Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité dans AWS Billing
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit ceci comme la sécurité *du* cloud et la sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des programmes de [AWS conformité Programmes](https://aws.amazon.com/compliance/programs/) de de conformité. Pour en savoir plus sur les programmes de conformité qui s'appliquent à AWS Billing and Cost Management, voir [AWS Services concernés par programme de conformitéAWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris de la sensibilité de vos données, des exigences de votre entreprise, ainsi que de la législation et de la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation de la Gestion de la facturation et des coûts. Les rubriques suivantes vous montrent comment configurer la Gestion de la facturation et des coûts pour répondre à vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser vos ressources de Billing and Cost Management.
**Topics**
+ [
# Protection des données dans AWS Billing and Cost Management
](data-protection.md)
+ [
# Identity and Access Management pour la AWS facturation
](security-iam.md)
+ [
# Utilisation de rôles liés à un service pour AWS Billing
](using-service-linked-roles.md)
+ [
# Connexion et surveillance AWS Billing and Cost Management
](billing-security-logging.md)
+ [
# Validation de conformité pour AWS Billing and Cost Management
](Billing-compliance.md)
+ [
# Résilience dans AWS Billing and Cost Management
](disaster-recovery-resiliency.md)
+ [
# Sécurité de l'infrastructure dans AWS Billing and Cost Management
](infrastructure-security.md)
**Note**
Lorsque vous utilisez le transfert de facturation comme compte source de factures, vos données de facturation et de gestion des coûts sont transférées vers un compte de gestion externe (compte de transfert de factures). Le compte de transfert de factures contrôle votre expérience de facturation et de gestion des coûts. Le compte source de la facture ne peut pas annuler les effets du transfert de facturation en utilisant les politiques IAM. Pour reprendre le contrôle de vos données de facturation et de gestion des coûts, vous devez annuler le transfert de facturation. Pour de plus amples informations, veuillez consulter [Transférer la gestion de la facturation vers des comptes externes](orgs_transfer_billing.md).
# Protection des données dans AWS Billing and Cost Management
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) de s'applique à la protection des données dans AWS Billing and Cost Management. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog [Modèle de responsabilité partagée d’AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec Billing and Cost Management ou une autre solution Services AWS à l'aide de la console AWS CLI, de l'API ou AWS SDKs. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
# Identity and Access Management pour la AWS facturation
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Des administrateurs IAM contrôlent les personnes qui *s’authentifient* (sont connectées) et *sont autorisées* (disposent d'autorisations) à utiliser des ressources de facturation. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
Pour commencer à activer l'accès à la console de facturation, consultez [Didacticiel IAM : délégation d'un accès à la console de facturation](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) dans le *guide de l'utilisateur IAM*.
## Types d'utilisateur et autorisations de facturation
Le tableau ci-après récapitule les actions par défaut qui sont autorisées dans Facturation pour chaque type d'utilisateur de facturation.
**Types d'utilisateur et autorisations de facturation**
| Type utilisateur | Description | Autorisations de facturation |
| --- | --- | --- |
| Détenteur du compte | Personne ou entité au nom de laquelle est configuré votre compte. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/security-iam.html) |
| Utilisateur | Personne ou application définie comme un utilisateur dans un compte par le détenteur ou un administrateur du compte. Plusieurs utilisateurs peuvent être associés à un même compte. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/security-iam.html) |
| Propriétaire du compte de gestion de l'organisation | Personne ou entité associée à un compte AWS Organizations de gestion. Le compte de gestion prend en charge les frais AWS d'utilisation engagés par un compte membre au sein d'une organisation. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/security-iam.html) |
| Propriétaire d'un compte membre de l'organisation | Personne ou entité associée à un compte de AWS Organizations membre. Le compte de gestion prend en charge les frais AWS d'utilisation engagés par un compte membre au sein d'une organisation. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/security-iam.html) |
# Présentation de la gestion des autorisations d'accès
## Octroi de l'accès à vos informations et outils de facturation
Par défaut, les utilisateurs IAM n'ont pas accès à la [console AWS Billing and Cost Management](https://console.aws.amazon.com/billing/).
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
En tant qu'administrateur, vous pouvez créer des rôles sous votre AWS compte que vos utilisateurs peuvent assumer. Après avoir créé des rôles, vous pouvez y associer votre politique IAM, en fonction de l'accès requis. Par exemple, vous pouvez accorder à certains utilisateurs un accès limité à certaines informations et à certains outils de facturation et accorder à d'autres utilisateurs un accès complet à toutes les informations et à tous les outils.
Pour autoriser les entités IAM à accéder à la console Billing and Cost Management, procédez comme suit :
+ [Activez IAM Access](#ControllingAccessWebsite-Activate) en tant qu'utilisateur Compte AWS root. Vous devez effectuer cette action une seule fois pour votre compte.
+ Créez vos identités IAM, comme un utilisateur, un groupe ou un rôle.
+ Utilisez une politique AWS gérée ou créez une politique gérée par le client qui autorise des actions spécifiques sur la console Billing and Cost Management. Pour de plus amples informations, veuillez consulter [Utilisation de politiques basées sur l'identité pour la facturation](security_iam_id-based-policy-examples.md#billing-permissions-ref).
Pour plus d'informations, consultez le [didacticiel IAM : Accorder l'accès à la console de facturation](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) dans le guide de l'*utilisateur IAM*.
**Note**
Les autorisations pour Cost Explorer s'appliquent à tous les comptes et comptes membres, indépendamment des stratégies IAM. Pour plus d'informations, consultez la section [Contrôle de l'accès à AWS Cost Explorer](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-access.html).
## Activation de l'accès à la console de Gestion de la facturation et des coûts
Les utilisateurs et les rôles IAM ne Compte AWS peuvent pas accéder à la console Billing and Cost Management par défaut. Cela est vrai même s'ils disposent de politiques IAM qui accordent l'accès à certaines fonctions de facturation. Pour accorder l'accès, l'utilisateur Compte AWS root peut utiliser le paramètre **Activer l'accès IAM**.
Si vous l'utilisez AWS Organizations, activez ce paramètre dans chaque compte de gestion ou de membre pour lequel vous souhaitez autoriser l'accès des utilisateurs et des rôles IAM à la console Billing and Cost Management. Pour les comptes membres créés, cette option sera activée par défaut. Pour de plus amples informations, veuillez consulter [Activation de l'accès IAM à la console AWS Billing and Cost Management](billing-getting-started.md#activating-iam-access-to-billing-console).
Sur la console de facturation, le paramètre **Activer l’accès IAM** contrôle l'accès aux pages suivantes :
+ Accueil
+ Budgets
+ Rapports de budgets
+ AWS Rapports sur les coûts et l'utilisation
+ Cost Categories
+ Balises d'allocation des coûts
+ Factures
+ Paiements
+ Crédits
+ Bon de commande
+ Préférences de facturation
+ Moyens de paiement
+ Paramètres fiscaux
+ Cost Explorer
+ Rapports
+ Recommandations de dimensionnement
+ Recommandations relatives à Savings Plans
+ Rapport d'utilisation de Savings Plans
+ Rapport de couverture de Savings Plans
+ Présentation des réservations
+ Recommandations de réservation
+ Rapport d'utilisation des réservations
+ Rapport de couverture des réservations
+ Préférences
**Important**
L'activation de l'accès IAM à elle seule n'accorde pas aux rôles les autorisations nécessaires pour accéder à ces pages de la console Billing and Cost Management. Outre l'activation de l'accès IAM, vous devez également associer les politiques IAM requises à ces rôles. Pour de plus amples informations, veuillez consulter [Utilisation de politiques basées sur l'identité pour la facturation](security_iam_id-based-policy-examples.md#billing-permissions-ref).
Le paramètre **Activate IAM Access** (Activer l'aacès IAM) ne contrôle pas l'accès aux pages et ressources suivantes :
+ Les pages de console pour la détection des anomalies des AWS coûts, la vue d'ensemble des Savings Plans, l'inventaire des Savings Plans, les Purchase Savings Plans et le panier Savings Plans
+ La vue de la gestion des coûts dans le AWS Console Mobile Application
+ Le SDK Billing and Cost Management APIs (AWS Cost Explorer, AWS Budgets et AWS Cost and Usage Reports APIs)
+ AWS Systems Manager Gestionnaire d'applications
+ La console intégrée Calculateur de tarification AWS
+ La capacité d’analyse des coûts d’Amazon Q
+ Le AWS Activate Console
## Public ciblé
La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [Résolution des problèmes d'identité et d'accès à la AWS facturation](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Comment fonctionne AWS la facturation avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [Politique basée sur l'identité avec facturation AWS](security_iam_id-based-policy-examples.md))
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
### Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Identité fédérée
Il est recommandé d'obliger les utilisateurs humains à utiliser la fédération avec un fournisseur d'identité pour accéder à Services AWS l'aide d'informations d'identification temporaires.
Une *identité fédérée* est un utilisateur provenant de l'annuaire de votre entreprise, de votre fournisseur d'identité Web ou Directory Service qui y accède à Services AWS l'aide d'informations d'identification provenant d'une source d'identité. Les identités fédérées assument des rôles qui fournissent des informations d’identification temporaires.
Pour une gestion des accès centralisée, nous vous recommandons d’utiliser AWS IAM Identity Center. Pour plus d’informations, consultez [Qu’est-ce que IAM Identity Center ?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Gestion de l’accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
### Politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
### Politiques basées sur les ressources
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.
Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.
### Autres types de politique
AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.
### Plusieurs types de politique
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.
# Comment fonctionne AWS la facturation avec IAM
La facturation s'intègre au service Gestion des identités et des accès AWS (IAM) afin que vous puissiez contrôler qui, au sein de votre organisation, a accès à des pages spécifiques de la [console de facturation](https://console.aws.amazon.com/cost-management/home). Vous pouvez contrôler l'accès aux factures et aux informations détaillées sur les frais et l'activité de votre compte, les budgets, les moyens de paiement et les crédits.
Pour plus d'informations sur la façon d'activer l'accès à la console Billing and Cost Management, consultez [Tutorial : Delegate Access to the Billing Console](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) dans le *guide de l'utilisateur IAM*.
Avant d'utiliser IAM pour gérer l'accès à la facturation, découvrez quelles fonctionnalités IAM peuvent être utilisées avec la facturation.
**Fonctionnalités IAM que vous pouvez utiliser avec Billing AWS**
| Fonctionnalité IAM | Assistance à la facturation |
| --- | --- |
| [Politiques basées sur l’identité](#security_iam_service-with-iam-id-based-policies) | Oui |
| [Politiques basées sur les ressources](#security_iam_service-with-iam-resource-based-policies) | Non |
| [Actions de politique](#security_iam_service-with-iam-id-based-policies-actions) | Oui |
| [Ressources de politique](#security_iam_service-with-iam-id-based-policies-resources) | Partielle |
| [Clés de condition de politique](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Oui |
| [ACLs](#security_iam_service-with-iam-acls) | Non |
| [ABAC (identifications dans les politiques)](#security_iam_service-with-iam-tags) | Partielle |
| [Informations d’identification temporaires](#security_iam_service-with-iam-roles-tempcreds) | Oui |
| [Transmission des sessions d’accès (FAS)](#security_iam_service-with-iam-principal-permissions) | Oui |
| [Rôles de service](#security_iam_service-with-iam-roles-service) | Oui |
| [Rôles liés à un service](#security_iam_service-with-iam-roles-service-linked) | Non |
Pour obtenir une vue d'ensemble du fonctionnement de la facturation et des autres AWS services avec la plupart des fonctionnalités IAM, consultez la section [AWS Services compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le Guide de l'utilisateur *IAM*.
## Politiques de facturation basées sur l'identité
**Prend en charge les politiques basées sur l’identité :** oui
Les politiques basées sur l’identité sont des documents de politique d’autorisations JSON que vous pouvez attacher à une identité telle qu’un utilisateur, un groupe d’utilisateurs ou un rôle IAM. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Pour découvrir tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.
### Exemples de politiques basées sur l'identité pour la facturation
Pour consulter des exemples de politiques de facturation basées sur l'identité, consultez. [Politique basée sur l'identité avec facturation AWS](security_iam_id-based-policy-examples.md)
## Politiques basées sur les ressources dans le cadre de la facturation
**Prend en charge les politiques basées sur les ressources :** non
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Par exemple, les *politiques de confiance de rôle* IAM et les *politiques de compartiment* Amazon S3 sont des politiques basées sur les ressources. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Pour la ressource dans laquelle se trouve la politique, cette dernière définit quel type d’actions un principal spécifié peut effectuer sur cette ressource et dans quelles conditions. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources. Les principaux peuvent inclure des comptes, des utilisateurs, des rôles, des utilisateurs fédérés ou. Services AWS
Pour permettre un accès intercompte, vous pouvez spécifier un compte entier ou des entités IAM dans un autre compte en tant que principal dans une politique basée sur les ressources. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Actions politiques pour la facturation
**Prend en charge les actions de politique :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Pour consulter la liste des actions de facturation, consultez la section [Actions définies par la AWS facturation](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html) dans la *référence d'autorisation de service*.
Les actions de politique dans Billing utilisent le préfixe suivant avant l'action :
```
billing
```
Pour indiquer plusieurs actions dans une seule déclaration, séparez-les par des virgules.
```
"Action": [
"billing:action1",
"billing:action2"
]
```
Pour consulter des exemples de politiques de facturation basées sur l'identité, consultez. [Politique basée sur l'identité avec facturation AWS](security_iam_id-based-policy-examples.md)
## Ressources relatives aux politiques de facturation
**Prend en charge les ressources de politique :** partiellement
Les ressources de politique ne sont prises en charge que pour les moniteurs, les abonnements et les catégories de coûts.
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
Pour consulter la liste des types de ressources de AWS Cost Explorer, reportez-vous à la section [Actions, ressources et clés de condition pour AWS Cost Explorer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostexplorerservice.html) dans le *Service Authorization Reference*.
Pour consulter des exemples de politiques de facturation basées sur l'identité, consultez. [Politique basée sur l'identité avec facturation AWS](security_iam_id-based-policy-examples.md)
## Clés relatives aux conditions de la politique de facturation
**Prend en charge les clés de condition de politique spécifiques au service :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
Pour consulter la liste des clés de conditions de facturation, des actions et des ressources, consultez la section [Clés de condition pour la AWS facturation](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html) dans la *référence d'autorisation de service*.
Pour consulter des exemples de politiques de facturation basées sur l'identité, consultez. [Politique basée sur l'identité avec facturation AWS](security_iam_id-based-policy-examples.md)
## Listes de contrôle d'accès (ACLs) dans Billing
**Supports ACLs :** Non
Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.
## Contrôle d'accès basé sur les attributs (ABAC) avec facturation
**Prend en charge ABAC (identifications dans les politiques) :** partiellement
Les balises ABAC (balises dans les politiques) ne sont prises en charge que pour les moniteurs, les abonnements et les catégories de coûts.
Le contrôle d’accès par attributs (ABAC) est une stratégie d’autorisation qui définit les autorisations en fonction des attributs appelés balises. Vous pouvez associer des balises aux entités et aux AWS ressources IAM, puis concevoir des politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de la ressource.
Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`.
Si un service prend en charge les trois clés de condition pour tous les types de ressources, alors la valeur pour ce service est **Oui**. Si un service prend en charge les trois clés de condition pour certains types de ressources uniquement, la valeur est **Partielle**.
Pour plus d’informations sur ABAC, consultez [Définition d’autorisations avec l’autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*. Pour accéder à un didacticiel décrivant les étapes de configuration de l’ABAC, consultez [Utilisation du contrôle d’accès par attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation d'informations d'identification temporaires pour la facturation
**Prend en charge les informations d’identification temporaires :** oui
Les informations d'identification temporaires fournissent un accès à court terme aux AWS ressources et sont automatiquement créées lorsque vous utilisez la fédération ou que vous changez de rôle. AWS recommande de générer dynamiquement des informations d'identification temporaires au lieu d'utiliser des clés d'accès à long terme. Pour plus d’informations, consultez [Informations d’identification de sécurité temporaires dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) et [Services AWS compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le *Guide de l’utilisateur IAM*.
## Transférer les sessions d'accès pour la facturation
**Prend en charge les sessions d’accès direct (FAS) :** oui
Les sessions d'accès direct (FAS) utilisent les autorisations du principal appelant et Service AWS, combinées Service AWS à la demande d'envoi de demandes aux services en aval. Pour plus de détails sur la politique relative à la transmission de demandes FAS, consultez la section [Sessions de transmission d’accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Rôles de service pour la facturation
**Prend en charge les rôles de service :** oui
Un rôle de service est un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) qu’un service endosse pour accomplir des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer un rôle de service à partir d’IAM. Pour plus d’informations, consultez [Création d’un rôle pour la délégation d’autorisations à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l’utilisateur IAM*.
**Avertissement**
La modification des autorisations associées à un rôle de service peut perturber la fonctionnalité de facturation. Modifiez les rôles de service uniquement lorsque Billing fournit des instructions à cet effet.
## Rôles liés à un service pour la facturation
**Prend en charge les rôles liés à un service :** non
Un rôle lié à un service est un type de rôle de service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés au service apparaissent dans votre Compte AWS fichier et appartiennent au service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
Pour plus d’informations sur la création ou la gestion des rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Recherchez un service dans le tableau qui inclut un `Yes` dans la colonne **Rôle lié à un service**. Choisissez le lien **Oui** pour consulter la documentation du rôle lié à ce service.
# Politique basée sur l'identité avec facturation AWS
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou à modifier des ressources de facturation. Pour octroyer aux utilisateurs des autorisations d’effectuer des actions sur les ressources dont ils ont besoin, un administrateur IAM peut créer des politiques IAM.
Pour apprendre à créer une politique basée sur l’identité IAM à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) dans le *Guide de l’utilisateur IAM*.
Pour plus de détails sur les actions et les types de ressources définis par Billing, y compris le ARNs format de chaque type de ressource, voir [Actions, ressources et clés de condition pour la AWS facturation](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html) dans la *référence d'autorisation de service*.
**Contents**
+ [
## Bonnes pratiques en matière de politiques
](#security_iam_service-with-iam-policy-best-practices)
+ [
## Utilisation de la console de facturation
](#security_iam_id-based-policy-examples-console)
+ [
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
](#security_iam_id-based-policy-examples-view-own-permissions)
+ [
## Utilisation de politiques basées sur l'identité pour la facturation
](#billing-permissions-ref)
+ [
### AWS Actions de la console de facturation
](#user-permissions)
## Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer des ressources de facturation dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation de la console de facturation
Pour accéder à la console AWS de facturation, vous devez disposer d'un minimum d'autorisations. Ces autorisations doivent vous permettre de répertorier et de consulter les détails relatifs aux ressources de facturation de votre Compte AWS. Si vous créez une politique basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette politique.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API qu’ils tentent d’effectuer.
Vous trouverez les détails d'accès tels que les autorisations requises pour activer la console AWS de facturation, l'accès administrateur et l'accès en lecture seule dans la [AWS politiques gérées](managed-policies.md) section.
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Utilisation de politiques basées sur l'identité pour la facturation
**Note**
Les actions Gestion des identités et des accès AWS (IAM) suivantes ont atteint la fin du support standard en juillet 2023 :
Espace de noms `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Si vous en utilisez AWS Organizations, vous pouvez utiliser les [scripts de migration de politiques par lots ou le migrateur](migrate-iam-permissions.md) de politiques par lots pour mettre à jour les politiques depuis votre compte payeur. Vous pouvez également utiliser la [référence du mappage entre les anciennes et les nouvelles actions détaillées](migrate-granularaccess-iam-mapping-reference.md) pour vérifier les actions IAM qui doivent être ajoutées.
Si vous en avez AWS Organizations créé un ou en faites partie le 6 mars 2023 ou après cette date, 11 h 00 (PDT), les actions détaillées sont déjà en vigueur dans votre organisation. Compte AWS
**Important**
En plus des politiques IAM, vous devez accorder un accès IAM à la console de facturation et de gestion des coûts sur la page de la console [Paramètres du compte](https://console.aws.amazon.com/billing/home#/account).
Pour plus d’informations, consultez les rubriques suivantes :
[Activation de l'accès à la console de Gestion de la facturation et des coûts](control-access-billing.md#ControllingAccessWebsite-Activate)
[Tutoriel IAM : accorder l'accès à la console de facturation](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) dans le *Guide de l'utilisateur IAM*
Utilisez cette section pour découvrir comment un administrateur de compte de politiques basées sur les identités peut associer des politiques d'autorisation aux identités IAM (rôles et groupes) et accorder des autorisations pour effectuer des opérations sur les ressources de facturation.
Pour plus d'informations sur Comptes AWS et les utilisateurs, voir [Qu'est-ce que l'IAM ?](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_Introduction.html) dans le *guide de l'utilisateur IAM*.
Pour plus d'informations sur la façon dont vous pouvez mettre à jour les politiques gérées par le [client, voir Modifier les politiques gérées par le client (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console) dans le *guide de l'utilisateur IAM*.
### AWS Actions de la console de facturation
Ce tableau récapitule les autorisations qui accordent l'accès aux informations et aux outils de votre console de facturation. Pour obtenir des exemples de stratégies qui utilisent ces autorisations, consultez [AWS Exemples de politiques de facturation](billing-example-policies.md).
Pour obtenir la liste des politiques d'actions pour la console de gestion des AWS coûts, voir les [politiques d'actions de gestion des AWS coûts](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#user-permissions) dans le *guide de l'utilisateur de la gestion des AWS coûts*.
| Nom de l'autorisation | Description |
| --- | --- |
| aws-portal:ViewBilling | Accorde l'autorisation de consulter les pages de la console Billing and Cost Management. |
| aws-portal:ModifyBilling | Accorde l'autorisation de modifier les pages suivantes de la console Billing and Cost Management : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/security_iam_id-based-policy-examples.html) Pour permettre aux utilisateurs IAM de modifier ces pages de console, vous devez autoriser `ModifyBilling` et `ViewBilling`. Pour un exemple de politique, consultez [Autorisation des utilisateurs IAM à modifier les informations de facturation](billing-example-policies.md#example-billing-deny-modifybilling). |
| aws-portal:ViewAccount | Accorde l'autorisation de consulter les [paramètres du compte](https://console.aws.amazon.com/billing/home#/account). |
| aws-portal:ModifyAccount | Accorde l'autorisation de modifier les [paramètres du compte](https://console.aws.amazon.com/billing/home#/account). Pour permettre aux utilisateurs IAM de modifier des paramètres de compte, vous devez autoriser `ModifyAccount` et `ViewAccount`. Pour obtenir un exemple d'une stratégie qui refuse explicitement à un utilisateur IAM l'accès à la page de la console **Paramètres du compte**, consultez [Refus de l'accès aux paramètres du compte, mais autorisation d'accès complet à toutes les autres informations de facturation et d'utilisation](billing-example-policies.md#example-billing-deny-modifyaccount). |
| aws-portal:ViewPaymentMethods | Accorde l'autorisation de consulter les [modes de paiement](https://console.aws.amazon.com/billing/home#/paymentmethods). |
| aws-portal:ModifyPaymentMethods | Accorde l'autorisation de modifier les [modes de paiement](https://console.aws.amazon.com/billing/home#/paymentmethods). Pour permettre aux utilisateurs de modifier des modes de paiement, vous devez autoriser `ModifyPaymentMethods` et `ViewPaymentMethods`. |
| billing:ListBillingViews | Accorde l'autorisation d'obtenir une liste des vues de facturation disponibles. Cela inclut les vues de facturation personnalisées et les vues de facturation correspondant aux groupes de facturation pro forma. Pour plus d'informations sur les vues de facturation personnalisées, voir [Contrôler l'accès aux données de gestion des coûts avec Billing View](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-view.html). Pour plus d'informations sur l'affichage des détails de votre groupe de facturation, veuillez consulter la rubrique [Affichage des détails de votre groupe de facturation](https://docs.aws.amazon.com/billingconductor/latest/userguide/viewing-abc.html) dans le *Guide de l'utilisateur du guide de facture AWS *. |
| billing:CreateBillingView | Accorde l'autorisation de créer des vues de facturation personnalisées. Pour un exemple de politique, voir [Autoriser les utilisateurs à créer, gérer et partager des vues de facturation personnalisées](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view). |
| billing:UpdateBillingView | Accorde l'autorisation de mettre à jour les vues de facturation personnalisées. Pour un exemple de politique, voir [Autoriser les utilisateurs à créer, gérer et partager des vues de facturation personnalisées](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view). |
| billing:DeleteBillingView | Accorde l'autorisation de supprimer des vues de facturation personnalisées. Pour un exemple de politique, voir [Autoriser les utilisateurs à créer, gérer et partager des vues de facturation personnalisées](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view). |
| billing:GetBillingView | Accorde l'autorisation d'obtenir la définition des vues de facturation. Pour un exemple de politique, voir [Autoriser les utilisateurs à créer, gérer et partager des vues de facturation personnalisées](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view). |
| sustainability:GetCarbonFootprintSummary | Accorde l'autorisation de consulter l'outil d'empreinte carbone du AWS client et ses données. Ceci est accessible depuis la page AWS Cost and Usage Reports de la console Billing and Cost Management. Pour obtenir un exemple de stratégie, veuillez consulter [Autoriser les utilisateurs IAM pour afficher vos informations de facturation et votre rapport d'empreinte carbone](billing-example-policies.md#example-ccft-policy). |
| cur:DescribeReportDefinitions | Accorde l'autorisation de consulter les rapports sur les AWS coûts et l'utilisation. AWS Les autorisations Cost and Usage Reports s'appliquent à tous les rapports créés à l'aide de l'API [AWS Cost and Usage Reports Service](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) et de la console Billing and Cost Management. Si vous créez des rapports à l'aide de la console de Gestion de la facturation et des coûts, nous vous recommandons de mettre à jour les autorisations pour les utilisateurs IAM. Si vous ne le faites pas, les utilisateurs perdront l'accès aux fonctions d'affichage, de modification et de suppression des rapports sur la page des rapports de la console. Pour obtenir un exemple de stratégie, veuillez consulter [Autorisation des utilisateurs IAM à accéder à la page de console de rapports](billing-example-policies.md#example-billing-view-reports). |
| cur:PutReportDefinition | Accorde l'autorisation de créer des rapports sur les AWS coûts et l'utilisation. AWS Les autorisations Cost and Usage Reports s'appliquent à tous les rapports créés à l'aide de l'API [AWS Cost and Usage Reports Service](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) et de la console Billing and Cost Management. Si vous créez des rapports à l'aide de la console de Gestion de la facturation et des coûts, nous vous recommandons de mettre à jour les autorisations pour les utilisateurs IAM. Si vous ne le faites pas, les utilisateurs perdront l'accès aux fonctions d'affichage, de modification et de suppression des rapports sur la page des rapports de la console. Pour obtenir un exemple de stratégie, veuillez consulter [Autorisation des utilisateurs IAM à accéder à la page de console de rapports](billing-example-policies.md#example-billing-view-reports). |
| cur:DeleteReportDefinition | Accorde l'autorisation de supprimer les rapports sur les AWS coûts et l'utilisation. AWS Les autorisations Cost and Usage Reports s'appliquent à tous les rapports créés à l'aide de l'API [AWS Cost and Usage Reports Service](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) et de la console Billing and Cost Management. Si vous créez des rapports à l'aide de la console de Gestion de la facturation et des coûts, nous vous recommandons de mettre à jour les autorisations pour les utilisateurs IAM. Si vous ne le faites pas, les utilisateurs perdront l'accès aux fonctions d'affichage, de modification et de suppression des rapports sur la page des rapports de la console. Pour obtenir un exemple de stratégie, veuillez consulter [Création, affichage, modification ou suppression de rapports sur les AWS coûts et l'utilisation](billing-example-policies.md#example-policy-report-definition). |
| cur:ModifyReportDefinition | Accorde l'autorisation de modifier les rapports sur les AWS coûts et l'utilisation. AWS Les autorisations Cost and Usage Reports s'appliquent à tous les rapports créés à l'aide de l'API [AWS Cost and Usage Reports Service](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) et de la console Billing and Cost Management. Si vous créez des rapports à l'aide de la console de Gestion de la facturation et des coûts, nous vous recommandons de mettre à jour les autorisations pour les utilisateurs IAM. Si vous ne le faites pas, les utilisateurs perdront l'accès aux fonctions d'affichage, de modification et de suppression des rapports sur la page des rapports de la console. Pour obtenir un exemple de stratégie, veuillez consulter [Création, affichage, modification ou suppression de rapports sur les AWS coûts et l'utilisation](billing-example-policies.md#example-policy-report-definition). |
| ce:CreateCostCategoryDefinition | Accorde des autorisations pour créer des catégories de coûts. Pour un exemple de politique, consultez [Affichage et gestion des catégories de coûts](billing-example-policies.md#example-policy-cc-api). |
| ce:DeleteCostCategoryDefinition | Accorde l'autorisation de supprimer des catégories de coûts. Pour un exemple de politique, consultez [Affichage et gestion des catégories de coûts](billing-example-policies.md#example-policy-cc-api). |
| ce:DescribeCostCategoryDefinition | Accorde les autorisations nécessaires pour consulter les catégories de coûts. Pour un exemple de politique, consultez [Affichage et gestion des catégories de coûts](billing-example-policies.md#example-policy-cc-api). |
| ce:ListCostCategoryDefinitions | Accorde les autorisations nécessaires pour répertorier les catégories de coûts. Pour un exemple de politique, consultez [Affichage et gestion des catégories de coûts](billing-example-policies.md#example-policy-cc-api). |
| ce:UpdateCostCategoryDefinition | Accorde les autorisations nécessaires pour mettre à jour les catégories de coûts. Pour un exemple de politique, consultez [Affichage et gestion des catégories de coûts](billing-example-policies.md#example-policy-cc-api). |
| aws-portal:ViewUsage | Accorde l'autorisation de consulter les [rapports AWS](https://console.aws.amazon.com/billing/home#/reports) d'utilisation. Pour permettre aux utilisateurs IAM d'afficher les rapports d'utilisation, vous devez autoriser `ViewUsage` et `ViewBilling`. Pour un exemple de politique, consultez [Autorisation des utilisateurs IAM à accéder à la page de console de rapports](billing-example-policies.md#example-billing-view-reports). |
| payments:AcceptFinancingApplicationTerms | Permet aux utilisateurs d'IAM d'accepter les conditions fournies par le prêteur financier. Les utilisateurs sont tenus de fournir leurs coordonnées bancaires pour le remboursement et de signer les documents juridiques fournis par le prêteur. |
| payments:CreateFinancingApplication | Permet aux utilisateurs d'IAM de demander un nouveau prêt financier et de référencer l'option de financement choisie. |
| payments:GetFinancingApplication | Permet aux utilisateurs d'IAM de récupérer les détails d'une demande de financement. Par exemple, le statut, les limites, les conditions et les informations du prêteur. |
| payments:GetFinancingLine | Permet aux utilisateurs d'IAM de récupérer les détails d'un prêt de financement. Par exemple, le statut et les soldes. |
| payments:GetFinancingLineWithdrawal | Permet aux utilisateurs d'IAM de récupérer les détails du retrait. Par exemple, les soldes et les remboursements. |
| payments:GetFinancingOption | Permet aux utilisateurs d'IAM de récupérer les détails d'une option de financement spécifique. |
| payments:ListFinancingApplications | Permet aux utilisateurs d'IAM de récupérer les identifiants de toutes les demandes de financement, auprès de tous les prêteurs. |
| payments:ListFinancingLines | Permet aux utilisateurs d'IAM de récupérer les identifiants de tous les prêts de financement, auprès de tous les prêteurs. |
| payments:ListFinancingLineWithdrawals | Permet aux utilisateurs d'IAM de récupérer tous les retraits existants pour un prêt donné. |
| payments:ListTagsForResource | Autorisez ou refusez aux utilisateurs IAM l'autorisation de consulter les tags d'un mode de paiement. |
| payments:TagResource | Autorisez ou refusez aux utilisateurs IAM l'autorisation d'ajouter des tags pour un mode de paiement. |
| payments:UntagResource | Autorisez ou refusez aux utilisateurs IAM l'autorisation de supprimer des tags d'un mode de paiement. |
| payments:UpdateFinancingApplication | Permettre aux utilisateurs d'IAM de modifier une demande de financement et de soumettre les informations supplémentaires demandées par le prêteur. |
| payments:ListPaymentInstruments | Autorisez ou refusez aux utilisateurs IAM l'autorisation de répertorier leurs modes de paiement enregistrés. |
| payments:UpdatePaymentInstrument | Autorisez ou refusez aux utilisateurs IAM l'autorisation de mettre à jour leurs méthodes de paiement. |
| pricing:DescribeServices | Accorde l'autorisation de consulter les produits de AWS service et les prix via l'API AWS Price List Service. Pour autoriser les utilisateurs IAM à utiliser l'API AWS Price List Service, vous devez autoriser `DescribeServices``GetAttributeValues`, et`GetProducts`. Pour un exemple de politique, consultez [Recherche de produits et de prix](billing-example-policies.md#example-policy-pe-api). |
| pricing:GetAttributeValues | Accorde l'autorisation de consulter les produits de AWS service et les prix via l'API AWS Price List Service. Pour autoriser les utilisateurs IAM à utiliser l'API AWS Price List Service, vous devez autoriser `DescribeServices``GetAttributeValues`, et`GetProducts`. Pour un exemple de politique, consultez [Recherche de produits et de prix](billing-example-policies.md#example-policy-pe-api). |
| pricing:GetProducts | Accorde l'autorisation de consulter les produits de AWS service et les prix via l'API AWS Price List Service. Pour autoriser les utilisateurs IAM à utiliser l'API AWS Price List Service, vous devez autoriser `DescribeServices``GetAttributeValues`, et`GetProducts`. Pour un exemple de politique, consultez [Recherche de produits et de prix](billing-example-policies.md#example-policy-pe-api). |
| purchase-orders:ViewPurchaseOrders | Accorde l'autorisation de consulter les bons de [commande](manage-purchaseorders.md). Pour un exemple de politique, consultez [Affichage et gestion des bons de commande](billing-example-policies.md#example-view-manage-purchaseorders). |
| purchase-orders:ModifyPurchaseOrders | Accorde l'autorisation de modifier les bons de [commande](manage-purchaseorders.md). Pour un exemple de politique, consultez [Affichage et gestion des bons de commande](billing-example-policies.md#example-view-manage-purchaseorders). |
| tax:GetExemptions | Accorde l'autorisation d'accéder en lecture seule pour consulter les exemptions et les types d'exemption par console fiscale. Pour un exemple de politique, consultez [Permettre aux utilisateurs d'IAM de consulter les exonérations fiscales américaines et de créer des dossiers Support](billing-example-policies.md#example-awstaxexemption). |
| tax:UpdateExemptions | Autorise le téléchargement d'une exemption sur la console des exemptions fiscales américaines. Pour un exemple de politique, consultez [Permettre aux utilisateurs d'IAM de consulter les exonérations fiscales américaines et de créer des dossiers Support](billing-example-policies.md#example-awstaxexemption). |
| support:CreateCase | Accorde l'autorisation de déposer les demandes d'assistance, nécessaires pour télécharger l'exemption depuis la console des exonérations fiscales. Pour un exemple de politique, consultez [Permettre aux utilisateurs d'IAM de consulter les exonérations fiscales américaines et de créer des dossiers Support](billing-example-policies.md#example-awstaxexemption). |
| support:AddAttachmentsToSet | Accorde l'autorisation de joindre des documents à l'appui des dossiers requis pour télécharger des certificats d'exonération sur la console d'exonération fiscale. Pour un exemple de politique, consultez [Permettre aux utilisateurs d'IAM de consulter les exonérations fiscales américaines et de créer des dossiers Support](billing-example-policies.md#example-awstaxexemption). |
| customer-verification:GetCustomerVerificationEligibility | (Pour les clients ayant une adresse de facturation ou de contact en Inde uniquement) Accorde l'autorisation de récupérer l'éligibilité du client à la vérification. |
| customer-verification:GetCustomerVerificationDetails | (Pour les clients ayant une adresse de facturation ou de contact en Inde uniquement) Accorde l'autorisation de récupérer les données de vérification des clients. |
| customer-verification:CreateCustomerVerificationDetails | (Pour les clients ayant une adresse de facturation ou de contact en Inde uniquement) Accorde l'autorisation de créer des données de vérification client. |
| customer-verification:UpdateCustomerVerificationDetails | (Pour les clients ayant une adresse de facturation ou de contact en Inde uniquement) Accorde l'autorisation de mettre à jour les données de vérification des clients. |
| mapcredit:ListAssociatedPrograms | Accorde l'autorisation de consulter les Migration Acceleration Program accords et le tableau de bord associés au compte payeur. |
| mapcredit:ListQuarterSpend | Permet de consulter les dépenses Migration Acceleration Program éligibles pour le compte payeur. |
| mapcredit:ListQuarterCredits | Accorde l'autorisation de consulter les Migration Acceleration Program crédits du compte payeur. |
| invoicing:BatchGetInvoiceProfile | Accorde l'autorisation d'accéder en lecture seule à l'affichage des profils de facture pour la configuration des AWS factures. |
| invoicing:CreateInvoiceUnit | Accorde l'autorisation de créer des unités de AWS facture pour la configuration des factures. |
| invoicing:DeleteInvoiceUnit | Accorde l'autorisation de supprimer des unités de AWS facture pour la configuration des factures. |
| invoicing:GetInvoiceUnit | Accorde l'autorisation d'accéder en lecture seule à l'affichage des unités de facturation pour la configuration des AWS factures. |
| invoicing:ListInvoiceUnits | Accorde l'autorisation de répertorier toutes les unités de AWS facture pour la configuration des factures. |
| invoicing:ListTagsForResource | Autorisez ou refusez aux utilisateurs IAM l'autorisation d'afficher les balises d'une unité de facturation pour la configuration des AWS factures. |
| invoicing:TagResource | Autorisez ou refusez aux utilisateurs IAM l'autorisation d'ajouter des balises pour une unité de facturation pour la configuration des AWS factures. |
| invoicing:UntagResource | Autorisez ou refusez aux utilisateurs IAM l'autorisation de supprimer des balises d'une unité de facturation pour la configuration des AWS factures. |
| invoicing:UpdateInvoiceUnit | Accorde des autorisations de modification pour mettre à jour les unités de AWS facturation pour la configuration des factures. |
# AWS Exemples de politiques de facturation
**Note**
Les actions Gestion des identités et des accès AWS (IAM) suivantes ont atteint la fin du support standard en juillet 2023 :
Espace de noms `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Si vous en utilisez AWS Organizations, vous pouvez utiliser les [scripts de migration de politiques par lots ou le migrateur](migrate-iam-permissions.md) de politiques par lots pour mettre à jour les politiques depuis votre compte payeur. Vous pouvez également utiliser la [référence du mappage entre les anciennes et les nouvelles actions détaillées](migrate-granularaccess-iam-mapping-reference.md) pour vérifier les actions IAM qui doivent être ajoutées.
Si vous en avez AWS Organizations créé un ou en faites partie le 6 mars 2023 ou après cette date, 11 h 00 (PDT), les actions détaillées sont déjà en vigueur dans votre organisation. Compte AWS
**Important**
Ces stratégies impliquent que vous activiez l'accès des utilisateurs IAM à la console de Gestion de la facturation et des coûts sur la page de console [Account Settings](https://console.aws.amazon.com/billing/home#/account) (Paramètres du compte). Pour de plus amples informations, veuillez consulter [Activation de l'accès à la console de Gestion de la facturation et des coûts](control-access-billing.md#ControllingAccessWebsite-Activate).
Pour utiliser les politiques AWS gérées, voir[AWS politiques gérées](managed-policies.md).
Cette rubrique contient des exemples de stratégies que vous pouvez lier à votre groupe ou utilisateur IAM afin de contrôler l'accès aux informations et outils de facturation de votre compte. Les règles de base suivantes s'appliquent aux stratégies IAM pour la Gestion de la facturation et des coûts :
+ `Version` est toujours `2012-10-17 `.
+ `Effect` est toujours `Allow` ou `Deny`.
+ `Action` est le nom de l'action ou un caractère générique (`*`).
Le préfixe d'action est `budgets` destiné aux AWS budgets, `cur` aux rapports de AWS coûts et d'utilisation, `aws-portal` à la AWS facturation ou `ce` à Cost Explorer.
+ `Resource`est toujours `*` destiné à la AWS facturation.
Pour les actions exécutées sur une ressource `budget`, spécifiez l'Amazon Resource Name (ARN) du budget.
+ Il peut exister plusieurs déclarations dans une seule stratégie.
Pour obtenir la liste des politiques d'actions pour la console de gestion des AWS coûts, consultez les [exemples de politiques de gestion des AWS coûts](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html) dans le *guide de l'utilisateur de la gestion des AWS coûts*.
**Topics**
+ [
## Autoriser les utilisateurs IAM pour afficher vos informations de facturation
](#example-billing-view-billing-only)
+ [
## Autoriser les utilisateurs IAM pour afficher vos informations de facturation et votre rapport d'empreinte carbone
](#example-ccft-policy)
+ [
## Autorisation des utilisateurs IAM à accéder à la page de console de rapports
](#example-billing-view-reports)
+ [
## Rejet de l'accès des utilisateurs IAM à la console de Gestion de la facturation et des coûts
](#example-billing-deny-all)
+ [
## Refuser l'accès au widget de coût et d'utilisation de la AWS console pour les comptes membres
](#example-billing-deny-widget)
+ [
## Refuser l'accès au widget de coût et d'utilisation de la AWS console pour des utilisateurs et des rôles IAM spécifiques
](#example-billing-deny-ce)
+ [
## Autoriser les utilisateurs IAM à consulter vos informations de facturation, mais refuser l'accès au rapport sur l'empreinte carbone
](#example-ccft-policy-deny)
+ [
## Autoriser les utilisateurs IAM à accéder aux rapports sur l'empreinte carbone, mais refuser l'accès aux informations de facturation
](#example-ccft-policy-allow)
+ [
## Autoriser l'accès complet aux AWS services mais refuser aux utilisateurs IAM l'accès aux consoles Billing and Cost Management
](#ExampleAllowAllDenyBilling)
+ [
## Permet d'accorder aux utilisateurs IAM l'autorisation d'afficher la console de Gestion de la facturation et des coûts, à l'exception des paramètres du compte
](#example-billing-read-only)
+ [
## Autorisation des utilisateurs IAM à modifier les informations de facturation
](#example-billing-deny-modifybilling)
+ [
## Refus de l'accès aux paramètres du compte, mais autorisation d'accès complet à toutes les autres informations de facturation et d'utilisation
](#example-billing-deny-modifyaccount)
+ [
## Dépôt des rapports dans un compartiment Amazon S3
](#example-billing-s3-bucket)
+ [
## Recherche de produits et de prix
](#example-policy-pe-api)
+ [
## Affichage des coûts et de l'utilisation
](#example-policy-ce-api)
+ [
## Activer et désactiver les AWS régions
](#enable-disable-regions)
+ [
## Affichage et gestion des catégories de coûts
](#example-policy-cc-api)
+ [
## Création, affichage, modification ou suppression de rapports sur les AWS coûts et l'utilisation
](#example-policy-report-definition)
+ [
## Affichage et gestion des bons de commande
](#example-view-manage-purchaseorders)
+ [
## Affichage et mise à jour la page des préférences Cost Explorer
](#example-view-update-ce)
+ [
## Affichage, création, mise à jour et suppression à l'aide de la page des rapports Cost Explorer
](#example-view-ce-reports)
+ [
## Affichage, création, mise à jour et suppression des alertes de réservation et de Savings Plans
](#example-view-ce-expiration)
+ [
## Autoriser l'accès en lecture seule à la détection des anomalies de AWS coûts
](#example-policy-ce-ad)
+ [
## Autoriser AWS les budgets à appliquer les politiques IAM et SCPs
](#example-budgets-IAM-SCP)
+ [
## Permettre à AWS Budgets d'appliquer les politiques IAM et les SCP et de cibler les instances EC2 et RDS
](#example-budgets-applySCP)
+ [
## Permettre aux utilisateurs d'IAM de consulter les exonérations fiscales américaines et de créer des dossiers Support
](#example-awstaxexemption)
+ [
## (Pour les clients ayant une adresse de facturation ou de contact en Inde) Autoriser l'accès en lecture seule aux informations de vérification des clients
](#example-aispl-verification)
+ [
## (Pour les clients ayant une adresse de facturation ou de contact en Inde) Voir, créer et mettre à jour les informations de vérification des clients
](#example-aispl-verification-view)
+ [
## Afficher AWS Migration Acceleration Program les informations dans la console de facturation
](#read-only-migration-acceleration-program-policy)
+ [
## Autoriser l'accès à AWS la configuration des factures dans la console de facturation
](#invoice-config-policy)
## Autoriser les utilisateurs IAM pour afficher vos informations de facturation
Pour autoriser un utilisateur IAM à afficher vos informations de facturation sans accorder à cet utilisateur IAM l'accès aux informations de compte sensibles, utilisez une stratégie similaire à l'exemple de stratégie suivant. Une telle stratégie empêche les utilisateurs d'accéder à votre mot de passe et aux rapports d'activité du compte. Cette politique autorise les utilisateurs IAM à consulter les pages suivantes de la console de Gestion de la facturation et des coûts, sans leur donner accès aux pages **Paramètres du compte** ou **Rapports** de la console :
+ **Tableau de bord**
+ **Cost Explorer**
+ **Factures**
+ **Commandes et factures**
+ **Facturation consolidée**
+ **Préférences**
+ **Crédits**
+ **Paiement anticipé**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
}
]
}
```
------
## Autoriser les utilisateurs IAM pour afficher vos informations de facturation et votre rapport d'empreinte carbone
Pour permettre à un utilisateur IAM de visualiser à la fois les informations de facturation et le rapport d'empreinte carbone, utilisez une politique similaire à l'exemple suivant. Cette politique empêche les utilisateurs d'accéder à votre mot de passe et aux rapports d'activité du compte. Cette stratégie autorise les utilisateurs IAM à consulter les pages suivantes de la console de Gestion de la facturation et des coûts, sans leur donner accès aux pages **Paramètres du compte** ou **Rapports** de la console :
+ **Tableau de bord**
+ **Cost Explorer**
+ **Factures**
+ **Commandes et factures**
+ **Facturation consolidée**
+ **Préférences**
+ **Crédits**
+ **Paiement anticipé**
+ **La section Outil d'empreinte carbone du AWS client de la page des rapports sur les AWS coûts et l'utilisation**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Allow",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## Autorisation des utilisateurs IAM à accéder à la page de console de rapports
Pour autoriser un utilisateur IAM à accéder à la page **Reports** (Rapports) de la console et à consulter les rapports d'utilisation qui contiennent des informations sur l'activité du compte, utilisez une stratégie semblable à l'exemple de stratégie suivant.
Pour obtenir des définitions de chaque action, consultez [AWS Actions de la console de facturation](security_iam_id-based-policy-examples.md#user-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewUsage",
"aws-portal:ViewBilling",
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*"
}
]
}
```
------
## Rejet de l'accès des utilisateurs IAM à la console de Gestion de la facturation et des coûts
Pour rejeter explicitement à un utilisateur IAM l'accès à toutes les pages de la console de Gestion de la facturation et des coûts, utilisez une politique semblable à l'exemple de politique suivant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "aws-portal:*",
"Resource": "*"
}
]
}
```
------
## Refuser l'accès au widget de coût et d'utilisation de la AWS console pour les comptes membres
Pour restreindre l'accès du compte membre (lié) aux données de coût et d'utilisation, utilisez votre compte de gestion (souscripteur) pour accéder à l'onglet Preferences (Préférences) de Cost Explorer et décochez la case **Linked Account Access** (Accès au compte lié). Cela empêchera l'accès aux données de coûts et d'utilisation provenant de la console Cost Explorer (AWS Cost Management), de l'API Cost Explorer et du widget de coût et d'utilisation de la page d'accueil de la AWS console, quelles que soient les actions IAM effectuées par l'utilisateur ou le rôle IAM d'un compte membre.
## Refuser l'accès au widget de coût et d'utilisation de la AWS console pour des utilisateurs et des rôles IAM spécifiques
Pour refuser l'accès au widget relatif au coût et à l'utilisation de la AWS console à des utilisateurs et à des rôles IAM spécifiques, utilisez la politique d'autorisation ci-dessous.
**Note**
L'ajout de cette politique à un utilisateur ou à un rôle IAM empêchera également les utilisateurs d'accéder à la console AWS Cost Explorer (Cost Management) et à Cost Explorer APIs .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ce:*",
"Resource": "*"
}
]
}
```
------
## Autoriser les utilisateurs IAM à consulter vos informations de facturation, mais refuser l'accès au rapport sur l'empreinte carbone
Permettre à un utilisateur IAM d'accéder à la fois aux informations de facturation dans les consoles Billing and Cost Management, mais ne pas autoriser l'accès à l'outil AWS Customer Carbon Footprint. Cet outil se trouve sur la page Rapports sur les AWS coûts et l'utilisation.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Deny",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## Autoriser les utilisateurs IAM à accéder aux rapports sur l'empreinte carbone, mais refuser l'accès aux informations de facturation
Permettre aux utilisateurs d'un IAM d'accéder à l'outil AWS Customer Carbon Footprint sur la page AWS Cost and Usage Reports, mais de refuser l'accès à la consultation des informations de facturation dans les consoles Billing and Cost Management.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Deny",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Allow",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## Autoriser l'accès complet aux AWS services mais refuser aux utilisateurs IAM l'accès aux consoles Billing and Cost Management
Pour refuser aux utilisateurs IAM l'accès à l'intégralité du contenu de la console de Gestion de la facturation et des coûts, utilisez la politique suivante. Refusez l'accès des utilisateurs à Gestion des identités et des accès AWS (IAM) pour empêcher l'accès aux politiques qui contrôlent l'accès aux informations et aux outils de facturation.
**Important**
Cette stratégie n'autorise aucune action. Utilisez cette stratégie conjointement à d'autres stratégies qui autorisent des actions spécifiques.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aws-portal:*",
"iam:*"
],
"Resource": "*"
}
]
}
```
------
## Permet d'accorder aux utilisateurs IAM l'autorisation d'afficher la console de Gestion de la facturation et des coûts, à l'exception des paramètres du compte
Cette stratégie accorde un accès en lecture seule à l'ensemble du contenu de la console de Gestion de la facturation et des coûts. Cela inclut les pages **Payments Method** (Moyen de paiement) et **Reports** (Rapports) de la console. Toutefois, cette stratégie refuse l'accès à la page **Account Settings** (Paramètres de compte). Cela signifie que le mot de passe du compte, les informations de contact et les questions de sécurité sont protégés.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:View*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## Autorisation des utilisateurs IAM à modifier les informations de facturation
Pour autoriser les utilisateurs IAM à modifier les informations de facturation du compte sur la console de Gestion de la facturation et des coûts, autorisez les utilisateurs IAM à afficher vos informations de facturation. L'exemple de stratégie suivant autorise un utilisateur IAM à modifier les pages **Consolidated Billing** (Facturation consolidée), **Preferences** (Préférence) et **Credits** (Crédits) de la console. Ceci permet également à un utilisateur IAM d'afficher les pages suivantes de la console de Gestion de la facturation et des coûts :
+ **Tableau de bord**
+ **Cost Explorer**
+ **Factures**
+ **Commandes et factures**
+ **Paiement anticipé**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:*Billing",
"Resource": "*"
}
]
}
```
------
## Refus de l'accès aux paramètres du compte, mais autorisation d'accès complet à toutes les autres informations de facturation et d'utilisation
Pour protéger le mot de passe de votre compte, vos informations de contact et vos questions de sécurité, refusez aux utilisateurs IAM l'accès à **Account Settings** (Paramètres du compte), tout en leur accordant un accès complet aux autres fonctionalités de la console de Gestion de la facturation et des coûts. La politique suivante est un exemple.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:*Billing",
"aws-portal:*Usage",
"aws-portal:*PaymentMethods"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## Dépôt des rapports dans un compartiment Amazon S3
La politique suivante permet à Billing and Cost Management d'enregistrer vos AWS factures détaillées dans un compartiment Amazon S3 si vous possédez à la fois le AWS compte et le compartiment Amazon S3. Cette politique doit être appliquée au compartiment Amazon S3, plutôt qu'à un utilisateur IAM. En effet, il s'agit d'une politique basée sur les ressources, et non sur l'utilisateur. Nous recommandons de refuser l'accès au compartiment aux utilisateurs IAM qui n'ont pas besoin d'accéder à vos factures.
Remplacez *amzn-s3-demo-bucket1* par le nom de votre compartiment.
Pour plus d'informations, consultez [ Utilisation des politiques de compartiment et des stratégies d'utilisateur](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-iam-policies.html) dans le *Guide de l'utilisateur Amazon Simple Storage Service*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": [
"s3:GetBucketAcl",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1"
},
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"
}
]
}
```
------
## Recherche de produits et de prix
Pour autoriser un utilisateur IAM à utiliser l'API du service AWS Price List, appliquez la politique suivante pour lui accorder l'accès.
Cette politique autorise l'utilisation à la fois de l'API AWS Price List Bulk API AWS Price List Query.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts",
"pricing:GetPriceListFileUrl",
"pricing:ListPriceLists"
],
"Resource": [
"*"
]
}
]
}
```
------
## Affichage des coûts et de l'utilisation
Pour autoriser les utilisateurs IAM à utiliser l'API AWS Cost Explorer, appliquez la politique suivante pour leur accorder l'accès.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ce:*"
],
"Resource": [
"*"
]
}
]
}
```
------
## Activer et désactiver les AWS régions
Pour un exemple de politique IAM qui permet aux utilisateurs d'activer et de désactiver les régions, voir [AWS: Autoriser l'activation et la désactivation des AWS régions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws-enable-disable-regions.html) dans le guide de l'utilisateur *IAM*.
## Affichage et gestion des catégories de coûts
Pour permettre aux utilisateurs IAM d'utiliser, d'afficher et de gérer les catégories de coûts, utilisez la stratégie suivante pour leur accorder l'accès.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:GetCostAndUsage",
"ce:DescribeCostCategoryDefinition",
"ce:UpdateCostCategoryDefinition",
"ce:CreateCostCategoryDefinition",
"ce:DeleteCostCategoryDefinition",
"ce:ListCostCategoryDefinitions",
"ce:TagResource",
"ce:UntagResource",
"ce:ListTagsForResource",
"pricing:DescribeServices"
],
"Resource": "*"
}
]
}
```
------
## Création, affichage, modification ou suppression de rapports sur les AWS coûts et l'utilisation
Cette stratégie permet à un utilisateur IAM de créer, d'afficher, de modifier ou de supprimer `sample-report` à l'aide de l'API.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageSampleReport",
"Effect": "Allow",
"Action": [
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "arn:aws:cur:*:123456789012:definition/sample-report"
},
{
"Sid": "DescribeReportDefs",
"Effect": "Allow",
"Action": "cur:DescribeReportDefinitions",
"Resource": "*"
}
]
}
```
------
## Affichage et gestion des bons de commande
Cette stratégie permet à un utilisateur IAM d'afficher et de gérer les bons de commande à l'aide de la stratégie suivante pour accorder l'accès.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"purchase-orders:*"
],
"Resource": "*"
}
]
}
```
------
## Affichage et mise à jour la page des préférences Cost Explorer
Cette stratégie permet à un utilisateur IAM de procéder à un affichage et à une mise à jour à l'aide de la **page de préférences Cost Explorer**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
La stratégie suivante permet aux utilisateurs IAM d'afficher Cost Explorer, mais refuse l'autorisation d'afficher ou de modifier la page **Preferences** (Préférences).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:GetPreferences",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
La stratégie suivante permet aux utilisateurs IAM d'afficher Cost Explorer, mais refuse l'autorisation de modifier la page **Preferences** (Préférences).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
## Affichage, création, mise à jour et suppression à l'aide de la page des rapports Cost Explorer
Cette stratégie permet à un utilisateur IAM de procéder à un affichage, à une création, à une mise et à une suppression à jour à l'aide de la **page de préférences Cost Explorer**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
La stratégie suivante permet aux utilisateurs IAM d'afficher Cost Explorer, mais refuse l'autorisation d'afficher ou de modifier la page **Reports** (Rapports).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeReport",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
La stratégie suivante permet aux utilisateurs IAM d'afficher Cost Explorer, mais refuse l'autorisation de modifier la page **Reports** (Rapports).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
## Affichage, création, mise à jour et suppression des alertes de réservation et de Savings Plans
Cette stratégie permet à un utilisateur IAM d'afficher, de créer, de mettre à jour et de supprimer des [allertes d'expiration de réservation](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ce-ris.html) et des [alertes de Savings Plans](https://docs.aws.amazon.com/savingsplans/latest/userguide/sp-overview.html#sp-alert). Pour modifier les alertes d'expiration de réservation ou les alertes de Savings Plans, un utilisateur a besoin des trois actions détaillées suivantes :`ce:CreateNotificationSubscription`, `ce:UpdateNotificationSubscription` et `ce:DeleteNotificationSubscription`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
La stratégie suivante permet aux utilisateurs IAM d'afficher Cost Explorer, mais refuse l'autorisation d'afficher ou de modifier les pages **Reservation Expiration Alerts** (Alertes d'expiration de réservation) et **Savings Plans alert** (Alertes de Savings Plans).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeNotificationSubscription",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
La stratégie suivante permet aux utilisateurs IAM d'afficher Cost Explorer, mais refuse l'autorisation de modifier les pages **Reservation Expiration Alerts** (Alertes d'expiration de réservation) et **Savings Plans alert** (Alertes de Savings Plans).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
## Autoriser l'accès en lecture seule à la détection des anomalies de AWS coûts
Pour autoriser les utilisateurs IAM à accéder en lecture seule à AWS Cost Anomaly Detection, appliquez la politique suivante pour leur accorder l'accès. `ce:ProvideAnomalyFeedback`est facultatif dans le cadre de l'accès en lecture seule.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ce:Get*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Autoriser AWS les budgets à appliquer les politiques IAM et SCPs
Cette politique permet à AWS Budgets d'appliquer des politiques IAM et des politiques de contrôle des services (SCPs) au nom de l'utilisateur.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": "*"
}
]
}
```
------
## Permettre à AWS Budgets d'appliquer les politiques IAM et les SCP et de cibler les instances EC2 et RDS
Cette politique permet à AWS Budgets d'appliquer des politiques IAM et des politiques de contrôle des services (SCP) et de cibler les instances Amazon EC2 et Amazon RDS au nom de l'utilisateur.
Politique d’approbation
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "budgets.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Politique d’autorisations
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceStatus",
"ec2:StartInstances",
"ec2:StopInstances",
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"rds:DescribeDBInstances",
"rds:StartDBInstance",
"rds:StopDBInstance",
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
```
------
## Permettre aux utilisateurs d'IAM de consulter les exonérations fiscales américaines et de créer des dossiers Support
Cette politique permet à un utilisateur IAM de consulter les exonérations fiscales américaines et de créer des Support dossiers pour télécharger des certificats d'exemption dans la console d'exonération fiscale.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:*",
"tax:GetExemptions",
"tax:UpdateExemptions",
"support:CreateCase",
"support:AddAttachmentsToSet"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
## (Pour les clients ayant une adresse de facturation ou de contact en Inde) Autoriser l'accès en lecture seule aux informations de vérification des clients
Cette politique accorde aux utilisateurs IAM l'accès en lecture seule aux informations de vérification des clients.
Pour obtenir des définitions de chaque action, consultez [AWS Actions de la console de facturation](security_iam_id-based-policy-examples.md#user-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"customer-verification:GetCustomerVerificationEligibility",
"customer-verification:GetCustomerVerificationDetails"
],
"Resource": "*"
}]
}
```
------
## (Pour les clients ayant une adresse de facturation ou de contact en Inde) Voir, créer et mettre à jour les informations de vérification des clients
Cette politique permet aux utilisateurs IAM de gérer leurs informations de vérification des clients.
Pour obtenir des définitions de chaque action, consultez [AWS Actions de la console de facturation](security_iam_id-based-policy-examples.md#user-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"customer-verification:CreateCustomerVerificationDetails",
"customer-verification:UpdateCustomerVerificationDetails",
"customer-verification:GetCustomerVerificationEligibility",
"customer-verification:GetCustomerVerificationDetails"
],
"Resource": "*"
}]
}
```
------
## Afficher AWS Migration Acceleration Program les informations dans la console de facturation
Cette politique permet aux utilisateurs d'IAM de consulter les Migration Acceleration Program accords, les crédits et les dépenses éligibles pour le compte du payeur dans la console de facturation.
Pour obtenir des définitions de chaque action, consultez [AWS Actions de la console de facturation](security_iam_id-based-policy-examples.md#user-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"mapcredits:ListQuarterSpend",
"mapcredits:ListQuarterCredits",
"mapcredits:ListAssociatedPrograms"
],
"Resource": "*"
}]
}
```
------
## Autoriser l'accès à AWS la configuration des factures dans la console de facturation
Cette politique permet aux utilisateurs d'IAM d'accéder à AWS la configuration des factures dans la console de facturation.
Pour obtenir des définitions de chaque action, consultez [AWS Actions de la console de facturation](security_iam_id-based-policy-examples.md#user-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"invoicing:ListInvoiceUnits",
"invoicing:GetInvoiceUnit",
"invoicing:CreateInvoiceUnit",
"invoicing:UpdateInvoiceUnit",
"invoicing:DeleteInvoiceUnit",
"invoicing:BatchGetInvoiceProfile"
],
"Resource": [
"*"
]
}
]
}
```
------
# Migration du contrôle d'accès pour AWS Billing
**Note**
Les actions Gestion des identités et des accès AWS (IAM) suivantes ont atteint la fin du support standard en juillet 2023 :
Espace de noms `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Si vous en utilisez AWS Organizations, vous pouvez utiliser les [scripts de migration de politiques par lots ou le migrateur](migrate-iam-permissions.md) de politiques par lots pour mettre à jour les politiques depuis votre compte payeur. Vous pouvez également utiliser la [référence du mappage entre les anciennes et les nouvelles actions détaillées](migrate-granularaccess-iam-mapping-reference.md) pour vérifier les actions IAM qui doivent être ajoutées.
Si vous en avez AWS Organizations créé un ou en faites partie le 6 mars 2023 ou après cette date, 11 h 00 (PDT), les actions détaillées sont déjà en vigueur dans votre organisation. Compte AWS
Vous pouvez utiliser des contrôles d'accès précis pour permettre aux membres de votre organisation d'accéder aux AWS Billing and Cost Management services. Par exemple, vous pouvez donner accès à Cost Explorer sans donner accès à la console Billing and Cost Management.
Pour utiliser les contrôles d'accès détaillés, vous devez migrer vos politiques depuis l'`aws-portal` vers les nouvelles actions IAM.
Les actions IAM suivantes dans vos politiques d'autorisation ou vos politiques de contrôle des services (SCP) doivent être mises à jour lors de cette migration :
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
Pour savoir comment utiliser l'outil **Stratégies concernées** (Politiques affectées) afin d'identifier vos politiques IAM concernées, veuillez consulter la rubrique [Comment utiliser l'outil relatif aux politiques concernées](migrate-security-iam-tool.md).
**Note**
L'accès aux API AWS Cost Explorer, aux rapports de AWS coûts et d'utilisation et AWS aux budgets reste inchangé.
[Activation de l'accès à la console de Gestion de la facturation et des coûts](control-access-billing.md#ControllingAccessWebsite-Activate) reste inchangé.
**Topics**
+ [
## Gérer les autorisations d'accès
](#migrate-control-access-billing)
+ [
# Utilisation de la console pour migrer vos politiques en bloc
](migrate-granularaccess-console.md)
+ [
# Comment utiliser l'outil relatif aux politiques concernées
](migrate-security-iam-tool.md)
+ [
# Utilisation de scripts pour migrer vos politiques en bloc afin d'utiliser des actions IAM précises
](migrate-iam-permissions.md)
+ [
# Référence de mappage d'actions IAM détaillées
](migrate-granularaccess-iam-mapping-reference.md)
## Gérer les autorisations d'accès
AWS Billing s'intègre au service Gestion des identités et des accès AWS (IAM) afin que vous puissiez contrôler qui, au sein de votre organisation, peut accéder à des pages spécifiques sur la [console Billing and Cost Management](https://console.aws.amazon.com/billing/). Cela inclut des fonctionnalités telles que les paiements, la facturation, les crédits, l'offre gratuite, les préférences de paiement, la facturation consolidée, les paramètres fiscaux et les pages de compte.
Utilisez les autorisations IAM suivantes pour un contrôle granulaire dans la console Billing and Cost Management.
Pour fournir un accès détaillé, remplacez la stratégie `aws-portal` par `account`, `billing`, `payments`, `freetier`, `invoicing`, `tax` et `consolidatedbilling`.
En outre, remplacez `purchase-orders:ViewPurchaseOrders` et `purchase-orders:ModifyPurchaseOrders` par les actions détaillées sous `purchase-orders`, `account` et `payments`.
### Utiliser des actions précises AWS Billing
Ce tableau récapitule les autorisations qui permettent ou non aux utilisateurs et aux rôles IAM d'accéder à vos informations de facturation. Pour obtenir des exemples de stratégies qui utilisent ces autorisations, consultez [AWS Exemples de politiques de facturation](billing-example-policies.md).
Pour obtenir la liste des actions pour la AWS Cost Management console, consultez les [politiques d'AWS Cost Management actions](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#user-permissions) dans le *Guide de AWS Cost Management l'utilisateur*.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html)
# Utilisation de la console pour migrer vos politiques en bloc
**Note**
Les actions Gestion des identités et des accès AWS (IAM) suivantes ont atteint la fin du support standard en juillet 2023 :
Espace de noms `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Si vous en utilisez AWS Organizations, vous pouvez utiliser les [scripts de migration de politiques par lots ou le migrateur](migrate-iam-permissions.md) de politiques par lots pour mettre à jour les politiques depuis votre compte payeur. Vous pouvez également utiliser la [référence du mappage entre les anciennes et les nouvelles actions détaillées](migrate-granularaccess-iam-mapping-reference.md) pour vérifier les actions IAM qui doivent être ajoutées.
Si vous en avez AWS Organizations créé un ou en faites partie le 6 mars 2023 ou après cette date, 11 h 00 (PDT), les actions détaillées sont déjà en vigueur dans votre organisation. Compte AWS
Cette section explique comment vous pouvez utiliser la [AWS Billing and Cost Management console](https://console.aws.amazon.com/billing/) pour migrer vos politiques existantes depuis vos comptes Organizations ou vos comptes standard vers des actions détaillées en masse. Vous pouvez effectuer la migration de vos anciennes politiques à l'aide de la console de deux manières :
**Utilisation du processus de migration recommandé par AWS**
Il s'agit d'un processus rationalisé en une seule action dans le cadre duquel vous migrez les anciennes actions vers les actions détaillées cartographiées par. AWS Pour de plus amples informations, veuillez consulter [Utilisation des actions recommandées pour migrer en masse les anciennes politiques](migrate-console-streamlined.md).
**Utilisation du processus de migration personnalisé**
Ce processus vous permet de revoir et de modifier les actions recommandées AWS avant la migration en masse, ainsi que de personnaliser les comptes de votre organisation qui seront migrés. Pour de plus amples informations, veuillez consulter [Personnalisation des actions pour migrer en masse les anciennes politiques](migrate-console-customized.md).
## Conditions préalables à la migration en masse à l'aide de la console
Les deux options de migration nécessitent votre accord dans la console afin de AWS pouvoir recommander des actions précises aux anciennes actions IAM que vous avez attribuées. Pour ce faire, vous devez vous connecter à votre AWS compte en tant que [principal IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en effectuant les actions IAM suivantes afin de poursuivre les mises à jour des politiques.
------
#### [ Management account ]
```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced",
"aws-portal:UpdateConsoleActionSetEnforced",
"purchase-orders:UpdateConsoleActionSetEnforced",
"iam:GetAccountAuthorizationDetails",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:CreateFunction",
"lambda:InvokeFunction",
"lambda:RemovePermission",
"scheduler:GetSchedule",
"scheduler:DeleteSchedule",
"scheduler:CreateSchedule",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:CreateStackSet",
"cloudformation:CreateStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStackSets",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:ListStacks",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:CreateStack",
"cloudformation:UpdateStackInstances",
"cloudformation:UpdateStackSet",
"cloudformation:DescribeStacks",
"ec2:DescribeRegions",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"iam:GenerateOrganizationsAccessReport",
"iam:GetOrganizationsAccessReport",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"organizations:ListAccountsForParent",
"organizations:ListRoots",
"sts:AssumeRole",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:GetInlinePolicyForPermissionSet",
"sso:DescribePermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sso:ProvisionPermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```
------
#### [ Member account or standard account ]
```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced", // Not needed for member account
"aws-portal:UpdateConsoleActionSetEnforced", // Not needed for member account
"purchase-orders:UpdateConsoleActionSetEnforced", // Not needed for member account
"iam:GetAccountAuthorizationDetails",
"ec2:DescribeRegions",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```
------
**Topics**
+ [
## Conditions préalables à la migration en masse à l'aide de la console
](#migrate-granularaccess-console-prereq)
+ [
# Utilisation des actions recommandées pour migrer en masse les anciennes politiques
](migrate-console-streamlined.md)
+ [
# Personnalisation des actions pour migrer en masse les anciennes politiques
](migrate-console-customized.md)
+ [
# Annulation des modifications apportées à votre politique de migration en masse
](migrate-console-rollback.md)
+ [
## Confirmation de votre migration
](#migrate-console-complete)
# Utilisation des actions recommandées pour migrer en masse les anciennes politiques
Vous pouvez migrer toutes vos anciennes politiques à l'aide des actions détaillées cartographiées par. AWS En AWS Organizations effet, cela s'applique à toutes les anciennes politiques de tous les comptes. Une fois que vous avez terminé votre processus de migration, les actions précises sont efficaces. Vous avez la possibilité de tester le processus de migration en masse à l'aide de comptes de test avant d'engager l'ensemble de votre organisation. Pour plus d'informations, consultez la section suivante.
**Pour migrer toutes vos politiques à l'aide d'actions détaillées cartographiées par AWS**
1. Connectez-vous à la [AWS Management Console](https://console.aws.amazon.com/).
1. Dans la barre de recherche en haut de la page, entrez **Bulk Policy Migrator**.
1. Sur la page **Gérer les nouvelles actions IAM**, choisissez **Confirmer et migrer**.
1. Restez sur la page **Migration en cours** jusqu'à ce que la migration soit terminée. Consultez la barre d'état pour connaître la progression.
1. Une fois que la section **Migration en cours** passe à **Migration réussie**, vous êtes redirigé vers la page **Gérer les nouvelles actions IAM**.
## Tester votre migration en masse
Vous pouvez tester la migration en masse à partir des politiques existantes vers des actions précises AWS recommandées à l'aide de comptes de test avant de vous engager à migrer l'ensemble de votre organisation. Une fois que vous avez terminé le processus de migration sur vos comptes de test, les actions détaillées sont appliquées à vos comptes de test.
**Pour utiliser vos comptes de test pour une migration en masse**
1. Connectez-vous à la [AWS Management Console](https://console.aws.amazon.com/).
1. Dans la barre de recherche en haut de la page, entrez **Bulk Policy Migrator**.
1. Sur la page **Gérer les nouvelles actions IAM**, choisissez **Personnaliser**.
1. Une fois les comptes et les politiques chargés dans le tableau **des comptes de migration**, sélectionnez un ou plusieurs comptes de test dans la liste des AWS comptes.
1. (Facultatif) Pour modifier le mappage entre votre ancienne politique et les actions détaillées AWS recommandées, choisissez **Afficher le mappage par défaut**. Modifiez le mappage, puis choisissez **Enregistrer**.
1. Choisissez **Confirmer et migrez**.
1. Restez sur la page de console jusqu'à ce que la migration soit terminée.
# Personnalisation des actions pour migrer en masse les anciennes politiques
Vous pouvez personnaliser votre migration en masse de différentes manières, au lieu d'utiliser l'action AWS recommandée pour tous vos comptes. Vous avez la possibilité de passer en revue les modifications nécessaires à vos anciennes politiques avant de procéder à la migration, de choisir les comptes spécifiques à migrer au sein de vos Organisations et de modifier la plage d'accès en mettant à jour les actions détaillées cartographiées.
**Pour passer en revue les politiques concernées avant de procéder à une migration en masse**
1. Connectez-vous à la [AWS Management Console](https://console.aws.amazon.com/).
1. Dans la barre de recherche en haut de la page, entrez **Bulk Policy Migrator**.
1. Sur la page **Gérer les nouvelles actions IAM**, choisissez **Personnaliser**.
1. Une fois les comptes et les politiques chargés dans le tableau **des comptes de migration**, choisissez le numéro dans la colonne **Nombre de politiques IAM concernées** pour voir les politiques concernées. Vous verrez également quand cette politique a été utilisée pour la dernière fois pour accéder aux consoles Billing and Cost Management.
1. Choisissez un nom de stratégie pour l'ouvrir dans la console IAM afin d'afficher les définitions et de mettre à jour la politique manuellement.
**Remarques**
Cela pourrait vous déconnecter de votre compte courant si la politique est celle d'un autre compte membre.
Vous ne serez pas redirigé vers la page IAM correspondante si votre compte actuel fait l'objet d'une migration groupée en cours.
1. (Facultatif) Choisissez **Afficher le mappage par défaut** pour voir les anciennes politiques afin de comprendre la stratégie précise mappée par. AWS
**Pour migrer un groupe sélectionné de comptes à migrer depuis votre organisation**
1. Connectez-vous à la [AWS Management Console](https://console.aws.amazon.com/).
1. Dans la barre de recherche en haut de la page, entrez **Bulk Policy Migrator**.
1. Sur la page **Gérer les nouvelles actions IAM**, choisissez **Personnaliser**.
1. Une fois les comptes et les politiques chargés dans le tableau **Migrer les comptes**, sélectionnez un ou plusieurs comptes à migrer.
1. Choisissez **Confirmer et migrez**.
1. Restez sur la page de console jusqu'à ce que la migration soit terminée.
**Pour modifier la plage d'accès en mettant à jour les actions détaillées mappées**
1. Connectez-vous à la [AWS Management Console](https://console.aws.amazon.com/).
1. Dans la barre de recherche en haut de la page, entrez **Bulk Policy Migrator**.
1. Sur la page **Gérer les nouvelles actions IAM**, choisissez **Personnaliser**.
1. Choisissez **Afficher le mappage par défaut**.
1. Choisissez **Modifier**.
1. Ajoutez ou supprimez des actions IAM pour les services Billing and Cost Management auxquels vous souhaitez contrôler l'accès. Pour plus d'informations sur les actions détaillées et l'accès qu'elles contrôlent, consultez. [Référence de mappage d'actions IAM détaillées](migrate-granularaccess-iam-mapping-reference.md)
1. Sélectionnez **Enregistrer les modifications**.
Le mappage mis à jour est utilisé pour toutes les futures migrations à partir du compte auquel vous êtes connecté. Cela peut être modifié à tout moment.
# Annulation des modifications apportées à votre politique de migration en masse
Vous pouvez annuler toutes les modifications de politique que vous apportez au cours du processus de migration en masse en toute sécurité, en suivant les étapes fournies dans l'outil de migration en masse. La fonction de restauration fonctionne au niveau du compte. Vous pouvez annuler les mises à jour des politiques pour tous les comptes ou pour des groupes spécifiques de comptes migrés. Toutefois, vous ne pouvez pas annuler les modifications apportées à des politiques spécifiques d'un compte.
**Pour annuler les modifications apportées à la migration en masse**
1. Connectez-vous à la [AWS Management Console](https://console.aws.amazon.com/).
1. Dans la barre de recherche en haut de la page, entrez **Bulk Policy Migrator**.
1. Sur la page **Gérer les nouvelles actions IAM**, choisissez l'onglet **Annuler les modifications**.
1. Sélectionnez les comptes à annuler. Les comptes doivent `Migrated` apparaître dans la colonne d'**état de l'annulation**.
1. Cliquez sur **le bouton Annuler les modifications**.
1. Restez sur la page de console jusqu'à ce que la restauration soit terminée.
## Confirmation de votre migration
Vous pouvez voir si certains AWS Organizations comptes doivent encore être migrés à l'aide de l'outil de migration.
**Pour vérifier si tous les comptes ont été migrés**
1. Connectez-vous à la [AWS Management Console](https://console.aws.amazon.com/).
1. Dans la barre de recherche en haut de la page, entrez **Bulk Policy Migrator**.
1. Sur la page **Gérer les nouvelles actions IAM**, choisissez l'onglet **Migrer les comptes**.
Tous les comptes ont été migrés avec succès si le tableau n'indique aucun compte restant.
# Comment utiliser l'outil relatif aux politiques concernées
**Note**
Les actions Gestion des identités et des accès AWS (IAM) suivantes ont atteint la fin du support standard en juillet 2023 :
Espace de noms `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Si vous en utilisez AWS Organizations, vous pouvez utiliser les [scripts de migration de politiques par lots ou le migrateur](migrate-iam-permissions.md) de politiques par lots pour mettre à jour les politiques depuis votre compte payeur. Vous pouvez également utiliser la [référence du mappage entre les anciennes et les nouvelles actions détaillées](migrate-granularaccess-iam-mapping-reference.md) pour vérifier les actions IAM qui doivent être ajoutées.
Si vous en avez AWS Organizations créé un ou en faites partie le 6 mars 2023 ou après cette date, 11 h 00 (PDT), les actions détaillées sont déjà en vigueur dans votre organisation. Compte AWS
Vous pouvez utiliser l'outil **Politiques concernées** de la console de facturation pour identifier les politiques IAM (à l'exclusion SCPs) et référencer les actions IAM affectées par cette migration. Utilisez l'outil **Politiques concernées** pour effectuer les tâches suivantes :
+ Identifiez les politiques IAM et référencez les actions IAM affectées par cette migration
+ Copiez la politique mise à jour dans votre presse-papiers
+ Ouvrez la politique concernée dans l'éditeur de politique IAM
+ Enregistrez la politique mise à jour pour votre compte
+ Activez les autorisations détaillées et désactivez les anciennes actions
Cet outil fonctionne dans les limites du AWS compte auquel vous êtes connecté, et les informations concernant les autres AWS Organizations comptes ne sont pas divulguées.
**Utiliser l'outil Stratégies concernées**
1. Connectez-vous à la AWS Billing and Cost Management console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/).
1. Collez l'URL suivante dans votre navigateur pour accéder à l'outil **Stratégies concernées** : [https://console.aws.amazon.com/poliden/home?region=us-east-1#/](https://console.aws.amazon.com/poliden/home?region=us-east-1#/).
**Note**
Vous devez disposez de l'autorisation `iam:GetAccountAuthorizationDetails` pour consulter cette page.
1. Consultez le tableau qui répertorie les politiques IAM concernées. Utilisez la colonne **Deprecated IAM actions** (Actions IAM obsolètes) pour passer en revue les actions IAM spécifiques référencées dans une politique.
1. Dans la colonne **Copier la politique mise à jour**, choisissez **Copier** pour copier la politique mise à jour dans votre presse-papiers. La politique mise à jour contient la politique existante et les actions détaillées suggérées qui y sont ajoutées sous forme de bloc distinct `Sid`. Ce bloc comporte le préfixe `AffectedPoliciesMigrator` à la fin de la politique.
1. Dans la colonne **Modifier la politique dans la console IAM**, choisissez **Modifier** pour accéder à l'éditeur de stratégie IAM. Vous verrez le JSON de votre politique existante.
1. Remplacez l'intégralité de la politique existante par la politique mise à jour que vous avez copiée à l'étape 4. Vous pouvez apporter d'autres modifications si nécessaire.
1. Choisissez **Suivant**, puis **Enregistrer les modifications**.
1. Suivez les étapes 3 à 7 pour toutes les stratégies concernées.
1. Après avoir mis à jour vos politiques, actualisez l'outil **Politiques concernées** pour confirmer qu'aucune politique affectée n'est répertoriée. La colonne **Nouvelles actions IAM trouvées** doit indiquer **Oui** pour toutes les politiques et les boutons **Copier** et **Modifier** seront désactivés. Vos politiques concernées sont mises à jour.
**Pour activer des actions détaillées pour votre compte**
Après avoir mis à jour vos politiques, suivez cette procédure afin d’activer les actions détaillées pour votre compte.
Seul le compte de gestion (payeur) d'une organisation ou les comptes individuels peuvent utiliser la section **Gérer les nouvelles actions IAM**. Un compte individuel peut activer les nouvelles actions pour lui-même. Un compte de gestion peut activer de nouvelles actions pour l'ensemble de l'organisation ou pour un sous-ensemble de comptes membres. Si vous êtes un compte de gestion, mettez à jour les stratégies concernées pour tous les comptes membres et activez les nouvelles actions pour votre organisation. Pour plus d'informations, consultez la section [Comment passer d'un compte à une nouvelle action précise à une action IAM existante ?](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/#How-to-toggle-accounts-between-new-fine-grained-actions-or-existing-IAM-Actions) section du AWS billet de blog.
**Note**
Pour exécuter cette commande, vous devez disposer des autorisations suivantes :
`aws-portal:GetConsoleActionSetEnforced`
`aws-portal:UpdateConsoleActionSetEnforced`
`ce:GetConsoleActionSetEnforced`
`ce:UpdateConsoleActionSetEnforced`
`purchase-orders:GetConsoleActionSetEnforced`
`purchase-orders:UpdateConsoleActionSetEnforced`
Si vous ne voyez pas la section **Gérer les nouvelles actions IAM**, cela signifie que votre compte a déjà activé les actions IAM détaillées.
1. Sous **Gérer les nouvelles actions IAM**, le paramètre **Ensemble actuel d'actions appliqué** aura le statut **Existant**.
Choisissez **Activer les nouvelles actions (détaillées)**, puis sélectionnez **Appliquer les modifications**.
1. Dans la boîte de dialogue, choisissez **Oui**. Le statut **Ensemble actuel d'actions appliqué** passera à **Détaillées**. Cela signifie que les nouvelles actions sont appliquées pour votre Compte AWS ou pour votre organisation.
1. (Facultatif) Vous pouvez ensuite mettre à jour vos politiques existantes pour supprimer toute ancienne action.
**Example Exemple : politique IAM avant et après**
La politique IAM suivante reprend l'ancienne `aws-portal:ViewPaymentMethods` action.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
}
]
}
```
Une fois que vous avez copié la politique mise à jour, l'exemple suivant présente le nouveau `Sid` bloc avec les actions détaillées.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
},
{
"Sid": "AffectedPoliciesMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"invoicing:GetInvoicePDF",
"payments:GetPaymentInstrument",
"payments:GetPaymentStatus",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}
]
}
```
## Ressources connexes
Pour de plus amples informations, veuillez consulter [Sid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html) dans le *Guide de l'utilisateur IAM*.
Pour plus d'informations sur les nouvelles actions détaillées, consultez la [Référence de mappage des actions IAM détaillées](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html) et [Utilisation d'actions détaillées de facturation.](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html#migrate-user-permissions)
# Utilisation de scripts pour migrer vos politiques en bloc afin d'utiliser des actions IAM précises
**Note**
Les actions Gestion des identités et des accès AWS (IAM) suivantes ont atteint la fin du support standard en juillet 2023 :
Espace de noms `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Si vous en utilisez AWS Organizations, vous pouvez utiliser les [scripts de migration de politiques par lots ou le migrateur](#migrate-iam-permissions) de politiques par lots pour mettre à jour les politiques depuis votre compte payeur. Vous pouvez également utiliser la [référence du mappage entre les anciennes et les nouvelles actions détaillées](migrate-granularaccess-iam-mapping-reference.md) pour vérifier les actions IAM qui doivent être ajoutées.
Si vous en avez AWS Organizations créé un ou en faites partie le 6 mars 2023 ou après cette date, 11 h 00 (PDT), les actions détaillées sont déjà en vigueur dans votre organisation. Compte AWS
Pour faciliter la migration de vos politiques IAM afin d'utiliser les nouvelles actions, appelées actions détaillées, vous pouvez utiliser les scripts disponibles sur le site Web [Exemples AWS](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles) (langue française non garantie).
Vous exécutez ces scripts à partir du compte payeur de votre organisation pour identifier les stratégies concernées suivantes de votre organisation qui utilisent les anciennes actions IAM :
+ Politiques IAM gérées par le client
+ Politiques IAM en ligne relatives aux rôles, aux groupes et aux utilisateurs
+ Politiques de contrôle des services (SCPs) (s'applique uniquement au compte du payeur)
+ Ensembles d'autorisations
Les scripts génèrent des suggestions de nouvelles actions qui correspondent aux actions existantes utilisées dans la politique. Vous passez ensuite en revue les suggestions et utilisez les scripts pour ajouter les nouvelles actions à toutes les stratégies concernées de votre organisation. Il n'est pas nécessaire de mettre à jour les politiques AWS AWS gérées ou gérées SCPs (par exemple, AWS Control Tower et AWS Organizations SCPs).
Ces scripts sont utilisés pour :
+ Simplifiez les mises à jour des politiques pour vous aider à gérer les stratégies concernées depuis le compte payeur.
+ Réduisez la durée de mise à jour des politiques. Vous n'avez pas besoin de vous connecter à chaque compte membre et de mettre à jour manuellement les politiques.
+ Regroupez des politiques identiques provenant de différents comptes membres. Vous pouvez ensuite vérifier et appliquer les mêmes mises à jour à toutes les politiques identiques, au lieu de les examiner une par une.
+ Assurez-vous que l'accès des utilisateurs reste inchangé après le AWS retrait des anciennes actions IAM le 6 juillet 2023.
Pour plus d'informations sur les politiques et les politiques de contrôle des services (SCPs), consultez les rubriques suivantes :
+ [Gestion des politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) dans le *Guide de l’utilisateur IAM*
+ [Politiques de contrôle des services (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *guide de AWS Organizations l'utilisateur*
+ [Autorisations personnalisées](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetcustom.html) dans le *Guide de l'utilisateur IAM Identity Center*
## Présentation de
Suivez cette rubrique pour effectuer les étapes suivantes :
**Topics**
+ [
## Présentation de
](#overview-bulk-migrate-policies)
+ [
## Conditions préalables
](#prerequisites-running-the-scripts)
+ [
## Étape 1 : configuration de votre environnement
](#set-up-your-environment-and-download-the-scripts)
+ [
## Étape 2 : Création du CloudFormation StackSet
](#create-the-cloudformation-stack)
+ [
## Étape 3 : identification des stratégies concernées
](#identify-the-affected-policies)
+ [
## Étape 4 : examen des modifications suggérées
](#review-the-affected-policies)
+ [
## Étape 5 : mise à jour des stratégies concernées
](#update-the-affected-policies)
+ [
## Étape 6 : annulation de vos modifications (Facultatif)
](#revert-changes)
+ [
## Exemples de politique IAM
](#examples-of-similar-policies)
## Conditions préalables
Pour commencer, vous devez réaliser l'action suivante :
+ Télécharger et installer [Python 3](https://www.python.org/downloads/)
+ Connectez-vous à votre compte payeur et vérifiez que vous disposez d'un principal IAM disposant des autorisations IAM suivantes :
```
"iam:GetAccountAuthorizationDetails",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"sso:DescribePermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"sso:GetInlinePolicyForPermissionSet",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:ProvisionPermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sts:AssumeRole"
```
**Astuce**
Pour commencer, nous vous recommandons d'utiliser un sous-ensemble d'un compte, tel qu'un compte de test, afin de vérifier que les modifications suggérées sont attendues.
Vous pouvez ensuite réexécuter les scripts pour les autres comptes de votre organisation.
## Étape 1 : configuration de votre environnement
Pour commencer, téléchargez les fichiers requis sur le site Web [AWS Samples](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles). Exécutez ensuite des commandes pour configurer votre environnement.
**Configuration de votre environnement**
1. Clonez le référentiel depuis le site Web [AWS Samples](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles). Dans une fenêtre de ligne de commande, vous pouvez utiliser la commande suivante :
```
git clone https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles.git
```
1. Accédez au répertoire où vous avez téléchargé les fichiers. Vous pouvez utiliser la commande suivante :
```
cd bulk-policy-migrator-scripts-for-account-cost-billing-consoles
```
Le référentiel contient les scripts et les ressources suivants :
+ `billing_console_policy_migrator_role.json`— Le CloudFormation modèle qui crée le rôle `BillingConsolePolicyMigratorRole` IAM dans les comptes membres de votre organisation. Ce rôle permet aux scripts d'endosser le rôle, puis de lire et de mettre à jour les stratégies concernées.
+ `action_mapping_config.json`— Contient le one-to-many mappage des anciennes actions aux nouvelles actions. Les scripts utilisent ce fichier pour suggérer les nouvelles actions pour chaque politique affectée qui contient les anciennes actions.
Chaque ancienne action correspond à plusieurs actions détaillées. Les nouvelles actions proposées dans le fichier permettent aux utilisateurs d'y accéder Services AWS avant la migration.
+ `identify_affected_policies.py` : analyse et identifie les stratégies concernées au sein de votre organisation. Ce script génère un fichier `affected_policies_and_suggestions.json` qui répertorie les stratégies concernées ainsi que les nouvelles actions suggérées.
Les stratégies concernées qui utilisent le même ensemble d'anciennes actions sont regroupées dans le fichier JSON, afin que vous puissiez consulter ou mettre à jour les nouvelles actions suggérées.
+ `update_affected_policies.py` : met à jour les stratégies concernées dans votre organisation. Le script saisit le fichier `affected_policies_and_suggestions.json`, puis ajoute les nouvelles actions suggérées aux politiques.
+ `rollback_affected_policies.py` : (Facultatif) annule les modifications apportées aux stratégies concernées. Ce script supprime les nouvelles actions détaillées des stratégies concernées.
1. Exécutez les commandes suivantes pour configurer et activer l'environnement virtuel.
```
python3 -m venv venv
```
```
source venv/bin/activate
```
1. Exécutez la commande suivante pour installer la AWS SDK pour Python (Boto3) dépendance.
```
pip install -r requirements.txt
```
**Note**
Vous devez configurer vos AWS informations d'identification pour utiliser le AWS Command Line Interface (AWS CLI). Pour de plus amples informations, veuillez consulter [AWS SDK pour Python (Boto3)](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/credentials.html).
Pour plus d'informations, veuillez consulter le fichier [README.md](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles#readme).
## Étape 2 : Création du CloudFormation StackSet
Suivez cette procédure pour créer un *ensemble de CloudFormation piles*. Cet ensemble de piles crée ensuite le rôle IAM `BillingConsolePolicyMigratorRole` pour tous les comptes membres de votre organisation.
**Note**
Vous devez effectuer cette étape une seule fois depuis le compte de gestion (compte payeur).
**Pour créer le CloudFormation StackSet**
1. Dans un éditeur de texte, ouvrez le `billing_console_policy_migrator_role.json` fichier et remplacez chaque instance de *``* par le numéro de compte du compte payeur (par exemple,*123456789012*).
1. Enregistrez le fichier.
1. Connectez-vous au AWS Management Console compte payeur.
1. Dans la CloudFormation console, créez un ensemble de piles avec le `billing_console_policy_migrator_role.json` fichier que vous avez mis à jour.
Pour plus d'informations, consultez la section [Création d'un ensemble de piles sur la AWS CloudFormation console](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html) dans le *Guide de AWS CloudFormation l'utilisateur*.
Une fois CloudFormation le stack set créé, chaque compte membre de votre organisation possède un rôle `BillingConsolePolicyMigratorRole` IAM.
Le rôle IAM contient les autorisations suivantes :
```
"iam:GetAccountAuthorizationDetails",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion"
```
**Remarques**
Pour chaque compte membre, les scripts appellent l'opération [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)API pour obtenir des informations d'identification temporaires afin d'assumer le rôle `BillingConsolePolicyMigratorRole` IAM.
Les scripts appellent l'opération [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)API pour obtenir tous les comptes des membres.
Les scripts appellent également des opérations d'API IAM pour accorder les autorisations de lecture et d'écriture aux politiques.
## Étape 3 : identification des stratégies concernées
Après avoir créé l'ensemble de piles et téléchargé les fichiers, exécutez le script `identify_affected_policies.py`. Ce script endosse le rôle IAM `BillingConsolePolicyMigratorRole` pour chaque compte membre, puis identifie les stratégies concernées.
**Pour identifier les stratégies concernées**
1. Accédez au répertoire où vous avez téléchargé les scripts.
```
cd policy_migration_scripts/scripts
```
1. Exécutez le script `identify_affected_policies.py`.
Vous pouvez utiliser les paramètres d'entrée suivants :
+ Comptes AWS que vous souhaitez que le script scanne. Pour spécifier des comptes, utilisez les paramètres d'entrée suivants :
+ `--all` : analyse tous les comptes membres de votre organisation.
```
python3 identify_affected_policies.py --all
```
+ `--accounts` : analyse un sous-ensemble des comptes membres de votre organisation.
```
python3 identify_affected_policies.py --accounts 111122223333, 444455556666, 777788889999
```
+ `--exclude-accounts` : exclut des membres comptes spécifiques de votre organisation.
```
python3 identify_affected_policies.py --all --exclude-accounts 111111111111, 222222222222, 333333333333
```
+ ` –-action-mapping-config-file` : (Facultatif) spécifiez le chemin d'accès au fichier `action_mapping_config.json`. Le script utilise ce fichier pour générer des suggestions de mises à jour pour les stratégies concernées. Si vous ne spécifiez pas le chemin, le script utilise le fichier `action_mapping_config.json` du dossier.
```
python3 identify_affected_policies.py –-action-mapping-config-file c:\Users\username\Desktop\Scripts\action_mapping_config.json –-all
```
**Note**
Vous ne pouvez pas spécifier d'unités organisationnelles (OUs) avec ce script.
Après avoir exécuté le script, il crée deux fichiers JSON dans un dossier `Affected_Policies_` :
+ `affected_policies_and_suggestions.json`
+ `detailed_affected_policies.json`
**`affected_policies_and_suggestions.json`**
Répertorie les stratégies concernées avec les nouvelles actions suggérées. Les stratégies concernées qui utilisent le même ensemble d'anciennes actions sont regroupées dans le fichier.
Ce fichier comprend les sections suivantes :
+ Des métadonnées qui fournissent une vue d'ensemble des comptes que vous avez spécifiés dans le script, notamment :
+ Les comptes analysés et le paramètre d'entrée utilisé pour le script `identify_affected_policies.py`
+ Le nombre de comptes concernés
+ Le nombre de stratégies concernées
+ Le nombre de groupes de politiques similaires
+ Groupes de politiques similaires : inclut la liste des comptes et les détails des politiques, y compris les sections suivantes :
+ `ImpactedPolicies` : spécifie quelles politiques sont concernées et incluses dans le groupe
+ `ImpactedPolicyStatements` : fournit des informations sur les blocs `Sid` qui utilisent actuellement les anciennes actions de la politique concernée. Cette section inclut les anciennes actions et les éléments IAM, tels que `Effect`, `Principal`, `NotPrincipal`, `NotAction` et `Condition`.
+ `SuggestedPolicyStatementsToAppend` : fournit les nouvelles actions suggérées qui sont ajoutées en tant que nouveau bloc `SID`.
Lorsque vous mettez à jour les politiques, ce bloc est ajouté à la fin des politiques.
**Example Exemple de fichier `affected_policies_and_suggestions.json`**
Ce fichier regroupe les politiques similaires en fonction des critères suivants :
+ Anciennes actions utilisées : politiques qui comportent les mêmes anciennes actions dans tous les blocs `SID`.
+ Détails correspondants : outre les actions concernées, les politiques comportent des éléments IAM identiques, tels que :
+ `Effect` (`Allow`/`Deny`)
+ `Principal` (à qui l'accès est autorisé ou refusé)
+ `NotAction` (quelles sont les actions non autorisées)
+ `NotPrincipal` (à qui l'accès est explicitement refusé)
+ `Resource`(à quelles AWS ressources s'applique la politique)
+ `Condition` (toutes les conditions spécifiques en vertu desquelles la politique s'applique)
Pour de plus amples informations, veuillez consulter [Exemples de politique IAM](#examples-of-similar-policies).
**Example `affected_policies_and_suggestions.json` exemple**
```
[{
"AccountsScanned": [
"111111111111",
"222222222222"
],
"TotalAffectedAccounts": 2,
"TotalAffectedPolicies": 2,
"TotalSimilarPolicyGroups": 2
},
{
"GroupName": "Group1",
"ImpactedPolicies": [{
"Account": "111111111111",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-Allow",
"PolicyIdentifier": "1111111_1-user:Inline-Test-Policy-Allow"
},
{
"Account": "222222222222",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-Allow",
"PolicyIdentifier": "222222_1-group:Inline-Test-Policy-Allow"
}
],
"ImpactedPolicyStatements": [
[{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccounts"
],
"Resource": "*"
}]
],
"SuggestedPolicyStatementsToAppend": [{
"Sid": "BillingConsolePolicyMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"account:GetAlternateContact",
"account:GetChallengeQuestions",
"account:GetContactInformation",
"billing:GetContractInformation",
"billing:GetIAMAccessPreference",
"billing:GetSellerOfRecord",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}]
},
{
"GroupName": "Group2",
"ImpactedPolicies": [{
"Account": "111111111111",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-deny",
"PolicyIdentifier": "1111111_2-user:Inline-Test-Policy-deny"
},
{
"Account": "222222222222",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-deny",
"PolicyIdentifier": "222222_2-group:Inline-Test-Policy-deny"
}
],
"ImpactedPolicyStatements": [
[{
"Sid": "VisualEditor0",
"Effect": "deny",
"Action": [
"aws-portal:ModifyAccount"
],
"Resource": "*"
}]
],
"SuggestedPolicyStatementsToAppend": [{
"Sid": "BillingConsolePolicyMigrator1",
"Effect": "Deny",
"Action": [
"account:CloseAccount",
"account:DeleteAlternateContact",
"account:PutAlternateContact",
"account:PutChallengeQuestions",
"account:PutContactInformation",
"billing:PutContractInformation",
"billing:UpdateIAMAccessPreference",
"payments:UpdatePaymentPreferences"
],
"Resource": "*"
}]
}
]
```
**`detailed_affected_policies.json`**
Contient la définition de toutes les stratégies concernées que le script `identify_affected_policies.py` a identifiées pour les comptes membres.
Le fichier regroupe des politiques similaires. Vous pouvez utiliser ce fichier comme référence, afin de pouvoir consulter et gérer les modifications des politiques sans avoir à vous connecter à chaque compte membre pour consulter les mises à jour de chaque politique et de chaque compte individuellement.
Vous pouvez rechercher le nom de la politique dans le fichier (par exemple, `YourCustomerManagedReadOnlyAccessBillingUser`), puis consulter les définitions des politiques concernées.
**Example Exemple : `detailed_affected_policies.json`**
## Étape 4 : examen des modifications suggérées
Une fois que le script a créé le fichier `affected_policies_and_suggestions.json`, examinez-le et apportez les modifications nécessaires.
**Pour examiner les stratégies concernées**
1. Dans un éditeur de texte, ouvrez le fichier `affected_policies_and_suggestions.json`.
1. Dans la section `AccountsScanned`, vérifiez que le nombre de groupes similaires identifiés dans les comptes analysés est attendu.
1. Examinez les actions détaillées suggérées qui seront ajoutées aux stratégies concernées.
1. Mettez à jour votre fichier selon vos besoins, puis enregistrez-le.
### Exemple 1 : mise à jour du fichier `action_mapping_config.json`
Vous pouvez mettre à jour les mappages suggérés dans le `action_mapping_config.json`. Après avoir mis à jour le fichier, vous pouvez réexécuter le script `identify_affected_policies.py`. Ce script génère des suggestions mises à jour pour les stratégies concernées.
Vous pouvez créer plusieurs versions du fichier `action_mapping_config.json` pour modifier les politiques de différents comptes dotés d'autorisations différentes. Par exemple, vous pouvez créer un fichier nommé `action_mapping_config_testing.json` pour migrer les autorisations de vos comptes de test, et un nommé `action_mapping_config_production.json` pour vos comptes de production.
### Exemple 2 : mise à jour du fichier `affected_policies_and_suggestions.json`
Pour apporter des modifications aux remplacements suggérés pour un groupe de politiques concernées spécifique, vous pouvez directement modifier la section des remplacements suggérés dans le fichier `affected_policies_and_suggestions.json`.
Toutes les modifications que vous apportez à cette section s'appliquent à toutes les politiques du groupe de politiques concernées.
### Exemple 3 : personnalisation d'une politique spécifique
Si vous trouvez qu'une politique au sein d'un groupe de politiques concernées nécessite des modifications différentes des mises à jour suggérées, vous pouvez procéder comme suit :
+ Excluez des comptes spécifiques du script `identify_affected_policies.py`. Vous pouvez ensuite examiner ces comptes exclus séparément.
+ Mettez à jour les blocs `Sid` concernés en supprimant les politiques et les comptes concernés qui nécessitent des autorisations différentes. Créez un bloc JSON qui inclut uniquement les comptes spécifiques ou qui les exclut de l'exécution actuelle de politiques concernées mises à jour.
Lorsque vous réexécutez le script `identify_affected_policies.py`, seuls les comptes concernés apparaissent dans le bloc mis à jour. Vous pouvez ensuite affiner les suggestions de remplacement pour ce bloc spécifique `Sid`.
## Étape 5 : mise à jour des stratégies concernées
Après avoir examiné et affiné les suggestions de remplacement, exécutez le script `update_affected_policies.py`. Le script prend le fichier `affected_policies_and_suggestions.json` comme entrée. Ce script endosse le rôle IAM `BillingConsolePolicyMigratorRole` pour mettre à jour les stratégies concernées répertoriées dans le `affected_policies_and_suggestions.json` fichier.
**Pour mettre à jour les politiques concernées**
1. Si vous ne l'avez pas déjà fait, ouvrez une fenêtre de ligne de commande pour l' AWS CLI.
1. Saisissez la commande suivante pour exécuter le script `update_affected_policies.py`. Vous pouvez saisir le paramètre d'entrée suivant :
+ Le chemin de répertoire du fichier `affected_policies_and_suggestions.json` qui contient une liste des stratégies concernées à mettre à jour. Ce fichier est le résultat de l'étape précédente.
```
python3 update_affected_policies.py --affected-policies-directory Affected_Policies_
```
Le script `update_affected_policies.py` met à jour les stratégies concernées dans le fichier `affected_policies_and_suggestions.json` avec les nouvelles actions suggérées. Le script ajoute un `Sid` bloc aux politiques, identifié comme`BillingConsolePolicyMigrator#`, où *\$1* correspond à un compteur incrémentiel (par exemple, 1, 2, 3).
Par exemple, si plusieurs blocs `Sid` de la politique concernée utilisent d'anciennes actions, le script ajoute plusieurs blocs `Sid`, qui apparaissent comme `BillingConsolePolicyMigrator#`, en correspondance à chaque bloc `Sid`.
**Important**
Le script ne supprime pas les anciennes actions IAM des politiques et ne modifie pas les blocs `Sid` existants dans les politiques. Au lieu de cela, il crée des blocs `Sid` et les ajoute à la fin de la politique. Ces nouveaux blocs `Sid` contiennent les nouvelles actions suggérées dans le fichier JSON. Cela garantit que les autorisations des politiques d'origine ne sont pas modifiées.
Nous vous déconseillons de modifier le nom des blocs `Sid` `BillingConsolePolicyMigrator#` au cas où vous auriez besoin d'annuler vos modifications.
**Example Exemple : politique avec blocs `Sid` ajoutés**
Consultez les blocs `Sid` ajoutés dans les blocs `BillingConsolePolicyMigrator1` et `BillingConsolePolicyMigrator2`.
Le script génère un rapport d'état qui contient les opérations ayant échoué et génère le fichier JSON localement.
**Example Exemple : rapport d'état**
```
[{
"Account": "111111111111",
"PolicyType": "Customer Managed Policy"
"PolicyName": "AwsPortalViewPaymentMethods",
"PolicyIdentifier": "identifier",
"Status": "FAILURE", // FAILURE or SKIPPED
"ErrorMessage": "Error message details"
}]
```
**Important**
Si vous réexécutez les scripts `identify_affected_policies.py` et `update_affected_policies.py`, ils ignorent toutes les politiques contenant le bloc `Sid` `BillingConsolePolicyMigratorRole#`. Les scripts supposent que ces politiques ont déjà été analysées et mises à jour et qu'elles ne nécessitent aucune mise à jour supplémentaire. Cela empêche le script de dupliquer les mêmes actions dans la politique.
Après avoir mis à jour les stratégies concernées, vous pouvez utiliser le nouvel IAM à l'aide de l'outil des politiques concernées. Si vous identifiez des problèmes, vous pouvez utiliser l'outil pour revenir aux actions précédentes. Vous pouvez également utiliser un script pour annuler les mises à jour de votre politique.
Pour plus d'informations, consultez le billet [Comment utiliser l'outil relatif aux politiques concernées](migrate-security-iam-tool.md) de blog sur les [modifications apportées à la AWS facturation, à la gestion des coûts et aux autorisations des consoles de compte](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/).
Pour gérer vos mises à jour, vous pouvez :
exécuter les scripts pour chaque compte individuellement ;
exécuter le script par lots pour des comptes similaires, tels que les comptes de test, d'assurance qualité et de production ;
exécuter le script pour tous les comptes ;
opter pour un mélange entre la mise à jour de certains comptes par lots et la mise à jour individuelle d'autres comptes.
## Étape 6 : annulation de vos modifications (Facultatif)
Le script `rollback_affected_policies.py` annule les modifications appliquées à chaque politique concernée pour les comptes spécifiés. Le script supprime tous les blocs `Sid` ajoutés par le script `update_affected_policies.py`. Ces blocs `Sid` ont le format `BillingConsolePolicyMigratorRole#`.
**Pour annuler vos modifications**
1. Si vous ne l'avez pas déjà fait, ouvrez une fenêtre de ligne de commande pour l' AWS CLI.
1. Saisissez la commande suivante pour exécuter le script `rollback_affected_policies.py`. Vous pouvez saisir les paramètres d'entrée suivants :
+ `--accounts`
+ Spécifie une liste séparée par des virgules des éléments Compte AWS IDs que vous souhaitez inclure dans le rollback.
+ L'exemple suivant analyse les politiques spécifiées Comptes AWS et supprime toutes les instructions associées au `BillingConsolePolicyMigrator#` `Sid` bloc.
```
python3 rollback_affected_policies.py –-accounts 111122223333, 555555555555, 666666666666
```
+ `--all`
+ Inclut tout Compte AWS IDs le personnel de votre organisation.
+ L'exemple suivant analyse toutes les politiques de votre organisation et supprime toutes les instructions contenant le bloc `Sid` `BillingConsolePolicyMigratorRole#`.
```
python3 rollback_affected_policies.py –-all
```
+ `--exclude-accounts`
+ Spécifie une liste séparée par des virgules des Compte AWS IDs éléments que vous souhaitez exclure de la restauration.
Vous ne pouvez utiliser ce paramètre que si vous spécifiez également le paramètre `--all`.
+ L'exemple suivant analyse les politiques de tous les Comptes AWS membres de votre organisation, à l'exception des comptes spécifiés.
```
python3 rollback_affected_policies.py --all --exclude-accounts 777777777777, 888888888888, 999999999999
```
## Exemples de politique IAM
Les politiques sont considérées comme similaires si leurs caractéristiques suivantes sont identiques :
+ Actions affectées sur tous les blocs `Sid`.
+ Détails dans les éléments IAM suivants :
+ `Effect` (`Allow`/`Deny`)
+ `Principal` (à qui l'accès est autorisé ou refusé)
+ `NotAction` (quelles sont les actions non autorisées)
+ `NotPrincipal` (à qui l'accès est explicitement refusé)
+ `Resource`(à quelles AWS ressources s'applique la politique)
+ `Condition` (toutes les conditions spécifiques en vertu desquelles la politique s'applique)
Les exemples suivants montrent des politiques qu'IAM pourrait ou non considérer comme similaires en fonction de leurs différences.
**Example Exemple 1 : les politiques sont considérées comme similaires**
Chaque type de politique est différent, mais les deux politiques contiennent un bloc `Sid` avec la même `Action` concernée.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
**Example Exemple 2 : les politiques sont considérées comme similaires**
Les deux politiques contiennent un seul bloc `Sid` avec la même `Action` concernée. La politique 2 contient des actions supplémentaires, mais celles-ci ne sont pas affectées.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing",
"athena:*"
],
"Resource": "*"
}]
}
```
**Example Exemple 3 : les politiques ne sont pas considérées comme similaires**
Les deux politiques contiennent un seul bloc `Sid` avec la même `Action` concernée. Toutefois, la politique 2 contient un élément `Condition` qui n'est pas présent dans la politique 1.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing",
"athena:*"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "true"
}
}
}]
}
```
**Example Exemple 4 : les politiques sont considérées comme similaires**
La politique 1 comporte un seul bloc `Sid` avec une `Action` concernée. La politique 2 comporte plusieurs blocs `Sid`, mais l'`Action` concernée n'apparaît que dans un seul bloc.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"cloudtrail:Get*"
],
"Resource": "*"
}
]
}
```
**Example Exemple 5 : les politiques ne sont pas considérées comme similaires**
La politique 1 comporte un seul bloc `Sid` avec une `Action` concernée. La politique 2 comporte plusieurs blocs `Sid` et l'`Action` concernée apparaît dans plusieurs blocs.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*"
],
"Resource": "*"
}
]
}
```
**Example Exemple 6 : les politiques sont considérées comme similaires**
Les deux politiques comportent plusieurs blocs `Sid`, avec la même `Action` concernée dans chaque bloc `Sid`.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"iam:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"iam:Update*"
],
"Resource": "*"
}
]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"athena:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"athena:Update*"
],
"Resource": "*"
}
]
}
```
**Example Exemple 7**
Les deux politiques suivantes ne sont pas considérées comme similaires.
La politique 1 comporte un seul bloc `Sid` avec une `Action` concernée. La politique 2 comporte un bloc `Sid` avec la même `Action` concernée. Cependant, la politique 2 contient également un autre bloc `Sid` avec différentes actions.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"iam:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"iam:Update*"
],
"Resource": "*"
}
]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"athena:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:*Billing",
"athena:Update*"
],
"Resource": "*"
}
]
}
```
# Référence de mappage d'actions IAM détaillées
**Note**
Les actions Gestion des identités et des accès AWS (IAM) suivantes ont atteint la fin du support standard en juillet 2023 :
Espace de noms `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Si vous en utilisez AWS Organizations, vous pouvez utiliser les [scripts de migration de politiques par lots ou le migrateur](migrate-iam-permissions.md) de politiques par lots pour mettre à jour les politiques depuis votre compte payeur. Vous pouvez également utiliser la [référence du mappage entre les anciennes et les nouvelles actions détaillées](#migrate-granularaccess-iam-mapping-reference) pour vérifier les actions IAM qui doivent être ajoutées.
Si vous en avez AWS Organizations créé un ou en faites partie le 6 mars 2023 ou après cette date, 11 h 00 (PDT), les actions détaillées sont déjà en vigueur dans votre organisation. Compte AWS
Vous devrez migrer les actions IAM suivantes dans vos politiques d'autorisation ou vos politiques de contrôle des services (SCP) :
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
Vous pouvez utiliser cette rubrique pour visualiser le mappage entre les anciennes et les nouvelles actions détaillées pour chaque action IAM que nous retirons.
**Présentation de**
1. Consultez les politiques IAM concernées dans votre Compte AWS. Pour ce faire, suivez les étapes l'outil **Stratégies concernées** afin d'identifier vos politiques IAM concernées. Consultez [Comment utiliser l'outil relatif aux politiques concernées](migrate-security-iam-tool.md).
1. Utilisez la console IAM pour ajouter les nouvelles autorisations détaillées à votre politique. Par exemple, si votre politique accorde l'autorisation `purchase-orders:ModifyPurchaseOrders`, vous devrez ajouter chaque action dans le tableau [Mappage pour purchase-orders:ModifyPurchaseOrders](#mapping-for-purchase-ordersmodifypurchaseorders).
**Ancienne politique**
La politique suivante permet à un utilisateur d'ajouter, de supprimer ou de modifier n'importe quel bon de commande dans le compte.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "purchase-orders:ModifyPurchaseOrders",
"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
}
]
}
```
------
**Nouvelle politique**
La politique suivante permet également à un utilisateur d'ajouter, de supprimer ou de modifier n'importe quel bon de commande dans le compte. Notez que chaque autorisation détaillée apparaît après l'ancienne autorisation `purchase-orders:ModifyPurchaseOrders`. Ces autorisations vous permettent de mieux contrôler quelles actions vous souhaitez autoriser ou refuser.
**Astuce**
Nous vous recommandons de conserver les anciennes autorisations afin de vous assurez de n'en perdre aucune tant que cette migration n'est pas terminée.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"purchase-orders:ModifyPurchaseOrders",
"purchase-orders:AddPurchaseOrder",
"purchase-orders:DeletePurchaseOrder",
"purchase-orders:UpdatePurchaseOrder",
"purchase-orders:UpdatePurchaseOrderStatus"
],
"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
}
]
}
```
------
1. Enregistrez vos modifications.
**Remarques**
Pour modifier manuellement les politiques dans la console IAM, consultez la section [Modification des politiques gérées par le client (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console) dans le *Guide de l'utilisateur IAM*.
Pour migrer en bloc vos politiques IAM afin d'utiliser des actions précises (nouvelles actions), consultez la section [Utilisation de scripts pour migrer vos politiques en bloc afin d'utiliser des actions IAM précises](migrate-iam-permissions.md).
**Contents**
+ [
## Mappage pour aws-portal:ViewAccount
](#mapping-for-aws-portalviewaccount)
+ [
## Mappage pour aws-portal:ViewBilling
](#mapping-for-aws-portalviewbilling)
+ [
## Mappage pour aws-portal:ViewPaymentMethods
](#mapping-for-aws-portalviewpaymentmethods)
+ [
## Mappage pour aws-portal:ViewUsage
](#mapping-for-aws-portalviewusage)
+ [
## Mappage pour aws-portal:ModifyAccount
](#mapping-for-aws-portalmodifyaccount)
+ [
## Mappage pour aws-portal:ModifyBilling
](#mapping-for-aws-portalmodifybilling)
+ [
## Mappage pour aws-portal:ModifyPaymentMethods
](#mapping-for-aws-portalmodifypaymentmethods)
+ [
## Mappage pour purchase-orders:ViewPurchaseOrders
](#mapping-for-purchase-ordersviewpurchaseorders)
+ [
## Mappage pour purchase-orders:ModifyPurchaseOrders
](#mapping-for-purchase-ordersmodifypurchaseorders)
## Mappage pour aws-portal:ViewAccount
| Nouvelle action | Description | Niveau d’accès |
| --- | --- | --- |
| account:GetAccountInformation | Accorde l'autorisation de récupérer les informations de compte pour un compte | Lecture |
| account:GetAlternateContact | Accorde l'autorisation de récupérer les autres contacts d'un compte | Lecture |
| account:GetContactInformation | Accorde l'autorisation de récupérer les informations de contact principal pour un compte | Lecture |
| billing:GetContractInformation | Accorde l'autorisation de consulter les informations contractuelles du compte, y compris le numéro de contrat, les noms des organisations utilisatrices finales, les numéros de commande et si le compte est utilisé pour servir des clients du secteur public | Lecture |
| billing:GetIAMAccessPreference | Accorde la permission de récupérer l'état de la préférence de facturation Autoriser l'accès IAM | Lecture |
| billing:GetSellerOfRecord | Accorde l'autorisation de récupérer le vendeur enregistré par défaut du compte | Lecture |
| payments:ListPaymentPreferences | Accorde l'autorisation d'obtenir les préférences de paiement (par exemple, la devise de paiement préférée, la méthode de paiement préférée) | Lecture |
## Mappage pour aws-portal:ViewBilling
| Nouvelle action | Description | Niveau d’accès |
| --- | --- | --- |
| account:GetAccountInformation | Accorde l'autorisation de récupérer les informations de compte pour un compte | Lecture |
| billing:GetBillingData | Accorde l'autorisation d'exécuter des requêtes sur les informations de facturation | Lecture |
| billing:GetBillingDetails | Accorde l'autorisation d'afficher les informations de facturation détaillées du élément de ligne | Lecture |
| billing:GetBillingNotifications | Accorde l'autorisation de consulter les notifications envoyées par le AWS biais des informations de facturation de votre compte | Lecture |
| billing:GetBillingPreferences | Accorde l'autorisation d'afficher les préférences de facturation telles que les instances réservées, les Savings Plans et le partage de crédits | Lecture |
| billing:GetContractInformation | Accorde l'autorisation de consulter les informations contractuelles du compte, y compris le numéro de contrat, les noms des organisations utilisatrices finales, les numéros de commande et si le compte est utilisé pour servir des clients du secteur public | Lecture |
| billing:GetCredits | Autorise à consulter les crédits qui ont été utilisés | Lecture |
| billing:GetIAMAccessPreference | Accorde la permission de récupérer l'état de la préférence de facturation Autoriser l'accès IAM | Lecture |
| billing:GetSellerOfRecord | Accorde l'autorisation de récupérer le vendeur enregistré par défaut du compte | Lecture |
| billing:ListBillingViews | Accorde l'autorisation d'obtenir des informations sur la facturation pour vos groupes de facturation pro forma | List |
| ce:DescribeNotificationSubscription | Accorde l'autorisation d'afficher les alertes d'expiration de réservation | Lecture |
| ce:DescribeReport | Accorde l'autorisation de consulter la page des rapports de l'Explorateur de coûts | Lecture |
| ce:GetAnomalies | Accorde l'autorisation d'extraire les anomalies | Lecture |
| ce:GetAnomalyMonitors | Accorde l'autorisation d'interroger les moniteurs d'anomalies | Lecture |
| ce:GetAnomalySubscriptions | Accorde l'autorisation d'interroger les abonnements aux anomalies | Lecture |
| ce:GetCostAndUsage | Accorde l'autorisation de récupérer les métriques de coût et d'utilisation pour votre compte | Lecture |
| ce:GetCostAndUsageWithResources | Accorde l'autorisation de récupérer les métriques de coût et d'utilisation avec des ressources pour votre compte | Lecture |
| ce:GetCostCategories | Accorde l'autorisation d'interroger les noms et les valeurs des catégories de coûts pour une durée déterminée | Lecture |
| ce:GetCostForecast | Accorde l'autorisation de récupérer une prévision des coûts pour une période de prévision | Lecture |
| ce:GetDimensionValues | Accorde l'autorisation de récupérer toutes les valeurs de filtre disponibles pour un filtre pour une période donnée | Lecture |
| ce:GetPreferences | Accorde l'autorisation d'afficher la page des préférences de l'Explorateur de coûts | Lecture |
| ce:GetReservationCoverage | Accorde l'autorisation de récupérer la couverture de réservation pour votre compte | Lecture |
| ce:GetReservationPurchaseRecommendation | Accorde l'autorisation de récupérer les recommandations de réservation pour votre compte | Lecture |
| ce:GetReservationUtilization | Accorde l'autorisation de récupérer l'utilisation de réservation pour votre compte | Lecture |
| ce:GetRightsizingRecommendation | Accorde l'autorisation de récupérer les recommandations de dimensionnement correct pour votre compte | Lecture |
| ce:GetSavingsPlansCoverage | Accorde l'autorisation de récupérer la couverture Savings Plans pour votre compte | Lecture |
| ce:GetSavingsPlansPurchaseRecommendation | Accorde l'autorisation de récupérer les recommandations Savings Plans pour votre compte | Lecture |
| ce:GetSavingsPlansUtilization | Accorde l'autorisation de récupérer l'utilisation de Savings Plans pour votre compte | Lecture |
| ce:GetSavingsPlansUtilizationDetails | Accorde l'autorisation de récupérer les détails d'utilisation de Savings Plans pour votre compte | Lecture |
| ce:GetTags | Accorde l'autorisation d'interroger les balises pour une durée déterminée | Lecture |
| ce:GetUsageForecast | Accorde l'autorisation de récupérer une prévision d'utilisation pour une période de prévision | Lecture |
| ce:ListCostAllocationTags | Accorde l'autorisation de répertorier les balises de répartition des coûts | List |
| ce:ListSavingsPlansPurchaseRecommendationGeneration | Accorde l'autorisation de récupérer une liste de vos générations de recommandations historiques | Lecture |
| consolidatedbilling:GetAccountBillingRole | Accorde l'autorisation d'obtenir le rôle du compte (payeur, lié, régulier) | Lecture |
| consolidatedbilling:ListLinkedAccounts | Accorde l'autorisation d'obtenir la liste des membres et des comptes liés | List |
| cur:GetClassicReport | Accorde l'autorisation d'obtenir le rapport CSV pour votre facture | Lecture |
| cur:GetClassicReportPreferences | Accorde l'autorisation d'obtenir le statut d'habilitation de rapport classique pour les rapports d'utilisation | Lecture |
| cur:ValidateReportDestination | Accorde l'autorisation de valider si le compartiment Amazon S3 existe avec les autorisations appropriées pour la livraison AWS CUR | Lecture |
| freetier:GetFreeTierAlertPreference | Accorde l'autorisation d'obtenir les préférences Niveau gratuit d'AWS d'alerte (par adresse e-mail) | Lecture |
| freetier:GetFreeTierUsage | Accorde l'autorisation d'obtenir les limites Niveau gratuit d'AWS d'utilisation et le statut d'utilisation month-to-date (MTD) | Lecture |
| invoicing:GetInvoiceEmailDeliveryPreferences | Accorde l'autorisation d'obtenir les préférences de livraison de la facture par e-mail | Lecture |
| invoicing:GetInvoicePDF | Accorde l'autorisation d'obtenir le PDF de la facture | Lecture |
| invoicing:ListInvoiceSummaries | Accorde l'autorisation d'obtenir des informations récapitulatives sur les factures de votre compte ou d'un compte associé | List |
| payments:GetPaymentInstrument | Accorde l'autorisation d'obtenir des informations sur un instrument de paiement | Lecture |
| payments:GetPaymentStatus | Accorde l'autorisation d'obtenir le statut de paiement de factures | Lecture |
| payments:ListPaymentPreferences | Accorde l'autorisation d'obtenir les préférences de paiement (par exemple, la devise de paiement préférée, la méthode de paiement préférée) | Lecture |
| tax:GetTaxInheritance | Accorde l'autorisation d'afficher le statut d’héritage fiscal | Lecture |
| tax:GetTaxRegistrationDocument | Accorde l'autorisation de télécharger les immatriculations fiscales | Lecture |
| tax:ListTaxRegistrations | Accorde l'autorisation d'afficher les immatriculations fiscales | Lecture |
## Mappage pour aws-portal:ViewPaymentMethods
| Nouvelle action | Description | Niveau d’accès |
| --- | --- | --- |
| account:GetAccountInformation | Accorde l'autorisation de récupérer les informations de compte pour un compte | Lecture |
| invoicing:GetInvoicePDF | Accorde l'autorisation d'obtenir le PDF de la facture | Lecture |
| payments:GetPaymentInstrument | Accorde l'autorisation d'obtenir des informations sur un instrument de paiement | Lecture |
| payments:GetPaymentStatus | Accorde l'autorisation d'obtenir le statut de paiement de factures | Lecture |
| payments:ListPaymentPreferences | Accorde l'autorisation d'obtenir les préférences de paiement (par exemple, la devise de paiement préférée, la méthode de paiement préférée) | List |
## Mappage pour aws-portal:ViewUsage
| Nouvelle action | Description | Niveau d’accès |
| --- | --- | --- |
| cur:GetUsageReport | Accorde l'autorisation d'obtenir une liste du Services AWS type d'utilisation et de l'opération pour le flux de travail des rapports d'utilisation, et de télécharger les rapports d'utilisation | Lecture |
## Mappage pour aws-portal:ModifyAccount
| Nouvelle action | Description | Niveau d’accès |
| --- | --- | --- |
| account:CloseAccount | Accorde l'autorisation de fermer un compte | Écrire |
| account:DeleteAlternateContact | Accorde l'autorisation de supprimer les autres contacts d'un compte | Écriture |
| account:PutAlternateContact | Accorde l'autorisation de modifier les autres contacts d'un compte | Écrire |
| account:PutChallengeQuestions | Accorde l'autorisation de modifier les questions d’identification d'un compte | Écrire |
| account:PutContactInformation | Accorde l'autorisation de mettre à jour les informations de contact principal pour un compte | Écrire |
| billing:PutContractInformation | Autorise à définir les informations contractuelles du compte, les noms des organisations utilisatrices finales, et si le compte est utilisé pour servir des clients du secteur public | Écrire |
| billing:UpdateIAMAccessPreference | Accorde l'autorisation de mettre à jour la préférence de facturation Autoriser l'accès IAM | Écrire |
| payments:UpdatePaymentPreferences | Accorde l'autorisation de mettre à jour les préférences de paiement (par exemple, la devise de paiement préférée, le mode de paiement préféré) | Écrire |
## Mappage pour aws-portal:ModifyBilling
| Nouvelle action | Description | Niveau d’accès |
| --- | --- | --- |
| billing:PutContractInformation | Autorise à définir les informations contractuelles du compte, les noms des organisations utilisatrices finales, et si le compte est utilisé pour servir des clients du secteur public | Écrire |
| billing:RedeemCredits | Donne l'autorisation de racheter n'importe quel crédit AWS | Écrire |
| billing:UpdateBillingPreferences | Accorde l'autorisation de mettre à jour les préférences de facturation telles que les instances réservées, les Savings Plans et le partage de crédits | Écrire |
| ce:CreateAnomalyMonitor | Accorde l'autorisation de créer un moniteur d'anomalies | Écriture |
| ce:CreateAnomalySubscription | Accorde l'autorisation de créer un abonnement aux anomalies | Écrire |
| ce:CreateNotificationSubscription | Accorde l'autorisation de créer des alertes d'expiration de réservation | Écrire |
| ce:CreateReport | Accorde l'autorisation de créer des rapports de l'Explorateur de coûts | Écriture |
| ce:DeleteAnomalyMonitor | Accorde l'autorisation de supprimer un moniteur d'anomalies | Écriture |
| ce:DeleteAnomalySubscription | Accorde l'autorisation de supprimer un abonnement aux anomalies | Écrire |
| ce:DeleteNotificationSubscription | Accorde l'autorisation de supprimer les alertes d'expiration de réservation | Écrire |
| ce:DeleteReport | Accorde l'autorisation de supprimer les rapports de l'Explorateur de coûts | Écrire |
| ce:ProvideAnomalyFeedback | Accorde l'autorisation de fournir des commentaires sur les anomalies détectées | Écrire |
| ce:StartSavingsPlansPurchaseRecommendationGeneration | Accorde l'autorisation de demander la génération d'une recommandation de Savings Plans | Écrire |
| ce:UpdateAnomalyMonitor | Accorde l'autorisation de mettre à jour un moniteur d'anomalies existant | Écriture |
| ce:UpdateAnomalySubscription | Accorde l'autorisation de mettre à jour un abonnement aux anomalies existant | Écrire |
| ce:UpdateCostAllocationTagsStatus | Accorde l'autorisation de mettre à jour le statut existant des balises de répartition des coûts | Écrire |
| ce:UpdateNotificationSubscription | Accorde l'autorisation de mettre à jour les alertes d'expiration de réservation | Écrire |
| ce:UpdatePreferences | Accorde l'autorisation de modifier la page des préférences de l'Explorateur de coûts | Écrire |
| cur:PutClassicReportPreferences | Accorde l'autorisation d'activer des rapports classiques | Écrire |
| freetier:PutFreeTierAlertPreference | Accorde l'autorisation de définir les préférences Niveau gratuit d'AWS d'alerte (par adresse e-mail) | Écrire |
| invoicing:PutInvoiceEmailDeliveryPreferences | Accorde l'autorisation de mettre à jour les préférences de livraison de la facture par e-mail | Écrire |
| payments:CreatePaymentInstrument | Accorde l'autorisation de créer un instrument de paiement | Écrire |
| payments:DeletePaymentInstrument | Accorde l'autorisation de supprimer un instrument de paiement | Écrire |
| payments:MakePayment | Accorde l'autorisation d'effectuer un paiement, d'authentifier un paiement, de vérifier un mode de paiement et de générer un document de demande de financement pour Advance Pay | Écrire |
| payments:UpdatePaymentPreferences | Accorde l'autorisation de mettre à jour les préférences de paiement (par exemple, la devise de paiement préférée, le mode de paiement préféré) | Écrire |
| tax:BatchPutTaxRegistration | Accorde l'autorisation de mettre à jour par lot les données des immatriculations fiscales | Écrire |
| tax:DeleteTaxRegistration | Accorde l'autorisation d'effacer les données des immatriculations fiscales | Écrire |
| tax:PutTaxInheritance | Accorde l'autorisation d’établir le statut d’héritage fiscal | Écrire |
## Mappage pour aws-portal:ModifyPaymentMethods
| Nouvelle action | Description | Niveau d’accès |
| --- | --- | --- |
| account:GetAccountInformation | Accorde l'autorisation de récupérer les informations de compte pour un compte | Lecture |
| payments:DeletePaymentInstrument | Accorde l'autorisation de supprimer un instrument de paiement | Écrire |
| payments:CreatePaymentInstrument | Accorde l'autorisation de créer un instrument de paiement | Écrire |
| payments:MakePayment | Accorde l'autorisation d'effectuer un paiement, d'authentifier un paiement, de vérifier un mode de paiement et de générer un document de demande de financement pour Advance Pay | Écrire |
| payments:UpdatePaymentPreferences | Accorde l'autorisation de mettre à jour les préférences de paiement (par exemple, la devise de paiement préférée, le mode de paiement préféré) | Écrire |
## Mappage pour purchase-orders:ViewPurchaseOrders
| Nouvelle action | Description | Niveau d’accès |
| --- | --- | --- |
| invoicing:GetInvoicePDF | Accorde l'autorisation d'obtenir un PDF de la facture | Get |
| payments:ListPaymentPreferences | Accorde l'autorisation d'obtenir les préférences de paiement (par exemple, la devise de paiement préférée, la méthode de paiement préférée) | List |
| purchase-orders:GetPurchaseOrder | Accorde l'autorisation d'obtenir un bon de commande | Lecture |
| purchase-orders:ListPurchaseOrderInvoices | Accorde l'autorisation d'afficher les bons de commande et les détails d'achat | List |
| purchase-orders:ListPurchaseOrders | Accorde l'autorisation d'obtenir tous les bons de commande disponibles | List |
## Mappage pour purchase-orders:ModifyPurchaseOrders
| Nouvelle action | Description | Niveau d’accès |
| --- | --- | --- |
| purchase-orders:AddPurchaseOrder | Accorde l'autorisation d'ajouter un bon de commande | Écrire |
| purchase-orders:DeletePurchaseOrder | Accorde l'autorisation de supprimer un bon de commande. | Écrire |
| purchase-orders:UpdatePurchaseOrder | Accorde l'autorisation de mettre à jour un bon de commande existant | Écrire |
| purchase-orders:UpdatePurchaseOrderStatus | Accorde l'autorisation de définir le statut du bon de commande | Écrire |
# AWS politiques gérées
Les politiques gérées sont des politiques autonomes basées sur l'identité que vous pouvez associer à plusieurs utilisateurs, groupes et rôles dans votre compte. AWS Vous pouvez utiliser des politiques AWS gérées pour contrôler l'accès dans Billing.
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants. AWS les politiques gérées vous permettent d'attribuer plus facilement les autorisations appropriées aux utilisateurs, aux groupes et aux rôles que si vous deviez rédiger vous-même les politiques.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. AWS met à jour de temps en temps les autorisations définies dans une politique AWS gérée. Dans ce cas, la mise à jour affecte toutes les entités de principaux (utilisateurs, groupes et rôles) auxquelles la politique est attachée.
La facturation fournit plusieurs politiques AWS gérées pour les cas d'utilisation courants.
**Topics**
+ [
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html)
](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy)
+ [
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html)
](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)
+ [
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html)
](#security-iam-awsmanpol-Billing)
+ [
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html)
](#security-iam-awsmanpol-AWSAccountActivityAccess)
+ [
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html)
](#security-iam-awsmanpol-AWSPriceListServiceFullAccess)
+ [
## Mises à jour des politiques AWS gérées pour la AWS facturation
](#security-iam-awsmanpol-updates)
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html)
Cette politique gérée permet un accès complet à la console Billing and Cost Management et à la console des bons de commande. La politique permet à l'utilisateur d'afficher, créer, mettre à jour et supprimer les bons de commande du compte.
Pour voir les autorisations de cette stratégie, consultez [AWSPurchaseOrdersServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html) dans le *AWS Guide de référence des stratégies gérées par*.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html)
Cette politique gérée accorde aux utilisateurs un accès en lecture seule aux fonctionnalités de la AWS Billing and Cost Management console.
### Détails de l’autorisation
Cette politique inclut les autorisations suivantes :
+ `account`— Récupérez des informations sur leur AWS compte.
+ `aws-portal`— Accorde aux utilisateurs l'autorisation de consultation globale des pages de la console Billing and Cost Management.
+ `billing`— Accédez à un accès complet aux informations de AWS facturation, telles que les préférences de facturation, les contrats actifs, les crédits ou remises appliqués, les préférences IAM, le vendeur enregistré et une liste des rapports de facturation.
+ `budgets`— Récupère des informations sur les actions définies pour la AWS Budgets fonctionnalité.
+ `ce`— Récupérez les informations de coût et d'utilisation, les balises et les valeurs de dimension pour afficher la AWS fonctionnalité Cost Explorer.
+ `consolidatedbilling`— Récupérez les rôles et les détails relatifs à la Comptes AWS configuration à l'aide de la fonctionnalité de facturation consolidée.
+ `cur`— Récupérez des informations sur leurs AWS Cost and Usage Report données.
+ `freetier`— Récupérez des informations sur les Niveau gratuit d'AWS alertes et les préférences d'utilisation.
+ `invoicing`— Récupérez des informations sur leurs préférences en matière de facturation.
+ `mapcredits`— Récupérez les dépenses et les crédits liés à l'accord Migration Acceleration Program (MAP) 2.0.
+ `payments`— Récupérez le financement, le statut des paiements et les informations sur les instruments de paiement.
+ `purchase-orders`— Récupérez des informations sur les factures associées à leurs bons de commande.
+ `sustainability`— Récupérez des informations sur l'empreinte carbone en fonction de leur AWS utilisation.
+ `tax`— Récupérez les informations fiscales enregistrées à partir des paramètres fiscaux.
Pour voir les autorisations de cette stratégie, consultez [AWSBillingReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html) dans le *AWS Guide de référence des stratégies gérées par*.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html)
Cette politique gérée autorise les utilisateurs à consulter et à modifier la AWS Billing and Cost Management console. Cela inclut la consultation de l'utilisation du compte, ainsi que la modification des budgets et des modes de paiement.
Pour consulter les autorisations associées à cette politique, consultez la section [Facturation](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html) dans la *référence des politiques AWS gérées*.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html)
Cette politique gérée autorise les utilisateurs à consulter la page **Activité du compte**.
Pour voir les autorisations de cette stratégie, consultez [AWSAccountActivityAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html) dans le *AWS Guide de référence des stratégies gérées par*.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html)
Cette politique gérée accorde aux utilisateurs un accès complet au service de liste de AWS prix.
Pour voir les autorisations de cette stratégie, consultez [AWSPriceListServiceFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html) dans le *AWS Guide de référence des stratégies gérées par*.
## Mises à jour des politiques AWS gérées pour la AWS facturation
Consultez les détails des mises à jour apportées aux politiques AWS gérées pour la AWS facturation depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page d'historique des documents de AWS facturation.
| Modifier | Description | Date |
| --- | --- | --- |
| [Facturation](#security-iam-awsmanpol-Billing) et [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)mise à jour des politiques existantes | Nous avons ajouté les autorisations de facturation suivantes à `Billing` : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/managed-policies.html) Nous avons ajouté les autorisations de facturation suivantes à `AWSBillingReadOnlyAccess` : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/managed-policies.html) | 19 novembre 2025 |
| [Facturation](#security-iam-awsmanpol-Billing) et [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)mise à jour des politiques existantes | Nous avons ajouté les autorisations de facturation suivantes à `Billing` : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/managed-policies.html) Nous avons ajouté les autorisations de facturation suivantes à `AWSBillingReadOnlyAccess` : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/managed-policies.html) | 1er octobre 2025 |
| [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) : mise à jour des politiques existantes | Nous avons ajouté à `AWSBillingReadOnlyAccess` les autorisations suivantes : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/managed-policies.html) | 21 août 2025 |
| [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) : mise à jour des politiques existantes | Nous avons ajouté les Niveau gratuit d'AWS autorisations suivantes à `AWSBillingReadOnlyAccess` : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/managed-policies.html) | 9 juillet 2025 |
| [Facturation](#security-iam-awsmanpol-Billing) et [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)mise à jour des politiques existantes | Nous avons ajouté les autorisations MAP 2.0 suivantes à `Billing` et `AWSBillingReadOnlyAccess` : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/managed-policies.html) | 27 mars 2025 |
| [Facturation](#security-iam-awsmanpol-Billing) — Mise à jour des politiques existantes | Nous avons ajouté les autorisations de facturation suivantes à `Billing` : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/managed-policies.html) | 17 janvier 2025 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy), [Facturation](#security-iam-awsmanpol-Billing) et [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Mise à jour des politiques existantes | Nous avons ajouté l'autorisation de facturation suivante pour `AWSPurchaseOrdersServiceRolePolicy` : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/managed-policies.html) Nous avons ajouté les autorisations de facturation suivantes à `AWSBillingReadOnlyAccess` : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/managed-policies.html) Nous avons ajouté les autorisations de facturation suivantes à `Billing` : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/managed-policies.html) | 1er décembre 2024 |
| [Facturation](#security-iam-awsmanpol-Billing) et [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)mise à jour des politiques existantes | Nous avons ajouté les autorisations de paiement suivantes à `Billing` : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/managed-policies.html) Nous avons ajouté les autorisations de paiement suivantes à `AWSBillingReadOnlyAccess` : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/managed-policies.html) | 12 novembre 2024 |
| [AWSPriceListServiceFullAccess ](#security-iam-awsmanpol-AWSPriceListServiceFullAccess)— Politique mise à jour | Nous avons ajouté la documentation relative à la `AWSPriceListServiceFullAccess` politique du service de liste de AWS prix. La politique a été initialement lancée en 2017. Nous avons mis `Sid": "AWSPriceListServiceFullAccess` à jour la politique existante. | 2 juillet 2024 |
| [Facturation](#security-iam-awsmanpol-Billing) et [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)mise à jour des politiques existantes | Nous avons ajouté à `Billing` les autorisations suivantes relatives aux balises de répartition des coûts : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/managed-policies.html) Nous avons ajouté à `AWSBillingReadOnlyAccess` l'autorisation suivante relative aux balises : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/managed-policies.html) | 31 mai 2024 |
| [Facturation](#security-iam-awsmanpol-Billing) et [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)mise à jour des politiques existantes | Nous avons ajouté à `Billing` les autorisations suivantes relatives aux balises de répartition des coûts : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/managed-policies.html) Nous avons ajouté à `AWSBillingReadOnlyAccess` l'autorisation suivante relative aux balises de répartition des coûts : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/managed-policies.html) | 25 mars 2024 |
| [Facturation](#security-iam-awsmanpol-Billing) et [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)mise à jour des politiques existantes | Nous avons ajouté à `Billing` les autorisations suivantes relatives aux balises de répartition des coûts : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/managed-policies.html) Nous avons ajouté à `AWSBillingReadOnlyAccess` l'autorisation suivante relative aux balises de répartition des coûts : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/managed-policies.html) | 26 juillet 2023 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy), [Facturation](#security-iam-awsmanpol-Billing) et [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Mise à jour des politiques existantes | Nous avons ajouté à `Billing` et `AWSPurchaseOrdersServiceRolePolicy` les autorisations suivantes relatives aux balises de bons de commande : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/managed-policies.html) Nous avons ajouté à `AWSBillingReadOnlyAccess` l'autorisation suivante relative aux balises : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awsaccountbilling/latest/aboutv2/managed-policies.html) | 17 juillet 2023 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy), [Facturation](#security-iam-awsmanpol-Billing) et [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Mise à jour des politiques existantes [AWSAccountActivityAccess](#security-iam-awsmanpol-AWSAccountActivityAccess)— Nouvelle politique AWS gérée documentée pour la AWS facturation | Ajout d'un ensemble d'actions mises à jour pour toutes les politiques. | 06 mars 2023 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy) : mise à jour d’une politique existante | AWS La facturation a supprimé les autorisations inutiles. | 18 novembre 2021 |
| AWS La facturation a commencé à suivre les modifications | AWS Billing a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 18 novembre 2021 |
# Résolution des problèmes d'identité et d'accès à la AWS facturation
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de Billing et d'IAM.
**Topics**
+ [
## Je ne suis pas autorisé à effectuer une action dans Billing
](#security_iam_troubleshoot-no-permissions)
+ [
## Je ne suis pas autorisé à effectuer iam : PassRole
](#security_iam_troubleshoot-passrole)
+ [
## Je veux afficher mes clés d'accès
](#security_iam_troubleshoot-access-keys)
+ [
## Je suis administrateur et je souhaite autoriser d'autres personnes à accéder à la facturation
](#security_iam_troubleshoot-admin-delegate)
+ [
## Je souhaite autoriser des personnes extérieures à moi Compte AWS à accéder à mes ressources de facturation
](#security_iam_troubleshoot-cross-account-access)
## Je ne suis pas autorisé à effectuer une action dans Billing
S'il vous AWS Management Console indique que vous n'êtes pas autorisé à effectuer une action, vous devez contacter votre administrateur pour obtenir de l'aide. Votre administrateur vous a fourni vos informations d’identification de connexion.
L’exemple d’erreur suivant se produit quand l’utilisateur `mateojackson` tente d’utiliser la console pour afficher des informations détaillées sur une ressource `my-example-widget` fictive, mais ne dispose pas des autorisations `billing:GetWidget` fictives.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: billing:GetWidget on resource: my-example-widget
```
Dans ce cas, Mateo demande à son administrateur de mettre à jour ses politiques pour lui permettre d’accéder à la ressource `my-example-widget` à l’aide de l’action `billing:GetWidget`.
## Je ne suis pas autorisé à effectuer iam : PassRole
Si vous recevez un message d'erreur indiquant que vous n'êtes pas autorisé à effectuer l'`iam:PassRole`action, vos politiques doivent être mises à jour pour vous permettre de transférer un rôle à Billing.
Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.
L'exemple d'erreur suivant se produit lorsqu'un utilisateur IAM nommé `marymajor` essaie d'utiliser la console pour effectuer une action dans Billing. Toutefois, l’action nécessite que le service ait des autorisations accordées par un rôle de service. Mary n'est pas autorisée à transmettre le rôle au service.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action `iam:PassRole`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations de connexion.
## Je veux afficher mes clés d'accès
Une fois les clés d'accès utilisateur IAM créées, vous pouvez afficher votre ID de clé d'accès à tout moment. Toutefois, vous ne pouvez pas revoir votre clé d’accès secrète. Si vous perdez votre clé d'accès secrète, vous devez créer une nouvelle paire de clés.
Les clés d'accès se composent de deux parties : un ID de clé d'accès (par exemple, `AKIAIOSFODNN7EXAMPLE`) et une clé d'accès secrète (par exemple, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`). À l'instar d'un nom d'utilisateur et un mot de passe, vous devez utiliser à la fois l'ID de clé d'accès et la clé d'accès secrète pour authentifier vos demandes. Gérez vos clés d'accès de manière aussi sécurisée que votre nom d'utilisateur et votre mot de passe.
**Important**
Ne communiquez pas vos clés d'accès à un tiers, même pour qu'il vous aide à [trouver votre ID utilisateur canonique](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId). Ce faisant, vous pourriez donner à quelqu'un un accès permanent à votre Compte AWS.
Lorsque vous créez une paire de clé d'accès, enregistrez l'ID de clé d'accès et la clé d'accès secrète dans un emplacement sécurisé. La clé d'accès secrète est accessible uniquement au moment de sa création. Si vous perdez votre clé d'accès secrète, vous devez ajouter de nouvelles clés d'accès pour votre utilisateur IAM. Vous pouvez avoir un maximum de deux clés d'accès. Si vous en avez déjà deux, vous devez supprimer une paire de clés avant d'en créer une nouvelle. Pour afficher les instructions, consultez [Gestion des clés d'accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey) dans le *Guide de l'utilisateur IAM*.
## Je suis administrateur et je souhaite autoriser d'autres personnes à accéder à la facturation
Pour autoriser d'autres personnes à accéder à la facturation, vous devez autoriser les personnes ou les applications qui ont besoin d'y accéder. Si vous utilisez AWS IAM Identity Center pour gérer des personnes et des applications, vous attribuez des ensembles d'autorisations aux utilisateurs ou aux groupes afin de définir leur niveau d'accès. Les ensembles d'autorisations créent et attribuent automatiquement des politiques IAM aux rôles IAM associés à la personne ou à l'application. Pour plus d'informations, consultez la section [Ensembles d'autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) dans le *guide de AWS IAM Identity Center l'utilisateur*.
Si vous n'utilisez pas IAM Identity Center, vous devez créer des entités IAM (utilisateurs ou rôles) pour les personnes ou les applications qui ont besoin d'un accès. Vous devez ensuite associer une politique à l'entité qui lui accorde les autorisations appropriées dans Billing. Une fois les autorisations accordées, fournissez les informations d'identification à l'utilisateur ou au développeur de l'application. Ils utiliseront ces informations d'identification pour y accéder AWS. Pour en savoir plus sur la création d'utilisateurs, de groupes, de politiques et d'autorisations [IAM, consultez la section Identités](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html), [politiques et autorisations IAM dans le guide de l'utilisateur *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).
## Je souhaite autoriser des personnes extérieures à moi Compte AWS à accéder à mes ressources de facturation
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si la facturation prend en charge ces fonctionnalités, consultez[Comment fonctionne AWS la facturation avec IAM](security_iam_service-with-iam.md).
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
# Utilisation de rôles liés à un service pour AWS Billing
AWS Billing utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. AWS Billing Les rôles liés au service sont prédéfinis par AWS Billing et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration AWS Billing car vous n'avez pas à ajouter manuellement les autorisations nécessaires. AWS Billing définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul AWS Billing peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos AWS Billing ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services dont la valeur est **Oui** dans la colonne Rôles liés à un **service**. Sélectionnez un **Oui** ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.
## Autorisations de rôle liées à un service pour AWS Billing
AWS Billing utilise le rôle lié au service nommé **Facturation** : permet au service de facturation de valider l'accès aux données de visualisation de facturation pour les vues de facturation dérivées.
Le rôle lié au service de facturation fait confiance aux services suivants pour assumer ce rôle :
+ `billing.amazonaws.com`
La politique d'autorisations de rôle nommée AWSBilling ServiceRolePolicy AWS Billing permet d'effectuer les actions suivantes sur les ressources spécifiées :
+ Action : `billing:GetBillingViewData` sur `arn:${Partition}:billing:::billingview/*`
Vous devez configurer les autorisations de manière à permettre à vos utilisateurs, groupes ou rôles de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création d'un rôle lié à un service pour AWS Billing
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez ou associez un affichage de facturation à l'aide d'un affichage de facturation provenant d'un autre compte dans l' AWS Management Console AWS API, le rôle lié au service est AWS Billing créé pour vous. AWS CLI
**Important**
Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. De plus, si vous utilisiez le AWS Billing service avant le 1er janvier 2017, date à laquelle il a commencé à prendre en charge les rôles liés au service, vous avez AWS Billing créé le rôle de facturation dans votre compte. Pour en savoir plus, voir [Un nouveau rôle est apparu dans mon Compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
## Modification d'un rôle lié à un service pour AWS Billing
AWS Billing ne vous permet pas de modifier le rôle lié au service de facturation. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour AWS Billing
Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer manuellement.
### Suppression manuelle du rôle lié au service
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au service de facturation. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Régions prises en charge pour les rôles AWS Billing liés à un service
AWS Billing prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d’informations, consultez [AWS Régions et points de terminaison](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Connexion et surveillance AWS Billing and Cost Management
La surveillance joue un rôle important dans le maintien de la fiabilité, de la disponibilité et des performances de votre AWS compte. Plusieurs outils sont disponibles pour surveiller votre utilisation du service de Gestion de la facturation et des coûts.
## AWS Rapports sur les coûts et l'utilisation
AWS Les rapports sur les coûts et AWS l'utilisation suivent votre utilisation et fournissent une estimation des frais associés à votre compte. Chaque rapport contient des rubriques correspondant à chaque combinaison unique de AWS produits, de type d'utilisation et d'opération que vous utilisez dans votre AWS compte. Vous pouvez personnaliser les rapports sur les AWS coûts et l'utilisation pour agréger les informations par heure ou par jour.
Pour plus d'informations sur les rapports de AWS coûts et d'utilisation, consultez le [https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html).
## AWS CloudTrail
Billing and Cost Management est intégré à AWS CloudTrail un service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service dans Billing and Cost Management. CloudTrail capture tous les appels d'API d'écriture et de modification pour Billing and Cost Management sous forme d'événements, y compris les appels provenant de la console Billing and Cost Management et les appels de code adressés à Billing and Cost Management APIs.
Pour plus d'informations sur AWS CloudTrail, consultez le[Enregistrement des appels de l'API Billing and Cost Management avec AWS CloudTrail](logging-using-cloudtrail.md).
# Enregistrement des appels de l'API Billing and Cost Management avec AWS CloudTrail
Billing and Cost Management est intégré à AWS CloudTrail un service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service dans Billing and Cost Management. CloudTrail capture les appels d'API pour Billing and Cost Management sous forme d'événements, y compris les appels provenant de la console Billing and Cost Management et les appels de code adressés à Billing and Cost Management APIs. Pour une liste complète des CloudTrail événements liés à la facturation, consultez[AWS Billing CloudTrail événements](#billing-cloudtrail-events).
Si vous créez un suivi, vous pouvez activer la diffusion continue d' CloudTrail événements vers un compartiment Amazon S3, y compris des événements pour Billing and Cost Management. Si vous ne configurez pas de journal d'activité, vous pouvez toujours afficher les événements les plus récents dans la console CloudTrail dans **Historique des événements**. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande qui a été faite à Billing and Cost Management, l'adresse IP à partir de laquelle la demande a été faite, l'auteur de la demande, la date à laquelle elle a été faite et des informations supplémentaires.
Pour en savoir plus CloudTrail, notamment comment le configurer et l'activer, consultez le [guide de AWS CloudTrail l'utilisateur](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## AWS Billing CloudTrail événements
Cette section présente une liste complète des CloudTrail événements liés à Billing and Cost Management.
****
| Nom de l’événement | Définition | Source de l’événement |
| --- | --- | --- |
| `AddPurchaseOrder` | Enregistre la création d'un bon de commande. | purchase-orders.amazonaws.com |
| `AcceptFxPaymentCurrencyTermsAndConditions` | Enregistre l'acceptation des conditions générales de paiement dans une devise autre que le dollar américain. | billingconsole.amazonaws.com |
| `CloseAccount` | Enregistre la fermeture d'un compte. | billingconsole.amazonaws.com |
| `CreateCustomerVerificationDetails` | (Pour les clients ayant une adresse de facturation ou de contact en Inde uniquement) Journalise la création des informations de vérification des clients du compte. | customer-verification.amazonaws.com |
| `CreateOrigamiReportPreference` | Journalise la création du rapport d'utilisation et de coûts ; compte de gestion uniquement. | billingconsole.amazonaws.com |
| `DeletePurchaseOrder` | Enregistre la suppression d'un bon de commande. | purchase-orders.amazonaws.com |
| `DeleteOrigamiReportPreferences` | Journalise la suppression du rapport d'utilisation et de coûts ; compte de gestion uniquement. | billingconsole.amazonaws.com |
| `DownloadCommercialInvoice` | Journalise le téléchargement d'une facture commerciale. | billingconsole.amazonaws.com |
| `DownloadECSVForBillingPeriod` | Journalise le téléchargement du fichier eCSV (rapport d'utilisation mensuel) pour une période de facturation spécifique. | billingconsole.amazonaws.com |
| `DownloadRegistrationDocument` | Journalise le téléchargement du document d'enregistrement fiscal. | billingconsole.amazonaws.com |
| `EnableBillingAlerts` | Enregistre le consentement à recevoir des alertes de CloudWatch facturation pour les frais estimés. | billingconsole.amazonaws.com |
| `FindECSVForBillingPeriod` | Journalise la récupération du fichier ECSV pour une période de facturation spécifique. | billingconsole.amazonaws.com |
| `GetAccountEDPStatus` | Journalise la récupération du statut EDP du compte. | billingconsole.amazonaws.com |
| `GetAddresses` | Journalise l'accès à l'adresse fiscale, l'adresse de facturation et l'adresse de contact d'un compte. | billingconsole.amazonaws.com |
| `GetAllAccounts` | Journalise l'accès à tous les numéros de comptes membres du compte de gestion. | billingconsole.amazonaws.com |
| `GetBillsForBillingPeriod` | Journalise l'accès à l'utilisation et aux frais du compte pour une période de facturation spécifique. | billingconsole.amazonaws.com |
| `GetBillsForLinkedAccount` | Journalise l'accès d'un compte de gestion en récupérant l'utilisation et les frais de l'un des comptes membres de la famille de facturation consolidée pour une période de facturation spécifique. | billingconsole.amazonaws.com |
| `GetCommercialInvoicesForBillingPeriod` | Journalise l'accès aux métadonnées des factures commerciales du compte pour la période de facturation spécifique. | billingconsole.amazonaws.com |
| `GetConsolidatedBillingFamilySummary` | Journalise l'accès du compte de gestion en récupérant le résumé de l'ensemble de la famille de facturation consolidée. | billingconsole.amazonaws.com |
| `GetCustomerVerificationEligibility` | (Pour les clients ayant une adresse de facturation ou de contact en Inde uniquement) Journalise la récupération de l'éligibilité de la vérification des clients du compte. | customer-verification.amazonaws.com |
| `GetCustomerVerificationDetails` | (Pour les clients ayant une adresse de facturation ou de contact en Inde uniquement) Journalise la récupération des informations de vérification des clients du compte. | customer-verification.amazonaws.com |
| `GetLinkedAccountNames` | Journalise la récupération à partir d'un compte de gestion des noms de compte membre appartenant à sa famille de facturation consolidée pour une période de facturation spécifique. | billingconsole.amazonaws.com |
| `GetPurchaseOrder` | Enregistre la récupération d'un bon de commande. | purchase-orders.amazonaws.com |
| `GetSupportedCountryCodes` | Journalise l'accès à tous les codes pays supportés par la console fiscale. | billingconsole.amazonaws.com |
| `GetTotal` | Journalise la récupération du total des frais du compte. | billingconsole.amazonaws.com |
| `GetTotalAmountForForecast` | Journalise l'accès aux frais prévus pour la période de facturation spécifique. | billingconsole.amazonaws.com |
| `ListCostAllocationTags` | Journalise l'accès à la récupération et à la liste des balises d'allocation des coûts. | ce.amazonaws.com |
| `ListCostAllocationTagBackfillHistory` | Enregistre la récupération et la liste de l'historique des demandes de remplissage par étiquette de répartition des coûts. | ce.amazonaws.com |
| `ListPurchaseOrders` | Enregistre la récupération et la liste des bons de commande. | purchase-orders.amazonaws.com |
| `ListPurchaseOrderInvoices` | Enregistre la récupération et la liste des factures associées à un bon de commande. | purchase-orders.amazonaws.com |
| `ListTagsForResource` | Répertorie les balises associées à une ressource. En `payments` effet, cette action fait référence à un mode de paiement. En `purchase-orders` effet, cette action fait référence à un bon de commande. | purchase-orders.amazonaws.com |
| `RedeemPromoCode` | Enregistre l'échange de crédits promotionnels pour un compte. | billingconsole.amazonaws.com |
| `SetAccountContractMetadata` | Enregistre la création, la suppression ou la mise à jour des informations contractuelles nécessaires pour les clients du secteur public. | billingconsole.amazonaws.com |
| `SetAccountPreferences` | Enregistre les mises à jour du nom du compte, de l'e-mail et du mot de passe. | billingconsole.amazonaws.com |
| `SetAdditionalContacts` | Enregistre la création, la suppression ou la mise à jour des autres contacts pour la facturation, les opérations et les communications de sécurité. | billingconsole.amazonaws.com |
| `SetContactAddress` | Journalise la création, la suppression ou la mise à jour des informations de contact du propriétaire du compte, y compris l'adresse et le numéro de téléphone. | billingconsole.amazonaws.com |
| `SetCreatedByOptIn` | Enregistre l'acceptation de la préférence de balise de répartition des coûts awscreatedby. | billingconsole.amazonaws.com |
| `SetCreditSharing` | Journalise l'historique de la préférence de partage de crédit pour le compte de gestion. | billingconsole.amazonaws.com |
| `SetFreetierBudgetsPreference` | Enregistre la préférence (acceptation ou refus) de recevoir des alertes d'utilisation du niveau gratuit. | billingconsole.amazonaws.com |
| `SetFxPaymentCurrency` | Enregistre la création, la suppression ou la mise à jour de la préférence de devise pour le règlement de votre facture. | billingconsole.amazonaws.com |
| `SetIAMAccessPreference` | Journalise la création, la suppression ou la mise à jour de la capacité de l'utilisateur IAM à accéder à la console de facturation. Ce paramètre est réservé uniquement aux clients disposant d'un accès racine. | billingconsole.amazonaws.com |
| `SetPANInformation` | Enregistre la création, la suppression ou la mise à jour des informations PAN AWS en Inde. | billingconsole.amazonaws.com |
| `SetPayInformation` | Enregistre l'historique des méthodes de paiement (facture ou credit/debit carte) du compte. | billingconsole.amazonaws.com |
| `SetRISharing` | Enregistre l'historique des préférences de partage des RI/Savings plans pour le compte de gestion. | billingconsole.amazonaws.com |
| `SetSecurityQuestions` | Enregistre la création, la suppression ou la mise à jour des questions de sécurité afin de vous AWS identifier en tant que propriétaire du compte. | billingconsole.amazonaws.com |
| `StartCostAllocationTagBackfill` | Enregistre la création d'une demande de remplacement pour le statut d'activation de toutes les balises de répartition des coûts. | ce.amazonaws.com |
| `TagResource` | Enregistre le balisage d'une ressource. En `payments` effet, cette action fait référence à un mode de paiement. En `purchase-orders` effet, cette action fait référence à un bon de commande. | purchase-orders.amazonaws.com |
| `UntagResource` | Enregistre la suppression de balises d'une ressource. En `payments` effet, cette action fait référence à un mode de paiement. En `purchase-orders` effet, cette action fait référence à un bon de commande. | purchase-orders.amazonaws.com |
| `UpdateCostAllocationTagsStatus` | Enregistre l'état actif ou inactif d'une balise de répartition des coûts particulière. | ce.amazonaws.com |
| `UpdateCustomerVerificationDetails` | (Pour les clients ayant une adresse de facturation ou de contact en Inde uniquement) Journalise la mise à jour des informations de vérification des clients du compte. | customer-verification.amazonaws.com |
| `UpdateOrigamiReportPreference` | Journalise la mise à jour du rapport d'utilisation et de coûts ; compte de gestion uniquement. | billingconsole.amazonaws.com |
| `UpdatePurchaseOrder` | Enregistre la mise à jour d'un bon de commande. | purchase-orders.amazonaws.com |
| `UpdatePurchaseOrderStatus` | Enregistre la mise à jour du statut d'un bon de commande. | purchase-orders.amazonaws.com |
| `ValidateAddress` | Journalise la validation de l'adresse fiscale d'un compte. | billingconsole.amazonaws.com |
### CloudTrail Événements liés aux paiements
Cette section présente la liste complète des CloudTrail événements liés à la fonctionnalité **Paiements** de la AWS Billing console. Ces CloudTrail événements utilisent `payments.amazonaws.com` au lieu de`billingconsole.amazonaws.com`.
****
| Nom de l’événement | Définition |
| --- | --- |
| `Financing_AcceptFinancingApplicationTerms` | Enregistre l'acceptation des conditions dans une demande de financement. |
| `Financing_CreateFinancingApplication` | Enregistre la création d'une demande de financement. |
| `Financing_GetFinancingApplication` | Enregistre l'accès à une demande de financement. |
| `Financing_GetFinancingApplicationDocument` | Enregistre l'accès à un document associé à une demande de financement. |
| `Financing_GetFinancingLine` | Enregistre l'accès à une ligne de financement. |
| `Financing_GetFinancingLineWithdrawal` | Enregistre l'accès au retrait d'une ligne de financement. |
| `Financing_GetFinancingLineWithdrawalDocument` | Enregistre l'accès à un document associé au retrait d'une ligne de financement. |
| `Financing_GetFinancingLineWithdrawalStatements` | Enregistre l'accès aux relevés associés au retrait d'une ligne de financement. |
| `Financing_GetFinancingOption` | Enregistre l'accès à une option de financement. |
| `Financing_ListFinancingApplications` | Enregistre la liste des métadonnées des demandes de financement. |
| `Financing_ListFinancingLines` | Enregistre la liste des métadonnées des lignes de financement. |
| `Financing_ListFinancingLineWithdrawals` | Enregistre la liste des métadonnées de retrait des lignes de financement. |
| `Financing_UpdateFinancingApplication` | Enregistre la mise à jour d'une demande de financement. |
| Instruments\$1Authenticate | Enregistre l'authentification de l'instrument de paiement. |
| `Instruments_Create` | Enregistre la création d'instruments de paiement. |
| `Instruments_Delete` | Enregistre la suppression des instruments de paiement. |
| `Instruments_Get` | Enregistre l'accès aux instruments de paiement. |
| `Instruments_List` | Enregistre la liste des métadonnées des instruments de paiement. |
| `Instruments_StartCreate` | Enregistre les opérations avant la création de l'instrument de paiement. |
| `Instruments_Update` | Enregistre la mise à jour des instruments de paiement. |
| `ListTagsForResource` | Enregistre la liste des balises associées à une ressource de paiement. |
| `Policy_GetPaymentInstrumentEligibility` | Enregistre l'accès à l'éligibilité des instruments de paiement. |
| `Preferences_BatchGetPaymentProfiles` | Enregistre l'accès aux profils de paiement. |
| `Preferences_CreatePaymentProfile` | Enregistre la création de profils de paiement. |
| `Preferences_DeletePaymentProfile` | Enregistre la suppression des profils de paiement. |
| `Preferences_ListPaymentProfiles` | Enregistre la liste des métadonnées des profils de paiement. |
| `Preferences_UpdatePaymentProfile` | Enregistre la mise à jour des profils de paiement. |
| `Programs_ListPaymentProgramOptions` | Enregistre la liste des options du programme de paiement. |
| `Programs_ListPaymentProgramStatus` | Enregistre la liste des conditions d'éligibilité au programme de paiement et du statut d'inscription. |
| `TagResource` | Enregistre le balisage d'une ressource de paiement. |
| `TermsAndConditions_AcceptTermsAndConditionsForProgramByAccountId` | Enregistre les termes et conditions des paiements acceptés. |
| `TermsAndConditions_GetAcceptedTermsAndConditionsForProgramByAccountId` | Enregistre l'accès aux termes et conditions acceptés. |
| `TermsAndConditions_GetRecommendedTermsAndConditionsForProgram` | Enregistre l'accès aux termes et conditions recommandés. |
| `UntagResource` | Enregistre la suppression de balises d'une ressource de paiement. |
### CloudTrail Événements relatifs aux paramètres fiscaux
Cette section présente la liste complète des CloudTrail événements relatifs à la fonctionnalité des **paramètres fiscaux** de la AWS Billing console. Ces CloudTrail événements utilisent `taxconsole.amazonaws.com` ou `tax.amazonaws.com` remplacent`billingconsole.amazonaws.com`.
**CloudTrail événements pour la console des paramètres fiscaux**
| Nom de l’événement | Définition | Source de l’événement |
| --- | --- | --- |
| `BatchGetTaxExemptions` | Journalise l'accès aux exonérations fiscales américaines d'un compte et tous les comptes liés. | taxconsole.amazon.com |
| `CreateCustomerCase` | Journalise la création d'un cas de support client pour valider l'exonération fiscale américaine pour un compte. | taxconsole.amazon.com |
| `DownloadTaxInvoice` | Journalise le téléchargement d'une facture fiscale. | taxconsole.amazon.com |
| `GetTaxExemptionTypes` | Journalise l'accès à tous les types d'exonérations américaines pris en charge par console fiscale. | taxconsole.amazon.com |
| `GetTaxInheritance` | Journalise l'accès aux préférences en matière d'héritage fiscal (activation ou désactivation) d'un compte. | taxconsole.amazon.com |
| `GetTaxInvoicesMetadata` | Journalise la récupération des métadonnées des factures fiscales. | taxconsole.amazon.com |
| `GetTaxRegistration` | Journalise l'accès au numéro d'enregistrement fiscal d'un compte. | taxconsole.amazon.com |
| `PreviewTaxRegistrationChange` | Journalise l'aperçu des modifications apportées à l'enregistrement fiscal avant la confirmation. | taxconsole.amazon.com |
| `SetTaxInheritance` | Journalise la préférence (inscription ou désinscription) de l'héritage fiscal. | taxconsole.amazon.com |
**CloudTrail événements pour l'API des paramètres fiscaux**
| Nom de l’événement | Définition | Source de l’événement |
| --- | --- | --- |
| `BatchDeleteTaxRegistration` | Enregistre la suppression par lots de l'enregistrement fiscal pour plusieurs comptes. | tax.amazonaws.com |
| `BatchGetTaxExemptions` | Enregistre l'accès aux exonérations fiscales d'un ou de plusieurs comptes. | tax.amazonaws.com |
| `BatchPutTaxRegistration` | Enregistre les paramètres de l'enregistrement fiscal de plusieurs comptes. | tax.amazonaws.com |
| `DeleteTaxRegistration` | Enregistre la suppression du numéro d'enregistrement fiscal d'un compte. | tax.amazonaws.com |
| `GetTaxExemptionTypes` | Enregistre l'accès à tous les types d'exonérations fiscales pris en charge par la console fiscale. | tax.amazonaws.com |
| `GetTaxInheritance` | Journalise l'accès aux préférences en matière d'héritage fiscal (activation ou désactivation) d'un compte. | tax.amazonaws.com |
| `GetTaxRegistration` | Enregistre l'accès à l'enregistrement fiscal d'un compte. | tax.amazonaws.com |
| `GetTaxRegistrationDocument` | Logs permettant de récupérer le document d'enregistrement fiscal d'un compte. | tax.amazonaws.com |
| `ListTaxExemptions` | Enregistre l'accès aux exonérations fiscales des comptes de l' AWS organisation. | tax.amazonaws.com |
| `ListTaxRegistrations` | Journalise l'accès aux détails de l'enregistrement fiscal de tous les comptes membres du compte de gestion. | tax.amazonaws.com |
| `PutTaxExemption` | Enregistre la définition de l'exonération fiscale d'un ou de plusieurs comptes. | tax.amazonaws.com |
| `PutTaxInheritance` | Journaux définissant les préférences (acceptation ou refus) en matière de succession fiscale. | tax.amazonaws.com |
| `PutTaxRegistration` | Enregistre les paramètres de l'enregistrement fiscal d'un compte. | tax.amazonaws.com |
### Événements de facturation CloudTrail
Cette section présente la liste complète des CloudTrail événements liés à la fonctionnalité de **facturation** de la AWS Billing console. Ces CloudTrail événements utilisent`invoicing.amazonaws.com`.
****
| Nom de l’événement | Définition |
| --- | --- |
| `CreateInvoiceUnit` | Enregistre la création d'une unité de facturation. |
| `DeleteInvoiceUnit` | Enregistre la suppression d'une unité de facture. |
| `GetInvoiceProfiles` | Enregistre l'accès au profil de facturation d'un compte. |
| `GetInvoiceUnit` | Enregistre l'accès à une unité de facturation. |
| `ListInvoiceUnits` | Enregistre la récupération et la liste des unités de facturation. |
| `UpdateInvoiceUnit` | Enregistre la mise à jour d'une unité de facturation. |
## Informations de facturation et de gestion des coûts dans CloudTrail
CloudTrail est activé sur votre AWS compte lorsque vous le créez. Lorsqu'une activité événementielle prise en charge se produit dans Billing and Cost Management, cette activité est enregistrée dans un CloudTrail événement avec les autres événements de AWS service dans **l'historique** des événements. Vous pouvez consulter, rechercher et télécharger les événements récents dans votre AWS compte. Pour plus d'informations, consultez la section [Affichage des événements avec l'historique des CloudTrail événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Pour un enregistrement continu des événements enregistrés sur votre AWS compte, y compris les événements relatifs à Billing and Cost Management, créez un historique. Un suivi permet CloudTrail de fournir des fichiers journaux à un compartiment Amazon S3. Par défaut, lorsque vous créez un parcours dans la console, celui-ci s'applique à toutes les AWS régions. Le journal enregistre les événements de toutes les régions de la AWS partition et transmet les fichiers journaux au compartiment Amazon S3 que vous spécifiez. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence.
Pour plus d’informations, consultez les ressources suivantes :
+ [Vue d’ensemble de la création d’un journal d’activité](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Services et intégrations pris en charge](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configuration des notifications Amazon SNS pour CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Réception de fichiers CloudTrail journaux de plusieurs régions](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) et [réception de fichiers CloudTrail journaux de plusieurs comptes](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l’identité permettent de déterminer les éléments suivants :
+ Si la demande a été effectuée avec des informations d’identification d’utilisateur root ou IAM.
+ Si la demande a été effectuée avec des informations d’identification de sécurité temporaires pour un rôle ou un utilisateur fédéré.
+ Si la demande a été faite par un autre AWS service.
Pour en savoir plus, consultez [Élément userIdentity CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html) dans le *Guide de l'utilisateur AWS CloudTrail *.
## CloudTrail exemples de saisie de journal
Les exemples suivants sont fournis pour des scénarios spécifiques de saisie dans le CloudTrail journal Billing and Cost Management.
**Topics**
+ [
### Entrées du fichier journal de la Gestion de la facturation et des coûts
](#understanding-service-name-entries)
+ [
### Console fiscale
](#CT-example-tax)
+ [
### Paiements
](#CT-example-payments-create)
### Entrées du fichier journal de la Gestion de la facturation et des coûts
Un *suivi* est une configuration qui permet de transmettre des événements sous forme de fichiers journaux à un compartiment Amazon S3 que vous spécifiez. CloudTrail les fichiers journaux contiennent une ou plusieurs entrées de journal. Un événement représente une demande unique provenant de n'importe quelle source et inclut des informations sur l'action demandée, la date et l'heure de l'action, les paramètres de la demande, etc. CloudTrail les fichiers journaux ne constituent pas une trace ordonnée des appels d'API publics, ils n'apparaissent donc pas dans un ordre spécifique.
L'exemple suivant montre une entrée de CloudTrail journal illustrant l'`SetContactAddress`action.
```
{
"eventVersion": "1.05",
"userIdentity": {
"accountId": "111122223333",
"accessKeyId": "AIDACKCEVSQ6C2EXAMPLE"
},
"eventTime": "2018-05-30T16:44:04Z",
"eventSource": "billingconsole.amazonaws.com",
"eventName": "SetContactAddress",
"awsRegion": "us-east-1",
"sourceIPAddress": "100.100.10.10",
"requestParameters": {
"website": "https://amazon.com",
"city": "Seattle",
"postalCode": "98108",
"fullName": "Jane Doe",
"districtOrCounty": null,
"phoneNumber": "206-555-0100",
"countryCode": "US",
"addressLine1": "Nowhere Estates",
"addressLine2": "100 Main Street",
"company": "AnyCompany",
"state": "Washington",
"addressLine3": "Anytown, USA",
"secondaryPhone": "206-555-0101"
},
"responseElements": null,
"eventID": "5923c499-063e-44ac-80fb-b40example9f",
"readOnly": false,
"eventType": "AwsConsoleAction",
"recipientAccountId": "1111-2222-3333"
}
```
### Console fiscale
L'exemple suivant montre une entrée de CloudTrail journal qui utilise l'`CreateCustomerCase`action.
```
{
"eventVersion":"1.05",
"userIdentity":{
"accountId":"111122223333",
"accessKeyId":"AIDACKCEVSQ6C2EXAMPLE"
},
"eventTime":"2018-05-30T16:44:04Z",
"eventSource":"taxconsole.amazonaws.com",
"eventName":"CreateCustomerCase",
"awsRegion":"us-east-1",
"sourceIPAddress":"100.100.10.10",
"requestParameters":{
"state":"NJ",
"exemptionType":"501C",
"exemptionCertificateList":[
{
"documentName":"ExemptionCertificate.png"
}
]
},
"responseElements":{
"caseId":"case-111122223333-iris-2022-3cd52e8dbf262242"
},
"eventID":"5923c499-063e-44ac-80fb-b40example9f",
"readOnly":false,
"eventType":"AwsConsoleAction",
"recipientAccountId":"1111-2222-3333"
}
```
### Paiements
L'exemple suivant montre une entrée de CloudTrail journal qui utilise l'`Instruments_Create`action.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Root",
"principalId": "111122223333",
"arn": "arn:aws:iam::111122223333:",
"accountId": "111122223333",
"accessKeyId": "AIDACKCEVSQ6C2EXAMPLE",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-05-01T00:00:00Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-05-01T00:00:00Z",
"eventSource": "payments.amazonaws.com",
"eventName": "Instruments_Create",
"awsRegion": "us-east-1",
"sourceIPAddress": "100.100.10.10",
"userAgent": "AWS",
"requestParameters": {
"accountId": "111122223333",
"paymentMethod": "CreditCard",
"address": "HIDDEN_DUE_TO_SECURITY_REASONS",
"accountHolderName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"cardNumber": "HIDDEN_DUE_TO_SECURITY_REASONS",
"cvv2": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationMonth": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationYear": "HIDDEN_DUE_TO_SECURITY_REASONS",
"tags": {
"Department": "Finance"
}
},
"responseElements": {
"paymentInstrumentArn": "arn:aws:payments::111122223333:payment-instrument:4251d66c-1b05-46ea-890c-6b4acf6b24ab",
"paymentInstrumentId": "111122223333",
"paymentMethod": "CreditCard",
"consent": "NotProvided",
"creationDate": "2024-05-01T00:00:00Z",
"address": "HIDDEN_DUE_TO_SECURITY_REASONS",
"accountHolderName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationMonth": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationYear": "HIDDEN_DUE_TO_SECURITY_REASONS",
"issuer": "Visa",
"tail": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"requestID": "7c7df9c2-c381-4880-a879-2b9037ce0573",
"eventID": "c251942f-6559-43d2-9dcd-2053d2a77de3",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```
# Validation de conformité pour AWS Billing and Cost Management
Des auditeurs tiers évaluent la sécurité et la conformité des AWS services dans le cadre de multiples programmes de AWS conformité. La facturation et la gestion des coûts ne font l'objet d'aucun programme de AWS conformité.
Pour une liste des AWS services concernés par des programmes de conformité spécifiques, voir [AWS Services concernés par programme de conformitéAWS](https://aws.amazon.com/compliance/services-in-scope/) . Pour des informations générales, voir Programmes de [AWS conformité Programmes AWS](https://aws.amazon.com/compliance/programs/) de .
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Lorsque vous utilisez Billing and Cost Management, votre responsabilité en matière de conformité dépend de la sensibilité de vos données, des objectifs de conformité de votre entreprise et des lois et réglementations applicables. AWS fournit les ressources suivantes pour faciliter la mise en conformité :
+ [Guides démarrage rapide de la sécurité et de la conformité](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance). Ces guides de déploiement traitent des considérations architecturales et fournissent des étapes pour déployer des environnements de base axés sur la sécurité et la conformité sur AWS.
+ AWS Ressources de [https://aws.amazon.com/compliance/resources/](https://aws.amazon.com/compliance/resources/) de conformité — Cette collection de classeurs et de guides peut s'appliquer à votre secteur d'activité et à votre région.
+ [Évaluation des ressources à l'aide des règles](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) du *guide du AWS Config développeur* : le AWS Config service évalue dans quelle mesure les configurations de vos ressources sont conformes aux pratiques internes, aux directives du secteur et aux réglementations.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Ce AWS service fournit une vue complète de l'état de votre sécurité interne, AWS ce qui vous permet de vérifier votre conformité aux normes et aux meilleures pratiques du secteur de la sécurité.
# Résilience dans AWS Billing and Cost Management
L'infrastructure AWS mondiale est construite autour des AWS régions et des zones de disponibilité. AWS Les régions fournissent plusieurs zones de disponibilité physiquement séparées et isolées, connectées par un réseau à faible latence, à haut débit et hautement redondant. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d’une zone à l’autre sans interruption. Les zones de disponibilité sont davantage disponibles, tolérantes aux pannes et ont une plus grande capacité de mise à l’échelle que les infrastructures traditionnelles à un ou plusieurs centres de données.
Pour plus d'informations sur AWS les régions et les zones de disponibilité, consultez la section [Infrastructure AWS mondiale](https://aws.amazon.com/about-aws/global-infrastructure/).
# Sécurité de l'infrastructure dans AWS Billing and Cost Management
En tant que service géré, AWS Billing and Cost Management il est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.
Vous utilisez des appels d'API AWS publiés pour accéder à Billing and Cost Management via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
# Accès AWS Billing and Cost Management via un point de terminaison d'interface (AWS PrivateLink)
Vous pouvez l'utiliser AWS PrivateLink pour créer une connexion privée entre votre VPC et. AWS Billing and Cost Management Vous pouvez accéder à Billing and Cost Management comme s'il se trouvait dans votre VPC, sans passer par une passerelle Internet, un appareil NAT, une connexion VPN ou Direct Connect une connexion. Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour accéder à Billing and Cost Management.
Vous établissez cette connexion privée en créant un *point de terminaison d’interface* optimisé par AWS PrivateLink. Nous créons une interface réseau de point de terminaison dans chaque sous-réseau que vous activez pour le point de terminaison d’interface. Il s'agit d'interfaces réseau gérées par les demandeurs qui servent de point d'entrée au trafic destiné à Billing and Cost Management.
Pour plus d'informations, consultez la section [Accès Services AWS par AWS PrivateLink le biais](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) du *AWS PrivateLink guide*.
Pour obtenir la liste complète des noms de services, consultez la section [AWS Services intégrés à AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html).
## Considérations relatives à la facturation et à la gestion des coûts
Avant de configurer un point de terminaison d'interface pour Billing and Cost Management, consultez les [considérations](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) du *AWS PrivateLink guide*.
Billing and Cost Management permet d'appeler toutes ses actions d'API via le point de terminaison de l'interface.
Les politiques de point de terminaison VPC ne sont pas prises en charge pour Billing and Cost Management. Par défaut, l'accès complet à Billing and Cost Management est autorisé via le point de terminaison de l'interface. Vous pouvez également associer un groupe de sécurité aux interfaces réseau du point de terminaison afin de contrôler le trafic vers Billing and Cost Management via le point de terminaison de l'interface.
## Création d'un point de terminaison d'interface pour Billing and Cost Management
Vous pouvez créer un point de terminaison d'interface pour Billing and Cost Management à l'aide de la console Amazon VPC ou du AWS Command Line Interface ()AWS CLI. Pour plus d’informations, consultez [Création d’un point de terminaison d’interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) dans le *Guide AWS PrivateLink *.
Créez un point de terminaison d'interface pour Billing and Cost Management en utilisant le nom de service suivant :
```
com.amazonaws.region.service-name
```
Si vous activez le DNS privé pour le point de terminaison de l'interface, vous pouvez envoyer des demandes d'API à Billing and Cost Management en utilisant son nom DNS régional par défaut. Par exemple, `service-name.us-east-1.amazonaws.com`.
## Création d’une politique de point de terminaison pour votre point de terminaison d’interface
Une politique de point de terminaison est une ressource IAM que vous pouvez attacher à votre point de terminaison d’interface. La politique de point de terminaison par défaut permet un accès complet à Billing and Cost Management via le point de terminaison de l'interface. Pour contrôler l'accès autorisé à Billing and Cost Management depuis votre VPC, associez une politique de point de terminaison personnalisée au point de terminaison de l'interface.
Une politique de point de terminaison spécifie les informations suivantes :
+ Les principaux qui peuvent effectuer des actions (Comptes AWS, utilisateurs IAM et rôles IAM).
+ Les actions qui peuvent être effectuées.
+ La ressource sur laquelle les actions peuvent être effectuées.
Pour plus d’informations, consultez [Contrôle de l’accès aux services à l’aide de politiques de point de terminaison](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) dans le *Guide AWS PrivateLink *.
**Exemple : politique de point de terminaison VPC pour l'API AWS Price List**
Voici un exemple de politique de point de terminaison personnalisée. Lorsque vous associez cette politique à votre point de terminaison d'interface, tous les utilisateurs ayant accès au point de terminaison peuvent accéder à l'API AWS Price List.
```
{
"Statement": [
{
"Action": "pricing:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "*"
}
]
}
```
Pour utiliser le téléchargement de fichiers en masse pour l'API Price List AWS PrivateLink, vous devez également activer l'accès à Amazon S3 via AWS PrivateLink. Pour plus d'informations, consultez [AWS PrivateLink Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html) dans le *guide de l'utilisateur Amazon S3*.