本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 用于 AWS 成本管理的 Identity and Access Management
AWS Identity and Access Management (IAM) AWS 服务 可帮助管理员安全地控制对 AWS 资源的访问权限。IAM 管理员控制谁可以*进行身份验证*(登录)和*授权(有权*限)使用 AWS 成本管理资源。您可以使用 IAM AWS 服务 ,无需支付额外费用。
**Topics**
+ [用户类型和账单权限](#security_iam_audience)
+ [受众](#security_iam_audience)
+ [使用身份进行身份验证](#security_iam_authentication)
+ [使用策略管理访问](#security_iam_access-manage)
+ [管理访问权限的概述](control-access-billing.md)
+ [AWS 成本管理如何与 IAM 配合使用](security_iam_service-with-iam.md)
+ [基于身份的成本管理策略示 AWS 例](security_iam_id-based-policy-examples.md)
+ [使用基于身份的策略(IAM 策略)进行成本管理 AWS](billing-permissions-ref.md)
+ [AWS 成本管理政策示例](billing-example-policies.md)
+ [迁移 AWS 成本管理的访问控制](migrate-granularaccess-whatis.md)
+ [防止跨服务混淆座席](cross-service-confused-deputy-prevention.md)
+ [AWS 成本管理身份和访问权限疑难解答](security_iam_troubleshoot.md)
+ [AWS 成本管理的服务相关角色](#security_iam_service-with-iam-roles-service-linked)
+ [使用服务关联角色](cost-management-SLR.md)
+ [AWS B AWS illing and Cost Management 的托管政策](security-iam-awsmanpol.md)
## 用户类型和账单权限
此表汇总了 AWS 成本管理中允许对每种类型的账单用户执行的默认操作。
**用户类型和账单权限**
| 用户类型 | 说明 | 账单权限 |
| --- | --- | --- |
| 账户所有者 | 以其名义设置账户的人员或实体。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/cost-management/latest/userguide/security-iam.html) |
| 用户 | 由账户所有者或管理用户定义为账户用户的某个人员或应用程序。账户可以包含多个 用户。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/cost-management/latest/userguide/security-iam.html) |
| 组织管理账户所有者 | 与 AWS Organizations 管理账户关联的个人或实体。管理账户为组织中成员账户产生的 AWS 使用量付费。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/cost-management/latest/userguide/security-iam.html) |
| 组织成员账户所有者 | 与 AWS Organizations 成员账户关联的个人或实体。管理账户为组织中成员账户产生的 AWS 使用量付费。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/cost-management/latest/userguide/security-iam.html) |
## 受众
您的使用方式 AWS Identity and Access Management (IAM) 因您的角色而异:
+ **服务用户**:如果您无法访问功能,请从管理员处请求权限(请参阅[AWS 成本管理身份和访问权限疑难解答](security_iam_troubleshoot.md))
+ **服务管理员**:确定用户访问权限并提交权限请求(请参阅[AWS 成本管理如何与 IAM 配合使用](security_iam_service-with-iam.md))
+ **IAM 管理员**:编写用于管理访问权限的策略(请参阅[基于身份的成本管理策略示 AWS 例](security_iam_id-based-policy-examples.md))
## 使用身份进行身份验证
身份验证是您 AWS 使用身份凭证登录的方式。您必须以 IAM 用户身份进行身份验证 AWS 账户根用户,或者通过担任 IAM 角色进行身份验证。
您可以使用来自身份源的证书 AWS IAM Identity Center (例如(IAM Identity Center)、单点登录身份验证或 Google/Facebook 证书,以联合身份登录。有关登录的更多信息,请参阅《AWS 登录 用户指南》**中的[如何登录您的 AWS 账户](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
对于编程访问, AWS 提供 SDK 和 CLI 来对请求进行加密签名。有关更多信息,请参阅*《IAM 用户指南》*中的[适用于 API 请求的AWS 签名版本 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
### AWS 账户 root 用户
创建时 AWS 账户,首先会有一个名为 AWS 账户 *root 用户的*登录身份,该身份可以完全访问所有资源 AWS 服务 和资源。我们强烈建议不要使用根用户进行日常任务。有关需要根用户凭证的任务,请参阅《IAM 用户指南》**中的[需要根用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### 联合身份
作为最佳实践,要求人类用户使用与身份提供商的联合身份验证才能 AWS 服务 使用临时证书进行访问。
*联合身份是指*来自您的企业目录、Web 身份提供商的用户 Directory Service ,或者 AWS 服务 使用来自身份源的凭据进行访问的用户。联合身份代入可提供临时凭证的角色。
要集中管理访问权限,建议使用。 AWS IAM Identity Center有关更多信息,请参阅《AWS IAM Identity Center 用户指南》**中的[什么是 IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。
### IAM 用户和群组
*[IAM 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*是对某个人员或应用程序具有特定权限的一个身份。建议使用临时凭证,而非具有长期凭证的 IAM 用户。有关更多信息,请参阅 *IAM 用户指南*[中的要求人类用户使用身份提供商的联合身份验证才能 AWS 使用临时证书进行访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)指定一组 IAM 用户,便于更轻松地对大量用户进行权限管理。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM 用户使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
### IAM 角色
*[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*是具有特定权限的身份,可提供临时凭证。您可以通过[从用户切换到 IAM 角色(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或调用 AWS CLI 或 AWS API 操作来代入角色。有关更多信息,请参阅《IAM 用户指南》**中的[担任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色对于联合用户访问、临时 IAM 用户权限、跨账户访问、跨服务访问以及在 Amazon EC2 上运行的应用程序非常有用。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 使用策略管理访问
您可以 AWS 通过创建策略并将其附加到 AWS 身份或资源来控制中的访问权限。策略定义了与身份或资源关联时的权限。 AWS 在委托人提出请求时评估这些政策。大多数策略都以 JSON 文档的 AWS 形式存储在中。有关 JSON 策略文档的更多信息,请参阅*《IAM 用户指南》*中的 [JSON 策略概述](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理员使用策略,通过定义哪个**主体**可以在什么**条件**下对哪些**资源**执行哪些**操作**来指定谁有权访问什么。
默认情况下,用户和角色没有权限。IAM 管理员创建 IAM 策略并将其添加到角色中,然后用户可以担任这些角色。IAM 策略定义权限,与执行操作所用的方法无关。
### 基于身份的策略
基于身份的策略是您附加到身份(用户、组或角色)的 JSON 权限策略文档。这些策略控制身份可以执行什么操作、对哪些资源执行以及在什么条件下执行。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
基于身份的策略可以是*内联策略*(直接嵌入到单个身份中)或*托管策略*(附加到多个身份的独立策略)。要了解如何在托管策略和内联策略之间进行选择,请参阅*《IAM 用户指南》*中的[在托管策略与内联策略之间进行选择](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。
### 基于资源的策略
基于资源的策略是附加到资源的 JSON 策略文档。示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
基于资源的策略是位于该服务中的内联策略。您不能在基于资源的策略中使用 IAM 中的 AWS 托管策略。
### 其他策略类型
AWS 支持其他策略类型,这些策略类型可以设置更常见的策略类型授予的最大权限:
+ **权限边界** – 设置基于身份的策略可以授予 IAM 实体的最大权限。有关更多信息,请参阅《 IAM 用户指南》**中的 [IAM 实体的权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服务控制策略 (SCPs)**-在中指定组织或组织单位的最大权限 AWS Organizations。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **资源控制策略 (RCPs)**-设置账户中资源的最大可用权限。有关更多信息,请参阅《*AWS Organizations 用户指南》*中的[资源控制策略 (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **会话策略** – 在为角色或联合用户创建临时会话时,作为参数传递的高级策略。有关更多信息,请参阅《IAM 用户指南》**中的[会话策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多个策略类型
当多个类型的策略应用于一个请求时,生成的权限更加复杂和难以理解。要了解在涉及多种策略类型时如何 AWS 确定是否允许请求,请参阅 *IAM 用户指南*中的[策略评估逻辑](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# 管理访问权限的概述
## 授予对账单信息和工具的访问权限
AWS 账户所有者可以通过 AWS 管理控制台 使用账户凭证登录来访问账单信息和工具。我们建议您不要使用日常用于访问账户的账户密码,尤其是不要与他人共享账户凭证来向其提供对账户的访问权限。
对于您的日常管理任务,请创建一个管理用户来安全地控制对 AWS 资源的访问权限。默认情况下,IAM 用户无权访问 [AWS 成本管理控制台](https://console.aws.amazon.com/billing/)。作为管理员,您可以在自己的 AWS 账户下创建用户可以代入的角色。创建角色后,您可以根据所需的访问权限为其附加 IAM 策略。例如,您可授予部分用户对部分账单信息和工具的有限访问权限,并授予其他人对所有信息和工具的完整访问权限。
**注意**
IAM 是您 AWS 账户的一项功能。如果您已注册一种与 IAM 集成的产品,则可以直接注册 IAM 而无需执行任何其他操作,也无需为使用它付费。
Cost Explorer 的权限适用于所有账户和成员账户,不管 IAM 策略如何。有关 Cost Explorer 访问权限的更多信息,请参阅 [控制 Cost Explorer 访问权限](ce-access.md)。
## 激活对 Billing and Cost Management 控制台的访问权限
默认情况下, AWS 账户中的 IAM 角色无法访问账单和成本管理控制台页面。即使角色具有授予对某些账单和成本管理功能访问权限的 IAM 策略,也是如此。 AWS 账户管理员可以使用 “**激活 IAM 访问权限” 设置允许角色访问**账单和成本管理控制台页面。
在 AWS 成本管理控制台上,“**激活 IAM 访问权限**” 设置控制对以下页面的访问权限:
+ 主页
+ Cost Explorer 成本管理服务
+ Reports
+ 规模优化建议
+ Savings Plans 建议
+ Savings Plans 使用率报告
+ Savings Plans 覆盖率报告
+ 预留概览
+ 预留建议
+ 预留使用率报告
+ 预留覆盖率报告
+ Preferences(首选项)
有关账单控制台的**激活 IAM 访问权限**设置对账单控制台的页面列表,请参阅*账单用户指南*中的[账单控制台激活访问权限](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html#ControllingAccessWebsite-Activate)。
**重要**
单独激活 IAM 访问权限并不会授予 IAM 用户和角色对这些账单和成本管理控制台页面的必要权限。除了激活 IAM 访问权限外,您还必须将所需的 IAM 策略附加到这些角色。有关更多信息,请参阅 [使用基于身份的策略(IAM 策略)进行成本管理 AWS](billing-permissions-ref.md)。
**Activate IAM Access(激活 IAM 访问权限)**设置不会控制对以下页面和资源的访问权限:
+ AWS 成本异常检测、储蓄计划概述、储蓄计划库存、购买储蓄计划和储蓄计划购物车的主机页面
+ 中的 “成本管理” 视图 AWS Console Mobile Application
+ Billing and Cost Management SDK APIs (AWS Cost Explorer、 AWS 预算以及 AWS 成本和使用情况报告 APIs)
+ AWS Systems Manager 应用程序管理器
+ 主机内的 AWS 定价计算器
+ Amazon Q 中的成本分析功能
+ 的 AWS Activate Console
默认情况下,**激活 IAM 访问权限**设置处于停用状态。要激活此设置,您必须使用根用户凭据登录您的 AWS 帐户,然后在 “**帐户**” 页面中选择该设置。在您希望允许 IAM 角色访问账单和成本管理控制台页面的每个账户中激活此设置。如果您使用 AWS Organizations,则在您想要允许 IAM 角色访问控制台页面的每个管理账户或成员账户中激活此设置。
**注意**
**激活 IAM 访问权限**设置不适用于具有管理员访问权限的用户。此设置仅适用于账户的根用户。
如果**激活 IAM 访问权限**设置未激活,则账户中的 IAM 角色无法访问账单和成本管理控制台页面。即使他们拥有管理员访问权限或所需的 IAM 策略,也是如此。
**激活 IAM 用户和角色对 Billing and Cost Management 控制台的访问权限**
1. 使用您的根账户凭证(特别是您创建账户时使用的电子邮件地址和密码)登录 AWS 管理控制台。 AWS
1. 在导航栏中,选择账户名称,然后选择 [Account](https://console.aws.amazon.com/billing/home#/account)(账户)。
1. 选择 **IAM 用户和角色访问账单信息的权限**旁边的**编辑**。
1. 选中 **Activate IAM Access**(激活 IAM 访问权限)复选框以激活对 Billing and Cost Management 页面的访问权限。
1. 选择**更新**。
激活 IAM 访问权限后,您还必须将所需的 IAM 策略附加到 IAM 角色。IAM 策略可授予或拒绝对特定 Billing and Cost Management 功能的访问权限。有关更多信息,请参阅 [使用基于身份的策略(IAM 策略)进行成本管理 AWS](billing-permissions-ref.md)。
# AWS 成本管理如何与 IAM 配合使用
AWS 成本管理与 AWS Identity and Access Management (IAM) 服务集成,因此您可以控制组织中谁有权访问[AWS 成本管理控制台](https://console.aws.amazon.com/cost-management/home)上的特定页面。您可控制对发票和有关费用以及账户活动、预算、付款方式和抵扣有关的详细信息的访问。
有关如何激活对账单和成本管理控制台的访问权限的说明,请参阅 *IAM 用户指南*中的[教程:委托对账单控制台的访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html)。
在使用 IAM 管理对 AWS 成本管理的访问权限之前,请先了解有哪些 IAM 功能可用于 AWS 成本管理。
**您可以在 AWS 成本管理中使用的 IAM 功能**
| IAM 功能 | AWS 成本管理支持 |
| --- | --- |
| [基于身份的策略](#security_iam_service-with-iam-id-based-policies) | 是 |
| [基于资源的策略](#security_iam_service-with-iam-resource-based-policies) | 否 |
| [策略操作](#security_iam_service-with-iam-id-based-policies-actions) | 是 |
| [策略资源](#security_iam_service-with-iam-id-based-policies-resources) | 部分 |
| [策略条件键](#security_iam_service-with-iam-id-based-policies-conditionkeys) | 是 |
| [ACLs](#security_iam_service-with-iam-acls) | 否 |
| [ABAC(策略中的标签)](#security_iam_service-with-iam-tags) | 部分 |
| [临时凭证](#security_iam_service-with-iam-roles-tempcreds) | 是 |
| [转发访问会话(FAS)](#security_iam_service-with-iam-principal-permissions) | 是 |
| [服务角色](#security_iam_service-with-iam-roles-service) | 是 |
| [服务关联角色](security-iam.md#security_iam_service-with-iam-roles-service-linked) | 否 |
要全面了解 AWS 成本管理和其他 AWS 服务如何与大多数 IAM 功能配合使用,请参阅 IAM *用户指南中的与 IAM* [配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## 基于身份的成本管理策略 AWS
**支持基于身份的策略:**是
基于身份的策略是可附加到身份(如 IAM 用户、用户组或角色)的 JSON 权限策略文档。这些策略控制用户和角色可在何种条件下对哪些资源执行哪些操作。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。要了解可在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素引用](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 基于身份的成本管理策略示 AWS 例
要查看 AWS 成本管理基于身份的策略的示例,请参阅。[基于身份的成本管理策略示 AWS 例](security_iam_id-based-policy-examples.md)
## AWS 成本管理中基于资源的政策
**支持基于资源的策略:**否
基于资源的策略是附加到资源的 JSON 策略文档。基于资源的策略的示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。对于在其中附加策略的资源,策略定义指定主体可以对该资源执行哪些操作以及在什么条件下执行。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。委托人可以包括账户、用户、角色、联合用户或 AWS 服务。
要启用跨账户访问,您可以将整个账户或其他账户中的 IAM 实体指定为基于资源的策略中的主体。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## AWS 成本管理的政策行动
**支持策略操作:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
要查看 AWS 成本管理操作列表,请参阅《*服务授权参考》中[AWS 成本管理定义](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostexplorerservice.html)的活动*。
AWS 成本管理中的策略操作在操作前使用以下前缀:
```
ce
```
要在单个语句中指定多项操作,请使用逗号将它们隔开。
```
"Action": [
"ce:action1",
"ce:action2"
]
```
要查看 AWS 成本管理基于身份的策略的示例,请参阅。[基于身份的成本管理策略示 AWS 例](security_iam_id-based-policy-examples.md)
## AWS 成本管理的政策资源
**支持策略资源:**部分
仅监控、订阅和成本类别支持策略资源。
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。
```
"Resource": "*"
```
要查看 Cost Explorer 资源类型列表,请参阅《 AWS *服务授权参考*》中的 Cos [t Explorer 的操作、资源和条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostexplorerservice.html)。 AWS
要查看 AWS 成本管理基于身份的策略的示例,请参阅。[基于身份的成本管理策略示 AWS 例](security_iam_id-based-policy-examples.md)
## AWS 成本管理的策略条件密钥
**支持特定于服务的策略条件键:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
要查看 AWS 成本管理条件密钥、操作和资源的列表,请参阅*服务授权参考*中的[AWS 成本管理条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostexplorerservice.html)。
要查看 AWS 成本管理基于身份的策略的示例,请参阅。[基于身份的成本管理策略示 AWS 例](security_iam_id-based-policy-examples.md)
## AWS 成本管理中的访问控制列表 (ACLs)
**支持 ACLs:**否
访问控制列表 (ACLs) 控制哪些委托人(账户成员、用户或角色)有权访问资源。 ACLs 与基于资源的策略类似,尽管它们不使用 JSON 策略文档格式。
## 基于属性的访问控制 (ABAC) 和成本管理 AWS
**支持 ABAC(策略中的标签):**部分支持
仅监控、订阅和成本类别支持基于属性的访问控制(策略中的标签)。
基于属性的访问权限控制(ABAC)是一种授权策略,该策略基于称为标签的属性来定义权限。您可以将标签附加到 IAM 实体和 AWS 资源,然后设计 ABAC 策略以允许在委托人的标签与资源上的标签匹配时进行操作。
要基于标签控制访问,您需要使用 `aws:ResourceTag/key-name``aws:RequestTag/key-name` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。
如果某个服务对于每种资源类型都支持所有这三个条件键,则对于该服务,该值为**是**。如果某个服务仅对于部分资源类型支持所有这三个条件键,则该值为**部分**。
有关 ABAC 的更多信息,请参阅《IAM 用户指南》**中的[使用 ABAC 授权定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。要查看设置 ABAC 步骤的教程,请参阅《IAM 用户指南》**中的[使用基于属性的访问权限控制(ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。
## 在 AWS 成本管理中使用临时证书
**支持临时凭证:**是
临时证书提供对 AWS 资源的短期访问权限,并且是在您使用联合身份或切换角色时自动创建的。 AWS 建议您动态生成临时证书,而不是使用长期访问密钥。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)和[使用 IAM 的。AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)
## AWS 成本管理的转发访问会话
**支持转发访问会话(FAS):**是
转发访问会话 (FAS) 使用调用主体的权限 AWS 服务,再加上 AWS 服务 向下游服务发出请求的请求。有关发出 FAS 请求时的策略详情,请参阅[转发访问会话](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。
## AWS 成本管理的服务角色
**支持服务角色:**是
服务角色是由一项服务担任、代表您执行操作的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。IAM 管理员可以在 IAM 中创建、修改和删除服务角色。有关更多信息,请参阅《IAM 用户指南》**中的[创建向 AWS 服务委派权限的角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
**警告**
更改服务角色的权限可能会中断 AWS 成本管理功能。只有在 AWS 成本管理部门提供相关指导时才编辑服务角色。
# 基于身份的成本管理策略示 AWS 例
默认情况下,用户和角色无权创建或修改 AWS 成本管理资源。要授予用户对所需资源执行操作的权限,IAM 管理员可以创建 IAM 策略。
要了解如何使用这些示例 JSON 策略文档创建基于 IAM 身份的策略,请参阅《IAM 用户指南》**中的[创建 IAM 策略(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
有关 Cost Management 定义的 AWS 操作和资源类型(包括每种资源类型的格式)的详细信息,请参阅《*服务授权参考*》中的 “[AWS 成本管理的操作、资源和条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostexplorerservice.html)”。 ARNs
**Topics**
+ [策略最佳实践](#security_iam_service-with-iam-policy-best-practices)
+ [使用 AWS 成本管理控制台](#security_iam_id-based-policy-examples-console)
+ [允许用户查看他们自己的权限](#security_iam_id-based-policy-examples-view-own-permissions)
## 策略最佳实践
基于身份的策略决定了某人是否可以在您的账户中创建、访问或删除 AWS 成本管理资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
+ **开始使用 AWS 托管策略并转向最低权限权限** — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的*AWS 托管策略*。它们在你的版本中可用 AWS 账户。我们建议您通过定义针对您的用例的 AWS 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[工作职能的AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **应用最低权限**:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 策略中的条件进一步限制访问权限**:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果服务操作是通过特定的方式使用的,则也可以使用条件来授予对服务操作的访问权限 AWS 服务,例如 CloudFormation。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性**:IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》**中的[使用 IAM Access Analyzer 验证策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重身份验证 (MFA**)-如果 AWS 账户您的场景需要 IAM 用户或根用户,请启用 MFA 以提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》**中的[使用 MFA 保护 API 访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 使用 AWS 成本管理控制台
要访问 AWS 成本管理控制台,您必须拥有一组最低权限。这些权限必须允许您列出和查看有关 AWS 成本管理资源的详细信息 AWS 账户。如果创建比必需的最低权限更为严格的基于身份的策略,对于附加了该策略的实体(用户或角色),控制台将无法按预期正常运行。
对于仅调用 AWS CLI 或 AWS API 的用户,您无需为其设置最低控制台权限。相反,只允许访问与其尝试执行的 API 操作相匹配的操作。
为确保用户和角色仍然可以使用 AWS 成本管理控制台,还要将 AWS 成本管理`ConsoleAccess`或`ReadOnly` AWS 托管策略附加到实体。有关更多信息,请参阅《IAM 用户指南》**中的[为用户添加权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)。
## 允许用户查看他们自己的权限
该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上或使用 AWS CLI 或 AWS API 以编程方式完成此操作的权限。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# 使用基于身份的策略(IAM 策略)进行成本管理 AWS
**注意**
以下 AWS Identity and Access Management (IAM) 操作已于 2023 年 7 月结束标准支持:
`aws-portal` 命名空间
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您正在使用 AWS Organizations,则可以使用[批量策略迁移程序脚本](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html)从您的付款人账户更新政策。您还可以使用[旧到精细操作映射参考](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html)来验证需要添加的 IAM 操作。
有关更多信息,请参阅[AWS 账单、 AWS 成本管理和账户控制台权限变](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/)更博客。
如果您在 2023 年 3 月 6 日上午 11:00(太平洋夏令时)当天或之后 AWS Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 AWS 账户
本主题提供了基于身份的策略的示例,这些示例展示了账户管理员如何将权限策略附加到 IAM 身份(即用户、组和角色),从而授予对账单和成本管理资源执行操作的权限。
有关 AWS 账户和用户的完整讨论,请参阅[什么是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_Introduction.html) 在 *IAM 用户指南*中。
有关如何能更新客户管理型策略的说明,请参阅 *IAM 用户指南*中的[编辑客户管理型策略(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console)。
**Topics**
+ [Billing and Cost Management 操作策略](#user-permissions)
+ [账单与成本管理建议的操作策略](#allows-recommended-actions-access)
+ [托管策略](#managed-policies)
+ [AWS AWS 托管政策的成本管理更新](#updates-managedIAM)
## Billing and Cost Management 操作策略
此表总结了允许或拒绝 用户访问您的账单信息和工具的权限。有关使用这些权限的策略示例,请参阅[AWS 成本管理政策示例](billing-example-policies.md)。
有关账单控制台操作策略的列表,请参阅*账单用户指南*中的[账单操作策略](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions)。
| 权限名称 | 说明 |
| --- | --- |
| `aws-portal:ViewBilling` | 允许或拒绝用户查看以下账单和成本管理控制台页面的权限。有关策略示例,请参阅*账单用户指南*中的[允许 IAM 用户查看您的账单信息](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-billing-view-billing-only)。 |
| aws-portal:ViewUsage | 允许或拒绝用户查看 AWS 使用情况[报告的](https://portal.aws.amazon.com/billing/home#/reports)权限。 要允许用户查看使用率报告,您必须同时允许 `ViewUsage` 和 `ViewBilling`。 有关策略示例,请参阅*账单用户指南*中的[允许 IAM 用户访问报告控制台页面](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-billing-view-reports)。 |
| `aws-portal:ModifyBilling` | 允许或拒绝 用户修改以下账单和成本管理控制台页面的权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/cost-management/latest/userguide/billing-permissions-ref.html) 要允许用户修改这些控制台页面,您必须同时允许 `ModifyBilling` 和 `ViewBilling`。有关策略示例,请参阅 [允许用户修改账单信息](billing-example-policies.md#example-billing-deny-modifybilling)。 |
| `aws-portal:ViewAccount` | 允许或拒绝 用户查看以下账单和成本管理控制台页面的权限: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/cost-management/latest/userguide/billing-permissions-ref.html) |
| aws-portal:ModifyAccount | 允许或拒绝用户修改[账户设置](https://portal.aws.amazon.com/billing/home#/account)的权限。 要允许用户修改账户设置,您必须同时允许 `ModifyAccount` 和 `ViewAccount`。 有关显式拒绝、用户访问**账户设置**控制台页面的策略的示例,请参阅 [拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息](billing-example-policies.md#example-billing-deny-modifyaccount)。 |
| budgets:ViewBudget | 允许或拒绝用户查看[预算](https://portal.aws.amazon.com/billing/home#/budgets)的权限。 要允许用户查看预算,您还必须允许 `ViewBilling`。 |
| budgets:ModifyBudget | 允许或拒绝用户修改[预算](https://portal.aws.amazon.com/billing/home#/budgets)的权限。 要允许用户查看和修改预算,您还必须允许`ViewBilling`。 |
| ce:GetPreferences | 允许或拒绝用户查看 Cost Explorer 首选项页面的权限。 有关策略示例,请参阅 [查看和更新 Cost Explorer 首选项页面](billing-example-policies.md#example-view-update-ce)。 |
| ce:UpdatePreferences | 允许或拒绝用户更新 Cost Explorer 首选项页面的权限。 有关策略示例,请参阅 [查看和更新 Cost Explorer 首选项页面](billing-example-policies.md#example-view-update-ce)。 |
| ce:DescribeReport | 允许或拒绝用户查看 Cost Explorer 报告页面的权限。 有关策略示例,请参阅 [使用 Cost Explorer 报告页面查看、创建、更新和删除](billing-example-policies.md#example-view-ce-reports)。 |
| ce:CreateReport | 允许或拒绝用户使用 Cost Explorer 报告页面创建报告的权限。 有关策略示例,请参阅 [使用 Cost Explorer 报告页面查看、创建、更新和删除](billing-example-policies.md#example-view-ce-reports)。 |
| ce:UpdateReport | 允许或拒绝用户使用 Cost Explorer 报告页面更新的权限。 有关策略示例,请参阅 [使用 Cost Explorer 报告页面查看、创建、更新和删除](billing-example-policies.md#example-view-ce-reports)。 |
| ce:DeleteReport | 允许或拒绝用户使用 Cost Explorer 报告页面删除报告的权限。 有关策略示例,请参阅 [使用 Cost Explorer 报告页面查看、创建、更新和删除](billing-example-policies.md#example-view-ce-reports)。 |
| ce:DescribeNotificationSubscription | 允许或拒绝用户在预留概览页面中查看 Cost Explorer 预留到期提醒的权限。 有关策略示例,请参阅 [查看、创建、更新和删除预留和 Savings Plans 提醒](billing-example-policies.md#example-view-ce-expiration)。 |
| ce:CreateNotificationSubscription | 允许或拒绝用户在预留概览页面中创建 Cost Explorer 预留到期提醒的权限。 有关策略示例,请参阅 [查看、创建、更新和删除预留和 Savings Plans 提醒](billing-example-policies.md#example-view-ce-expiration)。 |
| ce:UpdateNotificationSubscription | 允许或拒绝用户在预留概览页面中更新 Cost Explorer 预留到期提醒的权限。 有关策略示例,请参阅 [查看、创建、更新和删除预留和 Savings Plans 提醒](billing-example-policies.md#example-view-ce-expiration)。 |
| ce:DeleteNotificationSubscription | 允许或拒绝用户在预留概览页面中删除 Cost Explorer 预留到期提醒的权限。 有关策略示例,请参阅 [查看、创建、更新和删除预留和 Savings Plans 提醒](billing-example-policies.md#example-view-ce-expiration)。 |
| ce:CreateCostCategoryDefinition | 允许或拒绝 用户创建成本类别的权限。 有关策略示例,请参阅*账单用户指南*中的[查看和管理成本类别](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-policy-cc-api)。 在此期间,您可以将资源标签添加到监控 `Create`。要创建带有资源标签的监控,您需要 `ce:TagResource` 权限。 |
| ce:DeleteCostCategoryDefinition | 允许或拒绝 用户删除成本类别的权限。 有关策略示例,请参阅*账单用户指南*中的[查看和管理成本类别](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-policy-cc-api)。 |
| ce:DescribeCostCategoryDefinition | 允许或拒绝 用户查看成本类别的权限。 有关策略示例,请参阅*账单用户指南*中的[查看和管理成本类别](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-policy-cc-api)。 |
| ce:ListCostCategoryDefinitions | 允许或拒绝 用户列出成本类别的权限。 有关策略示例,请参阅*账单用户指南*中的[查看和管理成本类别](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-policy-cc-api)。 |
| ce:ListTagsForResource | 允许或拒绝用户列出给定资源的所有资源标签的权限。有关支持的资源列表,请参阅 *AWS 账单与成本管理 API 参考[ResourceTag](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_ResourceTag.html)*中的。 |
| ce:UpdateCostCategoryDefinition | 允许或拒绝 用户更新成本类别的权限。 有关策略示例,请参阅*账单用户指南*中的[查看和管理成本类别](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-policy-cc-api)。 |
| ce:CreateAnomalyMonitor | 允许或拒绝用户创建单个 [AWS 成本异常情况检测](manage-ad.md) 监控的权限。在此期间,您可以将资源标签添加到监控 `Create`。要创建带有资源标签的监控,您需要 `ce:TagResource` 权限。 |
| ce:GetAnomalyMonitors | 允许或拒绝用户查看所有 [AWS 成本异常情况检测](manage-ad.md)监控的权限。 |
| ce:UpdateAnomalyMonitor | 允许或拒绝用户更新 [AWS 成本异常情况检测](manage-ad.md)监控的权限。 |
| ce:DeleteAnomalyMonitor | 允许或拒绝用户删除 [AWS 成本异常情况检测](manage-ad.md)监控的权限。 |
| ce:CreateAnomalySubscription | 允许或拒绝用户创建单个 [AWS 成本异常情况检测](manage-ad.md)订阅的权限。您可以在此期间为订阅添加资源标签 `Create`。要创建带有资源标签的订阅,您需要该 `ce:TagResource` 权限。 |
| ce:GetAnomalySubscriptions | 允许或拒绝用户查看所有 [AWS 成本异常情况检测](manage-ad.md)订阅的权限。 |
| ce:UpdateAnomalySubscription | 允许或拒绝用户更新 [AWS 成本异常情况检测](manage-ad.md)订阅的权限。 |
| ce:DeleteAnomalySubscription | 允许或拒绝用户删除 [AWS 成本异常情况检测](manage-ad.md)订阅的权限。 |
| ce:GetAnomalies | 允许或拒绝用户在 [AWS 成本异常情况检测](manage-ad.md)中查看所有异常的权限。 |
| ce:ProvideAnomalyFeedback | 允许或拒绝用户为检测到的 [AWS 成本异常情况检测](manage-ad.md)提供反馈的权限。 |
| ce:TagResource | 允许或拒绝用户向资源添加资源标签键值对的权限。有关支持的资源列表,请参阅 *AWS 账单与成本管理 API 参考[ResourceTag](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_ResourceTag.html)*中的。 |
| ce:UntagResource | 允许或拒绝用户从资源中删除资源标签的权限。有关支持的资源列表,请参阅 *AWS 账单与成本管理 API 参考[ResourceTag](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_ResourceTag.html)*中的。 |
| ce:GetCostAndUsageComparisons | 允许或拒绝用户检索成本和使用情况比较的权限。 |
| ce:GetCostComparisonDrivers | 允许或拒绝用户检索成本驱动因素的权限。 |
## 账单与成本管理建议的操作策略
要开始使用建议的操作,您需要拥有下列核心权限:
+ `bcm-recommended-actions:ListRecommendedActions`
根据建议的操作类型,还需要授予其他权限。下表汇总了不同的建议操作类型以及查看建议操作所需的相应 IAM 策略权限。
**注意**
即使授予了 IAM 策略权限,也只有在建议的操作实际适用时才会看到相应的建议操作类型。
| 建议的操作类型 | 所需权限名称 | 说明 |
| --- | --- | --- |
| 付款方式已过期 | "bcm-recommended-actions:ListRecommendedActions",
"payments:ListPaymentPreferences",
"payments:GetPaymentInstrument"
| 适用于付款相关的建议操作。 |
| 付款方式无效 | "bcm-recommended-actions:ListRecommendedActions",
"payments:ListPaymentPreferences",
"payments:GetPaymentInstrument"
| 适用于付款相关的建议操作。 |
| 付款逾期 | "bcm-recommended-actions:ListRecommendedActions",
"payments:GetPaymentStatus"
| 适用于付款相关的建议操作。 |
| 到期付款 | "bcm-recommended-actions:ListRecommendedActions",
"payments:GetPaymentStatus"
| 适用于付款相关的建议操作。 |
| 修复税务登记信息 | "bcm-recommended-actions:ListRecommendedActions",
"tax:GetTaxRegistration"
| 适用于与税务设置相关的建议操作。 |
| 更新免税证明 | "bcm-recommended-actions:ListRecommendedActions",
"tax:GetExemptions"
| 适用于与税务设置相关的建议操作。 |
| 迁移到精细权限 | "bcm-recommended-actions:ListRecommendedActions",
"aws-portal:GetConsoleActionSetEnforced",
"ce:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced"
| 适用于与 IAM 权限相关的建议操作。 |
| 查看预算警报 | "bcm-recommended-actions:ListRecommendedActions",
"budgets:DescribeBudgetNotificationsForAccount",
"budgets:DescribeBudget"
| 适用于与预算相关的建议操作。 |
| 查看超出预算 | "bcm-recommended-actions:ListRecommendedActions",
"budgets:DescribeBudgets"
| 适用于与预算相关的建议操作。 |
| 查看免费套餐使用量提醒 | "bcm-recommended-actions:ListRecommendedActions",
"freetier:GetFreeTierUsage"
| 适用于与免费套餐相关的建议操作。 |
| 查看异常 | "bcm-recommended-actions:ListRecommendedActions",
"ce:GetAnomalies"
| 适用于与成本异常检测相关的建议操作。 |
| 查看即将到期的预留 | "bcm-recommended-actions:ListRecommendedActions",
"ce:GetReservationUtilization"
| 适用于与成本优化相关的建议操作。 |
| 查看即将到期的节省计划 | "bcm-recommended-actions:ListRecommendedActions",
"ce:GetSavingsPlansUtilizationDetails"
| 适用于与成本优化相关的建议操作。 |
| 查看节省机会建议 | "bcm-recommended-actions:ListRecommendedActions",
"cost-optimization-hub:ListEnrollmentStatuses",
"cost-optimization-hub:ListRecommendationSummaries"
| 适用于与成本优化相关的建议操作。 |
| 启用成本优化中心 | "bcm-recommended-actions:ListRecommendedActions",
"cost-optimization-hub:ListEnrollmentStatuses"
| 适用于与成本优化相关的建议操作。 |
| 创建预算 | "bcm-recommended-actions:ListRecommendedActions",
"budgets:DescribeBudgets"
| 适用于与预算相关的建议操作。 |
| 创建预留预算 | "bcm-recommended-actions:ListRecommendedActions",
"budgets:DescribeBudgets",
"ce:GetReservationUtilization"
| 适用于与预算相关的建议操作。 |
| 创建节省计划预算 | "bcm-recommended-actions:ListRecommendedActions",
"budgets:DescribeBudgets",
"ce:GetSavingsPlansUtilizationDetails"
| 适用于与预算相关的建议操作。 |
| 添加备用账单联系人 | "bcm-recommended-actions:ListRecommendedActions",
"account:GetAlternateContact"
| 适用于与账户相关的建议操作。 |
| 创建异常监控 | "bcm-recommended-actions:ListRecommendedActions",
"ce:GetAnomalyMonitors"
| 适用于与成本异常检测相关的建议操作。 |
## 托管策略
**注意**
以下 AWS Identity and Access Management (IAM) 操作已于 2023 年 7 月结束标准支持:
`aws-portal` 命名空间
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您正在使用 AWS Organizations,则可以使用[批量策略迁移程序脚本](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html)从您的付款人账户更新政策。您还可以使用[旧到精细操作映射参考](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html)来验证需要添加的 IAM 操作。
有关更多信息,请参阅[AWS 账单、 AWS 成本管理和账户控制台权限变](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/)更博客。
如果您在 2023 年 3 月 6 日上午 11:00(太平洋夏令时)当天或之后 AWS Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 AWS 账户
托管策略是基于身份的独立策略,您可以将其附加到账户 AWS 中的多个用户、群组和角色。在 Billing and Billing and Cost Management 中,您可以使用 AWS 托管策略来控制访问权限。
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限。 AWS 与必须自己编写策略相比,托管策略使您可以更轻松地为用户、组和角色分配适当的权限。
您无法更改 AWS 托管策略中定义的权限。 AWS 偶尔会更新 AWS 托管策略中定义的权限。当发生此情况时,更新会影响策略附加到的所有委托人实体(用户、组和角色)。
Billing and Cost Managem AWS ent 为常见用例提供了多种托管策略。
**Topics**
+ [允许完全访问 AWS 预算,包括预算操作](#budget-managedIAM-full)
+ [允许对 AWS 预算进行只读访问](#budget-managedIAM-read-only)
+ [允许 AWS Budgets 调用验证账单视图访问权限所需的服务](#budget-managedIAM-billing-view)
+ [允许控制 AWS 资源](#budget-managedIAM-SSM)
+ [允许成本优化中心调用使服务正常运行所需的服务](#cost-optimization-hub-managedIAM)
+ [允许对成本优化中心进行只读访问](#cost-optimization-hub-read-only)
+ [允许对成本优化中心进行管理员访问](#cost-optimization-hub-admin)
+ [允许拆分成本分配数据调用使服务正常运行所需的服务](#split-cost-allocation-data-managedIAM)
+ [允许数据导出访问其他 AWS 服务](#data-exports-managedIAM)
### 允许完全访问 AWS 预算,包括预算操作
托管策略名称:`AWSBudgetsActionsWithAWSResourceControlAccess`
此托管策略以用户为重点,确保您拥有适当的权限,可以授予 AWS 预算执行已定义操作的权限。此政策提供对 AWS 预算(包括预算操作)的完全访问权限,以检索您的政策状态并使用管理 AWS 资源 AWS 管理控制台。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"budgets:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "budgets.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"aws-portal:ModifyBilling",
"ec2:DescribeInstances",
"iam:ListGroups",
"iam:ListPolicies",
"iam:ListRoles",
"iam:ListUsers",
"organizations:ListAccounts",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListPolicies",
"organizations:ListRoots",
"rds:DescribeDBInstances",
"sns:ListTopics"
],
"Resource": "*"
}
]
}
```
------
### 允许对 AWS 预算进行只读访问
托管策略名称:`AWSBudgetsReadOnlyAccess`
此托管策略允许通过对 AWS 预算进行只读访问 AWS 管理控制台。该策略可以附加到您的用户、组和角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid": "AWSBudgetsReadOnlyAccess",
"Effect" : "Allow",
"Action" : [
"aws-portal:ViewBilling",
"budgets:ViewBudget",
"budgets:Describe*",
"budgets:ListTagsForResource"
],
"Resource" : "*"
}
]
}
```
------
### 允许 AWS Budgets 调用验证账单视图访问权限所需的服务
托管策略名称:`BudgetsServiceRolePolicy`
允许 B AWS udgets 验证对跨账户界限共享的账单视图的访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"billing:GetBillingViewData"
],
"Resource": "*"
}
]
}
```
------
有关更多信息,请参阅[适用于 Budgets 的服务相关角色](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-SLR.html)。
### 允许控制 AWS 资源
托管策略名称:`AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM`
此托管政策侧重于 Budg AWS ets 在完成特定操作时代表您采取的具体行动。此策略授予控制 AWS 资源的权限。例如,通过运行 S AWS ystems Manager (SSM) 脚本来启动和停止 Amazon EC2 或 Amazon RDS 实例。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceStatus",
"ec2:StartInstances",
"ec2:StopInstances",
"rds:DescribeDBInstances",
"rds:StartDBInstance",
"rds:StopDBInstance"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"ssm.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:StartAutomationExecution"
],
"Resource": [
"arn:aws:ssm:*:*:document/AWS-StartEC2Instance",
"arn:aws:ssm:*:*:document/AWS-StopEC2Instance",
"arn:aws:ssm:*:*:document/AWS-StartRdsInstance",
"arn:aws:ssm:*:*:document/AWS-StopRdsInstance",
"arn:aws:ssm:*:*:automation-execution/*"
]
}
]
}
```
------
### 允许成本优化中心调用使服务正常运行所需的服务
托管策略名称:`CostOptimizationHubServiceRolePolicy`
允许成本优化中心检索组织信息并收集与优化相关的数据和元数据。
要查看此策略的权限,请参阅《AWS 托管式策略参考指南》中**的 [CostOptimizationHubServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CostOptimizationHubServiceRolePolicy.html)。
有关更多信息,请参阅[成本优化中心的服务相关角色](https://docs.aws.amazon.com/cost-management/latest/userguide/cost-optimization-hub-SLR.html)。
### 允许对成本优化中心进行只读访问
托管策略名称:`CostOptimizationHubReadOnlyAccess`
此托管式策略提供对成本优化中心的只读访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CostOptimizationHubReadOnlyAccess",
"Effect": "Allow",
"Action": [
"cost-optimization-hub:ListEnrollmentStatuses",
"cost-optimization-hub:GetPreferences",
"cost-optimization-hub:GetRecommendation",
"cost-optimization-hub:ListRecommendations",
"cost-optimization-hub:ListRecommendationSummaries"
],
"Resource": "*"
}
]
}
```
------
### 允许对成本优化中心进行管理员访问
托管策略名称:`CostOptimizationHubAdminAccess`
此托管式策略提供对成本优化中心的管理员访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CostOptimizationHubAdminAccess",
"Effect": "Allow",
"Action": [
"cost-optimization-hub:ListEnrollmentStatuses",
"cost-optimization-hub:UpdateEnrollmentStatus",
"cost-optimization-hub:GetPreferences",
"cost-optimization-hub:UpdatePreferences",
"cost-optimization-hub:GetRecommendation",
"cost-optimization-hub:ListRecommendations",
"cost-optimization-hub:ListRecommendationSummaries",
"organizations:EnableAWSServiceAccess"
],
"Resource": "*"
},
{
"Sid": "AllowCreationOfServiceLinkedRoleForCostOptimizationHub",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/cost-optimization-hub.bcm.amazonaws.com/AWSServiceRoleForCostOptimizationHub"
],
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cost-optimization-hub.bcm.amazonaws.com"
}
}
},
{
"Sid": "AllowAWSServiceAccessForCostOptimizationHub",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringLike": {
"organizations:ServicePrincipal": [
"cost-optimization-hub.bcm.amazonaws.com"
]
}
}
}
]
}
```
------
### 允许拆分成本分配数据调用使服务正常运行所需的服务
托管策略名称:`SplitCostAllocationDataServiceRolePolicy`
允许拆分成本分配数据检索 AWS Organizations 信息(如果适用),并收集客户选择加入的分割成本分配数据服务的遥测数据。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AwsOrganizationsAccess",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Sid": "AmazonManagedServiceForPrometheusAccess",
"Effect": "Allow",
"Action": [
"aps:ListWorkspaces",
"aps:QueryMetrics"
],
"Resource": "*"
}
]
}
```
------
有关更多信息,请参阅[拆分成本分配数据的服务相关角色](https://docs.aws.amazon.com/cost-management/latest/userguide/split-cost-allocation-data-SLR.html)。
### 允许数据导出访问其他 AWS 服务
托管策略名称:`AWSBCMDataExportsServiceRolePolicy`
允许数据导出代表您访问其他 AWS 服务,例如成本优化中心。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CostOptimizationRecommendationAccess",
"Effect": "Allow",
"Action": [
"cost-optimization-hub:ListEnrollmentStatuses",
"cost-optimization-hub:ListRecommendations"
],
"Resource": "*"
}
]
}
```
------
有关更多信息,请参阅 [Data Exports 的服务相关角色](https://docs.aws.amazon.com/cost-management/latest/userguide/data-exports-SLR.html)。
## AWS AWS 托管政策的成本管理更新
查看自该服务开始跟踪 AWS 成本管理 AWS 托管政策变更以来这些更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “ AWS 成本管理[文档历史记录](https://docs.aws.amazon.com/cost-management/latest/userguide/doc-history.html)” 页面上的 RSS feed。
****
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| 更新现有策略 [CostOptimizationHubReadOnlyAccess](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-read-only) [CostOptimizationHubAdminAccess](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-admin) | 我们更新了策略,添加了 "cost-optimization-hub:ListEfficiencyMetrics" 操作。 | 11/20/2025 |
| 添加了一个新策略 [BudgetsServiceRolePolicy](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#budget-managedIAM-billing-view) | 预算增加了一项用于服务相关角色的新政策,允许访问预算使用或管理的 AWS 服务和资源。 | 08/06/2025 |
| 更新现有策略 [CostOptimizationHubServiceRolePolicy](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-managedIAM) | 我们更新了策略,添加了 ce:GetDimensionValues 操作。 | 07/23/2025 |
| 更新现有策略 [CostOptimizationHubServiceRolePolicy](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-managedIAM) | 我们更新了策略,添加了 organizations:ListDelegatedAdministrators 和 ce:GetCostAndUsage 操作。 | 07/05/2024 |
| 更新现有策略 [AWSBudgetsReadOnlyAccess](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#budget-managedIAM-read-only) | 我们更新了策略,添加了 budgets:ListTagsForResource 操作。 | 06/17/2024 |
| 添加了一个新策略 [AWSBCMDataExportsServiceRolePolicy](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#data-exports-managedIAM) | Data Exports 添加了一项用于服务相关角色的新策略,该策略允许访问其他 AWS 服务,例如成本优化中心。 | 06/10/2024 |
| 添加了一个新策略 [SplitCostAllocationDataServiceRolePolicy](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#split-cost-allocation-data-managedIAM) | 拆分成本分配数据添加了用于服务相关角色的新策略,该策略允许访问由拆分成本分配数据使用或管理的 AWS 服务和资源。 | 04/16/2024 |
| 更新现有策略 [AWSBudgetsActions\$1RolePolicyForResourceAdministrationWithSSM](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#budget-managedIAM-SSM) | 我们更新了策略,缩小了权限范围。仅允许对预算操作使用的特定资源执行 ssm:StartAutomationExecution 操作。 | 12/14/2023 |
| 更新现有策略 [CostOptimizationHubReadOnlyAccess](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-read-only) [CostOptimizationHubAdminAccess](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-admin) | 成本优化中心更新了以下两个托管式策略:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/cost-management/latest/userguide/billing-permissions-ref.html) | 12/14/2023 |
| 添加了一个新策略 [CostOptimizationHubServiceRolePolicy](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-managedIAM) | 成本优化中心添加了一项用于服务相关角色的新策略,该策略允许访问成本优化中心使用或管理的 AWS 服务和资源。 | 11/02/2023 |
| AWS 成本管理部门开始跟踪变更 | AWS 成本管理部门开始跟踪其 AWS 托管政策的变更 | 11/02/2023 |
# AWS 成本管理政策示例
**注意**
以下 AWS Identity and Access Management (IAM) 操作已于 2023 年 7 月结束标准支持:
`aws-portal` 命名空间
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您正在使用 AWS Organizations,则可以使用[批量策略迁移程序脚本](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html)从您的付款人账户更新政策。您还可以使用[旧到精细操作映射参考](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html)来验证需要添加的 IAM 操作。
有关更多信息,请参阅[AWS 账单、 AWS 成本管理和账户控制台权限变](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/)更博客。
如果您在 2023 年 3 月 6 日上午 11:00(太平洋夏令时)当天或之后 AWS Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 AWS 账户
本主题包含几个示例策略,您可以将它们附加到您的 IAM 角色或组以控制对您的账户的账单信息和工具的访问权限。以下基本规则适用于账单和成本管理的 IAM 策略:
+ `Version` 始终为 `2012-10-17`。
+ `Effect` 始终为 `Allow` 或 `Deny`。
+ `Action` 是操作的名称或通配符(`*`)。
操作前缀`budgets`用于 AWS 预算、`cur` AWS 成本和使用情况报告、`aws-portal` AWS 账单或 `ce` Cost Explorer。
+ `Resource`始终`*`用于 AWS 计费。
对于在 `budget` 资源上执行的操作,请指定预算 Amazon 资源名称(ABC)。
+ 一个策略中可能包含多个语句。
有关账单控制台的策略示例列表,请参阅*账单用户指南*中的[账单政策示例](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html)。
**注意**
这些策略要求您在[账户设置](https://portal.aws.amazon.com/billing/home#/account)控制台页面上激活用户对账单和成本管理控制台的访问权限。有关更多信息,请参阅 [激活对 Billing and Cost Management 控制台的访问权限](control-access-billing.md#ControllingAccessWebsite-Activate)。
**Topics**
+ [拒绝用户对账单和成本管理控制台的访问权限](#example-billing-deny-all)
+ [拒绝成员账户访问 AWS 控制台费用和使用情况小工具](#example-billing-deny-widget)
+ [拒绝特定用户和角色访问 AWS 控制台成本和使用情况小组件](#example-billing-deny-ce)
+ [允许用户完全访问 AWS 服务,但拒绝用户访问账单和成本管理控制台](#ExampleAllowAllDenyBilling)
+ [允许用户查看账单和成本管理控制台(账户设置除外)](#example-billing-read-only)
+ [允许用户修改账单信息](#example-billing-deny-modifybilling)
+ [允许用户创建预算](#example-billing-allow-createbudgets)
+ [拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息](#example-billing-deny-modifyaccount)
+ [将报告存入 Amazon S3 存储桶](#example-billing-s3-bucket)
+ [查看成本和使用情况](#example-policy-ce-api)
+ [启用和禁用 AWS 区域](#enable-disable-regions)
+ [查看和更新 Cost Explorer 首选项页面](#example-view-update-ce)
+ [使用 Cost Explorer 报告页面查看、创建、更新和删除](#example-view-ce-reports)
+ [查看、创建、更新和删除预留和 Savings Plans 提醒](#example-view-ce-expiration)
+ [允许对 “ AWS 成本异常检测” 进行只读访问](#example-policy-ce-ad)
+ [允许 AWS 预算应用 IAM 政策和 SCPs](#example-budgets-IAM-SCP)
+ [允许 AWS 预算应用 IAM 策略和 SCP 并以 EC2 和 RDS 实例为目标](#example-budgets-applySCP)
+ [允许用户在定价计算器中创建、列出工作负载估算并向其添加使用量。](#example-pc-create-list-estimates)
+ [允许用户在定价计算器中创建、列出账单场景并向其添加使用情况和承诺](#example-pc-create-list-scenario)
+ [允许用户在定价计算器中创建账单估算](#example-pc-create-bill-estimate)
+ [允许用户在定价计算器中创建首选项](#example-pc-create-preferences)
+ [允许用户创建、管理和共享自定义账单视图](#example-billing-view)
+ [允许用户在访问特定自定义账单视图时访问 Cost Explorer](#example-custom-billing-view)
## 拒绝用户对账单和成本管理控制台的访问权限
要显式拒绝用户访问所有账单和成本管理控制台页面,请使用类似于此示例策略的策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "aws-portal:*",
"Resource": "*"
}
]
}
```
------
## 拒绝成员账户访问 AWS 控制台费用和使用情况小工具
要限制成员(关联)账户访问成本和使用数据,请使用管理(付款人)账户访问 Cost Explorer 首选项选项卡,然后取消选中 **Linked Account Access**(关联账户访问)。无论成员账户的用户或角色执行了什么 IAM 操作,这都将拒绝从 Cost Explorer(AWS 成本管理) AWS 控制台、Cost Explorer API 和控制台主页的 “成本和使用情况” 小部件访问成本和使用情况数据。
## 拒绝特定用户和角色访问 AWS 控制台成本和使用情况小组件
要拒绝特定用户和角色访问 AWS 控制台成本和使用情况小组件,请使用以下权限策略。
**注意**
向用户或角色添加此策略也会拒绝用户访问 Cost Explorer(AWS 成本管理)控制台和 Cost Explorer APIs 。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ce:*",
"Resource": "*"
}
]
}
```
------
## 允许用户完全访问 AWS 服务,但拒绝用户访问账单和成本管理控制台
要拒绝用户访问账单和成本管理控制台上的所有内容,请使用以下策略。在这种情况下,您还应拒绝用户访问 AWS Identity and Access Management (IAM),这样用户就无法访问控制账单信息和工具访问权限的策略。
**重要**
该策略不允许进行任何操作。可将此策略与允许特定操作的其他策略结合使用。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aws-portal:*",
"iam:*"
],
"Resource": "*"
}
]
}
```
------
## 允许用户查看账单和成本管理控制台(账户设置除外)
此策略允许对所有控制台进行只读访问,包括**付款方式**和**报告**控制台页面,但拒绝访问**账户设置**页面,从而保护账户密码、联系信息和安全问题。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:View*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## 允许用户修改账单信息
要允许 IAM 用户在账单和成本管理控制台中修改账户账单信息,请允许 IAM 用户查看您的账单信息。以下策略示例允许 IAM 用户修改**整合账单**、**首选项**和**服务抵扣金额**控制台页面。它还允许用户查看以下账单和成本管理控制台页面:
+ **控制面板**
+ **Cost Explorer**
+ **账单**
+ **订单和发票**
+ **Advance Payment**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:*Billing",
"Resource": "*"
}
]
}
```
------
## 允许用户创建预算
要允许用户在账单和成本管理控制台中创建预算,您还必须允许用户查看您的账单信息、创建 CloudWatch 警报和创建 Amazon SNS 通知。以下策略示例允许用户修改**预算**控制台页面。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1435216493000",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"aws-portal:ModifyBilling",
"budgets:ViewBudget",
"budgets:ModifyBudget"
],
"Resource": [
"*"
]
},
{
"Sid": "Stmt1435216514000",
"Effect": "Allow",
"Action": [
"cloudwatch:*"
],
"Resource": [
"*"
]
},
{
"Sid": "Stmt1435216552000",
"Effect": "Allow",
"Action": [
"sns:*"
],
"Resource": [
"arn:aws:sns:us-east-1::"
]
}
]
}
```
------
## 拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息
要保护您的账户密码、联系信息和安全问题,您可以拒绝用户访问**账户设置**,同时仍允许完全访问控制台中的其余功能,如以下示例所示。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:*Billing",
"aws-portal:*Usage",
"aws-portal:*PaymentMethods"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## 将报告存入 Amazon S3 存储桶
以下政策允许账单和成本管理部门将您的详细 AWS 账单保存到 Amazon S3 存储桶中,前提是您同时拥有该 AWS 账户和 Amazon S3 存储桶。请注意,此策略必须应用于 Amazon S3 存储桶而不是某个用户。也就是说,它是一种基于资源的策略,而不是基于用户的策略。您应拒绝 用户访问无需访问您的账单的 用户的存储桶。
将 *bucketname* 替换为您的存储桶的名称。
有关更多信息,请参阅 *Amazon Simple Storage Service 用户指南*中的[使用存储桶策略和用户策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-iam-policies.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": [
"s3:GetBucketAcl",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::bucketname"
},
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::bucketname/*"
}
]
}
```
------
## 查看成本和使用情况
要允许用户使用 Cost Ex AWS plorer API,请使用以下策略向他们授予访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ce:*"
],
"Resource": [
"*"
]
}
]
}
```
------
## 启用和禁用 AWS 区域
有关允许用户启用和禁用区域的 IAM 策略示例,请参阅 *IAM 用户指南*中的 [AWS:允许启用和禁用 AWS 区域](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws-enable-disable-regions.html)。
## 查看和更新 Cost Explorer 首选项页面
此策略允许用户使用 **Cost Explorer 首选项页面**查看和更新。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
以下策略允许用户查看 Cost Explorer,但拒绝查看或编辑**首选项**页面的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:GetPreferences",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
以下策略允许用户查看 Cost Explorer,但拒绝编辑**首选项**页面的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
## 使用 Cost Explorer 报告页面查看、创建、更新和删除
此策略允许用户使用 **Cost Explorer 报告页面**查看、创建、更新和删除。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
以下策略允许用户查看 Cost Explorer,但拒绝查看或编辑**报告**页面的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeReport",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
以下策略允许用户查看 Cost Explorer,但拒绝编辑**报告**页面的权限。
## 查看、创建、更新和删除预留和 Savings Plans 提醒
此策略允许用户查看、创建、更新和删除[预留到期提醒](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ce-ris.html)和[节省计划提醒](https://docs.aws.amazon.com/savingsplans/latest/userguide/sp-overview.html#sp-alert)。要编辑预留到期提醒或 Savings Plans 提醒,用户需要所有三个粒度的操作:`ce:CreateNotificationSubscription`、`ce:UpdateNotificationSubscription` 和 `ce:DeleteNotificationSubscription`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
以下策略允许用户查看 Cost Explorer,但拒绝查看或编辑**预留到期提醒**和**节省计划提醒**页面的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeNotificationSubscription",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
以下策略允许用户查看 Cost Explorer,但拒绝编辑**预留到期提醒**和**节省计划提醒**页面的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
## 允许对 “ AWS 成本异常检测” 进行只读访问
要允许用户以只读方式访问 AWS 成本异常检测,请使用以下策略向他们授予访问权限。 `ce:ProvideAnomalyFeedback`作为只读访问权限的一部分,是可选的。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ce:Get*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## 允许 AWS 预算应用 IAM 政策和 SCPs
此策略允许 AWS Budgets 代表用户应用 IAM 策略和服务控制策略 (SCPs)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": "*"
}
]
}
```
------
## 允许 AWS 预算应用 IAM 策略和 SCP 并以 EC2 和 RDS 实例为目标
该政策允许 AWS 预算部门应用 IAM 策略和服务控制策略 (SCP),并代表用户将 Amazon EC2 和 Amazon RDS 实例作为目标。
信任策略
**注意**
此信任政策允许 AWS Budgets 担任可以代表您调用其他服务的角色。有关此类跨服务权限最佳实践的更多信息,请参阅 [防止跨服务混淆座席](cross-service-confused-deputy-prevention.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "budgets.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:budgets::123456789012:budget/*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
]
}
```
------
权限策略
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceStatus",
"ec2:StartInstances",
"ec2:StopInstances",
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"rds:DescribeDBInstances",
"rds:StartDBInstance",
"rds:StopDBInstance",
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
```
------
## 允许用户在定价计算器中创建、列出工作负载估算并向其添加使用量。
此策略允许 IAM 用户创建、列出工作负载估算并向其添加使用量,以及拥有查询 Cost Explorer 数据以获取历史成本和使用量数据的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "WorkloadEstimate",
"Effect": "Allow",
"Action": [
"ce:GetCostCategories",
"ce:GetDimensionValues",
"ce:GetCostAndUsage",
"ce:GetTags",
"bcm-pricing-calculator:GetWorkloadEstimate",
"bcm-pricing-calculator:ListWorkloadEstimateUsage",
"bcm-pricing-calculator:CreateWorkloadEstimate",
"bcm-pricing-calculator:ListWorkloadEstimates",
"bcm-pricing-calculator:CreateWorkloadEstimateUsage",
"bcm-pricing-calculator:UpdateWorkloadEstimateUsage"
],
"Resource": "*"
}
]
}
```
------
## 允许用户在定价计算器中创建、列出账单场景并向其添加使用情况和承诺
此策略允许 IAM 用户创建、列出账单场景并向其添加使用情况和承诺。未添加 Cost Explorer 权限,因此您将无法加载历史数据。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "BillScenario",
"Effect": "Allow",
"Action": [
"bcm-pricing-calculator:CreateBillScenario",
"bcm-pricing-calculator:GetBillScenario",
"bcm-pricing-calculator:ListBillScenarios",
"bcm-pricing-calculator:CreateBillScenarioUsageModification",
"bcm-pricing-calculator:UpdateBillScenarioUsageModification",
"bcm-pricing-calculator:ListBillScenarioUsageModifications",
"bcm-pricing-calculator:ListBillScenarioCommitmentModifications"
],
"Resource": "*"
}
]
}
```
------
## 允许用户在定价计算器中创建账单估算
此策略允许 IAM 用户创建账单估算并列出账单估算行项目。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "BillEstimate",
"Effect": "Allow",
"Action": [
"bcm-pricing-calculator:CreateBillEstimate",
"bcm-pricing-calculator:GetBillEstimate",
"bcm-pricing-calculator:UpdateBillEstimate",
"bcm-pricing-calculator:ListBillEstimates",
"bcm-pricing-calculator:ListBillEstimateLineItems",
"bcm-pricing-calculator:ListBillEstimateCommitments",
"bcm-pricing-calculator:ListBillEstimateInputUsageModifications",
"bcm-pricing-calculator:ListBillEstimateInputCommitmentModifications"
],
"Resource": "*"
}
]
}
```
------
## 允许用户在定价计算器中创建首选项
此策略允许 IAM 用户创建和获取费率偏好。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RatePreferences",
"Effect": "Allow",
"Action": [
"bcm-pricing-calculator:GetPreferences",
"bcm-pricing-calculator:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
## 允许用户创建、管理和共享自定义账单视图
此策略允许 IAM 用户创建、管理和共享自定义账单视图。他们需要能够使用账单视图创建和管理自定义账单视图,并能够使用资源访问管理器 (AWS RAM) 创建和关联 AWS 资源共享。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"billing:CreateBillingView",
"billing:UpdateBillingView",
"billing:DeleteBillingView",
"billing:GetBillingView",
"billing:ListBillingViews",
"billing:ListTagsForResource",
"billing:PutResourcePolicy",
"ce:GetCostAndUsage",
"ce:GetTags",
"organizations:ListAccounts",
"ram:ListResources",
"ram:ListPermissions",
"ram:CreateResourceShare",
"ram:AssociateResourceShare",
"ram:GetResourceShares",
"ram:GetResourceShareAssociations",
"ram:ListResourceSharePermissions",
"ram:ListResourceTypes",
"ram:ListPrincipals",
"ram:DisassociateResourceShare"
],
"Resource": "*"
}
]
}
```
------
## 允许用户在访问特定自定义账单视图时访问 Cost Explorer
此策略允许 IAM 用户在访问特定自定义账单视图(`custom-1a2b3c4d`)时访问 Cost Explorer。`123456789012`替换为 12 位数的 AWS 账户 ID 和`1a2b3c4d`自定义账单视图的唯一标识符。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ce:GetDimensionValues",
"ce:GetCostAndUsageWithResources",
"ce:GetCostAndUsage",
"ce:GetCostForecast",
"ce:GetTags",
"ce:GetUsageForecast",
"ce:GetCostCategories"
],
"Resource": [
"arn:aws:billing::123456789012:billingview/custom-1a2b3c4d"
]
},
{
"Effect": "Allow",
"Action": [
"billing:ListBillingViews",
"billing:GetBillingView"
],
"Resource": "*"
}
]
}
```
------
# 迁移 AWS 成本管理的访问控制
**注意**
以下 AWS Identity and Access Management (IAM) 操作已于 2023 年 7 月结束标准支持:
`aws-portal` 命名空间
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您正在使用 AWS Organizations,则可以使用[批量策略迁移程序脚本](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html)从您的付款人账户更新政策。您还可以使用[旧到精细操作映射参考](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html)来验证需要添加的 IAM 操作。
有关更多信息,请参阅[AWS 账单、 AWS 成本管理和账户控制台权限变](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/)更博客。
如果您在 2023 年 3 月 6 日上午 11:00(太平洋夏令时)当天或之后 AWS Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 AWS 账户
您可以使用精细的访问控制来为组织中的个人提供对服务的访问权限。 AWS 账单与成本管理 例如,您可以提供对 Cost Explorer 的访问权限,而无需提供对 AWS 账单控制台的访问权限。
要使用精细访问控制,您需要将策略从 `aws-portal` 门户迁移到新的 IAM 操作。
在此迁移中,您的权限策略或服务控制策略(SCP)中的以下 IAM 操作需要更新:
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
要了解如何使用 **受影响策略**工具来确定受影响的 IAM 策略,请参阅[如何使用受影响策略工具](migrate-security-iam-tool.md)。
**注意**
计划请求 AWS Cost Explorer、 AWS 成本和使用情况报告以及 AWS 预算不受影响。
[激活对 Billing and Cost Management 控制台的访问权限](control-access-billing.md#ControllingAccessWebsite-Activate) 保持不变。
**Topics**
+ [管理访问权限](#migrate-control-access-CMG)
+ [如何使用受影响策略工具](migrate-security-iam-tool.md)
## 管理访问权限
AWS 成本管理与 AWS Identity and Access Management (IAM) 服务集成,因此您可以控制组织中谁有权访问[AWS 成本管理控制台](https://console.aws.amazon.com/cost-management/)上的特定页面。您可以控制对 AWS 成本管理功能的访问权限。例如, AWS Cost Explorer、Savings Plans、预订建议、储蓄计划以及预订利用率和承保范围报告。
使用以下 IAM 权限对 AWS 成本管理控制台进行精细控制。
### 使用精细 AWS 的成本管理操作
此表总结了允许或拒绝 IAM 用户和角色访问您的成本和使用情况信息的权限。有关使用这些权限的策略示例,请参阅[AWS 成本管理政策示例](billing-example-policies.md)。
有关 AWS 账单控制台的操作列表,请参阅[AWS 账单*用户指南中的AWS 账单*操作策略](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions)。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/cost-management/latest/userguide/migrate-granularaccess-whatis.html)
# 如何使用受影响策略工具
**注意**
以下 AWS Identity and Access Management (IAM) 操作已于 2023 年 7 月结束标准支持:
`aws-portal` 命名空间
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您正在使用 AWS Organizations,则可以使用[批量策略迁移程序脚本](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html)从您的付款人账户更新政策。您还可以使用[旧到精细操作映射参考](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html)来验证需要添加的 IAM 操作。
有关更多信息,请参阅[AWS 账单、 AWS 成本管理和账户控制台权限变](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/)更博客。
如果您在 2023 年 3 月 6 日上午 11:00(太平洋夏令时)当天或之后 AWS Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 AWS 账户
您可以使用账单控制台中的**受影响策略**工具来识别 IAM 策略(不包括 SCPs),并参考受此迁移影响的 IAM 操作。使用**受影响的策略**工具执行以下任务:
+ 确定 IAM 策略并参考受此次迁移影响的 IAM 操作
+ 将更新后的策略复制到剪贴板
+ 在 IAM 策略编辑器中打开受影响的策略
+ 为您的账户保存更新后的策略
+ 开启精细权限并禁用旧操作
此工具在您登录的 AWS 账户范围内运行,并且不会披露有关其他 AWS Organizations 账户的信息。
**要使用受影响策略工具,请执行以下操作**
1. 登录 AWS 管理控制台 并打开 AWS 账单与成本管理 控制台,网址为[https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/)。
1. 将以下 URL 粘贴到浏览器中以访问 **Affected policies**(受影响的策略)工具:[https://console.aws.amazon.com/poliden/home?region=us-east-1#/](https://console.aws.amazon.com/poliden/home?region=us-east-1#/)。
**注意**
您必须具有 `iam:GetAccountAuthorizationDetails` 权限才能查看此页面。
1. 查看列出受影响的 IAM 策略的表。使用 **Deprecated IAM actions**(已弃用的 IAM 操作)列查看策略中提及的特定 IAM 操作。
1. 在**复制更新后的策略**列下,选择**复制**,以将更新后的策略复制到剪贴板。更新后的策略包含现有策略以及作为单独 `Sid` 块附加到该策略后的建议精细操作。该块在策略末尾有前缀 `AffectedPoliciesMigrator`。
1. 选择**在 IAM 控制台中编辑策略**列,然后选择**编辑**以转到 IAM 策略编辑器。您将看到现有策略的 JSON 代码。
1. 将现有策略完整替换为您在第 4 步中复制的更新后策略。您可以根据需要进行任何其他更改。
1. 选择**下一步**,然后选择**保存更改**。
1. 对所有列出的策略重复第 3 步到第 7 步。
1. 更新策略后,刷新受**影响的策略**工具,确认没有受影响的策略列出。所有策略的**找到的新 IAM 操作**列都应为**是**,并且**复制**和**编辑**按钮将被禁用。受影响的策略已更新。
**为您的账户启用精细操作**
更新策略后,请按照以下过程为您的账户启用精细操作。
只有组织的管理账户(付款人)或个人账户才能使用**管理新 IAM 操作**部分。个人账户可以为自己启用新操作。管理账户可以为整个组织或部分成员账户启用新操作。如果您是管理账户,请为所有成员账户更新受影响的策略,并为您的组织启用新操作。有关更多信息,请参阅[如何在新的细粒度操作或现有 IAM 操作之间切换账户](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/#How-to-toggle-accounts-between-new-fine-grained-actions-or-existing-IAM-Actions)? AWS 博客文章中的部分。
**注意**
要完成此操作,您必须具有以下权限:
`aws-portal:GetConsoleActionSetEnforced`
`aws-portal:UpdateConsoleActionSetEnforced`
`ce:GetConsoleActionSetEnforced`
`ce:UpdateConsoleActionSetEnforced`
`purchase-orders:GetConsoleActionSetEnforced`
`purchase-orders:UpdateConsoleActionSetEnforced`
如果您没有看到**管理新 IAM 操作**部分,则表示您的账户已经启用了 IAM 精细操作。
1. 在**管理新的 IAM 操作**下,**已强制执行的当前操作集**设置的状态将为**现有**。
选择**启用新操作(精细)**,然后选择**应用更改**。
1. 在此对话框中,选择**是**。**已强制执行的当前操作集**的状态将更改为**精细**。这意味着您 AWS 账户 或您的组织将强制执行新操作。
1. (可选)然后,您可以更新现有策略以移除任何旧操作。
**Example 示例:应用 IAM 策略之前和之后**
以下 IAM 策略采用旧的 `aws-portal:ViewPaymentMethods` 操作。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
}
]
}
```
复制更新后的策略后,以下示例将具有包含精细操作的新 `Sid` 块。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
},
{
"Sid": "AffectedPoliciesMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"invoicing:GetInvoicePDF",
"payments:GetPaymentInstrument",
"payments:GetPaymentStatus",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}
]
}
```
## 相关资源
有关更多信息,请参阅《IAM 用户指南》中的 [Sid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html)**。
有关新的细粒度操作的更多信息,请参阅[映射精细的 IAM 操作参考和[使用精细 AWS](https://docs.aws.amazon.com/cost-management/latest/userguide/migrate-granularaccess-whatis.html#migrate-user-permissions)的成本管理操作](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html)。
# 防止跨服务混淆座席
混淆代理问题是一个安全性问题,即不具有操作执行权限的实体可能会迫使具有更高权限的实体执行该操作。在中 AWS,跨服务模仿可能会导致混乱的副手问题。一个服务(*呼叫服务*)调用另一项服务(*所谓的服务*)时,可能会发生跨服务模拟。可以操纵调用服务,使用其权限以在其他情况下该服务不应有访问权限的方式对另一个客户的资源进行操作。为防止这种情况, AWS 提供可帮助您保护所有服务的数据的工具,而这些服务中的服务主体有权限访问账户中的资源。
我们建议在资源策略中使用[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)和[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)全局条件上下文密钥来限制 AWS 成本管理功能可以为其他服务提供的资源的权限。如果使用两个全局条件上下文键,在同一策略语句中使用时,`aws:SourceAccount` 值和 `aws:SourceArn` 值中的账户必须使用相同的账户 ID。
防范混淆代理问题最有效的方法是使用 `aws:SourceArn` 全局条件上下文键和资源的完整 ARN。如果不知道资源的完整 ARN,或者正在指定多个资源,请针对 ARN 未知部分使用带有通配符(`*`)的 `aws:SourceArn` 全局上下文条件键。例如 `arn:aws:servicename::123456789012:*`。对于 AWS 预算,的值`aws:SourceArn`必须为`arn:aws:budgets::123456789012:budget/*`。
以下示例显示了如何使用 AWS 预算中的`aws:SourceArn`和`aws:SourceAccount`全局条件上下文键来防止出现混淆的副手问题。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "budgets.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:budgets::123456789012:budget/*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
]
}
```
------
# AWS 成本管理身份和访问权限疑难解答
使用以下信息来帮助您诊断和修复在使用 AWS 成本管理和 IAM 时可能遇到的常见问题。
**Topics**
+ [我无权在 AWS 成本管理中执行任何操作](#security_iam_troubleshoot-no-permissions)
+ [我无权执行 iam:PassRole](#security_iam_troubleshoot-passrole)
+ [我想要查看我的访问密钥](#security_iam_troubleshoot-access-keys)
+ [我是一名管理员,想允许其他人访问 AWS 成本管理](#security_iam_troubleshoot-admin-delegate)
+ [我想允许我以外的人 AWS 账户 访问我的 AWS 成本管理资源](#security_iam_troubleshoot-cross-account-access)
## 我无权在 AWS 成本管理中执行任何操作
如果 AWS 管理控制台 告诉您您无权执行某项操作,则必须联系管理员寻求帮助。您的管理员是提供登录凭证的人。
当 `mateojackson` 用户尝试使用控制台查看有关虚构 `my-example-widget` 资源的详细信息,但不拥有虚构 `ce:GetWidget` 权限时,会发生以下示例错误。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ce:GetWidget on resource: my-example-widget
```
在这种情况下,Mateo 请求他的管理员更新其策略,以允许他使用 `ce:GetWidget` 操作访问 `my-example-widget` 资源。
## 我无权执行 iam:PassRole
如果您收到错误消息,说您无权执行该`iam:PassRole`操作,则必须更新您的政策,以允许您将角色传递给 AWS 成本管理。
有些 AWS 服务 允许您将现有角色传递给该服务,而不是创建新的服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。
当名为 `marymajor` 的 IAM 用户尝试使用控制台在 AWS 成本管理中执行操作时,会发生以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在这种情况下,必须更新 Mary 的策略以允许她执行 `iam:PassRole` 操作。
如果您需要帮助,请联系您的 AWS 管理员。您的管理员是提供登录凭证的人。
## 我想要查看我的访问密钥
在创建 IAM 用户访问密钥后,您可以随时查看您的访问密钥 ID。但是,您无法再查看您的秘密访问密钥。如果您丢失了私有密钥,则必须创建一个新的访问密钥对。
访问密钥包含两部分:访问密钥 ID(例如 `AKIAIOSFODNN7EXAMPLE`)和秘密访问密钥(例如 `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`)。与用户名和密码一样,您必须同时使用访问密钥 ID 和秘密访问密钥对请求执行身份验证。像对用户名和密码一样,安全地管理访问密钥。
**重要**
请不要向第三方提供访问密钥,即便是为了帮助[找到您的规范用户 ID](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId) 也不行。通过这样做,您可以授予他人永久访问您的权限 AWS 账户。
当您创建访问密钥对时,系统会提示您将访问密钥 ID 和秘密访问密钥保存在一个安全位置。秘密访问密钥仅在您创建它时可用。如果丢失了您的秘密访问密钥,您必须为 IAM 用户添加新的访问密钥。您最多可拥有两个访问密钥。如果您已有两个密钥,则必须删除一个密钥对,然后再创建新的密钥。要查看说明,请参阅 *IAM 用户指南*中的[管理访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey)。
## 我是一名管理员,想允许其他人访问 AWS 成本管理
要允许其他人访问 AWS 成本管理,您必须向需要访问的人员或应用程序授予权限。如果使用 AWS IAM Identity Center 管理人员和应用程序,则可以向用户或组分配权限集来定义其访问权限级别。权限集会自动创建 IAM 策略并将其分配给与人员或应用程序关联的 IAM 角色。有关更多信息,请参阅《AWS IAM Identity Center 用户指南》**中的[权限集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)。
如果未使用 IAM Identity Center,则必须为需要访问的人员或应用程序创建 IAM 实体(用户或角色)。然后,您必须将策略附加到向其授予 AWS 成本管理中正确权限的实体。授予权限后,向用户或应用程序开发人员提供凭证。他们将使用这些凭证访问 AWS。要了解有关创建 IAM 用户、组、策略和权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 身份](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)和 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
## 我想允许我以外的人 AWS 账户 访问我的 AWS 成本管理资源
您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表 (ACLs) 的服务,您可以使用这些策略向人们授予访问您的资源的权限。
要了解更多信息,请参阅以下内容:
+ 要了解 AWS 成本管理是否支持这些功能,请参阅[AWS 成本管理如何与 IAM 配合使用](security_iam_service-with-iam.md)。
+ 要了解如何提供对您拥有的资源的访问权限 AWS 账户 ,请参阅 [IAM 用户*指南中的向您拥有 AWS 账户 的另一个 IAM 用户*提供访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)权限。
+ 要了解如何向第三方提供对您的资源的访问[权限 AWS 账户,请参阅 *IAM 用户指南*中的向第三方提供](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)访问权限。 AWS 账户
+ 要了解如何通过身份联合验证提供访问权限,请参阅《IAM 用户指南》**中的[为经过外部身份验证的用户(身份联合验证)提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 要了解使用角色和基于资源的策略进行跨账户访问之间的差别,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## AWS 成本管理的服务相关角色
服务相关角色是一种与服务相关联的 AWS 服务服务角色。服务可以代入代表您执行操作的角色。服务相关角色出现在您的中 AWS 账户 ,并且归服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。
有关创建或管理服务相关角色的详细信息,请参阅[能够与 IAM 搭配使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。在表中查找**服务相关角色**列中包含 `Yes` 的表。选择**是**链接以查看该服务的服务相关角色文档。
# 使用服务关联角色
服务相关角色是一种与服务关联的 AWS 服务角色。服务可以代入代表您执行操作的角色。服务相关角色显示在您的 AWS 账户中,并归服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。
**Topics**
+ [成本优化中心的服务相关角色](cost-optimization-hub-SLR.md)
+ [拆分成本分配数据的服务相关角色](split-cost-allocation-data-SLR.md)
+ [数据导出的服务相关角色](data-exports-SLR.md)
+ [适用于 Budgets 的服务相关角色](budgets-SLR.md)
+ [用于成本分配的用户属性的服务关联角色](ubca-SLR.md)
# 成本优化中心的服务相关角色
成本优化中心使用 AWS 身份和访问管理 (IAM) Access [Management 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)相关角色。服务相关角色是一种独特类型的 IAM 角色,它与成本优化中心直接相关。服务相关角色由成本优化中心预定义,包括该服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色可让您更轻松地设置成本优化中心,因为您不必手动添加必要的权限。成本优化中心定义其服务相关角色的权限,除非另外定义,否则只有成本优化中心可以代入该角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其他 IAM 实体。
有关支持服务相关角色的其他服务的信息,请参阅[与 IAM 配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),并查找 **Service-Linked Role**(服务相关角色)列中显示为 **Yes**(是)的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## 成本优化中心的服务相关角色权限
成本优化中心使用名为 `AWSServiceRoleForCostOptimizationHub` 的服务相关角色,其允许访问成本优化中心使用或管理的 AWS 服务和资源。
`AWSServiceRoleForCostOptimizationHub` 服务关联角色信任 `cost-optimization-hub.bcm.amazonaws.com` 服务来代入角色。
角色权限策略 `CostOptimizationHubServiceRolePolicy` 允许成本优化中心对指定资源完成以下操作:
+ 组织:DescribeOrganization
+ 组织:ListAccounts
+ 组织:列表 AWSService AccessForOrganization
+ 组织:ListParents
+ 组织:DescribeOrganizationalUnit
+ 组织:ListDelegatedAdministrators
+ ce: ListCostAllocationTags
+ ce: GetCostAndUsage
+ ce: GetDimensionValues
有关更多信息,请参阅[允许成本优化中心调用使服务正常运行所需的服务](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-managedIAM)。
要查看服务相关角色 `CostOptimizationHubServiceRolePolicy` 的完整权限详细信息,请参阅《*AWS 托管式策略参考指南*》中的 [CostOptimizationHubServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CostOptimizationHubServiceRolePolicy.html)。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 创建成本优化中心服务相关角色
您无需手动创建服务关联角色。在您启用成本优化中心时,该服务会自动为您创建服务相关角色。您可以通过 AWS 成本管理控制台、API 或 AWS CLI 启用成本优化中心。有关更多信息,请参阅本用户指南中的“启用成本优化中心”。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。
## 编辑成本优化中心服务相关角色
由于多个实体可能引用 `AWSServiceRoleForCostOptimizationHub` 服务相关角色,因此无法编辑该角色的名称或权限。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
**允许 IAM 实体编辑 `AWSServiceRoleForCostOptimizationHub` 服务相关角色的描述**
将以下语句添加到需要编辑服务相关角色的描述的 IAM 实体的权限策略。
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/cost-optimization-hub.bcm.amazonaws.com/AWSServiceRoleForCostOptimizationHub",
"Condition": {"StringLike": {"iam:AWSServiceName": "cost-optimization-hub.bcm.amazonaws.com"}}
}
```
## 删除成本优化中心服务相关角色
如果不再需要使用成本优化中心,我们建议您删除 `AWSServiceRoleForCostOptimizationHub` 服务相关角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先选择退出成本优化中心,才能手动删除服务相关角色。
**选择退出成本优化中心**
有关选择退出成本优化中心的信息,请参阅 [Opting out of Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html#coh-opt-out)。
**使用 IAM 手动删除服务关联角色**
使用 IAM 控制台、 AWS 命令行界面 (AWS CLI) 或 AWS API 删除`AWSServiceRoleForCostOptimizationHub`服务相关角色。有关更多信息,请参见《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 成本优化中心服务相关角色支持的区域
成本优化中心支持在服务可用的所有 AWS 区域中使用服务相关角色。有关更多信息,请参阅 AWS 服务终端节点。
# 拆分成本分配数据的服务相关角色
拆分成本分配数据使用 AWS 身份和访问管理 (IAM) Access [Management 服务相关](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)角色。服务相关角色是一种独特类型的 IAM 角色,它与拆分成本分配数据直接相关。服务相关角色由分摊成本分配数据预定义,包括该服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色可让您更轻松地设置拆分成本分配数据,因为您不必手动添加必要的权限。拆分成本分配数据定义其服务相关角色的权限,除非另外定义,否则只有拆分成本分配数据可以代入该角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其他 IAM 实体。
有关支持服务相关角色的其他服务的信息,请参阅[与 IAM 配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),并查找 **Service-Linked Role**(服务相关角色)列中显示为 **Yes**(是)的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## 拆分成本分配数据的服务相关角色权限
拆分成本分配数据使用名为的服务相关角色`AWSServiceRoleForSplitCostAllocationData`,该角色允许访问由分割成本分配数据使用或管理的 AWS 服务和资源。
`AWSServiceRoleForSplitCostAllocationData` 服务关联角色信任 `split-cost-allocation-data.bcm.amazonaws.com` 服务来代入角色。
角色权限策略 `SplitCostAllocationDataServiceRolePolicy` 允许拆分成本分配数据对指定资源完成以下操作:
+ 组织:DescribeOrganization
+ 组织:ListAccounts
+ 组织:列表 AWSService AccessForOrganization
+ 组织:ListParents
+ aps: ListWorkspaces
+ aps: QueryMetrics
有关更多信息,请参阅[允许拆分成本分配数据调用使服务正常运行所需的服务](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#split-cost-allocation-data-managedIAM)。
要查看服务相关角色 `SplitCostAllocationDataServiceRolePolicy` 的完整权限详细信息,请参阅《*AWS 托管式策略参考指南*》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CostOptimizationHubServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CostOptimizationHubServiceRolePolicy.html)。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅《IAM 用户指南》中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 创建拆分成本分配数据服务相关角色
您无需手动创建服务关联角色。当您选择加入拆分成本分配数据时,该服务会自动为您创建服务相关角色。您可以通过成本管理控制台启用拆分 AWS 成本分配数据。有关更多信息,请参阅[启用拆分成本分配数据](https://docs.aws.amazon.com/cur/latest/userguide/enabling-split-cost-allocation-data.html)。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。
## 编辑拆分成本分配数据服务相关角色
由于多个实体可能引用 `AWSServiceRoleForSplitCostAllocationData` 服务相关角色,因此无法编辑该角色的名称或权限。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
**允许 IAM 实体编辑 `AWSServiceRoleForSplitCostAllocationData` 服务相关角色的描述**
将以下语句添加到需要编辑服务相关角色的描述的 IAM 实体的权限策略。
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/split-cost-allocation-data.bcm.amazonaws.com/AWSServiceRoleForSplitCostAllocationData",
"Condition": {"StringLike": {"iam:AWSServiceName": "split-cost-allocation-data.bcm.amazonaws.com"}}
}
```
## 删除拆分成本分配数据服务相关角色
如果不再需要使用拆分成本分配数据,我们建议您删除 `AWSServiceRoleForSplitCostAllocationData` 服务相关角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先选择退出拆分成本分配数据,才能手动删除服务相关角色。
**选择退出拆分成本分配数据**
有关选择退出拆分成本分配数据的信息,请参阅[启用拆分成本分配数据](https://docs.aws.amazon.com/cur/latest/userguide/enabling-split-cost-allocation-data.html)。
**使用 IAM 手动删除服务关联角色**
使用 IAM 控制台、 AWS 命令行界面 (AWS CLI) 或 AWS API 删除`AWSServiceRoleForSplitCostAllocationData`服务相关角色。有关更多信息,请参见《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 拆分成本分配数据服务相关角色支持的区域
拆分成本分配数据支持在拆分成本分配数据可用的所有 AWS 区域中使用服务相关角色。有关更多信息,请参阅 AWS 服务终端节点。
# 数据导出的服务相关角色
数据导出使用 AWS 身份和访问管理 (IAM) Access [Management 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)相关角色。服务相关角色是一种独特类型的 IAM 角色,它与数据导出直接相关。服务相关角色由数据导出预定义,并包含该服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色可让您更轻松地设置数据导出,因为您不必手动添加必要的权限。数据导出定义其服务相关角色的权限,除非另外定义,否则,仅数据导出可以代入该角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其他 IAM 实体。
有关支持服务相关角色的其他服务的信息,请参阅[与 IAM 配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),并查找 **Service-Linked Role**(服务相关角色)列中显示为 **Yes**(是)的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## 数据导出的服务相关角色权限
数据导出使用名为 `AWSServiceRoleForBCMDataExports` 的服务相关角色,其允许访问 AWS 服务数据,以便代表客户将数据导出到目标位置(例如 Amazon S3)。此服务相关角色用于只读操作,以收集所需的最少量的 AWS 服务数据。随着时间的推移,服务相关角色会用于确保安全性并继续刷新目标位置的导出数据。
`AWSServiceRoleForBCMDataExports` 服务关联角色信任 `bcm-data-exports.amazonaws.com` 服务来代入角色。
角色权限策略 `AWSBCMDataExportsServiceRolePolicy` 允许数据导出对指定资源完成以下操作:
+ cost-optimization-hub:ListEnrollmentStatuses
+ cost-optimization-hub:ListRecommendation
有关更多信息,请参阅[允许数据导出访问其他 AWS 服务](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#data-exports-managedIAM)。
要查看服务相关角色 `AWSBCMDataExportsServiceRolePolicy` 的完整权限详细信息,请参阅《*AWS 托管式策略参考指南*》中的 [AWSBCMDataExportsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CostOptimizationHubServiceRolePolicy.html)。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅《IAM 用户指南》中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 创建数据导出服务相关角色
无需手动创建数据导出服务相关角色。在数据导出控制台页面上,当您尝试创建需要服务相关角色的表的导出时,服务会自动为您创建角色。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。
## 编辑数据导出服务相关角色
由于多个实体可能引用 `AWSServiceRoleForBCMDataExports` 服务相关角色,因此无法编辑该角色的名称或权限。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
**允许 IAM 实体编辑 `AWSServiceRoleForBCMDataExports` 服务相关角色的描述**
将以下语句添加到需要编辑服务相关角色的描述的 IAM 实体的权限策略。
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/bcm-data-exports.amazonaws.com/AWSServiceRoleForBCMDataExports",
"Condition": {"StringLike": {"iam:AWSServiceName": "bcm-data-exports.amazonaws.com"}}
}
```
## 删除数据导出服务相关角色
如果不再需要使用数据导出,我们建议您删除 `AWSServiceRoleForBCMDataExports` 服务相关角色。这样您就没有未被主动监控或维护的未使用实体。但是,在手动删除服务相关角色之前,您必须先删除任何需要服务相关角色的数据导出。
**删除导出**
有关删除导出的信息,请参阅[编辑和删除导出](https://docs.aws.amazon.com/cur/latest/userguide/dataexports-edit-delete.html)。
**使用 IAM 手动删除服务关联角色**
使用 IAM 控制台、 AWS 命令行界面 (AWS CLI) 或 AWS API 删除`AWSServiceRoleForBCMDataExports`服务相关角色。有关更多信息,请参见《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 数据导出服务相关角色支持的区域
数据导出支持在所有提供数据导出的 AWS 区域中使用服务相关角色。有关更多信息,请参阅 AWS 服务终端节点。
# 适用于 Budgets 的服务相关角色
预算使用 AWS 身份和访问管理 (IAM) Access [Management 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)相关角色。服务相关角色是一种独特类型的 IAM 角色,它与 Budgets 直接相关。服务相关角色由 Budgets 预定义,并包含该服务代表您调用其他 AWS 服务所需的一切权限。
Budgets 定义其服务相关角色的权限,除非另外定义,否则只有 Budgets 可以代入该角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其他 IAM 实体。
有关支持服务相关角色的其他服务的信息,请参阅[与 IAM 配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),并查找 **Service-Linked Role**(服务相关角色)列中显示为 **Yes**(是)的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## Budgets 的服务相关角色权限
Budgets 使用名为 `AWSServiceRoleForBudgets` 的服务相关角色,该角色使 Budgets 能够验证对跨账户边界共享的账单视图的访问权限。
此服务相关角色的目的是验证客户在更新预算支出时是否能够访问与预算关联的底层账单视图数据。
`AWSServiceRoleForBudgets` 服务关联角色信任 `budgets.amazonaws.com` 服务来代入角色。
角色权限策略 `BudgetsServiceRolePolicy` 允许 Budgets 对客户有权访问的所有账单视图资源完成以下操作:
+ 账单:GetBillingViewData
有关更多信息,请参阅[允许 Budgets 调用验证账单视图访问权限所需的服务](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#budget-managedIAM-billing-view)。
要查看服务相关角色 `BudgetsServiceRolePolicy` 的完整权限详细信息,请参阅《*AWS 托管式策略参考指南*》中的 [BudgetsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/BudgetsBillingViewAccessPolicy.html)。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 创建 Budgets 服务相关角色
您无需手动创建服务关联角色。当您向 CreateBudget 其他您有权访问 UpdateBudget 的账户提出请求时,该服务会自动为您创建服务相关角色。 BillingView
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。
## 编辑 Budgets 服务相关角色
由于多个实体可能引用 `AWSServiceRoleForBudgets` 服务相关角色,因此无法编辑该角色的名称或权限。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
**允许 IAM 实体编辑 `AWSServiceRoleForBudgets` 服务相关角色的描述**
将以下语句添加到需要编辑服务相关角色的描述的 IAM 实体的权限策略。
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/budgets.amazonaws.com/AWSServiceRoleForBudgets",
"Condition": {"StringLike": {"iam:AWSServiceName": "budgets.amazonaws.com"}}
}
```
## 删除 Budgets 服务相关角色
如果您不再使用 Budgets,则建议您删除 `AWSServiceRoleForBudgets` 服务相关角色。这样您就没有未被主动监控或维护的未使用实体。但是,在手动删除服务相关角色之前,必须先删除您的账户中与另一个账户的计费视图关联的所有预算。如果在此操作完成之前尝试删除服务相关角色,则请求将失败。
**使用 IAM 手动删除服务关联角色**
使用 IAM 控制台、 AWS 命令行界面 (AWS CLI) 或 AWS API 删除`AWSServiceRoleForBudgets`服务相关角色。有关更多信息,请参见《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## Budgets 服务相关角色的受支持区域
Budgets支持在提供服务的所有 AWS 地区使用与服务相关的角色。有关更多信息,请参阅 AWS 服务终端节点。
# 用于成本分配的用户属性的服务关联角色
用于成本分配的用户属性使用 AWS 身份和访问管理 (IAM) Access [Management 服务相关](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)角色。服务相关角色是一种独特的 IAM 角色,直接链接到用户属性以进行成本分配。服务相关角色由用户属性预定义以进行成本分配,包括该服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色可以更轻松地设置用户属性以进行成本分配,因为您不必手动添加必要的权限。成本分配的用户属性定义了其服务相关角色的权限,除非另有定义,否则只有用于成本分配的用户属性才能担任该角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其他 IAM 实体。
有关支持服务相关角色的其他服务的信息,请参阅[与 IAM 配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),并查找 **Service-Linked Role**(服务相关角色)列中显示为 **Yes**(是)的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## 用于成本分配的用户属性的服务相关角色权限
用于成本分配的用户属性使用名为的服务相关角色`AWSServiceRoleForUserAttributeCostAllocation`,该角色授予成本分配的用户属性代表您从 AWS IAM Identity Center 读取用户属性的权限。
`AWSServiceRoleForUserAttributeCostAllocation` 服务关联角色信任 `user-attribute-cost-allocation-data.amazonaws.com` 服务来代入角色。
服务相关角色使用两种类型的策略:
+ **内联角色权限策略:**包含允许成本分配的用户属性通过 Identity Store 访问您的 AWS IAM Identity Center 实例中的用户信息的权限 APIs。该策略包括客户加密身份中心数据时必需的 KMS 权限,其范围仅限于您的特定账户和 Identity Center 实例。
+ **AWS managed policy (AWSUserAttributeCostAllocationPolicy):**为服务提供获取服务相关角色以供内部使用的额外权限。
有关 AWSUserAttributeCostAllocationPolicy 托管政策更新的更多信息,请参阅 B [AWS illing and Cost Management 的AWS 托管政策](security-iam-awsmanpol.html)。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅《IAM 用户指南》中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 为成本分配服务相关角色创建用户属性
您无需手动创建服务关联角色。当您在成本管理控制台中为成本分配启用用户属性时,该服务会自动为您创建与服务相关的角色。 AWS
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您为成本分配启用用户属性时,该服务会再次为您创建服务相关角色。
## 编辑成本分配服务相关角色的用户属性
由于多个实体可能引用 `AWSServiceRoleForUserAttributeCostAllocation` 服务相关角色,因此无法编辑该角色的名称或权限。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除成本分配服务相关角色的用户属性
如果您不再需要使用用户属性进行成本分配,我们建议您删除`AWSServiceRoleForUserAttributeCostAllocation`服务相关角色。这样您就没有未被主动监控或维护的未使用实体。但是,在手动删除服务相关角色之前,必须先选择退出用于成本分配的用户属性。
### 清除 服务相关角色
在使用 IAM 删除服务相关角色之前,您必须先禁用成本分配首选项的用户属性中的所有用户属性,从而选择退出用于成本分配的用户属性。
### 手动删除服务相关角色
使用 IAM 控制台 AWS CLI、或 AWS API 删除`AWSServiceRoleForUserAttributeCostAllocation`服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 成本分配服务相关角色的用户属性支持的区域
成本分配的用户属性支持在提供服务的所有 AWS 区域中使用服务相关角色。有关更多信息,请参阅 AWS 服务端点。
# AWS B AWS illing and Cost Management 的托管政策
仅使用您的团队所需的权限创建 [IAM 客户托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要时间和专业知识。要快速入门,您可以使用 AWS 托管策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管式策略的更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管式策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 托管式策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
## AWSUserAttributeCostAllocationPolicy
此策略为成本分配服务相关角色的用户属性提供权限,以获取内部服务操作的角色信息。
此策略附加到 `AWSServiceRoleForUserAttributeCostAllocation` 服务关联角色。
## AWS 账单和成本管理(Cost Management)对 AWS 托管政策的更新
查看自该服务开始跟踪 AWS 账单和成本 AWS 管理(Billing and Cost Management)托管政策更新以来,这些更新详情。
| Policy | 版本 | 更改 |
| --- | --- | --- |
| AWSUserAttributeCostAllocationPolicy | 1 | **2025年12月15日:**最初的政策制定。此策略为成本分配服务相关角色的用户属性提供权限,以获取内部服务操作的角色信息。 |