReportPreferences | Concede permiso para obtener el estado de habilitación del informe clásico para los informes de usos | Lectura |
| cur:ValidateReportDestination | Otorga permiso para validar si el bucket de Amazon S3 existe con los permisos adecuados para la entrega de AWS CUR | Lectura |
| freetier:GetFreeTierAlertPreference | Otorga permiso para obtener preferencias de capa gratuita de AWS alerta (por dirección de correo electrónico) | Lectura |
| freetier:GetFreeTierUsage | Otorga permiso para obtener los límites capa gratuita de AWS de uso y el estado de uso month-to-date (MTD) | Lectura |
| invoicing:GetInvoiceEmailDeliveryPreferences | Concede permiso para obtener las preferencias de entrega de facturas por correo electrónico | Lectura |
| invoicing:GetInvoicePDF | Concede permiso para obtener la factura en PDF | Lectura |
| invoicing:ListInvoiceSummaries | Concede permiso para obtener información de resumen de factura para la cuenta o cuenta vinculada | Enumeración |
| payments:GetPaymentInstrument | Concede permiso para obtener información acerca de un instrumento de pago | Lectura |
| payments:GetPaymentStatus | Concede permiso para obtener el estado de pago de las facturas | Lectura |
| payments:ListPaymentPreferences | Concede permiso para obtener las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Lectura |
| tax:GetTaxInheritance | Concede permiso para ver el estado de la herencia fiscal | Lectura |
| tax:GetTaxRegistrationDocument | Concede permiso para descargar los documentos de registros fiscales | Lectura |
| tax:ListTaxRegistrations | Concede permiso para ver los registros fiscales | Lectura |
## Asignación para aws-portal:ViewPaymentMethods
| Nueva acción | Description (Descripción) | Nivel de acceso |
| --- | --- | --- |
| account:GetAccountInformation | Concede permiso para recuperar la información de una cuenta | Lectura |
| invoicing:GetInvoicePDF | Concede permiso para obtener la factura en PDF | Lectura |
| payments:GetPaymentInstrument | Concede permiso para obtener información acerca de un instrumento de pago | Lectura |
| payments:GetPaymentStatus | Concede permiso para obtener el estado de pago de las facturas | Lectura |
| payments:ListPaymentPreferences | Concede permiso para obtener las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Enumeración |
## Asignación para aws-portal:ViewUsage
| Nueva acción | Description (Descripción) | Nivel de acceso |
| --- | --- | --- |
| cur:GetUsageReport | Otorga permiso para obtener una lista del flujo de trabajo de los informes de uso Servicios de AWS, el tipo de uso y la operación, y para descargar los informes de uso | Lectura |
## Asignación para aws-portal:ModifyAccount
| Nueva acción | Description (Descripción) | Nivel de acceso |
| --- | --- | --- |
| account:CloseAccount | Concede permiso para cerrar una cuenta | Escritura |
| account:DeleteAlternateContact | Otorga permiso para eliminar los contactos alternativos de una cuenta | Escritura |
| account:PutAlternateContact | Otorga permiso para modificar los contactos alternativos de una cuenta | Escritura |
| account:PutChallengeQuestions | Concede permiso para modificar las preguntas de desafío de una cuenta | Escritura |
| account:PutContactInformation | Otorga permiso para actualizar la información de contacto principal para una cuenta | Escritura |
| billing:PutContractInformation | Concede permiso para establecer la información contractual de la cuenta, los nombres de las organizaciones de los usuarios finales y si la cuenta se utiliza para prestar servicios a clientes del sector público | Escritura |
| billing:UpdateIAMAccessPreference | Concede permiso para actualizar la preferencia de facturación Permitir acceso de IAM | Escritura |
| payments:UpdatePaymentPreferences | Concede permiso para actualizar las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Escritura |
## Asignación para aws-portal:ModifyBilling
| Nueva acción | Description (Descripción) | Nivel de acceso |
| --- | --- | --- |
| billing:PutContractInformation | Concede permiso para establecer la información contractual de la cuenta, los nombres de las organizaciones de los usuarios finales y si la cuenta se utiliza para prestar servicios a clientes del sector público | Escritura |
| billing:RedeemCredits | Otorga permiso para canjear cualquier crédito AWS | Escritura |
| billing:UpdateBillingPreferences | Concede permiso para actualizar preferencias de facturación tales como instancia reservada, Savings Plans y uso compartido de créditos | Escritura |
| ce:CreateAnomalyMonitor | Concede permiso para crear un nuevo monitor de anomalías | Write |
| ce:CreateAnomalySubscription | Concede permiso para crear una nueva suscripción de anomalía | Escritura |
| ce:CreateNotificationSubscription | Concede permiso para crear alertas de caducidad de reserva | Escritura |
| ce:CreateReport | Concede permiso para crear informes de Cost Explorer | Write |
| ce:DeleteAnomalyMonitor | Concede permiso para eliminar un monitor de anomalías | Write |
| ce:DeleteAnomalySubscription | Concede permiso para eliminar una suscripción de anomalía | Escritura |
| ce:DeleteNotificationSubscription | Concede permiso para eliminar alertas de caducidad de reserva | Escritura |
| ce:DeleteReport | Concede permiso para eliminar informes de Cost Explorer | Escritura |
| ce:ProvideAnomalyFeedback | Concede permiso para proporcionar comentarios sobre anomalías detectadas. | Escritura |
| ce:StartSavingsPlansPurchaseRecommendationGeneration | Otorga permiso para solicitar una generación de recomendaciones sobre Savings Plans | Escritura |
| ce:UpdateAnomalyMonitor | Concede permiso para actualizar un monitor de anomalías existente | Write |
| ce:UpdateAnomalySubscription | Concede permiso para actualizar una suscripción de anomalía existente | Escritura |
| ce:UpdateCostAllocationTagsStatus | Concede permiso para actualizar el estado de etiquetas de asignación de costos existentes | Escritura |
| ce:UpdateNotificationSubscription | Concede permiso para actualizar alertas de caducidad de reserva | Escritura |
| ce:UpdatePreferences | Concede permiso para editar la página de preferencias de Cost Explorer | Escritura |
| cur:PutClassicReportPreferences | Concede permiso para habilitar los informes clásicos | Escritura |
| freetier:PutFreeTierAlertPreference | Otorga permiso para establecer una preferencia de capa gratuita de AWS alerta (mediante una dirección de correo electrónico) | Escritura |
| invoicing:PutInvoiceEmailDeliveryPreferences | Concede permiso para actualizar las preferencias de entrega de facturas por correo electrónico | Escritura |
| payments:CreatePaymentInstrument | Concede permiso para crear un instrumento de pago | Escritura |
| payments:DeletePaymentInstrument | Concede permiso para eliminar un instrumento de pago | Escritura |
| payments:MakePayment | Concede permiso para realizar un pago, autenticar un pago, verificar un método de pago y generar un documento de solicitud de fondos para Advance Pay | Escritura |
| payments:UpdatePaymentPreferences | Concede permiso para actualizar las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Escritura |
| tax:BatchPutTaxRegistration | Concede permiso para actualizar por lotes los registros fiscales | Escritura |
| tax:DeleteTaxRegistration | Concede permiso para eliminar los datos de registros fiscales | Escritura |
| tax:PutTaxInheritance | Concede permiso para establecer la herencia fiscal | Escritura |
## Asignación para aws-portal:ModifyPaymentMethods
| Nueva acción | Description (Descripción) | Nivel de acceso |
| --- | --- | --- |
| account:GetAccountInformation | Concede permiso para recuperar la información de una cuenta | Lectura |
| payments:DeletePaymentInstrument | Concede permiso para eliminar un instrumento de pago | Escritura |
| payments:CreatePaymentInstrument | Concede permiso para crear un instrumento de pago | Escritura |
| payments:MakePayment | Concede permiso para realizar un pago, autenticar un pago, verificar un método de pago y generar un documento de solicitud de fondos para Advance Pay | Escritura |
| payments:UpdatePaymentPreferences | Concede permiso para actualizar las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Escritura |
## Asignación para purchase-orders:ViewPurchaseOrders
| Nueva acción | Description (Descripción) | Nivel de acceso |
| --- | --- | --- |
| invoicing:GetInvoicePDF | Concede permiso para obtener una factura en PDF | Get |
| payments:ListPaymentPreferences | Concede permiso para obtener las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Enumeración |
| purchase-orders:GetPurchaseOrder | Concede permiso para obtener una orden de compra | Lectura |
| purchase-orders:ListPurchaseOrderInvoices | Concede permiso para ver las órdenes de compra y los detalles | Enumeración |
| purchase-orders:ListPurchaseOrders | Concede permiso para obtener todas las órdenes de compra disponibles | Enumeración |
## Asignación para purchase-orders:ModifyPurchaseOrders
| Nueva acción | Description (Descripción) | Nivel de acceso |
| --- | --- | --- |
| purchase-orders:AddPurchaseOrder | Concede permiso para agregar una orden de compra | Escritura |
| purchase-orders:DeletePurchaseOrder | Concede permiso para eliminar una orden de compra. | Escritura |
| purchase-orders:UpdatePurchaseOrder | Concede permiso para actualizar una orden de compra existente | Escritura |
| purchase-orders:UpdatePurchaseOrderStatus | Concede permiso para establecer el estado de una orden de compra | Escritura |
# AWS políticas gestionadas
Las políticas administradas son políticas independientes basadas en la identidad que puedes adjuntar a varios usuarios, grupos y roles de tu cuenta. AWS Puedes usar políticas AWS administradas para controlar el acceso a la facturación.
Una política AWS gestionada es una política independiente creada y administrada por AWS. AWS las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes. AWS las políticas administradas le permiten asignar los permisos adecuados a los usuarios, grupos y roles con más facilidad que si tuviera que escribir las políticas usted mismo.
No puede cambiar los permisos definidos en las políticas AWS gestionadas. AWS actualiza ocasionalmente los permisos que se definen en una política AWS administrada. Cuando esto ocurre, la actualización afecta a todas las entidades principales (usuarios, grupos y roles) a los que está asociada la política.
La facturación proporciona varias políticas AWS administradas para casos de uso comunes.
**Topics**
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html)](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html)](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html)](#security-iam-awsmanpol-Billing)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html)](#security-iam-awsmanpol-AWSAccountActivityAccess)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html)](#security-iam-awsmanpol-AWSPriceListServiceFullAccess)
+ [Actualizaciones de las políticas AWS gestionadas de AWS facturación](#security-iam-awsmanpol-updates)
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html)
Esta política administrada concede acceso total a la consola de Administración de facturación y costos y a la consola de órdenes de compra. La política permite al usuario ver, crear, actualizar y eliminar las órdenes de compra de la cuenta.
Para ver los permisos de esta política, consulte [AWSPurchaseOrdersServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html) en la *Referencia de la política administrada de AWS *.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html)
Esta política administrada otorga a los usuarios acceso de solo lectura a las características en la consola de Administración de facturación y costos de AWS .
### Detalles de los permisos
Esta política incluye los permisos siguientes:
+ `account`— Recuperar información sobre su AWS cuenta.
+ `aws-portal`: concede a los usuarios permiso general para ver las páginas de la consola de administración de facturación y costos.
+ `billing`— Obtenga un acceso completo a la información de AWS facturación, como las preferencias de facturación, los contratos activos, los créditos o descuentos aplicados, las preferencias de IAM, el vendedor registrado y una lista de los informes de facturación.
+ `budgets`— Recupere información sobre las acciones configuradas para la AWS Budgets función.
+ `ce`— Recupere información de costo y uso, etiquetas y valores de dimensión para ver la función AWS Cost Explorer.
+ `consolidatedbilling`: recupere los roles y detalles sobre las Cuentas de AWS configuradas mediante la característica de facturación unificada.
+ `cur`— Recuperar información sobre sus AWS Cost and Usage Report datos.
+ `freetier`— Recuperar información sobre las preferencias de capa gratuita de AWS alerta y uso.
+ `invoicing`: recupere información sobre sus preferencias de facturación.
+ `mapcredits`: recupere los gastos y créditos relacionados con el contrato Programa de aceleración de la migración (MAP) 2.0.
+ `payments`: recupere la información sobre la financiación, el estado del pago y el instrumento de pago.
+ `purchase-orders`: recupere información sobre las facturas asociadas a sus órdenes de compra.
+ `sustainability`— Recupere información sobre la huella de carbono en función de su AWS uso.
+ `tax`: recupere la información fiscal registrada de la configuración fiscal.
Para ver los permisos de esta política, consulte [AWSBillingReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html) en la *Referencia de la política administrada de AWS *.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html)
Esta política gestionada concede a los usuarios permiso para ver y editar la Administración de facturación y costos de AWS consola. Esto incluye ver el uso de la cuenta, modificar los presupuestos y los métodos de pago.
Para ver los permisos de esta política, consulte [Facturación](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html) en la *Referencia de la política administrada de AWS *.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html)
Esta política administrada concede a los usuarios permiso para ver la página **Actividad de la cuenta**.
Para ver los permisos de esta política, consulte [AWSAccountActivityAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html) en la *Referencia de la política administrada de AWS *.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html)
Esta política gestionada otorga a los usuarios acceso total al servicio de lista de AWS precios.
Para ver los permisos de esta política, consulte [AWSPriceListServiceFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html) en la *Referencia de la política administrada de AWS *.
## Actualizaciones de las políticas AWS gestionadas de AWS facturación
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas de AWS facturación desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial del documento de AWS facturación.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [Facturación](#security-iam-awsmanpol-Billing) y [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess): actualización a las políticas existentes | Hemos agregado los siguientes permisos de facturación a `Billing`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/managed-policies.html) Hemos agregado los siguientes permisos de facturación a `AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/managed-policies.html) | 19 de noviembre de 2025 |
| [Facturación](#security-iam-awsmanpol-Billing) y [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess): actualización de las políticas existentes | Hemos agregado los siguientes permisos de facturación a `Billing`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/managed-policies.html) Hemos agregado los siguientes permisos de facturación a `AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/managed-policies.html) | 1 de octubre de 2025 |
| [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess): actualización de políticas existentes | Hemos agregado los siguientes permisos a `AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/managed-policies.html) | 21 de agosto de 2025 |
| [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess): actualización de políticas existentes | Hemos añadido los siguientes capa gratuita de AWS permisos a`AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/managed-policies.html) | 9 de julio de 2025 |
| [Facturación](#security-iam-awsmanpol-Billing) y [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess): actualización de las políticas existentes | Hemos agregado los siguientes permisos de MAP 2.0 a `Billing` y `AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/managed-policies.html) | 27 de marzo de 2025 |
| [Facturación](#security-iam-awsmanpol-Billing): actualización de políticas existentes | Hemos agregado los siguientes permisos de facturación a `Billing`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/managed-policies.html) | 17 de enero de 2025 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy), [Facturación](#security-iam-awsmanpol-Billing) y [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess): actualización a las políticas existentes | Hemos agregado el siguiente permiso de facturación a `AWSPurchaseOrdersServiceRolePolicy`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/managed-policies.html) Hemos agregado los siguientes permisos de facturación a `AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/managed-policies.html) Hemos agregado los siguientes permisos de facturación a `Billing`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/managed-policies.html) | 1 de diciembre de 2024 |
| [Facturación](#security-iam-awsmanpol-Billing) y [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess): actualización a las políticas existentes | Hemos agregado los siguientes permisos de pagos a `Billing`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/managed-policies.html) Hemos agregado los siguientes permisos de pagos a `AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/managed-policies.html) | 12 de noviembre de 2024 |
| [AWSPriceListServiceFullAccess ](#security-iam-awsmanpol-AWSPriceListServiceFullAccess): política actualizada | Hemos agregado la documentación de la política `AWSPriceListServiceFullAccess` para el servicio de lista de precios de AWS . La política se lanzó inicialmente en 2017. Hemos actualizado `Sid": "AWSPriceListServiceFullAccess` a la política actual. | 2 de julio de 2024 |
| [Facturación](#security-iam-awsmanpol-Billing) y [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess): actualización a las políticas existentes | Agregamos los siguientes permisos relacionados con las etiquetas de asignación de costos a `Billing`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/managed-policies.html) Agregamos el siguiente permiso relacionado con etiquetas a `AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/managed-policies.html) | 31 de mayo de 2024 |
| [Facturación](#security-iam-awsmanpol-Billing) y [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess): actualización a las políticas existentes | Agregamos los siguientes permisos relacionados con las etiquetas de asignación de costos a `Billing`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/managed-policies.html) Agregamos el siguiente permiso relacionado con la etiqueta de asignación de costos a `AWSBillingReadOnlyAccess` : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/managed-policies.html) | 25 de marzo de 2024 |
| [Facturación](#security-iam-awsmanpol-Billing) y [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess): actualización a las políticas existentes | Agregamos los siguientes permisos relacionados con las etiquetas de asignación de costos a `Billing`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/managed-policies.html) Agregamos el siguiente permiso relacionado con la etiqueta de asignación de costos a `AWSBillingReadOnlyAccess` : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/managed-policies.html) | 26 de julio de 2023 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy), [Facturación](#security-iam-awsmanpol-Billing) y [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess): actualización a las políticas existentes | Agregamos los siguientes permisos relacionados con etiquetas de órdenes de compra a `Billing` y `AWSPurchaseOrdersServiceRolePolicy`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/managed-policies.html) Agregamos el siguiente permiso relacionado con etiquetas a `AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/managed-policies.html) | 17 de julio de 2023 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy), [Facturación](#security-iam-awsmanpol-Billing) y [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess): actualización a las políticas existentes [AWSAccountActivityAccess](#security-iam-awsmanpol-AWSAccountActivityAccess)— Nueva política AWS gestionada documentada para la AWS facturación | Se agregó un conjunto de acciones actualizadas en todas las políticas. | 6 de marzo de 2023 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy): actualización de una política actual | AWS La facturación eliminó los permisos innecesarios. | 18 de noviembre de 2021 |
| AWS La facturación comenzó a registrar los cambios | AWS Billing comenzó a registrar los cambios en sus políticas AWS gestionadas. | 18 de noviembre de 2021 |
# Solución de problemas AWS de identidad y acceso a la facturación
Utilice la siguiente información para diagnosticar y solucionar los problemas comunes que puedan surgir cuando trabaje con la facturación e IAM.
**Topics**
+ [No tengo autorización para realizar una acción en la facturación](#security_iam_troubleshoot-no-permissions)
+ [No estoy autorizado a realizar lo siguiente: PassRole](#security_iam_troubleshoot-passrole)
+ [Quiero ver mis claves de acceso](#security_iam_troubleshoot-access-keys)
+ [Soy administrador y deseo permitir que otros obtengan acceso a la facturación](#security_iam_troubleshoot-admin-delegate)
+ [Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis recursos de facturación](#security_iam_troubleshoot-cross-account-access)
## No tengo autorización para realizar una acción en la facturación
Si Consola de administración de AWS le indica que no está autorizado a realizar una acción, debe ponerse en contacto con su administrador para obtener ayuda. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
En el siguiente ejemplo, el error se produce cuando el usuario `mateojackson` intenta utilizar la consola para consultar los detalles acerca de un recurso ficticio `my-example-widget`, pero no tiene los permisos ficticios `billing:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: billing:GetWidget on resource: my-example-widget
```
En este caso, Mateo pide a su administrador que actualice sus políticas de forma que pueda obtener acceso al recurso `my-example-widget` mediante la acción `billing:GetWidget`.
## No estoy autorizado a realizar lo siguiente: PassRole
Si recibe un error que indica que no tiene autorización para realizar la acción `iam:PassRole`, las políticas se deben actualizar para permitirle pasar un rol a la facturación.
Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.
En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en la facturación. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Quiero ver mis claves de acceso
Después de crear sus claves de acceso de usuario de IAM, puede ver su ID de clave de acceso en cualquier momento. Sin embargo, no puede volver a ver su clave de acceso secreta. Si pierde la clave de acceso secreta, debe crear un nuevo par de claves de acceso.
Las claves de acceso se componen de dos partes: un ID de clave de acceso (por ejemplo, `AKIAIOSFODNN7EXAMPLE`) y una clave de acceso secreta (por ejemplo, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`). El ID de clave de acceso y la clave de acceso secreta se utilizan juntos, como un nombre de usuario y contraseña, para autenticar sus solicitudes. Administre sus claves de acceso con el mismo nivel de seguridad que para el nombre de usuario y la contraseña.
**importante**
No proporcione las claves de acceso a terceros, ni siquiera para que lo ayuden a [buscar el ID de usuario canónico](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId). De este modo, podrías dar a alguien acceso permanente a tu Cuenta de AWS.
Cuando crea un par de claves de acceso, se le pide que guarde el ID de clave de acceso y la clave de acceso secreta en un lugar seguro. La clave de acceso secreta solo está disponible en el momento de su creación. Si pierde la clave de acceso secreta, debe agregar nuevas claves de acceso a su usuario de IAM. Puede tener un máximo de dos claves de acceso. Si ya cuenta con dos, debe eliminar un par de claves antes de crear una nueva. Para consultar las instrucciones, consulte [Administración de claves de acceso](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey) en la *Guía del usuario de IAM*.
## Soy administrador y deseo permitir que otros obtengan acceso a la facturación
Para permitir que otras personas accedan a la facturación, debe conceder permiso a las personas o aplicaciones que necesiten acceder. Si utiliza AWS IAM Identity Center para administrar personas y aplicaciones, debe asignar conjuntos de permisos a los usuarios o grupos para definir su nivel de acceso. Los conjuntos de permisos crean políticas de IAM y las asignan a los roles de IAM asociados a la persona o aplicación de forma automática. Para obtener más información, consulte la sección [Conjuntos de permisos](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) en la *Guía del usuario de AWS IAM Identity Center *.
Si no utiliza IAM identity Center, debe crear entidades de IAM (usuarios o roles) para las personas o aplicaciones que necesitan acceso. A continuación, debe asociar una política a la entidad que le conceda los permisos correctos en la facturación. Una vez concedidos los permisos, proporcione las credenciales al usuario o al desarrollador de la aplicación. Utilizarán esas credenciales para acceder a AWS. Para obtener más información sobre la creación de usuarios, grupos, políticas y permisos de IAM, consulte [Identidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) y [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis recursos de facturación
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admiten políticas basadas en recursos o listas de control de acceso (ACLs), puedes usar esas políticas para permitir que las personas accedan a tus recursos.
Para obtener más información, consulte lo siguiente:
+ Para obtener información acerca de si la facturación admite estas características, consulte [Cómo funciona AWS la facturación con IAM](security_iam_service-with-iam.md).
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro de su propiedad en la Cuenta de AWS Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Uso de funciones vinculadas a servicios para AWS Billing
AWS Billing [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS Billing Los roles vinculados al servicio están predefinidos AWS Billing e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.
Un rol vinculado a un servicio facilita la configuración AWS Billing , ya que no es necesario añadir manualmente los permisos necesarios. AWS Billing define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS Billing puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege sus AWS Billing recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.
**Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte los [AWS servicios que funcionan con IAM y busque los servicios con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) la palabra **Sí** en la columna Funciones vinculadas a servicios.** Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de roles vinculados al servicio para AWS Billing
AWS Billing utiliza el rol vinculado al servicio denominado **Facturación**: permite al servicio de facturación validar el acceso a los datos de visualización de facturación para las vistas de facturación derivadas.
El rol vinculado a servicios de facturación depende de los siguientes servicios para asumir el rol:
+ `billing.amazonaws.com`
La política de permisos de roles denominada AWSBilling ServiceRolePolicy permite AWS Billing realizar las siguientes acciones en los recursos especificados:
+ Acción: `billing:GetBillingViewData` en `arn:${Partition}:billing:::billingview/*`
Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Crear un rol vinculado a un servicio para AWS Billing
No necesita crear manualmente un rol vinculado a servicios. Al crear o asociar una vista de facturación mediante una vista de facturación de una cuenta diferente en la Consola de administración de AWS, la API o la AWS API AWS CLI, se AWS Billing crea automáticamente el rol vinculado al servicio.
**importante**
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Además, si utilizabas el AWS Billing servicio antes del 1 de enero de 2017, cuando comenzó a admitir funciones vinculadas al servicio, AWS Billing creaste la función de facturación en tu cuenta. Para obtener más información, consulte [Apareció un nuevo puesto en mi](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared). Cuenta de AWS
## Edición de un rol vinculado a un servicio para AWS Billing
AWS Billing no le permite editar el rol vinculado al servicio de facturación. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para AWS Billing
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma, no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado a servicios antes de eliminarlo manualmente.
### Eliminación manual de un rol vinculado a servicios
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al servicio de facturación. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles para los roles vinculados al servicio AWS Billing
AWS Billing admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Puntos de conexión y Regiones de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Inicio de sesión y supervisión Administración de facturación y costos de AWS
El monitoreo es una parte importante para mantener la confiabilidad, la disponibilidad y el rendimiento de su AWS cuenta. Hay varias herramientas disponibles para monitorear el uso de Administración de facturación y costos.
## AWS Informes de costos y uso
AWS Los informes de costos y AWS uso registran su consumo y proporcionan los cargos estimados asociados a su cuenta. Cada informe contiene partidas para cada combinación única de AWS productos, tipo de uso y operación que utilices en tu AWS cuenta. Puede personalizar los informes de AWS costos y uso para agregar la información por hora o por día.
Para obtener más información sobre los informes de AWS costos y uso, consulte la [https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html).
## AWS CloudTrail
Billing and Cost Management está integrado con AWS CloudTrail un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o un AWS servicio en Billing and Cost Management. CloudTrail captura todas las llamadas a la API de escritura y modificación de Billing and Cost Management como eventos, incluidas las llamadas desde la consola de Billing and Cost Management y desde las llamadas en código a Billing and Cost Management APIs.
Para obtener más información sobre AWS CloudTrail, consulte la[Registrar llamadas a la API de Billing and Cost Management con AWS CloudTrail](logging-using-cloudtrail.md).
# Registrar llamadas a la API de Billing and Cost Management con AWS CloudTrail
Billing and Cost Management está integrado con AWS CloudTrail un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o un AWS servicio en Billing and Cost Management. CloudTrail captura las llamadas a la API para Billing and Cost Management como eventos, incluidas las llamadas desde la consola de Billing and Cost Management y las llamadas en código a Billing and Cost Management APIs. Para obtener una lista completa de CloudTrail los eventos relacionados con la facturación, consulte[AWS Billing CloudTrail eventos](#billing-cloudtrail-events).
Si crea un registro, puede habilitar la entrega continua de CloudTrail eventos a un bucket de Amazon S3, incluidos los eventos de Billing and Cost Management. Si no configura un registro de seguimiento, puede ver los eventos más recientes en la consola de CloudTrail en el **Event history** (Historial de eventos). Con la información recopilada por CloudTrail, puede determinar la solicitud que se realizó a Billing and Cost Management, la dirección IP desde la que se realizó la solicitud, quién la hizo, cuándo se realizó y detalles adicionales.
Para obtener más información CloudTrail, incluido cómo configurarlo y habilitarlo, consulte la [Guía del AWS CloudTrail usuario](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## AWS Billing CloudTrail eventos
En esta sección se muestra una lista completa de los CloudTrail eventos relacionados con Billing and Cost Management.
****
| Nombre de evento | Definición | Origen del evento |
| --- | --- | --- |
| `AddPurchaseOrder` | Registra la creación de una orden de compra. | purchase-orders.amazonaws.com |
| `AcceptFxPaymentCurrencyTermsAndConditions` | Registra la aceptación de los términos y condiciones de pago en una divisa distinta a USD. | billingconsole.amazonaws.com |
| `CloseAccount` | Registra el cierre de una cuenta. | billingconsole.amazonaws.com |
| `CreateCustomerVerificationDetails` | (Solo para clientes con una dirección de facturación o de contacto en la India) Registra la creación de los detalles de verificación del cliente de la cuenta. | customer-verification.amazonaws.com |
| `CreateOrigamiReportPreference` | Registra la creación del informe de uso y costos; solo la cuenta de administración. | billingconsole.amazonaws.com |
| `DeletePurchaseOrder` | Registra la eliminación de una orden de compra. | purchase-orders.amazonaws.com |
| `DeleteOrigamiReportPreferences` | Registra la eliminación del informe de uso y costos; solo la cuenta de administración. | billingconsole.amazonaws.com |
| `DownloadCommercialInvoice` | Registra la descarga de una factura comercial. | billingconsole.amazonaws.com |
| `DownloadECSVForBillingPeriod` | Registra la descarga del archivo eCSV (informe de uso mensual) para un periodo de facturación específico. | billingconsole.amazonaws.com |
| `DownloadRegistrationDocument` | Registra la descarga del documento de registro fiscal. | billingconsole.amazonaws.com |
| `EnableBillingAlerts` | Registra la opción de recibir alertas de CloudWatch facturación sobre los cargos estimados. | billingconsole.amazonaws.com |
| `FindECSVForBillingPeriod` | Registra la recuperación del archivo ECSV para un periodo de facturación específico. | billingconsole.amazonaws.com |
| `GetAccountEDPStatus` | Registra la recuperación del estado de EDP de la cuenta. | billingconsole.amazonaws.com |
| `GetAddresses` | Registra el acceso a la dirección fiscal, la dirección de facturación y la dirección de contacto de una cuenta. | billingconsole.amazonaws.com |
| `GetAllAccounts` | Registra el acceso a todos los números de cuenta de miembro de la cuenta de administración. | billingconsole.amazonaws.com |
| `GetBillsForBillingPeriod` | Registra el acceso del uso y de los cargos de la cuenta para un periodo de facturación específico. | billingconsole.amazonaws.com |
| `GetBillsForLinkedAccount` | Registra el acceso de una cuenta de administración que recupera el uso y los cargos de una de las cuentas de miembro de la familia de facturación unificada para un periodo de facturación específico. | billingconsole.amazonaws.com |
| `GetCommercialInvoicesForBillingPeriod` | Registra el acceso a los metadatos de las facturas comerciales de la cuenta para un periodo de facturación específico. | billingconsole.amazonaws.com |
| `GetConsolidatedBillingFamilySummary` | Registra el acceso de la cuenta de administración que recupera el resumen de toda la familia de facturación unificada. | billingconsole.amazonaws.com |
| `GetCustomerVerificationEligibility` | (Solo para clientes con una dirección de facturación o de contacto en la India) Registra la recuperación de la elegibilidad de verificación del cliente de la cuenta. | customer-verification.amazonaws.com |
| `GetCustomerVerificationDetails` | (Solo para clientes con una dirección de facturación o de contacto en la India) Registra la recuperación de los detalles de verificación del cliente de la cuenta. | customer-verification.amazonaws.com |
| `GetLinkedAccountNames` | Registra la recuperación desde una cuenta de administración de los nombres de las cuentas de miembro pertenecientes a su familia de facturación unificada para un periodo de facturación específico. | billingconsole.amazonaws.com |
| `GetPurchaseOrder` | Registra la recuperación de una orden de compra. | purchase-orders.amazonaws.com |
| `GetSupportedCountryCodes` | Registra el acceso a todos los códigos de país admitidos por la consola de impuestos. | billingconsole.amazonaws.com |
| `GetTotal` | Registra la recuperación de los cargos totales de la cuenta. | billingconsole.amazonaws.com |
| `GetTotalAmountForForecast` | Registra el acceso a los cargos estimados para el periodo de facturación especificado. | billingconsole.amazonaws.com |
| `ListCostAllocationTags` | Registra la recuperación y la lista de etiquetas de asignación de costos. | ce.amazonaws.com |
| `ListCostAllocationTagBackfillHistory` | Registra la recuperación y la lista del historial de solicitudes de rellenado de etiquetas de asignación de costos. | ce.amazonaws.com |
| `ListPurchaseOrders` | Registra la recuperación y el listado de una orden de compra. | purchase-orders.amazonaws.com |
| `ListPurchaseOrderInvoices` | Registra la recuperación y el listado de facturas asociadas a una orden de compra. | purchase-orders.amazonaws.com |
| `ListTagsForResource` | Muestra las etiquetas asociadas al recurso. En `payments`, esta acción se refiere a un método de pago. En `purchase-orders`, esta acción se refiere a una orden de compra. | purchase-orders.amazonaws.com |
| `RedeemPromoCode` | Registra el canje de créditos promocionales para una cuenta. | billingconsole.amazonaws.com |
| `SetAccountContractMetadata` | Registra la creación, eliminación o actualización de la información de contrato necesaria para los clientes del sector público. | billingconsole.amazonaws.com |
| `SetAccountPreferences` | Registra las actualizaciones del nombre de la cuenta, el correo electrónico y la contraseña. | billingconsole.amazonaws.com |
| `SetAdditionalContacts` | Registra la creación, eliminación o actualización de los contactos alternativos para las comunicaciones de facturación, operaciones y seguridad. | billingconsole.amazonaws.com |
| `SetContactAddress` | Registra la creación, la eliminación o la actualización de la información de contacto del propietario de la cuenta, incluidos el domicilio y el número de teléfono. | billingconsole.amazonaws.com |
| `SetCreatedByOptIn` | Registra el alta de la preferencia de etiqueta de asignación de costos awscreatedby. | billingconsole.amazonaws.com |
| `SetCreditSharing` | Registra el historial de la preferencia de crédito compartido para la cuenta de administración. | billingconsole.amazonaws.com |
| `SetFreetierBudgetsPreference` | Registra la preferencia (alta o baja) de recibir alertas de uso de capa gratuita. | billingconsole.amazonaws.com |
| `SetFxPaymentCurrency` | Registra la creación, eliminación o actualización de la divisa de preferencia utilizada para pagar la factura. | billingconsole.amazonaws.com |
| `SetIAMAccessPreference` | Registra la creación, la eliminación o la actualización de la capacidad de los usuarios de IAM para acceder a la consola de facturación. Esta configuración es solo para clientes con acceso raíz. | billingconsole.amazonaws.com |
| `SetPANInformation` | Registra la creación, eliminación o actualización de la información del PAN en AWS India. | billingconsole.amazonaws.com |
| `SetPayInformation` | Registra el historial del método de pago (factura o credit/debit tarjeta) de la cuenta. | billingconsole.amazonaws.com |
| `SetRISharing` | Registra el historial de las preferencias de uso compartido del RI/Savings plan para la cuenta de administración. | billingconsole.amazonaws.com |
| `SetSecurityQuestions` | Registra la creación, eliminación o actualización de las preguntas de seguridad para ayudarte a AWS identificarte como propietario de la cuenta. | billingconsole.amazonaws.com |
| `StartCostAllocationTagBackfill` | Registra la creación de una solicitud de relleno para indicar el estado de activación de todas las etiquetas de asignación de costes. | ce.amazonaws.com |
| `TagResource` | Registra el etiquetado de un recurso. En `payments`, esta acción se refiere a un método de pago. En `purchase-orders`, esta acción se refiere a una orden de compra. | purchase-orders.amazonaws.com |
| `UntagResource` | Registra la eliminación de etiquetas de un recurso. En `payments`, esta acción se refiere a un método de pago. En `purchase-orders`, esta acción se refiere a una orden de compra. | purchase-orders.amazonaws.com |
| `UpdateCostAllocationTagsStatus` | Registra el estado activo o inactivo de una etiqueta de asignación de costo concreta. | ce.amazonaws.com |
| `UpdateCustomerVerificationDetails` | (Solo para clientes con una dirección de facturación o de contacto en la India) Registra la recuperación de los detalles de verificación del cliente de la cuenta. | customer-verification.amazonaws.com |
| `UpdateOrigamiReportPreference` | Registra la actualización del informe de uso y costos; solo la cuenta de administración. | billingconsole.amazonaws.com |
| `UpdatePurchaseOrder` | Registra la actualización de una orden de compra. | purchase-orders.amazonaws.com |
| `UpdatePurchaseOrderStatus` | Registra la actualización del estado de una orden de compra. | purchase-orders.amazonaws.com |
| `ValidateAddress` | Registra la validación de la dirección fiscal de una cuenta. | billingconsole.amazonaws.com |
### Eventos de pagos CloudTrail
En esta sección se muestra una lista completa de los CloudTrail eventos de la función de **pagos** de la AWS Billing consola. Estos CloudTrail eventos se utilizan `payments.amazonaws.com` en lugar de`billingconsole.amazonaws.com`.
****
| Nombre de evento | Definición |
| --- | --- |
| `Financing_AcceptFinancingApplicationTerms` | Registra la aceptación de las condiciones de una solicitud de financiación. |
| `Financing_CreateFinancingApplication` | Registra la creación de una solicitud de financiación. |
| `Financing_GetFinancingApplication` | Registra el acceso a una solicitud de financiación. |
| `Financing_GetFinancingApplicationDocument` | Registra el acceso a un documento asociado a una solicitud de financiación. |
| `Financing_GetFinancingLine` | Registra el acceso a una línea de financiación. |
| `Financing_GetFinancingLineWithdrawal` | Registra el acceso al retiro de una línea de financiación. |
| `Financing_GetFinancingLineWithdrawalDocument` | Registra el acceso a un documento asociado al retiro de una línea de financiación. |
| `Financing_GetFinancingLineWithdrawalStatements` | Registra el acceso a los estados de cuenta asociados al retiro de una línea de financiación. |
| `Financing_GetFinancingOption` | Registra el acceso a una opción de financiación. |
| `Financing_ListFinancingApplications` | Registra la lista de metadatos de solicitudes de financiación. |
| `Financing_ListFinancingLines` | Registra la lista de metadatos de líneas de financiación. |
| `Financing_ListFinancingLineWithdrawals` | Registra la lista de metadatos del retiro de líneas de financiación. |
| `Financing_UpdateFinancingApplication` | Registra la actualización de una solicitud de financiación. |
| Instruments\$1Authenticate | Registra la autenticación del instrumento de pago. |
| `Instruments_Create` | Registra la creación de instrumentos de pago. |
| `Instruments_Delete` | Registra la eliminación de instrumentos de pago. |
| `Instruments_Get` | Registra el acceso a instrumentos de pago. |
| `Instruments_List` | Registra la lista de metadatos de instrumentos de pago. |
| `Instruments_StartCreate` | Registra las operaciones antes de la creación del instrumento de pago. |
| `Instruments_Update` | Registra la actualización de instrumentos de pago. |
| `ListTagsForResource` | Registra la lista de etiquetas asociadas a un recurso de pago. |
| `Policy_GetPaymentInstrumentEligibility` | Registra el acceso al cumplimiento de los requisitos de instrumentos de pago. |
| `Preferences_BatchGetPaymentProfiles` | Registra el acceso a perfiles de pago. |
| `Preferences_CreatePaymentProfile` | Registra la creación de perfiles de pago. |
| `Preferences_DeletePaymentProfile` | Registra la eliminación de perfiles de pago. |
| `Preferences_ListPaymentProfiles` | Registra la lista de metadatos de perfiles de pago. |
| `Preferences_UpdatePaymentProfile` | Registra la actualización de perfiles de pago. |
| `Programs_ListPaymentProgramOptions` | Registra la lista de opciones de programas de pago. |
| `Programs_ListPaymentProgramStatus` | Registra la lista de requisitos del programa de pago y estado de inscripción. |
| `TagResource` | Registra el etiquetado de un recurso de pago. |
| `TermsAndConditions_AcceptTermsAndConditionsForProgramByAccountId` | Registra los términos y condiciones de los pagos aceptados. |
| `TermsAndConditions_GetAcceptedTermsAndConditionsForProgramByAccountId` | Registra el acceso a los términos y condiciones aceptados. |
| `TermsAndConditions_GetRecommendedTermsAndConditionsForProgram` | Registra el acceso a los términos y condiciones recomendados. |
| `UntagResource` | Registra la eliminación de etiquetas de un recurso de pago. |
### CloudTrail Eventos de configuración fiscal
En esta sección se muestra una lista completa de los CloudTrail eventos de la función de **configuración de impuestos** de la AWS Billing consola. Estos CloudTrail eventos utilizan `taxconsole.amazonaws.com` o `tax.amazonaws.com` en lugar de`billingconsole.amazonaws.com`.
**CloudTrail eventos para la consola de configuración de impuestos**
| Nombre de evento | Definición | Origen del evento |
| --- | --- | --- |
| `BatchGetTaxExemptions` | Registra el acceso a las exenciones fiscales estadounidenses de una cuenta y todas las cuentas vinculadas. | taxconsole.amazon.com |
| `CreateCustomerCase` | Registra la creación de un caso de atención al cliente para validar la exención fiscal estadounidense de una cuenta. | taxconsole.amazon.com |
| `DownloadTaxInvoice` | Registra la descarga de una factura fiscal. | taxconsole.amazon.com |
| `GetTaxExemptionTypes` | Registra el acceso a la consola de todos los tipos de exenciones estadounidenses admitidos por impuesto. | taxconsole.amazon.com |
| `GetTaxInheritance` | Registra el acceso a la preferencia de herencia fiscal (activar o desactivar) de una cuenta. | taxconsole.amazon.com |
| `GetTaxInvoicesMetadata` | Registra la recuperación de los metadatos de las facturas fiscales. | taxconsole.amazon.com |
| `GetTaxRegistration` | Registra el acceso al número de registro fiscal de una cuenta. | taxconsole.amazon.com |
| `PreviewTaxRegistrationChange` | Registra la vista previa de los cambios de registro fiscal antes de la confirmación. | taxconsole.amazon.com |
| `SetTaxInheritance` | Registra la preferencia (darse de alta o de baja) de herencia fiscal. | taxconsole.amazon.com |
**CloudTrail eventos para la API de configuración de impuestos**
| Nombre de evento | Definición | Origen del evento |
| --- | --- | --- |
| `BatchDeleteTaxRegistration` | Registra la eliminación del lote de registro fiscal de varias cuentas. | tax.amazonaws.com |
| `BatchGetTaxExemptions` | Registra el acceso a las exenciones fiscales de una o varias cuentas. | tax.amazonaws.com |
| `BatchPutTaxRegistration` | Registra la configuración del registro fiscal de varias cuentas. | tax.amazonaws.com |
| `DeleteTaxRegistration` | Registra la eliminación del número de registro fiscal de una cuenta. | tax.amazonaws.com |
| `GetTaxExemptionTypes` | Registra el acceso a todos los tipos de excepción fiscal por la consola fiscal. | tax.amazonaws.com |
| `GetTaxInheritance` | Registra el acceso a la preferencia de herencia fiscal (activar o desactivar) de una cuenta. | tax.amazonaws.com |
| `GetTaxRegistration` | Registra el acceso al registro fiscal de una cuenta. | tax.amazonaws.com |
| `GetTaxRegistrationDocument` | Registra la recuperación del documento de registro fiscal de una cuenta. | tax.amazonaws.com |
| `ListTaxExemptions` | Registra el acceso a las exenciones fiscales de las cuentas de la AWS organización. | tax.amazonaws.com |
| `ListTaxRegistrations` | Registra el acceso a la información de identificación fiscal de todas las cuentas de miembro de la cuenta de administración. | tax.amazonaws.com |
| `PutTaxExemption` | Registra la configuración de la exención fiscal de una o varias cuentas. | tax.amazonaws.com |
| `PutTaxInheritance` | Registra la configuración de preferencia (darse de alta o de baja) de herencia fiscal. | tax.amazonaws.com |
| `PutTaxRegistration` | Registra la configuración del registro fiscal de una cuenta. | tax.amazonaws.com |
### Eventos de facturación CloudTrail
En esta sección se muestra una lista completa de los CloudTrail eventos de la función de **facturación** de la AWS Billing consola. Estos CloudTrail eventos utilizan`invoicing.amazonaws.com`.
****
| Nombre de evento | Definición |
| --- | --- |
| `CreateInvoiceUnit` | Registra la creación de una unidad de facturación. |
| `DeleteInvoiceUnit` | Registra la eliminación de una unidad de facturación. |
| `GetInvoiceProfiles` | Registra el acceso al perfil de facturación de una cuenta. |
| `GetInvoiceUnit` | Registra el acceso a una unidad de facturación. |
| `ListInvoiceUnits` | Registra la recuperación y la lista de unidades de facturación. |
| `UpdateInvoiceUnit` | Registra la actualización de una unidad de facturación. |
## Información sobre Billing and Cost Management en CloudTrail
CloudTrail está habilitada en su AWS cuenta al crear la cuenta. Cuando se produce una actividad de eventos admitida en Billing and Cost Management, esa actividad se registra en un CloudTrail evento junto con otros eventos de AWS servicio en el **historial** de eventos. Puedes ver, buscar y descargar los eventos recientes en tu AWS cuenta. Para obtener más información, consulte [Visualización de eventos con el historial de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) en la *Guía del AWS CloudTrail usuario*.
Para tener un registro continuo de los eventos de su AWS cuenta, incluidos los eventos de Billing and Cost Management, cree un registro. Un rastro permite CloudTrail entregar archivos de registro a un bucket de Amazon S3. De forma predeterminada, cuando crea una ruta en la consola, la ruta se aplica a todas AWS las regiones. La ruta registra los eventos de todas las regiones de la AWS partición y envía los archivos de registro al bucket de Amazon S3 que especifique. Además, puede configurar otros AWS servicios para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos.
Para más información, consulte los siguientes temas:
+ [Introducción a la creación de registros de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Integraciones y servicios compatibles](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configuración de las notificaciones de Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Recibir archivos de CloudTrail registro de varias regiones](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) y [recibir archivos de CloudTrail registro de varias cuentas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario lo ayuda a determinar lo siguiente:
+ Si la solicitud se realizó con las credenciales raíz o del usuario de IAM.
+ Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.
+ Si la solicitud la realizó otro AWS servicio.
Para obtener más información, consulte [el elemento userIdentity de CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html) en la *Guía del usuario de AWS CloudTrail *.
## CloudTrail ejemplos de entradas de registro
Los siguientes ejemplos se proporcionan para escenarios específicos de entrada en el CloudTrail registro de Billing and Cost Management.
**Topics**
+ [Entradas del archivo de registros Administración de facturación y costos](#understanding-service-name-entries)
+ [Consola fiscal](#CT-example-tax)
+ [Pagos](#CT-example-payments-create)
### Entradas del archivo de registros Administración de facturación y costos
Un *rastro* es una configuración que permite la entrega de eventos como archivos de registro a un bucket de Amazon S3 que usted especifique. CloudTrail Los archivos de registro contienen una o más entradas de registro. Un evento representa una solicitud única de cualquier fuente e incluye información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud, etc. CloudTrail Los archivos de registro no son un registro ordenado de las llamadas a la API pública, por lo que no aparecen en ningún orden específico.
El siguiente ejemplo muestra una entrada de CloudTrail registro que demuestra la `SetContactAddress` acción.
```
{
"eventVersion": "1.05",
"userIdentity": {
"accountId": "111122223333",
"accessKeyId": "AIDACKCEVSQ6C2EXAMPLE"
},
"eventTime": "2018-05-30T16:44:04Z",
"eventSource": "billingconsole.amazonaws.com",
"eventName": "SetContactAddress",
"awsRegion": "us-east-1",
"sourceIPAddress": "100.100.10.10",
"requestParameters": {
"website": "https://amazon.com",
"city": "Seattle",
"postalCode": "98108",
"fullName": "Jane Doe",
"districtOrCounty": null,
"phoneNumber": "206-555-0100",
"countryCode": "US",
"addressLine1": "Nowhere Estates",
"addressLine2": "100 Main Street",
"company": "AnyCompany",
"state": "Washington",
"addressLine3": "Anytown, USA",
"secondaryPhone": "206-555-0101"
},
"responseElements": null,
"eventID": "5923c499-063e-44ac-80fb-b40example9f",
"readOnly": false,
"eventType": "AwsConsoleAction",
"recipientAccountId": "1111-2222-3333"
}
```
### Consola fiscal
El siguiente ejemplo muestra una entrada de CloudTrail registro que utiliza la `CreateCustomerCase` acción.
```
{
"eventVersion":"1.05",
"userIdentity":{
"accountId":"111122223333",
"accessKeyId":"AIDACKCEVSQ6C2EXAMPLE"
},
"eventTime":"2018-05-30T16:44:04Z",
"eventSource":"taxconsole.amazonaws.com",
"eventName":"CreateCustomerCase",
"awsRegion":"us-east-1",
"sourceIPAddress":"100.100.10.10",
"requestParameters":{
"state":"NJ",
"exemptionType":"501C",
"exemptionCertificateList":[
{
"documentName":"ExemptionCertificate.png"
}
]
},
"responseElements":{
"caseId":"case-111122223333-iris-2022-3cd52e8dbf262242"
},
"eventID":"5923c499-063e-44ac-80fb-b40example9f",
"readOnly":false,
"eventType":"AwsConsoleAction",
"recipientAccountId":"1111-2222-3333"
}
```
### Pagos
En el siguiente ejemplo, se muestra una entrada de CloudTrail registro que utiliza la `Instruments_Create` acción.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Root",
"principalId": "111122223333",
"arn": "arn:aws:iam::111122223333:",
"accountId": "111122223333",
"accessKeyId": "AIDACKCEVSQ6C2EXAMPLE",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-05-01T00:00:00Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-05-01T00:00:00Z",
"eventSource": "payments.amazonaws.com",
"eventName": "Instruments_Create",
"awsRegion": "us-east-1",
"sourceIPAddress": "100.100.10.10",
"userAgent": "AWS",
"requestParameters": {
"accountId": "111122223333",
"paymentMethod": "CreditCard",
"address": "HIDDEN_DUE_TO_SECURITY_REASONS",
"accountHolderName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"cardNumber": "HIDDEN_DUE_TO_SECURITY_REASONS",
"cvv2": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationMonth": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationYear": "HIDDEN_DUE_TO_SECURITY_REASONS",
"tags": {
"Department": "Finance"
}
},
"responseElements": {
"paymentInstrumentArn": "arn:aws:payments::111122223333:payment-instrument:4251d66c-1b05-46ea-890c-6b4acf6b24ab",
"paymentInstrumentId": "111122223333",
"paymentMethod": "CreditCard",
"consent": "NotProvided",
"creationDate": "2024-05-01T00:00:00Z",
"address": "HIDDEN_DUE_TO_SECURITY_REASONS",
"accountHolderName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationMonth": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationYear": "HIDDEN_DUE_TO_SECURITY_REASONS",
"issuer": "Visa",
"tail": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"requestID": "7c7df9c2-c381-4880-a879-2b9037ce0573",
"eventID": "c251942f-6559-43d2-9dcd-2053d2a77de3",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```
# Validación de conformidad para Administración de facturación y costos de AWS
Los auditores externos evalúan la seguridad y el cumplimiento de AWS los servicios como parte de varios programas de AWS cumplimiento. Billing and Cost Management no está dentro del ámbito de ningún programa de AWS cumplimiento.
Para obtener una lista de AWS los servicios incluidos en el ámbito de los programas de cumplimiento específicos, consulte los [AWS servicios incluidos en el ámbito de aplicación por programa de cumplimiento](https://aws.amazon.com/compliance/services-in-scope/) y . Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .
Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Su responsabilidad de cumplimiento al utilizar Billing and Cost Management viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. AWS proporciona los siguientes recursos para ayudar con el cumplimiento:
+ [Security and Compliance Quick Start Guides](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) (Guías de inicio rápido de seguridad y conformidad) (Guías de inicio rápido de seguridad y conformidad): Estas guías de implementación analizan las consideraciones en materia de arquitectura y proporcionan los pasos para implementar los entornos de referencia centrados en la seguridad y la conformidad en AWS.
+ [AWS Recursos](https://aws.amazon.com/compliance/resources/) de de cumplimiento: esta colección de libros de trabajo y guías puede aplicarse a su sector y ubicación.
+ [Evaluación de los recursos con las reglas](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) de la *guía para AWS Config desarrolladores*: el AWS Config servicio evalúa en qué medida las configuraciones de los recursos cumplen con las prácticas internas, las directrices del sector y las normas.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Este AWS servicio proporciona una visión integral del estado de su seguridad AWS que le ayuda a comprobar su conformidad con los estándares y las mejores prácticas del sector de la seguridad.
# Resiliencia en Administración de facturación y costos de AWS
La infraestructura AWS global se basa en AWS regiones y zonas de disponibilidad. AWS Las regiones proporcionan varias zonas de disponibilidad aisladas y separadas físicamente, que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de uno o varios centros de datos.
[Para obtener más información sobre AWS las regiones y las zonas de disponibilidad, consulte Infraestructura global.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
# Seguridad de la infraestructura en Administración de facturación y costos de AWS
Como servicio gestionado, Administración de facturación y costos de AWS está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte [Seguridad AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.
Utiliza las llamadas a la API AWS publicadas para acceder a Billing and Cost Management a través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
# Acceda Administración de facturación y costos de AWS mediante un punto final de interfaz (AWS PrivateLink)
Puede usarlo AWS PrivateLink para crear una conexión privada entre su VPC y. Administración de facturación y costos de AWS Puede acceder a Billing and Cost Management como si estuviera en su VPC, sin utilizar una pasarela de Internet, un dispositivo NAT, una conexión VPN o Direct Connect una conexión. Las instancias de la VPC no necesitan direcciones IP públicas para acceder a Administración de facturación y costos.
Esta conexión privada se establece mediante la creación de un *punto de conexión de interfaz* alimentado por AWS PrivateLink. Creamos una interfaz de red de punto de conexión en cada subred habilitada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a Administración de facturación y costos.
Para obtener más información, consulte [Acceso Servicios de AWS directo AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) en la *AWS PrivateLink guía*.
Para obtener una lista completa de los nombres de los servicios, consulte [AWS los servicios que se integran con AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html).
## Consideraciones para la Administración de facturación y costos
Antes de configurar un punto de conexión de interfaz para la Administración de facturación y costos, consulte [Consideraciones](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) en la *Guía de AWS PrivateLink *.
La Administración de facturación y costos admite la realización de llamadas a todas las acciones de la API a través del punto de conexión de interfaz.
Las políticas de punto de conexión de VPC no son compatibles con la Administración de facturación y costos. De forma predeterminada, el acceso completo a la Administración de facturación y costos se permite a través del punto de conexión de la interfaz. Como alternativa, puede asociar un grupo de seguridad a las interfaces de red del punto de conexión para controlar el tráfico a la Administración de facturación y costos a través del punto de conexión de la interfaz.
## Creación de un punto de conexión de interfaz para la Administración de facturación y costos
Puede crear un punto final de interfaz para Billing and Cost Management mediante la consola Amazon VPC o el AWS Command Line Interface ()AWS CLI. Para obtener más información, consulte [Creación de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) en la *Guía de AWS PrivateLink *.
Cree un punto de conexión para la Administración de facturación y costos utilizando el siguiente nombre de servicio:
```
com.amazonaws.region.service-name
```
Si habilita DNS privado para el punto de conexión de interfaz, puede realizar solicitudes API a la Administración de facturación y costos usando su nombre de DNS predeterminado para la región. Por ejemplo, `service-name.us-east-1.amazonaws.com`.
## Creación de una política de puntos de conexión para el punto de conexión de interfaz
Una política de punto de conexión es un recurso de IAM que puede adjuntar al punto de conexión de su interfaz. La política de puntos de conexión predeterminada permite acceso completo a la Administración de facturación y costos a través del punto de conexión de interfaz. Para controlar el acceso permitido a la Administración de facturación y costos desde la VPC, asocie una política de puntos de conexión personalizada al punto de conexión de interfaz.
Una política de punto de conexión especifica la siguiente información:
+ Las entidades principales que pueden llevar a cabo acciones (Cuentas de AWS, usuarios de IAM y roles de IAM).
+ Las acciones que se pueden realizar.
+ El recurso en el que se pueden realizar las acciones.
Para obtener más información, consulte [Control del acceso a los servicios con políticas de punto de conexión](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) en la *Guía del usuario de AWS PrivateLink *.
**Ejemplo: política de puntos finales de VPC para la API de listas de AWS precios**
El siguiente es un ejemplo de una política de un punto de conexión personalizado. Al adjuntar esta política al punto final de la interfaz, todos los usuarios que tengan acceso al punto final podrán acceder a la API AWS Price List.
```
{
"Statement": [
{
"Action": "pricing:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "*"
}
]
}
```
Para utilizar la descarga masiva de archivos para la API de listas de precios AWS PrivateLink, también debe habilitar el acceso a Amazon S3 mediante AWS PrivateLink. Para obtener más información, consulte [AWS PrivateLink para Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html) en la *Guía del usuario de Amazon S3*.