本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 正在迁移访问控制 AWS Billing
<a name="migrate-granularaccess-whatis"></a>

**注意**  
以下 AWS Identity and Access Management (IAM) 操作已于 2023 年 7 月结束标准支持：  
`aws-portal` 命名空间
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您正在使用 AWS Organizations，则可以使用[批量策略迁移器脚本](migrate-iam-permissions.md)或批量策略迁移器从您的付款人账户更新政策。您还可以使用[旧到精细操作映射参考](migrate-granularaccess-iam-mapping-reference.md)来验证需要添加的 IAM 操作。  
如果您在 2023 年 3 月 6 日上午 11:00（太平洋夏令时）当天或之后 AWS Organizations 创建，或参与其中，则细粒度操作已在您的组织中生效。 AWS 账户

您可以使用精细的访问控制来为组织中的个人提供对服务的访问权限。 AWS 账单与成本管理 例如，您可以提供对 Cost Explorer 成本管理服务的访问权限，但不提供对账单与成本管理控制台的访问权限。

要使用精细访问控制，您需要将策略从 `aws-portal` 门户迁移到新的 IAM 操作。

在此迁移中，您的权限策略或服务控制策略（SCP）中的以下 IAM 操作需要更新：
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`

要了解如何使用 **受影响策略**工具来确定受影响的 IAM 策略，请参阅[如何使用受影响策略工具](migrate-security-iam-tool.md)。

**注意**  
API 访问权限 AWS Cost Explorer、 AWS 成本和使用情况报告以及 AWS 预算不受影响。  
[激活对 Billing and Cost Management 控制台的访问权限](control-access-billing.md#ControllingAccessWebsite-Activate) 保持不变。

**Topics**
+ [管理访问权限](#migrate-control-access-billing)
+ [使用控制台批量迁移您的策略](migrate-granularaccess-console.md)
+ [如何使用受影响策略工具](migrate-security-iam-tool.md)
+ [使用脚本批量迁移策略以使用 IAM 精细操作](migrate-iam-permissions.md)
+ [IAM 精细操作映射参考](migrate-granularaccess-iam-mapping-reference.md)

## 管理访问权限
<a name="migrate-control-access-billing"></a>

AWS Billing 与 AWS Identity and Access Management (IAM) 服务集成，因此您可以控制组织中谁可以访问[账单和成本管理控制台](https://console.aws.amazon.com/billing/)上的特定页面。这包括付款、账单、服务抵扣金额、免费套餐、付款首选项、整合账单、税务设置和账户页面等功能。

使用以下 IAM 权限对账单与成本管理控制台进行精细控制。

要提供精细访问权限，请将 `aws-portal` 策略替换为 `account`、`billing`、`payments`、`freetier`、`invoicing`、`tax` 和 `consolidatedbilling`。

此外，将 `purchase-orders:ViewPurchaseOrders` 和 `purchase-orders:ModifyPurchaseOrders` 替换为 `purchase-orders`、`account` 和 `payments` 下的精细操作。

### 使用细粒度 AWS Billing actions
<a name="migrate-user-permissions"></a>

此表总结了允许或拒绝 IAM 用户和角色访问您的账单信息的权限。有关使用这些权限的策略示例，请参阅[AWS 账单政策示例](billing-example-policies.md)。

有关 AWS Cost Management 控制台的操作列表，请参阅《*AWS Cost Management 用户指南》*中的[AWS Cost Management 操作策略](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#user-permissions)。



- ** [账单主页](https://console.aws.amazon.com/billing/home#/) **
  - **IAM 操作:** `account:GetAccountInformation`<br />`billing:Get*`<br />`payments:List*`<br />`tax:List*`
  - **说明:** 授予权限以查看**主页**页面。这些是只读权限。这些权限仅适用于控制台。这些权限不支持 API 访问。

- ** [账单](https://console.aws.amazon.com/billing/home#/bills) **
  - **IAM 操作:** `account:GetAccountInformation`<br />`billing:Get*`<br />`consolidatedbilling:Get*`<br />`consolidatedbilling:List*`<br />`invoicing:List*`<br />`payments:List*` / **说明:** 授予权限以查看**账单**页面。这些是只读权限。这些权限仅适用于控制台。这些权限不支持 API 访问。
  - **IAM 操作:** `invoicing:Get*` / **说明:** 授予权限以从**账单**页面下载发票。此权限仅适用于控制台。此权限不支持 API 访问。
  - **IAM 操作:** `cur:Get*` / **说明:** 授予权限以从**账单**页面下载 CSV 报告。此权限仅适用于控制台。此权限不支持 API 访问。
  - **IAM 操作:** `billing:ListBillingViews` / **说明:** 授予查看已创建的每个 AWS Billing Conductor 账单组`ARN`和描述的权限。这是为特定组创建报告首选项所必需的。此权限仅适用于控制台。此权限不支持 API 访问。

- ** [付款](https://console.aws.amazon.com/billing/home#/paymentsoverview) **
  - **IAM 操作:** `account:GetAccountInformation`<br />`billing:Get*`<br />`payments:Get*`<br />`payments:List*` / **说明:** 授予权限以查看**付款**页面。这些是**到期付款**、**未核销资金**、**交易**和**预付款**选项卡的只读权限。这些权限仅适用于控制台。这些权限不支持 API 访问。
  - **IAM 操作:** `invoicing:Get*` / **说明:** 授予权限以从**交易**选项卡下载发票。此权限仅适用于控制台。此权限不支持 API 访问。
  - **IAM 操作:** `payments:Update*` / **说明:** 授予使用预付款和设置付款详细信息所需的权限操作。
  - **IAM 操作:** `payments:Make*`<br />`invoicing:Get*` / **说明:** 授予权限以为预付款生成资金请求文档并进行付款。

- ** [Credits](https://console.aws.amazon.com/billing/home#/credits) **
  - **IAM 操作:** `billing:Get*`<br />`account:GetAccountInformation` / **说明:** 授予权限以查看**积分**页面。
  - **IAM 操作:** `billing:RedeemCredits` / **说明:** 授予权限以兑换服务抵扣金额。

- ** [采购订单](https://console.aws.amazon.com/billing/home#/purchaseorders) **
  - **IAM 操作:** `account:GetAccountInformation`<br />`account:GetContactInformation`<br />`payments:Get*`<br />`payments:List*`<br />`purchase-orders:ListPurchaseOrders`<br />`purchase-orders:ListPurchaseOrderInvoices`<br />`tax:ListTaxRegistrations`<br />`consolidatedbilling:GetAccountBillingRole` / **说明:** 授予权限以查看**采购订单**页面。
  - **IAM 操作:** `purchase-orders:GetPurchaseOrder` / **说明:** 授予权限以查看采购订单详细信息。
  - **IAM 操作:** `purchase-orders:AddPurchaseOrder` / **说明:** 授予权限以添加采购订单。
  - **IAM 操作:** `purchase-orders:DeletePurchaseOrder` / **说明:** 授予权限以删除采购订单。
  - **IAM 操作:** `purchase-orders:UpdatePurchaseOrder`<br />`purchase-orders:UpdatePurchaseOrderStatus` / **说明:** 授予权限以更新采购订单和采购订单状态。

- ** [AWS 成本和使用率报告](https://console.aws.amazon.com/billing/home#/reports) **
  - **IAM 操作:** `cur:GetClassic*`<br />`cur:DescribeReportDefinitions` / **说明:** 授予在 “**AWS 成本和使用情况报告” 页面上查看 AWS CUR 报告**列表的权限。`cur:GetClassic*` 权限仅适用于控制台。此权限不支持 API 访问。
  - **IAM 操作:** `billing:ListBillingViews` / **说明:** 授予查看在 Billing Conductor 中创建的每个 AWS 账单组`ARN`和描述的权限。这是为特定组创建报告首选项所必需的。此权限仅适用于控制台。此权限不支持 API 访问。
  - **IAM 操作:** `s3:ListAllMyBuckets`<br />`s3:CreateBucket`<br />`s3:PutBucketPolicy`<br />`s3:GetBucketLocation`<br />`cur:Validate*`<br />`cur:PutReportDefinition` / **说明:** 授予创建新 AWS CUR 报告所需的权限操作。`cur:Validate*` 权限仅适用于控制台。这些权限不支持 API 访问。
  - **IAM 操作:** `cur:Validate*`<br />`s3:CreateBucket`<br />`s3:ListAllMyBuckets`<br />`s3:PutBucketPolicy`<br />`s3:GetBucketLocation`<br />`cur:ModifyReportDefinition` / **说明:** 授予编辑 AWS CUR 定义的权限。`cur:Validate*` 权限仅适用于控制台。这些权限不支持 API 访问。
  - **IAM 操作:** `cur:DeleteReportDefinition` / **说明:** 授予删除 AWS CUR 报告的权限。
  - **IAM 操作:** `cur:GetUsage*` / **说明:** 授予权限以下载使用情况报告。
  - **IAM 操作:** `sustainability:GetCarbonFootprintSummary` / **说明:** 授予权限以查看您的 AWS 账户的可持续发展数据。

- ** [成本类别](https://console.aws.amazon.com/billing/home#/costcategories) **
  - **IAM 操作:** `account:GetAccountInformation`<br />`ce:ListCostCategoryDefinitions`<br />`ce:DescribeCostCategoryDefinition`<br />`ce:GetCostAndUsage`<br />`ce:ListTagsForResource`<br />`consolidatedbilling:GetAccountBillingRole` / **说明:** 授予权限以查看成本类别。`account:GetAccountInformation` 权限仅适用于控制台。这些权限不支持 API 访问。
  - **IAM 操作:** `billing:Get*`<br />`ce:TagResource`<br />`ce:ListCostAllocationTags`<br />`consolidatedbilling:List*`<br />`ce:CreateCostCategoryDefinition`<br />`pricing:DescribeServices`<br />`ce:GetDimensionValues`<br />`ce:GetTags` / **说明:** 授予权限以创建成本类别。`billing:Get*` 和 `consolidatedbilling:List*` 权限仅适用于控制台。这些权限不支持 API 访问。
  - **IAM 操作:** `ce:UpdateCostCategoryDefinition`<br />`ce:UntagResource` / **说明:** 授予权限以修改成本类别。
  - **IAM 操作:** `ce:DeleteCostCategoryDefinition` / **说明:** 授予权限以删除成本类别。

- ** [成本分配标签](https://console.aws.amazon.com/billing/home#/tags) **
  - **IAM 操作:** `account:GetAccountInformation`<br />`ce:ListCostAllocationTags`<br />`consolidatedbilling:GetAccountBillingRole` / **说明:** 授予权限以查看成本分配标签。
  - **IAM 操作:** `ce:UpdateCostAllocationTagsStatus` / **说明:** 授予权限以激活或停用成本分配标签。

- ** [AWS Budgets](https://console.aws.amazon.com/billing/home#/budgets) **
  - **IAM 操作:** `budgets:ViewBudget`<br />`budgets:DescribeBudgetActionsForBudget`<br />`budgets:DescribeBudgetAction`<br />`budgets:DescribeBudgetActionsForAccount`<br />`budgets:DescribeBudgetActionHistories` / **说明:** 授予权限以查看**预算**页面。
  - **IAM 操作:** `budgets:CreateBudgetAction`<br />`budgets:ExecuteBudgetAction`<br />`budgets:DeleteBudgetAction`<br />`budgets:UpdateBudgetAction`<br />`budgets:ModifyBudget` / **说明:** 授予权限以创建、删除和修改预算和预算操作。

- ** [免费套餐](https://console.aws.amazon.com/billing/home#/freetier) **
  - **IAM 操作:** `billing:Get*`<br />`freetier:Get*`
  - **说明:** 授予权限以查看免费套餐使用限制和当月至今使用状态。

- ** [账单首选项](https://console.aws.amazon.com/billing/home#/preferences) **
  - **IAM 操作:** `account:GetAccountInformation`<br />`billing:Get*`<br />`consolidatedbilling:Get*`<br />`consolidatedbilling:List*`<br />`cur:GetClassic*`<br />`cur:Validate*`<br />`freetier:Get*`<br />`invoicing:Get*` / **说明:** 授予查看**账单首选项**页面上的所有部分所需的权限操作。这些权限仅适用于控制台。这些权限不支持 API 访问。
  - **IAM 操作:** `billing:Update*`<br />`freetier:Put*`<br />`cur:PutClassic*`<br />`s3:ListAllMyBuckets`<br />`s3:CreateBucket`<br />`s3:PutBucketPolicy`<br />`s3:GetBucketLocation`<br />`invoicing:Put*` / **说明:** 授予权限以在**账单首选项**页面中进行以下更改：[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html)`billing:Update*`、`freetier:Put*`、`cur:PutClassic*` 权限仅适用于控制台。这些权限不支持 API 访问。

- ** [付款首选项](https://console.aws.amazon.com/billing/home#/paymentpreferences) **
  - **IAM 操作:** `account:GetAccountInformation`<br />`billing:Get*`<br />`payments:GetPaymentInstrument`<br />`payments:List*`<br />`payments:GetPaymentStatus` / **说明:** 授予权限以查看**支付首选项**页面。这些权限仅适用于控制台。这些权限不支持 API 访问。
  - **IAM 操作:** `payments:Update*`<br />`payments:Make*`<br />`payments:CreatePaymentInstrument`<br />`payments:DeletePaymentInstrument` / **说明:** 授予权限以创建或更新付款方式。仅当支付卡需要多重身份验证（MFA）时，才需要使用 `payments:Make*`。
  - **IAM 操作:** `tax:PutTaxRegistration`<br />`tax:Delete*`<br />`payments:UpdatePaymentPreferences`<br />`payments:CreatePaymentInstrument` / **说明:** 授予权限以更新或删除税务登记号。
  - **IAM 操作:** `payments:Update*` / **说明:** 授予权限以更新付款配置文件。此权限仅适用于控制台。此权限不支持 API 访问。

- ** [税务设置](https://console.aws.amazon.com/billing/home#/tax) **
  - **IAM 操作:** `tax:List*`<br />`tax:Get*` / **说明:** 授予权限以查看税务设置。
  - **IAM 操作:** `tax:BatchPut*` / **说明:** 授予更新税务设置所需的权限操作。
  - **IAM 操作:** `tax:Put*` / **说明:** 授予权限以设置税务继承。
  - **IAM 操作:** `tax:UpdateExemptions`<br />`support:CreateCase`<br />`support:AddAttachmentsToSet` / **说明:** 授予权限以更新免税。

- ** [Account](https://console.aws.amazon.com/billing/home#/account) **
  - **IAM 操作:** `account:Get*`<br />`account:List*`<br />`billing:Get*`<br />`payments:List*` / **说明:** 授予权限以查看**账户设置**。`billing:Get*` 权限仅适用于控制台。此权限不支持 API 访问。
  - **IAM 操作:** `account:CloseAccount` / **说明:** 授予关闭权限 AWS 账户。此权限仅适用于控制台。此权限不支持 API 访问。
  - **IAM 操作:** `account:DisableRegion` / **说明:** 授予在 “**账户**” 页面上关闭某个 AWS 区域的权限。
  - **IAM 操作:** `account:EnableRegion` / **说明:** 授予在 “**账户**” 页面上开启 AWS 区域的权限。
  - **IAM 操作:** `account:PutAlternateContact` / **说明:** 授予权限以写入账户的备用联系人。
  - **IAM 操作:** `account:PutChallengeQuestions` / **说明:** 授予权限以设置账户的安全问题。此权限仅适用于控制台。此权限不支持 API 访问。
  - **IAM 操作:** `account:PutContactInformation` / **说明:** 授予为该账户设置或写入主要联系人信息（包括地址）所需的权限操作。
  - **IAM 操作:** `billing:PutContractInformation` / **说明:** 如果账户用于为公共部门客户提供服务，则授予权限以设置账户合同信息。可以提取的信息包括终端用户组织名称、合同编号和采购订单号。此权限仅适用于控制台。此权限不支持 API 访问。
  - **IAM 操作:** `billing:Update*` / **说明:** 授予在**账户**页面上打开或关闭**激活 IAM 访问权限**设置所需的权限操作。
  - **IAM 操作:** `payments:Update*` / **说明:** 授予权限以设置预付款、币种首选项、账单联系人详细信息和地址以及付款条款和条件。