本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 用于 AWS 计费的 Identity and Access 管理
AWS Identity and Access Management (IAM) AWS 服务 可帮助管理员安全地控制对 AWS 资源的访问权限。IAM 管理员控制谁可以通过*身份验证*(登录)并获得*授权*(具有权限)来使用 Billing 资源。您可以使用 IAM AWS 服务 ,无需支付额外费用。
要开始激活对 Billing 控制台的访问权限,请参阅《IAM 用户指南》**中的 [IAM 教程:委托对 Billing 控制台的访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html)。
## 用户类型和账单权限
此表总结了对于每种类型的账单用户, Billing 中允许执行的默认操作。
**用户类型和账单权限**
| 用户类型 | 说明 | 账单权限 |
| --- | --- | --- |
| 账户所有者 | 以其名义设置账户的人员或实体。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/security-iam.html) |
| 用户 | 由账户所有者或管理用户定义为账户用户的某个人员或应用程序。账户可以包含多个 用户。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/security-iam.html) |
| 组织管理账户所有者 | 与 AWS Organizations 管理账户关联的个人或实体。管理账户为组织中成员账户产生的 AWS 使用量付费。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/security-iam.html) |
| 组织成员账户所有者 | 与 AWS Organizations 成员账户关联的个人或实体。管理账户为组织中成员账户产生的 AWS 使用量付费。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/security-iam.html) |
# 管理访问权限的概述
## 授予对账单信息和工具的访问权限
默认情况下,IAM 用户无权访问 [AWS 账单与成本管理 控制台](https://console.aws.amazon.com/billing/)。
创建时 AWS 账户,首先会有一个名为 AWS 账户 *root 用户的*登录身份,该身份可以完全访问所有资源 AWS 服务 和资源。我们强烈建议不要使用根用户进行日常任务。有关要求根用户凭证的任务,请参阅*《IAM 用户指南》*中的[需要根用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
作为管理员,您可以在自己的 AWS 账户下创建用户可以代入的角色。创建角色后,您可以根据所需的访问权限为其附加 IAM 策略。例如,您可授予部分用户对部分账单信息和工具的有限访问权限,并授予其他人对所有信息和工具的完整访问权限。
要授予 IAM 实体访问账单和成本管理控制台的权限,请完成以下操作:
+ 以 AWS 账户 根用户@@ [身份激活 IAM 访问权限](#ControllingAccessWebsite-Activate)。您只需要为您的账户完成一次此操作。
+ 创建您的 IAM 身份,例如用户、群组或角色。
+ 使用 AWS 托管策略或创建客户托管策略,以授予在 Billing and Billing and Cost Management 控制台上执行特定操作的权限。有关更多信息,请参阅 [使用适用于账单的基于身份的策略](security_iam_id-based-policy-examples.md#billing-permissions-ref)。
有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 教程:授予账单控制台访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html)。
**注意**
Cost Explorer 的权限适用于所有账户和成员账户,不管 IAM policy 如何。有关更多信息,请参阅[控制对 Cost Explorer AWS 的访问权限](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-access.html)。
## 激活对 Billing and Cost Management 控制台的访问权限
默认情况下,IAM 用户和中的角色 AWS 账户 无法访问账单和成本管理控制台。即使他们拥有授予对特定 Billing 功能访问权限的 IAM policy,也是如此。要授予访问权限, AWS 账户 根用户可以使用 “**激活 IAM 访问权限**” 设置。
如果您使用 AWS Organizations,请在您想要允许 IAM 用户和角色访问账单和成本管理控制台的每个管理账户或成员账户中激活此设置。对于已创建的成员帐户,默认情况下将启用此选项。有关更多信息,请参阅 [激活 IAM 对 AWS 账单与成本管理 控制台的访问权限](billing-getting-started.md#activating-iam-access-to-billing-console)。
在 Billing 控制台中,**激活 IAM 访问权限**设置控制对以下页面的访问权限:
+ 主页
+ Budgets
+ 预算报告
+ AWS 成本和使用情况报告
+ 成本类别
+ 成本分配标签
+ 账单
+ 付款
+ Credits
+ 采购订单
+ 账单首选项
+ 付款方式
+ 税务设置
+ Cost Explorer 成本管理服务
+ Reports
+ 规模优化建议
+ Savings Plans 建议
+ Savings Plans 使用率报告
+ Savings Plans 覆盖率报告
+ 预留概览
+ 预留建议
+ 预留使用率报告
+ 预留覆盖率报告
+ Preferences(首选项)
**重要**
单独激活 IAM 访问权限并不会授予 IAM 用户和角色对这些账单和成本管理控制台页面的必要权限。除了激活 IAM 访问权限外,您还必须将所需的 IAM 策略附加到这些角色。有关更多信息,请参阅 [使用适用于账单的基于身份的策略](security_iam_id-based-policy-examples.md#billing-permissions-ref)。
**Activate IAM Access(激活 IAM 访问权限)**设置不会控制对以下页面和资源的访问权限:
+ AWS 成本异常检测、储蓄计划概述、储蓄计划库存、购买储蓄计划和储蓄计划购物车的主机页面
+ 中的 “成本管理” 视图 AWS Console Mobile Application
+ Billing and Cost Management SDK APIs (AWS Cost Explorer、 AWS 预算以及 AWS 成本和使用情况报告 APIs)
+ AWS Systems Manager 应用程序管理器
+ 控制台内的 AWS 定价计算器
+ Amazon Q 中的成本分析功能
+ 的 AWS Activate Console
## 受众
您的使用方式 AWS Identity and Access Management (IAM) 因您的角色而异:
+ **服务用户**:如果您无法访问功能,请从管理员处请求权限(请参阅[AWS 账单身份和访问权限疑难解答](security_iam_troubleshoot.md))
+ **服务管理员**:确定用户访问权限并提交权限请求(请参阅[AWS 账单如何与 IAM 配合使用](security_iam_service-with-iam.md))
+ **IAM 管理员**:编写用于管理访问权限的策略(请参阅[带有计费功能的基于身份的政策 AWS](security_iam_id-based-policy-examples.md))
## 使用身份进行身份验证
身份验证是您 AWS 使用身份凭证登录的方式。您必须以 IAM 用户身份进行身份验证 AWS 账户根用户,或者通过担任 IAM 角色进行身份验证。
您可以使用来自身份源的证书 AWS IAM Identity Center (例如(IAM Identity Center)、单点登录身份验证或 Google/Facebook 证书,以联合身份登录。有关登录的更多信息,请参阅《AWS 登录 用户指南》**中的[如何登录您的 AWS 账户](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
对于编程访问, AWS 提供 SDK 和 CLI 来对请求进行加密签名。有关更多信息,请参阅*《IAM 用户指南》*中的[适用于 API 请求的AWS 签名版本 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
### AWS 账户 root 用户
创建时 AWS 账户,首先会有一个名为 AWS 账户 *root 用户的*登录身份,该身份可以完全访问所有资源 AWS 服务 和资源。我们强烈建议不要使用根用户进行日常任务。有关需要根用户凭证的任务,请参阅《IAM 用户指南》**中的[需要根用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### 联合身份
作为最佳实践,要求人类用户使用与身份提供商的联合身份验证才能 AWS 服务 使用临时证书进行访问。
*联合身份是指*来自您的企业目录、Web 身份提供商的用户 Directory Service ,或者 AWS 服务 使用来自身份源的凭据进行访问的用户。联合身份代入可提供临时凭证的角色。
要集中管理访问权限,建议使用。 AWS IAM Identity Center有关更多信息,请参阅《AWS IAM Identity Center 用户指南》**中的[什么是 IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。
### IAM 用户和群组
*[IAM 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*是对某个人员或应用程序具有特定权限的一个身份。建议使用临时凭证,而非具有长期凭证的 IAM 用户。有关更多信息,请参阅 *IAM 用户指南*[中的要求人类用户使用身份提供商的联合身份验证才能 AWS 使用临时证书进行访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)指定一组 IAM 用户,便于更轻松地对大量用户进行权限管理。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM 用户使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
### IAM 角色
*[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*是具有特定权限的身份,可提供临时凭证。您可以通过[从用户切换到 IAM 角色(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或调用 AWS CLI 或 AWS API 操作来代入角色。有关更多信息,请参阅《IAM 用户指南》**中的[担任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色对于联合用户访问、临时 IAM 用户权限、跨账户访问、跨服务访问以及在 Amazon EC2 上运行的应用程序非常有用。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 使用策略管理访问
您可以 AWS 通过创建策略并将其附加到 AWS 身份或资源来控制中的访问权限。策略定义了与身份或资源关联时的权限。 AWS 在委托人提出请求时评估这些政策。大多数策略都以 JSON 文档的 AWS 形式存储在中。有关 JSON 策略文档的更多信息,请参阅*《IAM 用户指南》*中的 [JSON 策略概述](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理员使用策略,通过定义哪个**主体**可以在什么**条件**下对哪些**资源**执行哪些**操作**来指定谁有权访问什么。
默认情况下,用户和角色没有权限。IAM 管理员创建 IAM 策略并将其添加到角色中,然后用户可以担任这些角色。IAM 策略定义权限,与执行操作所用的方法无关。
### 基于身份的策略
基于身份的策略是您附加到身份(用户、组或角色)的 JSON 权限策略文档。这些策略控制身份可以执行什么操作、对哪些资源执行以及在什么条件下执行。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
基于身份的策略可以是*内联策略*(直接嵌入到单个身份中)或*托管策略*(附加到多个身份的独立策略)。要了解如何在托管策略和内联策略之间进行选择,请参阅*《IAM 用户指南》*中的[在托管策略与内联策略之间进行选择](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。
### 基于资源的策略
基于资源的策略是附加到资源的 JSON 策略文档。示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
基于资源的策略是位于该服务中的内联策略。您不能在基于资源的策略中使用 IAM 中的 AWS 托管策略。
### 其他策略类型
AWS 支持其他策略类型,这些策略类型可以设置更常见的策略类型授予的最大权限:
+ **权限边界** – 设置基于身份的策略可以授予 IAM 实体的最大权限。有关更多信息,请参阅《 IAM 用户指南》**中的 [IAM 实体的权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服务控制策略 (SCPs)**-在中指定组织或组织单位的最大权限 AWS Organizations。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **资源控制策略 (RCPs)**-设置账户中资源的最大可用权限。有关更多信息,请参阅《*AWS Organizations 用户指南》*中的[资源控制策略 (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **会话策略** – 在为角色或联合用户创建临时会话时,作为参数传递的高级策略。有关更多信息,请参阅《IAM 用户指南》**中的[会话策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多个策略类型
当多个类型的策略应用于一个请求时,生成的权限更加复杂和难以理解。要了解在涉及多种策略类型时如何 AWS 确定是否允许请求,请参阅 *IAM 用户指南*中的[策略评估逻辑](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# AWS 账单如何与 IAM 配合使用
账单与 AWS Identity and Access Management (IAM) 服务集成,因此您可以控制组织中谁有权访问[账单控制台](https://console.aws.amazon.com/cost-management/home)上的特定页面。您可控制对发票和有关费用以及账户活动、预算、付款方式和抵扣有关的详细信息的访问。
有关如何激活对账单和成本管理控制台的访问权限的说明,请参阅 *IAM 用户指南*中的[教程:委托对账单控制台的访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html)。
在使用 IAM 管理对账单的访问之前,了解哪些 IAM 功能可与账单结合使用。
**您可以在 AWS 账单中使用的 IAM 功能**
| IAM 功能 | 账单支持 |
| --- | --- |
| [基于身份的策略](#security_iam_service-with-iam-id-based-policies) | 是 |
| [基于资源的策略](#security_iam_service-with-iam-resource-based-policies) | 否 |
| [策略操作](#security_iam_service-with-iam-id-based-policies-actions) | 是 |
| [策略资源](#security_iam_service-with-iam-id-based-policies-resources) | 部分 |
| [策略条件键](#security_iam_service-with-iam-id-based-policies-conditionkeys) | 是 |
| [ACLs](#security_iam_service-with-iam-acls) | 否 |
| [ABAC(策略中的标签)](#security_iam_service-with-iam-tags) | 部分 |
| [临时凭证](#security_iam_service-with-iam-roles-tempcreds) | 是 |
| [转发访问会话(FAS)](#security_iam_service-with-iam-principal-permissions) | 是 |
| [服务角色](#security_iam_service-with-iam-roles-service) | 是 |
| [服务关联角色](#security_iam_service-with-iam-roles-service-linked) | 否 |
要全面了解账单和其他 AWS 服务如何与大多数 IAM 功能配合使用,请参阅 IAM *用户指南中的与 IAM* [配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## 适用于账单的基于身份的策略
**支持基于身份的策略:**是
基于身份的策略是可附加到身份(如 IAM 用户、用户组或角色)的 JSON 权限策略文档。这些策略控制用户和角色可在何种条件下对哪些资源执行哪些操作。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。要了解可在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素引用](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 适用于账单的基于身份的策略示例
要查看账单基于身份的策略示例,请参阅[带有计费功能的基于身份的政策 AWS](security_iam_id-based-policy-examples.md)。
## 账单内基于资源的策略
**支持基于资源的策略:**否
基于资源的策略是附加到资源的 JSON 策略文档。基于资源的策略的示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。对于在其中附加策略的资源,策略定义指定主体可以对该资源执行哪些操作以及在什么条件下执行。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。委托人可以包括账户、用户、角色、联合用户或 AWS 服务。
要启用跨账户访问,您可以将整个账户或其他账户中的 IAM 实体指定为基于资源的策略中的主体。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 账单的策略操作
**支持策略操作:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
要查看账单操作列表,请参阅《*服务授权参考*》中的 “[AWS 账单” 定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html)。
账单中的策略操作在操作前使用以下前缀:
```
billing
```
要在单个语句中指定多项操作,请使用逗号将它们隔开。
```
"Action": [
"billing:action1",
"billing:action2"
]
```
要查看账单基于身份的策略示例,请参阅[带有计费功能的基于身份的政策 AWS](security_iam_id-based-policy-examples.md)。
## 账单的策略资源
**支持策略资源:**部分
仅监控、订阅和成本类别支持策略资源。
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。
```
"Resource": "*"
```
要查看 Cost Explorer 资源类型列表,请参阅《 AWS *服务授权参考*》中的 Cos [t Explorer 的操作、资源和条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostexplorerservice.html)。 AWS
要查看账单基于身份的策略示例,请参阅[带有计费功能的基于身份的政策 AWS](security_iam_id-based-policy-examples.md)。
## 账单的条件键
**支持特定于服务的策略条件键:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
要查看账单条件密钥、操作和资源的列表,请参阅*服务授权参考*中的[AWS 计费条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html)。
要查看账单基于身份的策略示例,请参阅[带有计费功能的基于身份的政策 AWS](security_iam_id-based-policy-examples.md)。
## 账单中的访问控制列表 (ACLs)
**支持 ACLs:**否
访问控制列表 (ACLs) 控制哪些委托人(账户成员、用户或角色)有权访问资源。 ACLs 与基于资源的策略类似,尽管它们不使用 JSON 策略文档格式。
## 用于账单的、基于属性的访问权限控制(ABAC)
**支持 ABAC(策略中的标签):**部分支持
仅监控、订阅和成本类别支持基于属性的访问控制(策略中的标签)。
基于属性的访问权限控制(ABAC)是一种授权策略,该策略基于称为标签的属性来定义权限。您可以将标签附加到 IAM 实体和 AWS 资源,然后设计 ABAC 策略以允许在委托人的标签与资源上的标签匹配时进行操作。
要基于标签控制访问,您需要使用 `aws:ResourceTag/key-name``aws:RequestTag/key-name` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。
如果某个服务对于每种资源类型都支持所有这三个条件键,则对于该服务,该值为**是**。如果某个服务仅对于部分资源类型支持所有这三个条件键,则该值为**部分**。
有关 ABAC 的更多信息,请参阅《IAM 用户指南》**中的[使用 ABAC 授权定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。要查看设置 ABAC 步骤的教程,请参阅《IAM 用户指南》**中的[使用基于属性的访问权限控制(ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。
## 对账单使用临时凭证
**支持临时凭证:**是
临时证书提供对 AWS 资源的短期访问权限,并且是在您使用联合身份或切换角色时自动创建的。 AWS 建议您动态生成临时证书,而不是使用长期访问密钥。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)和[使用 IAM 的。AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)
## 账单的转发访问会话
**支持转发访问会话(FAS):**是
转发访问会话 (FAS) 使用调用主体的权限 AWS 服务,再加上 AWS 服务 向下游服务发出请求的请求。有关发出 FAS 请求时的策略详情,请参阅[转发访问会话](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。
## 账单的服务角色
**支持服务角色:**是
服务角色是由一项服务担任、代表您执行操作的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。IAM 管理员可以在 IAM 中创建、修改和删除服务角色。有关更多信息,请参阅《IAM 用户指南》**中的[创建向 AWS 服务委派权限的角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
**警告**
更改服务角色的权限可能会破坏账单功能。仅当账单提供相关指导时才编辑服务角色。
## 账单的服务相关角色
**支持服务相关角色:**否
服务相关角色是一种与服务相关联的 AWS 服务服务角色。服务可以代入代表您执行操作的角色。服务相关角色出现在您的中 AWS 账户 ,并且归服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。
有关创建或管理服务相关角色的详细信息,请参阅[能够与 IAM 搭配使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。在表中查找**服务相关角色**列中包含 `Yes` 的表。选择**是**链接以查看该服务的服务相关角色文档。
# 带有计费功能的基于身份的政策 AWS
默认情况下,用户和角色没有创建或修改账单资源的权限。要授予用户对所需资源执行操作的权限,IAM 管理员可以创建 IAM 策略。
要了解如何使用这些示例 JSON 策略文档创建基于 IAM 身份的策略,请参阅《IAM 用户指南》**中的[创建 IAM 策略(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
有关 Billing 定义的操作和资源类型(包括每种资源类型的格式)的详细信息,请参阅《*服务授权参考*》中的 “[AWS 账单操作、资源和条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html)”。 ARNs
**Contents**
+ [策略最佳实践](#security_iam_service-with-iam-policy-best-practices)
+ [使用账单控制台](#security_iam_id-based-policy-examples-console)
+ [允许用户查看他们自己的权限](#security_iam_id-based-policy-examples-view-own-permissions)
+ [使用适用于账单的基于身份的策略](#billing-permissions-ref)
+ [AWS 账单控制台操作](#user-permissions)
## 策略最佳实践
基于身份的策略确定某人是否可以创建、访问或删除您账户中的账单资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
+ **开始使用 AWS 托管策略并转向最低权限权限** — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的*AWS 托管策略*。它们在你的版本中可用 AWS 账户。我们建议您通过定义针对您的用例的 AWS 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[工作职能的AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **应用最低权限**:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 策略中的条件进一步限制访问权限**:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果服务操作是通过特定的方式使用的,则也可以使用条件来授予对服务操作的访问权限 AWS 服务,例如 CloudFormation。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性**:IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》**中的[使用 IAM Access Analyzer 验证策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重身份验证 (MFA**)-如果 AWS 账户您的场景需要 IAM 用户或根用户,请启用 MFA 以提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》**中的[使用 MFA 保护 API 访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 使用账单控制台
要访问 AWS 账单控制台,您必须拥有一组最低权限。这些权限必须允许您在中列出和查看有关账单资源的详细信息 AWS 账户。如果创建比必需的最低权限更为严格的基于身份的策略,对于附加了该策略的实体(用户或角色),控制台将无法按预期正常运行。
对于仅调用 AWS CLI 或 AWS API 的用户,您无需为其设置最低控制台权限。相反,只允许访问与其尝试执行的 API 操作相匹配的操作。
您可以在该[AWS 托管策略](managed-policies.md)部分中找到访问权限的详细信息,例如启用 AWS 账单控制台所需的权限、管理员访问权限和只读访问权限。
## 允许用户查看他们自己的权限
该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上或使用 AWS CLI 或 AWS API 以编程方式完成此操作的权限。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 使用适用于账单的基于身份的策略
**注意**
以下 AWS Identity and Access Management (IAM) 操作已于 2023 年 7 月结束标准支持:
`aws-portal` 命名空间
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您正在使用 AWS Organizations,则可以使用[批量策略迁移器脚本](migrate-iam-permissions.md)或批量策略迁移器从您的付款人账户更新政策。您还可以使用[旧到精细操作映射参考](migrate-granularaccess-iam-mapping-reference.md)来验证需要添加的 IAM 操作。
如果您在 2023 年 3 月 6 日上午 11:00(太平洋夏令时)当天或之后 AWS Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 AWS 账户
**重要**
除了 IAM policy 之外,您还必须在[账户设置](https://console.aws.amazon.com/billing/home#/account)控制台页面上授予 IAM 对账单与成本管理控制台的访问权限。
有关更多信息,请参阅以下主题:
[激活对 Billing and Cost Management 控制台的访问权限](control-access-billing.md#ControllingAccessWebsite-Activate)
*IAM 用户指南*中的 [IAM 教程:授予对账单控制台的访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html)
使用本部分可了解基于身份的策略账户管理员如何将权限策略附加到 IAM 身份(角色和组),从而授予对账单资源执行操作的权限。
有关 AWS 账户 和用户的更多信息,请参阅[什么是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_Introduction.html) 在 *IAM 用户指南*中。
有关如何能更新客户管理型策略的说明,请参阅 *IAM 用户指南*中的[编辑客户管理型策略(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console)。
### AWS 账单控制台操作
此表总结了授予访问您的账单信息和工具的权限。有关使用这些权限的策略示例,请参阅[AWS 账单政策示例](billing-example-policies.md)。
有关 AWS 成本管理控制台的操作策略列表,请参阅《[AWS 成本管理*用户指南》中的AWS 成本管理*操作策略](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#user-permissions)。
| 权限名称 | 说明 |
| --- | --- |
| aws-portal:ViewBilling | 授予查看账单和成本管理控制台页面的权限。 |
| aws-portal:ModifyBilling | 授予修改以下账单和成本管理控制台页面的权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/security_iam_id-based-policy-examples.html) 要允许 IAM 用户修改这些控制台页面,您必须同时允许 `ModifyBilling` 和 `ViewBilling`。有关策略示例,请参阅 [允许 IAM 用户修改账单信息](billing-example-policies.md#example-billing-deny-modifybilling)。 |
| aws-portal:ViewAccount | 授予查看[账户设置](https://console.aws.amazon.com/billing/home#/account)的权限。 |
| aws-portal:ModifyAccount | 授予修改[账户设置](https://console.aws.amazon.com/billing/home#/account)的权限。 要允许 IAM 用户修改账户设置,您必须同时允许 `ModifyAccount` 和 `ViewAccount`。 有关显式拒绝 IAM 用户访问 **Account Settings(账户设置)**控制台页面的策略的示例,请参阅 [拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息](billing-example-policies.md#example-billing-deny-modifyaccount)。 |
| aws-portal:ViewPaymentMethods | 授予查看[付款方式](https://console.aws.amazon.com/billing/home#/paymentmethods)的权限。 |
| aws-portal:ModifyPaymentMethods | 授予修改[付款方式](https://console.aws.amazon.com/billing/home#/paymentmethods)的权限。 要允许用户修改付款方式,您必须同时允许 `ModifyPaymentMethods` 和 `ViewPaymentMethods`。 |
| billing:ListBillingViews | 授予获取可用账单视图列表的权限。这包括自定义账单视图和与预估账单组相对应的账单视图。 有关自定义账单视图的更多信息,请参阅[使用账单视图控制成本管理数据的访问权限](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-view.html)。 有关查看账单组详细信息的更多信息,请参阅 *AWS Billing Conductor 用户指南*中的[查看您的账单组详细信息](https://docs.aws.amazon.com/billingconductor/latest/userguide/viewing-abc.html)。 |
| billing:CreateBillingView | 授予创建自定义账单视图的权限。 有关策略示例,请参阅[允许用户创建、管理和共享自定义账单视图](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view)。 |
| billing:UpdateBillingView | 授予更新自定义账单视图的权限。 有关策略示例,请参阅[允许用户创建、管理和共享自定义账单视图](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view)。 |
| billing:DeleteBillingView | 授予删除自定义账单视图的权限。 有关策略示例,请参阅[允许用户创建、管理和共享自定义账单视图](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view)。 |
| billing:GetBillingView | 授予获取账单视图定义的权限。 有关策略示例,请参阅[允许用户创建、管理和共享自定义账单视图](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view)。 |
| sustainability:GetCarbonFootprintSummary | 授予查看 AWS 客户碳足迹工具和数据的权限。可从 Billing and Cost Management 控制台的 “ AWS 成本和使用情况报告” 页面进行访问。 有关策略的示例,请参阅[允许 IAM 用户查看您的账单信息和碳足迹报告](billing-example-policies.md#example-ccft-policy)。 |
| cur:DescribeReportDefinitions | 授予查看 AWS 成本和使用情况报告的权限。 AWS 成本和使用情况报告权限适用于使用成本和使用情况报告[服务 API 和 Bill AWS ing and Cost Management 控制台创建的所有报告](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html)。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。 有关策略的示例,请参阅[允许 IAM 用户访问报告控制台页面](billing-example-policies.md#example-billing-view-reports)。 |
| cur:PutReportDefinition | 授予创建 AWS 成本和使用情况报告的权限。 AWS 成本和使用情况报告权限适用于使用成本和使用情况报告[服务 API 和 Bill AWS ing and Cost Management 控制台创建的所有报告](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html)。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。 有关策略的示例,请参阅[允许 IAM 用户访问报告控制台页面](billing-example-policies.md#example-billing-view-reports)。 |
| cur:DeleteReportDefinition | 授予删除 AWS 成本和使用情况报告的权限。 AWS 成本和使用情况报告权限适用于使用成本和使用情况报告[服务 API 和 Bill AWS ing and Cost Management 控制台创建的所有报告](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html)。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。 有关策略的示例,请参阅[创建、查看、编辑或删除 AWS 成本和使用情况报告](billing-example-policies.md#example-policy-report-definition)。 |
| cur:ModifyReportDefinition | 授予修改 AWS 成本和使用情况报告的权限。 AWS 成本和使用情况报告权限适用于使用成本和使用情况报告[服务 API 和 Bill AWS ing and Cost Management 控制台创建的所有报告](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html)。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。 有关策略的示例,请参阅[创建、查看、编辑或删除 AWS 成本和使用情况报告](billing-example-policies.md#example-policy-report-definition)。 |
| ce:CreateCostCategoryDefinition | 授予创建成本类别的权限。 有关策略示例,请参阅 [查看和管理成本类别](billing-example-policies.md#example-policy-cc-api)。 |
| ce:DeleteCostCategoryDefinition | 授予删除成本类别的权限。 有关策略示例,请参阅 [查看和管理成本类别](billing-example-policies.md#example-policy-cc-api)。 |
| ce:DescribeCostCategoryDefinition | 授予查看成本类别的权限。 有关策略示例,请参阅 [查看和管理成本类别](billing-example-policies.md#example-policy-cc-api)。 |
| ce:ListCostCategoryDefinitions | 授予列出成本类别的权限。 有关策略示例,请参阅 [查看和管理成本类别](billing-example-policies.md#example-policy-cc-api)。 |
| ce:UpdateCostCategoryDefinition | 授予更新成本类别的权限。 有关策略示例,请参阅 [查看和管理成本类别](billing-example-policies.md#example-policy-cc-api)。 |
| aws-portal:ViewUsage | 授予查看 AWS 使用情况[报告的](https://console.aws.amazon.com/billing/home#/reports)权限。 要允许 IAM 用户查看使用情况报告,您必须同时允许 `ViewUsage` 和 `ViewBilling`。 有关策略示例,请参阅 [允许 IAM 用户访问报告控制台页面](billing-example-policies.md#example-billing-view-reports)。 |
| payments:AcceptFinancingApplicationTerms | 允许 IAM 用户同意融资放款人提供的条款。用户需要提供银行账户详细信息进行还款,并签署放款人提供的法律文件。 |
| payments:CreateFinancingApplication | 允许 IAM 用户申请新的融资贷款,并参考所选的融资选项。 |
| payments:GetFinancingApplication | 允许 IAM 用户检索融资应用程序的详细信息。例如,状态、限额、条款和放款人信息。 |
| payments:GetFinancingLine | 允许 IAM 用户检索融资贷款的详细信息。例如,状态和余额。 |
| payments:GetFinancingLineWithdrawal | 允许 IAM 用户检索提款详细信息。例如,余额和还款。 |
| payments:GetFinancingOption | 允许 IAM 用户检索特定融资选项的详细信息。 |
| payments:ListFinancingApplications | 允许 IAM 用户检索所有放款人的所有融资申请的标识符。 |
| payments:ListFinancingLines | 允许 IAM 用户检索所有放款人的所有融资贷款的标识符。 |
| payments:ListFinancingLineWithdrawals | 允许 IAM 用户检索给定贷款的所有现有提款。 |
| payments:ListTagsForResource | 允许或拒绝 IAM 用户查看付款方式标签的权限。 |
| payments:TagResource | 允许或拒绝 IAM 用户为付款方式添加标签的权限。 |
| payments:UntagResource | 允许或拒绝 IAM 用户删除付款方式标签的权限。 |
| payments:UpdateFinancingApplication | 允许 IAM 用户更改融资申请并提交放款人要求的其他信息。 |
| payments:ListPaymentInstruments | 允许或拒绝 IAM 用户列出其注册的付款方式的权限。 |
| payments:UpdatePaymentInstrument | 允许或拒绝 IAM 用户更新其付款方式的权限。 |
| pricing:DescribeServices | 授予通过价目表 AWS 服务 API 查看服务产品和定 AWS 价的权限。 要允许 IAM 用户使用 AWS 价目表服务 API,您必须允许`DescribeServices``GetAttributeValues`、和`GetProducts`。 有关策略示例,请参阅 [查找产品和价格](billing-example-policies.md#example-policy-pe-api)。 |
| pricing:GetAttributeValues | 授予通过价目表 AWS 服务 API 查看服务产品和定 AWS 价的权限。 要允许 IAM 用户使用 AWS 价目表服务 API,您必须允许`DescribeServices``GetAttributeValues`、和`GetProducts`。 有关策略示例,请参阅 [查找产品和价格](billing-example-policies.md#example-policy-pe-api)。 |
| pricing:GetProducts | 授予通过价目表 AWS 服务 API 查看服务产品和定 AWS 价的权限。 要允许 IAM 用户使用 AWS 价目表服务 API,您必须允许`DescribeServices``GetAttributeValues`、和`GetProducts`。 有关策略示例,请参阅 [查找产品和价格](billing-example-policies.md#example-policy-pe-api)。 |
| purchase-orders:ViewPurchaseOrders | 授予查看[采购订单](manage-purchaseorders.md)的权限。 有关策略示例,请参阅 [查看和管理采购订单](billing-example-policies.md#example-view-manage-purchaseorders)。 |
| purchase-orders:ModifyPurchaseOrders | 授予修改[采购订单](manage-purchaseorders.md)的权限。 有关策略示例,请参阅 [查看和管理采购订单](billing-example-policies.md#example-view-manage-purchaseorders)。 |
| tax:GetExemptions | 授予以只读访问权限通过税务控制台查看免税和免税类型的权限。 有关策略示例,请参阅 [允许 IAM 用户查看美国免税和创建 支持 案例](billing-example-policies.md#example-awstaxexemption)。 |
| tax:UpdateExemptions | 授予将免税上传到美国免税控制台的权限。 有关策略示例,请参阅 [允许 IAM 用户查看美国免税和创建 支持 案例](billing-example-policies.md#example-awstaxexemption)。 |
| support:CreateCase | 授予提交支持案例的权限,这是从免税控制台上传免税所需的。 有关策略示例,请参阅 [允许 IAM 用户查看美国免税和创建 支持 案例](billing-example-policies.md#example-awstaxexemption)。 |
| support:AddAttachmentsToSet | 授予将文档附加到需要上传免税证明材料到免税控制台的支持案例的权限。 有关策略示例,请参阅 [允许 IAM 用户查看美国免税和创建 支持 案例](billing-example-policies.md#example-awstaxexemption)。 |
| customer-verification:GetCustomerVerificationEligibility | (仅适用于拥有印度账单或联系地址的客户) 授予检索客户验证资格的权限。 |
| customer-verification:GetCustomerVerificationDetails | (仅适用于拥有印度账单或联系地址的客户) 授予检索客户验证数据的权限。 |
| customer-verification:CreateCustomerVerificationDetails | (仅适用于拥有印度账单或联系地址的客户) 授予创建客户验证数据的权限。 |
| customer-verification:UpdateCustomerVerificationDetails | (仅适用于拥有印度账单或联系地址的客户) 授予更新客户验证数据的权限。 |
| mapcredit:ListAssociatedPrograms | 授予查看付款人账户的关联Migration Acceleration Program协议和控制面板的权限。 |
| mapcredit:ListQuarterSpend | 授予查看付款人账户的Migration Acceleration Program合格支出的权限。 |
| mapcredit:ListQuarterCredits | 授予查看付款人账户的Migration Acceleration Program信用情况的权限。 |
| invoicing:BatchGetInvoiceProfile | 授予查看发票配置文件以进行发 AWS 票配置的只读访问权限。 |
| invoicing:CreateInvoiceUnit | 授予为发票配置创建发 AWS 票单位的权限。 |
| invoicing:DeleteInvoiceUnit | 授予删除发票单位以进行发 AWS 票配置的权限。 |
| invoicing:GetInvoiceUnit | 授予查看发票单元以进行发 AWS 票配置的只读访问权限。 |
| invoicing:ListInvoiceUnits | 授予列出所有发票单位以进行 AWS 发票配置的权限。 |
| invoicing:ListTagsForResource | 允许或拒绝 IAM 用户查看发票单元标签以进行发 AWS 票配置的权限。 |
| invoicing:TagResource | 允许或拒绝 IAM 用户为发票单元添加标签以进行发 AWS 票配置的权限。 |
| invoicing:UntagResource | 允许或拒绝 IAM 用户从发票单元中删除标签以进行发 AWS 票配置的权限。 |
| invoicing:UpdateInvoiceUnit | 授予编辑权限以更新发票单位以进行 AWS 发票配置。 |
# AWS 账单政策示例
**注意**
以下 AWS Identity and Access Management (IAM) 操作已于 2023 年 7 月结束标准支持:
`aws-portal` 命名空间
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您正在使用 AWS Organizations,则可以使用[批量策略迁移器脚本](migrate-iam-permissions.md)或批量策略迁移器从您的付款人账户更新政策。您还可以使用[旧到精细操作映射参考](migrate-granularaccess-iam-mapping-reference.md)来验证需要添加的 IAM 操作。
如果您在 2023 年 3 月 6 日上午 11:00(太平洋夏令时)当天或之后 AWS Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 AWS 账户
**重要**
这些策略要求您在 [Account Settings(账户设置)](https://console.aws.amazon.com/billing/home#/account)控制台页面上激活 IAM 用户对 Billing and Cost Management 控制台的访问权限。有关更多信息,请参阅 [激活对 Billing and Cost Management 控制台的访问权限](control-access-billing.md#ControllingAccessWebsite-Activate)。
要使用 AWS 托管策略,请参阅[AWS 托管策略](managed-policies.md)。
本主题包含几个示例策略,您可以将它们附加到您的 IAM 用户或组以控制对您的账户的账单信息和工具的访问权限。以下基本规则适用于 Billing and Cost Management 的 IAM policy:
+ `Version` 始终为 `2012-10-17 `。
+ `Effect` 始终为 `Allow` 或 `Deny`。
+ `Action` 是操作的名称或通配符(`*`)。
操作前缀`budgets`用于 AWS 预算、`cur` AWS 成本和使用情况报告、`aws-portal` AWS 账单或 `ce` Cost Explorer。
+ `Resource`始终`*`用于 AWS 计费。
对于在 `budget` 资源上执行的操作,请指定预算 Amazon Resource Name (ARN)。
+ 一个策略中可能包含多个语句。
有关 AWS 成本管理控制台的操作策略列表,请参阅[AWS 成本管理*用户指南中的AWS 成本管理*策略示例](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html)。
**Topics**
+ [允许 IAM 用户查看您的账单信息](#example-billing-view-billing-only)
+ [允许 IAM 用户查看您的账单信息和碳足迹报告](#example-ccft-policy)
+ [允许 IAM 用户访问报告控制台页面](#example-billing-view-reports)
+ [拒绝 IAM 用户对 Billing 和 Cost Management 控制台的访问权限](#example-billing-deny-all)
+ [拒绝成员账户访问 AWS 控制台费用和使用情况小工具](#example-billing-deny-widget)
+ [拒绝特定 IAM 用户和角色访问 AWS 控制台成本和使用情况小工具](#example-billing-deny-ce)
+ [允许 IAM 用户查看您的账单信息,但拒绝用户访问碳足迹报告](#example-ccft-policy-deny)
+ [允许 IAM 用户访问访问碳足迹报告,但拒绝用户访问账单信息](#example-ccft-policy-allow)
+ [允许完全访问 AWS 服务,但拒绝 IAM 用户访问账单和成本管理控制台](#ExampleAllowAllDenyBilling)
+ [允许 IAM 用户查看 Billing 和 Cost Management 控制台(账户设置除外)](#example-billing-read-only)
+ [允许 IAM 用户修改账单信息](#example-billing-deny-modifybilling)
+ [拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息](#example-billing-deny-modifyaccount)
+ [将报告存入 Amazon S3 存储桶](#example-billing-s3-bucket)
+ [查找产品和价格](#example-policy-pe-api)
+ [查看成本和使用情况](#example-policy-ce-api)
+ [启用和禁用 AWS 区域](#enable-disable-regions)
+ [查看和管理成本类别](#example-policy-cc-api)
+ [创建、查看、编辑或删除 AWS 成本和使用情况报告](#example-policy-report-definition)
+ [查看和管理采购订单](#example-view-manage-purchaseorders)
+ [查看和更新 Cost Explorer 首选项页面](#example-view-update-ce)
+ [使用 Cost Explorer 报告页面查看、创建、更新和删除](#example-view-ce-reports)
+ [查看、创建、更新和删除预留和 Savings Plans 提醒](#example-view-ce-expiration)
+ [允许对 “ AWS 成本异常检测” 进行只读访问](#example-policy-ce-ad)
+ [允许 AWS 预算应用 IAM 政策和 SCPs](#example-budgets-IAM-SCP)
+ [允许 AWS 预算应用 IAM 策略和 SCP 并以 EC2 和 RDS 实例为目标](#example-budgets-applySCP)
+ [允许 IAM 用户查看美国免税和创建 支持 案例](#example-awstaxexemption)
+ [(适用于账单或联系地址在印度的客户)允许对客户验证信息进行只读访问](#example-aispl-verification)
+ [(适用于账单或联系地址在印度的客户)查看、创建和更新客户验证信息](#example-aispl-verification-view)
+ [在账单控制台中查看AWS Migration Acceleration Program信息](#read-only-migration-acceleration-program-policy)
+ [允许访问账单控制台中的 AWS 发票配置](#invoice-config-policy)
## 允许 IAM 用户查看您的账单信息
要允许某个 IAM 用户查看您的账单信息而不向该 IAM 用户提供对敏感账户信息的访问权限,请使用类似于以下示例策略的策略。此类策略会阻止用户访问您的密码和账户活动报告。此策略允许 IAM 用户查看以下 Billing and Cost Management 控制台页面,而不会向他们提供对 **Account Settings(账户设置)**或 **Reports(报告)**控制台页面的访问权限:
+ **控制面板**
+ **Cost Explorer**
+ **账单**
+ **订单和发票**
+ **整合账单**
+ **Preferences**
+ **Credits**
+ **Advance Payment**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
}
]
}
```
------
## 允许 IAM 用户查看您的账单信息和碳足迹报告
要允许某个 IAM 用户查看账单信息和碳足迹报告,请使用与以下示例类似的策略。此策略会阻止用户访问您的密码和账户活动报告。此策略允许 IAM 用户查看以下 Billing and Cost Management 控制台页面,而不会向他们提供对 **Account Settings(账户设置)**或 **Reports(报告)**控制台页面的访问权限:
+ **控制面板**
+ **Cost Explorer**
+ **账单**
+ **订单和发票**
+ **整合账单**
+ **Preferences**
+ **Credits**
+ **Advance Payment**
+ **“ AWS 成本和使用情况报告” 页面的 “ AWS 客户碳足迹工具” 部分**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Allow",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## 允许 IAM 用户访问报告控制台页面
要允许 IAM 用户访问 **Reports(报告)**控制台页面和查看包含账户活动信息的使用情况报告,请使用类似于此示例策略的策略。
有关各操作的定义,请参阅[AWS 账单控制台操作](security_iam_id-based-policy-examples.md#user-permissions)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewUsage",
"aws-portal:ViewBilling",
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*"
}
]
}
```
------
## 拒绝 IAM 用户对 Billing 和 Cost Management 控制台的访问权限
要显式拒绝 IAM 用户访问所有 Billing and Cost Management 控制台页面,请使用类似于此示例策略的策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "aws-portal:*",
"Resource": "*"
}
]
}
```
------
## 拒绝成员账户访问 AWS 控制台费用和使用情况小工具
要限制成员(关联)账户访问成本和使用数据,请使用管理(付款人)账户访问 Cost Explorer 首选项选项卡,然后取消选中 **Linked Account Access**(关联账户访问)。无论成员账户的 IAM 用户或角色执行的 IAM 操作如何,这都将拒绝从 Cost Explorer(AWS 成本管理) AWS 控制台、Cost Explorer API 和控制台主页的成本和使用量小部件访问成本和使用情况数据。
## 拒绝特定 IAM 用户和角色访问 AWS 控制台成本和使用情况小工具
要拒绝特定 IAM 用户和角色访问 AWS 控制台成本和使用情况小组件,请使用以下权限策略。
**注意**
向 IAM 用户或角色添加此策略也会拒绝用户访问 Cost Explorer(AWS 成本管理)控制台和 Cost Explorer APIs 。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ce:*",
"Resource": "*"
}
]
}
```
------
## 允许 IAM 用户查看您的账单信息,但拒绝用户访问碳足迹报告
允许 IAM 用户在 Billing and Cost Management 控制台中同时查看账单信息,但不允许访问 AWS 客户碳足迹工具。此工具位于 “ AWS 成本和使用情况报告” 页面。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Deny",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## 允许 IAM 用户访问访问碳足迹报告,但拒绝用户访问账单信息
允许 IAM 用户访问 AWS 成本和使用情况报告页面中的 AWS 客户碳足迹工具,但拒绝访问账单和 Cost Management 控制台中的账单信息。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Deny",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Allow",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## 允许完全访问 AWS 服务,但拒绝 IAM 用户访问账单和成本管理控制台
要拒绝 IAM 用户访问 Billing and Cost Management 控制台上的所有内容,请使用以下策略。拒绝用户访问 AWS Identity and Access Management (IAM),以防止访问控制账单信息和工具访问权限的策略。
**重要**
该策略不允许进行任何操作。可将此策略与允许特定操作的其他策略结合使用。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aws-portal:*",
"iam:*"
],
"Resource": "*"
}
]
}
```
------
## 允许 IAM 用户查看 Billing 和 Cost Management 控制台(账户设置除外)
此策略允许对所有 Billing and Cost Management 控制台进行只读访问。这包括 **Payments Method(付款方式)**和 **Reports(报告)**控制台页面。但是,此策略将拒绝对 **Account Settings(账户设置)**页面的访问。这意味着它可会保护账户密码、联系信息和安全问题。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:View*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## 允许 IAM 用户修改账单信息
要允许 IAM 用户在 Billing and Cost Management 控制台中修改账户账单信息,请允许 IAM 用户查看您的账单信息。以下策略示例允许 IAM 用户修改 **Consolidated Billing(整合账单)**、**Preferences(首选项)**和 **Credits(服务抵扣金额)**控制台页面。它还允许 IAM 用户查看以下 Billing and Cost Management 控制台页面:
+ **控制面板**
+ **Cost Explorer**
+ **账单**
+ **订单和发票**
+ **Advance Payment**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:*Billing",
"Resource": "*"
}
]
}
```
------
## 拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息
要保护您的账户密码、联系信息和安全问题,您可以拒绝 IAM 用户访问 **Account Settings(账户设置)**,同时仍允许完全访问 Billing and Cost Management 控制台中的其余功能。以下是示例策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:*Billing",
"aws-portal:*Usage",
"aws-portal:*PaymentMethods"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## 将报告存入 Amazon S3 存储桶
如果您同时拥有该 AWS 账户和 Amazon S3 存储桶,则以下政策允许 AWS 账单和成本管理部门将您的详细账单保存到 Amazon S3 存储桶中。此策略必须应用于 Amazon S3 存储桶而不是 IAM 用户。这是因为,它是一种基于资源的策略,而不是基于用户的策略。我们建议您拒绝 IAM 用户访问无需访问您的账单的 IAM 用户的存储桶。
将 *amzn-s3-demo-bucket1* 替换为您的存储桶的名称。
有关更多信息,请参阅 *Amazon Simple Storage Service 用户指南*中的[使用存储桶策略和用户策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-iam-policies.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": [
"s3:GetBucketAcl",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1"
},
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"
}
]
}
```
------
## 查找产品和价格
要允许 IAM 用户使用 AWS 价目表服务 API,请使用以下策略向他们授予访问权限。
此政策授予使用批量 AWS 价目表 API 价 AWS 目表查询 API 的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts",
"pricing:GetPriceListFileUrl",
"pricing:ListPriceLists"
],
"Resource": [
"*"
]
}
]
}
```
------
## 查看成本和使用情况
要允许 IAM 用户使用 Cost AWS Explorer API,请使用以下策略向他们授予访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ce:*"
],
"Resource": [
"*"
]
}
]
}
```
------
## 启用和禁用 AWS 区域
有关允许用户启用和禁用区域的 IAM 策略示例,请参阅 *IAM 用户指南*中的 [AWS:允许启用和禁用 AWS 区域](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws-enable-disable-regions.html)。
## 查看和管理成本类别
要允许 IAM 用户使用、查看和管理成本类别,请使用以下策略授予他们访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:GetCostAndUsage",
"ce:DescribeCostCategoryDefinition",
"ce:UpdateCostCategoryDefinition",
"ce:CreateCostCategoryDefinition",
"ce:DeleteCostCategoryDefinition",
"ce:ListCostCategoryDefinitions",
"ce:TagResource",
"ce:UntagResource",
"ce:ListTagsForResource",
"pricing:DescribeServices"
],
"Resource": "*"
}
]
}
```
------
## 创建、查看、编辑或删除 AWS 成本和使用情况报告
此策略允许 IAM 用户使用 API 创建、查看、编辑或删除 `sample-report`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageSampleReport",
"Effect": "Allow",
"Action": [
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "arn:aws:cur:*:123456789012:definition/sample-report"
},
{
"Sid": "DescribeReportDefs",
"Effect": "Allow",
"Action": "cur:DescribeReportDefinitions",
"Resource": "*"
}
]
}
```
------
## 查看和管理采购订单
此策略允许 IAM 用户使用以下策略授予访问权限以查看和管理采购订单。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"purchase-orders:*"
],
"Resource": "*"
}
]
}
```
------
## 查看和更新 Cost Explorer 首选项页面
此策略允许 IAM 用户使用 **Cost Explorer 首选项页面**查看和更新。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
以下策略允许 IAM 用户查看 Cost Explorer,但拒绝查看或编辑 **Preferences(首选项)**页面的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:GetPreferences",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
以下策略允许 IAM 用户查看 Cost Explorer,但拒绝编辑 **Preferences(首选项)**页面的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
## 使用 Cost Explorer 报告页面查看、创建、更新和删除
此策略允许 IAM 用户使用 **Cost Explorer 报告页面**查看、创建、更新和删除。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
以下策略允许 IAM 用户查看 Cost Explorer,但拒绝查看或编辑 **Reports(报告)**页面的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeReport",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
以下策略允许 IAM 用户查看 Cost Explorer,但拒绝编辑 **Reports(报告)**页面的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
## 查看、创建、更新和删除预留和 Savings Plans 提醒
此策略允许 IAM 用户查看、创建、更新和删除[预留到期提醒](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ce-ris.html)和 [Savings Plans 提醒](https://docs.aws.amazon.com/savingsplans/latest/userguide/sp-overview.html#sp-alert)。要编辑预留到期提醒或 Savings Plans 提醒,用户需要所有三个粒度的操作:`ce:CreateNotificationSubscription`、`ce:UpdateNotificationSubscription` 和 `ce:DeleteNotificationSubscription`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
以下策略允许 IAM 用户查看 Cost Explorer,但拒绝查看或编辑**预留到期提醒**和 **Savings Plans 提醒**页面的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeNotificationSubscription",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
以下策略允许 IAM 用户查看 Cost Explorer,但拒绝编辑**预留到期提醒**和 **Savings Plans 提醒**页面的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
## 允许对 “ AWS 成本异常检测” 进行只读访问
要允许 IAM 用户以只读方式访问 AWS 成本异常检测,请使用以下策略向他们授予访问权限。 `ce:ProvideAnomalyFeedback`作为只读访问权限的一部分,是可选的。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ce:Get*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## 允许 AWS 预算应用 IAM 政策和 SCPs
此策略允许 AWS Budgets 代表用户应用 IAM 策略和服务控制策略 (SCPs)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": "*"
}
]
}
```
------
## 允许 AWS 预算应用 IAM 策略和 SCP 并以 EC2 和 RDS 实例为目标
该政策允许 AWS 预算部门应用 IAM 策略和服务控制策略 (SCP),并代表用户将 Amazon EC2 和 Amazon RDS 实例作为目标。
信任策略
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "budgets.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
权限策略
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceStatus",
"ec2:StartInstances",
"ec2:StopInstances",
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"rds:DescribeDBInstances",
"rds:StartDBInstance",
"rds:StopDBInstance",
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
```
------
## 允许 IAM 用户查看美国免税和创建 支持 案例
此政策允许 IAM 用户在免税控制台中查看美国免税和创建上传免税证书的 支持 案例。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:*",
"tax:GetExemptions",
"tax:UpdateExemptions",
"support:CreateCase",
"support:AddAttachmentsToSet"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
## (适用于账单或联系地址在印度的客户)允许对客户验证信息进行只读访问
此策略允许 IAM 用户对客户验证信息进行只读访问。
有关各操作的定义,请参阅[AWS 账单控制台操作](security_iam_id-based-policy-examples.md#user-permissions)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"customer-verification:GetCustomerVerificationEligibility",
"customer-verification:GetCustomerVerificationDetails"
],
"Resource": "*"
}]
}
```
------
## (适用于账单或联系地址在印度的客户)查看、创建和更新客户验证信息
此策略允许 IAM 用户对其客户验证信息进行管理。
有关各操作的定义,请参阅[AWS 账单控制台操作](security_iam_id-based-policy-examples.md#user-permissions)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"customer-verification:CreateCustomerVerificationDetails",
"customer-verification:UpdateCustomerVerificationDetails",
"customer-verification:GetCustomerVerificationEligibility",
"customer-verification:GetCustomerVerificationDetails"
],
"Resource": "*"
}]
}
```
------
## 在账单控制台中查看AWS Migration Acceleration Program信息
此策略允许 IAM 用户在账单控制台中查看付款人账户的Migration Acceleration Program协议、服务抵扣金和符合条件的支出。
有关各操作的定义,请参阅[AWS 账单控制台操作](security_iam_id-based-policy-examples.md#user-permissions)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"mapcredits:ListQuarterSpend",
"mapcredits:ListQuarterCredits",
"mapcredits:ListAssociatedPrograms"
],
"Resource": "*"
}]
}
```
------
## 允许访问账单控制台中的 AWS 发票配置
此策略允许 IAM 用户在账单控制台中访问 AWS 发票配置。
有关各操作的定义,请参阅[AWS 账单控制台操作](security_iam_id-based-policy-examples.md#user-permissions)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"invoicing:ListInvoiceUnits",
"invoicing:GetInvoiceUnit",
"invoicing:CreateInvoiceUnit",
"invoicing:UpdateInvoiceUnit",
"invoicing:DeleteInvoiceUnit",
"invoicing:BatchGetInvoiceProfile"
],
"Resource": [
"*"
]
}
]
}
```
------
# 正在迁移访问控制 AWS Billing
**注意**
以下 AWS Identity and Access Management (IAM) 操作已于 2023 年 7 月结束标准支持:
`aws-portal` 命名空间
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您正在使用 AWS Organizations,则可以使用[批量策略迁移器脚本](migrate-iam-permissions.md)或批量策略迁移器从您的付款人账户更新政策。您还可以使用[旧到精细操作映射参考](migrate-granularaccess-iam-mapping-reference.md)来验证需要添加的 IAM 操作。
如果您在 2023 年 3 月 6 日上午 11:00(太平洋夏令时)当天或之后 AWS Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 AWS 账户
您可以使用精细的访问控制来为组织中的个人提供对服务的访问权限。 AWS 账单与成本管理 例如,您可以提供对 Cost Explorer 成本管理服务的访问权限,但不提供对账单与成本管理控制台的访问权限。
要使用精细访问控制,您需要将策略从 `aws-portal` 门户迁移到新的 IAM 操作。
在此迁移中,您的权限策略或服务控制策略(SCP)中的以下 IAM 操作需要更新:
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
要了解如何使用 **受影响策略**工具来确定受影响的 IAM 策略,请参阅[如何使用受影响策略工具](migrate-security-iam-tool.md)。
**注意**
API 访问权限 AWS Cost Explorer、 AWS 成本和使用情况报告以及 AWS 预算不受影响。
[激活对 Billing and Cost Management 控制台的访问权限](control-access-billing.md#ControllingAccessWebsite-Activate) 保持不变。
**Topics**
+ [管理访问权限](#migrate-control-access-billing)
+ [使用控制台批量迁移您的策略](migrate-granularaccess-console.md)
+ [如何使用受影响策略工具](migrate-security-iam-tool.md)
+ [使用脚本批量迁移策略以使用 IAM 精细操作](migrate-iam-permissions.md)
+ [IAM 精细操作映射参考](migrate-granularaccess-iam-mapping-reference.md)
## 管理访问权限
AWS Billing 与 AWS Identity and Access Management (IAM) 服务集成,因此您可以控制组织中谁可以访问[账单和成本管理控制台](https://console.aws.amazon.com/billing/)上的特定页面。这包括付款、账单、服务抵扣金额、免费套餐、付款首选项、整合账单、税务设置和账户页面等功能。
使用以下 IAM 权限对账单与成本管理控制台进行精细控制。
要提供精细访问权限,请将 `aws-portal` 策略替换为 `account`、`billing`、`payments`、`freetier`、`invoicing`、`tax` 和 `consolidatedbilling`。
此外,将 `purchase-orders:ViewPurchaseOrders` 和 `purchase-orders:ModifyPurchaseOrders` 替换为 `purchase-orders`、`account` 和 `payments` 下的精细操作。
### 使用细粒度的操作 AWS Billing
此表总结了允许或拒绝 IAM 用户和角色访问您的账单信息的权限。有关使用这些权限的策略示例,请参阅[AWS 账单政策示例](billing-example-policies.md)。
有关 AWS Cost Management 控制台的操作列表,请参阅《*AWS Cost Management 用户指南》*中的[AWS Cost Management 操作策略](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#user-permissions)。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html)
# 使用控制台批量迁移您的策略
**注意**
以下 AWS Identity and Access Management (IAM) 操作已于 2023 年 7 月结束标准支持:
`aws-portal` 命名空间
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您正在使用 AWS Organizations,则可以使用[批量策略迁移器脚本](migrate-iam-permissions.md)或批量策略迁移器从您的付款人账户更新政策。您还可以使用[旧到精细操作映射参考](migrate-granularaccess-iam-mapping-reference.md)来验证需要添加的 IAM 操作。
如果您在 2023 年 3 月 6 日上午 11:00(太平洋夏令时)当天或之后 AWS Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 AWS 账户
本节介绍如何使用 [AWS 账单与成本管理 控制台](https://console.aws.amazon.com/billing/)将旧策略从组织账户或标准账户批量迁移到精细操作。您可以使用控制台通过两种方式完成旧策略的迁移:
**使用亚马逊云科技推荐的迁移流程**
这是一个简化的单一操作流程,您可以将旧版操作迁移到 AWS映射的精细操作。有关更多信息,请参阅 [使用建议的操作批量迁移旧版策略](migrate-console-streamlined.md)。
**使用自定义迁移流程**
此过程允许您在批量迁移 AWS 之前查看和更改建议的操作,以及自定义要迁移组织中的哪些帐户。有关更多信息,请参阅 [自定义批量迁移旧版策略的操作](migrate-console-customized.md)。
## 使用控制台进行批量迁移的先决条件
这两个迁移选项都需要您在控制台中征得您的同意,这样 AWS 才能为您分配的传统 IAM 操作推荐细粒度的操作。为此,您需要以 [IAM 委托](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)人身份登录您的 AWS 账户,并执行以下 IAM 操作才能继续更新政策。
------
#### [ Management account ]
```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced",
"aws-portal:UpdateConsoleActionSetEnforced",
"purchase-orders:UpdateConsoleActionSetEnforced",
"iam:GetAccountAuthorizationDetails",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:CreateFunction",
"lambda:InvokeFunction",
"lambda:RemovePermission",
"scheduler:GetSchedule",
"scheduler:DeleteSchedule",
"scheduler:CreateSchedule",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:CreateStackSet",
"cloudformation:CreateStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStackSets",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:ListStacks",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:CreateStack",
"cloudformation:UpdateStackInstances",
"cloudformation:UpdateStackSet",
"cloudformation:DescribeStacks",
"ec2:DescribeRegions",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"iam:GenerateOrganizationsAccessReport",
"iam:GetOrganizationsAccessReport",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"organizations:ListAccountsForParent",
"organizations:ListRoots",
"sts:AssumeRole",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:GetInlinePolicyForPermissionSet",
"sso:DescribePermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sso:ProvisionPermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```
------
#### [ Member account or standard account ]
```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced", // Not needed for member account
"aws-portal:UpdateConsoleActionSetEnforced", // Not needed for member account
"purchase-orders:UpdateConsoleActionSetEnforced", // Not needed for member account
"iam:GetAccountAuthorizationDetails",
"ec2:DescribeRegions",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```
------
**Topics**
+ [使用控制台进行批量迁移的先决条件](#migrate-granularaccess-console-prereq)
+ [使用建议的操作批量迁移旧版策略](migrate-console-streamlined.md)
+ [自定义批量迁移旧版策略的操作](migrate-console-customized.md)
+ [回滚您的批量迁移策略更改](migrate-console-rollback.md)
+ [确认您的迁移](#migrate-console-complete)
# 使用建议的操作批量迁移旧版策略
您可以使用 AWS映射的精细操作来迁移所有旧版策略。对于 AWS Organizations,这适用于所有账户的所有旧版政策。完成迁移过程后,精细操作就会生效。在提交整个组织之前,您可以选择使用测试账户测试批量迁移流程。有关更多信息,请参阅下文。
**使用映射的细粒度操作迁移所有策略 AWS**
1. 登录到 [AWS 管理控制台](https://console.aws.amazon.com/)。
1. 在页面顶部的搜索栏中,输入**Bulk Policy Migrator**。
1. 在**管理新的 IAM 操作**页面上,选择**确认并迁移**。
1. 在**正在迁移**页面上停留,直到迁移完成。查看状态栏了解进度。
1. **正在迁移**部分更新为**迁移成功**后,您将被重定向到**管理新的 IAM 操作**页面。
## 测试您的批量迁移
在承诺迁移整个组织之前,您可以使用测试帐号测试从旧策略到 AWS 建议的细粒度操作的批量迁移。完成测试账户的迁移过程后,精细操作将应用于您的测试账户。
**使用您的测试账户进行批量迁移**
1. 登录到 [AWS 管理控制台](https://console.aws.amazon.com/)。
1. 在页面顶部的搜索栏中,输入**Bulk Policy Migrator**。
1. 在**管理新的 IAM 操作**页面上,选择**自定义**。
1. 将账户和策略加载**到 Migrate acco** unts 表中后,从账户列表中选择一个或多个测试 AWS 账户。
1. (可选)要更改旧策略和 AWS 建议的精细操作之间的映射,请选择**查看默认**映射。更改映射,然后选择**保存**。
1. 选择**确认并迁移**。
1. 停留在控制台页面上,直到迁移完成。
# 自定义批量迁移旧版策略的操作
您可以通过各种方式自定义批量迁移,而不必对所有账户都使用 AWS 建议的操作。您可以选择在迁移前查看旧版策略所需的任何更改,选择组织中的特定账户进行一次性迁移,以及通过更新映射的精细操作来更改访问范围。
**在批量迁移之前查看受影响的策略**
1. 登录到 [AWS 管理控制台](https://console.aws.amazon.com/)。
1. 在页面顶部的搜索栏中,输入**Bulk Policy Migrator**。
1. 在**管理新的 IAM 操作**页面上,选择**自定义**。
1. 账户和策略加载到**迁移账户**表后,选择**受影响的 IAM 策略数量**列中的数字以查看受影响的策略。您还将看到上次使用该策略访问账单和成本管理控制台的时间。
1. 选择策略名称以在 IAM 控制台中将其打开,以查看定义并手动更新该策略。
**注意**
如果策略来自其他成员账户,这样做可能会使您退出当前账户。
如果您的当前账户正在进行批量迁移,则不会将您重定向到相应的 IAM 页面。
1. (可选)选择**查看默认映射**以查看旧版策略,了解 AWS映射的精细策略。
**从组织中迁移一组选定的账户**
1. 登录到 [AWS 管理控制台](https://console.aws.amazon.com/)。
1. 在页面顶部的搜索栏中,输入**Bulk Policy Migrator**。
1. 在**管理新的 IAM 操作**页面上,选择**自定义**。
1. 账户和策略加载到**迁移账户**表后,选择一个或多个要迁移的账户。
1. 选择**确认并迁移**。
1. 停留在控制台页面上,直到迁移完成。
**通过更新映射的精细操作来更改访问范围**
1. 登录到 [AWS 管理控制台](https://console.aws.amazon.com/)。
1. 在页面顶部的搜索栏中,输入**Bulk Policy Migrator**。
1. 在**管理新的 IAM 操作**页面上,选择**自定义**。
1. 选择**查看默认映射**。
1. 选择**编辑**。
1. 为您想要控制访问权限的账单和成本管理服务添加或删除 IAM 操作。有关精细操作及其控制的访问权限的更多信息,请参阅[IAM 精细操作映射参考](migrate-granularaccess-iam-mapping-reference.md)。
1. 选择**保存更改**。
更新后的映射将用于您登录的帐户的所有未来迁移。这可以随时更改。
# 回滚您的批量迁移策略更改
您可以使用批量迁移工具中提供的步骤,安全地回滚在批量迁移过程中进行的所有策略更改。回滚功能适用于账户级别。您可以回滚所有账户或特定已迁移账户组的策略更新。但是,您无法回滚账户中特定策略的更改。
**回滚批量迁移更改**
1. 登录到 [AWS 管理控制台](https://console.aws.amazon.com/)。
1. 在页面顶部的搜索栏中,输入**Bulk Policy Migrator**。
1. 在**管理新的 IAM 操作**页面上,选择**回滚更改**选项卡。
1. 选择要回滚的任何账户。账户必须在**回滚状态**列中显示为 `Migrated`。
1. 选择**回滚更改**按钮。
1. 停留在控制台页面上,直到回滚完成。
## 确认您的迁移
您可以使用迁移工具查看是否还有需要迁移的 AWS Organizations 账户。
**确认是否所有账户均已迁移**
1. 登录到 [AWS 管理控制台](https://console.aws.amazon.com/)。
1. 在页面顶部的搜索栏中,输入**Bulk Policy Migrator**。
1. 在**管理新的 IAM 操作**页面上,选择**迁移账户**选项卡。
如果表中未显示任何剩余账户,则所有账户均已成功迁移。
# 如何使用受影响策略工具
**注意**
以下 AWS Identity and Access Management (IAM) 操作已于 2023 年 7 月结束标准支持:
`aws-portal` 命名空间
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您正在使用 AWS Organizations,则可以使用[批量策略迁移器脚本](migrate-iam-permissions.md)或批量策略迁移器从您的付款人账户更新政策。您还可以使用[旧到精细操作映射参考](migrate-granularaccess-iam-mapping-reference.md)来验证需要添加的 IAM 操作。
如果您在 2023 年 3 月 6 日上午 11:00(太平洋夏令时)当天或之后 AWS Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 AWS 账户
您可以使用账单控制台中的**受影响策略**工具来识别 IAM 策略(不包括 SCPs),并参考受此迁移影响的 IAM 操作。使用**受影响的策略**工具执行以下任务:
+ 确定 IAM 策略并参考受此次迁移影响的 IAM 操作
+ 将更新后的策略复制到剪贴板
+ 在 IAM 策略编辑器中打开受影响的策略
+ 为您的账户保存更新后的策略
+ 开启精细权限并禁用旧操作
此工具在您登录的 AWS 账户范围内运行,并且不会披露有关其他 AWS Organizations 账户的信息。
**要使用受影响策略工具,请执行以下操作**
1. 登录 AWS 管理控制台 并打开 AWS 账单与成本管理 控制台,网址为[https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/)。
1. 将以下 URL 粘贴到浏览器中以访问 **Affected policies**(受影响的策略)工具:[https://console.aws.amazon.com/poliden/home?region=us-east-1#/](https://console.aws.amazon.com/poliden/home?region=us-east-1#/)。
**注意**
您必须具有 `iam:GetAccountAuthorizationDetails` 权限才能查看此页面。
1. 查看列出受影响的 IAM 策略的表。使用 **Deprecated IAM actions**(已弃用的 IAM 操作)列查看策略中提及的特定 IAM 操作。
1. 在**复制更新后的策略**列下,选择**复制**,以将更新后的策略复制到剪贴板。更新后的策略包含现有策略以及作为单独 `Sid` 块附加到该策略后的建议精细操作。该块在策略末尾有前缀 `AffectedPoliciesMigrator`。
1. 选择**在 IAM 控制台中编辑策略**列,然后选择**编辑**以转到 IAM 策略编辑器。您将看到现有策略的 JSON 代码。
1. 将现有策略完整替换为您在第 4 步中复制的更新后策略。您可以根据需要进行任何其他更改。
1. 选择**下一步**,然后选择**保存更改**。
1. 对所有列出的策略重复第 3 步到第 7 步。
1. 更新策略后,刷新受**影响的策略**工具,确认没有受影响的策略列出。所有策略的**找到的新 IAM 操作**列都应为**是**,并且**复制**和**编辑**按钮将被禁用。受影响的策略已更新。
**为您的账户启用精细操作**
更新策略后,请按照以下过程为您的账户启用精细操作。
只有组织的管理账户(付款人)或个人账户才能使用**管理新 IAM 操作**部分。个人账户可以为自己启用新操作。管理账户可以为整个组织或部分成员账户启用新操作。如果您是管理账户,请为所有成员账户更新受影响的策略,并为您的组织启用新操作。有关更多信息,请参阅[如何在新的细粒度操作或现有 IAM 操作之间切换账户](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/#How-to-toggle-accounts-between-new-fine-grained-actions-or-existing-IAM-Actions)? AWS 博客文章中的部分。
**注意**
要完成此操作,您必须具有以下权限:
`aws-portal:GetConsoleActionSetEnforced`
`aws-portal:UpdateConsoleActionSetEnforced`
`ce:GetConsoleActionSetEnforced`
`ce:UpdateConsoleActionSetEnforced`
`purchase-orders:GetConsoleActionSetEnforced`
`purchase-orders:UpdateConsoleActionSetEnforced`
如果您没有看到**管理新 IAM 操作**部分,则表示您的账户已经启用了 IAM 精细操作。
1. 在**管理新的 IAM 操作**下,**已强制执行的当前操作集**设置的状态将为**现有**。
选择**启用新操作(精细)**,然后选择**应用更改**。
1. 在此对话框中,选择**是**。**已强制执行的当前操作集**的状态将更改为**精细**。这意味着您 AWS 账户 或您的组织将强制执行新操作。
1. (可选)然后,您可以更新现有策略以移除任何旧操作。
**Example 示例:应用 IAM 策略之前和之后**
以下 IAM 策略采用旧的 `aws-portal:ViewPaymentMethods` 操作。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
}
]
}
```
复制更新后的策略后,以下示例将具有包含精细操作的新 `Sid` 块。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
},
{
"Sid": "AffectedPoliciesMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"invoicing:GetInvoicePDF",
"payments:GetPaymentInstrument",
"payments:GetPaymentStatus",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}
]
}
```
## 相关资源
有关更多信息,请参阅《IAM 用户指南》中的 [Sid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html)**。
有关新精细操作的更多信息,请参阅 [IAM 精细操作映射参考](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html) 和 [使用精细 Billing 操作](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html#migrate-user-permissions)。
# 使用脚本批量迁移策略以使用 IAM 精细操作
**注意**
以下 AWS Identity and Access Management (IAM) 操作已于 2023 年 7 月结束标准支持:
`aws-portal` 命名空间
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您正在使用 AWS Organizations,则可以使用[批量策略迁移器脚本](#migrate-iam-permissions)或批量策略迁移器从您的付款人账户更新政策。您还可以使用[旧到精细操作映射参考](migrate-granularaccess-iam-mapping-reference.md)来验证需要添加的 IAM 操作。
如果您在 2023 年 3 月 6 日上午 11:00(太平洋夏令时)当天或之后 AWS Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 AWS 账户
为帮助迁移 IAM policy 以使用新操作(也称为精细操作),您可以使用 [AWS 示例](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles)网站上的脚本。
您可以从组织的付款人账户运行这些脚本,以确定您组织中使用旧 IAM 操作的以下受影响策略:
+ 客户管理型 IAM policy
+ 角色、组和用户 IAM 内联策略
+ 服务控制政策 (SCPs)(仅适用于付款人账户)
+ 权限集
这些脚本将生成与策略中所用现有操作对应的新操作建议。然后,您可以查看建议,并使用脚本为组织中所有受影响的策略添加新操作。您无需更新托 AWS 管策略或 AWS 托管策略 SCPs (例如 AWS Control Tower 和 AWS Organizations SCPs)。
您可以使用这些脚本来:
+ 可简化策略更新,以帮助您管理付款人账户中的受影响策略。
+ 减少更新策略所需的时间。无需登录每个成员账户并手动更新策略。
+ 可将来自不同成员账户的相同政策分为一组。然后,您可以检查并为所有相同的策略应用相同的更新,而不必逐一检查。
+ 确保在 2023 年 7 月 6 日 AWS 停用旧的 IAM 操作后,用户访问不受影响。
有关策略和服务控制策略 (SCPs) 的更多信息,请参阅以下主题:
+ 《IAM 用户指南》中的 [管理 IAM policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)**
+ 《*AWS Organizations 用户指南》*中的@@ [服务控制策略 (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
+ 《IAM Identity Center User Guide》**中的 [Custom permissions](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetcustom.html)
## 概述
按照此主题的说明完成以下步骤:
**Topics**
+ [概述](#overview-bulk-migrate-policies)
+ [先决条件](#prerequisites-running-the-scripts)
+ [第 1 步:设置环境](#set-up-your-environment-and-download-the-scripts)
+ [步骤 2:创建 CloudFormation StackSet](#create-the-cloudformation-stack)
+ [第 3 步:识别受影响的策略](#identify-the-affected-policies)
+ [第 4 步:检查建议的更改](#review-the-affected-policies)
+ [第 5 步:更新受影响的策略](#update-the-affected-policies)
+ [第 6 步:还原更改(可选)](#revert-changes)
+ [IAM policy 示例](#examples-of-similar-policies)
## 先决条件
要开始使用,您必须首先完成以下操作:
+ 下载并安装 [Python 3](https://www.python.org/downloads/)
+ 登录您的付款人账户并确认您拥有具有以下 IAM 权限的 IAM 主体:
```
"iam:GetAccountAuthorizationDetails",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"sso:DescribePermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"sso:GetInlinePolicyForPermissionSet",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:ProvisionPermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sts:AssumeRole"
```
**提示**
首先,建议您使用账户的子集(例如测试账户)来验证建议的更改是否符合预期。
然后,再次为组织中的剩余账户运行脚本。
## 第 1 步:设置环境
首先从 [AWS 示例](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles) 网站下载所需的文件,然后运行命令来设置环境。
**设置 环境**
1. 克隆 [AWS 示例](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles) 网站中的存储库。在命令行窗口中,您可以使用以下命令:
```
git clone https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles.git
```
1. 导航到下载了文件的目录。您可以使用以下命令:
```
cd bulk-policy-migrator-scripts-for-account-cost-billing-consoles
```
在存储库中,您可以查找以下脚本和资源:
+ `billing_console_policy_migrator_role.json`— 在您组织的成员账户中创建 `BillingConsolePolicyMigratorRole` IAM 角色的 CloudFormation 模板。此角色允许脚本代入该角色,然后读取和更新受影响的策略。
+ `action_mapping_config.json`— 包含旧操作与新操作的 one-to-many映射。脚本使用此文件为包含旧操作的每个受影响策略提供新操作建议。
每个旧操作可对应多个精细操作。文件中建议的新操作允许用户在迁移 AWS 服务 之前访问该文件。
+ `identify_affected_policies.py` – 扫描并识别组织中受影响的策略。此脚本会生成一个 `affected_policies_and_suggestions.json` 文件,其中将列出受影响的策略以及建议的新操作。
使用相同旧操作组合的受影响策略将在 JSON 文件中分为一组,以便您可以查看或更新建议的新操作。
+ `update_affected_policies.py` – 更新组织中受影响的策略。该脚本会输入 `affected_policies_and_suggestions.json` 文件,然后将建议的新操作添加到策略中。
+ `rollback_affected_policies.py` –(可选)还原对受影响策略所做的更改。此脚本将从受影响的策略中移除新的精细操作。
1. 运行以下命令,以设置和激活虚拟环境。
```
python3 -m venv venv
```
```
source venv/bin/activate
```
1. 运行以下命令安装 适用于 Python (Boto3) 的 AWS SDK 依赖项。
```
pip install -r requirements.txt
```
**注意**
您必须配置您的 AWS 凭据才能使用 AWS Command Line Interface (AWS CLI)。有关更多信息,请参阅 [适用于 Python (Boto3) 的 AWS SDK](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/credentials.html)。
有关更多信息,请参阅 [README.md](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles#readme) 文件。
## 步骤 2:创建 CloudFormation StackSet
按照以下步骤创建 CloudFormation *堆栈集*。然后,此堆栈集将为组织中的所有成员账户创建 `BillingConsolePolicyMigratorRole` IAM 角色。
**注意**
您只需从管理账户(付款人账户)完成此步骤一次即可。
**要创建 CloudFormation StackSet**
1. 在文本编辑器中,打开`billing_console_policy_migrator_role.json`文件,将的*``*每个实例替换为付款人账户的账户 ID(例如,*123456789012*)。
1. 保存该文件。
1. 以付款人 AWS 管理控制台 身份登录账户。
1. 在 CloudFormation 控制台中,使用您更新的`billing_console_policy_migrator_role.json`文件创建堆栈集。
有关更多信息,请参阅《*AWS CloudFormation 用户指南》*中的[在 AWS CloudFormation 控制台上创建堆栈集](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html)。
CloudFormation 创建堆栈集后,您组织中的每个成员账户都有一个 `BillingConsolePolicyMigratorRole` IAM 角色。
该 IAM 角色包含以下权限:
```
"iam:GetAccountAuthorizationDetails",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion"
```
**注意**
对于每个成员账户,脚本都会调用 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)API 操作来获取临时证书以担任 `BillingConsolePolicyMigratorRole` IAM 角色。
这些脚本调用 [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)API 操作来获取所有成员账户。
这些脚本还将调用 IAM API 操作来执行策略的读取和写入权限。
## 第 3 步:识别受影响的策略
创建堆栈集并下载文件后,运行 `identify_affected_policies.py` 脚本。此脚本将代入每个成员账户的 `BillingConsolePolicyMigratorRole` IAM 角色,然后识别受影响的策略。
**识别受影响的策略**
1. 导航到下载了脚本的目录。
```
cd policy_migration_scripts/scripts
```
1. 运行 `identify_affected_policies.py` 脚本。
您可以使用以下输入参数:
+ AWS 账户 你想让脚本扫描。要指定账户,请使用以下输入参数:
+ `--all` – 扫描组织中的所有成员账户。
```
python3 identify_affected_policies.py --all
```
+ `--accounts` – 扫描组织中的某个成员账户子集。
```
python3 identify_affected_policies.py --accounts 111122223333, 444455556666, 777788889999
```
+ `--exclude-accounts` – 排除组织中的特定成员账户。
```
python3 identify_affected_policies.py --all --exclude-accounts 111111111111, 222222222222, 333333333333
```
+ ` –-action-mapping-config-file` –(可选)指定 `action_mapping_config.json` 文件路径。该脚本将使用此文件,来为受影响的策略生成更新建议。如果未指定路径,则脚本将使用该文件夹中的 `action_mapping_config.json` 文件。
```
python3 identify_affected_policies.py –-action-mapping-config-file c:\Users\username\Desktop\Scripts\action_mapping_config.json –-all
```
**注意**
您无法使用此脚本指定组织单位 (OUs)。
运行脚本后,脚本会在 `Affected_Policies_` 文件夹中创建两个 JSON 文件:
+ `affected_policies_and_suggestions.json`
+ `detailed_affected_policies.json`
**`affected_policies_and_suggestions.json`**
列出受影响的策略以及建议的新操作。使用相同旧操作组合的受影响策略在文件中分为一组。
此文件包含以下部分:
+ 概括说明您在脚本中指定的账户的元数据,包括:
+ 扫描的账户和 `identify_affected_policies.py` 脚本的输入参数
+ 受影响账户的数量
+ 受影响策略的数量
+ 相似策略组的数量
+ 相似策略组 – 包括账户列表和策略详细信息,包含以下部分:
+ `ImpactedPolicies` – 指定受影响并包含在同一组中的策略
+ `ImpactedPolicyStatements` – 提供有关当前使用受影响策略中旧操作的 `Sid` 块的信息。这一部分包括旧操作和 IAM 元素,例如 `Effect`、`Principal`、`NotPrincipal`、`NotAction` 和 `Condition`。
+ `SuggestedPolicyStatementsToAppend` – 提供作为新 `SID` 块添加的建议新操作。
更新策略后,系统会将此块会附加到策略结尾处。
**Example 示例 `affected_policies_and_suggestions.json` 文件**
此文件根据以下标准将相似的策略分为一组:
+ 使用的旧操作相同 – 在所有 `SID` 块中使用相同旧操作的策略。
+ 详细信息一致 – 除受影响的操作外,这些策略还具有相同的 IAM 元素,例如:
+ `Effect` (`Allow`/`Deny`)
+ `Principal`(被允许或拒绝访问的主体)
+ `NotAction`(不允许执行的操作)
+ `NotPrincipal`(被显式拒绝访问的主体)
+ `Resource`(该政策适用于哪些 AWS 资源)
+ `Condition`(政策适用的任何特定条件)
有关更多信息,请参阅 [IAM policy 示例](#examples-of-similar-policies)。
**Example 示例 `affected_policies_and_suggestions.json`**
```
[{
"AccountsScanned": [
"111111111111",
"222222222222"
],
"TotalAffectedAccounts": 2,
"TotalAffectedPolicies": 2,
"TotalSimilarPolicyGroups": 2
},
{
"GroupName": "Group1",
"ImpactedPolicies": [{
"Account": "111111111111",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-Allow",
"PolicyIdentifier": "1111111_1-user:Inline-Test-Policy-Allow"
},
{
"Account": "222222222222",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-Allow",
"PolicyIdentifier": "222222_1-group:Inline-Test-Policy-Allow"
}
],
"ImpactedPolicyStatements": [
[{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccounts"
],
"Resource": "*"
}]
],
"SuggestedPolicyStatementsToAppend": [{
"Sid": "BillingConsolePolicyMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"account:GetAlternateContact",
"account:GetChallengeQuestions",
"account:GetContactInformation",
"billing:GetContractInformation",
"billing:GetIAMAccessPreference",
"billing:GetSellerOfRecord",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}]
},
{
"GroupName": "Group2",
"ImpactedPolicies": [{
"Account": "111111111111",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-deny",
"PolicyIdentifier": "1111111_2-user:Inline-Test-Policy-deny"
},
{
"Account": "222222222222",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-deny",
"PolicyIdentifier": "222222_2-group:Inline-Test-Policy-deny"
}
],
"ImpactedPolicyStatements": [
[{
"Sid": "VisualEditor0",
"Effect": "deny",
"Action": [
"aws-portal:ModifyAccount"
],
"Resource": "*"
}]
],
"SuggestedPolicyStatementsToAppend": [{
"Sid": "BillingConsolePolicyMigrator1",
"Effect": "Deny",
"Action": [
"account:CloseAccount",
"account:DeleteAlternateContact",
"account:PutAlternateContact",
"account:PutChallengeQuestions",
"account:PutContactInformation",
"billing:PutContractInformation",
"billing:UpdateIAMAccessPreference",
"payments:UpdatePaymentPreferences"
],
"Resource": "*"
}]
}
]
```
**`detailed_affected_policies.json`**
包含 `identify_affected_policies.py` 脚本为成员账户识别的所有受影响策略的定义。
该文件会将相似的策略分为一组。您可以将此文件作为参考,从而检查和管理策略更改,无需登录每个成员账户以分别检查每个策略和账户的更新。
您可以在文件中搜索策略名称(例如 `YourCustomerManagedReadOnlyAccessBillingUser`),然后检查受影响策略的定义。
**Example 示例:`detailed_affected_policies.json`**
## 第 4 步:检查建议的更改
脚本创建 `affected_policies_and_suggestions.json` 文件后,检查文件并进行任何更改。
**检查受影响的政策**
1. 在文本编辑器中,打开 `affected_policies_and_suggestions.json`文件。
1. 在 `AccountsScanned` 部分中,验证从扫描的账户中识别出的相似组数量是否符合预期。
1. 检查将添加到受影响策略中的建议精细操作。
1. 根据需要更新文件,然后保存。
### 示例 1:更新 `action_mapping_config.json` 文件
您可以在 `action_mapping_config.json` 中更新建议的映射。更新文件后,您可以重新运行 `identify_affected_policies.py` 脚本。此脚本将为受影响的策略生成更新后的建议。
您可以为 `action_mapping_config.json` 文件创建多个版本,以为具有不同权限的不同账户更改策略。例如,您可以创建一个名为 `action_mapping_config_testing.json` 的文件,来迁移测试账户的权限和生产账户的 `action_mapping_config_production.json`。
### 示例 2:更新 `affected_policies_and_suggestions.json` 文件
要更改特定受影响策略组的建议替换方案,可以在 `affected_policies_and_suggestions.json` 文件中直接编辑建议替换部分。
您在这一部分所做的任何更改,都将应用于该特定受影响策略组中的所有策略。
### 示例 3:自定义特定的策略
如果您发现受影响策略组中的某个策略需要执行与建议更新不同的更改,则可以执行以下操作:
+ 从 `identify_affected_policies.py` 脚本中排除特定的账户。然后,您可以单独检查这些被排除的账户。
+ 通过移除需要不同权限的受影响策略和账户,来更新受影响的 `Sid` 块。创建仅包含特定账户的 JSON 块,或从当前受更新影响的策略运行中将其排除。
重新运行 `identify_affected_policies.py` 脚本时,更新后的块中将仅包含相关的账户。然后,您可以完善该特定 `Sid` 块的替换建议。
## 第 5 步:更新受影响的策略
检查并完善替换建议后,运行 `update_affected_policies.py` 脚本。此脚本会将 `affected_policies_and_suggestions.json` 文件作为输入。此脚本将代入 `BillingConsolePolicyMigratorRole` IAM 角色,来更新 `affected_policies_and_suggestions.json` 文件中列出的受影响策略。
**更新受影响的策略**
1. 如果还没有,则打开 AWS CLI的命令行窗口。
1. 输入以下命令运行 `update_affected_policies.py` 脚本。您可以输入以下输入参数:
+ 包含要更新的受影响策略列表的 `affected_policies_and_suggestions.json` 文件的目录路径。此文件是上一步的输出。
```
python3 update_affected_policies.py --affected-policies-directory Affected_Policies_
```
`update_affected_policies.py` 脚本将使用建议的新操作更新 `affected_policies_and_suggestions.json` 文件中的受影响策略。该脚本向策略添加一个`Sid`区块,标识为`BillingConsolePolicyMigrator#`,其中*\$1*对应于一个增量计数器(例如 1、2、3)。
例如,假设受影响的策略中有多个使用旧操作的 `Sid` 块,则脚本会添加多个看起来像 `BillingConsolePolicyMigrator#` 的 `Sid` 块,与每个 `Sid` 块一一对应。
**重要**
此脚本不会移除策略中的旧 IAM 操作,也不会更改策略中现有的 `Sid` 块。相反,它会创建 `Sid` 块并将其附加到策略的结尾处。这些新的 `Sid` 块包含了 JSON 文件中建议的新操作。这可以确保原始策略的权限不会更改。
我们不建议您更改 `BillingConsolePolicyMigrator#` `Sid` 块的名称,以防您需要还原更改。
**Example 示例:附加了 `Sid` 块的策略**
参见 `BillingConsolePolicyMigrator1` 和 `BillingConsolePolicyMigrator2` 块中附加的 `Sid` 块。
此脚本会生成包含失败操作的状态报告,并在本地输出 JSON 文件。
**Example 示例:状态报告**
```
[{
"Account": "111111111111",
"PolicyType": "Customer Managed Policy"
"PolicyName": "AwsPortalViewPaymentMethods",
"PolicyIdentifier": "identifier",
"Status": "FAILURE", // FAILURE or SKIPPED
"ErrorMessage": "Error message details"
}]
```
**重要**
如果您重新运行 `identify_affected_policies.py` 和 `update_affected_policies.py` 脚本,则这些脚本会跳过所有包含 `BillingConsolePolicyMigratorRole#``Sid` 块的策略。这些脚本将假定这些策略之前已经完成扫描和更新,并且不需要额外的更新。这样可以防止脚本在策略中重复相同的操作。
更新受影响的策略后,您可以使用受影响策略工具来使用新的 IAM。如果您发现任何问题,则可以使用该工具切换回之前的操作。您还可以使用脚本来还原策略更新。
有关更多信息,请参阅[如何使用受影响策略工具](migrate-security-iam-tool.md)以及[AWS 账单、成本管理和账户控制台权限变](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/)更博客文章。
要管理更新,您可以:
为每个账户分别运行脚本。
为相似账户(例如测试、QA 和生产账户)批量运行脚本。
为所有账户运行脚本。
选择批量更新某些账户,然后单独更新其他账户的组合操作。
## 第 6 步:还原更改(可选)
`rollback_affected_policies.py` 脚本将会还原应用于指定账户的每个受影响策略的更改。此脚本会移除 `update_affected_policies.py` 脚本附加的所有 `Sid` 块。这些 `Sid` 块采用 `BillingConsolePolicyMigratorRole#` 格式。
**还原更改**
1. 如果还没有,则打开 AWS CLI的命令行窗口。
1. 输入以下命令运行 `rollback_affected_policies.py` 脚本。您可以输入以下输入参数:
+ `--accounts`
+ 指定要包含在 AWS 账户 IDs 回滚中的以逗号分隔的列表。
+ 以下示例扫描指定中的策略 AWS 账户,并删除带有该`BillingConsolePolicyMigrator#``Sid`块的所有语句。
```
python3 rollback_affected_policies.py –-accounts 111122223333, 555555555555, 666666666666
```
+ `--all`
+ 包括组织 AWS 账户 IDs 中的所有内容。
+ 以下示例将扫描您组织中的所有策略,并移除任何包含 `BillingConsolePolicyMigratorRole#` `Sid` 块的语句。
```
python3 rollback_affected_policies.py –-all
```
+ `--exclude-accounts`
+ 指定要从回滚中排除 AWS 账户 IDs 的以逗号分隔的列表。
仅当您同时指定了 `--all` 参数时才可以使用此参数。
+ 以下示例扫描组织 AWS 账户 中除指定账户之外的所有账户的策略。
```
python3 rollback_affected_policies.py --all --exclude-accounts 777777777777, 888888888888, 999999999999
```
## IAM policy 示例
以下内容相同的策略将视为相似策略:
+ 所有 `Sid` 块中的受影响操作。
+ 以下 IAM 元素中的详细信息:
+ `Effect` (`Allow`/`Deny`)
+ `Principal`(被允许或拒绝访问的主体)
+ `NotAction`(不允许执行的操作)
+ `NotPrincipal`(被显式拒绝访问的主体)
+ `Resource`(该政策适用于哪些 AWS 资源)
+ `Condition`(政策适用的任何特定条件)
以下示例显示了 IAM 可能根据策略之间的差异认为相似或不相似的策略。
**Example 示例 1:策略被认为相似**
每个策略的类型都不同,但两个策略都包含一个具有相同受影响 `Action` 的 `Sid` 块。
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
**Example 示例 2:策略被认为相似**
两个策略都包含具有相同受影响 `Action` 的 `Sid` 块。策略 2 包含其他的操作,但这些操作不受影响。
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing",
"athena:*"
],
"Resource": "*"
}]
}
```
**Example 示例 3:策略被认为不相似**
两个策略都包含具有相同受影响 `Action` 的 `Sid` 块。但是,策略 2 包含策略 1 中不存在的 `Condition` 元素。
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing",
"athena:*"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "true"
}
}
}]
}
```
**Example 示例 4:策略被认为相似**
策略 1 包含单个具有受影响 `Action` 的 `Sid` 块。策略 2 包含多个 `Sid` 块,但受影响的 `Action` 仅出现在一个块中。
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"cloudtrail:Get*"
],
"Resource": "*"
}
]
}
```
**Example 示例 5:策略被认为不相似**
策略 1 包含单个具有受影响 `Action` 的 `Sid` 块。策略 2 包含多个 `Sid` 块,并且受影响的 `Action` 出现在多个块中。
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*"
],
"Resource": "*"
}
]
}
```
**Example 示例 6:策略被认为相似**
两个策略都有多个 `Sid` 块,每个 `Action` 块中具有相同的受影响 `Sid`。
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"iam:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"iam:Update*"
],
"Resource": "*"
}
]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"athena:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"athena:Update*"
],
"Resource": "*"
}
]
}
```
**Example 示例 7**
以下两个策略被认为不相似。
策略 1 包含单个具有受影响 `Action` 的 `Sid` 块。策略 2 包含一个具有相同受影响 `Action` 的 `Sid` 块。但是,策略 2 还包含另一个具有不同操作的 `Sid` 块。
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"iam:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"iam:Update*"
],
"Resource": "*"
}
]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"athena:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:*Billing",
"athena:Update*"
],
"Resource": "*"
}
]
}
```
# IAM 精细操作映射参考
**注意**
以下 AWS Identity and Access Management (IAM) 操作已于 2023 年 7 月结束标准支持:
`aws-portal` 命名空间
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您正在使用 AWS Organizations,则可以使用[批量策略迁移器脚本](migrate-iam-permissions.md)或批量策略迁移器从您的付款人账户更新政策。您还可以使用[旧到精细操作映射参考](#migrate-granularaccess-iam-mapping-reference)来验证需要添加的 IAM 操作。
如果您在 2023 年 3 月 6 日上午 11:00(太平洋夏令时)当天或之后 AWS Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 AWS 账户
您需要迁移权限策略或服务控制策略(SCP)中的以下 IAM 操作:
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
您可以使用本主题,查看即将停用的每个 IAM 操作的旧精细操作到新精细操作的映射。
**概述**
1. 在 AWS 账户中查看受影响的 IAM policy。为此,请按照**受影响的策略**工具中的步骤来确定受影响的 IAM policy。请参阅[如何使用受影响策略工具](migrate-security-iam-tool.md)。
1. 使用 IAM 控制台向您的策略添加新的精细权限。例如,如果您的策略允许该 `purchase-orders:ModifyPurchaseOrders` 权限,则需要将每个操作添加到 [purchase-orders:ModifyPurchaseOrders 的映射](#mapping-for-purchase-ordersmodifypurchaseorders) 表中。
**旧策略**
以下策略允许用户添加、删除或修改账户中的任何采购订单。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "purchase-orders:ModifyPurchaseOrders",
"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
}
]
}
```
------
**新策略**
以下策略还允许用户添加、删除或修改账户中的任何采购订单。请注意,每项精细权限都显示在旧 `purchase-orders:ModifyPurchaseOrders` 权限之后。这些权限使您可以更好地控制要允许或拒绝的操作。
**提示**
我们建议您保留旧权限,以确保在此迁移完成之前不会失去权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"purchase-orders:ModifyPurchaseOrders",
"purchase-orders:AddPurchaseOrder",
"purchase-orders:DeletePurchaseOrder",
"purchase-orders:UpdatePurchaseOrder",
"purchase-orders:UpdatePurchaseOrderStatus"
],
"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
}
]
}
```
------
1. 保存更改。
**注意**
要在 IAM 控制台中手动编辑策略,请参阅《IAM 用户指南》**中的[编辑客户管理型策略(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console)。
要批量迁移 IAM policy 以使用精细操作(新操作),请参阅 [使用脚本批量迁移策略以使用 IAM 精细操作](migrate-iam-permissions.md)。
**Contents**
+ [aws-portal:ViewAccount 的映射](#mapping-for-aws-portalviewaccount)
+ [aws-portal:ViewBilling 的映射](#mapping-for-aws-portalviewbilling)
+ [aws-portal:ViewPaymentMethods 的映射](#mapping-for-aws-portalviewpaymentmethods)
+ [aws-portal:ViewUsage 的映射](#mapping-for-aws-portalviewusage)
+ [aws-portal:ModifyAccount 的映射](#mapping-for-aws-portalmodifyaccount)
+ [aws-portal:ModifyBilling 的映射](#mapping-for-aws-portalmodifybilling)
+ [aws-portal:ModifyPaymentMethods 的映射](#mapping-for-aws-portalmodifypaymentmethods)
+ [purchase-orders:ViewPurchaseOrders 的映射](#mapping-for-purchase-ordersviewpurchaseorders)
+ [purchase-orders:ModifyPurchaseOrders 的映射](#mapping-for-purchase-ordersmodifypurchaseorders)
## aws-portal:ViewAccount 的映射
| 新操作 | 说明 | 访问级别 |
| --- | --- | --- |
| account:GetAccountInformation | 授予检索账户信息的权限 | 读取 |
| account:GetAlternateContact | 授予权限以检索账户的备用联系人 | 读取 |
| account:GetContactInformation | 授予权限以检索账户的主要联系人信息 | 读取 |
| billing:GetContractInformation | 授予权限以查看账户合同信息,包括合同编号、最终用户组织名称、采购订单号,以及账户是否用于为公共部门客户提供服务 | 读取 |
| billing:GetIAMAccessPreference | 授予权限以检索允许 IAM 访问账单首选项状态 | 读取 |
| billing:GetSellerOfRecord | 授予权限以检索账户的默认记录卖家 | 读取 |
| payments:ListPaymentPreferences | 授予权限以获取付款首选项,例如首选付款币种、首选付款方式 | 读取 |
## aws-portal:ViewBilling 的映射
| 新操作 | 说明 | 访问级别 |
| --- | --- | --- |
| account:GetAccountInformation | 授予检索账户信息的权限 | 读取 |
| billing:GetBillingData | 授予对账单信息执行查询的权限 | 读取 |
| billing:GetBillingDetails | 授予查看详细行项目账单信息的权限 | 读取 |
| billing:GetBillingNotifications | 授予权限以查看由您发送的 AWS 与您的账户账单信息相关的通知 | 读取 |
| billing:GetBillingPreferences | 授予权限以查看账单首选项,例如预留实例、实惠配套和服务抵扣金共享 | 读取 |
| billing:GetContractInformation | 授予权限以查看账户合同信息,包括合同编号、最终用户组织名称、采购订单号,以及账户是否用于为公共部门客户提供服务 | 读取 |
| billing:GetCredits | 授予查看已兑换的服务抵扣金的权限 | 读取 |
| billing:GetIAMAccessPreference | 授予权限以检索允许 IAM 访问账单首选项状态 | 读取 |
| billing:GetSellerOfRecord | 授予权限以检索账户的默认记录卖家 | 读取 |
| billing:ListBillingViews | 授予获取形式账单组账单信息的权限 | 列表 |
| ce:DescribeNotificationSubscription | 授予权限以查看预留到期提醒 | 读取 |
| ce:DescribeReport | 授予权限以查看 Cost Explorer 报告页面 | Read |
| ce:GetAnomalies | 授予权限以检索异常 | Read |
| ce:GetAnomalyMonitors | 授予权限以查询异常监控 | Read |
| ce:GetAnomalySubscriptions | 授予权限以查询异常订阅 | Read |
| ce:GetCostAndUsage | 授予权限以检索您的账户的成本和使用率指标 | Read |
| ce:GetCostAndUsageWithResources | 授予权限以检索您的账户资源的成本和使用率指标 | 读取 |
| ce:GetCostCategories | 授予权限以查询指定时间段内成本类别名称和值 | 读取 |
| ce:GetCostForecast | 授予权限以检索预测时间段的成本预测 | Read |
| ce:GetDimensionValues | 授予权限以检索筛选条件在一段时间内的所有可用筛选条件值 | 读取 |
| ce:GetPreferences | 授予权限以查看 Cost Explorer 首选项页面 | 读取 |
| ce:GetReservationCoverage | 授予权限以检索您的账户的预留范围 | Read |
| ce:GetReservationPurchaseRecommendation | 授予权限以检索您的账户的预留建议 | Read |
| ce:GetReservationUtilization | 授予权限以检索您的账户的预留利用率 | Read |
| ce:GetRightsizingRecommendation | 授予权限以检索您的账户的合理调整大小建议 | Read |
| ce:GetSavingsPlansCoverage | 授予权限以检索您账户的 Savings Plans 覆盖范围 | Read |
| ce:GetSavingsPlansPurchaseRecommendation | 授予权限以检索您账户的 Savings Plans 建议 | Read |
| ce:GetSavingsPlansUtilization | 授予权限以检索您账户的 Savings Plans 利用率 | Read |
| ce:GetSavingsPlansUtilizationDetails | 授予权限以检索您账户的 Savings Plans 利用率详细信息 | Read |
| ce:GetTags | 授予权限以查询指定时间段的标签 | Read |
| ce:GetUsageForecast | 授予权限以检索预测时间段的使用情况预测 | 读取 |
| ce:ListCostAllocationTags | 授予权限以列出成本分配标签 | 列表 |
| ce:ListSavingsPlansPurchaseRecommendationGeneration | 授予权限以检索您的历史建议生成列表 | 读取 |
| consolidatedbilling:GetAccountBillingRole | 授予权限以获取账户角色(付款人、关联账户、常规账户) | 读取 |
| consolidatedbilling:ListLinkedAccounts | 授予权限以获取成员和关联账户列表 | 列表 |
| cur:GetClassicReport | 授予权限以获取账单 CSV 报告 | 读取 |
| cur:GetClassicReportPreferences | 授予权限以获取使用情况报告的经典报告启用状态 | 读取 |
| cur:ValidateReportDestination | 授予验证 Amazon S3 存储桶是否存在的权限,并授予相应的 AWS CUR 传送权限 | 读取 |
| freetier:GetFreeTierAlertPreference | 授予获取 AWS 免费套餐 警报首选项的权限(通过电子邮件地址) | 读取 |
| freetier:GetFreeTierUsage | 授予获取 AWS 免费套餐 使用限制和 month-to-date (MTD) 使用状态的权限 | 读取 |
| invoicing:GetInvoiceEmailDeliveryPreferences | 授予权限以获取发票电子邮件发送首选项 | 读取 |
| invoicing:GetInvoicePDF | 授予权限以获取发票 PDF | 读取 |
| invoicing:ListInvoiceSummaries | 授予权限以获取账户或关联账户的发票摘要信息 | 列表 |
| payments:GetPaymentInstrument | 授予获取付款方式信息的权限 | 读取 |
| payments:GetPaymentStatus | 授予获取发票付款状态的权限 | 读取 |
| payments:ListPaymentPreferences | 授予权限以获取付款首选项,例如首选付款币种、首选付款方式 | 读取 |
| tax:GetTaxInheritance | 授予查看税务继承状态的权限 | 读取 |
| tax:GetTaxRegistrationDocument | 授予下载税务登记文档的权限 | 读取 |
| tax:ListTaxRegistrations | 授予权限以查看税务登记 | 读取 |
## aws-portal:ViewPaymentMethods 的映射
| 新操作 | 说明 | 访问级别 |
| --- | --- | --- |
| account:GetAccountInformation | 授予检索账户信息的权限 | 读取 |
| invoicing:GetInvoicePDF | 授予权限以获取发票 PDF | 读取 |
| payments:GetPaymentInstrument | 授予获取付款方式信息的权限 | 读取 |
| payments:GetPaymentStatus | 授予获取发票付款状态的权限 | 读取 |
| payments:ListPaymentPreferences | 授予权限以获取付款首选项,例如首选付款币种、首选付款方式 | 列表 |
## aws-portal:ViewUsage 的映射
| 新操作 | 说明 | 访问级别 |
| --- | --- | --- |
| cur:GetUsageReport | 授予获取使用情况报告工作流程的列表 AWS 服务、使用类型和操作以及下载使用情况报告的权限 | 读取 |
## aws-portal:ModifyAccount 的映射
| 新操作 | 说明 | 访问级别 |
| --- | --- | --- |
| account:CloseAccount | 授予关闭账户的权限 | 写入 |
| account:DeleteAlternateContact | 授予权限以删除账户的备用联系人 | 写入 |
| account:PutAlternateContact | 授予权限以修改账户的备用联系人 | 写入 |
| account:PutChallengeQuestions | 授予修改账户质询问题的权限 | 写入 |
| account:PutContactInformation | 授予权限以更新账户的主要联系人信息 | 写入 |
| billing:PutContractInformation | 授予设置账户合同信息、最终用户组织名称,以及账户是否用于为公共部门客户提供服务的权限 | 写入 |
| billing:UpdateIAMAccessPreference | 授予权限以更新允许 IAM 访问账单首选项 | 写入 |
| payments:UpdatePaymentPreferences | 授予权限以更新付款首选项,例如首选付款币种、首选付款方式 | 写入 |
## aws-portal:ModifyBilling 的映射
| 新操作 | 说明 | 访问级别 |
| --- | --- | --- |
| billing:PutContractInformation | 授予设置账户合同信息、最终用户组织名称,以及账户是否用于为公共部门客户提供服务的权限 | 写入 |
| billing:RedeemCredits | 授予兑换积分的 AWS 权限 | 写入 |
| billing:UpdateBillingPreferences | 授予权限以更新账单首选项,例如预留实例、实惠配套和服务抵扣金共享 | 写入 |
| ce:CreateAnomalyMonitor | 授予权限以创建新异常监控 | Write |
| ce:CreateAnomalySubscription | 授予权限以创建新异常订阅 | 写入 |
| ce:CreateNotificationSubscription | 授予权限以创建预留到期提醒 | 写入 |
| ce:CreateReport | 授予权限以创建 Cost Explorer 报告 | Write |
| ce:DeleteAnomalyMonitor | 授予权限以删除异常监控 | Write |
| ce:DeleteAnomalySubscription | 授予权限以删除异常订阅 | 写入 |
| ce:DeleteNotificationSubscription | 授予权限以删除预留到期提醒 | 写入 |
| ce:DeleteReport | 授予权限以删除 Cost Explorer 报告 | 写入 |
| ce:ProvideAnomalyFeedback | 授予权限以提供对检测到的异常的反馈 | 写入 |
| ce:StartSavingsPlansPurchaseRecommendationGeneration | 授予权限以请求 Savings Plans 建议生成 | 写入 |
| ce:UpdateAnomalyMonitor | 授予权限以更新现有异常监控 | Write |
| ce:UpdateAnomalySubscription | 授予权限以更新现有异常订阅 | 写入 |
| ce:UpdateCostAllocationTagsStatus | 授予权限以更新现有成本分配标签状态 | 写入 |
| ce:UpdateNotificationSubscription | 授予权限以更新预留到期提醒 | 写入 |
| ce:UpdatePreferences | 授予权限以编辑 Cost Explorer 首选项页面 | 写入 |
| cur:PutClassicReportPreferences | 授予启用经典报告的权限 | 写入 |
| freetier:PutFreeTierAlertPreference | 授予设置 AWS 免费套餐 警报首选项的权限(通过电子邮件地址) | 写入 |
| invoicing:PutInvoiceEmailDeliveryPreferences | 授予权限以更新发票电子邮件发送首选项 | 写入 |
| payments:CreatePaymentInstrument | 授予创建付款方式的权限 | 写入 |
| payments:DeletePaymentInstrument | 授予删除付款方式的权限 | 写入 |
| payments:MakePayment | 授予权限以进行付款、验证付款、验证付款方式,以及为 Advance Pay 生成资金请求文档 | 写入 |
| payments:UpdatePaymentPreferences | 授予权限以更新付款首选项,例如首选付款币种、首选付款方式 | 写入 |
| tax:BatchPutTaxRegistration | 授予批量更新税务登记的权限 | 写入 |
| tax:DeleteTaxRegistration | 授予删除税务登记数据的权限 | 写入 |
| tax:PutTaxInheritance | 授予设置税务继承的权限 | 写入 |
## aws-portal:ModifyPaymentMethods 的映射
| 新操作 | 说明 | 访问级别 |
| --- | --- | --- |
| account:GetAccountInformation | 授予检索账户信息的权限 | 读取 |
| payments:DeletePaymentInstrument | 授予删除付款方式的权限 | 写入 |
| payments:CreatePaymentInstrument | 授予创建付款方式的权限 | 写入 |
| payments:MakePayment | 授予权限以进行付款、验证付款、验证付款方式,以及为 Advance Pay 生成资金请求文档 | 写入 |
| payments:UpdatePaymentPreferences | 授予权限以更新付款首选项,例如首选付款币种、首选付款方式 | 写入 |
## purchase-orders:ViewPurchaseOrders 的映射
| 新操作 | 说明 | 访问级别 |
| --- | --- | --- |
| invoicing:GetInvoicePDF | 授予权限以获取发票 PDF | 获取 |
| payments:ListPaymentPreferences | 授予权限以获取付款首选项,例如首选付款币种、首选付款方式 | 列表 |
| purchase-orders:GetPurchaseOrder | 授予获取采购订单的权限 | 读取 |
| purchase-orders:ListPurchaseOrderInvoices | 授予查看采购订单和详细信息的权限 | 列表 |
| purchase-orders:ListPurchaseOrders | 授予获取所有可用采购订单的权限 | 列表 |
## purchase-orders:ModifyPurchaseOrders 的映射
| 新操作 | 说明 | 访问级别 |
| --- | --- | --- |
| purchase-orders:AddPurchaseOrder | 授予权限以添加采购订单 | 写入 |
| purchase-orders:DeletePurchaseOrder | 授予权限以删除采购订单。 | 写入 |
| purchase-orders:UpdatePurchaseOrder | 授予更新现有采购订单的权限 | 写入 |
| purchase-orders:UpdatePurchaseOrderStatus | 授予设置采购订单状态的权限 | 写入 |
# AWS 托管策略
托管策略是基于身份的独立策略,您可以将其附加到账户 AWS 中的多个用户、群组和角色。您可以使用 AWS 托管策略来控制账单中的访问权限。
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限。 AWS 与必须自己编写策略相比,托管策略使您可以更轻松地为用户、组和角色分配适当的权限。
您无法更改 AWS 托管策略中定义的权限。 AWS 偶尔会更新 AWS 托管策略中定义的权限。当发生此情况时,更新会影响策略附加到的所有委托人实体(用户、组和角色)。
计费为常见用例提供了多种 AWS 托管策略。
**Topics**
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html)](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html)](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html)](#security-iam-awsmanpol-Billing)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html)](#security-iam-awsmanpol-AWSAccountActivityAccess)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html)](#security-iam-awsmanpol-AWSPriceListServiceFullAccess)
+ [AWS 账单托 AWS 管政策的更新](#security-iam-awsmanpol-updates)
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html)
此托管式策略将授予对账单与成本管理控制台和采购订单控制台的完全访问权限。此策略允许用户查看、创建、更新和删除账户的采购订单。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSPurchaseOrdersServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html)**。
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html)
此托管式策略授予用户访问 AWS 账单与成本管理 控制台中功能的只读权限。
### 权限详细信息
该策略包含以下权限:
+ `account`— 检索有关其 AWS 账户的信息。
+ `aws-portal` – 授予用户对账单与成本管理控制台页面的总体查看权限。
+ `billing`— 检索对 AWS 账单信息的全面访问权限,例如账单偏好、有效合同、已应用的积分或折扣、IAM 偏好、记录在案的卖家以及账单报告列表。
+ `budgets`— 检索有关为该 AWS Budgets 功能设置的操作的信息。
+ `ce`— 检索成本和使用情况信息、标签和维度值以查看 Cost Explorer 功能。 AWS
+ `consolidatedbilling` – 使用整合账单功能检索角色和有关配置的 AWS 账户 的详细信息。
+ `cur`— 检索有关其 AWS 成本和使用情况报告 数据的信息。
+ `freetier`— 检索有关 AWS 免费套餐 警报和使用偏好的信息。
+ `invoicing` – 检索有关其发票首选项的信息。
+ `mapcredits` – 检索与迁移加速计划(MAP)2.0 协议相关的支出和服务抵扣金。
+ `payments` – 检索融资、付款状态和支付工具信息。
+ `purchase-orders` – 检索与其采购订单关联的发票信息。
+ `sustainability`— 根据碳足迹的 AWS 使用情况检索碳足迹信息。
+ `tax` – 从税务设置中检索已注册的税务信息。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBillingReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html)**。
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html)
此托管策略授予用户查看和编辑 AWS 账单与成本管理 控制台的权限。这包括查看账户使用量、修改预算和付款方式。
要查看此策略的权限,请参阅《AWS 托管式策略参考》**中的[账单](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html)。
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html)
此托管式策略授予用户查看**账户活动**页面的权限。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSAccountActivityAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html)**。
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html)
此托管策略授予用户对 AWS 价目表服务的完全访问权限。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSPriceListServiceFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html)**。
## AWS 账单托 AWS 管政策的更新
查看自该服务开始跟踪这些变更以来 AWS 账单 AWS 托管政策更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “ AWS 账单文档历史记录” 页面上的 RSS feed。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [账单](#security-iam-awsmanpol-Billing)和 [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— 更新现有政策 | 我们向 `Billing` 中添加了以下发票权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/managed-policies.html) 我们向 `AWSBillingReadOnlyAccess` 中添加了以下发票权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2025 年 11 月 19 日 |
| [账单](#security-iam-awsmanpol-Billing)和 [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— 更新现有政策 | 我们向 `Billing` 中添加了以下发票权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/managed-policies.html) 我们向 `AWSBillingReadOnlyAccess` 中添加了以下发票权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2025 年 10 月 1 日 |
| [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – 对现有策略的更新 | 我们向 `AWSBillingReadOnlyAccess` 中添加了以下权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2025 年 8 月 21 日 |
| [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – 对现有策略的更新 | 我们在中添加了以下 AWS 免费套餐 权限`AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2025 年 7 月 9 日 |
| [账单](#security-iam-awsmanpol-Billing)和 [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— 更新现有政策 | 我们向 `Billing` 和 `AWSBillingReadOnlyAccess` 中添加了以下 MAP 2.0 权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2025 年 3 月 27 日 |
| [账单](#security-iam-awsmanpol-Billing) – 现有策略更新 | 我们向 `Billing` 中添加了以下发票权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2025 年 1 月 17 日 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy)、[账单](#security-iam-awsmanpol-Billing)和 [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— 更新现有政策 | 我们向 `AWSPurchaseOrdersServiceRolePolicy` 中添加了以下发票权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/managed-policies.html) 我们向 `AWSBillingReadOnlyAccess` 中添加了以下发票权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/managed-policies.html) 我们向 `Billing` 中添加了以下发票权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2024 年 12 月 1 日 |
| [账单](#security-iam-awsmanpol-Billing)和 [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— 更新现有政策 | 我们向 `Billing` 中添加了以下付款权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/managed-policies.html) 我们向 `AWSBillingReadOnlyAccess` 中添加了以下付款权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2024 年 11 月 12 日 |
| [AWSPriceListServiceFullAccess ](#security-iam-awsmanpol-AWSPriceListServiceFullAccess) - 更新的策略 | 我们添加了 AWS 价目表服务 `AWSPriceListServiceFullAccess` 策略的文档。该策略最初于 2017 年推出。我们已将 `Sid": "AWSPriceListServiceFullAccess` 更新到现有策略中。 | 2024 年 7 月 2 日 |
| [账单](#security-iam-awsmanpol-Billing)和 [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— 更新现有政策 | 我们为 `Billing` 添加了以下成本分配标签相关的权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/managed-policies.html) 我们为 `AWSBillingReadOnlyAccess` 添加了以下标签相关的权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2024 年 5 月 31 日 |
| [账单](#security-iam-awsmanpol-Billing)和 [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— 更新现有政策 | 我们为 `Billing` 添加了以下成本分配标签相关的权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/managed-policies.html) 我们为 `AWSBillingReadOnlyAccess` 添加了以下成本分配标签相关的权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2024 年 3 月 25 日 |
| [账单](#security-iam-awsmanpol-Billing)和 [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— 更新现有政策 | 我们为 `Billing` 添加了以下成本分配标签相关的权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/managed-policies.html) 我们为 `AWSBillingReadOnlyAccess` 添加了以下成本分配标签相关的权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2023 年 7 月 26 日 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy)、[账单](#security-iam-awsmanpol-Billing)和 [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— 更新现有政策 | 我们为 `Billing` 和 `AWSPurchaseOrdersServiceRolePolicy` 添加了以下与采购订单标签相关的权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/managed-policies.html) 我们为 `AWSBillingReadOnlyAccess` 添加了以下标签相关的权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2023 年 7 月 17 日 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy)、[账单](#security-iam-awsmanpol-Billing)和 [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— 更新现有政策 [AWSAccountActivityAccess](#security-iam-awsmanpol-AWSAccountActivityAccess)— 为 AWS 账单记录了新的 AWS 托管政策 | 在所有策略中添加了更新的操作集。 | 2023 年 3 月 6 日 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy):对现有策略的更新 | AWS 账单删除了不必要的权限。 | 2021 年 11 月 18 日 |
| AWS 账单已开始跟踪变更 | AWS Billing 已开始跟踪其 AWS 托管政策的变更。 | 2021 年 11 月 18 日 |
# AWS 账单身份和访问权限疑难解答
使用以下信息可帮助您诊断和修复在使用账单和 IAM 时可能遇到的常见问题。
**Topics**
+ [我没有在账单中执行操作的权限](#security_iam_troubleshoot-no-permissions)
+ [我无权执行 iam:PassRole](#security_iam_troubleshoot-passrole)
+ [我想要查看我的访问密钥](#security_iam_troubleshoot-access-keys)
+ [我是管理员并希望允许其他人访问账单](#security_iam_troubleshoot-admin-delegate)
+ [我想允许我以外的人 AWS 账户 访问我的账单资源](#security_iam_troubleshoot-cross-account-access)
## 我没有在账单中执行操作的权限
如果 AWS 管理控制台 告诉您您无权执行某项操作,则必须联系管理员寻求帮助。您的管理员是提供登录凭证的人。
当 `mateojackson` 用户尝试使用控制台查看有关虚构 `my-example-widget` 资源的详细信息,但不拥有虚构 `billing:GetWidget` 权限时,会发生以下示例错误。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: billing:GetWidget on resource: my-example-widget
```
在这种情况下,Mateo 请求他的管理员更新其策略,以允许他使用 `billing:GetWidget` 操作访问 `my-example-widget` 资源。
## 我无权执行 iam:PassRole
如果您收到一个错误,表明您无权执行 `iam:PassRole` 操作,则必须更新策略以允许您将角色传递给账单。
有些 AWS 服务 允许您将现有角色传递给该服务,而不是创建新的服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。
当名为 `marymajor` 的 IAM 用户尝试使用控制台在账单中执行操作时,会发生以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在这种情况下,必须更新 Mary 的策略以允许她执行 `iam:PassRole` 操作。
如果您需要帮助,请联系您的 AWS 管理员。您的管理员是提供登录凭证的人。
## 我想要查看我的访问密钥
在创建 IAM 用户访问密钥后,您可以随时查看您的访问密钥 ID。但是,您无法再查看您的秘密访问密钥。如果您丢失了私有密钥,则必须创建一个新的访问密钥对。
访问密钥包含两部分:访问密钥 ID(例如 `AKIAIOSFODNN7EXAMPLE`)和秘密访问密钥(例如 `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`)。与用户名和密码一样,您必须同时使用访问密钥 ID 和秘密访问密钥对请求执行身份验证。像对用户名和密码一样,安全地管理访问密钥。
**重要**
请不要向第三方提供访问密钥,即便是为了帮助[找到您的规范用户 ID](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId) 也不行。通过这样做,您可以授予他人永久访问您的权限 AWS 账户。
当您创建访问密钥对时,系统会提示您将访问密钥 ID 和秘密访问密钥保存在一个安全位置。秘密访问密钥仅在您创建它时可用。如果丢失了您的秘密访问密钥,您必须为 IAM 用户添加新的访问密钥。您最多可拥有两个访问密钥。如果您已有两个密钥,则必须删除一个密钥对,然后再创建新的密钥。要查看说明,请参阅 *IAM 用户指南*中的[管理访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey)。
## 我是管理员并希望允许其他人访问账单
要允许其他人访问账单,您必须向需要访问权限的人员或应用程序授予权限。如果使用 AWS IAM Identity Center 管理人员和应用程序,则可以向用户或组分配权限集以定义其访问级别。权限集会自动创建 IAM 策略并将其分配给与人员或应用程序关联的 IAM 角色。有关更多信息,请参阅《AWS IAM Identity Center 用户指南》**中的[权限集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)。
如果未使用 IAM Identity Center,则必须为需要访问的人员或应用程序创建 IAM 实体(用户或角色)。然后,您必须将策略附加到实体,以便在账单中向其授予正确的权限。授予权限后,向用户或应用程序开发人员提供凭证。他们将使用这些凭证访问 AWS。要了解有关创建 IAM 用户、组、策略和权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 身份](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)和 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
## 我想允许我以外的人 AWS 账户 访问我的账单资源
您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表 (ACLs) 的服务,您可以使用这些策略向人们授予访问您的资源的权限。
要了解更多信息,请参阅以下内容:
+ 要了解账单是否支持这些功能,请参阅 [AWS 账单如何与 IAM 配合使用](security_iam_service-with-iam.md)。
+ 要了解如何提供对您拥有的资源的访问权限 AWS 账户 ,请参阅 [IAM 用户*指南中的向您拥有 AWS 账户 的另一个 IAM 用户*提供访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)权限。
+ 要了解如何向第三方提供对您的资源的访问[权限 AWS 账户,请参阅 *IAM 用户指南*中的向第三方提供](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)访问权限。 AWS 账户
+ 要了解如何通过身份联合验证提供访问权限,请参阅《IAM 用户指南》**中的[为经过外部身份验证的用户(身份联合验证)提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 要了解使用角色和基于资源的策略进行跨账户访问之间的差别,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。