Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in AWS Billing
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo aspetto come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per ulteriori informazioni sui programmi di conformità applicabili Gestione dei costi e fatturazione AWS, consulta [AWS Servizi nell'ambito del programma di conformitàAWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L'utente è anche responsabile per altri fattori, tra cui la riservatezza dei dati, i requisiti dell'azienda, le leggi e le normative applicabili.
Questa documentazione consente di comprendere come applicare il modello di responsabilità condivisa quando si usa la gestione fatturazione e costi. I seguenti argomenti illustrano come configurare la fatturazione e la gestione dei costi per soddisfare gli obiettivi di sicurezza e conformità. Scopri anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse di Billing and Cost Management.
**Topics**
+ [
# Protezione dei dati in Gestione dei costi e fatturazione AWS
](data-protection.md)
+ [
# Identity and Access Management per la AWS fatturazione
](security-iam.md)
+ [
# Utilizzo di ruoli collegati ai servizi per AWS Billing
](using-service-linked-roles.md)
+ [
# Registrazione e monitoraggio Gestione dei costi e fatturazione AWS
](billing-security-logging.md)
+ [
# Convalida della conformità per Gestione dei costi e fatturazione AWS
](Billing-compliance.md)
+ [
# Resilienza in Gestione dei costi e fatturazione AWS
](disaster-recovery-resiliency.md)
+ [
# Sicurezza dell'infrastruttura in Gestione dei costi e fatturazione AWS
](infrastructure-security.md)
**Nota**
Quando utilizzi Billing Transfer come account di origine delle fatture, i dati di fatturazione e gestione dei costi vengono trasferiti a un account di gestione esterno (account di trasferimento delle fatture). L'account di trasferimento delle fatture controlla la tua esperienza di fatturazione e gestione dei costi. L'account Bill Source non può ignorare gli effetti del trasferimento della fatturazione utilizzando le policy IAM. Per riprendere il controllo dei dati di fatturazione e gestione dei costi, devi annullare il trasferimento della fatturazione. Per ulteriori informazioni, consulta [Trasferisci la gestione della fatturazione su account esterni](orgs_transfer_billing.md).
# Protezione dei dati in Gestione dei costi e fatturazione AWS
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) di di si applica alla protezione dei dati in Gestione dei costi e fatturazione AWS. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Billing and Cost Management o Servizi AWS altro utilizzando la console, l'API AWS CLI o. AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
# Identity and Access Management per la AWS fatturazione
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (che ha effettuato l'accesso) e *autorizzato* (che dispone delle autorizzazioni) a utilizzare le risorse di fatturazione. IAM è un software Servizio AWS che puoi utilizzare senza costi aggiuntivi.
Per avviare l'attivazione dell'accesso alla console di fatturazione, consulta [Tutorial IAM: concessione dell'accesso alla console di fatturazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) nella *Guida per l'utente di IAM*.
## Tipi di utenti e autorizzazioni di fatturazione
Questa tabella riepiloga le operazioni predefinite consentite in Billing per ciascun tipo di utente di fatturazione.
**Tipi di utenti e autorizzazioni di fatturazione**
| Tipo di utente | Description | Autorizzazioni di fatturazione |
| --- | --- | --- |
| Titolare dell'account | La persona o l'entità a nome della quale viene configurato il tuo account. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/security-iam.html) |
| Utente | Una persona o un'applicazione definita come un utente in un account da un titolare di account o da un utente amministrativo. Gli account possono contenere più utenti . | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/security-iam.html) |
| Proprietario dell'account di gestione dell'organizzazione | La persona o l'entità associata a un account AWS Organizations di gestione. L'account di gestione paga per AWS l'utilizzo effettuato da un account membro in un'organizzazione. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/security-iam.html) |
| Titolare dell'account membro dell'organizzazione | La persona o l'entità associata a un account AWS Organizations membro. L'account di gestione paga per AWS l'utilizzo effettuato da un account membro in un'organizzazione. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/security-iam.html) |
# Panoramica della gestione delle autorizzazioni per l'accesso
## Concessione dell'accesso ai tuoi strumenti e alle tue informazioni di fatturazione
Per impostazione predefinita, gli utenti IAM non dispongono dell'autorizzazione per accedere alla [console Gestione dei costi e fatturazione AWS](https://console.aws.amazon.com/billing/).
Quando crei un Account AWS account, inizi con un'identità di accesso chiamata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali come utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente di IAM*.
In qualità di amministratore, puoi creare ruoli nel tuo AWS account che i tuoi utenti possono assumere. Dopo aver creato i ruoli, puoi allegare loro la tua policy IAM, in base all'accesso necessario. Ad esempio, puoi concedere ad alcuni utenti accesso limitato ad alcuni dei tuoi strumenti e informazioni di fatturazione e ad altri l'accesso completo a tutti gli strumenti e le informazioni di fatturazione.
Per concedere alle entità IAM l'accesso alla console Billing and Cost Management, completa quanto segue:
+ [Attiva IAM Access](#ControllingAccessWebsite-Activate) come utente Account AWS root. Devi completare questa azione solo una volta per il tuo account.
+ Crea le tue identità IAM, ad esempio un utente, un gruppo o un ruolo.
+ Utilizza una politica AWS gestita o crea una politica gestita dai clienti che conceda l'autorizzazione ad azioni specifiche sulla console Billing and Cost Management. Per ulteriori informazioni, consulta [Utilizzo di politiche basate sull'identità per la fatturazione](security_iam_id-based-policy-examples.md#billing-permissions-ref).
Per ulteriori informazioni, consulta il [tutorial IAM: Concedi l'accesso alla console di fatturazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) nella Guida per l'utente *IAM*.
**Nota**
Le autorizzazioni per Cost Explorer; si applicano a tutti gli account e gli account membri, indipendentemente dalle policy IAM. Per ulteriori informazioni, vedere [Controllo dell'accesso a AWS Cost Explorer](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-access.html).
## Attivazione dell'accesso alla console di gestione fatturazione e costi
Per impostazione predefinita, gli utenti e i ruoli IAM non Account AWS possono accedere alla console di Billing and Cost Management. Ciò vale anche se dispongono di policy IAM che concedono l'accesso a determinate funzionalità di fatturazione. Per concedere l'accesso, l'utente Account AWS root può utilizzare l'impostazione **Activate IAM Access**.
Se lo utilizzi AWS Organizations, attiva questa impostazione in ogni account di gestione o membro in cui desideri consentire l'accesso degli utenti e dei ruoli IAM alla console di Billing and Cost Management. Per gli account membro creati, questa opzione sarà abilitata per impostazione predefinita. Per ulteriori informazioni, consulta [Attivazione dell'accesso IAM alla console Gestione dei costi e fatturazione AWS](billing-getting-started.md#activating-iam-access-to-billing-console).
Nella console di fatturazione, l'impostazione **Attiva IAM Access** controlla l'accesso alle seguenti pagine:
+ Home
+ Budget
+ Report di budget
+ AWS Rapporti sui costi e sull'utilizzo
+ Categorie di costo
+ Tag di allocazione dei costi
+ Fatture
+ Pagamenti
+ Crediti
+ Ordine di acquisto
+ Preferenze di fatturazione
+ Metodi di pagamento
+ Impostazioni fiscali
+ Esploratore dei costi
+ Report
+ Suggerimenti sul corretto dimensionamento
+ Suggerimenti per i Savings Plans
+ Report di utilizzo di Savings Plans
+ Report di copertura di Savings Plans
+ Panoramica delle prenotazioni
+ Suggerimenti per le prenotazioni
+ Report di utilizzo delle prenotazioni
+ Report di copertura delle prenotazioni
+ Preferenze
**Importante**
La sola attivazione dell'accesso IAM non concede ai ruoli le autorizzazioni necessarie per queste pagine della console di Billing and Cost Management. Oltre ad attivare l'accesso IAM, devi anche collegare le policy IAM richieste a tali ruoli. Per ulteriori informazioni, consulta [Utilizzo di politiche basate sull'identità per la fatturazione](security_iam_id-based-policy-examples.md#billing-permissions-ref).
L'impostazione **Attivazione dell'accesso IAM** non controlla l'accesso alle seguenti pagine e risorse:
+ Le pagine della console per AWS Cost Anomaly Detection, panoramica dei Savings Plans, inventario Savings Plans, Purchase Savings Plans e carrello Savings Plans
+ La visualizzazione Gestione dei costi in AWS Console Mobile Application
+ L' APIs SDK per la fatturazione e la gestione dei costi (Cost AWS Explorer AWS , Budgets e Cost AWS and Usage Reports) APIs
+ AWS Systems Manager Gestore delle applicazioni
+ La console interna Calcolatore dei prezzi AWS
+ La funzionalità di analisi dei costi in Amazon Q
+ La AWS Activate Console
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi all'identità e all' AWS accesso alla fatturazione](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona la AWS fatturazione con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Politica basata sull'identità con fatturazione AWS](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come funziona la AWS fatturazione con IAM
[La fatturazione si integra con il servizio AWS Identity and Access Management (IAM) in modo da poter controllare chi nella propria organizzazione ha accesso a pagine specifiche sulla console di fatturazione.](https://console.aws.amazon.com/cost-management/home) Puoi controllare l'accesso alle fatture e informazioni dettagliate su addebiti e attività dell'account, budget, metodi di pagamento e crediti.
*Per ulteriori informazioni su come attivare l'accesso alla Billing and Cost Management Console, [consulta Tutorial: Delegate Access to the Billing](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) Console nella IAM User Guide.*
Prima di utilizzare IAM per gestire l'accesso alla fatturazione, scopri quali funzionalità IAM sono disponibili per l'uso con Billing.
**Funzionalità IAM che puoi utilizzare con Billing AWS**
| Funzionalità IAM | Supporto per la fatturazione |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | No |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Parziale |
| [Chiavi di condizione delle policy](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | Parziale |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Inoltro delle sessioni di accesso (FAS)](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | Sì |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | No |
*Per avere una visione di alto livello di come la fatturazione e gli altri AWS servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) User Guide.*
## Politiche di fatturazione basate sull'identità
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di politiche basate sull'identità per la fatturazione
Per visualizzare esempi di politiche di fatturazione basate sull'identità, consulta. [Politica basata sull'identità con fatturazione AWS](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno di Billing
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Azioni politiche per la fatturazione
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
*Per visualizzare un elenco delle azioni di fatturazione, consulta [Azioni definite dalla AWS fatturazione](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html) nel Service Authorization Reference.*
Le azioni politiche in Billing utilizzano il seguente prefisso prima dell'azione:
```
billing
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"billing:action1",
"billing:action2"
]
```
Per visualizzare esempi di politiche basate sull'identità di fatturazione, consulta. [Politica basata sull'identità con fatturazione AWS](security_iam_id-based-policy-examples.md)
## Risorse politiche per la fatturazione
**Supporto risorse policy:** Parziale
Le risorse relative alle policy sono supportate solo per i monitor, gli abbonamenti e le categorie di costo.
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Per visualizzare un elenco dei tipi di risorse AWS Cost Explorer, vedere [Azioni, risorse e chiavi di condizione per AWS Cost Explorer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostexplorerservice.html) nel *Service Authorization Reference*.
Per visualizzare esempi di politiche basate sull'identità di fatturazione, vedere. [Politica basata sull'identità con fatturazione AWS](security_iam_id-based-policy-examples.md)
## Chiavi relative alle condizioni delle politiche per la fatturazione
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per visualizzare un elenco delle chiavi, delle azioni e delle risorse relative alle condizioni di fatturazione, consulta [Chiavi condizionali per la AWS fatturazione](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html) nel *Service Authorization* Reference.
Per visualizzare esempi di politiche basate sull'identità di fatturazione, consulta. [Politica basata sull'identità con fatturazione AWS](security_iam_id-based-policy-examples.md)
## Accedete agli elenchi di controllo () in Billing ACLs
**Supporti ACLs: No**
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## Controllo degli accessi basato sugli attributi (ABAC) con fatturazione
**Supporta ABAC (tag nelle policy):** parzialmente
Gli ABAC (tag nelle politiche) sono supportati solo per monitor, abbonamenti e categorie di costo.
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. È possibile allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
## Utilizzo di credenziali temporanee con la fatturazione
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Sessioni di accesso diretto per la fatturazione
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale chiamante e Servizio AWS, in combinazione con la richiesta, di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per la fatturazione
**Supporta i ruoli di servizio:** sì
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe interrompere la funzionalità di fatturazione. Modifica i ruoli di servizio solo quando Billing fornisce indicazioni in tal senso.
## Ruoli collegati ai servizi per la fatturazione
**Supporta i ruoli collegati ai servizi:** no
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi, consulta [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova un servizio nella tabella che include un `Yes` nella colonna **Service-linked role (Ruolo collegato ai servizi)**. Scegli il collegamento **Sì** per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
# Politica basata sull'identità con fatturazione AWS
Per impostazione predefinita, gli utenti e i ruoli non sono autorizzati a creare o modificare risorse di fatturazione. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da Billing, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione per la AWS fatturazione](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html) nel riferimento di autorizzazione del *servizio*.
**Contents**
+ [
## Best practice per le policy
](#security_iam_service-with-iam-policy-best-practices)
+ [
## Utilizzo della console di fatturazione
](#security_iam_id-based-policy-examples-console)
+ [
## Consentire agli utenti di visualizzare le loro autorizzazioni
](#security_iam_id-based-policy-examples-view-own-permissions)
+ [
## Utilizzo di politiche basate sull'identità per la fatturazione
](#billing-permissions-ref)
+ [
### AWS Azioni della console di fatturazione
](#user-permissions)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse di fatturazione nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console di fatturazione
Per accedere alla console di AWS fatturazione, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse di fatturazione presenti nel tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l'API. AWS Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Puoi trovare i dettagli di accesso, come le autorizzazioni necessarie per abilitare la console di AWS fatturazione, l'accesso come amministratore e l'accesso in sola lettura, nella sezione. [AWS politiche gestite](managed-policies.md)
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Utilizzo di politiche basate sull'identità per la fatturazione
**Nota**
Le seguenti azioni AWS Identity and Access Management (IAM) hanno raggiunto la fine del supporto standard a luglio 2023:
Spazio dei nomi `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Se utilizzi AWS Organizations, puoi utilizzare gli [script Bulk Policy Migrator o Bulk Policy Migrator](migrate-iam-permissions.md) per aggiornare le politiche dal tuo account di pagamento. Puoi anche utilizzare il [riferimento alla mappatura dalle vecchie operazioni alle operazioni granulari](migrate-granularaccess-iam-mapping-reference.md) per verificare le operazioni IAM da aggiungere.
Se ne hai AWS Organizations creato uno Account AWS o ne fai parte a partire dal 6 marzo 2023 alle 11:00 (PDT), le azioni dettagliate sono già in vigore nella tua organizzazione.
**Importante**
Oltre alle policy IAM, è necessario concedere a IAM l'accesso alla console di fatturazione e gestione dei costi sulla pagina della console [Impostazioni dell'account](https://console.aws.amazon.com/billing/home#/account).
Per ulteriori informazioni, consulta i seguenti argomenti:
[Attivazione dell'accesso alla console di gestione fatturazione e costi](control-access-billing.md#ControllingAccessWebsite-Activate)
[Tutorial IAM: Concessione dell'accesso alla console di fatturazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) nella *Guida per utenti IAM*
Utilizza questa sezione per vedere come un amministratore di account con politiche basate sull'identità può allegare politiche di autorizzazione alle identità IAM (ruoli e gruppi) e concedere le autorizzazioni per eseguire operazioni sulle risorse di fatturazione.
[Per ulteriori informazioni sugli utenti Account AWS e sugli utenti, consulta Che cos'è IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_Introduction.html) nella *Guida per l'utente di IAM*.
Per informazioni su come aggiornare le politiche gestite dai clienti, consulta [Modifica delle politiche gestite dai clienti (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console) nella *Guida per l'utente IAM*.
### AWS Azioni della console di fatturazione
Questa tabella riassume le autorizzazioni che garantiscono l'accesso alle informazioni e agli strumenti della console di fatturazione. Per esempi di policy che utilizzano queste autorizzazioni, consulta [AWS Esempi di politiche di fatturazione](billing-example-policies.md).
Per un elenco delle politiche di azione per la console AWS Cost Management, consulta [AWS Cost Management action policy](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#user-permissions) nella Cost *Management User AWS Guide*.
| Nome autorizzazione | Description |
| --- | --- |
| aws-portal:ViewBilling | Concede l'autorizzazione a visualizzare le pagine della console di Billing and Cost Management. |
| aws-portal:ModifyBilling | Concede l'autorizzazione a modificare le seguenti pagine della console di Billing and Cost Management: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/security_iam_id-based-policy-examples.html) Per permettere agli utenti IAM; di modificare queste pagine della console, devi installare sia `ModifyBilling` sia `ViewBilling`. Per un esempio di policy, consulta [Permettere agli utenti IAM di modificare le informazioni di fatturazione](billing-example-policies.md#example-billing-deny-modifybilling). |
| aws-portal:ViewAccount | [Concede l'autorizzazione a visualizzare le impostazioni dell'account.](https://console.aws.amazon.com/billing/home#/account) |
| aws-portal:ModifyAccount | Concede l'autorizzazione a modificare le impostazioni [dell'account](https://console.aws.amazon.com/billing/home#/account). Per permettere agli utenti IAM; di modificare le impostazioni dell'account, devi installare sia `ModifyAccount` sia `ViewAccount`. Per un esempio di policy che rifiuta esplicitamente a un utente IAM l'accesso alla pagina della console, **Impostazioni account**, consulta [Nega l'accesso alle impostazioni dell'account, ma permette l'accesso completo a tutte le altre informazioni di fatturazione e utilizzo](billing-example-policies.md#example-billing-deny-modifyaccount). |
| aws-portal:ViewPaymentMethods | Concede l'autorizzazione a visualizzare i [metodi di pagamento](https://console.aws.amazon.com/billing/home#/paymentmethods). |
| aws-portal:ModifyPaymentMethods | Concede l'autorizzazione a modificare i [metodi di pagamento](https://console.aws.amazon.com/billing/home#/paymentmethods). Per permettere agli utenti di modificare i metodi di pagamento, devi installare sia `ModifyPaymentMethods` sia `ViewPaymentMethods`. |
| billing:ListBillingViews | Concede l'autorizzazione a ottenere un elenco delle visualizzazioni di fatturazione disponibili. Ciò include le visualizzazioni di fatturazione personalizzate e le visualizzazioni di fatturazione corrispondenti ai gruppi di fatturazione proforma. Per ulteriori informazioni sulle visualizzazioni di fatturazione personalizzate, consulta [Controllo dell'accesso ai dati di gestione dei costi](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-view.html) con Billing View. Per ulteriori informazioni sulla visualizzazione dei dettagli del gruppo di fatturazione, consulta [Visualizzazione dei dettagli del gruppo di fatturazione](https://docs.aws.amazon.com/billingconductor/latest/userguide/viewing-abc.html) nella *Guida per l'utente di Facilitatore della fatturazione AWS *. |
| billing:CreateBillingView | Concede l'autorizzazione a creare visualizzazioni di fatturazione personalizzate. Per un esempio di politica, consulta [Consentire agli utenti di creare, gestire e condividere visualizzazioni di fatturazione personalizzate](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view). |
| billing:UpdateBillingView | Concede l'autorizzazione ad aggiornare le visualizzazioni di fatturazione personalizzate. Per un esempio di politica, consulta [Consentire agli utenti di creare, gestire e condividere visualizzazioni di fatturazione personalizzate](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view). |
| billing:DeleteBillingView | Concede l'autorizzazione a eliminare le visualizzazioni di fatturazione personalizzate. Per un esempio di politica, consulta [Consentire agli utenti di creare, gestire e condividere visualizzazioni di fatturazione personalizzate](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view). |
| billing:GetBillingView | Concede l'autorizzazione a ottenere la definizione delle visualizzazioni di fatturazione. Per un esempio di politica, consulta [Consentire agli utenti di creare, gestire e condividere visualizzazioni di fatturazione personalizzate](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view). |
| sustainability:GetCarbonFootprintSummary | Concede l'autorizzazione a visualizzare il AWS Customer Carbon Footprint Tool e i dati. È accessibile dalla pagina AWS Cost and Usage Reports della console Billing and Cost Management. Per un esempio di policy, consulta [Permetti agli utenti IAM di visualizzare le informazioni di fatturazione e il report sull'impronta di carbonio](billing-example-policies.md#example-ccft-policy). |
| cur:DescribeReportDefinitions | Concede l'autorizzazione a visualizzare i report AWS sui costi e sull'utilizzo. AWS Le autorizzazioni Cost and Usage Reports si applicano a tutti i report creati utilizzando l'API [AWS Cost and Usage Reports Service](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) e la console Billing and Cost Management. Se crei i report tramite la console di Gestione costi e fatturazione, ti consigliamo di aggiornare le autorizzazioni per gli utenti IAM. Se non si aggiornano le autorizzazioni, gli utenti non avranno più accesso a visualizzazione, modifica e rimozione di report nella pagina dei report della console. Per un esempio di policy, consulta [Permetti agli utenti IAM di accedere alla pagina della console Report](billing-example-policies.md#example-billing-view-reports). |
| cur:PutReportDefinition | Concede l'autorizzazione a creare report AWS sui costi e sull'utilizzo. AWS Le autorizzazioni Cost and Usage Reports si applicano a tutti i report creati utilizzando l'API [AWS Cost and Usage Reports Service](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) e la console Billing and Cost Management. Se crei i report tramite la console di Gestione costi e fatturazione, ti consigliamo di aggiornare le autorizzazioni per gli utenti IAM. Se non si aggiornano le autorizzazioni, gli utenti non avranno più accesso a visualizzazione, modifica e rimozione di report nella pagina dei report della console. Per un esempio di policy, consulta [Permetti agli utenti IAM di accedere alla pagina della console Report](billing-example-policies.md#example-billing-view-reports). |
| cur:DeleteReportDefinition | Concede l'autorizzazione a eliminare i report AWS sui costi e sull'utilizzo. AWS Le autorizzazioni Cost and Usage Reports si applicano a tutti i report creati utilizzando l'API [AWS Cost and Usage Reports Service](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) e la console Billing and Cost Management. Se crei i report tramite la console di Gestione costi e fatturazione, ti consigliamo di aggiornare le autorizzazioni per gli utenti IAM. Se non si aggiornano le autorizzazioni, gli utenti non avranno più accesso a visualizzazione, modifica e rimozione di report nella pagina dei report della console. Per un esempio di policy, consulta [Crea, visualizza, modifica o elimina i report AWS sui costi e sull'utilizzo](billing-example-policies.md#example-policy-report-definition). |
| cur:ModifyReportDefinition | Concede l'autorizzazione a modificare i report AWS sui costi e sull'utilizzo. AWS Le autorizzazioni Cost and Usage Reports si applicano a tutti i report creati utilizzando l'API [AWS Cost and Usage Reports Service](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) e la console Billing and Cost Management. Se crei i report tramite la console di Gestione costi e fatturazione, ti consigliamo di aggiornare le autorizzazioni per gli utenti IAM. Se non si aggiornano le autorizzazioni, gli utenti non avranno più accesso a visualizzazione, modifica e rimozione di report nella pagina dei report della console. Per un esempio di policy, consulta [Crea, visualizza, modifica o elimina i report AWS sui costi e sull'utilizzo](billing-example-policies.md#example-policy-report-definition). |
| ce:CreateCostCategoryDefinition | Concede le autorizzazioni per creare categorie di costi. Per un esempio di policy, consulta [Visualizza e gestisci le categorie di costo](billing-example-policies.md#example-policy-cc-api). |
| ce:DeleteCostCategoryDefinition | Concede le autorizzazioni per eliminare le categorie di costi. Per un esempio di policy, consulta [Visualizza e gestisci le categorie di costo](billing-example-policies.md#example-policy-cc-api). |
| ce:DescribeCostCategoryDefinition | Concede le autorizzazioni per visualizzare le categorie di costi. Per un esempio di policy, consulta [Visualizza e gestisci le categorie di costo](billing-example-policies.md#example-policy-cc-api). |
| ce:ListCostCategoryDefinitions | Concede le autorizzazioni per elencare le categorie di costi. Per un esempio di policy, consulta [Visualizza e gestisci le categorie di costo](billing-example-policies.md#example-policy-cc-api). |
| ce:UpdateCostCategoryDefinition | Concede le autorizzazioni per aggiornare le categorie di costi. Per un esempio di policy, consulta [Visualizza e gestisci le categorie di costo](billing-example-policies.md#example-policy-cc-api). |
| aws-portal:ViewUsage | [Concede l'autorizzazione a visualizzare i report di utilizzo AWS .](https://console.aws.amazon.com/billing/home#/reports) Per permettere agli utenti IAM di visualizzare i report di utilizzo, devi permettere sia `ViewUsage` sia `ViewBilling`. Per un esempio di policy, consulta [Permetti agli utenti IAM di accedere alla pagina della console Report](billing-example-policies.md#example-billing-view-reports). |
| payments:AcceptFinancingApplicationTerms | Consente agli utenti IAM di accettare le condizioni fornite dal finanziatore. Gli utenti sono tenuti a fornire i dati del proprio conto bancario per il rimborso e a firmare i documenti legali forniti dall'istituto di credito. |
| payments:CreateFinancingApplication | Consente agli utenti IAM di richiedere un nuovo prestito finanziario e di fare riferimento all'opzione di finanziamento scelta. |
| payments:GetFinancingApplication | Consente agli utenti IAM di recuperare i dettagli di una richiesta di finanziamento. Ad esempio, lo stato, i limiti, le condizioni e le informazioni sull'istituto di credito. |
| payments:GetFinancingLine | Consente agli utenti IAM di recuperare i dettagli di un prestito di finanziamento. Ad esempio, lo stato e i saldi. |
| payments:GetFinancingLineWithdrawal | Consente agli utenti IAM di recuperare i dettagli del prelievo. Ad esempio, saldi e rimborsi. |
| payments:GetFinancingOption | Consente agli utenti IAM di recuperare i dettagli di una specifica opzione di finanziamento. |
| payments:ListFinancingApplications | Consente agli utenti IAM di recuperare gli identificatori per tutte le applicazioni di finanziamento, presso tutti gli istituti di credito. |
| payments:ListFinancingLines | Consente agli utenti IAM di recuperare gli identificatori per tutti i prestiti di finanziamento, presso tutti gli istituti di credito. |
| payments:ListFinancingLineWithdrawals | Consente agli utenti IAM di recuperare tutti i prelievi esistenti per un determinato prestito. |
| payments:ListTagsForResource | Consenti o nega agli utenti IAM l'autorizzazione a visualizzare i tag per un metodo di pagamento. |
| payments:TagResource | Consenti o nega agli utenti IAM l'autorizzazione ad aggiungere tag per un metodo di pagamento. |
| payments:UntagResource | Consenti o nega agli utenti IAM l'autorizzazione a rimuovere i tag da un metodo di pagamento. |
| payments:UpdateFinancingApplication | Consenti agli utenti IAM di modificare una richiesta di finanziamento e inviare le informazioni aggiuntive richieste dall'istituto di credito. |
| payments:ListPaymentInstruments | Consenti o nega agli utenti IAM l'autorizzazione a elencare i metodi di pagamento registrati. |
| payments:UpdatePaymentInstrument | Consenti o nega agli utenti IAM l'autorizzazione ad aggiornare i loro metodi di pagamento. |
| pricing:DescribeServices | Concede l'autorizzazione a visualizzare i prodotti AWS di servizio e i prezzi tramite l'API AWS Price List Service. Per consentire agli utenti IAM di utilizzare l'API AWS Price List Service, devi consentire `DescribeServices``GetAttributeValues`, e`GetProducts`. Per un esempio di policy, consulta [Individuazione di prodotti e prezzi](billing-example-policies.md#example-policy-pe-api). |
| pricing:GetAttributeValues | Concede l'autorizzazione a visualizzare i prodotti AWS di servizio e i prezzi tramite l'API AWS Price List Service. Per consentire agli utenti IAM di utilizzare l'API AWS Price List Service, devi consentire `DescribeServices``GetAttributeValues`, e`GetProducts`. Per un esempio di policy, consulta [Individuazione di prodotti e prezzi](billing-example-policies.md#example-policy-pe-api). |
| pricing:GetProducts | Concede l'autorizzazione a visualizzare i prodotti AWS di servizio e i prezzi tramite l'API AWS Price List Service. Per consentire agli utenti IAM di utilizzare l'API AWS Price List Service, devi consentire `DescribeServices``GetAttributeValues`, e`GetProducts`. Per un esempio di policy, consulta [Individuazione di prodotti e prezzi](billing-example-policies.md#example-policy-pe-api). |
| purchase-orders:ViewPurchaseOrders | Concede l'autorizzazione a visualizzare [gli ordini di acquisto](manage-purchaseorders.md). Per un esempio di policy, consulta [Visualizzare e gestire gli ordini di acquisto](billing-example-policies.md#example-view-manage-purchaseorders). |
| purchase-orders:ModifyPurchaseOrders | Concede l'autorizzazione a modificare gli ordini di [acquisto](manage-purchaseorders.md). Per un esempio di policy, consulta [Visualizzare e gestire gli ordini di acquisto](billing-example-policies.md#example-view-manage-purchaseorders). |
| tax:GetExemptions | Concede l'autorizzazione per l'accesso in sola lettura alla visualizzazione delle esenzioni e dei tipi di esenzione tramite la console fiscale. Per un esempio di policy, consulta [Consenti agli utenti IAM di visualizzare le esenzioni fiscali statunitensi e creare casi Supporto](billing-example-policies.md#example-awstaxexemption). |
| tax:UpdateExemptions | Concede l'autorizzazione a caricare un'esenzione nella console delle esenzioni fiscali degli Stati Uniti. Per un esempio di policy, consulta [Consenti agli utenti IAM di visualizzare le esenzioni fiscali statunitensi e creare casi Supporto](billing-example-policies.md#example-awstaxexemption). |
| support:CreateCase | Concede l'autorizzazione a presentare le richieste di assistenza, necessaria per caricare la console sull'esenzione dalle esenzioni fiscali. Per un esempio di policy, consulta [Consenti agli utenti IAM di visualizzare le esenzioni fiscali statunitensi e creare casi Supporto](billing-example-policies.md#example-awstaxexemption). |
| support:AddAttachmentsToSet | Concede l'autorizzazione ad allegare documenti ai casi di supporto necessari per caricare i certificati di esenzione sulla console di esenzione fiscale. Per un esempio di policy, consulta [Consenti agli utenti IAM di visualizzare le esenzioni fiscali statunitensi e creare casi Supporto](billing-example-policies.md#example-awstaxexemption). |
| customer-verification:GetCustomerVerificationEligibility | (Solo per i clienti con un indirizzo di fatturazione o contatto indiano) Concede l'autorizzazione a recuperare l'idoneità alla verifica del cliente. |
| customer-verification:GetCustomerVerificationDetails | (Solo per i clienti con un indirizzo di fatturazione o contatto indiano) Concede l'autorizzazione a recuperare i dati di verifica del cliente. |
| customer-verification:CreateCustomerVerificationDetails | (Solo per i clienti con un indirizzo di fatturazione o contatto indiano) Concede l'autorizzazione a creare dati di verifica dei clienti. |
| customer-verification:UpdateCustomerVerificationDetails | (Solo per i clienti con un indirizzo di fatturazione o contatto indiano) Concede l'autorizzazione ad aggiornare i dati di verifica del cliente. |
| mapcredit:ListAssociatedPrograms | Concede l'autorizzazione a visualizzare Migration Acceleration Program gli accordi e la dashboard associati per l'account del pagatore. |
| mapcredit:ListQuarterSpend | Concede l'autorizzazione a visualizzare la spesa Migration Acceleration Program idonea per l'account del pagatore. |
| mapcredit:ListQuarterCredits | Concede l'autorizzazione a visualizzare i Migration Acceleration Program crediti per l'account del pagatore. |
| invoicing:BatchGetInvoiceProfile | Concede l'autorizzazione per l'accesso in sola lettura alla visualizzazione dei profili di fatturazione per la configurazione delle fatture. AWS |
| invoicing:CreateInvoiceUnit | Concede l'autorizzazione a creare unità di fatturazione per la configurazione delle fatture. AWS |
| invoicing:DeleteInvoiceUnit | Concede l'autorizzazione a eliminare le unità di fattura per la configurazione AWS della fattura. |
| invoicing:GetInvoiceUnit | Concede l'autorizzazione per l'accesso in sola lettura alla visualizzazione delle unità di fattura per la configurazione delle fatture. AWS |
| invoicing:ListInvoiceUnits | Concede l'autorizzazione a elencare tutte le unità di fatturazione per la configurazione della fattura. AWS |
| invoicing:ListTagsForResource | Consenti o nega agli utenti IAM l'autorizzazione a visualizzare i tag per un'unità di fatturazione per la configurazione delle AWS fatture. |
| invoicing:TagResource | Consenti o nega agli utenti IAM l'autorizzazione ad aggiungere tag per un'unità di fatturazione per la configurazione delle AWS fatture. |
| invoicing:UntagResource | Consenti o nega agli utenti IAM l'autorizzazione a rimuovere i tag da un'unità di fatturazione per la configurazione delle AWS fatture. |
| invoicing:UpdateInvoiceUnit | Concede le autorizzazioni di modifica per aggiornare le unità di fattura per AWS la configurazione della fattura. |
# AWS Esempi di politiche di fatturazione
**Nota**
Le seguenti azioni AWS Identity and Access Management (IAM) hanno raggiunto la fine del supporto standard a luglio 2023:
Spazio dei nomi `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Se utilizzi AWS Organizations, puoi utilizzare gli [script Bulk Policy Migrator o Bulk Policy Migrator](migrate-iam-permissions.md) per aggiornare le politiche dal tuo account di pagamento. Puoi anche utilizzare il [riferimento alla mappatura dalle vecchie operazioni alle operazioni granulari](migrate-granularaccess-iam-mapping-reference.md) per verificare le operazioni IAM da aggiungere.
Se ne hai AWS Organizations creato uno Account AWS o ne fai parte a partire dal 6 marzo 2023 alle 11:00 (PDT), le azioni dettagliate sono già in vigore nella tua organizzazione.
**Importante**
Queste policy richiedono che attivi l'accesso degli utenti IAM alla console di Gestione costi e fatturazione nella pagina della console [Account Settings](https://console.aws.amazon.com/billing/home#/account) (Impostazioni account). Per ulteriori informazioni, consulta [Attivazione dell'accesso alla console di gestione fatturazione e costi](control-access-billing.md#ControllingAccessWebsite-Activate).
Per utilizzare AWS le politiche gestite, consulta. [AWS politiche gestite](managed-policies.md)
Questo argomento contiene policy di esempio che puoi collegare al tuo gruppo o IAM per controllare l'accesso agli strumenti e alle informazioni di fatturazione. Alle policy IAM per la gestione fatturazione e costi si applicano le seguenti regole di base:
+ `Version` è sempre `2012-10-17 `.
+ `Effect` è sempre `Allow` o `Deny`.
+ `Action` è il nome dell'operazione o un carattere jolly (`*`).
Il prefisso dell'azione è `budgets` per AWS Budgets, `cur` per AWS Cost and Usage Reports, `aws-portal` per AWS Billing o per Cost `ce` Explorer.
+ `Resource`è sempre `*` utilizzato per la fatturazione. AWS
Per operazioni eseguite su una risorsa `budget`, specificare l'Amazon Resource Name (ARN) del budget.
+ È possibile avere più dichiarazioni in una policy.
Per un elenco delle politiche di azione per la console AWS Cost Management, consulta gli [esempi di policy di AWS Cost Management](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html) nella *guida per l'utente di AWS Cost Management*.
**Topics**
+ [
## Permetti agli utenti IAM di visualizzare le tue informazioni di fatturazione
](#example-billing-view-billing-only)
+ [
## Permetti agli utenti IAM di visualizzare le informazioni di fatturazione e il report sull'impronta di carbonio
](#example-ccft-policy)
+ [
## Permetti agli utenti IAM di accedere alla pagina della console Report
](#example-billing-view-reports)
+ [
## Negare l'accesso degli utenti IAM alla console di Gestione costi e fatturazione
](#example-billing-deny-all)
+ [
## Nega l'accesso ai widget relativi ai costi e all'utilizzo della AWS Console per gli account dei membri
](#example-billing-deny-widget)
+ [
## Negate l'accesso al widget relativo ai costi e all'utilizzo della AWS Console a utenti e ruoli IAM specifici
](#example-billing-deny-ce)
+ [
## Permetti agli utenti IAM di visualizzare le informazioni di fatturazione, ma nega l'accesso al report sull'impronta di carbonio
](#example-ccft-policy-deny)
+ [
## Permetti agli utenti IAM di accedere ai report sull'impronta di carbonio, ma nega l'accesso alle informazioni di fatturazione
](#example-ccft-policy-allow)
+ [
## Consenti l'accesso completo ai AWS servizi ma impedisci agli utenti IAM l'accesso alle console di Billing and Cost Management
](#ExampleAllowAllDenyBilling)
+ [
## Concessione agli utenti IAM di visualizzare la console di Gestione costi e fatturazione ad eccezione della pagina Impostazioni account
](#example-billing-read-only)
+ [
## Permettere agli utenti IAM di modificare le informazioni di fatturazione
](#example-billing-deny-modifybilling)
+ [
## Nega l'accesso alle impostazioni dell'account, ma permette l'accesso completo a tutte le altre informazioni di fatturazione e utilizzo
](#example-billing-deny-modifyaccount)
+ [
## Archivia i report in un bucket Amazon S3
](#example-billing-s3-bucket)
+ [
## Individuazione di prodotti e prezzi
](#example-policy-pe-api)
+ [
## Visualizzazione di costi e utilizzo
](#example-policy-ce-api)
+ [
## Abilita e disabilita AWS le regioni
](#enable-disable-regions)
+ [
## Visualizza e gestisci le categorie di costo
](#example-policy-cc-api)
+ [
## Crea, visualizza, modifica o elimina i report AWS sui costi e sull'utilizzo
](#example-policy-report-definition)
+ [
## Visualizzare e gestire gli ordini di acquisto
](#example-view-manage-purchaseorders)
+ [
## Visualizzazione e aggiornamento della pagina delle preferenze di Cost Explorer
](#example-view-update-ce)
+ [
## Visualizzazione, creazione, aggiornamento ed eliminazione tramite la pagina dei report di Cost Explorer
](#example-view-ce-reports)
+ [
## Visualizzare, creare, aggiornare ed eliminare gli avvisi relativi ai Savings Plans
](#example-view-ce-expiration)
+ [
## Consenti l'accesso in sola lettura a AWS Cost Anomaly Detection
](#example-policy-ce-ad)
+ [
## Consenti a AWS Budgets di applicare le policy IAM e SCPs
](#example-budgets-IAM-SCP)
+ [
## Consenti a AWS Budgets di applicare le policy IAM e gli SCP e di scegliere come target le istanze EC2 e RDS
](#example-budgets-applySCP)
+ [
## Consenti agli utenti IAM di visualizzare le esenzioni fiscali statunitensi e creare casi Supporto
](#example-awstaxexemption)
+ [
## (Per i clienti con un indirizzo di fatturazione o contatto indiano) Consenti l'accesso in sola lettura alle informazioni di verifica della clientela
](#example-aispl-verification)
+ [
## (Per i clienti con un indirizzo di fatturazione o contatto indiano) Visualizza, crea e aggiorna le informazioni di verifica della clientela
](#example-aispl-verification-view)
+ [
## Visualizza le AWS Migration Acceleration Program informazioni nella console di fatturazione
](#read-only-migration-acceleration-program-policy)
+ [
## Consenti l'accesso alla configurazione AWS delle fatture nella console di fatturazione
](#invoice-config-policy)
## Permetti agli utenti IAM di visualizzare le tue informazioni di fatturazione
Per permettere a un utente IAM di visualizzare le tue informazioni di fatturazione senza che l'utente IAM possa accedere a informazioni sensibili dell'account, utilizza una policy simile alla seguente policy di esempio. Tale policy impedisce agli utenti di accedere alla password e ai report sulle attività dell'account. Questa policy permette agli utenti IAM di visualizzare le seguenti pagine della console gestione fatturazione e costi, senza che possano accedere alle pagine della console **Impostazioni account** o **Report**:
+ **Dashboard (Pannello di controllo)**
+ **Cost Explorer**
+ **Fatture**
+ **Ordini e fatture**
+ **Fatturazione consolidata**
+ **Preferenze**
+ **Crediti**
+ **Pagamento avanzato**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
}
]
}
```
------
## Permetti agli utenti IAM di visualizzare le informazioni di fatturazione e il report sull'impronta di carbonio
Per permettere a un utente IAM di visualizzare sia le informazioni di fatturazione che i report sull'impronta di carbonio, utilizza una policy simile all'esempio seguente. Questa policy impedisce agli utenti di accedere alla password e ai report sulle attività dell'account. Questa policy permette agli utenti IAM di visualizzare le seguenti pagine della console gestione fatturazione e costi, senza che possano accedere alle pagine della console **Impostazioni account** o **Report**:
+ **Dashboard (Pannello di controllo)**
+ **Cost Explorer**
+ **Fatture**
+ **Ordini e fatture**
+ **Fatturazione consolidata**
+ **Preferenze**
+ **Crediti**
+ **Pagamento avanzato**
+ **La sezione AWS Customer Carbon Footprint Tool della pagina dei report sui AWS costi e sull'utilizzo**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Allow",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## Permetti agli utenti IAM di accedere alla pagina della console Report
Per permettere agli utenti IAM di accedere alla pagina della console **Report** e di visualizzare i report di utilizzo che contengono le informazioni sulle attività dell'account, utilizza una policy simile a questa policy di esempio.
Per le definizioni di ogni operazione, consulta [AWS Azioni della console di fatturazione](security_iam_id-based-policy-examples.md#user-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewUsage",
"aws-portal:ViewBilling",
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*"
}
]
}
```
------
## Negare l'accesso degli utenti IAM alla console di Gestione costi e fatturazione
Per negare esplicitamente a un utente IAM di accedere a tutte le pagine della console di Gestione costi e fatturazione, utilizza una policy simile a questa di esempio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "aws-portal:*",
"Resource": "*"
}
]
}
```
------
## Nega l'accesso ai widget relativi ai costi e all'utilizzo della AWS Console per gli account dei membri
Per limitare l'accesso dell'account membro (collegato) ai dati sui costi e sull'utilizzo, utilizza il conto di gestione (entità pagante) per accedere alla scheda delle preferenze di Cost Explorer e deseleziona **Linked Account Access (Accesso account collegati)**. Ciò impedirà l'accesso ai dati su costi e utilizzo dalla console Cost Explorer (AWS Cost Management), dall'API Cost Explorer e dal widget di costo e utilizzo della home page della AWS Console indipendentemente dalle azioni IAM dell'utente o del ruolo IAM di un account membro.
## Negate l'accesso al widget relativo ai costi e all'utilizzo della AWS Console a utenti e ruoli IAM specifici
Per negare l'accesso ai widget relativi ai costi e all'utilizzo della AWS console a utenti e ruoli IAM specifici, utilizza la politica di autorizzazione riportata di seguito.
**Nota**
L'aggiunta di questa policy a un utente o ruolo IAM negherà agli utenti l'accesso alla console Cost Explorer (AWS Cost Management) e anche a Cost Explorer APIs .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ce:*",
"Resource": "*"
}
]
}
```
------
## Permetti agli utenti IAM di visualizzare le informazioni di fatturazione, ma nega l'accesso al report sull'impronta di carbonio
Per consentire a un utente IAM di accedere a entrambe le informazioni di fatturazione nelle console Billing and Cost Management, ma non consente l'accesso al Customer Carbon Footprint AWS Tool. Questo strumento si trova nella pagina dei report AWS sui costi e sull'utilizzo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Deny",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## Permetti agli utenti IAM di accedere ai report sull'impronta di carbonio, ma nega l'accesso alle informazioni di fatturazione
Per consentire agli utenti IAM di accedere al AWS Customer Carbon Footprint Tool nella pagina AWS Cost and Usage Reports, ma nega l'accesso alla visualizzazione delle informazioni di fatturazione nelle console Billing and Cost Management.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Deny",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Allow",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## Consenti l'accesso completo ai AWS servizi ma impedisci agli utenti IAM l'accesso alle console di Billing and Cost Management
Per negare agli utenti IAM l'accesso a tutti gli elementi della console di Gestione costi e fatturazione, utilizza la seguente policy. Nega l'accesso degli utenti a AWS Identity and Access Management (IAM) per impedire l'accesso alle policy che controllano l'accesso alle informazioni e agli strumenti di fatturazione.
**Importante**
Questa policy non consente alcuna operazione. Utilizza questa policy in combinazione con altre policy che consentono operazioni specifiche.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aws-portal:*",
"iam:*"
],
"Resource": "*"
}
]
}
```
------
## Concessione agli utenti IAM di visualizzare la console di Gestione costi e fatturazione ad eccezione della pagina Impostazioni account
Questa policy consente l'accesso in sola lettura a tutta la console di gestione fatturazione e costi. Ciò include le pagine della console **Metodo di pagamento** e **Report**. Tuttavia, questa policy nega l'accesso alla pagina **Impostazioni account**. Ciò significa che protegge la password dell'account, le informazioni di contatto e le domande di sicurezza.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:View*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## Permettere agli utenti IAM di modificare le informazioni di fatturazione
Per permettere agli utenti IAM di modificare le informazioni di fatturazione dell'account nella console di Gestione costi e fatturazione, devi permettere agli utenti IAM di visualizzare anche le tue informazioni di fatturazione. La seguente policy di esempio permette a un utente IAM di modificare le pagine della console **Consolidated Billing** (Fatturazione consolidata), **Preferences** (Preferenze) e **Credits** (Crediti). Permette inoltre a un utente IAM di visualizzare le seguenti pagine della console di Gestione costi e fatturazione:
+ **Dashboard (Pannello di controllo)**
+ **Cost Explorer**
+ **Fatture**
+ **Ordini e fatture**
+ **Pagamento avanzato**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:*Billing",
"Resource": "*"
}
]
}
```
------
## Nega l'accesso alle impostazioni dell'account, ma permette l'accesso completo a tutte le altre informazioni di fatturazione e utilizzo
Per proteggere la password, le informazioni di contatto e le domande di sicurezza del tuo account, puoi rifiutare all'utente IAM l'accesso alla pagina **Account Settings** (Impostazioni account), consentendogli accesso in sola lettura alle altre funzionalità della console di Gestione costi e fatturazione. Di seguito è riportata una policy di esempio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:*Billing",
"aws-portal:*Usage",
"aws-portal:*PaymentMethods"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## Archivia i report in un bucket Amazon S3
La seguente politica consente a Billing and Cost Management di salvare le fatture AWS dettagliate in un bucket Amazon S3 se possiedi sia AWS l'account che il bucket Amazon S3. Questa policy deve essere applicata al bucket Amazon S3 anziché a un utente IAM. Si tratta di una policy basata sulle risorse e non sugli utenti. Devi rifiutare l'accesso al bucket agli utenti IAM che non necessitano di accedere alle tue fatture.
Sostituisci *amzn-s3-demo-bucket1* con il nome del tuo bucket.
Per maggiori informazioni, consulta [Utilizzo delle policy di bucket e delle policy utente](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-iam-policies.html) nella *Guida per l'utente di Amazon Simple Storage Service*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": [
"s3:GetBucketAcl",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1"
},
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"
}
]
}
```
------
## Individuazione di prodotti e prezzi
Per consentire a un utente IAM di utilizzare l'API AWS Price List Service, utilizza la seguente politica per concedergli l'accesso.
Questa politica concede l'autorizzazione a utilizzare entrambe le API AWS Price List List Query dell'API AWS Price List.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts",
"pricing:GetPriceListFileUrl",
"pricing:ListPriceLists"
],
"Resource": [
"*"
]
}
]
}
```
------
## Visualizzazione di costi e utilizzo
Per consentire agli utenti IAM di utilizzare l'API AWS Cost Explorer, utilizza la seguente politica per concedere loro l'accesso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ce:*"
],
"Resource": [
"*"
]
}
]
}
```
------
## Abilita e disabilita AWS le regioni
Per un esempio di policy IAM che consente agli utenti di abilitare e disabilitare le regioni, consulta [AWS: Allows Enabling and Disabling AWS Regions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws-enable-disable-regions.html) nella *IAM User Guide*.
## Visualizza e gestisci le categorie di costo
Per consentire agli utenti IAM di utilizzare, visualizzare e gestire le categorie di costo, utilizzare la seguente policy per concedere loro l'accesso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:GetCostAndUsage",
"ce:DescribeCostCategoryDefinition",
"ce:UpdateCostCategoryDefinition",
"ce:CreateCostCategoryDefinition",
"ce:DeleteCostCategoryDefinition",
"ce:ListCostCategoryDefinitions",
"ce:TagResource",
"ce:UntagResource",
"ce:ListTagsForResource",
"pricing:DescribeServices"
],
"Resource": "*"
}
]
}
```
------
## Crea, visualizza, modifica o elimina i report AWS sui costi e sull'utilizzo
Questa policy permette a un utente IAM di creare, visualizzare, modificare o eliminare utilizzando l'API di `sample-report`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageSampleReport",
"Effect": "Allow",
"Action": [
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "arn:aws:cur:*:123456789012:definition/sample-report"
},
{
"Sid": "DescribeReportDefs",
"Effect": "Allow",
"Action": "cur:DescribeReportDefinitions",
"Resource": "*"
}
]
}
```
------
## Visualizzare e gestire gli ordini di acquisto
Questa policy consente a un utente IAM di visualizzare e gestire gli ordini di acquisto, utilizzando la seguente policy per concedere l'accesso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"purchase-orders:*"
],
"Resource": "*"
}
]
}
```
------
## Visualizzazione e aggiornamento della pagina delle preferenze di Cost Explorer
Questa policy consente a un utente IAM di visualizzare e aggiornare utilizzando la **pagina delle preferenze di Cost Explorer**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
La seguente policy consente agli utenti di IAM di visualizzare Cost Explorer, ma nega l'autorizzazione a visualizzare o modificare la pagina **Preferenze**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:GetPreferences",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
La seguente policy consente agli utenti IAM di visualizzare Cost Explorer, ma nega l'autorizzazione a modificare la pagina **Preferenze**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
## Visualizzazione, creazione, aggiornamento ed eliminazione tramite la pagina dei report di Cost Explorer
Questa policy consente a un utente IAM di visualizzare, creare, aggiornare ed eliminare utilizzando l'opzione **Pagina Report di Cost Explorer**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
La seguente policy consente agli utenti di IAM di visualizzare Cost Explorer, ma nega l'autorizzazione a visualizzare o modificare la pagina **Report**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeReport",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
La seguente policy consente agli utenti IAM di visualizzare Cost Explorer, ma nega l'autorizzazione a modificare la pagina **Report**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
## Visualizzare, creare, aggiornare ed eliminare gli avvisi relativi ai Savings Plans
Questa policy consente a un utente IAM di visualizzare, creare, aggiornare ed eliminare [Avvisi scadenze di prenotazioni](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ce-ris.html) e [Avvisi di Savings Plans](https://docs.aws.amazon.com/savingsplans/latest/userguide/sp-overview.html#sp-alert). Per modificare gli avvisi scadenze di prenotazioni o gli avvisi Savings Plans, un utente ha bisogno di tutte e tre le azioni granulari: `ce:CreateNotificationSubscription`, `ce:UpdateNotificationSubscription`, e `ce:DeleteNotificationSubscription`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
La seguente policy consente agli utenti di IAM di visualizzare Cost Explorer, ma nega l'autorizzazione a visualizzare o modificare le pagine **Avvisi scadenze di prenotazioni** e **Avvisi Savings Plans**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeNotificationSubscription",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
La seguente policy consente agli utenti di IAM di visualizzare Cost Explorer, ma nega l'autorizzazione a modificare le pagine **Avvisi scadenze di prenotazioni** e **Avvisi Savings Plans**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
## Consenti l'accesso in sola lettura a AWS Cost Anomaly Detection
Per consentire agli utenti IAM l'accesso in sola lettura a AWS Cost Anomaly Detection, utilizza la seguente policy per concedere loro l'accesso. `ce:ProvideAnomalyFeedback`è facoltativo come parte dell'accesso in sola lettura.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ce:Get*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Consenti a AWS Budgets di applicare le policy IAM e SCPs
Questa policy consente a AWS Budgets di applicare le policy IAM e le policy di controllo del servizio (SCPs) per conto dell'utente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": "*"
}
]
}
```
------
## Consenti a AWS Budgets di applicare le policy IAM e gli SCP e di scegliere come target le istanze EC2 e RDS
Questa policy consente a AWS Budgets di applicare le policy IAM e le policy di controllo dei servizi (SCP) e di indirizzare le istanze Amazon EC2 e Amazon RDS per conto dell'utente.
Policy di attendibilità
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "budgets.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Policy delle autorizzazioni
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceStatus",
"ec2:StartInstances",
"ec2:StopInstances",
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"rds:DescribeDBInstances",
"rds:StartDBInstance",
"rds:StopDBInstance",
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
```
------
## Consenti agli utenti IAM di visualizzare le esenzioni fiscali statunitensi e creare casi Supporto
Questa policy consente a un utente IAM di visualizzare le esenzioni fiscali statunitensi e di creare Supporto casi per caricare i certificati di esenzione fiscale nella console di esenzione fiscale.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:*",
"tax:GetExemptions",
"tax:UpdateExemptions",
"support:CreateCase",
"support:AddAttachmentsToSet"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
## (Per i clienti con un indirizzo di fatturazione o contatto indiano) Consenti l'accesso in sola lettura alle informazioni di verifica della clientela
Questa policy consente agli utenti IAM di accedere in modalità sola lettura alle informazioni di verifica della clientela.
Per le definizioni di ogni operazione, consulta [AWS Azioni della console di fatturazione](security_iam_id-based-policy-examples.md#user-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"customer-verification:GetCustomerVerificationEligibility",
"customer-verification:GetCustomerVerificationDetails"
],
"Resource": "*"
}]
}
```
------
## (Per i clienti con un indirizzo di fatturazione o contatto indiano) Visualizza, crea e aggiorna le informazioni di verifica della clientela
Questa policy consente agli utenti IAM di gestire le informazioni di verifica della loro clientela.
Per le definizioni di ogni operazione, consulta [AWS Azioni della console di fatturazione](security_iam_id-based-policy-examples.md#user-permissions)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"customer-verification:CreateCustomerVerificationDetails",
"customer-verification:UpdateCustomerVerificationDetails",
"customer-verification:GetCustomerVerificationEligibility",
"customer-verification:GetCustomerVerificationDetails"
],
"Resource": "*"
}]
}
```
------
## Visualizza le AWS Migration Acceleration Program informazioni nella console di fatturazione
Questa politica consente agli utenti IAM di visualizzare i Migration Acceleration Program contratti, i crediti e le spese idonee per l'account del pagatore nella console di fatturazione.
Per le definizioni di ogni operazione, consulta [AWS Azioni della console di fatturazione](security_iam_id-based-policy-examples.md#user-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"mapcredits:ListQuarterSpend",
"mapcredits:ListQuarterCredits",
"mapcredits:ListAssociatedPrograms"
],
"Resource": "*"
}]
}
```
------
## Consenti l'accesso alla configurazione AWS delle fatture nella console di fatturazione
Questa policy consente agli utenti IAM di accedere alla configurazione delle AWS fatture nella console di fatturazione.
Per le definizioni di ogni operazione, consulta [AWS Azioni della console di fatturazione](security_iam_id-based-policy-examples.md#user-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"invoicing:ListInvoiceUnits",
"invoicing:GetInvoiceUnit",
"invoicing:CreateInvoiceUnit",
"invoicing:UpdateInvoiceUnit",
"invoicing:DeleteInvoiceUnit",
"invoicing:BatchGetInvoiceProfile"
],
"Resource": [
"*"
]
}
]
}
```
------
# Migrazione del controllo degli accessi per AWS Billing
**Nota**
Le seguenti azioni AWS Identity and Access Management (IAM) hanno raggiunto la fine del supporto standard a luglio 2023:
Spazio dei nomi `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Se utilizzi AWS Organizations, puoi utilizzare gli [script Bulk Policy Migrator o Bulk Policy Migrator](migrate-iam-permissions.md) per aggiornare le politiche dal tuo account di pagamento. Puoi anche utilizzare il [riferimento alla mappatura dalle vecchie operazioni alle operazioni granulari](migrate-granularaccess-iam-mapping-reference.md) per verificare le operazioni IAM da aggiungere.
Se ne hai AWS Organizations creato uno Account AWS o ne fai parte a partire dal 6 marzo 2023 alle 11:00 (PDT), le azioni dettagliate sono già in vigore nella tua organizzazione.
Puoi utilizzare controlli di accesso granulari per fornire ai singoli membri dell'organizzazione l'accesso ai servizi. Gestione dei costi e fatturazione AWS Ad esempio, puoi fornire l'accesso a Esploratore dei costi senza fornire l'accesso alla console Gestione fatturazione e costi.
Per utilizzare i controlli di accesso granulari, dovrai migrare le tue policy da `aws-portal` alle nuove operazioni IAM.
Le seguenti operazioni IAM nelle policy di autorizzazione o nelle policy di controllo dei servizi (SCP) richiedono l'aggiornamento con questa migrazione:
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
Per scoprire come utilizzare lo strumento **Affected policies** (Policy interessate) per identificare le policy IAM interessate, consulta la pagina [Come utilizzare lo strumento policy interessate](migrate-security-iam-tool.md).
**Nota**
L'accesso alle API AWS Cost Explorer, i report AWS sui costi e sull'utilizzo e i AWS budget rimangono inalterati.
[Attivazione dell'accesso alla console di gestione fatturazione e costi](control-access-billing.md#ControllingAccessWebsite-Activate) rimane invariato.
**Topics**
+ [
## Gestione delle autorizzazioni di accesso
](#migrate-control-access-billing)
+ [
# Utilizzo della console per migrare in blocco le tue politiche
](migrate-granularaccess-console.md)
+ [
# Come utilizzare lo strumento policy interessate
](migrate-security-iam-tool.md)
+ [
# Usa gli script per migrare in blocco le tue policy per utilizzare azioni IAM granulari
](migrate-iam-permissions.md)
+ [
# Riferimento alla mappatura delle azioni IAM granulari
](migrate-granularaccess-iam-mapping-reference.md)
## Gestione delle autorizzazioni di accesso
AWS Billing si integra con il servizio AWS Identity and Access Management (IAM) in modo da poter controllare chi nella propria organizzazione può accedere a pagine specifiche sulla console di [Billing and Cost](https://console.aws.amazon.com/billing/) Management. Ciò include pagine di funzionalità come pagamenti, fatturazione, crediti, piano gratuito, preferenze di pagamento, fatturazione consolidata, impostazioni fiscali e account.
Utilizza le seguenti autorizzazioni IAM per il controllo granulare della console di Gestione fatturazione e costi.
Per fornire un accesso granulare, sostituisci la policy `aws-portal` con `account`, `billing`, `payments`, `freetier`, `invoicing`, `tax`, e `consolidatedbilling`.
Inoltre, sostituisci `purchase-orders:ViewPurchaseOrders` e `purchase-orders:ModifyPurchaseOrders` con le operazioni granulari in `purchase-orders`, `account` e `payments`.
### Utilizzo di azioni granulari AWS Billing
Questa tabella riepiloga le autorizzazioni che concedono o negano agli utenti e ai ruoli IAM l'accesso alle tue informazioni di fatturazione. Per esempi di policy che utilizzano queste autorizzazioni, consulta [AWS Esempi di politiche di fatturazione](billing-example-policies.md).
*Per un elenco delle azioni per la AWS Cost Management console, consulta le [politiche AWS Cost Management relative alle azioni](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#user-permissions) nella Guida per l'AWS Cost Management utente.*
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html)
# Utilizzo della console per migrare in blocco le tue politiche
**Nota**
Le seguenti azioni AWS Identity and Access Management (IAM) hanno raggiunto la fine del supporto standard a luglio 2023:
Spazio dei nomi `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Se utilizzi AWS Organizations, puoi utilizzare gli [script Bulk Policy Migrator o Bulk Policy Migrator](migrate-iam-permissions.md) per aggiornare le politiche dal tuo account di pagamento. Puoi anche utilizzare il [riferimento alla mappatura dalle vecchie operazioni alle operazioni granulari](migrate-granularaccess-iam-mapping-reference.md) per verificare le operazioni IAM da aggiungere.
Se ne hai AWS Organizations creato uno Account AWS o ne fai parte a partire dal 6 marzo 2023 alle 11:00 (PDT), le azioni dettagliate sono già in vigore nella tua organizzazione.
Questa sezione spiega come utilizzare la [Gestione dei costi e fatturazione AWS console](https://console.aws.amazon.com/billing/) per migrare le policy legacy dagli account Organizations o dagli account standard alle azioni granulari in blocco. Puoi completare la migrazione delle tue policy precedenti utilizzando la console in due modi:
**Utilizzo del processo di migrazione consigliato da AWS**
Si tratta di un processo semplificato a singola azione in cui migra le azioni legacy verso le azioni granulari mappate da. AWS Per ulteriori informazioni, consulta [Utilizzo delle azioni consigliate per migrare in blocco le policy precedenti](migrate-console-streamlined.md).
**Utilizzo del processo di migrazione personalizzato**
Questo processo consente di rivedere e modificare le azioni consigliate AWS prima della migrazione di massa, nonché di personalizzare gli account dell'organizzazione da migrare. Per ulteriori informazioni, consulta [Personalizzazione delle azioni per la migrazione in blocco delle politiche precedenti](migrate-console-customized.md).
## Prerequisiti per la migrazione di massa tramite la console
Entrambe le opzioni di migrazione richiedono il consenso nella console, in modo da AWS poter consigliare azioni granulari alle azioni IAM precedenti che hai assegnato. Per fare ciò, dovrai accedere al tuo AWS account come [responsabile IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) con le seguenti azioni IAM per continuare con gli aggiornamenti delle policy.
------
#### [ Management account ]
```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced",
"aws-portal:UpdateConsoleActionSetEnforced",
"purchase-orders:UpdateConsoleActionSetEnforced",
"iam:GetAccountAuthorizationDetails",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:CreateFunction",
"lambda:InvokeFunction",
"lambda:RemovePermission",
"scheduler:GetSchedule",
"scheduler:DeleteSchedule",
"scheduler:CreateSchedule",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:CreateStackSet",
"cloudformation:CreateStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStackSets",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:ListStacks",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:CreateStack",
"cloudformation:UpdateStackInstances",
"cloudformation:UpdateStackSet",
"cloudformation:DescribeStacks",
"ec2:DescribeRegions",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"iam:GenerateOrganizationsAccessReport",
"iam:GetOrganizationsAccessReport",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"organizations:ListAccountsForParent",
"organizations:ListRoots",
"sts:AssumeRole",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:GetInlinePolicyForPermissionSet",
"sso:DescribePermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sso:ProvisionPermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```
------
#### [ Member account or standard account ]
```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced", // Not needed for member account
"aws-portal:UpdateConsoleActionSetEnforced", // Not needed for member account
"purchase-orders:UpdateConsoleActionSetEnforced", // Not needed for member account
"iam:GetAccountAuthorizationDetails",
"ec2:DescribeRegions",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```
------
**Topics**
+ [
## Prerequisiti per la migrazione di massa tramite la console
](#migrate-granularaccess-console-prereq)
+ [
# Utilizzo delle azioni consigliate per migrare in blocco le policy precedenti
](migrate-console-streamlined.md)
+ [
# Personalizzazione delle azioni per la migrazione in blocco delle politiche precedenti
](migrate-console-customized.md)
+ [
# Ripristino delle modifiche alla politica di migrazione di massa
](migrate-console-rollback.md)
+ [
## Conferma della migrazione
](#migrate-console-complete)
# Utilizzo delle azioni consigliate per migrare in blocco le policy precedenti
Puoi migrare tutte le tue politiche precedenti utilizzando le azioni granulari mappate da. AWS Infatti AWS Organizations, ciò si applica a tutte le politiche legacy relative a tutti gli account. Una volta completato il processo di migrazione, le azioni dettagliate sono efficaci. Hai la possibilità di testare il processo di migrazione in blocco utilizzando account di prova prima di impegnare l'intera organizzazione. Per ulteriori informazioni, consulta la sezione seguente.
**Per migrare tutte le tue politiche utilizzando azioni granulari mappate da AWS**
1. Accedi alla [Console di gestione AWS](https://console.aws.amazon.com/).
1. Immetti **Bulk Policy Migrator** nella barra di ricerca nella parte superiore della pagina.
1. **Nella pagina **Gestisci nuove azioni IAM**, scegli Conferma e migra.**
1. Rimani sulla pagina **Migrazione in corso** fino al completamento della migrazione. Consulta la barra di stato per conoscere l'avanzamento.
1. Una volta che la sezione **Migrazione in corso** viene aggiornata a **Migrazione avvenuta con successo**, verrai reindirizzato alla pagina **Gestisci nuove azioni IAM**.
## Test della migrazione di massa
Puoi testare la migrazione di massa dalle politiche legacy alle azioni dettagliate AWS consigliate utilizzando gli account di prova prima di impegnarti a migrare l'intera organizzazione. Una volta completato il processo di migrazione sugli account di prova, le azioni dettagliate vengono applicate agli account di prova.
**Per utilizzare i tuoi account di prova per la migrazione di massa**
1. Accedi alla [Console di gestione AWS](https://console.aws.amazon.com/).
1. Immetti **Bulk Policy Migrator** nella barra di ricerca nella parte superiore della pagina.
1. Nella pagina **Gestisci nuove azioni IAM**, scegli **Personalizza**.
1. Una volta caricati gli account e le policy nella tabella **Migrate accounts**, seleziona uno o più account di test dall'elenco degli AWS account.
1. **(Facoltativo) Per modificare la mappatura tra la politica precedente e le azioni dettagliate AWS consigliate, scegli Visualizza mappatura predefinita.** **Cambia la mappatura e scegli Salva.**
1. Scegli **Conferma e migra**.
1. Rimani sulla pagina della console fino al completamento della migrazione.
# Personalizzazione delle azioni per la migrazione in blocco delle politiche precedenti
Puoi personalizzare la migrazione di massa in vari modi, invece di utilizzare l'azione AWS consigliata per tutti i tuoi account. Hai la possibilità di esaminare tutte le modifiche necessarie alle tue politiche precedenti prima della migrazione, scegliere account specifici nelle tue Organizzazioni da migrare alla volta e modificare l'intervallo di accesso aggiornando le azioni granulari mappate.
**Per rivedere le politiche interessate prima della migrazione in blocco**
1. Accedi alla [Console di gestione AWS](https://console.aws.amazon.com/).
1. Immetti **Bulk Policy Migrator** nella barra di ricerca nella parte superiore della pagina.
1. **Nella pagina **Gestisci nuove azioni IAM**, scegli Personalizza.**
1. Una volta caricati gli account e le policy nella tabella **Migrate accounts**, scegli il numero nella colonna **Numero di policy IAM interessate** per visualizzare le policy interessate. Vedrai anche quando tale politica è stata utilizzata l'ultima volta per accedere alle console di Billing and Cost Management.
1. Scegli il nome di una policy per aprirla nella console IAM per visualizzare le definizioni e aggiornare manualmente la policy.
**Note**
In questo modo potresti disconnetterti dal tuo account corrente se la policy proviene da un altro account membro.
Non verrai reindirizzato alla pagina IAM corrispondente se il tuo account corrente ha una migrazione di massa in corso.
1. (Facoltativo) Scegli **Visualizza mappatura predefinita per visualizzare** le politiche precedenti e comprendere la politica dettagliata in base alla quale è mappata. AWS
**Per migrare un gruppo selezionato di account da migrare dalla tua organizzazione**
1. Accedi alla [Console di gestione AWS](https://console.aws.amazon.com/).
1. Immetti **Bulk Policy Migrator** nella barra di ricerca nella parte superiore della pagina.
1. **Nella pagina **Gestisci nuove azioni IAM**, scegli Personalizza.**
1. Una volta caricati gli account e le policy nella tabella **Migrate accounts**, seleziona uno o più account da migrare.
1. Scegli **Conferma e migra.**
1. Rimani sulla pagina della console fino al completamento della migrazione.
**Per modificare l'intervallo di accesso aggiornando le azioni dettagliate mappate**
1. Accedi alla [Console di gestione AWS](https://console.aws.amazon.com/).
1. Immetti **Bulk Policy Migrator** nella barra di ricerca nella parte superiore della pagina.
1. **Nella pagina **Gestisci nuove azioni IAM**, scegli Personalizza.**
1. Scegli **Visualizza mappatura predefinita**.
1. Scegli **Modifica**.
1. Aggiungi o rimuovi azioni IAM per i servizi di Billing and Cost Management a cui desideri controllare l'accesso. Per ulteriori informazioni sulle azioni dettagliate e sull'accesso da esse controllato, consulta. [Riferimento alla mappatura delle azioni IAM granulari](migrate-granularaccess-iam-mapping-reference.md)
1. Scegli **Save changes** (Salva modifiche).
La mappatura aggiornata viene utilizzata per tutte le future migrazioni dall'account a cui hai effettuato l'accesso. Questo può essere modificato in qualsiasi momento.
# Ripristino delle modifiche alla politica di migrazione di massa
Puoi ripristinare tutte le modifiche alle politiche apportate durante il processo di migrazione di massa in modo sicuro, utilizzando i passaggi forniti nello strumento di migrazione di massa. La funzionalità di rollback funziona a livello di account. Puoi annullare gli aggiornamenti delle politiche per tutti gli account o per gruppi specifici di account migrati. Tuttavia, non puoi annullare le modifiche apportate a politiche specifiche in un account.
**Per ripristinare le modifiche alla migrazione di massa**
1. Accedi alla [Console di gestione AWS](https://console.aws.amazon.com/).
1. Immetti **Bulk Policy Migrator** nella barra di ricerca nella parte superiore della pagina.
1. Nella pagina **Gestisci nuove azioni IAM**, scegli la scheda **Rollback changes**.
1. Seleziona gli account da ripristinare. Gli account devono essere `Migrated` visualizzati nella colonna **dello stato di rollback**.
1. Scegli il pulsante **Rollback changes**.
1. Rimani sulla pagina della console fino al completamento del rollback.
## Conferma della migrazione
Puoi vedere se ci sono AWS Organizations account che devono ancora migrare utilizzando lo strumento di migrazione.
**Per confermare se tutti gli account sono stati migrati**
1. Accedi alla [Console di gestione AWS](https://console.aws.amazon.com/).
1. Immetti **Bulk Policy Migrator** nella barra di ricerca nella parte superiore della pagina.
1. Nella pagina **Gestisci nuove azioni IAM**, scegli la scheda **Migra account**.
Tutti gli account sono stati migrati correttamente se la tabella non mostra alcun account rimanente.
# Come utilizzare lo strumento policy interessate
**Nota**
Le seguenti azioni AWS Identity and Access Management (IAM) hanno raggiunto la fine del supporto standard a luglio 2023:
Spazio dei nomi `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Se utilizzi AWS Organizations, puoi utilizzare gli [script Bulk Policy Migrator o Bulk Policy Migrator](migrate-iam-permissions.md) per aggiornare le politiche dal tuo account di pagamento. Puoi anche utilizzare il [riferimento alla mappatura dalle vecchie operazioni alle operazioni granulari](migrate-granularaccess-iam-mapping-reference.md) per verificare le operazioni IAM da aggiungere.
Se ne hai AWS Organizations creato uno Account AWS o ne fai parte a partire dal 6 marzo 2023 alle 11:00 (PDT), le azioni dettagliate sono già in vigore nella tua organizzazione.
Puoi utilizzare lo strumento **Affected policies** nella console di fatturazione per identificare le policy IAM (escluse SCPs) e fare riferimento alle azioni IAM interessate da questa migrazione. Utilizza lo strumento **Policy interessate** per eseguire le operazioni descritte di seguito:
+ Identificare le policy IAM e fare riferimento alle operazioni IAM interessate da questa migrazione
+ Copiare la policy aggiornata negli appunti
+ Aprire la policy interessata nell'editor di policy IAM
+ Salvare la policy aggiornata per l'account
+ Attivare le autorizzazioni granulari e disabilitare le vecchie operazioni
Questo strumento funziona entro i limiti dell' AWS account a cui hai effettuato l'accesso e le informazioni relative ad altri AWS Organizations account non vengono divulgate.
**Utilizzo dello strumento Affected policies (Policy interessate)**
1. Accedi Console di gestione AWS e apri la Gestione dei costi e fatturazione AWS console all'indirizzo [https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/).
1. Incolla il seguente URL nel tuo browser per accedere allo strumento **Policy interessate**: [https://console.aws.amazon.com/poliden/home?region=us-east-1#/](https://console.aws.amazon.com/poliden/home?region=us-east-1#/).
**Nota**
Per visualizzare questa pagina, devi disporre dell'autorizzazione `iam:GetAccountAuthorizationDetails`.
1. Consulta la tabella che elenca le policy IAM interessate. Utilizza la colonna **Deprecated IAM actions** (Operazioni IAM obsolete) per esaminare le operazioni IAM specifiche a cui si fa riferimento in una policy.
1. Nella colonna **Copia policy aggiornata**, scegli **Copia** per copiare la policy aggiornata negli appunti. La policy aggiornata contiene la policy esistente e le operazioni granulari suggerite aggiunte come blocco `Sid` separato. Tale blocco presenta il prefisso `AffectedPoliciesMigrator` alla fine della policy.
1. Nella colonna **Modifica policy nella console IAM**, scegli **Modifica** per passare all'editor di policy IAM. Visualizzerai il JSON della policy esistente.
1. Sostituisci l'intera policy esistente con la policy aggiornata copiata al passaggio 4. È possibile apportare qualsiasi altra modifica secondo necessità.
1. Scegli **Avanti** e quindi seleziona **Salva modifiche**.
1. Ripeti i passaggi da 3 a 7 per tutte le policy interessate.
1. Dopo aver aggiornato le policy, aggiorna lo strumento **Policy interessate** per verificare che non vi siano elencate policy interessate. La colonna **Nuove operazioni IAM trovate** dovrebbe contenere **Sì** per tutte le policy e i pulsanti **Copia** e **Modifica** dovrebbero essere disabilitati. L'aggiornamento delle policy interessate è completato.
**Per abilitare le operazioni granulari per l'account**
Dopo aver aggiornato le policy, segui questa procedura per abilitare le operazioni granulari per l'account.
Solo l'account di gestione (pagatore) di un'organizzazione o gli account individuali possono utilizzare la sezione **Gestisci nuove operazioni IAM**. Un account individuale può abilitare le nuove operazioni per sé. Un account di gestione può abilitare nuove operazioni per l'intera organizzazione o per un sottoinsieme di account membri. Se disponi di un account di gestione, aggiorna le policy interessate per tutti gli account membri e abilita le nuove operazioni per l'organizzazione. Per ulteriori informazioni, consulta la sezione [Come alternare gli account tra nuove azioni granulari o azioni IAM](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/#How-to-toggle-accounts-between-new-fine-grained-actions-or-existing-IAM-Actions) esistenti? sezione del post del blog. AWS
**Nota**
Per farlo, è necessario disporre delle seguenti autorizzazioni:
`aws-portal:GetConsoleActionSetEnforced`
`aws-portal:UpdateConsoleActionSetEnforced`
`ce:GetConsoleActionSetEnforced`
`ce:UpdateConsoleActionSetEnforced`
`purchase-orders:GetConsoleActionSetEnforced`
`purchase-orders:UpdateConsoleActionSetEnforced`
Se non vedi la sezione **Gestisci nuove operazioni IAM**, significa che l'account ha già abilitato le operazioni granulari IAM.
1. In **Gestisci nuove operazioni IAM**, l'impostazione **Set di operazioni corrente applicate** avrà lo stato **Esistente**.
Scegli **Abilita nuove operazioni (granulari)** e poi **Applica modifiche**.
1. Nella finestra di dialogo scegliere **Yes (Sì)**. Le stato **Set di operazioni corrente applicate** cambierà in **Granulare**. Questo significa che le nuove operazioni sono applicate per il tuo Account AWS o la tua organizzazione.
1. (Facoltativo) In seguito puoi aggiornare le policy esistenti per rimuovere le vecchie operazioni.
**Example Esempio: policy IAM prima e dopo**
La seguente policy IAM dispone della vecchia operazione `aws-portal:ViewPaymentMethods`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
}
]
}
```
Dopo aver copiato la policy aggiornata, il seguente esempio dispone del nuovo blocco `Sid` con le operazioni granulari.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
},
{
"Sid": "AffectedPoliciesMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"invoicing:GetInvoicePDF",
"payments:GetPaymentInstrument",
"payments:GetPaymentStatus",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}
]
}
```
## Risorse correlate
Per ulteriori informazioni, consulta [Sid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html) nella *Guida per l'utente IAM*.
Per ulteriori informazioni sulle nuove operazioni granulari, consulta [Riferimento alla mappatura delle azioni IAM granulari](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html) e [Utilizzo delle operazioni granulari Billing](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html#migrate-user-permissions).
# Usa gli script per migrare in blocco le tue policy per utilizzare azioni IAM granulari
**Nota**
Le seguenti azioni AWS Identity and Access Management (IAM) hanno raggiunto la fine del supporto standard a luglio 2023:
Spazio dei nomi `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Se utilizzi AWS Organizations, puoi utilizzare gli [script Bulk Policy Migrator o Bulk Policy Migrator](#migrate-iam-permissions) per aggiornare le politiche dal tuo account di pagamento. Puoi anche utilizzare il [riferimento alla mappatura dalle vecchie operazioni alle operazioni granulari](migrate-granularaccess-iam-mapping-reference.md) per verificare le operazioni IAM da aggiungere.
Se ne hai AWS Organizations creato uno Account AWS o ne fai parte a partire dal 6 marzo 2023 alle 11:00 (PDT), le azioni dettagliate sono già in vigore nella tua organizzazione.
Per facilitare la migrazione delle policy IAM in modo da utilizzare nuove azioni, note come azioni granulari, puoi utilizzare gli script del sito Web [AWS Samples](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles).
Esegui questi script dal conto pagatore della tua organizzazione per identificare le seguenti policy interessate nella tua organizzazione che utilizzano le vecchie azioni IAM:
+ Policy IAM gestite dal cliente
+ Policy IAM in linea per ruoli, gruppi e utenti
+ Politiche di controllo del servizio (SCPs) (si applicano solo all'account del pagatore)
+ Set di autorizzazioni
Gli script generano suggerimenti per nuove azioni che corrispondono alle azioni esistenti utilizzate nella policy. Quindi esamini i suggerimenti e usi gli script per aggiungere le nuove azioni a tutte le policy interessate della tua organizzazione. Non è necessario aggiornare le politiche AWS gestite o AWS gestite SCPs (ad esempio AWS Control Tower e AWS Organizations SCPs).
Utilizzare questi script per:
+ Semplificano gli aggiornamenti delle policy per aiutarti a gestire quelle interessate dall'account del pagatore.
+ Riducono il tempo necessario per aggiornare le policy. Non è necessario accedere a ciascun account membro e aggiornare manualmente le policy.
+ Raggruppano policy identiche di account membri diversi. Puoi quindi esaminare e applicare gli stessi aggiornamenti a tutte le policy identiche, anziché esaminarli singolarmente.
+ Assicurati che l'accesso degli utenti rimanga inalterato dopo il AWS ritiro delle vecchie azioni IAM il 6 luglio 2023.
Per ulteriori informazioni sulle politiche e sulle politiche di controllo dei servizi (SCPs), consulta i seguenti argomenti:
+ [Gestione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) nella *Guida per l'utente IAM*
+ [Politiche di controllo del servizio (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida AWS Organizations per l'utente*
+ [Autorizzazioni personalizzate](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetcustom.html) nella *Guida per l'utente del Centro identità IAM*
## Panoramica di
Segui questo argomento per completare i passaggi seguenti:
**Topics**
+ [
## Panoramica di
](#overview-bulk-migrate-policies)
+ [
## Prerequisiti
](#prerequisites-running-the-scripts)
+ [
## Fase 1: configurazione dell'ambiente
](#set-up-your-environment-and-download-the-scripts)
+ [
## Fase 2: Creare il CloudFormation StackSet
](#create-the-cloudformation-stack)
+ [
## Fase 3: Identifica le policy interessate
](#identify-the-affected-policies)
+ [
## Fase 4: Esamina le modifiche suggerite
](#review-the-affected-policies)
+ [
## Fase 5: aggiorna le policy interessate
](#update-the-affected-policies)
+ [
## Fase 6: annulla le modifiche (facoltativo)
](#revert-changes)
+ [
## Esempi di policy IAM
](#examples-of-similar-policies)
## Prerequisiti
Per iniziare, devi effettuare quanto segue:
+ Scarica e installa [Python 3](https://www.python.org/downloads/)
+ Accedi al tuo account pagatore e verifica di disporre di un principale IAM con le seguenti autorizzazioni IAM:
```
"iam:GetAccountAuthorizationDetails",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"sso:DescribePermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"sso:GetInlinePolicyForPermissionSet",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:ProvisionPermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sts:AssumeRole"
```
**Suggerimento**
Per iniziare, ti consigliamo di usare un sottoinsieme di account, come gli account di prova, per verificare che le modifiche suggerite siano previste.
Puoi quindi eseguire ancora gli script per gli account rimanenti della tua organizzazione.
## Fase 1: configurazione dell'ambiente
Per iniziare, scarica i file richiesti dal sito Web [AWS Samples](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles). Quindi esegui i comandi per configurare il tuo ambiente.
**Come configurare l'ambiente**
1. Clona il repository dal sito Web [AWS Samples](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles) In una finestra a riga di comando, puoi usare il seguente comando:
```
git clone https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles.git
```
1. Passare alla directory in cui hai scaricato i file. Utilizzare il seguente comando:
```
cd bulk-policy-migrator-scripts-for-account-cost-billing-consoles
```
Nel repository, puoi trovare i seguenti script e risorse:
+ `billing_console_policy_migrator_role.json`— Il CloudFormation modello che crea il ruolo `BillingConsolePolicyMigratorRole` IAM negli account dei membri dell'organizzazione. Questo ruolo consente agli script di assumere il ruolo e quindi di leggere e aggiornare le policy interessate.
+ `action_mapping_config.json`— Contiene la one-to-many mappatura delle vecchie azioni con le nuove azioni. Gli script utilizzano questo file per suggerire le nuove azioni per ogni policy interessata che contiene le vecchie azioni.
Ogni vecchia azione corrisponde a più azioni granulari. Le nuove azioni suggerite nel file consentono agli utenti di accedervi Servizi AWS prima della migrazione.
+ `identify_affected_policies.py` — Scansiona e identifica le policy interessate nella tua organizzazione. Questo script genera un file `affected_policies_and_suggestions.json` che elenca le policy interessate insieme alle nuove azioni suggerite.
Le policy interessate che utilizzano lo stesso set di vecchie azioni sono raggruppate nel file JSON, in modo da poter rivedere o aggiornare le nuove azioni suggerite.
+ `update_affected_policies.py` — Aggiorna le policy interessate nella tua organizzazione. Lo script immette il file `affected_policies_and_suggestions.json` e quindi aggiunge le nuove azioni suggerite alle policy.
+ `rollback_affected_policies.py` — (Facoltativo) Annulla le modifiche apportate alle policy interessate. Questo script rimuove le nuove azioni granulari dalle policy interessate.
1. Per configurare e attivare l'ambiente virtuale, esegui i comandi seguenti.
```
python3 -m venv venv
```
```
source venv/bin/activate
```
1. Esegui il comando seguente per installare la AWS SDK per Python (Boto3) dipendenza.
```
pip install -r requirements.txt
```
**Nota**
È necessario configurare AWS le credenziali per utilizzare AWS Command Line Interface ()AWS CLI. Per ulteriori informazioni, consulta [AWS SDK per Python (Boto3)](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/credentials.html).
Per ulteriori informazioni, consulta il file [README.md](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles#readme).
## Fase 2: Creare il CloudFormation StackSet
Segui questa procedura per creare un *set di CloudFormation stack*. Questo set di stack crea quindi il ruolo IAM `BillingConsolePolicyMigratorRole` per tutti gli account membri nell'organizzazione.
**Nota**
È necessario completare questo passaggio solo una volta dall'account di gestione (account pagatore).
**Per creare il CloudFormation StackSet**
1. In un editor di testo, apri il `billing_console_policy_migrator_role.json` file e sostituisci ogni istanza di *``* con l'ID dell'account del pagatore (ad esempio,*123456789012*).
1. Salvare il file.
1. Accedi all'account Console di gestione AWS come pagatore.
1. Nella CloudFormation console, crea uno stack set con il `billing_console_policy_migrator_role.json` file che hai aggiornato.
Per ulteriori informazioni, consulta [Creazione di un set di stack sulla AWS CloudFormation console nella Guida](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html) per l'*AWS CloudFormation utente*.
Dopo aver CloudFormation creato lo stack set, ogni account membro dell'organizzazione ha un ruolo `BillingConsolePolicyMigratorRole` IAM.
Il ruolo IAM contiene le seguenti autorizzazioni:
```
"iam:GetAccountAuthorizationDetails",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion"
```
**Note**
Per ogni account membro, gli script richiamano l'operazione [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)API per ottenere credenziali temporanee per assumere il `BillingConsolePolicyMigratorRole` ruolo IAM.
Gli script richiamano l'operazione [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)API per ottenere tutti gli account dei membri.
Gli script richiamano anche le operazioni dell'API IAM per eseguire le autorizzazioni di lettura e scrittura delle policy.
## Fase 3: Identifica le policy interessate
Dopo aver creato il set di stack e scaricato i file, esegui lo script `identify_affected_policies.py`. Questo script assume il ruolo IAM `BillingConsolePolicyMigratorRole` per ogni account membro e quindi identifica le policy interessate.
**Per identificare le policy interessate**
1. Passa alla directory in cui hai scaricato gli script.
```
cd policy_migration_scripts/scripts
```
1. Eseguire lo script `identify_affected_policies.py`.
Puoi inoltre utilizzare i seguenti parametri di input:
+ Account AWS che vuoi che lo script scansioni. Per specificare gli account, utilizza i seguenti parametri di input:
+ `--all` — Esamina tutti gli account membri nell'organizzazione.
```
python3 identify_affected_policies.py --all
```
+ `--accounts` — Esamina un sottoinsieme di account membri nell'organizzazione.
```
python3 identify_affected_policies.py --accounts 111122223333, 444455556666, 777788889999
```
+ `--exclude-accounts` — Sono esclusi gli account membri specifici nell'organizzazione.
```
python3 identify_affected_policies.py --all --exclude-accounts 111111111111, 222222222222, 333333333333
```
+ ` –-action-mapping-config-file` — (Facoltativo) Specificare il percorso del file `action_mapping_config.json`. Lo script utilizza questo file per generare aggiornamenti suggeriti per le policy interessate. Se non specifichi il percorso, lo script utilizza il file `action_mapping_config.json` nella cartella.
```
python3 identify_affected_policies.py –-action-mapping-config-file c:\Users\username\Desktop\Scripts\action_mapping_config.json –-all
```
**Nota**
Non è possibile specificare unità organizzative (OUs) con questo script.
Dopo aver eseguito lo script, crea due file JSON in una `Affected_Policies_` cartella:
+ `affected_policies_and_suggestions.json`
+ `detailed_affected_policies.json`
**`affected_policies_and_suggestions.json`**
Elenca le policy interessate con le nuove azioni suggerite. Le policy interessate che utilizzano lo stesso set di vecchie azioni vengono raggruppate nel file.
Questo file contiene le sezioni seguenti:
+ Metadati che forniscono una panoramica degli account specificati nello script, tra cui:
+ Account scansionati e parametro di input utilizzato per lo script `identify_affected_policies.py`
+ Numero di account interessati
+ Numero di policy interessate
+ Numero di gruppi di policy simili
+ Gruppi di policy simili: include l'elenco degli account e dei dettagli delle policy, incluse le seguenti sezioni:
+ `ImpactedPolicies` — Specifica quali policy sono interessate e incluse nel gruppo
+ `ImpactedPolicyStatements` — Fornisce informazioni sui blocchi `Sid` che attualmente utilizzano le vecchie azioni nella policy interessata. Questa sezione include le azioni e gli elementi IAM precedenti, come `Effect`, `Principal`, `NotPrincipal`, `NotAction` e `Condition`.
+ `SuggestedPolicyStatementsToAppend` — Fornisce le nuove azioni suggerite che vengono aggiunte come nuovo blocco `SID`.
Quando si aggiornano le policy, questo blocco viene aggiunto alla fine delle policy.
**Example Esempio di file `affected_policies_and_suggestions.json`**
Questo file raggruppa policy simili in base ai seguenti criteri:
+ Vengono utilizzate le stesse azioni precedenti: policy con le stesse vecchie azioni in tutti i blocchi `SID`.
+ Dettagli corrispondenti: oltre alle azioni interessate, le policy hanno elementi IAM identici, come:
+ `Effect` (`Allow`/`Deny`)
+ `Principal` (a chi è consentito o negato l'accesso)
+ `NotAction` (quali azioni non sono consentite)
+ `NotPrincipal` (a chi viene negato esplicitamente l'accesso)
+ `Resource`(a quali AWS risorse si applica la politica)
+ `Condition` (eventuali condizioni specifiche in base alle quali si applica la policy)
Per ulteriori informazioni, consulta [Esempi di policy IAM](#examples-of-similar-policies).
**Example Esempio `affected_policies_and_suggestions.json`**
```
[{
"AccountsScanned": [
"111111111111",
"222222222222"
],
"TotalAffectedAccounts": 2,
"TotalAffectedPolicies": 2,
"TotalSimilarPolicyGroups": 2
},
{
"GroupName": "Group1",
"ImpactedPolicies": [{
"Account": "111111111111",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-Allow",
"PolicyIdentifier": "1111111_1-user:Inline-Test-Policy-Allow"
},
{
"Account": "222222222222",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-Allow",
"PolicyIdentifier": "222222_1-group:Inline-Test-Policy-Allow"
}
],
"ImpactedPolicyStatements": [
[{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccounts"
],
"Resource": "*"
}]
],
"SuggestedPolicyStatementsToAppend": [{
"Sid": "BillingConsolePolicyMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"account:GetAlternateContact",
"account:GetChallengeQuestions",
"account:GetContactInformation",
"billing:GetContractInformation",
"billing:GetIAMAccessPreference",
"billing:GetSellerOfRecord",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}]
},
{
"GroupName": "Group2",
"ImpactedPolicies": [{
"Account": "111111111111",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-deny",
"PolicyIdentifier": "1111111_2-user:Inline-Test-Policy-deny"
},
{
"Account": "222222222222",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-deny",
"PolicyIdentifier": "222222_2-group:Inline-Test-Policy-deny"
}
],
"ImpactedPolicyStatements": [
[{
"Sid": "VisualEditor0",
"Effect": "deny",
"Action": [
"aws-portal:ModifyAccount"
],
"Resource": "*"
}]
],
"SuggestedPolicyStatementsToAppend": [{
"Sid": "BillingConsolePolicyMigrator1",
"Effect": "Deny",
"Action": [
"account:CloseAccount",
"account:DeleteAlternateContact",
"account:PutAlternateContact",
"account:PutChallengeQuestions",
"account:PutContactInformation",
"billing:PutContractInformation",
"billing:UpdateIAMAccessPreference",
"payments:UpdatePaymentPreferences"
],
"Resource": "*"
}]
}
]
```
**`detailed_affected_policies.json`**
Contiene la definizione di tutte le policy interessate identificate dallo script `identify_affected_policies.py` per gli account membri.
Il file raggruppa policy simili. Puoi utilizzare questo file come riferimento, in modo da poter rivedere e gestire le modifiche alle policy senza dover accedere a ciascun account membro per rivedere gli aggiornamenti di ogni policy e account singolarmente.
È possibile cercare nel file il nome della policy (ad esempio, `YourCustomerManagedReadOnlyAccessBillingUser`) e quindi rivedere le definizioni delle policy interessate.
**Example Ad esempio: `detailed_affected_policies.json`**
## Fase 4: Esamina le modifiche suggerite
Dopo che lo script ha creato il file `affected_policies_and_suggestions.json`, esaminalo e apporta le modifiche.
**Per esaminare le policy interessate**
1. In un editor di testo, aprire il file `affected_policies_and_suggestions.json`.
1. Nella sezione `AccountsScanned`, verifica che sia previsto il numero di gruppi simili identificati negli account scansionati.
1. Esamina le azioni granulari suggerite che verranno aggiunte alle policy interessate.
1. Aggiorna il file in base alle esigenze e quindi salvalo.
### Esempio 1: aggiorna il file `action_mapping_config.json`
È possibile aggiornare le mappature suggerite in `action_mapping_config.json`. Dopo aver aggiornato il file, è possibile eseguire nuovamente lo script `identify_affected_policies.py`. Questo script genera suggerimenti aggiornati per le policy interessate.
Puoi creare più versioni del file `action_mapping_config.json` per modificare le policy per diversi account con autorizzazioni diverse. Ad esempio, potresti creare un file denominato `action_mapping_config_testing.json` per migrare le autorizzazioni per i tuoi account di prova e `action_mapping_config_production.json` per i tuoi account di produzione.
### Esempio 2: aggiorna il file `affected_policies_and_suggestions.json`
Per apportare modifiche alle sostituzioni suggerite per uno specifico gruppo di policy interessato, puoi modificare direttamente la sezione delle sostituzioni suggerite all'interno del file `affected_policies_and_suggestions.json`.
Tutte le modifiche apportate in questa sezione vengono applicate a tutte le policy all'interno di quello specifico gruppo di policy interessato.
### Esempio 3: personalizza una policy specifica
Se trovi che una policy all'interno di un gruppo di policy interessato richiede modifiche diverse rispetto agli aggiornamenti suggeriti, puoi procedere come segue:
+ Escludi account specifici dallo script `identify_affected_policies.py`. Puoi quindi rivedere separatamente gli account esclusi.
+ Aggiorna i blocchi `Sid` interessati rimuovendo le policy e gli account interessati che richiedono autorizzazioni diverse. Crea un blocco JSON che includa solo gli account specifici o li escluda dall'esecuzione della policy interessata dall'aggiornamento corrente.
Quando esegui nuovamente lo script `identify_affected_policies.py`, nel blocco aggiornato vengono visualizzati solo gli account pertinenti. Quindi puoi perfezionare le sostituzioni suggerite per quel blocco `Sid` specifico.
## Fase 5: aggiorna le policy interessate
Dopo aver esaminato e perfezionato le sostituzioni suggerite, esegui lo script `update_affected_policies.py`. Lo script accetta il file `affected_policies_and_suggestions.json` come input. Questo script assume il ruolo IAM `BillingConsolePolicyMigratorRole` per aggiornare le policy interessate elencate nel file `affected_policies_and_suggestions.json`.
**Per aggiornare le policy interessate**
1. Se non l'hai già fatto, apri una finestra della riga di comando per AWS CLI.
1. Inserisci il comando seguente per eseguire lo script `update_affected_policies.py`. Puoi inserire il seguente parametro di input:
+ Il percorso della directory del file `affected_policies_and_suggestions.json` che contiene un elenco delle policy interessate da aggiornare. Questo file è un output del passaggio precedente.
```
python3 update_affected_policies.py --affected-policies-directory Affected_Policies_
```
Lo script `update_affected_policies.py` aggiorna le policy interessate all'interno del file `affected_policies_and_suggestions.json` con le nuove azioni suggerite. Lo script aggiunge un `Sid` blocco alle politiche, identificato come`BillingConsolePolicyMigrator#`, dove *\$1* corrisponde a un contatore incrementale (ad esempio, 1, 2, 3).
Ad esempio, se nella policy interessata sono presenti più blocchi `Sid` che utilizzano azioni obsolete, lo script aggiunge più blocchi `Sid` che sembrano corrispondere a `BillingConsolePolicyMigrator#` a ciascun blocco `Sid`.
**Importante**
Lo script non rimuove le vecchie azioni IAM dalle policy né modifica i blocchi `Sid` esistenti nelle policy. Invece, crea blocchi `Sid` e li aggiunge alla fine della policy. Questi nuovi blocchi `Sid` contengono le nuove azioni suggerite dal file JSON. Ciò garantisce che le autorizzazioni delle policy originali non vengano modificate.
Ti consigliamo di non modificare il nome dei blocchi `BillingConsolePolicyMigrator#` `Sid` nel caso in cui sia necessario annullare le modifiche.
**Example Esempio: policy con blocchi `Sid` aggiunti**
Guarda i blocchi `Sid` aggiunti nei blocchi `BillingConsolePolicyMigrator1` e `BillingConsolePolicyMigrator2`.
Lo script genera un rapporto sullo stato che contiene operazioni non riuscite e restituisce il file JSON localmente.
**Example Esempio: rapporto sullo stato**
```
[{
"Account": "111111111111",
"PolicyType": "Customer Managed Policy"
"PolicyName": "AwsPortalViewPaymentMethods",
"PolicyIdentifier": "identifier",
"Status": "FAILURE", // FAILURE or SKIPPED
"ErrorMessage": "Error message details"
}]
```
**Importante**
Se esegui nuovamente gli script `identify_affected_policies.py` e `update_affected_policies.py`, questi ignorano tutte le policy che contengono il blocco `BillingConsolePolicyMigratorRole#``Sid`. Gli script presuppongono che tali policy siano state precedentemente scansionate e aggiornate e che non richiedano aggiornamenti aggiuntivi. Questo impedisce allo script di duplicare le stesse azioni nella policy.
Dopo aver aggiornato le policy interessate, puoi utilizzare il nuovo IAM utilizzando lo strumento per le policy interessate. Se riscontri problemi, puoi utilizzare lo strumento per tornare alle azioni precedenti. Puoi anche utilizzare uno script per ripristinare gli aggiornamenti delle policy.
Per ulteriori informazioni, consulta il [Come utilizzare lo strumento policy interessate](migrate-security-iam-tool.md) post sul blog [Modifiche alle autorizzazioni di AWS fatturazione, gestione dei costi e console dell'account](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/).
Per gestire gli aggiornamenti, è possibile:
Esegui gli script per ogni account singolarmente.
Esegui lo script in batch per account simili (come account di test, controllo qualità e produzione).
Esegui lo script per tutti gli account.
Scegli una combinazione tra l'aggiornamento di alcuni account in batch e l'aggiornamento di altri singolarmente.
## Fase 6: annulla le modifiche (facoltativo)
Lo script `rollback_affected_policies.py` ripristina le modifiche applicate a ciascuna policy interessata per gli account specificati. Lo script rimuove tutti i blocchi `Sid` che lo script `update_affected_policies.py` ha aggiunto. Questi blocchi `Sid` hanno il formato `BillingConsolePolicyMigratorRole#`.
**Per annullare le modifiche**
1. Se non l'hai già fatto, apri una finestra della riga di comando per AWS CLI.
1. Inserisci il comando seguente per eseguire lo script `rollback_affected_policies.py`. Puoi inserire i seguenti parametri di input:
+ `--accounts`
+ Specificate un elenco separato da virgole dei file Account AWS IDs che desiderate includere nel rollback.
+ L'esempio seguente analizza le politiche specificate Account AWS e rimuove tutte le istruzioni con il blocco. `BillingConsolePolicyMigrator#` `Sid`
```
python3 rollback_affected_policies.py –-accounts 111122223333, 555555555555, 666666666666
```
+ `--all`
+ Include tutto ciò che Account AWS IDs fa parte dell'organizzazione.
+ L'esempio seguente analizza tutte le policy nell'organizzazione e rimuove tutte le istruzioni con il blocco `BillingConsolePolicyMigratorRole#` `Sid`.
```
python3 rollback_affected_policies.py –-all
```
+ `--exclude-accounts`
+ Specificate un elenco separato da virgole degli elementi Account AWS IDs che desiderate escludere dal rollback.
Puoi utilizzare questo parametro solo quando specifichi il parametro `--all`.
+ L'esempio seguente analizza le politiche per tutti gli utenti dell'organizzazione, ad Account AWS eccezione degli account specificati.
```
python3 rollback_affected_policies.py --all --exclude-accounts 777777777777, 888888888888, 999999999999
```
## Esempi di policy IAM
Le policy sono considerate simili se hanno simili:
+ Azioni interessate in tutti i blocchi `Sid`.
+ Dettagli nei seguenti elementi IAM:
+ `Effect` (`Allow`/`Deny`)
+ `Principal` (a chi è consentito o negato l'accesso)
+ `NotAction` (quali azioni non sono consentite)
+ `NotPrincipal` (a chi viene negato esplicitamente l'accesso)
+ `Resource`(a quali AWS risorse si applica la politica)
+ `Condition` (eventuali condizioni specifiche in base alle quali si applica la policy)
Gli esempi seguenti mostrano policy che IAM potrebbe considerare simili o meno in base alle differenze.
**Example Esempio 1: le policy sono considerate simili**
Ogni tipo di policy è diverso, ma entrambe contengono un blocco `Sid` con la stessa `Action` interessata.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
**Example Esempio 2: le policy sono considerate simili**
Entrambe le policy contengono un blocco `Sid` con la stessa `Action` interessata. La policy 2 contiene azioni aggiuntive, ma queste azioni non sono interessate.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing",
"athena:*"
],
"Resource": "*"
}]
}
```
**Example Esempio 3: le policy non sono considerate simili**
Entrambe le policy contengono un blocco `Sid` con la stessa `Action` interessata. Tuttavia, la policy 2 contiene un elemento `Condition` che non è presente nella policy 1.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing",
"athena:*"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "true"
}
}
}]
}
```
**Example Esempio 4: le policy sono considerate simili**
La Policy 1 prevede un singolo blocco `Sid` con una `Action` interessata. La Policy 2 ha più `Sid` blocchi, ma la `Action` interessata viene visualizzata in un solo blocco.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"cloudtrail:Get*"
],
"Resource": "*"
}
]
}
```
**Example Esempio 5: le policy non sono considerate simili**
La Policy 1 prevede un singolo blocco `Sid` con una `Action` interessata. La Policy 2 ha più `Sid` blocchi e la `Action` interessata viene visualizzata in più blocchi.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*"
],
"Resource": "*"
}
]
}
```
**Example Esempio 6: le policy sono considerate simili**
Entrambe le policy hanno più `Sid` blocchi, con la stessa `Action` interessata in ogni blocco `Sid`.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"iam:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"iam:Update*"
],
"Resource": "*"
}
]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"athena:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"athena:Update*"
],
"Resource": "*"
}
]
}
```
**Example Esempio 7**
Le due policy seguenti non sono considerate simili.
La Policy 1 prevede un singolo blocco `Sid` con una `Action` interessata. La Policy 2 presenta un blocco `Sid` con la stessa `Action` interessata. Tuttavia, la policy 2 contiene anche un altro blocco `Sid` con azioni diverse.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"iam:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"iam:Update*"
],
"Resource": "*"
}
]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"athena:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:*Billing",
"athena:Update*"
],
"Resource": "*"
}
]
}
```
# Riferimento alla mappatura delle azioni IAM granulari
**Nota**
Le seguenti azioni AWS Identity and Access Management (IAM) hanno raggiunto la fine del supporto standard a luglio 2023:
Spazio dei nomi `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Se utilizzi AWS Organizations, puoi utilizzare gli [script Bulk Policy Migrator o Bulk Policy Migrator](migrate-iam-permissions.md) per aggiornare le politiche dal tuo account di pagamento. Puoi anche utilizzare il [riferimento alla mappatura dalle vecchie operazioni alle operazioni granulari](#migrate-granularaccess-iam-mapping-reference) per verificare le operazioni IAM da aggiungere.
Se ne hai AWS Organizations creato uno Account AWS o ne fai parte a partire dal 6 marzo 2023 alle 11:00 (PDT), le azioni dettagliate sono già in vigore nella tua organizzazione.
Sarà necessario migrare le seguenti azioni IAM nelle policy di autorizzazione o di controllo dei servizi (SCP):
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
È possibile utilizzare questo argomento per visualizzare la mappatura dettagliata delle azioni vecchie e nuove per ogni azione IAM che stiamo ritirando.
**Panoramica di**
1. Verifica le policy IAM interessate nel tuo Account AWS. Per farlo, segui la procedura indicata nello strumento **Policy interessate** per identificare le policy IAM interessate. Per informazioni, consulta [Come utilizzare lo strumento policy interessate](migrate-security-iam-tool.md).
1. Utilizza la console IAM per aggiungere le nuove autorizzazioni granulari alla tua policy. Ad esempio, se la tua policy consente l'autorizzazione `purchase-orders:ModifyPurchaseOrders`, devi aggiungere ogni operazione nella tabella [Mappatura per purchase-orders:ModifyPurchaseOrders](#mapping-for-purchase-ordersmodifypurchaseorders).
**Vecchia policy**
La policy seguente consente a un utente di aggiungere, eliminare o modificare qualsiasi ordine di acquisto nell'account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "purchase-orders:ModifyPurchaseOrders",
"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
}
]
}
```
------
**Nuova policy**
La policy seguente inoltre consente a un utente di aggiungere, eliminare o modificare qualsiasi ordine di acquisto nell'account. Tieni presente che ogni autorizzazione granulare viene visualizzata dopo la vecchia autorizzazione `purchase-orders:ModifyPurchaseOrders`. Queste autorizzazioni offrono un maggiore controllo sulle operazioni che desideri consentire o negare.
**Suggerimento**
Consigliamo di mantenere le vecchie autorizzazioni per assicurarti di non perderle fino al completamento della migrazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"purchase-orders:ModifyPurchaseOrders",
"purchase-orders:AddPurchaseOrder",
"purchase-orders:DeletePurchaseOrder",
"purchase-orders:UpdatePurchaseOrder",
"purchase-orders:UpdatePurchaseOrderStatus"
],
"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
}
]
}
```
------
1. Salvare le modifiche.
**Note**
Per modificare manualmente le policy nella console IAM, consulta [Modifica delle policy gestite dal cliente (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console) nella *Guida per l'utente di IAM*.
Per eseguire la migrazione delle tue policy IAM in blocco per utilizzare operazioni granulari (nuove operazioni), consulta [Usa gli script per migrare in blocco le tue policy per utilizzare azioni IAM granulari](migrate-iam-permissions.md).
**Contents**
+ [
## Mappatura per aws-portal:ViewAccount
](#mapping-for-aws-portalviewaccount)
+ [
## Mappatura per aws-portal:ViewBilling
](#mapping-for-aws-portalviewbilling)
+ [
## Mappatura per aws-portal:ViewPaymentMethods
](#mapping-for-aws-portalviewpaymentmethods)
+ [
## Mappatura per aws-portal:ViewUsage
](#mapping-for-aws-portalviewusage)
+ [
## Mappatura per aws-portal:ModifyAccount
](#mapping-for-aws-portalmodifyaccount)
+ [
## Mappatura per aws-portal:ModifyBilling
](#mapping-for-aws-portalmodifybilling)
+ [
## Mappatura per aws-portal:ModifyPaymentMethods
](#mapping-for-aws-portalmodifypaymentmethods)
+ [
## Mappatura per purchase-orders:ViewPurchaseOrders
](#mapping-for-purchase-ordersviewpurchaseorders)
+ [
## Mappatura per purchase-orders:ModifyPurchaseOrders
](#mapping-for-purchase-ordersmodifypurchaseorders)
## Mappatura per aws-portal:ViewAccount
| Nuova operazione | Description | Livello di accesso |
| --- | --- | --- |
| account:GetAccountInformation | Concede l'autorizzazione per recuperare le informazioni di un account | Lettura |
| account:GetAlternateContact | Concede l'autorizzazione per recuperare i contatti alternativi per un account | Lettura |
| account:GetContactInformation | Concede l'autorizzazione per recuperare le informazioni del contatto principale per un account | Lettura |
| billing:GetContractInformation | Concede l'autorizzazione per visualizzare le informazioni sul contratto dell'account, tra cui il numero del contratto, i nomi delle organizzazioni degli utenti finali, i numeri degli ordini d'acquisto e se l'account viene utilizzato per servire clienti del settore pubblico | Lettura |
| billing:GetIAMAccessPreference | Concede l'autorizzazione per recuperare lo stato della preferenza di fatturazione Concedi accesso IAM | Lettura |
| billing:GetSellerOfRecord | Concede l'autorizzazione per recuperare il venditore registrato predefinito dell'account | Lettura |
| payments:ListPaymentPreferences | Concede l'autorizzazione per ottenere le preferenze di pagamento (ad esempio, valuta di pagamento preferita, metodo di pagamento preferito) | Lettura |
## Mappatura per aws-portal:ViewBilling
| Nuova operazione | Description | Livello di accesso |
| --- | --- | --- |
| account:GetAccountInformation | Concede l'autorizzazione per recuperare le informazioni di un account | Lettura |
| billing:GetBillingData | Concede l'autorizzazione per eseguire query sulle informazioni di fatturazione | Lettura |
| billing:GetBillingDetails | Concede l'autorizzazione per visualizzare le informazioni di fatturazione per elemento di una riga dettagliata | Lettura |
| billing:GetBillingNotifications | Concede l'autorizzazione a visualizzare le notifiche inviate dai AWS dati di fatturazione del tuo account | Lettura |
| billing:GetBillingPreferences | Concede l'autorizzazione per visualizzare le preferenze di fatturazione come Istanze riservate, Savings Plans e condivisione dei crediti | Lettura |
| billing:GetContractInformation | Concede l'autorizzazione per visualizzare le informazioni sul contratto dell'account, tra cui il numero del contratto, i nomi delle organizzazioni degli utenti finali, i numeri degli ordini d'acquisto e se l'account viene utilizzato per servire clienti del settore pubblico | Lettura |
| billing:GetCredits | Concede l'autorizzazione per visualizzare i crediti che sono stati riscattati | Lettura |
| billing:GetIAMAccessPreference | Concede l'autorizzazione per recuperare lo stato della preferenza di fatturazione Concedi accesso IAM | Lettura |
| billing:GetSellerOfRecord | Concede l'autorizzazione per recuperare il venditore registrato predefinito dell'account | Lettura |
| billing:ListBillingViews | Concede l'autorizzazione a ottenere informazioni di fatturazione per i tuoi gruppi di fatturazione proforma | List |
| ce:DescribeNotificationSubscription | Concede l'autorizzazione per visualizzare gli avvisi di scadenza prenotazione | Lettura |
| ce:DescribeReport | Concessione dell'autorizzazione per visualizzare la pagina report di Cost Explorer | Read |
| ce:GetAnomalies | Concede l'autorizzazione per recuperare le anomalie | Read |
| ce:GetAnomalyMonitors | Concede l'autorizzazione per eseguire query sui monitoraggi delle anomalie | Read |
| ce:GetAnomalySubscriptions | Concede l'autorizzazione per eseguire query sulle sottoscrizioni delle anomalie | Read |
| ce:GetCostAndUsage | Concede l'autorizzazione per recuperare i parametri di costo e utilizzo per il tuo account | Read |
| ce:GetCostAndUsageWithResources | Concede l'autorizzazione per recuperare i parametri di costo e utilizzo con le risorse del tuo account | Lettura |
| ce:GetCostCategories | Concede l'autorizzazione per eseguire una query sui nomi e i valori di cost catagory per un periodo di tempo specificato | Lettura |
| ce:GetCostForecast | Concede l'autorizzazione per recuperare una previsione di costo per un periodo di tempo di previsione | Read |
| ce:GetDimensionValues | Concede l'autorizzazione per recuperare tutti i valori di filtro disponibili per un filtro per un periodo di tempo | Lettura |
| ce:GetPreferences | Concessione dell'autorizzazione per visualizzare la pagina preferenze di Cost Explorer | Lettura |
| ce:GetReservationCoverage | Concede l'autorizzazione per recuperare la copertura della prenotazione per l'account | Read |
| ce:GetReservationPurchaseRecommendation | Concede l'autorizzazione per recuperare raccomandazioni per le prenotazioni per l'account | Read |
| ce:GetReservationUtilization | Concede l'autorizzazione per recuperare l'utilizzo della prenotazione per l'account | Read |
| ce:GetRightsizingRecommendation | Concede l'autorizzazione per recuperare i suggerimenti sul corretto dimensionamento per l'account | Read |
| ce:GetSavingsPlansCoverage | Concede l'autorizzazione per recuperare la copertura Savings Plans per l'account | Read |
| ce:GetSavingsPlansPurchaseRecommendation | Concede l'autorizzazione per recuperare i suggerimenti Savings Plans per l'account | Read |
| ce:GetSavingsPlansUtilization | Concede l'autorizzazione per recuperare l'utilizzo di Savings Plans per l'account | Read |
| ce:GetSavingsPlansUtilizationDetails | Concede l'autorizzazione per recuperare i dettagli sull'utilizzo di Savings Plans per il tuo account | Read |
| ce:GetTags | Concede l'autorizzazione per eseguire query sui tag per un periodo di tempo specificato | Read |
| ce:GetUsageForecast | Concede l'autorizzazione per recuperare una previsione di utilizzo per un periodo di tempo di previsione | Lettura |
| ce:ListCostAllocationTags | Concede le autorizzazioni per elencare i tag di allocazione costi | List |
| ce:ListSavingsPlansPurchaseRecommendationGeneration | Concede l'autorizzazione per recuperare un elenco di generazioni di raccomandazione cronologiche | Lettura |
| consolidatedbilling:GetAccountBillingRole | Concede l'autorizzazione per ottenere il ruolo dell'account (entità pagante, collegata, regolare) | Lettura |
| consolidatedbilling:ListLinkedAccounts | Concede l'autorizzazione per ottenere l'elenco di membri e account collegati | List |
| cur:GetClassicReport | Concede l'autorizzazione per ottenere il rapporto CSV della fatture | Lettura |
| cur:GetClassicReportPreferences | Concede l'autorizzazione per ottenere lo stato di abilitazione report classico per Report di utilizzo | Lettura |
| cur:ValidateReportDestination | Concede l'autorizzazione a convalidare se il bucket Amazon S3 esiste con le autorizzazioni appropriate per la consegna CUR AWS | Lettura |
| freetier:GetFreeTierAlertPreference | Concede l'autorizzazione a ottenere Piano gratuito di AWS la preferenza per gli avvisi (tramite indirizzo e-mail) | Lettura |
| freetier:GetFreeTierUsage | Concede l'autorizzazione a ottenere i limiti di Piano gratuito di AWS utilizzo e lo stato di utilizzo month-to-date (MTD) | Lettura |
| invoicing:GetInvoiceEmailDeliveryPreferences | Concede l'autorizzazione per ottenere le preferenze di invio delle e-mail di fattura | Lettura |
| invoicing:GetInvoicePDF | Concede l'autorizzazione per ottenere il PDF della fattura | Lettura |
| invoicing:ListInvoiceSummaries | Concede l'autorizzazione per ottenere informazioni di riepilogo della fattura del tuo account o dell'account collegato | List |
| payments:GetPaymentInstrument | Concede l'autorizzazione per ottenere le informazioni su uno strumento di pagamento | Lettura |
| payments:GetPaymentStatus | Concede l'autorizzazione per ottenere lo stato del pagamento delle fatture | Lettura |
| payments:ListPaymentPreferences | Concede l'autorizzazione per ottenere le preferenze di pagamento (ad esempio, valuta di pagamento preferita, metodo di pagamento preferito) | Lettura |
| tax:GetTaxInheritance | Concede l'autorizzazione per visualizzare lo stato delle tasse di successione | Lettura |
| tax:GetTaxRegistrationDocument | Concede l'autorizzazione per scaricare i documenti relativi ai dati delle registrazioni fiscali | Lettura |
| tax:ListTaxRegistrations | Concede l'autorizzazione per visualizzare le registrazioni fiscali | Lettura |
## Mappatura per aws-portal:ViewPaymentMethods
| Nuova operazione | Description | Livello di accesso |
| --- | --- | --- |
| account:GetAccountInformation | Concede l'autorizzazione per recuperare le informazioni di un account | Lettura |
| invoicing:GetInvoicePDF | Concede l'autorizzazione per ottenere il PDF della fattura | Lettura |
| payments:GetPaymentInstrument | Concede l'autorizzazione per ottenere le informazioni su uno strumento di pagamento | Lettura |
| payments:GetPaymentStatus | Concede l'autorizzazione per ottenere lo stato del pagamento delle fatture | Lettura |
| payments:ListPaymentPreferences | Concede l'autorizzazione per ottenere le preferenze di pagamento (ad esempio, valuta di pagamento preferita, metodo di pagamento preferito) | List |
## Mappatura per aws-portal:ViewUsage
| Nuova operazione | Description | Livello di accesso |
| --- | --- | --- |
| cur:GetUsageReport | Concede l'autorizzazione per ottenere un elenco Servizi AWS, il tipo di utilizzo e l'operazione per il flusso di lavoro dei report sull'utilizzo e per scaricare i report di utilizzo | Lettura |
## Mappatura per aws-portal:ModifyAccount
| Nuova operazione | Description | Livello di accesso |
| --- | --- | --- |
| account:CloseAccount | Concede l'autorizzazione per chiudere un account | Scrittura |
| account:DeleteAlternateContact | Concede l'autorizzazione per eliminare i contatti alternativi per un account | Scrittura |
| account:PutAlternateContact | Concede l'autorizzazione per modificare i contatti alternativi per un account | Scrittura |
| account:PutChallengeQuestions | Concede l'autorizzazione per modificare le domande di sicurezza di un account | Scrittura |
| account:PutContactInformation | Concede l'autorizzazione per aggiornare le informazioni del contatto principale per un account | Scrittura |
| billing:PutContractInformation | Concede l'autorizzazione per impostare le informazioni sul contratto dell'account, i nomi delle organizzazioni degli utenti finali e se l'account viene utilizzato per servire clienti del settore pubblico | Scrittura |
| billing:UpdateIAMAccessPreference | Concede l'autorizzazione per aggiornare lo stato della preferenza di fatturazione Concedi accesso IAM | Scrittura |
| payments:UpdatePaymentPreferences | Concede l'autorizzazione per aggiornare le preferenze di pagamento (ad esempio, valuta di pagamento preferita, metodo di pagamento preferito) | Scrittura |
## Mappatura per aws-portal:ModifyBilling
| Nuova operazione | Description | Livello di accesso |
| --- | --- | --- |
| billing:PutContractInformation | Concede l'autorizzazione per impostare le informazioni sul contratto dell'account, i nomi delle organizzazioni degli utenti finali e se l'account viene utilizzato per servire clienti del settore pubblico | Scrittura |
| billing:RedeemCredits | Concede l'autorizzazione a riscattare qualsiasi credito AWS | Scrittura |
| billing:UpdateBillingPreferences | Concede l'autorizzazione per aggiornare le preferenze di fatturazione come Istanze riservate, Savings Plans e condivisione dei crediti | Scrittura |
| ce:CreateAnomalyMonitor | Concede l'autorizzazione per creare un nuovo monitoraggio delle anomalie | Write |
| ce:CreateAnomalySubscription | Concede l'autorizzazione per creare una nuova sottoscrizione delle anomalie | Scrittura |
| ce:CreateNotificationSubscription | Concede l'autorizzazione per creare avvisi di scadenza prenotazione | Scrittura |
| ce:CreateReport | Concede l'autorizzazione per creare report di Cost Explorer | Write |
| ce:DeleteAnomalyMonitor | Concede l'autorizzazione per eliminare un monitoraggio delle anomalie | Write |
| ce:DeleteAnomalySubscription | Concede l'autorizzazione per eliminare una sottoscrizione delle anomalie | Scrittura |
| ce:DeleteNotificationSubscription | Concede l'autorizzazione per eliminare gli avvisi di scadenza prenotazione | Scrittura |
| ce:DeleteReport | Concede l'autorizzazione per eliminare i report di Cost Explorer | Scrittura |
| ce:ProvideAnomalyFeedback | Concede l'autorizzazione per fornire feedback sulle anomalie rilevate | Scrittura |
| ce:StartSavingsPlansPurchaseRecommendationGeneration | Concede l'autorizzazione per richiedere la generazione di raccomandazioni Savings Plans | Scrittura |
| ce:UpdateAnomalyMonitor | Concede l'autorizzazione per aggiornare un monitoraggio delle anomalie esistente | Write |
| ce:UpdateAnomalySubscription | Concede l'autorizzazione per aggiornare una sottoscrizione delle anomalie esistente | Scrittura |
| ce:UpdateCostAllocationTagsStatus | Concede l'autorizzazione per aggiornare i tag di allocazione costi esistenti | Scrittura |
| ce:UpdateNotificationSubscription | Concede l'autorizzazione per aggiornare gli avvisi di scadenza prenotazione | Scrittura |
| ce:UpdatePreferences | Concessione dell'autorizzazione per modificare la pagina Preferenze di Cost Explorer | Scrittura |
| cur:PutClassicReportPreferences | Concede l'autorizzazione per abilitare i report classici | Scrittura |
| freetier:PutFreeTierAlertPreference | Concede l'autorizzazione a impostare la preferenza di Piano gratuito di AWS avviso (tramite indirizzo e-mail) | Scrittura |
| invoicing:PutInvoiceEmailDeliveryPreferences | Concede l'autorizzazione per aggiornare le preferenze di invio delle e-mail di fattura | Scrittura |
| payments:CreatePaymentInstrument | Concede l'autorizzazione per creare uno strumento di pagamento | Scrittura |
| payments:DeletePaymentInstrument | Concede l'autorizzazione per eliminare uno strumento di pagamento | Scrittura |
| payments:MakePayment | Concede l'autorizzazione per effettuare un pagamento, autenticare un pagamento, verificare un metodo di pagamento e generare un documento di richiesta di fondi per Advance Pay | Scrittura |
| payments:UpdatePaymentPreferences | Concede l'autorizzazione per aggiornare le preferenze di pagamento (ad esempio, valuta di pagamento preferita, metodo di pagamento preferito) | Scrittura |
| tax:BatchPutTaxRegistration | Concede l'autorizzazione per effettuare l'aggiornamento in batch delle registrazioni fiscali | Scrittura |
| tax:DeleteTaxRegistration | Concede l'autorizzazione per eliminare i dati delle registrazioni fiscali | Scrittura |
| tax:PutTaxInheritance | Concede l'autorizzazione per impostare le tasse di successione | Scrittura |
## Mappatura per aws-portal:ModifyPaymentMethods
| Nuova operazione | Description | Livello di accesso |
| --- | --- | --- |
| account:GetAccountInformation | Concede l'autorizzazione per recuperare le informazioni di un account | Lettura |
| payments:DeletePaymentInstrument | Concede l'autorizzazione per eliminare uno strumento di pagamento | Scrittura |
| payments:CreatePaymentInstrument | Concede l'autorizzazione per creare uno strumento di pagamento | Scrittura |
| payments:MakePayment | Concede l'autorizzazione per effettuare un pagamento, autenticare un pagamento, verificare un metodo di pagamento e generare un documento di richiesta di fondi per Advance Pay | Scrittura |
| payments:UpdatePaymentPreferences | Concede l'autorizzazione per aggiornare le preferenze di pagamento (ad esempio, valuta di pagamento preferita, metodo di pagamento preferito) | Scrittura |
## Mappatura per purchase-orders:ViewPurchaseOrders
| Nuova operazione | Description | Livello di accesso |
| --- | --- | --- |
| invoicing:GetInvoicePDF | Concede l'autorizzazione per ottenere il PDF di una fattura | Get |
| payments:ListPaymentPreferences | Concede l'autorizzazione per ottenere le preferenze di pagamento (ad esempio, valuta di pagamento preferita, metodo di pagamento preferito) | List |
| purchase-orders:GetPurchaseOrder | Concede l'autorizzazione per ottenere un ordine di acquisto | Lettura |
| purchase-orders:ListPurchaseOrderInvoices | Concede l'autorizzazione per visualizzare gli ordini di acquisto e i dettagli | List |
| purchase-orders:ListPurchaseOrders | Concede l'autorizzazione per ottenere tutti gli ordini di acquisto disponibili | List |
## Mappatura per purchase-orders:ModifyPurchaseOrders
| Nuova operazione | Description | Livello di accesso |
| --- | --- | --- |
| purchase-orders:AddPurchaseOrder | Concede l'autorizzazione per aggiungere un ordine di acquisto | Scrittura |
| purchase-orders:DeletePurchaseOrder | Concede l'autorizzazione per eliminare un ordine di acquisto. | Scrittura |
| purchase-orders:UpdatePurchaseOrder | Concede l'autorizzazione per aggiornare un ordine di acquisto esistente | Scrittura |
| purchase-orders:UpdatePurchaseOrderStatus | Concede l'autorizzazione per impostare lo stato degli ordini di acquisto | Scrittura |
# AWS politiche gestite
Le politiche gestite sono politiche autonome basate sull'identità che puoi allegare a più utenti, gruppi e ruoli nel tuo account. AWS Puoi utilizzare policy AWS gestite per controllare l'accesso in Billing.
Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni. AWS le politiche gestite semplificano l'assegnazione delle autorizzazioni appropriate a utenti, gruppi e ruoli rispetto a quando si dovessero scrivere le politiche da soli.
Non è possibile modificare le autorizzazioni definite nelle AWS politiche gestite. AWS aggiorna occasionalmente le autorizzazioni definite in una politica AWS gestita. In questi casi l'aggiornamento interessa tutte le entità principali (utenti, gruppi e ruoli) a cui è collegata la policy.
La fatturazione fornisce diverse politiche AWS gestite per casi d'uso comuni.
**Topics**
+ [
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html)
](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy)
+ [
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html)
](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)
+ [
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html)
](#security-iam-awsmanpol-Billing)
+ [
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html)
](#security-iam-awsmanpol-AWSAccountActivityAccess)
+ [
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html)
](#security-iam-awsmanpol-AWSPriceListServiceFullAccess)
+ [
## Aggiornamenti alle politiche AWS gestite per la AWS fatturazione
](#security-iam-awsmanpol-updates)
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html)
Questa policy gestita garantisce l'accesso completo alla console di Gestione fatturazione e costi e alla console degli ordini di acquisto. La policy consente all'utente di visualizzare, creare, aggiornare ed eliminare gli ordini di acquisto dell'account.
Per vedere le autorizzazioni per questa policy, consulta [AWSPurchaseOrdersServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html)
Questa politica gestita garantisce agli utenti l'accesso in sola lettura alle funzionalità della console. Gestione dei costi e fatturazione AWS
### Dettagli delle autorizzazioni
Questa policy include le seguenti autorizzazioni:
+ `account`— Recupera informazioni sul proprio account. AWS
+ `aws-portal`— Concede agli utenti l'autorizzazione generale per la visualizzazione delle pagine della console di Billing and Cost Management.
+ `billing`— Recupera l'accesso completo alle informazioni di AWS fatturazione, come le preferenze di fatturazione, i contratti attivi, i crediti o gli sconti applicati, le preferenze IAM, il venditore registrato e un elenco di report di fatturazione.
+ `budgets`— Recupera informazioni sulle azioni impostate per la funzionalità. Budget AWS
+ `ce`— Recupera informazioni su costi e utilizzo, tag e valori delle dimensioni per visualizzare la funzione AWS Cost Explorer.
+ `consolidatedbilling`— Recupera ruoli e dettagli sulla Account AWS configurazione utilizzando la funzionalità di fatturazione consolidata.
+ `cur`— Recupera informazioni sui loro dati. AWS Cost and Usage Report
+ `freetier`— Recupera informazioni sulle preferenze di Piano gratuito di AWS avviso e utilizzo.
+ `invoicing`— Recupera informazioni sulle loro preferenze di fatturazione.
+ `mapcredits`— Recupera le spese e i crediti relativi all'accordo Migration Acceleration Program (MAP) 2.0.
+ `payments`— Recupera informazioni sul finanziamento, sullo stato dei pagamenti e sullo strumento di pagamento.
+ `purchase-orders`— Recupera informazioni sulle fatture associate ai relativi ordini di acquisto.
+ `sustainability`— Recupera le informazioni sull'impronta di carbonio in base al loro utilizzo. AWS
+ `tax`— Recupera le informazioni fiscali registrate dalle impostazioni fiscali.
Per vedere le autorizzazioni per questa policy, consulta [AWSBillingReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html)
Questa politica gestita concede agli utenti l'autorizzazione a visualizzare e modificare la Gestione dei costi e fatturazione AWS console. Ciò include la visualizzazione dell'utilizzo dell'account, la modifica dei budget e dei metodi di pagamento.
Per visualizzare le autorizzazioni relative a questa policy, consulta [Fatturazione](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html) nel *AWS Managed* Policy Reference.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html)
Questa policy gestita concede agli utenti l'autorizzazione per visualizzare la pagina **Attività dell'account**.
Per vedere le autorizzazioni per questa policy, consulta [AWSAccountActivityAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html)
Questa politica gestita garantisce agli utenti l'accesso completo al servizio di AWS listino prezzi.
Per vedere le autorizzazioni per questa policy, consulta [AWSPriceListServiceFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## Aggiornamenti alle politiche AWS gestite per la AWS fatturazione
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per la AWS fatturazione da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei documenti di AWS fatturazione.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [Fatturazione](#security-iam-awsmanpol-Billing) e [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Aggiornamento alle politiche esistenti | Abbiamo aggiunto le seguenti autorizzazioni di fatturazione a: `Billing` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/managed-policies.html) Abbiamo aggiunto le seguenti autorizzazioni di fatturazione a: `AWSBillingReadOnlyAccess` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/managed-policies.html) | 19 novembre 2025 |
| [Fatturazione](#security-iam-awsmanpol-Billing) e [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Aggiornamento delle politiche esistenti | Abbiamo aggiunto le seguenti autorizzazioni di fatturazione a: `Billing` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/managed-policies.html) Abbiamo aggiunto le seguenti autorizzazioni di fatturazione a: `AWSBillingReadOnlyAccess` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/managed-policies.html) | 1° ottobre 2025 |
| [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess): aggiornamento a policy esistenti | Abbiamo aggiunto la seguenti autorizzazione relativa a `AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/managed-policies.html) | 21 agosto 2025 |
| [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess): aggiornamento a policy esistenti | Abbiamo aggiunto le seguenti Piano gratuito di AWS autorizzazioni a: `AWSBillingReadOnlyAccess` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/managed-policies.html) | 09 luglio 2025 |
| [Fatturazione](#security-iam-awsmanpol-Billing) e [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Aggiornamento alle politiche esistenti | Abbiamo aggiunto le seguenti autorizzazioni MAP 2.0 a `Billing` e: `AWSBillingReadOnlyAccess` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/managed-policies.html) | 27 marzo 2025 |
| [Fatturazione](#security-iam-awsmanpol-Billing): aggiornamento delle politiche esistenti | Abbiamo aggiunto le seguenti autorizzazioni di fatturazione a: `Billing` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/managed-policies.html) | 17 gennaio 2025 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy), [Fatturazione](#security-iam-awsmanpol-Billing) e [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Aggiornamento delle politiche esistenti | Abbiamo aggiunto la seguente autorizzazione di fatturazione a: `AWSPurchaseOrdersServiceRolePolicy` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/managed-policies.html) Abbiamo aggiunto le seguenti autorizzazioni di fatturazione a: `AWSBillingReadOnlyAccess` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/managed-policies.html) Abbiamo aggiunto le seguenti autorizzazioni di fatturazione a: `Billing` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/managed-policies.html) | 1 dicembre 2024 |
| [Fatturazione](#security-iam-awsmanpol-Billing) e [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Aggiornamento delle politiche esistenti | Abbiamo aggiunto le seguenti autorizzazioni di pagamento a: `Billing` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/managed-policies.html) Abbiamo aggiunto le seguenti autorizzazioni di pagamento a: `AWSBillingReadOnlyAccess` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/managed-policies.html) | 12 novembre 2024 |
| [AWSPriceListServiceFullAccess ](#security-iam-awsmanpol-AWSPriceListServiceFullAccess)— Politica aggiornata | Abbiamo aggiunto la documentazione relativa alla `AWSPriceListServiceFullAccess` politica del servizio di AWS listino prezzi. La politica è stata inizialmente lanciata nel 2017. Abbiamo effettuato l'aggiornamento `Sid": "AWSPriceListServiceFullAccess` alla politica esistente. | 2 luglio 2024 |
| [Fatturazione](#security-iam-awsmanpol-Billing) e [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Aggiornamento alle politiche esistenti | Abbiamo aggiunto le seguenti autorizzazioni relative ai tag per l'allocazione dei costi alla `Billing`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/managed-policies.html) Abbiamo aggiunto la seguenti autorizzazione relativa ai tag a `AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/managed-policies.html) | 31 maggio 2024 |
| [Fatturazione](#security-iam-awsmanpol-Billing) e [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Aggiornamento alle politiche esistenti | Abbiamo aggiunto le seguenti autorizzazioni relative ai tag per l'allocazione dei costi alla `Billing`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/managed-policies.html) Abbiamo aggiunto la seguenti autorizzazione relativa ai tag per l'allocazione dei costi alla `AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/managed-policies.html) | 25 marzo 2024 |
| [Fatturazione](#security-iam-awsmanpol-Billing) e [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Aggiornamento alle politiche esistenti | Abbiamo aggiunto le seguenti autorizzazioni relative ai tag per l'allocazione dei costi alla `Billing`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/managed-policies.html) Abbiamo aggiunto la seguenti autorizzazione relativa ai tag per l'allocazione dei costi alla `AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/managed-policies.html) | 26 luglio 2023 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy), [Fatturazione](#security-iam-awsmanpol-Billing) e [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Aggiornamento alle politiche esistenti | Abbiamo aggiunto le seguenti autorizzazioni relative ai tag degli ordini di acquisto alla `Billing` e a `AWSPurchaseOrdersServiceRolePolicy`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/managed-policies.html) Abbiamo aggiunto la seguenti autorizzazione relativa ai tag a `AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/awsaccountbilling/latest/aboutv2/managed-policies.html) | 17 luglio 2023 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy), [Fatturazione](#security-iam-awsmanpol-Billing) e [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Aggiornamento alle politiche esistenti [AWSAccountActivityAccess](#security-iam-awsmanpol-AWSAccountActivityAccess)— Nuova politica AWS gestita documentata per la fatturazione AWS | È stato aggiunto un set di operazioni aggiornato in tutte le policy. | 06 marzo 2023 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy): aggiornamento di una policy esistente | AWS Billing ha rimosso le autorizzazioni non necessarie. | 18 novembre 2021 |
| AWS Billing ha iniziato a tenere traccia delle modifiche | AWS Billing ha iniziato a tenere traccia delle modifiche relative alle politiche AWS gestite. | 18 novembre 2021 |
# Risoluzione dei problemi relativi all'identità e all' AWS accesso alla fatturazione
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con Billing e IAM.
**Topics**
+ [
## Non sono autorizzato a eseguire alcuna azione in Billing
](#security_iam_troubleshoot-no-permissions)
+ [
## Non sono autorizzato a eseguire iam: PassRole
](#security_iam_troubleshoot-passrole)
+ [
## Desidero visualizzare le mie chiavi di accesso
](#security_iam_troubleshoot-access-keys)
+ [
## Sono un amministratore e desidero consentire ad altri di accedere alla fatturazione
](#security_iam_troubleshoot-admin-delegate)
+ [
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse di fatturazione
](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire alcuna azione in Billing
Se ti Console di gestione AWS dice che non sei autorizzato a eseguire un'azione, devi contattare l'amministratore per ricevere assistenza. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
Il seguente esempio di errore si verifica quando l'utente `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia, ma non dispone di autorizzazioni `billing:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: billing:GetWidget on resource: my-example-widget
```
In questo caso, Mateo richiede al suo amministratore di aggiornare le policy per poter accedere alla risorsa `my-example-widget` utilizzando l'operazione `billing:GetWidget`.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di assegnare un ruolo a Billing.
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Billing. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L'amministratore è colui che ti ha fornito le credenziali di accesso.
## Desidero visualizzare le mie chiavi di accesso
Dopo aver creato le chiavi di accesso utente IAM, è possibile visualizzare il proprio ID chiave di accesso in qualsiasi momento. Tuttavia, non è possibile visualizzare nuovamente la chiave di accesso segreta. Se perdi la chiave segreta, dovrai creare una nuova coppia di chiavi di accesso.
Le chiavi di accesso sono composte da due parti: un ID chiave di accesso (ad esempio `AKIAIOSFODNN7EXAMPLE`) e una chiave di accesso segreta (ad esempio, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`). Come un nome utente e una password, è necessario utilizzare sia l'ID chiave di accesso sia la chiave di accesso segreta insieme per autenticare le richieste dell'utente. Gestisci le tue chiavi di accesso in modo sicuro mentre crei il nome utente e la password.
**Importante**
Non fornire le chiavi di accesso a terze parti, neppure per aiutare a [trovare l'ID utente canonico](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId). In questo modo, potresti concedere a qualcuno l'accesso permanente al tuo Account AWS.
Quando crei una coppia di chiavi di accesso, ti viene chiesto di salvare l'ID chiave di accesso e la chiave di accesso segreta in una posizione sicura. La chiave di accesso segreta è disponibile solo al momento della creazione. Se si perde la chiave di accesso segreta, è necessario aggiungere nuove chiavi di accesso all'utente IAM. È possibile avere massimo due chiavi di accesso. Se se ne hanno già due, è necessario eliminare una coppia di chiavi prima di crearne una nuova. Per visualizzare le istruzioni, consulta [Gestione delle chiavi di accesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey) nella *Guida per l'utente di IAM*.
## Sono un amministratore e desidero consentire ad altri di accedere alla fatturazione
Per consentire ad altri di accedere a Billing, devi concedere l'autorizzazione alle persone o alle applicazioni che devono accedervi. Se utilizzi AWS IAM Identity Center per gestire persone e applicazioni, assegni set di autorizzazioni a utenti o gruppi per definirne il livello di accesso. I set di autorizzazioni creano e assegnano automaticamente le policy IAM ai ruoli IAM associati alla persona o all'applicazione. Per ulteriori informazioni, consulta [Set di autorizzazioni](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) nella *Guida per l'AWS IAM Identity Center utente*.
Se non utilizzi IAM Identity Center, devi creare entità IAM (utenti o ruoli) per le persone o le applicazioni che necessitano di accesso. È quindi necessario allegare una policy all'entità che conceda loro le autorizzazioni corrette in Fatturazione. Dopo aver concesso le autorizzazioni, fornisci le credenziali all'utente o allo sviluppatore dell'applicazione. Utilizzeranno tali credenziali per accedere. AWS*Per ulteriori informazioni sulla creazione di utenti, gruppi, policy e autorizzazioni IAM, consulta [IAM Identities](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) and [Policies and permissions in IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) User Guide.*
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse di fatturazione
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Billing supporta queste funzionalità, consulta. [Come funziona la AWS fatturazione con IAM](security_iam_service-with-iam.md)
+ Per scoprire come fornire l'accesso alle tue risorse su tutto Account AWS ciò che possiedi, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente di IAM*.
# Utilizzo di ruoli collegati ai servizi per AWS Billing
AWS Billing utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS Billing I ruoli collegati ai servizi sono predefiniti AWS Billing e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione AWS Billing perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS Billing definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS Billing Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi AWS Billing le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta [AWS i servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
## Autorizzazioni di ruolo collegate ai servizi per AWS Billing
AWS Billing utilizza il ruolo collegato al servizio denominato **Billing: consente al servizio di fatturazione** di convalidare l'accesso ai dati di visualizzazione di fatturazione per le visualizzazioni di fatturazione derivate.
Il ruolo collegato al servizio di fatturazione prevede che i seguenti servizi assumano il ruolo:
+ `billing.amazonaws.com`
La politica di autorizzazione dei ruoli denominata AWSBilling ServiceRolePolicy consente di AWS Billing completare le seguenti azioni sulle risorse specificate:
+ Operazione: `billing:GetBillingViewData` su `arn:${Partition}:billing:::billingview/*`
Per consentire a utenti, gruppi o ruoli di creare, modificare o eliminare un ruolo orientato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato al servizio per AWS Billing
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei o associ una visualizzazione di fatturazione utilizzando una visualizzazione di fatturazione di un altro account nell'API Console di gestione AWS, l'o l' AWS API AWS CLI, AWS Billing crea automaticamente il ruolo collegato al servizio.
**Importante**
Questo ruolo collegato al servizio può apparire nell'account, se è stata completata un'operazione in un altro servizio che utilizza le caratteristiche supportate da questo ruolo. Inoltre, se utilizzavi il AWS Billing servizio prima del 1° gennaio 2017, quando ha iniziato a supportare ruoli collegati al servizio, hai AWS Billing creato il ruolo Fatturazione nel tuo account. Per ulteriori informazioni, vedi [A new role appeared](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared) in my. Account AWS
## Modifica di un ruolo collegato al servizio per AWS Billing
AWS Billing non consente di modificare il ruolo collegato al servizio di fatturazione. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per AWS Billing
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.
### Eliminazione manuale del ruolo collegato ai servizi
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al servizio di fatturazione. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per i ruoli collegati ai servizi AWS Billing
AWS Billing supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per maggiori informazioni, consulta [Regioni ed endpoint di AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Registrazione e monitoraggio Gestione dei costi e fatturazione AWS
Il monitoraggio è una parte importante per mantenere l'affidabilità, la disponibilità e le prestazioni del tuo AWS account. Ci sono diversi strumenti disponibili per monitorare il tuo utilizzo di Gestione costi e fatturazione.
## AWS Rapporti su costi e utilizzo
AWS I report su costi e utilizzo tengono traccia AWS dell'utilizzo e forniscono una stima degli addebiti associati al tuo account. Ogni rapporto contiene le voci relative a ogni combinazione unica di AWS prodotti, tipo di utilizzo e operazione che utilizzi nel tuo AWS account. Puoi personalizzare i report sui AWS costi e sull'utilizzo per aggregare le informazioni per ora o per giorno.
Per ulteriori informazioni sui report sui AWS costi e sull'utilizzo, consulta la [https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html).
## AWS CloudTrail
Billing and Cost Management è integrato AWS CloudTrail con, un servizio che fornisce una registrazione delle azioni intraprese da un utente, ruolo o AWS servizio in Billing and Cost Management. CloudTrail acquisisce tutte le chiamate API di scrittura e modifica per Billing and Cost Management come eventi, incluse le chiamate dalla console Billing and Cost Management e le chiamate in codice a Billing and Cost Management. APIs
Per ulteriori informazioni su AWS CloudTrail, consulta il. [Registrazione delle chiamate API Billing and Cost Management con AWS CloudTrail](logging-using-cloudtrail.md)
# Registrazione delle chiamate API Billing and Cost Management con AWS CloudTrail
Billing and Cost Management è integrato AWS CloudTrail con, un servizio che fornisce una registrazione delle azioni intraprese da un utente, ruolo o AWS servizio in Billing and Cost Management. CloudTrail acquisisce le chiamate API per Billing and Cost Management come eventi, incluse le chiamate dalla console Billing and Cost Management e le chiamate in codice a Billing and Cost Management. APIs Per un elenco completo degli CloudTrail eventi relativi alla fatturazione, consulta. [AWS Billing CloudTrail eventi](#billing-cloudtrail-events)
Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon S3, inclusi gli eventi per Billing and Cost Management. Se non configuri un trail, è comunque possibile visualizzare gli eventi più recenti nella console di CloudTrail in **Event history (Cronologia eventi)**. Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare la richiesta effettuata a Billing and Cost Management, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e dettagli aggiuntivi.
Per ulteriori informazioni CloudTrail, incluso come configurarlo e abilitarlo, consulta la [Guida per l'AWS CloudTrail utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## AWS Billing CloudTrail eventi
Questa sezione mostra un elenco completo degli CloudTrail eventi relativi a Billing and Cost Management.
****
| Nome evento | Definizione | Origine eventi |
| --- | --- | --- |
| `AddPurchaseOrder` | Registra la creazione di un ordine di acquisto. | purchase-orders.amazonaws.com |
| `AcceptFxPaymentCurrencyTermsAndConditions` | Registra l'accettazione dei termini e delle condizioni di pagamento in una valuta diversa da USD. | billingconsole.amazonaws.com |
| `CloseAccount` | Registra la chiusura di un account. | billingconsole.amazonaws.com |
| `CreateCustomerVerificationDetails` | (Solo per i clienti con un indirizzo di fatturazione o contatto indiano) Registra la creazione dei dettagli di verifica della clientela dell'account. | customer-verification.amazonaws.com |
| `CreateOrigamiReportPreference` | Registra la creazione del rapporto costi e utilizzo; solo account di gestione. | billingconsole.amazonaws.com |
| `DeletePurchaseOrder` | Registra l'eliminazione di un ordine di acquisto. | purchase-orders.amazonaws.com |
| `DeleteOrigamiReportPreferences` | Registra l'eliminazione del rapporto costi e utilizzo; solo account di gestione. | billingconsole.amazonaws.com |
| `DownloadCommercialInvoice` | Registra il download di una fattura commerciale. | billingconsole.amazonaws.com |
| `DownloadECSVForBillingPeriod` | Registra il download del file eCSV (report di utilizzo mensile) per un periodo di fatturazione specifico. | billingconsole.amazonaws.com |
| `DownloadRegistrationDocument` | Registra il download del documento di registrazione fiscale. | billingconsole.amazonaws.com |
| `EnableBillingAlerts` | Registra l'attivazione della ricezione di avvisi di CloudWatch fatturazione per gli addebiti stimati. | billingconsole.amazonaws.com |
| `FindECSVForBillingPeriod` | Registra il recupero del file ECSV per un periodo di fatturazione specifico. | billingconsole.amazonaws.com |
| `GetAccountEDPStatus` | Registra il recupero dello stato EDP del conto. | billingconsole.amazonaws.com |
| `GetAddresses` | Registra l'accesso all'indirizzo fiscale, all'indirizzo di fatturazione e all'indirizzo di contatto di un account. | billingconsole.amazonaws.com |
| `GetAllAccounts` | Registra l'accesso a tutti i numeri di account membri dell'account di gestione. | billingconsole.amazonaws.com |
| `GetBillsForBillingPeriod` | Registra l'accesso all'utilizzo dell'account e gli addebiti per un periodo di fatturazione specifico. | billingconsole.amazonaws.com |
| `GetBillsForLinkedAccount` | Registra l'accesso di un account di gestione recuperando l'utilizzo e gli addebiti di uno degli account membri della famiglia di fatturazione consolidata per un periodo di fatturazione specifico. | billingconsole.amazonaws.com |
| `GetCommercialInvoicesForBillingPeriod` | Registra l'accesso ai metadati delle fatture commerciali dell'account per il periodo di fatturazione specifico. | billingconsole.amazonaws.com |
| `GetConsolidatedBillingFamilySummary` | Registra l'accesso all'account di gestione recuperando il riepilogo dell'intera famiglia di fatturazione consolidata. | billingconsole.amazonaws.com |
| `GetCustomerVerificationEligibility` | (Solo per i clienti con un indirizzo di fatturazione o contatto indiano) Registra il recupero dell'idoneità della verifica della clientela dell'account. | customer-verification.amazonaws.com |
| `GetCustomerVerificationDetails` | (Solo per i clienti con un indirizzo di fatturazione o contatto indiano) Registra il recupero dei dettagli di verifica della clientela dell'account. | customer-verification.amazonaws.com |
| `GetLinkedAccountNames` | Registra il recupero da un account di gestione dei nomi degli account membri della famiglia di fatturazione consolidata per un periodo di fatturazione specifico. | billingconsole.amazonaws.com |
| `GetPurchaseOrder` | Registra il recupero di un ordine di acquisto. | purchase-orders.amazonaws.com |
| `GetSupportedCountryCodes` | Registra l'accesso a tutti i codici Paese supportati dalla console fiscale. | billingconsole.amazonaws.com |
| `GetTotal` | Registra il recupero degli addebiti totali dell'account. | billingconsole.amazonaws.com |
| `GetTotalAmountForForecast` | Registra l'accesso agli addebiti previsti per il periodo di fatturazione specifico. | billingconsole.amazonaws.com |
| `ListCostAllocationTags` | Registra il recupero e l'elenco dei tag di allocazione dei costi. | ce.amazonaws.com |
| `ListCostAllocationTagBackfillHistory` | Registra il recupero e l'elenco della cronologia delle richieste di riempimento dei tag di allocazione dei costi. | ce.amazonaws.com |
| `ListPurchaseOrders` | Registra il recupero e l'elenco di un ordine di acquisto. | purchase-orders.amazonaws.com |
| `ListPurchaseOrderInvoices` | Registri del recupero e dell'elenco delle fatture associate a un ordine di acquisto. | purchase-orders.amazonaws.com |
| `ListTagsForResource` | Elenca i tag associati a una risorsa. Infatti`payments`, questa azione si riferisce a un metodo di pagamento. Infatti`purchase-orders`, questa azione si riferisce a un ordine di acquisto. | purchase-orders.amazonaws.com |
| `RedeemPromoCode` | Registra il riscatto dei crediti promozionali per un account. | billingconsole.amazonaws.com |
| `SetAccountContractMetadata` | Registra la creazione, l'eliminazione o l'aggiornamento delle informazioni contrattuali necessarie per i clienti del settore pubblico. | billingconsole.amazonaws.com |
| `SetAccountPreferences` | Registra gli aggiornamenti del nome dell'account, dell'e-mail e della password. | billingconsole.amazonaws.com |
| `SetAdditionalContacts` | Registra la creazione, l'eliminazione o l'aggiornamento dei contatti alternativi per la fatturazione, le operazioni e le comunicazioni di sicurezza. | billingconsole.amazonaws.com |
| `SetContactAddress` | Registra la creazione, l'eliminazione o l'aggiornamento delle informazioni di contatto del proprietario dell'account, inclusi l'indirizzo e il numero di telefono. | billingconsole.amazonaws.com |
| `SetCreatedByOptIn` | Registra l'opt-in della preferenza del tag di allocazione dei costi awscreatedby. | billingconsole.amazonaws.com |
| `SetCreditSharing` | Registra la cronologia delle preferenze di condivisione del credito per l'account di gestione. | billingconsole.amazonaws.com |
| `SetFreetierBudgetsPreference` | Registra la preferenza (opt-in o opt-out) di ricevere avvisi di utilizzo del piano gratuito. | billingconsole.amazonaws.com |
| `SetFxPaymentCurrency` | Registra la creazione, l'eliminazione o l'aggiornamento della valuta preferita utilizzata per pagare la fattura. | billingconsole.amazonaws.com |
| `SetIAMAccessPreference` | Registra la creazione, l'eliminazione o l'aggiornamento della capacità degli utenti IAM di accedere alla console di fatturazione. Questa impostazione è solo per i clienti con accesso root. | billingconsole.amazonaws.com |
| `SetPANInformation` | Registra la creazione, la cancellazione o l'aggiornamento delle informazioni PAN in AWS India. | billingconsole.amazonaws.com |
| `SetPayInformation` | Registra la cronologia del metodo di pagamento (fattura o credit/debit carta) per l'account. | billingconsole.amazonaws.com |
| `SetRISharing` | Registra la cronologia della preferenza di condivisione di RI/Savings Plans per l'account di gestione. | billingconsole.amazonaws.com |
| `SetSecurityQuestions` | Registra la creazione, l'eliminazione o l'aggiornamento delle domande relative ai problemi di sicurezza per aiutarti a AWS identificare l'utente come proprietario dell'account. | billingconsole.amazonaws.com |
| `StartCostAllocationTagBackfill` | Registra la creazione di una richiesta di riempimento per lo stato di attivazione di tutti i tag di allocazione dei costi. | ce.amazonaws.com |
| `TagResource` | Registra l'etichettatura di una risorsa. Infatti`payments`, questa azione si riferisce a un metodo di pagamento. Infatti`purchase-orders`, questa azione si riferisce a un ordine di acquisto. | purchase-orders.amazonaws.com |
| `UntagResource` | Registra l'eliminazione dei tag da una risorsa. Infatti`payments`, questa azione si riferisce a un metodo di pagamento. Infatti`purchase-orders`, questa azione si riferisce a un ordine di acquisto. | purchase-orders.amazonaws.com |
| `UpdateCostAllocationTagsStatus` | Registra lo stato attivo o inattivo di un particolare tag di allocazione costi. | ce.amazonaws.com |
| `UpdateCustomerVerificationDetails` | (Solo per i clienti con un indirizzo di fatturazione o contatto indiano) Registra l'aggiornamento dei dettagli di verifica della clientela dell'account. | customer-verification.amazonaws.com |
| `UpdateOrigamiReportPreference` | Registra l'aggiornamento del rapporto costi e utilizzo; solo account di gestione. | billingconsole.amazonaws.com |
| `UpdatePurchaseOrder` | Registra l'aggiornamento di un ordine di acquisto. | purchase-orders.amazonaws.com |
| `UpdatePurchaseOrderStatus` | Registra l'aggiornamento di uno stato per un ordine di acquisto. | purchase-orders.amazonaws.com |
| `ValidateAddress` | Registra la convalida dell'indirizzo fiscale di un account. | billingconsole.amazonaws.com |
### CloudTrail Eventi relativi ai pagamenti
Questa sezione mostra un elenco completo degli CloudTrail eventi per la funzione **Pagamenti** nella AWS Billing console. Questi CloudTrail eventi utilizzano `payments.amazonaws.com` invece di`billingconsole.amazonaws.com`.
****
| Nome evento | Definizione |
| --- | --- |
| `Financing_AcceptFinancingApplicationTerms` | Registra l'accettazione dei termini in una richiesta di finanziamento. |
| `Financing_CreateFinancingApplication` | Registra la creazione di una domanda di finanziamento. |
| `Financing_GetFinancingApplication` | Registra l'accesso a una domanda di finanziamento. |
| `Financing_GetFinancingApplicationDocument` | Registra l'accesso a un documento associato a una domanda di finanziamento. |
| `Financing_GetFinancingLine` | Registra l'accesso a una linea di finanziamento. |
| `Financing_GetFinancingLineWithdrawal` | Registra l'accesso al prelievo di una linea di finanziamento. |
| `Financing_GetFinancingLineWithdrawalDocument` | Registra l'accesso a un documento associato al ritiro di una linea di finanziamento. |
| `Financing_GetFinancingLineWithdrawalStatements` | Registra l'accesso agli estratti conto associati al prelievo di una linea di finanziamento. |
| `Financing_GetFinancingOption` | Registra l'accesso a un'opzione di finanziamento. |
| `Financing_ListFinancingApplications` | Registra l'elenco dei metadati delle applicazioni di finanziamento. |
| `Financing_ListFinancingLines` | Registra l'elenco dei metadati delle linee di finanziamento. |
| `Financing_ListFinancingLineWithdrawals` | Registra l'elenco dei metadati relativi al prelievo della linea di finanziamento. |
| `Financing_UpdateFinancingApplication` | Registra l'aggiornamento di una domanda di finanziamento. |
| Instruments\$1Authenticate | Registra l'autenticazione dello strumento di pagamento. |
| `Instruments_Create` | Registra la creazione degli strumenti di pagamento. |
| `Instruments_Delete` | Registra l'eliminazione degli strumenti di pagamento. |
| `Instruments_Get` | Registra l'accesso agli strumenti di pagamento. |
| `Instruments_List` | Registra l'elenco dei metadati degli strumenti di pagamento. |
| `Instruments_StartCreate` | Registra le operazioni prima della creazione dello strumento di pagamento. |
| `Instruments_Update` | Registra l'aggiornamento degli strumenti di pagamento. |
| `ListTagsForResource` | Registra l'elenco dei tag associati a una risorsa di pagamento. |
| `Policy_GetPaymentInstrumentEligibility` | Registra l'accesso all'idoneità dello strumento di pagamento. |
| `Preferences_BatchGetPaymentProfiles` | Registra l'accesso ai profili di pagamento. |
| `Preferences_CreatePaymentProfile` | Registra la creazione dei profili di pagamento. |
| `Preferences_DeletePaymentProfile` | Registra l'eliminazione dei profili di pagamento. |
| `Preferences_ListPaymentProfiles` | Registra l'elenco dei metadati dei profili di pagamento. |
| `Preferences_UpdatePaymentProfile` | Registra l'aggiornamento dei profili di pagamento. |
| `Programs_ListPaymentProgramOptions` | Registra l'elenco delle opzioni del programma di pagamento. |
| `Programs_ListPaymentProgramStatus` | Registra l'elenco dei requisiti di idoneità al programma di pagamento e dello stato di iscrizione. |
| `TagResource` | Registra i tag di una risorsa di pagamento. |
| `TermsAndConditions_AcceptTermsAndConditionsForProgramByAccountId` | Registra i termini e le condizioni di pagamento accettati. |
| `TermsAndConditions_GetAcceptedTermsAndConditionsForProgramByAccountId` | Registra l'accesso ai termini e alle condizioni accettati. |
| `TermsAndConditions_GetRecommendedTermsAndConditionsForProgram` | Registra l'accesso ai termini e alle condizioni consigliati. |
| `UntagResource` | Registra l'eliminazione dei tag da una risorsa di pagamento. |
### Eventi relativi alle impostazioni CloudTrail fiscali
Questa sezione mostra un elenco completo degli CloudTrail eventi per la funzionalità **Impostazioni fiscali** nella AWS Billing console. Questi CloudTrail eventi utilizzano `taxconsole.amazonaws.com` o `tax.amazonaws.com` invece di`billingconsole.amazonaws.com`.
**CloudTrail eventi per la console delle impostazioni fiscali**
| Nome evento | Definizione | Origine eventi |
| --- | --- | --- |
| `BatchGetTaxExemptions` | Registra l'accesso alle esenzioni fiscali statunitensi di un account e di qualsiasi account collegato. | taxconsole.amazon.com |
| `CreateCustomerCase` | Registra la creazione di un caso di assistenza clienti per convalidare l'esenzione fiscale statunitense per un account. | taxconsole.amazon.com |
| `DownloadTaxInvoice` | Registra il download di una fattura fiscale. | taxconsole.amazon.com |
| `GetTaxExemptionTypes` | Registra l'accesso a tutti i tipi di esenzioni supportati dagli Stati Uniti tramite console fiscale. | taxconsole.amazon.com |
| `GetTaxInheritance` | Registra l'accesso alle preferenze di successione fiscale (attivazione o disattivazione) di un account. | taxconsole.amazon.com |
| `GetTaxInvoicesMetadata` | Registra il recupero dei metadati delle fatture fiscali. | taxconsole.amazon.com |
| `GetTaxRegistration` | Registra l'accesso al numero di registrazione fiscale di un account. | taxconsole.amazon.com |
| `PreviewTaxRegistrationChange` | Registra l'anteprima delle modifiche alla registrazione fiscale prima della conferma. | taxconsole.amazon.com |
| `SetTaxInheritance` | Registra la preferenza (opt-in o opt-out) dell'eredità fiscale. | taxconsole.amazon.com |
**CloudTrail eventi per l'API delle impostazioni fiscali**
| Nome evento | Definizione | Origine eventi |
| --- | --- | --- |
| `BatchDeleteTaxRegistration` | Registra l'eliminazione in batch della registrazione fiscale per più account. | tax.amazonaws.com |
| `BatchGetTaxExemptions` | Registra l'accesso alle esenzioni fiscali di uno o più account. | tax.amazonaws.com |
| `BatchPutTaxRegistration` | Registra le impostazioni della registrazione fiscale di più account. | tax.amazonaws.com |
| `DeleteTaxRegistration` | Registra l'eliminazione del codice fiscale di un account. | tax.amazonaws.com |
| `GetTaxExemptionTypes` | Registra l'accesso a tutti i tipi di esenzione fiscale supportati dalla console fiscale. | tax.amazonaws.com |
| `GetTaxInheritance` | Registra l'accesso alle preferenze di successione fiscale (attivazione o disattivazione) di un account. | tax.amazonaws.com |
| `GetTaxRegistration` | Registra l'accesso alla registrazione fiscale di un account. | tax.amazonaws.com |
| `GetTaxRegistrationDocument` | Registra il recupero del documento di registrazione fiscale di un account. | tax.amazonaws.com |
| `ListTaxExemptions` | Registra l'accesso alle esenzioni fiscali degli account dell'organizzazione. AWS | tax.amazonaws.com |
| `ListTaxRegistrations` | Registra l'accesso ai dettagli di registrazione fiscale di tutti gli account membri dell'account di gestione. | tax.amazonaws.com |
| `PutTaxExemption` | Registra l'impostazione dell'esenzione fiscale di uno o più account. | tax.amazonaws.com |
| `PutTaxInheritance` | Registra l'impostazione della preferenza (attivazione o disattivazione) dell'eredità fiscale. | tax.amazonaws.com |
| `PutTaxRegistration` | Registra le impostazioni della registrazione fiscale di un account. | tax.amazonaws.com |
### Eventi di fatturazione CloudTrail
Questa sezione mostra un elenco completo degli CloudTrail eventi per la funzionalità di **fatturazione** nella AWS Billing console. Questi CloudTrail eventi utilizzano`invoicing.amazonaws.com`.
****
| Nome evento | Definizione |
| --- | --- |
| `CreateInvoiceUnit` | Registra la creazione di un'unità di fatturazione. |
| `DeleteInvoiceUnit` | Registra l'eliminazione di un'unità di fatturazione. |
| `GetInvoiceProfiles` | Registra l'accesso al profilo di fatturazione di un account. |
| `GetInvoiceUnit` | Registra l'accesso di un'unità di fatturazione. |
| `ListInvoiceUnits` | Registra il recupero e l'elenco delle unità di fatturazione. |
| `UpdateInvoiceUnit` | Registra l'aggiornamento di un'unità di fatturazione. |
## Informazioni su Billing and Cost Management in CloudTrail
CloudTrail è abilitato sul tuo AWS account al momento della creazione dell'account. Quando si verifica un'attività di evento supportata in Billing and Cost Management, tale attività viene registrata in CloudTrail un evento insieme AWS ad altri eventi di servizio **nella** cronologia degli eventi. Puoi visualizzare, cercare e scaricare gli eventi recenti nel tuo AWS account. Per ulteriori informazioni, consulta [Visualizzazione degli eventi con cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) nella *Guida AWS CloudTrail per l'utente*.
Per una registrazione continua degli eventi nel tuo AWS account, inclusi gli eventi per Billing and Cost Management, crea un percorso. Un trail consente di CloudTrail inviare file di log a un bucket Amazon S3. Per impostazione predefinita, quando crei un percorso nella console, il percorso si applica a tutte le AWS regioni. Il trail registra gli eventi di tutte le regioni della AWS partizione e consegna i file di log al bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail
Per ulteriori informazioni, consulta gli argomenti seguenti:
+ [Panoramica della creazione di un trail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Servizi e integrazioni supportati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configurazione delle notifiche Amazon SNS per CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Ricezione di file di CloudTrail registro da più regioni](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [ricezione di file di CloudTrail registro da](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) più account
Ogni evento o voce di log contiene informazioni sull’utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:
+ Se la richiesta è stata effettuata con le credenziali dell'utente IAM o root.
+ Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
+ Se la richiesta è stata effettuata da un altro AWS servizio.
Per ulteriori informazioni, vedete l'[elemento CloudTrail UserIdentity nella Guida](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html) per l'*AWS CloudTrail utente*.
## CloudTrail esempi di immissione di log
Gli esempi seguenti vengono forniti per scenari specifici di immissione CloudTrail dei log di Billing and Cost Management.
**Topics**
+ [
### Voci di file di log di Gestione dei costi e fatturazione
](#understanding-service-name-entries)
+ [
### Console fiscale
](#CT-example-tax)
+ [
### Pagamenti
](#CT-example-payments-create)
### Voci di file di log di Gestione dei costi e fatturazione
Un *trail* è una configurazione che consente la distribuzione di eventi come file di log in un bucket Amazon S3 specificato dall'utente. CloudTrail i file di registro contengono una o più voci di registro. Un evento rappresenta una singola richiesta proveniente da qualsiasi fonte e include informazioni sull'azione richiesta, la data e l'ora dell'azione, i parametri della richiesta e così via. CloudTrail i file di registro non sono una traccia ordinata dello stack delle chiamate API pubbliche, quindi non vengono visualizzati in un ordine specifico.
L'esempio seguente mostra una voce di CloudTrail registro che illustra l'`SetContactAddress`azione.
```
{
"eventVersion": "1.05",
"userIdentity": {
"accountId": "111122223333",
"accessKeyId": "AIDACKCEVSQ6C2EXAMPLE"
},
"eventTime": "2018-05-30T16:44:04Z",
"eventSource": "billingconsole.amazonaws.com",
"eventName": "SetContactAddress",
"awsRegion": "us-east-1",
"sourceIPAddress": "100.100.10.10",
"requestParameters": {
"website": "https://amazon.com",
"city": "Seattle",
"postalCode": "98108",
"fullName": "Jane Doe",
"districtOrCounty": null,
"phoneNumber": "206-555-0100",
"countryCode": "US",
"addressLine1": "Nowhere Estates",
"addressLine2": "100 Main Street",
"company": "AnyCompany",
"state": "Washington",
"addressLine3": "Anytown, USA",
"secondaryPhone": "206-555-0101"
},
"responseElements": null,
"eventID": "5923c499-063e-44ac-80fb-b40example9f",
"readOnly": false,
"eventType": "AwsConsoleAction",
"recipientAccountId": "1111-2222-3333"
}
```
### Console fiscale
L'esempio seguente mostra una voce di CloudTrail registro che utilizza l'`CreateCustomerCase`azione.
```
{
"eventVersion":"1.05",
"userIdentity":{
"accountId":"111122223333",
"accessKeyId":"AIDACKCEVSQ6C2EXAMPLE"
},
"eventTime":"2018-05-30T16:44:04Z",
"eventSource":"taxconsole.amazonaws.com",
"eventName":"CreateCustomerCase",
"awsRegion":"us-east-1",
"sourceIPAddress":"100.100.10.10",
"requestParameters":{
"state":"NJ",
"exemptionType":"501C",
"exemptionCertificateList":[
{
"documentName":"ExemptionCertificate.png"
}
]
},
"responseElements":{
"caseId":"case-111122223333-iris-2022-3cd52e8dbf262242"
},
"eventID":"5923c499-063e-44ac-80fb-b40example9f",
"readOnly":false,
"eventType":"AwsConsoleAction",
"recipientAccountId":"1111-2222-3333"
}
```
### Pagamenti
L'esempio seguente mostra una voce di CloudTrail registro che utilizza l'`Instruments_Create`azione.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Root",
"principalId": "111122223333",
"arn": "arn:aws:iam::111122223333:",
"accountId": "111122223333",
"accessKeyId": "AIDACKCEVSQ6C2EXAMPLE",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-05-01T00:00:00Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-05-01T00:00:00Z",
"eventSource": "payments.amazonaws.com",
"eventName": "Instruments_Create",
"awsRegion": "us-east-1",
"sourceIPAddress": "100.100.10.10",
"userAgent": "AWS",
"requestParameters": {
"accountId": "111122223333",
"paymentMethod": "CreditCard",
"address": "HIDDEN_DUE_TO_SECURITY_REASONS",
"accountHolderName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"cardNumber": "HIDDEN_DUE_TO_SECURITY_REASONS",
"cvv2": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationMonth": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationYear": "HIDDEN_DUE_TO_SECURITY_REASONS",
"tags": {
"Department": "Finance"
}
},
"responseElements": {
"paymentInstrumentArn": "arn:aws:payments::111122223333:payment-instrument:4251d66c-1b05-46ea-890c-6b4acf6b24ab",
"paymentInstrumentId": "111122223333",
"paymentMethod": "CreditCard",
"consent": "NotProvided",
"creationDate": "2024-05-01T00:00:00Z",
"address": "HIDDEN_DUE_TO_SECURITY_REASONS",
"accountHolderName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationMonth": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationYear": "HIDDEN_DUE_TO_SECURITY_REASONS",
"issuer": "Visa",
"tail": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"requestID": "7c7df9c2-c381-4880-a879-2b9037ce0573",
"eventID": "c251942f-6559-43d2-9dcd-2053d2a77de3",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```
# Convalida della conformità per Gestione dei costi e fatturazione AWS
I revisori esterni valutano la sicurezza e la conformità dei AWS servizi nell'ambito di più programmi di AWS conformità. Billing and Cost Management non rientra nell'ambito di AWS alcun programma di conformità.
Per un elenco dei AWS servizi che rientrano nell'ambito di specifici programmi di conformità, vedi [AWS Servizi rientranti nell'ambito del programma di conformitàAWS](https://aws.amazon.com/compliance/services-in-scope/) . Per informazioni generali, vedere Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La responsabilità di conformità dell'utente nell'utilizzo di Billing and Cost Management è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. AWS fornisce le seguenti risorse per contribuire alla conformità:
+ [Le guide rapide per la sicurezza e la conformità](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance): queste guide all'implementazione illustrano considerazioni architettoniche e forniscono i passaggi per l'implementazione di ambienti di base incentrati sulla sicurezza e sulla conformità su AWS.
+ [AWS Risorse per](https://aws.amazon.com/compliance/resources/) la per la conformità: questa raccolta di cartelle di lavoro e guide potrebbe riguardare il settore e la località in cui operi.
+ [Valutazione delle risorse con le regole](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) nella *Guida per gli AWS Config sviluppatori*: il AWS Config servizio valuta la conformità delle configurazioni delle risorse alle pratiche interne, alle linee guida del settore e alle normative.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Questo AWS servizio offre una visione completa dello stato di sicurezza dell'utente, AWS che consente di verificare la conformità agli standard e alle best practice del settore della sicurezza.
# Resilienza in Gestione dei costi e fatturazione AWS
L'infrastruttura AWS globale è costruita attorno a AWS regioni e zone di disponibilità. AWS Le regioni forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità è possibile progettare e gestire applicazioni e database che eseguono automaticamente il failover tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali.
[Per ulteriori informazioni su AWS regioni e zone di disponibilità, consulta Global Infrastructure.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
# Sicurezza dell'infrastruttura in Gestione dei costi e fatturazione AWS
In quanto servizio gestito, Gestione dei costi e fatturazione AWS è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzi chiamate API AWS pubblicate per accedere a Billing and Cost Management tramite la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
# Accesso Gestione dei costi e fatturazione AWS tramite un'interfaccia endpoint ()AWS PrivateLink
Puoi usarlo AWS PrivateLink per creare una connessione privata tra il tuo VPC e. Gestione dei costi e fatturazione AWS Puoi accedere a Billing and Cost Management come se fosse nel tuo VPC, senza l'uso di un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. Direct Connect Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per accedere a Billing and Cost Management.
Stabilisci questa connessione privata creando un *endpoint di interfaccia* attivato da AWS PrivateLink. In ciascuna sottorete viene creata un'interfaccia di rete endpoint da abilitare per l'endpoint di interfaccia. Si tratta di interfacce di rete gestite dai richiedenti che fungono da punto di ingresso per il traffico destinato a Billing and Cost Management.
*Per ulteriori informazioni, consulta [Access Servizi AWS](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) through nella Guida. AWS PrivateLinkAWS PrivateLink *
Per un elenco completo dei nomi dei servizi, consulta [AWS Servizi che si integrano con AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html).
## Considerazioni per la fatturazione e la gestione dei costi
*Prima di configurare un endpoint di interfaccia per Billing and Cost Management, [consulta](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) le considerazioni nella Guida.AWS PrivateLink *
Billing and Cost Management supporta l'esecuzione di chiamate a tutte le sue azioni API tramite l'endpoint dell'interfaccia.
Le policy degli endpoint VPC non sono supportate per Billing and Cost Management. Per impostazione predefinita, l'accesso completo a Billing and Cost Management è consentito tramite l'endpoint dell'interfaccia. In alternativa, puoi associare un gruppo di sicurezza alle interfacce di rete degli endpoint per controllare il traffico verso Billing and Cost Management tramite l'endpoint dell'interfaccia.
## Crea un endpoint di interfaccia per Billing and Cost Management
Puoi creare un endpoint di interfaccia per Billing and Cost Management utilizzando la console Amazon VPC o il (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consulta la sezione [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) nella *Guida per l'utente di AWS PrivateLink *.
Crea un endpoint di interfaccia per Billing and Cost Management utilizzando il seguente nome di servizio:
```
com.amazonaws.region.service-name
```
Se abiliti il DNS privato per l'endpoint dell'interfaccia, puoi effettuare richieste API a Billing and Cost Management utilizzando il nome DNS regionale predefinito. Ad esempio, `service-name.us-east-1.amazonaws.com`.
## Creazione di una policy dell' endpoint per l'endpoint dell'interfaccia
Una policy dell'endpoint è una risorsa IAM che è possibile allegare all'endpoint dell'interfaccia. La policy predefinita per gli endpoint consente l'accesso completo a Billing and Cost Management tramite l'endpoint dell'interfaccia. Per controllare l'accesso consentito a Billing and Cost Management dal tuo VPC, collega una policy personalizzata per gli endpoint all'endpoint di interfaccia.
Una policy di endpoint specifica le informazioni riportate di seguito:
+ I principali che possono eseguire azioni (Account AWS, utenti IAM e ruoli IAM).
+ Le azioni che possono essere eseguite.
+ Le risorse in cui è possibile eseguire le operazioni.
Per ulteriori informazioni, consulta la sezione [Controllo dell'accesso ai servizi con policy di endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) nella *Guida di AWS PrivateLink *.
**Esempio: policy degli endpoint VPC per AWS l'API Price List**
Di seguito è riportato l'esempio di una policy dell'endpoint personalizzata. Quando colleghi questa policy all'endpoint dell'interfaccia, tutti gli utenti che hanno accesso all'endpoint possono accedere AWS all'API Price List.
```
{
"Statement": [
{
"Action": "pricing:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "*"
}
]
}
```
Per utilizzare il download di file in blocco per l'API Price List AWS PrivateLink, devi anche abilitare l'accesso ad Amazon S3 tramite. AWS PrivateLink Per ulteriori informazioni, consulta [AWS PrivateLink Amazon S3 nella Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html) User *Guide*.