本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 带有计费功能的基于身份的政策 AWS
默认情况下,用户和角色没有创建或修改账单资源的权限。要授予用户对所需资源执行操作的权限,IAM 管理员可以创建 IAM 策略。
要了解如何使用这些示例 JSON 策略文档创建基于 IAM 身份的策略,请参阅《IAM 用户指南》**中的[创建 IAM 策略(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
有关 Billing 定义的操作和资源类型(包括每种资源类型的格式)的详细信息,请参阅《*服务授权参考*》中的 “[AWS 账单操作、资源和条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html)”。 ARNs
**Contents**
+ [策略最佳实践](#security_iam_service-with-iam-policy-best-practices)
+ [使用账单控制台](#security_iam_id-based-policy-examples-console)
+ [允许用户查看他们自己的权限](#security_iam_id-based-policy-examples-view-own-permissions)
+ [使用适用于账单的基于身份的策略](#billing-permissions-ref)
+ [AWS 账单控制台操作](#user-permissions)
## 策略最佳实践
基于身份的策略确定某人是否可以创建、访问或删除您账户中的账单资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
+ **开始使用 AWS 托管策略并转向最低权限权限** — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的*AWS 托管策略*。它们在你的版本中可用 AWS 账户。我们建议您通过定义针对您的用例的 AWS 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[工作职能的AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **应用最低权限**:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 策略中的条件进一步限制访问权限**:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果服务操作是通过特定的方式使用的,则也可以使用条件来授予对服务操作的访问权限 AWS 服务,例如 CloudFormation。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性**:IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》**中的[使用 IAM Access Analyzer 验证策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重身份验证 (MFA**)-如果 AWS 账户您的场景需要 IAM 用户或根用户,请启用 MFA 以提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》**中的[使用 MFA 保护 API 访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 使用账单控制台
要访问 AWS 账单控制台,您必须拥有一组最低权限。这些权限必须允许您在中列出和查看有关账单资源的详细信息 AWS 账户。如果创建比必需的最低权限更为严格的基于身份的策略,对于附加了该策略的实体(用户或角色),控制台将无法按预期正常运行。
对于仅调用 AWS CLI 或 AWS API 的用户,您无需为其设置最低控制台权限。相反,只允许访问与其尝试执行的 API 操作相匹配的操作。
您可以在该[AWS 托管策略](managed-policies.md)部分中找到访问权限的详细信息,例如启用 AWS 账单控制台所需的权限、管理员访问权限和只读访问权限。
## 允许用户查看他们自己的权限
该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上或使用 AWS CLI 或 AWS API 以编程方式完成此操作的权限。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 使用适用于账单的基于身份的策略
**注意**
以下 AWS Identity and Access Management (IAM) 操作已于 2023 年 7 月结束标准支持:
`aws-portal` 命名空间
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您正在使用 AWS Organizations,则可以使用[批量策略迁移器脚本](migrate-iam-permissions.md)或批量策略迁移器从您的付款人账户更新政策。您还可以使用[旧到精细操作映射参考](migrate-granularaccess-iam-mapping-reference.md)来验证需要添加的 IAM 操作。
如果您在 2023 年 3 月 6 日上午 11:00(太平洋夏令时)当天或之后 AWS Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 AWS 账户
**重要**
除了 IAM policy 之外,您还必须在[账户设置](https://console.aws.amazon.com/billing/home#/account)控制台页面上授予 IAM 对账单与成本管理控制台的访问权限。
有关更多信息,请参阅以下主题:
[激活对 Billing and Cost Management 控制台的访问权限](control-access-billing.md#ControllingAccessWebsite-Activate)
*IAM 用户指南*中的 [IAM 教程:授予对账单控制台的访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html)
使用本部分可了解基于身份的策略账户管理员如何将权限策略附加到 IAM 身份(角色和组),从而授予对账单资源执行操作的权限。
有关 AWS 账户 和用户的更多信息,请参阅[什么是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_Introduction.html) 在 *IAM 用户指南*中。
有关如何能更新客户管理型策略的说明,请参阅 *IAM 用户指南*中的[编辑客户管理型策略(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console)。
### AWS 账单控制台操作
此表总结了授予访问您的账单信息和工具的权限。有关使用这些权限的策略示例,请参阅[AWS 账单政策示例](billing-example-policies.md)。
有关 AWS 成本管理控制台的操作策略列表,请参阅《[AWS 成本管理*用户指南》中的AWS 成本管理*操作策略](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#user-permissions)。
| 权限名称 | 说明 |
| --- | --- |
| aws-portal:ViewBilling | 授予查看账单和成本管理控制台页面的权限。 |
| aws-portal:ModifyBilling | 授予修改以下账单和成本管理控制台页面的权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awsaccountbilling/latest/aboutv2/security_iam_id-based-policy-examples.html) 要允许 IAM 用户修改这些控制台页面,您必须同时允许 `ModifyBilling` 和 `ViewBilling`。有关策略示例,请参阅 [允许 IAM 用户修改账单信息](billing-example-policies.md#example-billing-deny-modifybilling)。 |
| aws-portal:ViewAccount | 授予查看[账户设置](https://console.aws.amazon.com/billing/home#/account)的权限。 |
| aws-portal:ModifyAccount | 授予修改[账户设置](https://console.aws.amazon.com/billing/home#/account)的权限。 要允许 IAM 用户修改账户设置,您必须同时允许 `ModifyAccount` 和 `ViewAccount`。 有关显式拒绝 IAM 用户访问 **Account Settings(账户设置)**控制台页面的策略的示例,请参阅 [拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息](billing-example-policies.md#example-billing-deny-modifyaccount)。 |
| aws-portal:ViewPaymentMethods | 授予查看[付款方式](https://console.aws.amazon.com/billing/home#/paymentmethods)的权限。 |
| aws-portal:ModifyPaymentMethods | 授予修改[付款方式](https://console.aws.amazon.com/billing/home#/paymentmethods)的权限。 要允许用户修改付款方式,您必须同时允许 `ModifyPaymentMethods` 和 `ViewPaymentMethods`。 |
| billing:ListBillingViews | 授予获取可用账单视图列表的权限。这包括自定义账单视图和与预估账单组相对应的账单视图。 有关自定义账单视图的更多信息,请参阅[使用账单视图控制成本管理数据的访问权限](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-view.html)。 有关查看账单组详细信息的更多信息,请参阅 *AWS Billing Conductor 用户指南*中的[查看您的账单组详细信息](https://docs.aws.amazon.com/billingconductor/latest/userguide/viewing-abc.html)。 |
| billing:CreateBillingView | 授予创建自定义账单视图的权限。 有关策略示例,请参阅[允许用户创建、管理和共享自定义账单视图](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view)。 |
| billing:UpdateBillingView | 授予更新自定义账单视图的权限。 有关策略示例,请参阅[允许用户创建、管理和共享自定义账单视图](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view)。 |
| billing:DeleteBillingView | 授予删除自定义账单视图的权限。 有关策略示例,请参阅[允许用户创建、管理和共享自定义账单视图](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view)。 |
| billing:GetBillingView | 授予获取账单视图定义的权限。 有关策略示例,请参阅[允许用户创建、管理和共享自定义账单视图](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view)。 |
| sustainability:GetCarbonFootprintSummary | 授予查看 AWS 客户碳足迹工具和数据的权限。可从 Billing and Cost Management 控制台的 “ AWS 成本和使用情况报告” 页面进行访问。 有关策略的示例,请参阅[允许 IAM 用户查看您的账单信息和碳足迹报告](billing-example-policies.md#example-ccft-policy)。 |
| cur:DescribeReportDefinitions | 授予查看 AWS 成本和使用情况报告的权限。 AWS 成本和使用情况报告权限适用于使用成本和使用情况报告[服务 API 和 Bill AWS ing and Cost Management 控制台创建的所有报告](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html)。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。 有关策略的示例,请参阅[允许 IAM 用户访问报告控制台页面](billing-example-policies.md#example-billing-view-reports)。 |
| cur:PutReportDefinition | 授予创建 AWS 成本和使用情况报告的权限。 AWS 成本和使用情况报告权限适用于使用成本和使用情况报告[服务 API 和 Bill AWS ing and Cost Management 控制台创建的所有报告](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html)。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。 有关策略的示例,请参阅[允许 IAM 用户访问报告控制台页面](billing-example-policies.md#example-billing-view-reports)。 |
| cur:DeleteReportDefinition | 授予删除 AWS 成本和使用情况报告的权限。 AWS 成本和使用情况报告权限适用于使用成本和使用情况报告[服务 API 和 Bill AWS ing and Cost Management 控制台创建的所有报告](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html)。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。 有关策略的示例,请参阅[创建、查看、编辑或删除 AWS 成本和使用情况报告](billing-example-policies.md#example-policy-report-definition)。 |
| cur:ModifyReportDefinition | 授予修改 AWS 成本和使用情况报告的权限。 AWS 成本和使用情况报告权限适用于使用成本和使用情况报告[服务 API 和 Bill AWS ing and Cost Management 控制台创建的所有报告](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html)。如果您使用 Billing and Cost Management 控制台创建报告,我们建议您更新 IAM 用户的权限。不更新权限将导致用户无法在控制台报告页面上查看、编辑和删除报告。 有关策略的示例,请参阅[创建、查看、编辑或删除 AWS 成本和使用情况报告](billing-example-policies.md#example-policy-report-definition)。 |
| ce:CreateCostCategoryDefinition | 授予创建成本类别的权限。 有关策略示例,请参阅 [查看和管理成本类别](billing-example-policies.md#example-policy-cc-api)。 |
| ce:DeleteCostCategoryDefinition | 授予删除成本类别的权限。 有关策略示例,请参阅 [查看和管理成本类别](billing-example-policies.md#example-policy-cc-api)。 |
| ce:DescribeCostCategoryDefinition | 授予查看成本类别的权限。 有关策略示例,请参阅 [查看和管理成本类别](billing-example-policies.md#example-policy-cc-api)。 |
| ce:ListCostCategoryDefinitions | 授予列出成本类别的权限。 有关策略示例,请参阅 [查看和管理成本类别](billing-example-policies.md#example-policy-cc-api)。 |
| ce:UpdateCostCategoryDefinition | 授予更新成本类别的权限。 有关策略示例,请参阅 [查看和管理成本类别](billing-example-policies.md#example-policy-cc-api)。 |
| aws-portal:ViewUsage | 授予查看 AWS 使用情况[报告的](https://console.aws.amazon.com/billing/home#/reports)权限。 要允许 IAM 用户查看使用情况报告,您必须同时允许 `ViewUsage` 和 `ViewBilling`。 有关策略示例,请参阅 [允许 IAM 用户访问报告控制台页面](billing-example-policies.md#example-billing-view-reports)。 |
| payments:AcceptFinancingApplicationTerms | 允许 IAM 用户同意融资放款人提供的条款。用户需要提供银行账户详细信息进行还款,并签署放款人提供的法律文件。 |
| payments:CreateFinancingApplication | 允许 IAM 用户申请新的融资贷款,并参考所选的融资选项。 |
| payments:GetFinancingApplication | 允许 IAM 用户检索融资应用程序的详细信息。例如,状态、限额、条款和放款人信息。 |
| payments:GetFinancingLine | 允许 IAM 用户检索融资贷款的详细信息。例如,状态和余额。 |
| payments:GetFinancingLineWithdrawal | 允许 IAM 用户检索提款详细信息。例如,余额和还款。 |
| payments:GetFinancingOption | 允许 IAM 用户检索特定融资选项的详细信息。 |
| payments:ListFinancingApplications | 允许 IAM 用户检索所有放款人的所有融资申请的标识符。 |
| payments:ListFinancingLines | 允许 IAM 用户检索所有放款人的所有融资贷款的标识符。 |
| payments:ListFinancingLineWithdrawals | 允许 IAM 用户检索给定贷款的所有现有提款。 |
| payments:ListTagsForResource | 允许或拒绝 IAM 用户查看付款方式标签的权限。 |
| payments:TagResource | 允许或拒绝 IAM 用户为付款方式添加标签的权限。 |
| payments:UntagResource | 允许或拒绝 IAM 用户删除付款方式标签的权限。 |
| payments:UpdateFinancingApplication | 允许 IAM 用户更改融资申请并提交放款人要求的其他信息。 |
| payments:ListPaymentInstruments | 允许或拒绝 IAM 用户列出其注册的付款方式的权限。 |
| payments:UpdatePaymentInstrument | 允许或拒绝 IAM 用户更新其付款方式的权限。 |
| pricing:DescribeServices | 授予通过价目表 AWS 服务 API 查看服务产品和定 AWS 价的权限。 要允许 IAM 用户使用 AWS 价目表服务 API,您必须允许`DescribeServices``GetAttributeValues`、和`GetProducts`。 有关策略示例,请参阅 [查找产品和价格](billing-example-policies.md#example-policy-pe-api)。 |
| pricing:GetAttributeValues | 授予通过价目表 AWS 服务 API 查看服务产品和定 AWS 价的权限。 要允许 IAM 用户使用 AWS 价目表服务 API,您必须允许`DescribeServices``GetAttributeValues`、和`GetProducts`。 有关策略示例,请参阅 [查找产品和价格](billing-example-policies.md#example-policy-pe-api)。 |
| pricing:GetProducts | 授予通过价目表 AWS 服务 API 查看服务产品和定 AWS 价的权限。 要允许 IAM 用户使用 AWS 价目表服务 API,您必须允许`DescribeServices``GetAttributeValues`、和`GetProducts`。 有关策略示例,请参阅 [查找产品和价格](billing-example-policies.md#example-policy-pe-api)。 |
| purchase-orders:ViewPurchaseOrders | 授予查看[采购订单](manage-purchaseorders.md)的权限。 有关策略示例,请参阅 [查看和管理采购订单](billing-example-policies.md#example-view-manage-purchaseorders)。 |
| purchase-orders:ModifyPurchaseOrders | 授予修改[采购订单](manage-purchaseorders.md)的权限。 有关策略示例,请参阅 [查看和管理采购订单](billing-example-policies.md#example-view-manage-purchaseorders)。 |
| tax:GetExemptions | 授予以只读访问权限通过税务控制台查看免税和免税类型的权限。 有关策略示例,请参阅 [允许 IAM 用户查看美国免税和创建 支持 案例](billing-example-policies.md#example-awstaxexemption)。 |
| tax:UpdateExemptions | 授予将免税上传到美国免税控制台的权限。 有关策略示例,请参阅 [允许 IAM 用户查看美国免税和创建 支持 案例](billing-example-policies.md#example-awstaxexemption)。 |
| support:CreateCase | 授予提交支持案例的权限,这是从免税控制台上传免税所需的。 有关策略示例,请参阅 [允许 IAM 用户查看美国免税和创建 支持 案例](billing-example-policies.md#example-awstaxexemption)。 |
| support:AddAttachmentsToSet | 授予将文档附加到需要上传免税证明材料到免税控制台的支持案例的权限。 有关策略示例,请参阅 [允许 IAM 用户查看美国免税和创建 支持 案例](billing-example-policies.md#example-awstaxexemption)。 |
| customer-verification:GetCustomerVerificationEligibility | (仅适用于拥有印度账单或联系地址的客户) 授予检索客户验证资格的权限。 |
| customer-verification:GetCustomerVerificationDetails | (仅适用于拥有印度账单或联系地址的客户) 授予检索客户验证数据的权限。 |
| customer-verification:CreateCustomerVerificationDetails | (仅适用于拥有印度账单或联系地址的客户) 授予创建客户验证数据的权限。 |
| customer-verification:UpdateCustomerVerificationDetails | (仅适用于拥有印度账单或联系地址的客户) 授予更新客户验证数据的权限。 |
| mapcredit:ListAssociatedPrograms | 授予查看付款人账户的关联Migration Acceleration Program协议和控制面板的权限。 |
| mapcredit:ListQuarterSpend | 授予查看付款人账户的Migration Acceleration Program合格支出的权限。 |
| mapcredit:ListQuarterCredits | 授予查看付款人账户的Migration Acceleration Program信用情况的权限。 |
| invoicing:BatchGetInvoiceProfile | 授予查看发票配置文件以进行发 AWS 票配置的只读访问权限。 |
| invoicing:CreateInvoiceUnit | 授予为发票配置创建发 AWS 票单位的权限。 |
| invoicing:DeleteInvoiceUnit | 授予删除发票单位以进行发 AWS 票配置的权限。 |
| invoicing:GetInvoiceUnit | 授予查看发票单元以进行发 AWS 票配置的只读访问权限。 |
| invoicing:ListInvoiceUnits | 授予列出所有发票单位以进行 AWS 发票配置的权限。 |
| invoicing:ListTagsForResource | 允许或拒绝 IAM 用户查看发票单元标签以进行发 AWS 票配置的权限。 |
| invoicing:TagResource | 允许或拒绝 IAM 用户为发票单元添加标签以进行发 AWS 票配置的权限。 |
| invoicing:UntagResource | 允许或拒绝 IAM 用户从发票单元中删除标签以进行发 AWS 票配置的权限。 |
| invoicing:UpdateInvoiceUnit | 授予编辑权限以更新发票单位以进行 AWS 发票配置。 |