As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança em AWS Billing
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [Modelo de Responsabilidade Compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como segurança *da* nuvem e segurança *na* nuvem:
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços na AWS nuvem. AWS também fornece serviços que você pode usar com segurança. Auditores terceirizados testam e verificam regularmente a eficácia de nossa segurança como parte dos Programas de Conformidade Programas de [AWS](https://aws.amazon.com/compliance/programs/) de . Para saber mais sobre os programas de conformidade aplicáveis Gerenciamento de Faturamento e Custos da AWS, consulte [AWS Serviços no escopo do programa de conformidade AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.
Esta documentação ajuda a entender como aplicar o modelo de responsabilidade compartilhada ao usar o Gerenciamento de Faturamento e Custos. Os tópicos a seguir mostram como configurar o Gerenciamento de Faturamento e Custos para atender aos seus objetivos de segurança e compatibilidade. Você também aprenderá a usar outros AWS serviços que ajudam a monitorar e proteger seus recursos de Billing and Cost Management.
**Topics**
+ [Proteção de dados em Gerenciamento de Faturamento e Custos da AWS](data-protection.md)
+ [Identity and Access Management para AWS cobrança](security-iam.md)
+ [Usando funções vinculadas a serviços para AWS Billing](using-service-linked-roles.md)
+ [Registro e monitoramento em Gerenciamento de Faturamento e Custos da AWS](billing-security-logging.md)
+ [Validação de conformidade para Gerenciamento de Faturamento e Custos da AWS](Billing-compliance.md)
+ [Resiliência em Gerenciamento de Faturamento e Custos da AWS](disaster-recovery-resiliency.md)
+ [Segurança da infraestrutura em Gerenciamento de Faturamento e Custos da AWS](infrastructure-security.md)
**nota**
Quando você usa a transferência de faturamento como uma conta de origem de faturamento, seus dados de faturamento e gerenciamento de custos são transferidos para uma conta de gerenciamento externa (conta de transferência de faturamento). A conta de transferência de faturas controla sua experiência de cobrança e gerenciamento de custos. A conta de origem da fatura não pode substituir os efeitos da transferência de faturamento usando as políticas do IAM. Para recuperar o controle de seus dados de faturamento e gerenciamento de custos, você deve se retirar da transferência de faturamento. Para obter mais informações, consulte [Transferir o gerenciamento de faturamento para contas externas](orgs_transfer_billing.md).
# Proteção de dados em Gerenciamento de Faturamento e Custos da AWS
O modelo de [responsabilidade AWS compartilhada modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica à proteção de dados em Gerenciamento de Faturamento e Custos da AWS. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para saber mais sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para saber mais sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com AWS os recursos. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como [trabalhar com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia AWS CloudTrail do usuário*.
+ Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para saber mais sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sensíveis, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com o Billing and Cost Management ou Serviços da AWS outro usando o console, a API AWS CLI ou. AWS SDKs Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
# Identity and Access Management para AWS cobrança
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (ter permissões) a usar os recursos do Faturamento. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
Para iniciar a ativação do acesso ao console de Faturamento, consulte o [Tutorial do IAM: conceder acesso ao console de Faturamento](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) no *Manual do usuário do IAM*.
## Tipos de usuário e permissões de faturamento
Esta tabela resume as ações padrão permitidas no Faturamento da para cada tipo de usuário de faturamento.
**Tipos de usuário e permissões de faturamento**
| Tipo de usuário | Description | Permissões de faturamento |
| --- | --- | --- |
| Proprietário da conta | A pessoa ou entidade em cujo nome a conta está configurada. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/security-iam.html) |
| Usuário | Uma pessoa ou uma aplicação definida como um usuário em uma conta por um proprietário da conta ou usuário administrativo. As contas podem conter vários usuários. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/security-iam.html) |
| Proprietário da conta de gerenciamento da organização | A pessoa ou entidade associada a uma conta AWS Organizations de gerenciamento. A conta de gerenciamento paga pelo AWS uso incorrido por uma conta de membro em uma organização. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/security-iam.html) |
| Proprietário da conta de membro da organização | A pessoa ou entidade associada a uma conta de AWS Organizations membro. A conta de gerenciamento paga pelo AWS uso incorrido por uma conta de membro em uma organização. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/security-iam.html) |
# Visão geral do gerenciamento de permissões de acesso
## Como conceder acesso às ferramentas e informações de faturamento
Por padrão, os usuários do IAM não têm acesso ao [console do Gerenciamento de Faturamento e Custos da AWS](https://console.aws.amazon.com/billing/).
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
Como administrador, você pode criar funções em sua AWS conta que seus usuários possam assumir. Depois de criar perfis, é possível anexar sua política do IAM a eles, com base no acesso necessário. Por exemplo, você pode conceder a alguns usuários acesso limitado a algumas informações de pagamento e ferramentas e, a outras pessoas, acesso completo a todas as informações e ferramentas.
Para conceder acesso a entidades do IAM ao console de Faturamento e gerenciamento de custos, siga os passos abaixo:
+ [Ative o IAM Access](#ControllingAccessWebsite-Activate) como usuário Conta da AWS raiz. É necessário concluir essa ação apenas uma vez para sua conta.
+ Crie identidades do IAM como usuário, grupo ou perfil.
+ Use uma política AWS gerenciada ou crie uma política gerenciada pelo cliente que conceda permissão para ações específicas no console Billing and Cost Management. Para obter mais informações, consulte [Uso de políticas baseadas em identidade para o Faturamento](security_iam_id-based-policy-examples.md#billing-permissions-ref).
Para obter mais informaçãoes, consulte o [Tutorial do IAM: conceder acesso ao console de Faturamento](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) no *Manual do usuário do IAM*.
**nota**
As permissões do Explorador de Custos se aplicam a todas as contas e contas de membro, independentemente das políticas do IAM. Para obter mais informações, consulte [Controlando o acesso ao AWS Cost Explorer](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-access.html).
## Ativar o acesso ao console do Gerenciamento de Faturamento e Custos
Os usuários e funções do IAM em e não Conta da AWS conseguem acessar o console do Billing and Cost Management por padrão. Isso acontece mesmo que eles tenham políticas do IAM que concedam acesso a determinados atributos de Faturamento. Para conceder acesso, o usuário Conta da AWS root pode usar a configuração **Ativar acesso ao IAM**.
Se você usa AWS Organizations, ative essa configuração em cada conta de gerenciamento ou membro em que você deseja permitir que usuários e funções do IAM acessem o console do Billing and Cost Management. Para contas de membros criadas, essa opção será ativada por padrão. Para obter mais informações, consulte [Ativando o acesso do IAM ao console Gerenciamento de Faturamento e Custos da AWS](billing-getting-started.md#activating-iam-access-to-billing-console).
No console de Faturamento), a configuração **Ativar acesso do IAM** controla o acesso às seguintes páginas:
+ Início
+ Orçamentos
+ Relatórios do Budgets
+ AWS Relatórios de custo e uso
+ Cost Categories
+ Tags de alocação de custos
+ Faturas
+ Pagamentos
+ Créditos
+ Ordem de compra
+ Preferências de faturamento
+ Métodos de pagamento
+ Configurações de impostos
+ Explorador de Custos
+ Relatórios
+ Rightsizing recommendations (Recomendações de redimensionamento)
+ Recomendações dos Savings Plans
+ Relatório de utilização dos Savings Plans
+ Relatório de cobertura dos Savings Plans
+ Visão geral de reservas
+ Recomendações de reservas
+ Relatório de utilização de reservas
+ Relatório de cobertura de reservas
+ Preferências
**Importante**
Ativar o acesso ao IAM isoladamente não concede aos perfis as permissões necessárias para essas páginas do console de Gerenciamento de Faturamento e Custos. Além de ativar o acesso ao IAM, você também deve anexar as políticas obrigatórias do IAM a esses perfis. Para obter mais informações, consulte [Uso de políticas baseadas em identidade para o Faturamento](security_iam_id-based-policy-examples.md#billing-permissions-ref).
A configuração **Ativar acesso ao IAM** não controla o acesso às seguintes páginas e recursos:
+ As páginas do console para Detecção de Anomalias de AWS Custos, visão geral dos Planos de Poupança, inventário de Planos de Poupança, Planos de Poupança de Compra e carrinho de Planos de Poupança
+ A visualização de Gerenciamento de Custos no AWS Console Mobile Application
+ O APIs SDK do Billing and Cost Management (Cost AWS Explorer AWS , Orçamentos e Relatórios de Custos AWS e Uso) APIs
+ AWS Systems Manager Gerenciador de aplicativos
+ O console AWS Calculadora de Preços
+ O recurso de análise de custos no Amazon Q
+ O AWS Activate Console
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas de identidade e acesso ao AWS faturamento](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como o AWS faturamento funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Política baseada em identidade com faturamento AWS](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Identidade federada
Como prática recomendada, exija que os usuários humanos usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.
Uma *identidade federada* é um usuário do seu diretório corporativo, provedor de identidade da web ou Directory Service que acessa Serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem funções que oferecem credenciais temporárias.
Para o gerenciamento de acesso centralizado, recomendamos Centro de Identidade do AWS IAM. Para saber mais, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como o AWS faturamento funciona com o IAM
O faturamento se integra ao serviço AWS Identity and Access Management (IAM) para que você possa controlar quem na sua organização tem acesso a páginas específicas no console de [faturamento](https://console.aws.amazon.com/cost-management/home). É possível controlar o acesso às faturas e informações detalhadas relacionadas a cobranças e atividades da conta, orçamentos, métodos de pagamento e créditos.
Para obter mais informações sobre como ativar o acesso ao console de Gerenciamento de Faturamento e Custos, consulte.[Tutorial: Delegar acesso ao console de faturamento](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) no *Guia do usuário do IAM*.
Antes de usar o IAM para gerenciar o acesso ao Faturamento, saiba quais atributos do IAM estão disponíveis para uso com o Faturamento.
**Recursos do IAM que você pode usar com o AWS faturamento**
| Recurso do IAM | Suporte ao Faturamento |
| --- | --- |
| [Políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies) | Sim |
| [Políticas baseadas em recurso](#security_iam_service-with-iam-resource-based-policies) | Não |
| [Ações de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sim |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Parcial |
| [Chaves de condição de políticas](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sim |
| [ACLs](#security_iam_service-with-iam-acls) | Não |
| [ABAC (tags em políticas)](#security_iam_service-with-iam-tags) | Parcial |
| [Credenciais temporárias](#security_iam_service-with-iam-roles-tempcreds) | Sim |
| [Sessões de acesso direto (FAS)](#security_iam_service-with-iam-principal-permissions) | Sim |
| [Perfis de serviço](#security_iam_service-with-iam-roles-service) | Sim |
| [Perfis vinculados a serviço](#security_iam_service-with-iam-roles-service-linked) | Não |
Para ter uma visão geral de como o faturamento e outros AWS serviços funcionam com a maioria dos recursos do IAM, consulte [AWS os serviços que funcionam com o IAM no Guia do](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *usuário do IAM*.
## Políticas baseadas em identidade para o Faturamento
**Compatível com políticas baseadas em identidade:** sim
As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Exemplos de políticas baseadas em identidade para o Faturamento
Para visualizar exemplos de políticas baseadas em identidade do Faturamento, consulte [Política baseada em identidade com faturamento AWS](security_iam_id-based-policy-examples.md).
## Políticas baseadas em recursos no Faturamento
**Compatibilidade com políticas baseadas em recursos:** não
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as *políticas de confiança de perfil* do IAM e as *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS
Para permitir o acesso entre contas, é possível especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recursos. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Ações de políticas para o Faturamento
**Compatível com ações de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
Para ver uma lista de ações de cobrança, consulte [Ações definidas pelo AWS faturamento na Referência de](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html) *autorização de serviço*.
As ações de política no Faturamento usam o prefixo a seguir antes da ação:
```
billing
```
Para especificar várias ações em uma única declaração, separe-as com vírgulas.
```
"Action": [
"billing:action1",
"billing:action2"
]
```
Para visualizar exemplos de políticas baseadas em identidade do Faturamento, consulte [Política baseada em identidade com faturamento AWS](security_iam_id-based-policy-examples.md).
## Recursos de políticas para o Faturamento
**Suporte a recursos de políticas:** parcial
Os recursos de políticas são compatíveis somente com monitores, assinaturas e categorias de custos.
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
Para ver uma lista dos tipos de recursos do AWS Cost Explorer, consulte [Ações, recursos e chaves de condição do AWS Cost Explorer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostexplorerservice.html) na *Referência de Autorização de Serviço*.
Para visualizar exemplos de políticas baseadas em identidade do Faturamento, consulte [Política baseada em identidade com faturamento AWS](security_iam_id-based-policy-examples.md).
## Chaves de condição de políticas para o Faturamento
**Compatível com chaves de condição de política específicas de serviço:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
Para ver uma lista de chaves de condição de cobrança, ações e recursos, consulte [Chaves de condição para AWS cobrança na Referência](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html) de *autorização de serviço*.
Para visualizar exemplos de políticas baseadas em identidade do Faturamento, consulte [Política baseada em identidade com faturamento AWS](security_iam_id-based-policy-examples.md).
## Listas de controle de acesso (ACLs) no Faturamento
**Suportes ACLs:** Não
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
## Controle de acesso por atributo (ABAC) com o Faturamento
**Compatível com ABAC (tags em políticas):** parcial
O ABAC (tags nas políticas) só é compatível com monitores, assinaturas e categorias de custo.
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos chamados de tags. Você pode anexar tags a entidades e AWS recursos do IAM e, em seguida, criar políticas ABAC para permitir operações quando a tag do diretor corresponder à tag no recurso.
Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`.
Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será **Sim** para o serviço. Se um serviço for compatível com as três chaves de condição somente para alguns tipos de recursos, o valor será **Parcial**
Para saber mais sobre o ABAC, consulte [Definir permissões com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para visualizar um tutorial com etapas para configurar o ABAC, consulte [Usar controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.
## Uso de credenciais temporárias com o Faturamento
**Compatível com credenciais temporárias:** sim
As credenciais temporárias fornecem acesso de curto prazo aos AWS recursos e são criadas automaticamente quando você usa a federação ou troca de funções. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Serviços da Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Encaminhar sessões de acesso para o Faturamento
**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim
As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Perfis de serviço para o Faturamento
**Compatível com perfis de serviço:** sim
O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para saber mais, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*.
**Atenção**
A alteração das permissões de um perfil de serviço pode prejudicar a funcionalidade do Faturamento. Edite perfis de serviço somente quando o Faturamento fornecer orientação para fazê-lo.
## Perfis vinculados ao serviço para o Faturamento
**Compatível com perfis vinculados ao serviço:** Não
Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.
Para obter detalhes sobre como criar ou gerenciar perfis vinculados a serviços, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Encontre um serviço na tabela que inclua um `Yes` na coluna **Perfil vinculado ao serviço**. Escolha o link **Sim** para visualizar a documentação do perfil vinculado a serviço desse serviço.
# Política baseada em identidade com faturamento AWS
Por padrão, usuários e funções não têm permissão para criar ou modificar recursos do Faturamento. Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM.
Para aprender a criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do usuário do IAM*.
Para obter detalhes sobre ações e tipos de recursos definidos pelo Faturamento, incluindo o formato de cada um dos tipos de recursos, consulte [Ações, recursos e chaves de condição para AWS cobrança](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html) na Referência de *Autorização de Serviço*. ARNs
**Contents**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Uso do console do Faturamento](#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Uso de políticas baseadas em identidade para o Faturamento](#billing-permissions-ref)
+ [AWS Ações do console de faturamento](#user-permissions)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Faturamento em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Uso do console do Faturamento
Para acessar o console AWS de faturamento, você precisa ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os recursos de faturamento em seu Conta da AWS. Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente a ações que correspondam à operação de API que estiverem tentando executar.
Você pode encontrar detalhes de acesso, como as permissões necessárias para ativar o console de AWS faturamento, o acesso do administrador e o acesso somente para leitura, na seção. [AWS políticas gerenciadas](managed-policies.md)
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Uso de políticas baseadas em identidade para o Faturamento
**nota**
As seguintes ações AWS Identity and Access Management (IAM) chegaram ao fim do suporte padrão em julho de 2023:
Namespace do `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Se você estiver usando AWS Organizations, poderá usar os [scripts do migrador de políticas em massa ou o migrador](migrate-iam-permissions.md) de políticas em massa para atualizar as políticas da sua conta de pagador. Você também poderá usar a [referência de mapeamento de ações antigas para granulares](migrate-granularaccess-iam-mapping-reference.md) para verificar as ações do IAM que precisam ser adicionadas.
Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.
**Importante**
Além das políticas do IAM, você deve conceder acesso do IAM ao console de Billing and Cost Management na página do console [Account Settings](https://console.aws.amazon.com/billing/home#/account) (Configurações de conta).
Para saber mais, consulte os seguintes tópicos:
[Ativar o acesso ao console do Gerenciamento de Faturamento e Custos](control-access-billing.md#ControllingAccessWebsite-Activate)
[Tutorial do IAM: conceder acesso ao console de cobrança](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) no Guia do *usuário do IAM*
Use esta seção para ver como um administrador de conta de políticas baseadas em identidade pode anexar políticas de permissões a identidades do IAM (perfis e grupos) e conceder permissões para a execução de operações em recursos do Faturamento.
Para obter mais informações sobre usuários Contas da AWS e usuários, consulte [O que é o IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_Introduction.html) no *Guia do usuário do IAM*.
Para obter informações sobre como atualizar políticas gerenciadas pelo cliente, consulte [Editar políticas gerenciadas pelo cliente (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console) no *Guia do usuário do IAM*.
### AWS Ações do console de faturamento
Esta tabela resume as permissões que concedem acesso a suas informações e ferramentas do console de faturamento. Para obter exemplos de políticas que usam essas permissões, consulte [AWS Exemplos de políticas de cobrança](billing-example-policies.md).
Para obter uma lista de políticas de ações para o console de gerenciamento de AWS custos, consulte [AWS Políticas de ações de gerenciamento](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#user-permissions) de *AWS custos no Guia do usuário do gerenciamento de custos*.
| Nome da permissão | Description |
| --- | --- |
| aws-portal:ViewBilling | Concede permissão para visualizar as páginas do console do Gerenciamento de Faturamento e Custos. |
| aws-portal:ModifyBilling | Concede permissão para modificar as páginas a seguir do console de Gerenciamento de Faturamento e Custos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/security_iam_id-based-policy-examples.html) Para permitir que os usuários do IAM modifiquem essas páginas do console, é necessário permitir `ModifyBilling` e `ViewBilling`. Para visualizar um exemplo de política, consulte [Permitir que os usuários do IAM modifiquem as informações de faturamento](billing-example-policies.md#example-billing-deny-modifybilling). |
| aws-portal:ViewAccount | Concede permissão para visualizar as [Configurações da conta](https://console.aws.amazon.com/billing/home#/account). |
| aws-portal:ModifyAccount | Concede permissão para modificar as [Configurações da conta](https://console.aws.amazon.com/billing/home#/account). Para permitir que os usuários do IAM modifiquem as configurações da conta, é necessário permitir `ModifyAccount` e `ViewAccount`. Para obter um exemplo de uma política que nega explicitamente o acesso à página do console de **Configurações da conta** a um usuário do IAM, consulte [Recusar o acesso às configurações da conta, mas permitir acesso total a todas as outras informações de faturamento e uso](billing-example-policies.md#example-billing-deny-modifyaccount). |
| aws-portal:ViewPaymentMethods | Concede permissão para visualizar os [Métodos de pagamento](https://console.aws.amazon.com/billing/home#/paymentmethods). |
| aws-portal:ModifyPaymentMethods | Concede permissão para modificar os [Métodos de pagamento](https://console.aws.amazon.com/billing/home#/paymentmethods). Para permitir que os usuários modifiquem os métodos de pagamento, é necessário permitir `ModifyPaymentMethods` e `ViewPaymentMethods`. |
| billing:ListBillingViews | Concede permissão para obter uma lista de visualizações de cobrança disponíveis. Isso inclui visualizações de cobrança personalizadas e visualizações de cobrança correspondentes aos grupos de cobrança pro forma. Para obter mais informações sobre visualizações de cobrança personalizadas, consulte [Controle do acesso aos dados de gestão de custos com Billing View](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-view.html). Para obter mais informações sobre visualização dos seus grupos de faturamento do, consulte [Viewing your billing group details](https://docs.aws.amazon.com/billingconductor/latest/userguide/viewing-abc.html) (Visualizar os detalhes do grupo de faturamento) no *Guia do usuário do AWS Billing Conductor*. |
| billing:CreateBillingView | Concede permissão para criar visualizações de cobrança personalizadas. Para ver um exemplo da política, consulte [Permitir que os usuários criem, gerenciem e compartilhem visualizações de cobrança personalizadas](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view). |
| billing:UpdateBillingView | Concede permissão para atualizar as visualizações de cobrança personalizadas. Para ver um exemplo da política, consulte [Permitir que os usuários criem, gerenciem e compartilhem visualizações de cobrança personalizadas](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view). |
| billing:DeleteBillingView | Concede permissão para excluir as visualizações de cobrança personalizadas. Para ver um exemplo da política, consulte [Permitir que os usuários criem, gerenciem e compartilhem visualizações de cobrança personalizadas](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view). |
| billing:GetBillingView | Concede permissão para obter a definição das visualizações de cobrança. Para ver um exemplo da política, consulte [Permitir que os usuários criem, gerenciem e compartilhem visualizações de cobrança personalizadas](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view). |
| sustainability:GetCarbonFootprintSummary | Concede permissão para visualizar a Ferramenta de Pegada de Carbono do AWS Cliente e os dados. Isso pode ser acessado na página Relatórios de AWS Custos e Uso do console Billing and Cost Management. Para obter um exemplo de política, consulte [Permitir que os usuários do IAM visualizem suas informações de faturamento o relatório de pegada de carbono](billing-example-policies.md#example-ccft-policy). |
| cur:DescribeReportDefinitions | Concede permissão para visualizar relatórios de AWS custo e uso. AWS As permissões de Relatórios de Custo e Uso se aplicam a todos os relatórios criados usando a API do [Serviço de Relatórios de AWS Custo e Uso](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) e o console Billing and Cost Management. Se você cria relatórios usando o console do Billing and Cost Management, recomendamos atualizar as permissões para os usuários do IAM. Se você não as atualizar, pode ser que os usuários percam o acesso a visualizações, edição e exclusão de relatórios na página de relatórios do console. Para obter um exemplo de política, consulte [Permitir que os usuários do IAM acessem a página de relatórios do console](billing-example-policies.md#example-billing-view-reports). |
| cur:PutReportDefinition | Concede permissão para criar relatórios de AWS custo e uso. AWS As permissões de Relatórios de Custo e Uso se aplicam a todos os relatórios criados usando a API do [Serviço de Relatórios de AWS Custo e Uso](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) e o console Billing and Cost Management. Se você cria relatórios usando o console do Billing and Cost Management, recomendamos atualizar as permissões para os usuários do IAM. Se você não as atualizar, pode ser que os usuários percam o acesso a visualizações, edição e exclusão de relatórios na página de relatórios do console. Para obter um exemplo de política, consulte [Permitir que os usuários do IAM acessem a página de relatórios do console](billing-example-policies.md#example-billing-view-reports). |
| cur:DeleteReportDefinition | Concede permissão para excluir relatórios de AWS custo e uso. AWS As permissões de Relatórios de Custo e Uso se aplicam a todos os relatórios criados usando a API do [Serviço de Relatórios de AWS Custo e Uso](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) e o console Billing and Cost Management. Se você cria relatórios usando o console do Billing and Cost Management, recomendamos atualizar as permissões para os usuários do IAM. Se você não as atualizar, pode ser que os usuários percam o acesso a visualizações, edição e exclusão de relatórios na página de relatórios do console. Para obter um exemplo de política, consulte [Crie, visualize, edite ou exclua relatórios de AWS custo e uso](billing-example-policies.md#example-policy-report-definition). |
| cur:ModifyReportDefinition | Concede permissão para modificar os relatórios de AWS custo e uso. AWS As permissões de Relatórios de Custo e Uso se aplicam a todos os relatórios criados usando a API do [Serviço de Relatórios de AWS Custo e Uso](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) e o console Billing and Cost Management. Se você cria relatórios usando o console do Billing and Cost Management, recomendamos atualizar as permissões para os usuários do IAM. Se você não as atualizar, pode ser que os usuários percam o acesso a visualizações, edição e exclusão de relatórios na página de relatórios do console. Para obter um exemplo de política, consulte [Crie, visualize, edite ou exclua relatórios de AWS custo e uso](billing-example-policies.md#example-policy-report-definition). |
| ce:CreateCostCategoryDefinition | Concede permissões para criar categorias de custo. Para visualizar um exemplo de política, consulte [Visualizar e gerenciar as categorias de custos](billing-example-policies.md#example-policy-cc-api). |
| ce:DeleteCostCategoryDefinition | Concede permissões para excluir categorias de custo. Para visualizar um exemplo de política, consulte [Visualizar e gerenciar as categorias de custos](billing-example-policies.md#example-policy-cc-api). |
| ce:DescribeCostCategoryDefinition | Concede permissões para visualizar categorias de custo. Para visualizar um exemplo de política, consulte [Visualizar e gerenciar as categorias de custos](billing-example-policies.md#example-policy-cc-api). |
| ce:ListCostCategoryDefinitions | Concede permissões para listar categorias de custo. Para visualizar um exemplo de política, consulte [Visualizar e gerenciar as categorias de custos](billing-example-policies.md#example-policy-cc-api). |
| ce:UpdateCostCategoryDefinition | Concede permissões para atualizar categorias de custo. Para visualizar um exemplo de política, consulte [Visualizar e gerenciar as categorias de custos](billing-example-policies.md#example-policy-cc-api). |
| aws-portal:ViewUsage | Concede permissão para visualizar [relatórios AWS](https://console.aws.amazon.com/billing/home#/reports) de uso. Para permitir que os usuários do IAM visualizem relatórios de uso, é necessário permitir o `ViewUsage` e o `ViewBilling`. Para visualizar um exemplo de política, consulte [Permitir que os usuários do IAM acessem a página de relatórios do console](billing-example-policies.md#example-billing-view-reports). |
| payments:AcceptFinancingApplicationTerms | Permite que os usuários do IAM concordem com os termos fornecidos pelo credor financeiro. Os usuários devem fornecer os detalhes de suas contas bancárias para receber o reembolso e assinar os documentos legais apresentados pelo credor. |
| payments:CreateFinancingApplication | Permite que os usuários do IAM solicitem um novo empréstimo financeiro e consultem a opção de financiamento escolhida. |
| payments:GetFinancingApplication | Permite que os usuários do IAM recuperem os detalhes de um pedido de financiamento. Por exemplo, status, limites, termos e informações do credor. |
| payments:GetFinancingLine | Permite que os usuários do IAM recuperem os detalhes de um empréstimo financeiro. Por exemplo, status e saldos. |
| payments:GetFinancingLineWithdrawal | Permite que os usuários do IAM recuperem os detalhes do saque. Por exemplo, saldos e reembolsos. |
| payments:GetFinancingOption | Permite que os usuários do IAM recuperem os detalhes de uma opção específica de financiamento. |
| payments:ListFinancingApplications | Permite que os usuários do IAM recuperem os identificadores de todos os pedidos de financiamento de todos os credores. |
| payments:ListFinancingLines | Permite que os usuários do IAM recuperem os identificadores de todos os empréstimos financeiros de todos os credores. |
| payments:ListFinancingLineWithdrawals | Permite que os usuários do IAM recuperem todas as retiradas de um determinado empréstimo. |
| payments:ListTagsForResource | Permite ou nega aos usuários do IAM a permissão para visualizar tags de um método de pagamento. |
| payments:TagResource | Permite ou nega aos usuários do IAM a permissão para adicionar tags a um método de pagamento. |
| payments:UntagResource | Permite ou nega aos usuários do IAM a permissão para remover tags de um método de pagamento. |
| payments:UpdateFinancingApplication | Permite que os usuários do IAM alterem um pedido de financiamento e enviem as informações adicionais solicitadas pelo credor. |
| payments:ListPaymentInstruments | Permite ou nega aos usuários do IAM a permissão para listar seus métodos de pagamento registrados. |
| payments:UpdatePaymentInstrument | Concede ou nega aos usuários do IAM permissão para atualizar seus métodos de pagamento. |
| pricing:DescribeServices | Concede permissão para visualizar produtos AWS de serviços e preços por meio da API de serviços de lista de AWS preços. Para permitir que os usuários do IAM usem a API do AWS Price List Service`DescribeServices`, você deve permitir`GetAttributeValues`, `GetProducts` e. Para visualizar um exemplo de política, consulte [Encontrar produtos e preços](billing-example-policies.md#example-policy-pe-api). |
| pricing:GetAttributeValues | Concede permissão para visualizar produtos AWS de serviços e preços por meio da API de serviços de lista de AWS preços. Para permitir que os usuários do IAM usem a API do AWS Price List Service`DescribeServices`, você deve permitir`GetAttributeValues`, `GetProducts` e. Para visualizar um exemplo de política, consulte [Encontrar produtos e preços](billing-example-policies.md#example-policy-pe-api). |
| pricing:GetProducts | Concede permissão para visualizar produtos AWS de serviços e preços por meio da API de serviços de lista de AWS preços. Para permitir que os usuários do IAM usem a API do AWS Price List Service`DescribeServices`, você deve permitir`GetAttributeValues`, `GetProducts` e. Para visualizar um exemplo de política, consulte [Encontrar produtos e preços](billing-example-policies.md#example-policy-pe-api). |
| purchase-orders:ViewPurchaseOrders | Concede permissão para visualizar [Ordens de compra](manage-purchaseorders.md). Para visualizar um exemplo de política, consulte [Visualizar e gerenciar ordens de compra](billing-example-policies.md#example-view-manage-purchaseorders). |
| purchase-orders:ModifyPurchaseOrders | Concede permissão para modificar [Ordens de compra](manage-purchaseorders.md). Para visualizar um exemplo de política, consulte [Visualizar e gerenciar ordens de compra](billing-example-policies.md#example-view-manage-purchaseorders). |
| tax:GetExemptions | Concede permissão de acesso somente leitura para visualizar isenções e tipos de isenções pelo console fiscal. Para visualizar um exemplo de política, consulte [Permita que os usuários do IAM visualizem as isenções fiscais dos EUA e criem casos Suporte](billing-example-policies.md#example-awstaxexemption). |
| tax:UpdateExemptions | Concede permissão para carregar uma isenção no console de isenções fiscais dos EUA. Para visualizar um exemplo de política, consulte [Permita que os usuários do IAM visualizem as isenções fiscais dos EUA e criem casos Suporte](billing-example-policies.md#example-awstaxexemption). |
| support:CreateCase | Concede permissão para iniciar casos de suporte, necessários para carregar isenções do console de isenções fiscais. Para visualizar um exemplo de política, consulte [Permita que os usuários do IAM visualizem as isenções fiscais dos EUA e criem casos Suporte](billing-example-policies.md#example-awstaxexemption). |
| support:AddAttachmentsToSet | Concede permissão para anexar documentos a casos de suporte necessários para carregar certificados de isenção para o console de isenção fiscal. Para visualizar um exemplo de política, consulte [Permita que os usuários do IAM visualizem as isenções fiscais dos EUA e criem casos Suporte](billing-example-policies.md#example-awstaxexemption). |
| customer-verification:GetCustomerVerificationEligibility | (Somente para clientes com endereço de cobrança ou contato na Índia) Concede permissão para recuperar a elegibilidade de verificação do cliente. |
| customer-verification:GetCustomerVerificationDetails | (Somente para clientes com endereço de cobrança ou contato na Índia) Concede permissão para recuperar dados de verificação do cliente. |
| customer-verification:CreateCustomerVerificationDetails | (Somente para clientes com endereço de cobrança ou contato na Índia) Concede permissão para criar dados de verificação do cliente. |
| customer-verification:UpdateCustomerVerificationDetails | (Somente para clientes com endereço de cobrança ou contato na Índia) Concede permissão para atualizar dados de verificação do cliente. |
| mapcredit:ListAssociatedPrograms | Concede permissão para visualizar os contratos associados e o painel do Migration Acceleration Program para a conta pagadora. |
| mapcredit:ListQuarterSpend | Concede permissão para visualizar os gastos elegíveis do Migration Acceleration Program para a conta pagadora. |
| mapcredit:ListQuarterCredits | Concede permissão para visualizar os créditos do Migration Acceleration Program para a conta pagadora. |
| invoicing:BatchGetInvoiceProfile | Concede permissão para acesso somente de leitura para visualizar perfis de fatura para configuração de faturas. AWS |
| invoicing:CreateInvoiceUnit | Concede permissão para criar unidades de fatura para configuração de AWS faturas. |
| invoicing:DeleteInvoiceUnit | Concede permissão para excluir unidades de fatura para configuração de AWS faturas. |
| invoicing:GetInvoiceUnit | Concede permissão para acesso somente de leitura para visualizar unidades de fatura para configuração de faturas. AWS |
| invoicing:ListInvoiceUnits | Concede permissão para listar todas as unidades da fatura para configuração da AWS fatura. |
| invoicing:ListTagsForResource | Permita ou negue aos usuários do IAM a permissão de visualizar as tags de uma unidade de fatura para configuração da AWS fatura. |
| invoicing:TagResource | Permita ou negue aos usuários do IAM a permissão de adicionar tags a uma unidade de fatura para configuração da AWS fatura. |
| invoicing:UntagResource | Permita ou negue aos usuários do IAM a permissão para remover tags de uma unidade de fatura para configuração da AWS fatura. |
| invoicing:UpdateInvoiceUnit | Concede permissões de edição para atualizar as unidades da fatura para configuração da AWS fatura. |
# AWS Exemplos de políticas de cobrança
**nota**
As seguintes ações AWS Identity and Access Management (IAM) chegaram ao fim do suporte padrão em julho de 2023:
Namespace do `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Se você estiver usando AWS Organizations, poderá usar os [scripts do migrador de políticas em massa ou o migrador](migrate-iam-permissions.md) de políticas em massa para atualizar as políticas da sua conta de pagador. Você também poderá usar a [referência de mapeamento de ações antigas para granulares](migrate-granularaccess-iam-mapping-reference.md) para verificar as ações do IAM que precisam ser adicionadas.
Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.
**Importante**
Essas políticas exigem que você ative o acesso de usuários do IAM ao console de Billing and Cost Management na página do console [Account Settings](https://console.aws.amazon.com/billing/home#/account) (Configurações da conta). Para obter mais informações, consulte [Ativar o acesso ao console do Gerenciamento de Faturamento e Custos](control-access-billing.md#ControllingAccessWebsite-Activate).
Para usar políticas AWS gerenciadas, consulte[AWS políticas gerenciadas](managed-policies.md).
Este tópico contém exemplos de políticas que podem ser anexadas ao usuário ou grupo do IAM para controlar o acesso às informações de faturamento e ferramentas da sua conta. As seguintes regras básicas se aplicam às políticas do IAM para o Billing and Cost Management:
+ `Version` é sempre `2012-10-17 `.
+ `Effect` é sempre `Allow` ou `Deny`.
+ `Action` é o nome da ação ou um caractere curinga (`*`).
O prefixo da ação é `budgets` para AWS Orçamentos, `cur` Relatórios de AWS Custo e Uso, `aws-portal` AWS Faturamento ou Cost `ce` Explorer.
+ `Resource`é sempre `*` para AWS cobrança.
Para ações realizadas em um recurso `budget`, especifique o nome do recurso da Amazon (ARN) do orçamento.
+ É possível ter várias instruções em uma política.
Para obter uma lista de políticas de ações para o console de gerenciamento de AWS custos, consulte [AWS exemplos de políticas de gerenciamento de AWS](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html) *custos no guia do usuário do gerenciamento de custos*.
**Topics**
+ [Permitir que os usuários do IAM visualizem suas informações de faturamento](#example-billing-view-billing-only)
+ [Permitir que os usuários do IAM visualizem suas informações de faturamento o relatório de pegada de carbono](#example-ccft-policy)
+ [Permitir que os usuários do IAM acessem a página de relatórios do console](#example-billing-view-reports)
+ [Negar acesso aos consoles do Billing and Cost Management aos usuários do IAM](#example-billing-deny-all)
+ [Negar acesso ao widget de custo e uso do AWS console para contas de membros](#example-billing-deny-widget)
+ [Negar acesso ao widget de custo e uso do AWS console para usuários e funções específicos do IAM](#example-billing-deny-ce)
+ [Permitir que os usuários do IAM visualizem suas informações de faturamento, mas negar acesso ao relatório de pegada de carbono](#example-ccft-policy-deny)
+ [Permitir que os usuários do IAM acessem o relatório de pegada de carbono, mas negar acesso às informações de faturamento](#example-ccft-policy-allow)
+ [Permita acesso total aos AWS serviços, mas negue aos usuários do IAM o acesso aos consoles Billing and Cost Management](#ExampleAllowAllDenyBilling)
+ [Permitir que os usuários do IAM visualizem os consoles do Billing and Cost Management, com exceção das configurações da conta](#example-billing-read-only)
+ [Permitir que os usuários do IAM modifiquem as informações de faturamento](#example-billing-deny-modifybilling)
+ [Recusar o acesso às configurações da conta, mas permitir acesso total a todas as outras informações de faturamento e uso](#example-billing-deny-modifyaccount)
+ [Depositar relatórios em um bucket do Amazon S3](#example-billing-s3-bucket)
+ [Encontrar produtos e preços](#example-policy-pe-api)
+ [Visualizar custos e uso](#example-policy-ce-api)
+ [Ativar e desativar AWS regiões](#enable-disable-regions)
+ [Visualizar e gerenciar as categorias de custos](#example-policy-cc-api)
+ [Crie, visualize, edite ou exclua relatórios de AWS custo e uso](#example-policy-report-definition)
+ [Visualizar e gerenciar ordens de compra](#example-view-manage-purchaseorders)
+ [Visualizar e atualizar a página de preferências do Explorador de Custos](#example-view-update-ce)
+ [Visualizar, criar, atualizar e excluir usando a página de relatórios do Explorador de Custos](#example-view-ce-reports)
+ [Exibir, criar, atualizar e excluir alertas de reserva e dos Savings Plans](#example-view-ce-expiration)
+ [Permita acesso somente para leitura à Detecção de anomalias de AWS custo](#example-policy-ce-ad)
+ [Permita que AWS os orçamentos apliquem políticas do IAM e SCPs](#example-budgets-IAM-SCP)
+ [Permita que AWS os orçamentos apliquem políticas e SCPs do IAM e visem instâncias do EC2 e do RDS](#example-budgets-applySCP)
+ [Permita que os usuários do IAM visualizem as isenções fiscais dos EUA e criem casos Suporte](#example-awstaxexemption)
+ [(Para clientes com endereço de cobrança ou de contato na Índia) Permitir acesso somente leitura às informações de verificação do cliente](#example-aispl-verification)
+ [(Para clientes com endereço de cobrança ou de contato na Índia) Visualizar, criar e atualizar informações de verificação do cliente](#example-aispl-verification-view)
+ [Visualizar informações do AWS Migration Acceleration Program no console do Faturamento](#read-only-migration-acceleration-program-policy)
+ [Permitir acesso à configuração da AWS fatura no console de faturamento](#invoice-config-policy)
## Permitir que os usuários do IAM visualizem suas informações de faturamento
Para permitir que um usuário do IAM visualize suas informações de faturamento sem conceder a ele acesso às informações confidenciais da conta, use uma política semelhante ao exemplo de política a seguir. Essa política impede que os usuários acessem seus relatórios de atividades de senha e conta. Essa política permite que os usuários do IAM visualizem as seguintes páginas do console do Billing and Cost Management, sem conceder a eles acesso às páginas do console **Account Settings** (Configurações da conta) e **Reports** (Relatórios):
+ **Painel**
+ **Explorador de Custos**
+ **Faturas**
+ **Pedidos e faturas**
+ **Faturamento consolidado**
+ **Preferências**
+ **Créditos**
+ **Pagamento antecipado**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
}
]
}
```
------
## Permitir que os usuários do IAM visualizem suas informações de faturamento o relatório de pegada de carbono
Para permitir que um usuário do IAM visualize as informações de faturamento e os relatórios de pegada de carbono, use uma política semelhante ao exemplo a seguir. Essa política impede que os usuários acessem seus relatórios de atividades de senha e conta. Essa política permite que os usuários do IAM visualizem as seguintes páginas do console do Billing and Cost Management, sem conceder a eles acesso às páginas do console **Account Settings** (Configurações da conta) e **Reports** (Relatórios):
+ **Painel**
+ **Explorador de Custos**
+ **Faturas**
+ **Pedidos e faturas**
+ **Faturamento consolidado**
+ **Preferências**
+ **Créditos**
+ **Pagamento antecipado**
+ **A seção AWS Customer Carbon Footprint Tool da página Relatórios de AWS Custo e Uso**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Allow",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## Permitir que os usuários do IAM acessem a página de relatórios do console
Para permitir que um usuário do IAM acesse a página do console **Reports** (Relatórios) e visualize os relatórios de uso que contêm informações de atividades da conta, use uma política semelhante a este exemplo de política.
Para as definições de cada ação, consulte [AWS Ações do console de faturamento](security_iam_id-based-policy-examples.md#user-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewUsage",
"aws-portal:ViewBilling",
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*"
}
]
}
```
------
## Negar acesso aos consoles do Billing and Cost Management aos usuários do IAM
Para negar explicitamente que um usuário do IAM acesse todas as páginas do console do Billing and Cost Management, use uma política semelhante a este exemplo de política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "aws-portal:*",
"Resource": "*"
}
]
}
```
------
## Negar acesso ao widget de custo e uso do AWS console para contas de membros
Para restringir o acesso da conta de membro (vinculada) a dados de custo e uso, use sua conta de gerenciamento (pagador) para acessar a guia de preferências do Explorador de Custos e desmarque **Acesso à conta vinculada**. Isso negará o acesso aos dados de custo e uso do console Cost Explorer (AWS Cost Management), da API Cost Explorer e do widget de custo e uso da página inicial do AWS console, independentemente das ações do IAM que o usuário ou a função do IAM da conta membro tenha.
## Negar acesso ao widget de custo e uso do AWS console para usuários e funções específicos do IAM
Para negar o acesso ao widget de custo e uso do AWS console para usuários e funções específicos do IAM, use a política de permissões abaixo.
**nota**
Adicionar essa política a um usuário ou função do IAM negará aos usuários o acesso ao console do AWS Cost Explorer (Cost Management) e ao Cost Explorer APIs .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ce:*",
"Resource": "*"
}
]
}
```
------
## Permitir que os usuários do IAM visualizem suas informações de faturamento, mas negar acesso ao relatório de pegada de carbono
Permitir que um usuário do IAM acesse as informações de cobrança nos consoles Billing and Cost Management, mas não permitir o acesso à Customer Carbon Footprint AWS Tool. Essa ferramenta está localizada na página Relatórios de AWS custo e uso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Deny",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## Permitir que os usuários do IAM acessem o relatório de pegada de carbono, mas negar acesso às informações de faturamento
Permitir que os usuários do IAM acessem a AWS Customer Carbon Footprint Tool na página Relatórios de AWS Custos e Uso, mas negue o acesso para visualizar as informações de cobrança nos consoles Billing and Cost Management.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Deny",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Allow",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## Permita acesso total aos AWS serviços, mas negue aos usuários do IAM o acesso aos consoles Billing and Cost Management
Para negar aos usuários do IAM o acesso a tudo no console do Billing and Cost Management, use a política a seguir. Negue o acesso do usuário ao AWS Identity and Access Management (IAM) para impedir o acesso às políticas que controlam o acesso às informações e ferramentas de cobrança.
**Importante**
Esta política não permite qualquer ação. Use essa política em combinação com outras políticas que permitam ações específicas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aws-portal:*",
"iam:*"
],
"Resource": "*"
}
]
}
```
------
## Permitir que os usuários do IAM visualizem os consoles do Billing and Cost Management, com exceção das configurações da conta
Essa política permite o acesso somente leitura a todo o console do Billing and Cost Management. Isso inclui as páginas no console **Payments Method** (Método de pagamento) e **Reports** (Relatórios). No entanto, essa política nega o acesso à página **Account Settings** (Configurações da conta). Isso significa que ela protege a senha da conta, as informações de contato e as perguntas de segurança.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:View*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## Permitir que os usuários do IAM modifiquem as informações de faturamento
Para permitir que usuários do IAM modifiquem as informações de faturamento da conta no console do Billing and Cost Management, é necessário permitir que eles visualizem suas informações de faturamento. O exemplo de política a seguir permite que um usuário do IAM modifique as páginas do console **Faturamento consolidado**, **Preferências** e **Créditos**. Ele também permite que um usuário do IAM visualize as seguintes páginas do console do Billing and Cost Management:
+ **Painel**
+ **Explorador de Custos**
+ **Faturas**
+ **Pedidos e faturas**
+ **Pagamento antecipado**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:*Billing",
"Resource": "*"
}
]
}
```
------
## Recusar o acesso às configurações da conta, mas permitir acesso total a todas as outras informações de faturamento e uso
Para proteger a senha, as informações de contato e as perguntas de segurança da sua conta, é possível negar o acesso do usuário do IAM às **Account Settings** (Configurações da conta) sem deixar de permitir o acesso completo ao restante da funcionalidade do console do Billing and Cost Management. Veja abaixo um exemplo de política .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:*Billing",
"aws-portal:*Usage",
"aws-portal:*PaymentMethods"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## Depositar relatórios em um bucket do Amazon S3
A política a seguir permite que o Billing and Cost Management salve suas faturas AWS detalhadas em um bucket do Amazon S3 se você for proprietário da conta AWS e do bucket do Amazon S3. Essa política deve ser aplicada ao bucket do Amazon S3 e não a um usuário do IAM. Ou seja, é uma política baseada em recursos, não no usuário. Recomendamos que você negue acesso ao bucket a usuários do IAM que não precisam ter acesso às suas faturas.
Substitua *amzn-s3-demo-bucket1* pelo nome do seu bucket.
Para obter mais informações, consulte [Usar políticas de bucket e políticas de usuário](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-iam-policies.html) no *Manual do usuário do Amazon Simple Storage Service*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": [
"s3:GetBucketAcl",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1"
},
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"
}
]
}
```
------
## Encontrar produtos e preços
Para permitir que um usuário do IAM use a API AWS Price List Service, use a política a seguir para conceder acesso a ele.
Essa política concede permissão para usar a API AWS AWS Price List Bulk List Query API.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts",
"pricing:GetPriceListFileUrl",
"pricing:ListPriceLists"
],
"Resource": [
"*"
]
}
]
}
```
------
## Visualizar custos e uso
Para permitir que os usuários do IAM usem a API AWS Cost Explorer, use a política a seguir para conceder acesso a eles.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ce:*"
],
"Resource": [
"*"
]
}
]
}
```
------
## Ativar e desativar AWS regiões
Para ver um exemplo de política do IAM que permite aos usuários ativar e desativar regiões, consulte [AWS: Permite ativar e desativar AWS regiões](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws-enable-disable-regions.html) no *Guia do usuário do IAM*.
## Visualizar e gerenciar as categorias de custos
Para permitir que os usuários do IAM usem, visualizem e gerenciem categorias de custos, use a política a seguir para conceder acesso a eles.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:GetCostAndUsage",
"ce:DescribeCostCategoryDefinition",
"ce:UpdateCostCategoryDefinition",
"ce:CreateCostCategoryDefinition",
"ce:DeleteCostCategoryDefinition",
"ce:ListCostCategoryDefinitions",
"ce:TagResource",
"ce:UntagResource",
"ce:ListTagsForResource",
"pricing:DescribeServices"
],
"Resource": "*"
}
]
}
```
------
## Crie, visualize, edite ou exclua relatórios de AWS custo e uso
Essa política permite que um usuário do IAM crie, visualize, edite ou exclua o `sample-report` usando a API.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageSampleReport",
"Effect": "Allow",
"Action": [
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "arn:aws:cur:*:123456789012:definition/sample-report"
},
{
"Sid": "DescribeReportDefs",
"Effect": "Allow",
"Action": "cur:DescribeReportDefinitions",
"Resource": "*"
}
]
}
```
------
## Visualizar e gerenciar ordens de compra
Essa política permite que um usuário do IAM visualize e gerencie ordens de compra usando a política a seguir para conceder acesso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"purchase-orders:*"
],
"Resource": "*"
}
]
}
```
------
## Visualizar e atualizar a página de preferências do Explorador de Custos
Essa política permite que um usuário do IAM visualize e atualize usando a **Página de preferências do Explorador de Custos**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
A política a seguir permite que os usuários do IAM visualizem o Explorador de Custos, mas neguem permissão para exibir ou editar a página **Preferências**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:GetPreferences",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
A política a seguir permite que os usuários do IAM visualizem o Explorador de Custos, mas neguem permissão para editar a página **Preferências**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
## Visualizar, criar, atualizar e excluir usando a página de relatórios do Explorador de Custos
Essa política permite que um usuário do IAM visualize, crie, atualize e exclua usando a **Página de relatórios do Explorador de Custos**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
A política a seguir permite que os usuários do IAM visualizem o Explorador de Custos, mas neguem permissão para visualizar ou editar a página **Reports** (Relatórios).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeReport",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
A política a seguir permite que os usuários do IAM visualizem o Explorador de Custos, mas neguem permissão para editar a página **Reports** (Relatórios).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
## Exibir, criar, atualizar e excluir alertas de reserva e dos Savings Plans
Essa política permite que um usuário do IAM visualize, crie, atualize e exclua [alertas de validade de reserva](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ce-ris.html) e [alertas dos Savings Plans](https://docs.aws.amazon.com/savingsplans/latest/userguide/sp-overview.html#sp-alert). Para editar alertas de validade de reserva ou alertas dos Savings Plans, um usuário precisa de todas as três ações detalhadas: `ce:CreateNotificationSubscription`, `ce:UpdateNotificationSubscription` e `ce:DeleteNotificationSubscription`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
A política a seguir permite que os usuários do IAM visualizem o Explorador de Custos, mas neguem permissão para visualizar ou editar as páginas **Reservation Expiration Alerts** (Alertas de validade de reservas) e **Savings Plans alert** (Alerta dos Savings Plans).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeNotificationSubscription",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
A política a seguir permite que os usuários do IAM visualizem o Explorador de Custos, mas neguem permissão para editar as páginas **Reservation Expiration Alerts** (Alertas de validade de reservas) e **Savings Plans alert** (Alerta dos Savings Plans).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
## Permita acesso somente para leitura à Detecção de anomalias de AWS custo
Para permitir que os usuários do IAM tenham acesso somente de leitura à Detecção de anomalias de AWS custo, use a política a seguir para conceder acesso a eles. `ce:ProvideAnomalyFeedback`é opcional como parte do acesso somente para leitura.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ce:Get*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Permita que AWS os orçamentos apliquem políticas do IAM e SCPs
Essa política permite que a AWS Budgets aplique políticas do IAM e políticas de controle de serviços (SCPs) em nome do usuário.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": "*"
}
]
}
```
------
## Permita que AWS os orçamentos apliquem políticas e SCPs do IAM e visem instâncias do EC2 e do RDS
Essa política permite que a AWS Budgets aplique políticas do IAM e políticas de controle de serviços (SCPs) e vise instâncias do Amazon EC2 e do Amazon RDS em nome do usuário.
Política de confiança
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "budgets.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Política de permissões
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceStatus",
"ec2:StartInstances",
"ec2:StopInstances",
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"rds:DescribeDBInstances",
"rds:StartDBInstance",
"rds:StopDBInstance",
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
```
------
## Permita que os usuários do IAM visualizem as isenções fiscais dos EUA e criem casos Suporte
Essa política permite que um usuário do IAM visualize as isenções fiscais dos EUA e crie Suporte casos para fazer upload de certificados de isenção no console de isenção de impostos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:*",
"tax:GetExemptions",
"tax:UpdateExemptions",
"support:CreateCase",
"support:AddAttachmentsToSet"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
## (Para clientes com endereço de cobrança ou de contato na Índia) Permitir acesso somente leitura às informações de verificação do cliente
Esta política permite que os usuários do IAM tenham acesso somente leitura às informações de verificação do cliente.
Para as definições de cada ação, consulte [AWS Ações do console de faturamento](security_iam_id-based-policy-examples.md#user-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"customer-verification:GetCustomerVerificationEligibility",
"customer-verification:GetCustomerVerificationDetails"
],
"Resource": "*"
}]
}
```
------
## (Para clientes com endereço de cobrança ou de contato na Índia) Visualizar, criar e atualizar informações de verificação do cliente
Esta política permite que os usuários do IAM gerenciem suas informações de verificação do cliente.
Para as definições de cada ação, consulte [AWS Ações do console de faturamento](security_iam_id-based-policy-examples.md#user-permissions)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"customer-verification:CreateCustomerVerificationDetails",
"customer-verification:UpdateCustomerVerificationDetails",
"customer-verification:GetCustomerVerificationEligibility",
"customer-verification:GetCustomerVerificationDetails"
],
"Resource": "*"
}]
}
```
------
## Visualizar informações do AWS Migration Acceleration Program no console do Faturamento
Esta política permite que os usuários do IAM visualizem os contratos, créditos e gastos elegíveis do Migration Acceleration Program para a conta do pagador no console do Faturamento.
Para as definições de cada ação, consulte [AWS Ações do console de faturamento](security_iam_id-based-policy-examples.md#user-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"mapcredits:ListQuarterSpend",
"mapcredits:ListQuarterCredits",
"mapcredits:ListAssociatedPrograms"
],
"Resource": "*"
}]
}
```
------
## Permitir acesso à configuração da AWS fatura no console de faturamento
Essa política permite que os usuários do IAM acessem a configuração de AWS faturas no console de faturamento.
Para as definições de cada ação, consulte [AWS Ações do console de faturamento](security_iam_id-based-policy-examples.md#user-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"invoicing:ListInvoiceUnits",
"invoicing:GetInvoiceUnit",
"invoicing:CreateInvoiceUnit",
"invoicing:UpdateInvoiceUnit",
"invoicing:DeleteInvoiceUnit",
"invoicing:BatchGetInvoiceProfile"
],
"Resource": [
"*"
]
}
]
}
```
------
# Migrando o controle de acesso para AWS Billing
**nota**
As seguintes ações AWS Identity and Access Management (IAM) chegaram ao fim do suporte padrão em julho de 2023:
Namespace do `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Se você estiver usando AWS Organizations, poderá usar os [scripts do migrador de políticas em massa ou o migrador](migrate-iam-permissions.md) de políticas em massa para atualizar as políticas da sua conta de pagador. Você também poderá usar a [referência de mapeamento de ações antigas para granulares](migrate-granularaccess-iam-mapping-reference.md) para verificar as ações do IAM que precisam ser adicionadas.
Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.
Você pode usar controles de acesso refinados para fornecer aos indivíduos da sua organização acesso aos serviços. Gerenciamento de Faturamento e Custos da AWS Por exemplo, é possível conceder acesso ao Cost Explorer sem fornecer acesso ao console de faturamento e gerenciamento de custos.
Para usar os controles de acesso refinados, será necessário migrar suas políticas do `aws-portal` para as novas ações do IAM.
As seguintes ações do IAM em suas políticas de permissão ou políticas de controle de serviço (SCP) necessitam de atualização com essa migração:
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
Para saber como usar a ferramenta **Políticas afetadas** para identificar suas políticas do IAM afetadas, consulte [Como usar a ferramenta Políticas afetadas](migrate-security-iam-tool.md).
**nota**
O acesso à API AWS Cost Explorer, aos relatórios de AWS custo e uso e aos AWS orçamentos permanece inalterado.
[Ativar o acesso ao console do Gerenciamento de Faturamento e Custos](control-access-billing.md#ControllingAccessWebsite-Activate) permanecem inalterados.
**Topics**
+ [Gerenciar permissões de acesso](#migrate-control-access-billing)
+ [Uso do console para migrar suas políticas em massa](migrate-granularaccess-console.md)
+ [Como usar a ferramenta Políticas afetadas](migrate-security-iam-tool.md)
+ [Com scripts, migre suas políticas em massa para usar ações do IAM refinadas](migrate-iam-permissions.md)
+ [Mapeamento de referência de ações do IAM refinadas](migrate-granularaccess-iam-mapping-reference.md)
## Gerenciar permissões de acesso
AWS Billing se integra ao serviço AWS Identity and Access Management (IAM) para que você possa controlar quem em sua organização pode acessar páginas específicas no console do [Billing and Cost](https://console.aws.amazon.com/billing/) Management. Isso inclui recursos como pagamentos, cobrança, créditos, nível gratuito, preferências de pagamento, faturamento consolidado, Configurações de impostos e páginas de conta.
Utilize as seguintes permissões do IAM para um controle mais granular no console de faturamento e gerenciamento de custos.
Para fornecer acesso refinado, substitua a política `aws-portal` por `account`, `billing`, `payments`, `freetier`, `invoicing`, `tax` e `consolidatedbilling`.
Além disso, substitua `purchase-orders:ViewPurchaseOrders` e `purchase-orders:ModifyPurchaseOrders` pelas ações refinadas em `purchase-orders`, `account` e `payments`.
### Usando ações refinadas AWS Billing
Esta tabela resume as permissões que concedem ou negam aos usuários e perfis do IAM acesso às suas informações de faturamento. Para obter exemplos de políticas que usam essas permissões, consulte [AWS Exemplos de políticas de cobrança](billing-example-policies.md).
Para obter uma lista de ações para o AWS Cost Management console, consulte [as políticas de AWS Cost Management ações](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#user-permissions) no *Guia AWS Cost Management do usuário*.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html)
# Uso do console para migrar suas políticas em massa
**nota**
As seguintes ações AWS Identity and Access Management (IAM) chegaram ao fim do suporte padrão em julho de 2023:
Namespace do `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Se você estiver usando AWS Organizations, poderá usar os [scripts do migrador de políticas em massa ou o migrador](migrate-iam-permissions.md) de políticas em massa para atualizar as políticas da sua conta de pagador. Você também poderá usar a [referência de mapeamento de ações antigas para granulares](migrate-granularaccess-iam-mapping-reference.md) para verificar as ações do IAM que precisam ser adicionadas.
Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.
Esta seção aborda como é possível usar o [console do Gerenciamento de Faturamento e Custos da AWS](https://console.aws.amazon.com/billing/) para migrar suas políticas legadas de suas contas do Organizations ou contas padrão para ações refinadas em massa. É possível concluir a migração de suas políticas legadas usando o console de duas maneiras:
**Usando o processo de migração recomendado pela AWS**
Esse é um processo simplificado e de ação única em que você migra as ações legadas para as ações refinadas, conforme mapeado pela AWS. Para obter mais informações, consulte [Uso de ações recomendadas para migrar políticas legadas em massa](migrate-console-streamlined.md).
**Uso do processo de migração personalizado**
Esse processo permite que você revise e altere as ações recomendadas AWS antes da migração em massa, bem como personalize quais contas em sua organização serão migradas. Para obter mais informações, consulte [Personalização de ações para migrar políticas legadas em massa](migrate-console-customized.md).
## Pré-requisitos para migração em massa usando o console
Ambas as opções de migração exigem que você concorde no console para que ele AWS possa recomendar ações refinadas para as ações legadas do IAM que você atribuiu. Para fazer isso, você precisará fazer login na sua AWS conta como [diretor do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) com as seguintes ações do IAM para continuar com as atualizações da política.
------
#### [ Management account ]
```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced",
"aws-portal:UpdateConsoleActionSetEnforced",
"purchase-orders:UpdateConsoleActionSetEnforced",
"iam:GetAccountAuthorizationDetails",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:CreateFunction",
"lambda:InvokeFunction",
"lambda:RemovePermission",
"scheduler:GetSchedule",
"scheduler:DeleteSchedule",
"scheduler:CreateSchedule",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:CreateStackSet",
"cloudformation:CreateStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStackSets",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:ListStacks",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:CreateStack",
"cloudformation:UpdateStackInstances",
"cloudformation:UpdateStackSet",
"cloudformation:DescribeStacks",
"ec2:DescribeRegions",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"iam:GenerateOrganizationsAccessReport",
"iam:GetOrganizationsAccessReport",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"organizations:ListAccountsForParent",
"organizations:ListRoots",
"sts:AssumeRole",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:GetInlinePolicyForPermissionSet",
"sso:DescribePermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sso:ProvisionPermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```
------
#### [ Member account or standard account ]
```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced", // Not needed for member account
"aws-portal:UpdateConsoleActionSetEnforced", // Not needed for member account
"purchase-orders:UpdateConsoleActionSetEnforced", // Not needed for member account
"iam:GetAccountAuthorizationDetails",
"ec2:DescribeRegions",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```
------
**Topics**
+ [Pré-requisitos para migração em massa usando o console](#migrate-granularaccess-console-prereq)
+ [Uso de ações recomendadas para migrar políticas legadas em massa](migrate-console-streamlined.md)
+ [Personalização de ações para migrar políticas legadas em massa](migrate-console-customized.md)
+ [Reversão das suas mudanças de política de migração em massa](migrate-console-rollback.md)
+ [Confirmação da sua migração](#migrate-console-complete)
# Uso de ações recomendadas para migrar políticas legadas em massa
É possível migrar todas as suas políticas legadas usando as ações refinadas mapeadas pela AWS. Pois AWS Organizations, isso se aplica a todas as políticas legadas em todas as contas. Depois de concluir o processo de migração, as ações refinadas estarão em vigor. Você tem a opção de testar o processo de migração em massa usando contas de teste antes de confirmá-lo para toda a organização. Para obter mais informações, consulte a seção a seguir.
**Para migrar todas as suas políticas usando ações refinadas mapeadas por AWS**
1. Faça login no [Console de gerenciamento da AWS](https://console.aws.amazon.com/).
1. Na barra de pesquisas na parte superior da página, insira **Bulk Policy Migrator**.
1. Na página **Gerenciar novas ações do IAM**, escolha **Confirmar e migrar**.
1. Permaneça na página **Migração em andamento** até que a migração seja concluída. Veja a barra de status para ver o andamento.
1. Depois que a seção **Migração em andamento** for atualizada para **Migração com êxito**, você será redirecionado para a página **Gerenciar novas ações do IAM**.
## Testes da sua migração em massa
Você pode testar a migração em massa de políticas AWS legadas para ações detalhadas recomendadas usando contas de teste antes de se comprometer com a migração de toda a organização. Depois de concluir o processo de migração em suas contas de teste, as ações refinadas serão aplicadas às suas contas de teste.
**Para usar suas contas de teste para migração em massa**
1. Faça login no [Console de gerenciamento da AWS](https://console.aws.amazon.com/).
1. Na barra de pesquisas na parte superior da página, insira **Bulk Policy Migrator**.
1. Na página **Gerenciar novas ações do IAM**, escolha **Personalizar**.
1. Depois que as contas e as políticas forem carregadas na tabela de **contas do Migrate**, selecione uma ou mais contas de teste na lista de AWS contas.
1. (Opcional) Para alterar o mapeamento entre sua política legada e as ações AWS refinadas recomendadas, escolha **Exibir** mapeamento padrão. Altere o mapeamento e escolha **Salvar**.
1. Escolha **Confirmar e migrar**.
1. Permaneça na página do console até que a migração seja concluída.
# Personalização de ações para migrar políticas legadas em massa
Você pode personalizar sua migração em massa de várias maneiras, em vez de usar a ação AWS recomendada para todas as suas contas. Você tem a opção de revisar todas as alterações necessárias em suas políticas legadas antes de migrar, escolher contas específicas no seu Organizations para migrar por vez e alterar o intervalo de acesso atualizando as ações detalhadas mapeadas.
**Para revisar suas políticas afetadas antes da migração em massa**
1. Faça login no [Console de gerenciamento da AWS](https://console.aws.amazon.com/).
1. Na barra de pesquisas na parte superior da página, insira **Bulk Policy Migrator**.
1. Na página **Gerenciar novas ações do IAM**, escolha **Personalizar**.
1. Depois que as contas e políticas forem carregadas na tabela **Migrar contas**, escolha o número na coluna **Número de políticas do IAM afetadas** para ver as políticas afetadas. Você também verá quando essa política foi usada pela última vez para acessar os consoles de Gerenciamento de Faturamento e Custos.
1. Escolha um nome de política para abri-la no console do IAM para visualizar as definições e atualizar manualmente a política.
**Observações**
Isso pode desconectar você da sua conta atual se a política for de outra conta de membro.
Você não será redirecionado para a página do IAM correspondente se sua conta atual tiver uma migração em massa em andamento.
1. (Opcional) Escolha **Exibir mapeamento padrão** para ver as políticas legadas e entender a política refinada mapeada pela AWS.
**Para migrar um grupo selecionado de contas a serem migradas da sua organização**
1. Faça login no [Console de gerenciamento da AWS](https://console.aws.amazon.com/).
1. Na barra de pesquisas na parte superior da página, insira **Bulk Policy Migrator**.
1. Na página **Gerenciar novas ações do IAM**, escolha **Personalizar**.
1. Depois que as contas e as políticas forem carregadas na tabela **Migrar contas**, selecione uma ou mais contas para migrar.
1. Escolha **Confirmar e migrar**.
1. Permaneça na página do console até que a migração seja concluída.
**Para alterar o intervalo de acesso atualizando as ações refinadas mapeadas**
1. Faça login no [Console de gerenciamento da AWS](https://console.aws.amazon.com/).
1. Na barra de pesquisas na parte superior da página, insira **Bulk Policy Migrator**.
1. Na página **Gerenciar novas ações do IAM**, escolha **Personalizar**.
1. Escolha **Visualizar mapeamento padrão**.
1. Escolha **Editar**.
1. Adicione ou remova ações do IAM para os serviços de Gerenciamento de Faturamento e Custos aos quais você deseja controlar o acesso. Para obter mais informações sobre ações refinadas e o acesso que elas controlam, consulte [Mapeamento de referência de ações do IAM refinadas](migrate-granularaccess-iam-mapping-reference.md).
1. Escolha **Salvar alterações**.
O mapeamento atualizado é usado para todas as futuras migrações da conta na qual você está conectado. Isso pode ser alterado a qualquer momento.
# Reversão das suas mudanças de política de migração em massa
É possível reverter todas as alterações de política feitas durante o processo de migração em massa com segurança, usando as etapas fornecidas na ferramenta de migração em massa. O atributo de reversão funciona no nível da conta. É possível reverter atualizações de políticas para todas as contas ou grupos específicos de contas migradas. No entanto, não é possível reverter alterações para políticas específicas em uma conta.
**Para reverter alterações de migração em massa**
1. Faça login no [Console de gerenciamento da AWS](https://console.aws.amazon.com/).
1. Na barra de pesquisas na parte superior da página, insira **Bulk Policy Migrator**.
1. Na página **Gerenciar novas ações do IAM**, escolha a guia **Reverter alterações**.
1. Selecione todas as contas a serem revertidas. As contas devem ter `Migrated` exibido na coluna **Status de reversão**.
1. Escolha o botão **Reverter alterações**.
1. Permaneça na página do console até que a reversão seja concluída.
## Confirmação da sua migração
Você pode ver se há alguma AWS Organizations conta que ainda precisa migrar usando a ferramenta de migração.
**Para confirmar se todas as contas foram migradas**
1. Faça login no [Console de gerenciamento da AWS](https://console.aws.amazon.com/).
1. Na barra de pesquisas na parte superior da página, insira **Bulk Policy Migrator**.
1. Na página **Gerenciar novas ações do IAM**, escolha a guia **Migrar contas**.
Todas as contas terão sido migradas com êxito se a tabela não mostrar nenhuma conta restante.
# Como usar a ferramenta Políticas afetadas
**nota**
As seguintes ações AWS Identity and Access Management (IAM) chegaram ao fim do suporte padrão em julho de 2023:
Namespace do `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Se você estiver usando AWS Organizations, poderá usar os [scripts do migrador de políticas em massa ou o migrador](migrate-iam-permissions.md) de políticas em massa para atualizar as políticas da sua conta de pagador. Você também poderá usar a [referência de mapeamento de ações antigas para granulares](migrate-granularaccess-iam-mapping-reference.md) para verificar as ações do IAM que precisam ser adicionadas.
Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.
Você pode usar a ferramenta de **políticas afetadas** no console de faturamento para identificar políticas do IAM (excluindo SCPs) e referenciar as ações do IAM afetadas por essa migração. Use a ferramenta de **Políticas afetadas** para realizar as seguintes tarefas:
+ Identifique as políticas do IAM e faça referência às ações do IAM afetadas por essa migração
+ Copie a política atualizada para sua área de transferência
+ Abra a política afetada no editor de políticas do IAM
+ Salve a política atualizada em sua conta
+ Ative as permissões refinadas e desative as ações antigas
Essa ferramenta opera dentro dos limites da AWS conta na qual você está conectado e as informações sobre outras AWS Organizations contas não são divulgadas.
**Para usar a ferramenta Políticas afetadas**
1. Faça login no Console de gerenciamento da AWS e abra o Gerenciamento de Faturamento e Custos da AWS console em [https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/).
1. Cole o seguinte URL em seu navegador para acessar a ferramenta **Políticas afetadas**: [https://console.aws.amazon.com/poliden/home?region=us-east-1#/](https://console.aws.amazon.com/poliden/home?region=us-east-1#/).
**nota**
Você deve ter a permissão `iam:GetAccountAuthorizationDetails` para exibir essa página.
1. Analise a tabela que lista as políticas do IAM afetadas. Use a coluna **Ações obsoletas do IAM** para revisar ações específicas do IAM referenciadas em uma política.
1. Na coluna **Copiar política atualizada**, escolha **Copiar** para copiar a política atualizada para sua área de transferência. A política atualizada contém a política existente e as ações refinadas sugeridas anexadas a ela como um bloco `Sid` separado. Esse bloco tem o prefixo `AffectedPoliciesMigrator` no final da política.
1. Na coluna **Editar política no console do IAM**, escolha **Editar** para acessar o editor de políticas do IAM. Você verá o JSON da sua política existente.
1. Substitua toda a política existente pela política atualizada que você copiou na etapa 4. Você pode fazer outras alterações conforme necessário.
1. Escolha **Próximo** e, em seguida, escolha **Salvar alterações**.
1. Repita as etapas 3 a 7 para todas as políticas afetadas.
1. Depois de atualizar suas políticas, atualize a ferramenta **Políticas afetadas** para confirmar que não há políticas afetadas listadas. A coluna **Novas ações do IAM encontradas** deve conter **Sim** para todas as políticas e os botões **Copiar** e **Editar** serão desabilitados. Suas políticas afetadas são atualizadas.
**Habilitar ações refinadas para sua conta**
Depois de atualizar suas políticas, siga este procedimento para habilitar as ações detalhadas em sua conta.
Somente a conta de gerenciamento (pagador) de uma organização ou contas individuais podem usar a seção **Gerenciar novas ações do IAM**. Uma conta individual pode habilitar as novas ações por si mesma. Uma conta de gerenciamento pode habilitar novas ações para toda a organização ou para um subconjunto de contas de membros. Se você for uma conta de gerenciamento, atualize as políticas afetadas para todas as contas dos membros e habilite as novas ações para sua organização. Para obter mais informações, consulte [Como alternar contas entre novas ações refinadas ou ações](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/#How-to-toggle-accounts-between-new-fine-grained-actions-or-existing-IAM-Actions) existentes do IAM? seção na postagem do AWS blog.
**nota**
Para fazer isso, você deve ter as seguintes permissões:
`aws-portal:GetConsoleActionSetEnforced`
`aws-portal:UpdateConsoleActionSetEnforced`
`ce:GetConsoleActionSetEnforced`
`ce:UpdateConsoleActionSetEnforced`
`purchase-orders:GetConsoleActionSetEnforced`
`purchase-orders:UpdateConsoleActionSetEnforced`
Se você não vir a seção **Gerenciar novas ações do IAM**, isso significa que sua conta já habilitou as ações refinadas do IAM.
1. Em **Gerenciar novas ações do IAM**, a configuração **Conjunto de ações atuais aplicado** terá o status **Existente**.
Escolha **Habilitar novas ações (refinadas)** e, em seguida, **Aplicar alterações**.
1. Na caixa de diálogo, escolha **Yes**. O status **Conjunto de ações atuais aplicado** mudará para **Refinado**. Isso significa que as novas ações estão aplicadas para sua Conta da AWS ou para sua organização.
1. (Opcional) Em seguida, você pode atualizar suas políticas existentes para remover qualquer uma das ações antigas.
**Example Exemplo: antes e depois da política do IAM**
A política do IAM a seguir tem a ação `aws-portal:ViewPaymentMethods` antiga.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
}
]
}
```
Depois de copiar a política atualizada, o exemplo a seguir tem o novo bloco `Sid` com as ações refinadas.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
},
{
"Sid": "AffectedPoliciesMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"invoicing:GetInvoicePDF",
"payments:GetPaymentInstrument",
"payments:GetPaymentStatus",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}
]
}
```
## Recursos relacionados
Para obter mais informações, consulte [Sid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html) no *Guia do usuário do IAM*.
Para obter mais informações sobre as novas ações refinadas, consulte a [Mapeamento de referência de ações do IAM refinadas](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html) e [Usar ações refinadas de Faturamento](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html#migrate-user-permissions).
# Com scripts, migre suas políticas em massa para usar ações do IAM refinadas
**nota**
As seguintes ações AWS Identity and Access Management (IAM) chegaram ao fim do suporte padrão em julho de 2023:
Namespace do `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Se você estiver usando AWS Organizations, poderá usar os [scripts do migrador de políticas em massa ou o migrador](#migrate-iam-permissions) de políticas em massa para atualizar as políticas da sua conta de pagador. Você também poderá usar a [referência de mapeamento de ações antigas para granulares](migrate-granularaccess-iam-mapping-reference.md) para verificar as ações do IAM que precisam ser adicionadas.
Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.
Para ajudar a migrar suas políticas do IAM a fim de usar ações refinadas, conhecidas como novas ações, você pode usar scripts do site [Exemplos da AWS](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles).
Você executa esses scripts na conta do pagador de sua organização para identificar as seguintes políticas afetadas em sua organização que usam as ações antigas do IAM:
+ políticas do IAM gerenciadas pelo cliente;
+ políticas do IAM em linha para perfil, grupo e usuário;
+ Políticas de controle de serviço (SCPs) (aplica-se somente à conta do pagador)
+ Conjuntos de permissões
Os scripts geram sugestões para novas ações que correspondem a ações existentes usadas na política. Em seguida, você analisa as sugestões e usa os scripts para adicionar as novas ações em todas as políticas afetadas em sua organização. Você não precisa atualizar políticas AWS gerenciadas ou AWS gerenciadas SCPs (por exemplo, AWS Control Tower e AWS Organizations SCPs).
Você usa esses scripts para:
+ Simplifique as atualizações da política para ajudar você a gerenciar as políticas afetadas com base na conta do pagador.
+ Reduza o tempo necessário para atualizar as políticas. Não é necessário fazer login em cada conta de membro e atualizar manualmente as políticas.
+ Agrupe políticas idênticas de diferentes contas de membros. Em seguida, você pode revisar e aplicar as mesmas atualizações em todas as políticas idênticas, em vez de revisá-las uma por uma.
+ Certifique-se de que o acesso do usuário permaneça inalterado após a AWS desativação das ações antigas do IAM em 6 de julho de 2023.
Para obter mais informações sobre políticas e políticas de controle de serviços (SCPs), consulte os tópicos a seguir:
+ [Como gerenciar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) no *Guia do usuário do IAM*
+ [Políticas de controle de serviço (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia AWS Organizations do usuário*
+ [Permissões personalizadas](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetcustom.html) no *Guia do usuário do Centro de Identidade do IAM*
## Visão geral do
Siga este tópico para concluir as seguintes etapas:
**Topics**
+ [Visão geral do](#overview-bulk-migrate-policies)
+ [Pré-requisitos](#prerequisites-running-the-scripts)
+ [Etapa 1: configurar o ambiente](#set-up-your-environment-and-download-the-scripts)
+ [Etapa 2: criar o CloudFormation StackSet](#create-the-cloudformation-stack)
+ [Etapa 3: identificar as políticas afetadas](#identify-the-affected-policies)
+ [Etapa 4: revisar as alterações sugeridas](#review-the-affected-policies)
+ [Etapa 5: atualizar as políticas afetadas](#update-the-affected-policies)
+ [Etapa 6: reverter suas alterações (opcional)](#revert-changes)
+ [Exemplos de política do IAM](#examples-of-similar-policies)
## Pré-requisitos
Para começar, faça o seguinte:
+ Baixe e instale o [Python 3](https://www.python.org/downloads/)
+ Faça login na sua conta de pagador e verifique se você tem uma entidade principal do IAM com as seguintes permissões do IAM:
```
"iam:GetAccountAuthorizationDetails",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"sso:DescribePermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"sso:GetInlinePolicyForPermissionSet",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:ProvisionPermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sts:AssumeRole"
```
**dica**
Para começar, recomendamos que você use um subconjunto de uma conta, como uma conta de teste, para verificar se as alterações sugeridas são esperadas.
Em seguida, você pode executar novamente os scripts para as contas restantes em sua organização.
## Etapa 1: configurar o ambiente
Para começar, faça download dos arquivos necessários no website de [Exemplos da AWS](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles). Em seguida, você executa comandos para configurar seu ambiente.
**Para configurar seu ambiente**
1. Clone o repositório do website [Exemplos da AWS](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles). Em uma janela da linha de comando, você pode usar o seguinte comando:
```
git clone https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles.git
```
1. Navegue até o diretório em que você fez o download dos arquivos. É possível usar o seguinte comando:
```
cd bulk-policy-migrator-scripts-for-account-cost-billing-consoles
```
No repositório, você pode encontrar os seguintes scripts e recursos:
+ `billing_console_policy_migrator_role.json`— O CloudFormation modelo que cria a função `BillingConsolePolicyMigratorRole` do IAM nas contas dos membros da sua organização. Essa função permite que os scripts assumam o perfil e, em seguida, leiam e atualizem as políticas afetadas.
+ `action_mapping_config.json`— Contém o one-to-many mapeamento das ações antigas para as novas ações. Os scripts usam esse arquivo para sugerir as novas ações para cada política afetada que contém as ações antigas.
Cada ação antiga corresponde a várias ações refinadas. As novas ações sugeridas no arquivo fornecem aos usuários acesso às mesmas Serviços da AWS antes da migração.
+ `identify_affected_policies.py`: verifica e identifica as políticas afetadas em sua organização. Esse script gera um arquivo `affected_policies_and_suggestions.json` que lista as políticas afetadas junto com as novas ações sugeridas.
As políticas afetadas que usam o mesmo conjunto de ações antigas são agrupadas no arquivo JSON, para que você possa revisar ou atualizar as novas ações sugeridas.
+ `update_affected_policies.py`: atualiza as políticas afetadas em sua organização. O script insere o arquivo `affected_policies_and_suggestions.json` e, em seguida, adiciona as novas ações sugeridas às políticas.
+ `rollback_affected_policies.py`: (opcional) reverte as alterações feitas nas políticas afetadas. Esse script remove as novas ações refinadas das políticas afetadas.
1. Para ativar o ambiente virtual, execute os comandos a seguir.
```
python3 -m venv venv
```
```
source venv/bin/activate
```
1. Execute o comando a seguir para instalar a AWS SDK para Python (Boto3) dependência.
```
pip install -r requirements.txt
```
**nota**
Você deve configurar suas AWS credenciais para usar o AWS Command Line Interface (AWS CLI). Para obter mais informações, consulte [AWS SDK para Python (Boto3)](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/credentials.html).
Para obter mais informações, consulte o arquivo[README.md](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles#readme).
## Etapa 2: criar o CloudFormation StackSet
Siga este procedimento para criar um *conjunto de CloudFormation pilhas*. Este conjunto de pilhas cria o perfil do IAM `BillingConsolePolicyMigratorRole` para todas as contas-membro de sua organização.
**nota**
Você só precisa concluir esta etapa uma vez na conta de gerenciamento (conta de pagador).
**Para criar o CloudFormation StackSet**
1. Em um editor de texto, abra o `billing_console_policy_migrator_role.json` arquivo e substitua cada instância pelo ID da conta pagante (por exemplo,*123456789012*). *``*
1. Salve o arquivo.
1. Faça login na conta Console de gerenciamento da AWS como pagador.
1. No CloudFormation console, crie um conjunto de pilhas com o `billing_console_policy_migrator_role.json` arquivo que você atualizou.
Para obter mais informações, consulte [Criação de um conjunto de pilhas no AWS CloudFormation console](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html) no *Guia do AWS CloudFormation usuário*.
Depois de CloudFormation criar o conjunto de pilhas, cada conta membro em sua organização tem uma função `BillingConsolePolicyMigratorRole` do IAM.
O perfil do IAM deve incluir as seguintes permissões:
```
"iam:GetAccountAuthorizationDetails",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion"
```
**Observações**
Para cada conta membro, os scripts chamam a operação da [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)API para obter credenciais temporárias para assumir a função do `BillingConsolePolicyMigratorRole` IAM.
Os scripts chamam a operação da [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)API para obter todas as contas dos membros.
Os scripts também chamam as operações da API do IAM para executar as permissões de leitura e gravação nas políticas.
## Etapa 3: identificar as políticas afetadas
Depois de criar o conjunto de pilhas e baixar os arquivos, execute o script `identify_affected_policies.py`. Esse script assume o perfil `BillingConsolePolicyMigratorRole` do IAM para cada conta de membro e, em seguida, identifica as políticas afetadas.
**Para identificar as políticas afetadas**
1. Navegue até o diretório em que você fez o download dos scripts.
```
cd policy_migration_scripts/scripts
```
1. Execute o script `identify_affected_policies.py`.
Você também pode usar os seguintes parâmetros de entrada:
+ Contas da AWS que você deseja que o script escaneie. Para especificar contas, use os seguintes parâmetros de entrada:
+ `--all`: verifica todas as contas-membro de sua organização.
```
python3 identify_affected_policies.py --all
```
+ `--accounts`: verifica um subconjunto das contas-membro de sua organização.
```
python3 identify_affected_policies.py --accounts 111122223333, 444455556666, 777788889999
```
+ `--exclude-accounts`: exclui todas as contas-membro de sua organização.
```
python3 identify_affected_policies.py --all --exclude-accounts 111111111111, 222222222222, 333333333333
```
+ ` –-action-mapping-config-file`: (opcional) especifique o caminho para o arquivo `action_mapping_config.json`. O script usa esse arquivo para gerar sugestões de atualizações para as políticas afetadas. Se você não especificar o caminho, o script usará o arquivo `action_mapping_config.json` na pasta.
```
python3 identify_affected_policies.py –-action-mapping-config-file c:\Users\username\Desktop\Scripts\action_mapping_config.json –-all
```
**nota**
Você não pode especificar unidades organizacionais (OUs) com esse script.
Depois que você executar o script, ele criará dois arquivos JSON em uma pasta `Affected_Policies_`:
+ `affected_policies_and_suggestions.json`
+ `detailed_affected_policies.json`
**`affected_policies_and_suggestions.json`**
Lista as políticas afetadas com as novas ações sugeridas. As políticas afetadas que usam o mesmo conjunto de ações antigas são agrupadas no arquivo.
Esse arquivo contém as seguintes seções:
+ Metadados que fornecem uma visão geral das contas que você especificou no script, incluindo:
+ Contas verificadas e o parâmetro de entrada usado para o script `identify_affected_policies.py`
+ Número de contas afetadas
+ Número de políticas afetadas
+ Número de grupos de políticas semelhantes
+ Grupos de políticas semelhantes: inclui a lista de contas e detalhes da política, incluindo as seguintes seções:
+ `ImpactedPolicies`: especifica quais políticas são afetadas e incluídas no grupo
+ `ImpactedPolicyStatements`: fornece informações sobre os blocos `Sid` que atualmente usam as ações antigas na política afetada. Essa seção inclui as ações antigas e os elementos do IAM, como `Effect`, `Principal`, `NotPrincipal`, `NotAction` e `Condition`.
+ `SuggestedPolicyStatementsToAppend`: fornece as novas ações sugeridas que são adicionadas como novo bloco `SID`.
Quando você atualiza as políticas, esse bloco é anexado ao final das políticas.
**Example Exemplo de arquivo `affected_policies_and_suggestions.json`**
Esse arquivo agrupa políticas semelhantes com base nos seguintes critérios:
+ Mesmas ações antigas usadas: políticas que têm as mesmas ações antigas em todos os blocos `SID`.
+ Detalhes correspondentes: além das ações afetadas, as políticas têm elementos do IAM idênticos, como:
+ `Effect` (`Allow`/`Deny`)
+ `Principal` (a quem é permitido ou negado o acesso);
+ `NotAction` (quais ações não são permitidas)
+ `NotPrincipal` (a quem é explicitamente negado o acesso);
+ `Resource`(a quais AWS recursos a política se aplica)
+ `Condition` (quaisquer condições específicas sob as quais a política se aplica).
Para obter mais informações, consulte [Exemplos de política do IAM](#examples-of-similar-policies).
**Example Exemplo `affected_policies_and_suggestions.json`**
```
[{
"AccountsScanned": [
"111111111111",
"222222222222"
],
"TotalAffectedAccounts": 2,
"TotalAffectedPolicies": 2,
"TotalSimilarPolicyGroups": 2
},
{
"GroupName": "Group1",
"ImpactedPolicies": [{
"Account": "111111111111",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-Allow",
"PolicyIdentifier": "1111111_1-user:Inline-Test-Policy-Allow"
},
{
"Account": "222222222222",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-Allow",
"PolicyIdentifier": "222222_1-group:Inline-Test-Policy-Allow"
}
],
"ImpactedPolicyStatements": [
[{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccounts"
],
"Resource": "*"
}]
],
"SuggestedPolicyStatementsToAppend": [{
"Sid": "BillingConsolePolicyMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"account:GetAlternateContact",
"account:GetChallengeQuestions",
"account:GetContactInformation",
"billing:GetContractInformation",
"billing:GetIAMAccessPreference",
"billing:GetSellerOfRecord",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}]
},
{
"GroupName": "Group2",
"ImpactedPolicies": [{
"Account": "111111111111",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-deny",
"PolicyIdentifier": "1111111_2-user:Inline-Test-Policy-deny"
},
{
"Account": "222222222222",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-deny",
"PolicyIdentifier": "222222_2-group:Inline-Test-Policy-deny"
}
],
"ImpactedPolicyStatements": [
[{
"Sid": "VisualEditor0",
"Effect": "deny",
"Action": [
"aws-portal:ModifyAccount"
],
"Resource": "*"
}]
],
"SuggestedPolicyStatementsToAppend": [{
"Sid": "BillingConsolePolicyMigrator1",
"Effect": "Deny",
"Action": [
"account:CloseAccount",
"account:DeleteAlternateContact",
"account:PutAlternateContact",
"account:PutChallengeQuestions",
"account:PutContactInformation",
"billing:PutContractInformation",
"billing:UpdateIAMAccessPreference",
"payments:UpdatePaymentPreferences"
],
"Resource": "*"
}]
}
]
```
**`detailed_affected_policies.json`**
Contém a definição de todas as políticas afetadas que o script `identify_affected_policies.py` identificou para as contas dos membros.
O arquivo agrupa políticas semelhantes. Você pode usar esse arquivo como referência para que possa revisar e gerenciar as alterações da política sem precisar fazer login na conta de cada membro, a fim de revisar as atualizações de cada política e conta individualmente.
Você pode pesquisar no arquivo o nome da política (por exemplo, `YourCustomerManagedReadOnlyAccessBillingUser`) e, em seguida, revisar as definições da política afetada.
**Example Exemplo: `detailed_affected_policies.json`**
## Etapa 4: revisar as alterações sugeridas
Depois que o script criar o arquivo `affected_policies_and_suggestions.json`, revise-o e faça as alterações.
**Para revisar as políticas afetadas**
1. Em um editor de texto, abra o arquivo `affected_policies_and_suggestions.json`.
1. Na seção `AccountsScanned`, verifique se o número de grupos semelhantes identificados nas contas verificadas é esperado.
1. Analise as ações refinadas sugeridas que serão adicionadas às políticas afetadas.
1. Atualize seu arquivo conforme necessário e salve-o.
### Exemplo 1: atualizar o arquivo `action_mapping_config.json`
Você pode atualizar os mapeamentos sugeridos no `action_mapping_config.json`. Depois de atualizar o arquivo, você pode executar novamente o script `identify_affected_policies.py`. Esse script gera sugestões de atualização para as políticas afetadas.
Você pode criar várias versões do arquivo `action_mapping_config.json` para alterar as políticas de contas diferentes com permissões diferentes. Por exemplo, você pode criar um arquivo chamado `action_mapping_config_testing.json` para migrar permissões para suas contas de teste e `action_mapping_config_production.json` para suas contas de produção.
### Exemplo 2: atualizar o arquivo `affected_policies_and_suggestions.json`
Para fazer alterações nas substituições sugeridas para um grupo de políticas afetado específico, você pode editar diretamente a seção de substituições sugeridas no arquivo `affected_policies_and_suggestions.json`.
Todas as alterações feitas nesta seção serão aplicadas a todas as políticas desse grupo específico de políticas afetadas.
### Exemplo 3: personalizar uma política específica
Se você achar que uma política dentro de um grupo de políticas afetadas precisa de alterações diferentes das atualizações sugeridas, você pode fazer o seguinte:
+ Exclua contas específicas do script `identify_affected_policies.py`. Em seguida, você pode revisar essas contas excluídas separadamente.
+ Atualize os blocos `Sid` afetados removendo as políticas e contas afetadas que precisam de permissões diferentes. Crie um bloco JSON que inclua somente as contas específicas ou as exclua da execução atual da política afetada pela atualização.
Quando você executa novamente o script `identify_affected_policies.py`, somente as contas relevantes aparecem no bloco atualizado. Em seguida, você pode refinar as substituições sugeridas para esse bloco `Sid` específico.
## Etapa 5: atualizar as políticas afetadas
Depois de revisar e refinar as substituições sugeridas, execute o script `update_affected_policies.py`. O script usa o arquivo `affected_policies_and_suggestions.json` como entrada. Esse script assume o perfil `BillingConsolePolicyMigratorRole` do IAM para atualizar as políticas afetadas listadas no arquivo `affected_policies_and_suggestions.json`.
**Para atualizar as políticas afetadas**
1. Caso ainda não tenha feito isso, abra uma janela de linha de comando para a AWS CLI.
1. Insira o comando a seguir para executar o script `update_affected_policies.py`. Você pode usar o seguinte parâmetro de entrada:
+ O caminho do diretório do arquivo `affected_policies_and_suggestions.json` que contém uma lista das políticas afetadas a serem atualizadas. Esse arquivo é um resultado da etapa anterior.
```
python3 update_affected_policies.py --affected-policies-directory Affected_Policies_
```
O script `update_affected_policies.py` atualiza as políticas afetadas no arquivo `affected_policies_and_suggestions.json` com as novas ações sugeridas. O script adiciona um `Sid` bloco às políticas, identificado como`BillingConsolePolicyMigrator#`, onde *\$1* corresponde a um contador incremental (por exemplo, 1, 2, 3).
Por exemplo, se houver vários blocos `Sid` na política afetada que usam ações antigas, o script adicionará vários blocos `Sid` que aparecerão como `BillingConsolePolicyMigrator#` para corresponder a cada bloco `Sid`.
**Importante**
O script não remove ações antigas do IAM das políticas nem altera os blocos `Sid` existentes nas políticas. Em vez disso, ele cria blocos `Sid` e os anexa ao final da política. Esses novos blocos `Sid` têm as novas ações sugeridas do arquivo JSON. Isso garante que as permissões das políticas originais não sejam alteradas.
Recomendamos que você não altere o nome dos blocos `BillingConsolePolicyMigrator#` `Sid` caso precise reverter suas alterações.
**Example Exemplo: política com blocos `Sid` anexados**
Veja os blocos `Sid` anexados aos blocos `BillingConsolePolicyMigrator1` e `BillingConsolePolicyMigrator2`.
O script gera um relatório de status que contém operações malsucedidas e gera o arquivo JSON localmente.
**Example Exemplo: relatório de status**
```
[{
"Account": "111111111111",
"PolicyType": "Customer Managed Policy"
"PolicyName": "AwsPortalViewPaymentMethods",
"PolicyIdentifier": "identifier",
"Status": "FAILURE", // FAILURE or SKIPPED
"ErrorMessage": "Error message details"
}]
```
**Importante**
Se você executar novamente os scripts `identify_affected_policies.py` e `update_affected_policies.py`, eles ignorarão todas as políticas que contêm o bloco `BillingConsolePolicyMigratorRole#` `Sid`. Os scripts presumem que essas políticas foram verificadas e atualizadas anteriormente e que não exigem atualizações adicionais. Isso evita que o script duplique as mesmas ações na política.
Depois de atualizar as políticas afetadas, você poderá usar o novo IAM usando a ferramenta de políticas afetadas. Se você identificar algum problema, poderá usar a ferramenta para voltar às ações anteriores. Você também pode usar um script para reverter suas atualizações de política.
Para obter mais informações, consulte [Como usar a ferramenta Políticas afetadas](migrate-security-iam-tool.md) a postagem do blog [Alterações no AWS faturamento, no gerenciamento de custos e nas permissões dos consoles de contas](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/).
Para gerenciar suas atualizações, você pode:
Execute os scripts para cada conta individualmente.
Execute o script em lotes para contas semelhantes, como contas de teste, de controle de qualidade e de produção.
Execute o script para todas as contas.
Escolha uma combinação entre atualizar algumas contas em lotes e depois atualizar outras individualmente.
## Etapa 6: reverter suas alterações (opcional)
O script `rollback_affected_policies.py` reverte as alterações aplicadas a cada política afetada para as contas especificadas. O script remove todos os blocos `Sid` que o script `update_affected_policies.py` anexou. Esses blocos `Sid` têm o formato `BillingConsolePolicyMigratorRole#`.
**Para reverter suas alterações**
1. Caso ainda não tenha feito isso, abra uma janela de linha de comando para a AWS CLI.
1. Insira o comando a seguir para executar o script `rollback_affected_policies.py`. Você pode usar os seguintes parâmetros de entrada:
+ `--accounts`
+ Especifica uma lista separada por vírgulas dos Conta da AWS IDs que você deseja incluir na reversão.
+ O exemplo a seguir verifica as políticas especificadas Contas da AWS e remove todas as instruções com o `BillingConsolePolicyMigrator#` `Sid` bloco.
```
python3 rollback_affected_policies.py –-accounts 111122223333, 555555555555, 666666666666
```
+ `--all`
+ Inclui tudo Conta da AWS IDs em sua organização.
+ O exemplo a seguir verifica as políticas em sua organização e remove todas as instruções com o bloco `BillingConsolePolicyMigratorRole#` `Sid`.
```
python3 rollback_affected_policies.py –-all
```
+ `--exclude-accounts`
+ Especifica uma lista separada por vírgulas dos Conta da AWS IDs que você deseja excluir da reversão.
Você só pode especificar esse parâmetro quando também especificar o parâmetro `--all`.
+ O exemplo a seguir verifica as políticas de todos Contas da AWS em sua organização, exceto das contas especificadas.
```
python3 rollback_affected_policies.py --all --exclude-accounts 777777777777, 888888888888, 999999999999
```
## Exemplos de política do IAM
As políticas são consideradas semelhantes se tiverem os(as) mesmos(as):
+ Ações afetadas em todos os blocos de `Sid`.
+ Detalhes nos seguintes elementos do IAM:
+ `Effect` (`Allow`/`Deny`)
+ `Principal` (a quem é permitido ou negado o acesso);
+ `NotAction` (quais ações não são permitidas)
+ `NotPrincipal` (a quem é explicitamente negado o acesso);
+ `Resource`(a quais AWS recursos a política se aplica)
+ `Condition` (quaisquer condições específicas sob as quais a política se aplica).
Os exemplos a seguir mostram políticas que o IAM pode considerar semelhantes, ou não, com base nas diferenças entre elas.
**Example Exemplo 1: as políticas são consideradas semelhantes**
Cada tipo de política é diferente, mas ambas as políticas contêm um bloco `Sid` com a mesma `Action` afetada.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
**Example Exemplo 2: as políticas são consideradas semelhantes**
Ambas as políticas contêm um bloco `Sid` com a mesma `Action` afetada. A política 2 contém ações adicionais, mas essas ações não são afetadas.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing",
"athena:*"
],
"Resource": "*"
}]
}
```
**Example Exemplo 3: as políticas não são consideradas semelhantes**
Ambas as políticas contêm um bloco `Sid` com a mesma `Action` afetada. No entanto, a política 2 contém um elemento `Condition` que não está presente na política 1.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing",
"athena:*"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "true"
}
}
}]
}
```
**Example Exemplo 4: as políticas são consideradas semelhantes**
A política 1 tem um único bloco `Sid` com uma `Action` afetada. A política 2 tem vários blocos `Sid`, mas a `Action` afetada aparece em apenas um bloco.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"cloudtrail:Get*"
],
"Resource": "*"
}
]
}
```
**Example Exemplo 5: as políticas não são consideradas semelhantes**
A política 1 tem um único bloco `Sid` com uma `Action` afetada. A política 2 tem vários blocos `Sid`, mas a `Action` afetada aparece em vários blocos.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*"
],
"Resource": "*"
}
]
}
```
**Example Exemplo 6: as políticas são consideradas semelhantes**
Ambas as políticas têm vários blocos `Sid`, com a mesma `Action` afetada em cada bloco `Sid`.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"iam:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"iam:Update*"
],
"Resource": "*"
}
]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"athena:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"athena:Update*"
],
"Resource": "*"
}
]
}
```
**Example Exemplo 7**
As duas políticas a seguir não são consideradas semelhantes.
A política 1 tem um único bloco `Sid` com uma `Action` afetada. A política 2 tem um único bloco `Sid` com a mesma `Action` afetada. No entanto, a política 2 também contém outro bloco `Sid` com ações diferentes.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"iam:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"iam:Update*"
],
"Resource": "*"
}
]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"athena:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:*Billing",
"athena:Update*"
],
"Resource": "*"
}
]
}
```
# Mapeamento de referência de ações do IAM refinadas
**nota**
As seguintes ações AWS Identity and Access Management (IAM) chegaram ao fim do suporte padrão em julho de 2023:
Namespace do `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Se você estiver usando AWS Organizations, poderá usar os [scripts do migrador de políticas em massa ou o migrador](migrate-iam-permissions.md) de políticas em massa para atualizar as políticas da sua conta de pagador. Você também poderá usar a [referência de mapeamento de ações antigas para granulares](#migrate-granularaccess-iam-mapping-reference) para verificar as ações do IAM que precisam ser adicionadas.
Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.
Você precisará migrar as seguintes ações do IAM em suas políticas de permissão ou políticas de controle de serviço (SCP):
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
Você pode usar esse tópico para visualizar o mapeamento das ações refinadas antigas para as novas para cada ação do IAM que estamos desativando.
**Visão geral do**
1. Revise suas políticas do IAM afetadas em sua Conta da AWS. Para fazer isso, siga as etapas na ferramenta **Políticas afetadas** para identificar suas políticas do IAM afetadas. Consulte [Como usar a ferramenta Políticas afetadas](migrate-security-iam-tool.md).
1. Use o console do IAM para adicionar as novas permissões granulares à sua política. Por exemplo, se sua política admitir a `purchase-orders:ModifyPurchaseOrders` permissão, você precisará adicionar cada ação na tabela [Mapeamento para purchase-orders:ModifyPurchaseOrders](#mapping-for-purchase-ordersmodifypurchaseorders).
**Política antiga**
A política a seguir permite que um usuário adicione, exclua ou modifique qualquer ordem de compra na conta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "purchase-orders:ModifyPurchaseOrders",
"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
}
]
}
```
------
**Nova política**
A política a seguir também permite que um usuário adicione, exclua ou modifique qualquer ordem de compra na conta. Observe que cada permissão granular aparece após a antiga permissão `purchase-orders:ModifyPurchaseOrders`. Essas permissões oferecem mais controle sobre quais ações você deseja permitir ou negar.
**dica**
Recomendamos que você mantenha as permissões antigas para garantir que não as perca até a conclusão da migração.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"purchase-orders:ModifyPurchaseOrders",
"purchase-orders:AddPurchaseOrder",
"purchase-orders:DeletePurchaseOrder",
"purchase-orders:UpdatePurchaseOrder",
"purchase-orders:UpdatePurchaseOrderStatus"
],
"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
}
]
}
```
------
1. Salve as alterações.
**Observações**
Para editar políticas manualmente no console do IAM, consulte [Edição de políticas gerenciadas pelo cliente (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console) no *Guia do usuário do IAM*.
Para a migração em massa de suas políticas do IAM para usar ações refinadas (novas ações), consulte [Com scripts, migre suas políticas em massa para usar ações do IAM refinadas](migrate-iam-permissions.md).
**Contents**
+ [Mapeamento para aws-portal:ViewAccount](#mapping-for-aws-portalviewaccount)
+ [Mapeamento para aws-portal:ViewBilling](#mapping-for-aws-portalviewbilling)
+ [Mapeamento para aws-portal:ViewPaymentMethods](#mapping-for-aws-portalviewpaymentmethods)
+ [Mapeamento para aws-portal:ViewUsage](#mapping-for-aws-portalviewusage)
+ [Mapeamento para aws-portal:ModifyAccount](#mapping-for-aws-portalmodifyaccount)
+ [Mapeamento para aws-portal:ModifyBilling](#mapping-for-aws-portalmodifybilling)
+ [Mapeamento para aws-portal:ModifyPaymentMethods](#mapping-for-aws-portalmodifypaymentmethods)
+ [Mapeamento para purchase-orders:ViewPurchaseOrders](#mapping-for-purchase-ordersviewpurchaseorders)
+ [Mapeamento para purchase-orders:ModifyPurchaseOrders](#mapping-for-purchase-ordersmodifypurchaseorders)
## Mapeamento para aws-portal:ViewAccount
| Nova ação | Description | Nível de acesso |
| --- | --- | --- |
| account:GetAccountInformation | Concede permissão para recuperar as informações de conta de uma conta | Leitura |
| account:GetAlternateContact | Concede permissão para recuperar os contatos alternativos de uma conta | Ler |
| account:GetContactInformation | Concede permissão para recuperar as principais informações de contato de uma conta | Ler |
| billing:GetContractInformation | Concede permissão para visualizar as informações de contrato da conta, incluindo o número do contrato, nomes de organização do usuário final, números de ordem de compra e se a conta é usada para atender clientes do setor público | Ler |
| billing:GetIAMAccessPreference | Concede permissão para recuperar o estado da preferência de faturamento do elemento Allow IAM Access | Ler |
| billing:GetSellerOfRecord | Concede permissão para recuperar o vendedor de registro padrão da conta | Ler |
| payments:ListPaymentPreferences | Concede permissão para obter preferências de pagamento (por exemplo, moeda preferencial de pagamento, método preferencial de pagamento) | Ler |
## Mapeamento para aws-portal:ViewBilling
| Nova ação | Description | Nível de acesso |
| --- | --- | --- |
| account:GetAccountInformation | Concede permissão para recuperar as informações de conta de uma conta | Ler |
| billing:GetBillingData | Concede permissão para realizar consultas sobre informações de faturamento | Ler |
| billing:GetBillingDetails | Concede permissão para visualizar informações de faturamento detalhadas de um item de linha | Ler |
| billing:GetBillingNotifications | Concede permissão para visualizar as notificações enviadas por AWS relacionadas às informações de faturamento da sua conta | Ler |
| billing:GetBillingPreferences | Concede permissão para visualizar preferências de cobrança, como Instâncias reservadas, Savings Plans e compartilhamento de créditos | Ler |
| billing:GetContractInformation | Concede permissão para visualizar as informações de contrato da conta, incluindo o número do contrato, nomes de organização do usuário final, números de ordem de compra e se a conta é usada para atender clientes do setor público | Ler |
| billing:GetCredits | Concede permissão para visualizar créditos que foram resgatados | Ler |
| billing:GetIAMAccessPreference | Concede permissão para recuperar o estado da preferência de faturamento do elemento Allow IAM Access | Ler |
| billing:GetSellerOfRecord | Concede permissão para recuperar o vendedor de registro padrão da conta | Ler |
| billing:ListBillingViews | Concede permissão para obter informações de faturamentos de seus grupos de faturamento pro forma | Lista |
| ce:DescribeNotificationSubscription | Concede permissão para exibir alertas de expiração de reserva | Ler |
| ce:DescribeReport | Concede permissão para exibir a página de relatórios do Explorador de Custos | Leitura |
| ce:GetAnomalies | Concede permissão para recuperar anomalias | Leitura |
| ce:GetAnomalyMonitors | Concede permissão para consultar monitores de anomalia | Leitura |
| ce:GetAnomalySubscriptions | Concede permissão para consultar assinaturas de anomalia | Leitura |
| ce:GetCostAndUsage | Concede permissão para recuperar os custos e as métricas de uso de sua conta | Leitura |
| ce:GetCostAndUsageWithResources | Concede permissão para recuperar os custos e as métricas de uso com recursos de sua conta | Ler |
| ce:GetCostCategories | Concede permissão para consultar nomes e valores da categoria de custos para um período especificado | Ler |
| ce:GetCostForecast | Concede permissão para recuperar uma previsão de custos para um período previsto | Leitura |
| ce:GetDimensionValues | Concede permissão para recuperar todos os valores de filtro disponíveis para um filtro por um período | Ler |
| ce:GetPreferences | Concede permissão para exibir a página de preferências do Explorador de Custos | Ler |
| ce:GetReservationCoverage | Concede permissão para recuperar a cobertura de reserva de sua conta | Leitura |
| ce:GetReservationPurchaseRecommendation | Concede permissão para recuperar as recomendações de reserva de sua conta | Leitura |
| ce:GetReservationUtilization | Concede permissão para recuperar a utilização de reserva de sua conta | Leitura |
| ce:GetRightsizingRecommendation | Concede permissão para recuperar as recomendações de redimensionamento de sua conta | Leitura |
| ce:GetSavingsPlansCoverage | Concede permissão para recuperar a cobertura dos Savings Plans de sua conta | Leitura |
| ce:GetSavingsPlansPurchaseRecommendation | Concede permissão para recuperar as recomendações de Savings Plans de sua conta | Leitura |
| ce:GetSavingsPlansUtilization | Concede permissão para recuperar a utilização de Savings Plans de sua conta | Leitura |
| ce:GetSavingsPlansUtilizationDetails | Concede permissão para recuperar os detalhes de utilização de Savings Plans de sua conta | Leitura |
| ce:GetTags | Concede permissão para consultar as etiquetas de um período especificado | Leitura |
| ce:GetUsageForecast | Concede permissão para recuperar uma previsão de uso de um período previsto | Ler |
| ce:ListCostAllocationTags | Concede permissões para listar etiquetas de alocação de custo | Lista |
| ce:ListSavingsPlansPurchaseRecommendationGeneration | Concede permissão para recuperar uma lista de suas gerações de recomendações históricas | Ler |
| consolidatedbilling:GetAccountBillingRole | Concede permissão para obter o perfil de conta (pagador, vinculado, comum) | Ler |
| consolidatedbilling:ListLinkedAccounts | Concede permissão para obter lista de membros e contas vinculadas | Lista |
| cur:GetClassicReport | Concede permissão para obter o relatório CSV de sua fatura | Ler |
| cur:GetClassicReportPreferences | Concede permissão para obter o status de ativação de relatórios clássico para os relatórios de uso | Ler |
| cur:ValidateReportDestination | Concede permissão para validar se o bucket do Amazon S3 existe com as permissões AWS apropriadas para entrega de CUR | Ler |
| freetier:GetFreeTierAlertPreference | Concede permissão para obter a preferência de Nível gratuito da AWS alerta (por endereço de e-mail) | Ler |
| freetier:GetFreeTierUsage | Concede permissão para obter limites Nível gratuito da AWS de uso e status de uso month-to-date (MTD) | Ler |
| invoicing:GetInvoiceEmailDeliveryPreferences | Concede permissão para obter preferências de entrega de e-mail de fatura | Ler |
| invoicing:GetInvoicePDF | Concede permissão para obter o PDF de fatura | Ler |
| invoicing:ListInvoiceSummaries | Concede permissão para obter informações resumidas da fatura para sua conta ou para uma conta vinculada | Lista |
| payments:GetPaymentInstrument | Concede permissão para obter informações sobre um instrumento de pagamento | Ler |
| payments:GetPaymentStatus | Concede permissão para obter o status de pagamento de faturas | Ler |
| payments:ListPaymentPreferences | Concede permissão para obter preferências de pagamento (por exemplo, moeda preferencial de pagamento, método preferencial de pagamento) | Ler |
| tax:GetTaxInheritance | Concede permissão para visualizar o status de herança fiscal | Ler |
| tax:GetTaxRegistrationDocument | Concede permissão para baixar documentos de registro fiscal | Ler |
| tax:ListTaxRegistrations | Concede permissão para visualizar registros fiscais | Ler |
## Mapeamento para aws-portal:ViewPaymentMethods
| Nova ação | Description | Nível de acesso |
| --- | --- | --- |
| account:GetAccountInformation | Concede permissão para recuperar as informações de conta de uma conta | Ler |
| invoicing:GetInvoicePDF | Concede permissão para obter o PDF de fatura | Ler |
| payments:GetPaymentInstrument | Concede permissão para obter informações sobre um instrumento de pagamento | Ler |
| payments:GetPaymentStatus | Concede permissão para obter o status de pagamento de faturas | Ler |
| payments:ListPaymentPreferences | Concede permissão para obter preferências de pagamento (por exemplo, moeda preferencial de pagamento, método preferencial de pagamento) | Lista |
## Mapeamento para aws-portal:ViewUsage
| Nova ação | Description | Nível de acesso |
| --- | --- | --- |
| cur:GetUsageReport | Concede permissão para obter uma lista do Serviços da AWS tipo de uso e da operação do fluxo de trabalho do relatório de uso e para baixar relatórios de uso | Ler |
## Mapeamento para aws-portal:ModifyAccount
| Nova ação | Description | Nível de acesso |
| --- | --- | --- |
| account:CloseAccount | Concede permissão para fechar uma conta | Gravar |
| account:DeleteAlternateContact | Concede permissão para excluir os contatos alternativos de uma conta | Gravar |
| account:PutAlternateContact | Concede permissão para modificar os contatos alternativos de uma conta | Gravar |
| account:PutChallengeQuestions | Concede permissão para modificar as perguntas de desafio de uma conta | Gravar |
| account:PutContactInformation | Concede permissão para atualizar as principais informações de contato de uma conta | Gravar |
| billing:PutContractInformation | Concede permissão para definir os nomes de organização do usuário final e se a conta é usada para atender clientes do setor público nas informações de contrato da conta | Gravar |
| billing:UpdateIAMAccessPreference | Concede permissão para atualizar a preferência de faturamento do elemento Allow IAM Access | Gravar |
| payments:UpdatePaymentPreferences | Concede permissão para atualizar preferências de pagamento (por exemplo, moeda preferencial de pagamento, método preferencial de pagamento) | Gravar |
## Mapeamento para aws-portal:ModifyBilling
| Nova ação | Description | Nível de acesso |
| --- | --- | --- |
| billing:PutContractInformation | Concede permissão para definir os nomes de organização do usuário final e se a conta é usada para atender clientes do setor público nas informações de contrato da conta | Gravar |
| billing:RedeemCredits | Concede permissão para resgatar qualquer crédito AWS | Gravar |
| billing:UpdateBillingPreferences | Concede permissão para atualizar preferências de cobrança, como instâncias reservadas, Savings Plans e compartilhamento de créditos | Gravar |
| ce:CreateAnomalyMonitor | Concede permissão para criar um monitor de anomalia | Gravação |
| ce:CreateAnomalySubscription | Concede permissão para criar uma assinatura de anomalia | Gravar |
| ce:CreateNotificationSubscription | Concede permissão para criar alertas de expiração de reserva | Gravar |
| ce:CreateReport | Concede permissão para criar relatórios do Explorador de Custos | Gravação |
| ce:DeleteAnomalyMonitor | Concede permissão para excluir um monitor de anomalia | Gravação |
| ce:DeleteAnomalySubscription | Concede permissão para excluir uma assinatura de anomalia | Gravar |
| ce:DeleteNotificationSubscription | Concede permissão para excluir alertas de expiração de reserva | Gravar |
| ce:DeleteReport | Concede permissão para excluir relatórios do Explorador de Custos | Gravar |
| ce:ProvideAnomalyFeedback | Concede permissão para fornecer feedback sobre anomalias detectadas | Gravar |
| ce:StartSavingsPlansPurchaseRecommendationGeneration | Concede permissão para solicitar uma geração de recomendações de Savings Plans | Gravar |
| ce:UpdateAnomalyMonitor | Concede permissão para atualizar um monitor de anomalia existente | Gravação |
| ce:UpdateAnomalySubscription | Concede permissão para atualizar uma assinatura de anomalia existente | Gravar |
| ce:UpdateCostAllocationTagsStatus | Concede permissão para atualizar o status de etiquetas existentes de alocação de custos | Gravar |
| ce:UpdateNotificationSubscription | Concede permissão para atualizar alertas de expiração de reserva | Gravar |
| ce:UpdatePreferences | Concede permissão para editar a página de preferências do Cost Explorer | Gravar |
| cur:PutClassicReportPreferences | Concede permissão para habilitar relatórios clássicos | Gravar |
| freetier:PutFreeTierAlertPreference | Concede permissão para definir a preferência de Nível gratuito da AWS alerta (por endereço de e-mail) | Gravar |
| invoicing:PutInvoiceEmailDeliveryPreferences | Concede permissão para atualizar preferências de entrega de e-mail de fatura | Gravar |
| payments:CreatePaymentInstrument | Concede permissão para criar um instrumento de pagamento | Gravar |
| payments:DeletePaymentInstrument | Concede permissão para excluir um instrumento de pagamento | Gravar |
| payments:MakePayment | Concede permissão para fazer um pagamento, autenticar um pagamento, verificar uma forma de pagamento e gerar um documento de solicitação de financiamento para Advance Pay | Gravar |
| payments:UpdatePaymentPreferences | Concede permissão para atualizar preferências de pagamento (por exemplo, moeda preferencial de pagamento, método preferencial de pagamento) | Gravar |
| tax:BatchPutTaxRegistration | Concede permissão para atualizar em lote os registros fiscais | Gravar |
| tax:DeleteTaxRegistration | Concede permissão para excluir dados de registro fiscal | Gravar |
| tax:PutTaxInheritance | Concede permissão para definir a herança fiscal | Gravar |
## Mapeamento para aws-portal:ModifyPaymentMethods
| Nova ação | Description | Nível de acesso |
| --- | --- | --- |
| account:GetAccountInformation | Concede permissão para recuperar as informações de conta de uma conta | Ler |
| payments:DeletePaymentInstrument | Concede permissão para excluir um instrumento de pagamento | Gravar |
| payments:CreatePaymentInstrument | Concede permissão para criar um instrumento de pagamento | Gravar |
| payments:MakePayment | Concede permissão para fazer um pagamento, autenticar um pagamento, verificar uma forma de pagamento e gerar um documento de solicitação de financiamento para Advance Pay | Gravar |
| payments:UpdatePaymentPreferences | Concede permissão para atualizar preferências de pagamento (por exemplo, moeda preferencial de pagamento, método preferencial de pagamento) | Gravar |
## Mapeamento para purchase-orders:ViewPurchaseOrders
| Nova ação | Description | Nível de acesso |
| --- | --- | --- |
| invoicing:GetInvoicePDF | Concede permissão para obter um PDF de fatura | Obtenção |
| payments:ListPaymentPreferences | Concede permissão para obter preferências de pagamento (por exemplo, moeda preferencial de pagamento, método preferencial de pagamento) | Lista |
| purchase-orders:GetPurchaseOrder | Concede permissão para obter uma ordem de compra | Ler |
| purchase-orders:ListPurchaseOrderInvoices | Concede permissão para visualizar detalhes e ordens de compra | Lista |
| purchase-orders:ListPurchaseOrders | Concede permissão para obter todas as ordens de compra disponíveis | Lista |
## Mapeamento para purchase-orders:ModifyPurchaseOrders
| Nova ação | Description | Nível de acesso |
| --- | --- | --- |
| purchase-orders:AddPurchaseOrder | Concede permissão para adicionar uma ordem de compra | Gravar |
| purchase-orders:DeletePurchaseOrder | Concede permissão para excluir uma ordem de compra. | Gravar |
| purchase-orders:UpdatePurchaseOrder | Concede permissão para atualizar uma ordem de compra existente | Gravar |
| purchase-orders:UpdatePurchaseOrderStatus | Concede permissão para definir status da ordem de compra | Gravar |
# AWS políticas gerenciadas
As políticas gerenciadas são políticas autônomas baseadas em identidade que você pode anexar a vários usuários, grupos e funções em sua conta. AWS Você pode usar políticas AWS gerenciadas para controlar o acesso no Faturamento.
Uma política AWS gerenciada é uma política autônoma criada e administrada pela AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns. AWS as políticas gerenciadas facilitam a atribuição de permissões apropriadas a usuários, grupos e funções do que se você mesmo tivesse que escrever as políticas.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. AWS ocasionalmente atualiza as permissões definidas em uma política AWS gerenciada. Quando isso ocorre, a atualização afetará todas as entidades principais (usuários, grupos e perfis) às quais a política está anexada.
O faturamento fornece várias políticas AWS gerenciadas para casos de uso comuns.
**Topics**
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html)](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html)](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html)](#security-iam-awsmanpol-Billing)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html)](#security-iam-awsmanpol-AWSAccountActivityAccess)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html)](#security-iam-awsmanpol-AWSPriceListServiceFullAccess)
+ [Atualizações nas políticas AWS gerenciadas de AWS cobrança](#security-iam-awsmanpol-updates)
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html)
Esta política gerenciada concede acesso total ao console de faturamento e gerenciamento de custos, bem como ao console de ordens de compra. A política permite que o usuário visualize, crie, atualize e exclua as ordens de compra da conta.
Para visualizar as permissões para esta política, consulte [AWSPurchaseOrdersServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html) na *Referência de políticas gerenciadas pela AWS *.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html)
Essa política gerenciada concede aos usuários acesso somente de leitura aos atributos no console do Gerenciamento de Faturamento e Custos da AWS .
### Detalhes de permissões
Esta política inclui as seguintes permissões:
+ `account`— Recupere informações sobre sua AWS conta.
+ `aws-portal` – Conceder aos usuários permissão geral para visualizar as páginas do console do Billing and Cost Management.
+ `billing`— obtenha acesso abrangente às informações de AWS cobrança, como preferência de cobrança, contratos ativos, créditos ou descontos aplicados, preferências do IAM, vendedor registrado e uma lista de relatórios de cobrança.
+ `budgets`— Recupere informações sobre as ações definidas para o AWS Budgets recurso.
+ `ce`— Recupere informações de custo e uso, tags e valores de dimensão para visualizar o recurso AWS Cost Explorer.
+ `consolidatedbilling` – Recuperar funções e detalhes sobre as Contas da AWS configuradas usando o atributo de cobrança consolidado.
+ `cur`— Recupere informações sobre seus AWS Cost and Usage Report dados.
+ `freetier`— Recupere informações sobre preferências de Nível gratuito da AWS alerta e uso.
+ `invoicing` – Recuperar informações sobre as preferências de fatura.
+ `mapcredits` – Recuperar gastos e créditos relacionados ao acordo Programa de Aceleração da Migração (MAP) 2.0.
+ `payments` – Recuperar informações sobre financiamento, status de pagamento e instrumento de pagamento.
+ `purchase-orders` – Recuperar informações sobre faturas associadas a suas ordens de compra.
+ `sustainability`— Recupere informações sobre a pegada de carbono com base em seu uso. AWS
+ `tax` – Recuperar as informações fiscais registradas nas configurações fiscais.
Para visualizar as permissões para esta política, consulte [AWSBillingReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html) na *Referência de políticas gerenciadas pela AWS *.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html)
Essa política gerenciada concede aos usuários permissão para visualizar e editar o Gerenciamento de Faturamento e Custos da AWS console. Isso inclui visualizar o uso da conta, modificar orçamentos e métodos de pagamento.
Para visualizar as permissões para esta política, consulte [Faturamento](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html) na *Referência de políticas gerenciadas pela AWS *.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html)
Essa política gerenciada concede aos usuários permissão para visualizar a página **Atividades da conta**.
Para visualizar as permissões para esta política, consulte [AWSAccountActivityAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html) na *Referência de políticas gerenciadas pela AWS *.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html)
Essa política gerenciada concede aos usuários acesso total ao Serviço de Lista de AWS Preços.
Para visualizar as permissões para esta política, consulte [AWSPriceListServiceFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html) na *Referência de políticas gerenciadas pela AWS *.
## Atualizações nas políticas AWS gerenciadas de AWS cobrança
Veja detalhes sobre as atualizações das políticas AWS gerenciadas de AWS cobrança desde que esse serviço começou a monitorar essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico do documento AWS de cobrança.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [Faturamento](#security-iam-awsmanpol-Billing) e [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Atualização das políticas existentes | Adicionamos a `Billing` as seguintes permissões para emissão de faturas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/managed-policies.html) Adicionamos a `AWSBillingReadOnlyAccess` as seguintes permissões para emissão de faturas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/managed-policies.html) | 19 de novembro de 2025 |
| [Faturamento](#security-iam-awsmanpol-Billing) e [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Atualização das políticas existentes | Adicionamos a `Billing` as seguintes permissões para emissão de faturas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/managed-policies.html) Adicionamos a `AWSBillingReadOnlyAccess` as seguintes permissões para emissão de faturas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/managed-policies.html) | 1.º de outubro de 2025 |
| [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess): atualizações em políticas existentes. | Adicionamos a seguinte permissão a `AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/managed-policies.html) | 21 de agosto de 2025 |
| [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess): atualizações em políticas existentes. | Adicionamos as seguintes Nível gratuito da AWS permissões a`AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/managed-policies.html) | 09 de julho de 2025 |
| [Faturamento](#security-iam-awsmanpol-Billing) e [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Atualização das políticas existentes | Adicionamos as seguintes permissões do MAP 2.0 a `Billing` e `AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/managed-policies.html) | 27 de março de 2025 |
| [Faturamento](#security-iam-awsmanpol-Billing) – Atualização das políticas atuais | Adicionamos a `Billing` as seguintes permissões para emissão de faturas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/managed-policies.html) | 17 de janeiro de 2025 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy), [Faturamento](#security-iam-awsmanpol-Billing) e [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Atualização das políticas existentes | Adicionamos a seguinte permissão de emissão de faturas a `AWSPurchaseOrdersServiceRolePolicy`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/managed-policies.html) Adicionamos a `AWSBillingReadOnlyAccess` as seguintes permissões para emissão de faturas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/managed-policies.html) Adicionamos a `Billing` as seguintes permissões para emissão de faturas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/managed-policies.html) | 1.º de dezembro de 2024 |
| [Faturamento](#security-iam-awsmanpol-Billing) e [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Atualização das políticas existentes | Adicionamos as seguintes permissões de pagamento a `Billing`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/managed-policies.html) Adicionamos as seguintes permissões de pagamento a `AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/managed-policies.html) | 12 de novembro de 2024 |
| [AWSPriceListServiceFullAccess ](#security-iam-awsmanpol-AWSPriceListServiceFullAccess): política atualizada | Adicionamos a documentação da política `AWSPriceListServiceFullAccess` para o Serviço de Lista de Preços da AWS . A política foi lançada inicialmente em 2017. Nós atualizamos `Sid": "AWSPriceListServiceFullAccess` para política existente. | 2 de julho de 2024 |
| [Faturamento](#security-iam-awsmanpol-Billing) e [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Atualização das políticas existentes | Adicionamos as seguintes permissões relacionadas à tag de alocação de custos a `Billing`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/managed-policies.html) Adicionamos a seguinte permissão relacionada à tag a: `AWSBillingReadOnlyAccess` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/managed-policies.html) | 31 de maio de 2024 |
| [Faturamento](#security-iam-awsmanpol-Billing) e [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Atualização das políticas existentes | Adicionamos as seguintes permissões relacionadas à tag de alocação de custos a `Billing`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/managed-policies.html) Adicionamos a seguinte permissão relacionada à tag de alocação de custos a `AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/managed-policies.html) | 25 de março de 2024 |
| [Faturamento](#security-iam-awsmanpol-Billing) e [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Atualização das políticas existentes | Adicionamos as seguintes permissões relacionadas à tag de alocação de custos a `Billing`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/managed-policies.html) Adicionamos a seguinte permissão relacionada à tag de alocação de custos a `AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/managed-policies.html) | 26 de julho de 2023 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy), [Faturamento](#security-iam-awsmanpol-Billing) e [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Atualização das políticas existentes | Adicionamos as seguintes permissões relacionadas à tag de ordem de compra a `Billing` e `AWSPurchaseOrdersServiceRolePolicy`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/managed-policies.html) Adicionamos a seguinte permissão relacionada à tag a: `AWSBillingReadOnlyAccess` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/awsaccountbilling/latest/aboutv2/managed-policies.html) | 17 de julho de 2023 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy), [Faturamento](#security-iam-awsmanpol-Billing) e [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Atualização das políticas existentes [AWSAccountActivityAccess](#security-iam-awsmanpol-AWSAccountActivityAccess)— Nova política AWS gerenciada documentada para AWS faturamento | Adição de um conjunto de ações atualizado a todas as políticas. | 6 de março de 2023 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy) – atualização para uma política existente | AWS O faturamento removeu permissões desnecessárias. | 18 de novembro de 2021 |
| AWS O faturamento começou a rastrear as alterações | AWS O faturamento começou a rastrear as alterações em suas políticas AWS gerenciadas. | 18 de novembro de 2021 |
# Solução de problemas de identidade e acesso ao AWS faturamento
Use as seguintes informações para ajudar a diagnosticar e corrigir problemas comuns que podem ser encontrados ao trabalhar com o Faturamento e o IAM.
**Topics**
+ [Não tenho autorização para executar uma ação no Faturamento](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Quero visualizar minhas chaves de acesso](#security_iam_troubleshoot-access-keys)
+ [Sou administrador e desejo permitir que outras pessoas tenham acesso ao Faturamento](#security_iam_troubleshoot-admin-delegate)
+ [Quero permitir que pessoas fora da minha acessem meus Conta da AWS recursos de faturamento](#security_iam_troubleshoot-cross-account-access)
## Não tenho autorização para executar uma ação no Faturamento
Se isso Console de gerenciamento da AWS indicar que você não está autorizado a realizar uma ação, entre em contato com o administrador para obter ajuda. Seu administrador é a pessoa que forneceu suas credenciais de login.
O erro do exemplo a seguir ocorre quando o usuário `mateojackson` tenta usar o console para visualizar detalhes sobre um recurso do `my-example-widget` fictício, mas não tem as permissões fictícias do `billing:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: billing:GetWidget on resource: my-example-widget
```
Neste caso, Mateo pede ao administrador para atualizar suas políticas e permitir o acesso ao recurso `my-example-widget` usando a ação `billing:GetWidget`.
## Não estou autorizado a realizar iam: PassRole
Se receber uma mensagem de erro informando que você não tem autorização para executar a ação `iam:PassRole`, suas políticas deverão ser atualizadas para permitir a transmissão de um perfil ao Faturamento.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O erro do exemplo a seguir ocorre quando uma usuária do IAM chamada `marymajor` tenta usar o console para executar uma ação no Faturamento. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero visualizar minhas chaves de acesso
Depois de criar suas chaves de acesso de usuário do IAM, é possível visualizar seu ID da chave de acesso a qualquer momento. No entanto, você não pode visualizar sua chave de acesso secreta novamente. Se você perder sua chave secreta, crie um novo par de chaves de acesso.
As chaves de acesso consistem em duas partes: um ID de chave de acesso (por exemplo, `AKIAIOSFODNN7EXAMPLE`) e uma chave de acesso secreta (por exemplo, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`). Como um nome de usuário e uma senha, você deve usar o ID da chave de acesso e a chave de acesso secreta em conjunto para autenticar suas solicitações. Gerencie suas chaves de acesso de forma tão segura quanto você gerencia seu nome de usuário e sua senha.
**Importante**
Não forneça as chaves de acesso a terceiros, mesmo que seja para ajudar a [encontrar o ID de usuário canônico](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId). Ao fazer isso, você pode dar a alguém acesso permanente ao seu Conta da AWS.
Ao criar um par de chaves de acesso, você é solicitado a guardar o ID da chave de acesso e a chave de acesso secreta em um local seguro. A chave de acesso secreta só está disponível no momento em que é criada. Se você perder sua chave de acesso secreta, será necessário adicionar novas chaves de acesso para seu usuário do IAM. Você pode ter no máximo duas chaves de acesso. Se você já tiver duas, você deverá excluir um par de chaves para poder criar um novo. Para visualizar as instruções, consulte [Gerenciar chaves de acesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey) no *Guia do usuário do IAM*.
## Sou administrador e desejo permitir que outras pessoas tenham acesso ao Faturamento
Para permitir que outras pessoas acessem o Faturamento, você deve conceder permissão às pessoas ou às aplicações que precisem de acesso. Se você estiver usando o Centro de Identidade do AWS IAM para gerenciar pessoas e aplicações, você atribui conjuntos de permissões a usuários ou grupos para definir seu nível de acesso. Os conjuntos de permissões criam e atribuem automaticamente políticas do IAM aos perfis do IAM associados à pessoa ou aplicação. Para ter mais informações, consulte [Conjuntos de permissões](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
Caso não esteja usando o Centro de Identidade do IAM, é necessário criar entidades do IAM (usuários ou funções) para as pessoas ou aplicações que precisem de acesso. Você deve anexar uma política à entidade que conceda a eles as permissões corretas no Faturamento. Depois que as permissões forem concedidas, forneça as credenciais ao usuário ou desenvolvedor da aplicação. Eles usarão essas credenciais para acessar AWS. Para saber mais sobre como criar grupos, políticas, permissões e usuários do IAM, consulte [Identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) e [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
## Quero permitir que pessoas fora da minha acessem meus Conta da AWS recursos de faturamento
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se o Faturamento oferece suporte a esses atributos, consulte [Como o AWS faturamento funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# Usando funções vinculadas a serviços para AWS Billing
AWS Billing usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS Billing As funções vinculadas ao serviço são predefinidas AWS Billing e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração AWS Billing porque você não precisa adicionar manualmente as permissões necessárias. AWS Billing define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS Billing pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus AWS Billing recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.
## Permissões de função vinculadas ao serviço para AWS Billing
AWS Billing usa a função vinculada ao serviço chamada **Faturamento** — Permite que o serviço de cobrança valide o acesso aos dados de visualização do faturamento para visualizações de faturamento derivadas.
O perfil vinculado ao serviço Billing confia nos seguintes serviços para assumir o perfil:
+ `billing.amazonaws.com`
A política de permissões de função nomeada AWSBilling ServiceRolePolicy AWS Billing permite concluir as seguintes ações nos recursos especificados:
+ Ação: `billing:GetBillingViewData` em `arn:${Partition}:billing:::billingview/*`
Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte [Permissões do perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
## Criação de uma função vinculada ao serviço para AWS Billing
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria ou associa uma visualização de faturamento usando uma visualização de faturamento de uma conta diferente na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, AWS Billing cria a função vinculada ao serviço para você.
**Importante**
Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Além disso, se você estava usando o AWS Billing serviço antes de 1º de janeiro de 2017, quando ele começou a oferecer suporte a funções vinculadas ao serviço, AWS Billing criou a função de faturamento em sua conta. Para saber mais, consulte [Uma nova função apareceu no meu Conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
## Editando uma função vinculada ao serviço para AWS Billing
AWS Billing não permite que você edite a função vinculada ao serviço de cobrança. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para AWS Billing
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar suo perfil vinculado ao serviço para excluí-la manualmente.
### Excluir manualmente o perfil vinculado ao serviço
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função vinculada ao serviço de faturamento. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões suportadas para funções vinculadas a AWS Billing serviços
AWS Billing suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Regiões e endpoints da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Registro e monitoramento em Gerenciamento de Faturamento e Custos da AWS
O monitoramento é uma parte importante para manter a confiabilidade, a disponibilidade e o desempenho da sua AWS conta. Existem várias ferramentas disponíveis para monitorar o uso do Gerenciamento de Faturamento e Custos.
## AWS Relatórios de custo e uso
AWS Os relatórios de custo e uso monitoram seu AWS uso e fornecem cobranças estimadas associadas à sua conta. Cada relatório contém itens de linha para cada combinação exclusiva de AWS produtos, tipo de uso e operação que você usa em sua AWS conta. Você pode personalizar os relatórios de AWS custo e uso para agregar as informações por hora ou por dia.
Para obter mais informações sobre relatórios de AWS custo e uso, consulte o [https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html).
## AWS CloudTrail
O Billing and Cost Management é integrado AWS CloudTrail com, um serviço que fornece um registro das ações realizadas por um usuário, função ou AWS serviço no Billing and Cost Management. CloudTrail captura todas as chamadas de API de gravação e modificação para o Billing and Cost Management como eventos, incluindo chamadas do console Billing and Cost Management e de chamadas de código para o Billing and Cost Management. APIs
Para obter mais informações sobre AWS CloudTrail, consulte [Registrando chamadas da API Billing and Cost Management com AWS CloudTrail](logging-using-cloudtrail.md) o.
# Registrando chamadas da API Billing and Cost Management com AWS CloudTrail
O Billing and Cost Management é integrado AWS CloudTrail com, um serviço que fornece um registro das ações realizadas por um usuário, função ou AWS serviço no Billing and Cost Management. CloudTrail captura chamadas de API para o Billing and Cost Management como eventos, incluindo chamadas do console Billing and Cost Management e de chamadas de código para o Billing and Cost Management. APIs Para obter uma lista completa de CloudTrail eventos relacionados ao faturamento, consulte[AWS Billing CloudTrail eventos](#billing-cloudtrail-events).
Se você criar uma trilha, poderá habilitar a entrega contínua de CloudTrail eventos para um bucket do Amazon S3, incluindo eventos para Billing and Cost Management. Se não configurar uma trilha, você ainda poderá visualizar os eventos mais recentes no console do CloudTrail em **Event history**. Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita ao Billing and Cost Management, o endereço IP do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais.
Para saber mais CloudTrail, inclusive como configurá-lo e ativá-lo, consulte o [Guia AWS CloudTrail do usuário](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## AWS Billing CloudTrail eventos
Esta seção mostra uma lista completa dos CloudTrail eventos relacionados ao Billing and Cost Management.
****
| Nome do evento | Definição | Origem do evento. |
| --- | --- | --- |
| `AddPurchaseOrder` | Registra a criação de um pedido de compra. | purchase-orders.amazonaws.com |
| `AcceptFxPaymentCurrencyTermsAndConditions` | Registra em log a aceitação dos termos e condições de pagamento em uma moeda diferente de USD. | billingconsole.amazonaws.com |
| `CloseAccount` | Registra em log o fechamento de uma conta. | billingconsole.amazonaws.com |
| `CreateCustomerVerificationDetails` | (Somente para clientes com endereço de cobrança ou contato na Índia) Registra a criação dos detalhes de verificação do cliente da conta. | customer-verification.amazonaws.com |
| `CreateOrigamiReportPreference` | Registra a criação do relatório de uso e de custo; somente para a conta de gerenciamento. | billingconsole.amazonaws.com |
| `DeletePurchaseOrder` | Registra a exclusão de um pedido de compra. | purchase-orders.amazonaws.com |
| `DeleteOrigamiReportPreferences` | Registra a exclusão do relatório de uso e de custo; somente para a conta de gerenciamento. | billingconsole.amazonaws.com |
| `DownloadCommercialInvoice` | Registra o download de uma fatura comercial. | billingconsole.amazonaws.com |
| `DownloadECSVForBillingPeriod` | Registra o download do arquivo eCSV (relatório de uso mensal) para um período de cobrança específico. | billingconsole.amazonaws.com |
| `DownloadRegistrationDocument` | Registra em log o download do documento de registro fiscal. | billingconsole.amazonaws.com |
| `EnableBillingAlerts` | Registra a opção de receber alertas de CloudWatch cobrança para cobranças estimadas. | billingconsole.amazonaws.com |
| `FindECSVForBillingPeriod` | Registra a recuperação do arquivo ECSV para um período de faturamento específico. | billingconsole.amazonaws.com |
| `GetAccountEDPStatus` | Registra a recuperação do status EDP da conta. | billingconsole.amazonaws.com |
| `GetAddresses` | Registra em log o acesso ao endereço fiscal, endereço de cobrança e endereço de contato de uma conta. | billingconsole.amazonaws.com |
| `GetAllAccounts` | Registra em log o acesso a todos os números de conta-membro da conta de gerenciamento. | billingconsole.amazonaws.com |
| `GetBillsForBillingPeriod` | Registra o acesso ao uso da conta e as cobranças para um período de faturamento específico. | billingconsole.amazonaws.com |
| `GetBillsForLinkedAccount` | Registra o acesso de uma conta de gerenciamento recuperando o uso e as cobranças de uma das contas-membro na família de faturamento consolidado para um período de faturamento específico. | billingconsole.amazonaws.com |
| `GetCommercialInvoicesForBillingPeriod` | Registra o acesso aos metadados das faturas comerciais da conta para o período de faturamento específico. | billingconsole.amazonaws.com |
| `GetConsolidatedBillingFamilySummary` | Registra o acesso da conta de gerenciamento recuperando o resumo de toda a família de faturamento consolidado. | billingconsole.amazonaws.com |
| `GetCustomerVerificationEligibility` | (Somente para clientes com endereço de cobrança ou contato na Índia) Registra a recuperação da elegibilidade da conta para verificação do cliente. | customer-verification.amazonaws.com |
| `GetCustomerVerificationDetails` | (Somente para clientes com endereço de cobrança ou contato na Índia) Registra a recuperação dos detalhes de verificação do cliente da conta. | customer-verification.amazonaws.com |
| `GetLinkedAccountNames` | Registra a recuperação de uma conta de gerenciamento dos nomes de contas-membro pertencentes à sua família de faturamento consolidado para um período de faturamento específico. | billingconsole.amazonaws.com |
| `GetPurchaseOrder` | Registra a recuperação de um pedido de compra. | purchase-orders.amazonaws.com |
| `GetSupportedCountryCodes` | Registra em log o acesso a todos os códigos de país compatíveis com o console fiscal. | billingconsole.amazonaws.com |
| `GetTotal` | Registra a recuperação das cobranças totais da conta. | billingconsole.amazonaws.com |
| `GetTotalAmountForForecast` | Registra o acesso às cobranças previstas para o período de faturamento específico. | billingconsole.amazonaws.com |
| `ListCostAllocationTags` | Registra em log a recuperação e a listagem de tags de alocação de custos. | ce.amazonaws.com |
| `ListCostAllocationTagBackfillHistory` | Registra a recuperação e a listagem do histórico de solicitações de preenchimento da etiqueta de alocação de custos. | ce.amazonaws.com |
| `ListPurchaseOrders` | Registra a recuperação e a listagem de pedidos de compra. | purchase-orders.amazonaws.com |
| `ListPurchaseOrderInvoices` | Registra a recuperação e a lista de faturas associadas a um pedido de compra. | purchase-orders.amazonaws.com |
| `ListTagsForResource` | Lista as tags associadas a um recurso. Para `payments`, essa ação se refere a um método de pagamento. Para `purchase-orders`, essa ação se refere a uma ordem de compra. | purchase-orders.amazonaws.com |
| `RedeemPromoCode` | Registra em log o resgate de créditos promocionais de uma conta. | billingconsole.amazonaws.com |
| `SetAccountContractMetadata` | Registra em log a criação, a exclusão ou a atualização das informações de contrato necessárias para clientes do setor público. | billingconsole.amazonaws.com |
| `SetAccountPreferences` | Registra em log as atualizações do nome da conta, do e-mail e da senha. | billingconsole.amazonaws.com |
| `SetAdditionalContacts` | Registra em a criação, a exclusão ou a atualização dos contatos alternativos para comunicações de faturamento, operações e segurança. | billingconsole.amazonaws.com |
| `SetContactAddress` | Registra a criação, a exclusão ou a atualização das informações de contato do proprietário da conta, incluindo o endereço e o número de telefone. | billingconsole.amazonaws.com |
| `SetCreatedByOptIn` | Registra em log a opção de inclusão da preferência de tag de alocação de custos awscreatedby. | billingconsole.amazonaws.com |
| `SetCreditSharing` | Registra o histórico da preferência de compartilhamento de crédito da conta de gerenciamento. | billingconsole.amazonaws.com |
| `SetFreetierBudgetsPreference` | Registra em log a preferência de receber ou não alertas de uso do nível gratuito. | billingconsole.amazonaws.com |
| `SetFxPaymentCurrency` | Registra em log a criação, a exclusão ou a atualização da moeda de preferência usada para pagar a fatura. | billingconsole.amazonaws.com |
| `SetIAMAccessPreference` | Registra em log a criação, exclusão ou atualização da capacidade de usuários do IAM de acessar o console de faturamento. Essa configuração é somente para clientes com acesso raiz. | billingconsole.amazonaws.com |
| `SetPANInformation` | Registra a criação, exclusão ou atualização de informações de PAN na AWS Índia. | billingconsole.amazonaws.com |
| `SetPayInformation` | Registra o histórico da forma de pagamento (fatura ou credit/debit cartão) da conta. | billingconsole.amazonaws.com |
| `SetRISharing` | Registra o histórico da preferência de compartilhamento dos RI/Savings Planos para a conta de gerenciamento. | billingconsole.amazonaws.com |
| `SetSecurityQuestions` | Registra a criação, exclusão ou atualização das perguntas do desafio de segurança para ajudar a AWS identificar você como o proprietário da conta. | billingconsole.amazonaws.com |
| `StartCostAllocationTagBackfill` | Registra a criação de uma solicitação de preenchimento para o status de ativação de todas as etiquetas de alocação de custos. | ce.amazonaws.com |
| `TagResource` | Registra em log a atribuição de tags a um recurso. Para `payments`, essa ação se refere a um método de pagamento. Para `purchase-orders`, essa ação se refere a uma ordem de compra. | purchase-orders.amazonaws.com |
| `UntagResource` | Registra em log a exclusão de tags de um recurso. Para `payments`, essa ação se refere a um método de pagamento. Para `purchase-orders`, essa ação se refere a uma ordem de compra. | purchase-orders.amazonaws.com |
| `UpdateCostAllocationTagsStatus` | Registra em log o estado ativo ou inativo de determinada tag de alocação de custos. | ce.amazonaws.com |
| `UpdateCustomerVerificationDetails` | (Somente para clientes com endereço de cobrança ou contato na Índia) Registra a atualização dos detalhes de verificação do cliente da conta. | customer-verification.amazonaws.com |
| `UpdateOrigamiReportPreference` | Registra a atualização do relatório de uso e de custo; somente para a conta de gerenciamento. | billingconsole.amazonaws.com |
| `UpdatePurchaseOrder` | Registra a atualização de um pedido de compra. | purchase-orders.amazonaws.com |
| `UpdatePurchaseOrderStatus` | Registra a atualização do status de uma ordem de compra. | purchase-orders.amazonaws.com |
| `ValidateAddress` | Registra em log a validação do endereço fiscal de uma conta. | billingconsole.amazonaws.com |
### CloudTrail Eventos de pagamentos
Esta seção mostra uma lista completa dos CloudTrail eventos do recurso **Pagamentos** no AWS Billing console. Esses CloudTrail eventos usam `payments.amazonaws.com` em vez de`billingconsole.amazonaws.com`.
****
| Nome do evento | Definição |
| --- | --- |
| `Financing_AcceptFinancingApplicationTerms` | Registra em log a aceitação dos termos em um pedido de financiamento. |
| `Financing_CreateFinancingApplication` | Registra em log a criação de um pedido de financiamento. |
| `Financing_GetFinancingApplication` | Registra em log o acesso de um pedido de financiamento. |
| `Financing_GetFinancingApplicationDocument` | Registra em log o acesso de um documento associado a um pedido de financiamento. |
| `Financing_GetFinancingLine` | Registra em log o acesso de uma linha de financiamento. |
| `Financing_GetFinancingLineWithdrawal` | Registra em log o acesso da retirada de uma linha de financiamento. |
| `Financing_GetFinancingLineWithdrawalDocument` | Registra em log o acesso de um documento associado à retirada de uma linha de financiamento. |
| `Financing_GetFinancingLineWithdrawalStatements` | Registra em log o acesso de instruções associadas à retirada de uma linha de financiamento. |
| `Financing_GetFinancingOption` | Registra em log o acesso de uma opção de financiamento. |
| `Financing_ListFinancingApplications` | Registra em log a lista de metadados do pedido de financiamento. |
| `Financing_ListFinancingLines` | Registra em log a lista de metadados da linha de financiamento. |
| `Financing_ListFinancingLineWithdrawals` | Registra em log a lista de metadados da retirada da linha de financiamento. |
| `Financing_UpdateFinancingApplication` | Registra em log a atualização de um pedido de financiamento. |
| Instruments\$1Authenticate | Registra em log a autenticação do instrumento de pagamento. |
| `Instruments_Create` | Registra em log a criação de instrumentos de pagamento. |
| `Instruments_Delete` | Registra em log a exclusão de instrumentos de pagamento. |
| `Instruments_Get` | Registra em log o acesso a instrumentos de pagamento. |
| `Instruments_List` | Registra em log a lista de metadados do instrumento de pagamento. |
| `Instruments_StartCreate` | Registra em log as operações antes da criação do instrumento de pagamento. |
| `Instruments_Update` | Registra em log a atualização dos instrumentos de pagamento. |
| `ListTagsForResource` | Registra em log a lista de tags associadas a um recurso de pagamento. |
| `Policy_GetPaymentInstrumentEligibility` | Registra em log o acesso à elegibilidade de instrumentos de pagamento. |
| `Preferences_BatchGetPaymentProfiles` | Registra em log o acesso a perfis de pagamento. |
| `Preferences_CreatePaymentProfile` | Registra em log a criação de perfis de pagamento. |
| `Preferences_DeletePaymentProfile` | Registra em log a exclusão de perfis de pagamento. |
| `Preferences_ListPaymentProfiles` | Registra em log a lista de metadados de perfis de pagamento. |
| `Preferences_UpdatePaymentProfile` | Registra em log a atualização de perfis de pagamento. |
| `Programs_ListPaymentProgramOptions` | Registra em log a lista de opções do programa de pagamento. |
| `Programs_ListPaymentProgramStatus` | Registra em log a lista de elegibilidade do programa de pagamento e o status da inscrição. |
| `TagResource` | Registra em log a atribuição de tags a um recurso de pagamento. |
| `TermsAndConditions_AcceptTermsAndConditionsForProgramByAccountId` | Registra em log os termos e condições de pagamentos aceitos. |
| `TermsAndConditions_GetAcceptedTermsAndConditionsForProgramByAccountId` | Registra em log o acesso a termos e condições aceitos. |
| `TermsAndConditions_GetRecommendedTermsAndConditionsForProgram` | Registra em log o acesso a termos e condições recomendados. |
| `UntagResource` | Registra em log a exclusão de tags de um recurso de pagamento. |
### CloudTrail Eventos de configurações fiscais
Esta seção mostra uma lista completa dos CloudTrail eventos do recurso de **configurações fiscais** no AWS Billing console. Esses CloudTrail eventos usam `taxconsole.amazonaws.com` ou `tax.amazonaws.com` em vez de`billingconsole.amazonaws.com`.
**CloudTrail eventos para o console de configurações fiscais**
| Nome do evento | Definição | Origem do evento. |
| --- | --- | --- |
| `BatchGetTaxExemptions` | Registra em log o acesso de uma conta a isenções fiscais dos EUA, e quaisquer contas vinculadas. | taxconsole.amazon.com |
| `CreateCustomerCase` | Registra em log a criação de um caso de suporte ao cliente para validar a isenção fiscal dos EUA para uma conta. | taxconsole.amazon.com |
| `DownloadTaxInvoice` | Registra o download de uma fatura fiscal. | taxconsole.amazon.com |
| `GetTaxExemptionTypes` | Registra em log o acesso a todos os tipos de isenção dos EUA pelo console fiscal. | taxconsole.amazon.com |
| `GetTaxInheritance` | Registra em log o acesso à preferência de herança fiscal (ativado ou desativado) de uma conta. | taxconsole.amazon.com |
| `GetTaxInvoicesMetadata` | Registra a recuperação de metadados de faturas fiscais. | taxconsole.amazon.com |
| `GetTaxRegistration` | Registra em log o acesso ao número de registro fiscal de uma conta. | taxconsole.amazon.com |
| `PreviewTaxRegistrationChange` | Registra a pré-visualização das alterações de registro de impostos antes da confirmação. | taxconsole.amazon.com |
| `SetTaxInheritance` | Registra em log a preferência da herança fiscal (inclusão ou exclusão). | taxconsole.amazon.com |
**CloudTrail eventos para a API de configurações fiscais**
| Nome do evento | Definição | Origem do evento. |
| --- | --- | --- |
| `BatchDeleteTaxRegistration` | Registra em log a exclusão em lote do registro fiscal de várias contas. | tax.amazonaws.com |
| `BatchGetTaxExemptions` | Registra em log o acesso a isenções fiscais de uma ou de várias contas. | tax.amazonaws.com |
| `BatchPutTaxRegistration` | Registra em log as configurações do registro fiscal de várias contas. | tax.amazonaws.com |
| `DeleteTaxRegistration` | Registra em log a exclusão do número de registro fiscal de uma conta. | tax.amazonaws.com |
| `GetTaxExemptionTypes` | Registra em log o acesso a todos os tipos de isenção fiscal aceitos pelo console fiscal. | tax.amazonaws.com |
| `GetTaxInheritance` | Registra em log o acesso à preferência de herança fiscal (ativado ou desativado) de uma conta. | tax.amazonaws.com |
| `GetTaxRegistration` | Registra em log o acesso ao registro fiscal de uma conta. | tax.amazonaws.com |
| `GetTaxRegistrationDocument` | Registra em log a recuperação do documento de registro fiscal de uma conta. | tax.amazonaws.com |
| `ListTaxExemptions` | Registra o acesso às isenções fiscais das contas da AWS organização. | tax.amazonaws.com |
| `ListTaxRegistrations` | Registra em log o acesso aos detalhes do registro fiscal de todas as contas-membro da conta de gerenciamento. | tax.amazonaws.com |
| `PutTaxExemption` | Registra em log a configuração da isenção fiscal de uma ou de várias contas. | tax.amazonaws.com |
| `PutTaxInheritance` | Registra em log a preferência da herança fiscal (inclusão ou exclusão). | tax.amazonaws.com |
| `PutTaxRegistration` | Registra em log as configurações do registro fiscal de uma conta. | tax.amazonaws.com |
### Eventos de faturamento CloudTrail
Esta seção mostra uma lista completa dos CloudTrail eventos do recurso de **faturamento** no AWS Billing console. Esses CloudTrail eventos usam`invoicing.amazonaws.com`.
****
| Nome do evento | Definição |
| --- | --- |
| `CreateInvoiceUnit` | Registra em log a criação de uma unidade de fatura. |
| `DeleteInvoiceUnit` | Registra em log a exclusão de uma unidade de fatura. |
| `GetInvoiceProfiles` | Registra em log o acesso de um perfil de fatura da conta. |
| `GetInvoiceUnit` | Registra em log o acesso de uma unidade da fatura. |
| `ListInvoiceUnits` | Registra em log a recuperação e a listagem de unidades da fatura. |
| `UpdateInvoiceUnit` | Registra em log a atualização de uma unidade da fatura. |
## Informações sobre Billing and Cost Management em CloudTrail
CloudTrail é ativado em sua AWS conta quando você cria a conta. Quando uma atividade de evento suportada ocorre no Billing and Cost Management, essa atividade é registrada em CloudTrail um evento junto com AWS outros eventos de serviço **no** histórico de eventos. Você pode visualizar, pesquisar e baixar eventos recentes em sua AWS conta. Para obter mais informações, consulte [Visualização de CloudTrail eventos com histórico](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) de eventos no *Guia AWS CloudTrail do usuário*.
Para um registro contínuo de eventos em sua AWS conta, incluindo eventos para Billing and Cost Management, crie uma trilha. Uma trilha permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Por padrão, quando você cria uma trilha no console, a trilha se aplica a todas as AWS regiões. A trilha registra eventos de todas as regiões na AWS partição e entrega os arquivos de log ao bucket do Amazon S3 que você especificar. Além disso, você pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros.
Para saber mais, consulte:
+ [Visão Geral para Criar uma Trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Serviços e integrações compatíveis](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configurando notificações do Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Recebendo arquivos de CloudTrail log de várias regiões](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [recebendo arquivos de CloudTrail log de várias contas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar:
+ Se a solicitação foi feita com credenciais de usuário-raiz ou usuário do IAM.
+ Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado.
+ Se a solicitação foi feita por outro AWS serviço.
Para obter mais informações, consulte o [Elemento CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html) no *Guia do usuário do AWS CloudTrail *.
## CloudTrail exemplos de entrada de registro
Os exemplos a seguir são fornecidos para cenários específicos de entrada de registros do Billing and Cost CloudTrail Management.
**Topics**
+ [Entradas de arquivo de log do Gerenciamento de Faturamento e Custos](#understanding-service-name-entries)
+ [Console fiscal](#CT-example-tax)
+ [Pagamentos](#CT-example-payments-create)
### Entradas de arquivo de log do Gerenciamento de Faturamento e Custos
Uma *trilha* é uma configuração que permite a entrega de eventos como arquivos de log para um bucket do Amazon S3 que você especificar. CloudTrail os arquivos de log contêm uma ou mais entradas de log. Um evento representa uma única solicitação de qualquer fonte e inclui informações sobre a ação solicitada, a data e a hora da ação, os parâmetros da solicitação e assim por diante. CloudTrail os arquivos de log não são um rastreamento de pilha ordenado das chamadas públicas de API, portanto, eles não aparecem em nenhuma ordem específica.
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a `SetContactAddress` ação.
```
{
"eventVersion": "1.05",
"userIdentity": {
"accountId": "111122223333",
"accessKeyId": "AIDACKCEVSQ6C2EXAMPLE"
},
"eventTime": "2018-05-30T16:44:04Z",
"eventSource": "billingconsole.amazonaws.com",
"eventName": "SetContactAddress",
"awsRegion": "us-east-1",
"sourceIPAddress": "100.100.10.10",
"requestParameters": {
"website": "https://amazon.com",
"city": "Seattle",
"postalCode": "98108",
"fullName": "Jane Doe",
"districtOrCounty": null,
"phoneNumber": "206-555-0100",
"countryCode": "US",
"addressLine1": "Nowhere Estates",
"addressLine2": "100 Main Street",
"company": "AnyCompany",
"state": "Washington",
"addressLine3": "Anytown, USA",
"secondaryPhone": "206-555-0101"
},
"responseElements": null,
"eventID": "5923c499-063e-44ac-80fb-b40example9f",
"readOnly": false,
"eventType": "AwsConsoleAction",
"recipientAccountId": "1111-2222-3333"
}
```
### Console fiscal
O exemplo a seguir mostra uma entrada de CloudTrail registro que usa a `CreateCustomerCase` ação.
```
{
"eventVersion":"1.05",
"userIdentity":{
"accountId":"111122223333",
"accessKeyId":"AIDACKCEVSQ6C2EXAMPLE"
},
"eventTime":"2018-05-30T16:44:04Z",
"eventSource":"taxconsole.amazonaws.com",
"eventName":"CreateCustomerCase",
"awsRegion":"us-east-1",
"sourceIPAddress":"100.100.10.10",
"requestParameters":{
"state":"NJ",
"exemptionType":"501C",
"exemptionCertificateList":[
{
"documentName":"ExemptionCertificate.png"
}
]
},
"responseElements":{
"caseId":"case-111122223333-iris-2022-3cd52e8dbf262242"
},
"eventID":"5923c499-063e-44ac-80fb-b40example9f",
"readOnly":false,
"eventType":"AwsConsoleAction",
"recipientAccountId":"1111-2222-3333"
}
```
### Pagamentos
O exemplo a seguir mostra uma entrada de CloudTrail registro que usa a `Instruments_Create` ação.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Root",
"principalId": "111122223333",
"arn": "arn:aws:iam::111122223333:",
"accountId": "111122223333",
"accessKeyId": "AIDACKCEVSQ6C2EXAMPLE",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-05-01T00:00:00Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-05-01T00:00:00Z",
"eventSource": "payments.amazonaws.com",
"eventName": "Instruments_Create",
"awsRegion": "us-east-1",
"sourceIPAddress": "100.100.10.10",
"userAgent": "AWS",
"requestParameters": {
"accountId": "111122223333",
"paymentMethod": "CreditCard",
"address": "HIDDEN_DUE_TO_SECURITY_REASONS",
"accountHolderName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"cardNumber": "HIDDEN_DUE_TO_SECURITY_REASONS",
"cvv2": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationMonth": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationYear": "HIDDEN_DUE_TO_SECURITY_REASONS",
"tags": {
"Department": "Finance"
}
},
"responseElements": {
"paymentInstrumentArn": "arn:aws:payments::111122223333:payment-instrument:4251d66c-1b05-46ea-890c-6b4acf6b24ab",
"paymentInstrumentId": "111122223333",
"paymentMethod": "CreditCard",
"consent": "NotProvided",
"creationDate": "2024-05-01T00:00:00Z",
"address": "HIDDEN_DUE_TO_SECURITY_REASONS",
"accountHolderName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationMonth": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationYear": "HIDDEN_DUE_TO_SECURITY_REASONS",
"issuer": "Visa",
"tail": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"requestID": "7c7df9c2-c381-4880-a879-2b9037ce0573",
"eventID": "c251942f-6559-43d2-9dcd-2053d2a77de3",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```
# Validação de conformidade para Gerenciamento de Faturamento e Custos da AWS
Auditores terceirizados avaliam a segurança e a conformidade dos AWS serviços como parte de vários programas de AWS conformidade. O Billing and Cost Management não está no escopo de AWS nenhum programa de conformidade.
Para obter uma lista de AWS serviços no escopo de programas de conformidade específicos, consulte [AWS Serviços no escopo do programa de conformidade AWS](https://aws.amazon.com/compliance/services-in-scope/) . Para obter informações gerais, consulte Programas de [AWS conformidade Programas AWS](https://aws.amazon.com/compliance/programs/) de .
Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixando relatórios em AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Sua responsabilidade de conformidade ao usar o Billing and Cost Management é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade da sua empresa e pelas leis e regulamentações aplicáveis. AWS fornece os seguintes recursos para ajudar na conformidade:
+ [Guias de início rápido de segurança e compatibilidade](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance): esses guias de implantação abordam as considerações de arquitetura e fornecem etapas para implantação de ambientes de linha de base focados em compatibilidade e segurança na AWS.
+ AWS Recursos de [https://aws.amazon.com/compliance/resources/](https://aws.amazon.com/compliance/resources/) de conformidade — Essa coleção de pastas de trabalho e guias pode ser aplicada ao seu setor e local.
+ [Avaliação de recursos com regras](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) no *Guia do AWS Config desenvolvedor* — O AWS Config serviço avalia o quão bem suas configurações de recursos estão em conformidade com as práticas internas, as diretrizes e os regulamentos do setor.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Esse AWS serviço fornece uma visão abrangente do seu estado de segurança interno, AWS que ajuda você a verificar sua conformidade com os padrões e as melhores práticas do setor de segurança.
# Resiliência em Gerenciamento de Faturamento e Custos da AWS
A infraestrutura AWS global é construída em torno de AWS regiões e zonas de disponibilidade. AWS As regiões fornecem várias zonas de disponibilidade fisicamente separadas e isoladas, conectadas a redes de baixa latência, alta taxa de transferência e alta redundância. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que automaticamente executam o failover entre as zonas sem interrupção. As zonas de disponibilidade são altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
Para obter mais informações sobre AWS regiões e zonas de disponibilidade, consulte [Infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
# Segurança da infraestrutura em Gerenciamento de Faturamento e Custos da AWS
Como serviço gerenciado, Gerenciamento de Faturamento e Custos da AWS é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.
Você usa chamadas de API AWS publicadas para acessar o Billing and Cost Management pela rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
# Acesso Gerenciamento de Faturamento e Custos da AWS usando um endpoint de interface ()AWS PrivateLink
Você pode usar AWS PrivateLink para criar uma conexão privada entre sua VPC e. Gerenciamento de Faturamento e Custos da AWS Você pode acessar o Billing and Cost Management como se estivesse em sua VPC, sem o uso de um gateway de internet, dispositivo NAT, conexão VPN ou conexão. Direct Connect As instâncias na sua VPC não precisam de endereços IP públicos para acessar o Billing and Cost Management.
Estabeleça essa conectividade privada criando um *endpoint de interface*, habilitado pelo AWS PrivateLink. Criaremos um endpoint de interface de rede em cada sub-rede que você habilitar para o endpoint de interface. São interfaces de rede gerenciadas pelo solicitante que servem como ponto de entrada para o tráfego destinado ao Billing and Cost Management.
Para obter mais informações, consulte [Acesso Serviços da AWS por meio AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) do *AWS PrivateLink Guia*.
Para obter uma lista completa dos nomes dos serviços, consulte [AWS serviços que se integram com AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html) o.
## Considerações para o Billing and Cost Management
Antes de configurar um endpoint de interface para o Billing and Cost Management, revise as [Considerações](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) no *Guia do AWS PrivateLink *.
O Billing and Cost Management oferece suporte a chamadas para todas as ações de API por meio do endpoint da interface.
As políticas de endpoint da VPC não são compatíveis com o Billing and Cost Management. Por padrão, o acesso total ao Billing and Cost Management é permitido por meio do endpoint de interface. Como alternativa, é possível associar um grupo de segurança às interfaces de rede do endpoint para controlar o tráfego para o Billing and Cost Management por meio do endpoint de interface.
## Criar um endpoint de interface para o Billing and Cost Management
Você pode criar um endpoint de interface para Billing and Cost Management usando o console da Amazon VPC ou o (). AWS Command Line Interface AWS CLI Para obter mais informações, consulte [Criar um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) no *Guia do usuário do AWS PrivateLink *.
Como criar um endpoint de interface para o Billing and Cost Management usando o seguinte nome de serviço:
```
com.amazonaws.region.service-name
```
Se você habilitar o DNS privado para o endpoint da interface, poderá fazer solicitações de API ao Billing and Cost Management usando seu nome DNS regional padrão. Por exemplo, .`service-name.us-east-1.amazonaws.com`
## Crie uma política de endpoint para seu endpoint de interface.
Uma política de endpoint é um recurso do IAM que pode ser anexado ao endpoint de interface. A política de endpoint padrão permite acesso total ao Billing and Cost Management por meio do endpoint de interface. Para controlar o acesso permitido ao Billing and Cost Management pela VPC, anexe uma política de endpoint personalizada ao endpoint de interface.
Uma política de endpoint especifica as seguintes informações:
+ As entidades principais que podem realizar ações (Contas da AWS, usuários do IAM e perfis do IAM).
+ As ações que podem ser realizadas.
+ Os recursos nos quais as ações podem ser executadas.
Para obter mais informações, consulte [Controlar o acesso aos serviços usando políticas de endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) no *Guia do AWS PrivateLink *.
**Exemplo: política de VPC endpoint para a API de lista de preços AWS**
Veja a seguir um exemplo de uma política de endpoint personalizado. Quando você anexa essa política ao seu endpoint de interface, todos os usuários que têm acesso ao endpoint podem acessar a API da Lista de AWS Preços.
```
{
"Statement": [
{
"Action": "pricing:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "*"
}
]
}
```
Para usar o download de arquivos em massa para a API de lista de preços AWS PrivateLink, você também deve habilitar o acesso ao Amazon S3 por meio de. AWS PrivateLink Para obter mais informações, consulte [AWS PrivateLink para o Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html) no *Guia do usuário do Amazon S3*.