本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 遷移 的存取控制 AWS Billing
<a name="migrate-granularaccess-whatis"></a>

**注意**  
下列 AWS Identity and Access Management (IAM) 動作已於 2023 年 7 月結束標準支援：  
`aws-portal` 命名空間
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您使用的是 AWS Organizations，則可以使用[大量政策 migrator 指令碼](migrate-iam-permissions.md)或大量政策 migrator 從您的付款人帳戶更新政策。也可以使用[舊動作至精細動作對應參考](migrate-granularaccess-iam-mapping-reference.md)來確認需要新增的 IAM 動作。  
如果您有 AWS 帳戶在 2023 年 3 月 6 日上午 11：00 (PDT) 或之後 AWS Organizations 建立的 或 的一部分，則精細動作已在組織中生效。

您可以使用精細存取控制，為組織中的個人提供 AWS 帳單與成本管理 服務的存取權。例如，您可以在不提供帳單和成本管理主控台存取權的情況下，提供 Cost Explorer 的存取權。

若要使用精細存取控制，您需要將政策從 `aws-portal` 下遷移至新的 IAM 動作。

您的許可政策或服務控制政策 (SCP) 中的下列 IAM 動作需要透過此遷移進行更新：
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`

若要了解如何使用 **Affected policies** (受影響的政策) 工具來識別受影響的 IAM 政策，請參閱 [如何使用受影響的政策工具](migrate-security-iam-tool.md)。

**注意**  
對 AWS Cost Explorer、 AWS 成本和用量報告的 API 存取和 AWS 預算不受影響。  
[啟用 Billing and Cost Management 主控台的存取權](control-access-billing.md#ControllingAccessWebsite-Activate) 保持不變。

**Topics**
+ [管理存取許可](#migrate-control-access-billing)
+ [使用主控台大量遷移您的政策](migrate-granularaccess-console.md)
+ [如何使用受影響的政策工具](migrate-security-iam-tool.md)
+ [使用指令碼大量遷移您的政策，以使用精細的 IAM  動作](migrate-iam-permissions.md)
+ [映射精細的 IAM 動作參考](migrate-granularaccess-iam-mapping-reference.md)

## 管理存取許可
<a name="migrate-control-access-billing"></a>

AWS Billing 與 AWS Identity and Access Management (IAM) 服務整合，讓您可以控制組織中的哪些人員可以存取 [Billing and Cost Management 主控台](https://console.aws.amazon.com/billing/)上的特定頁面。這包括付款、帳單、抵用金、免費方案、付款偏好設定、合併帳單、稅務設定和帳戶頁面等功能。

使用下列 IAM 許可對帳單和成本管理主控台進行精細控制。

若要提供精細存取權，請用 `account`、`billing`、`payments`、`freetier`、`invoicing`、`tax` 和 `consolidatedbilling` 取代 `aws-portal` 政策。

此外，用 `purchase-orders`、`account` 和 `payments` 下的精細動作取代 `purchase-orders:ViewPurchaseOrders` 和 `purchase-orders:ModifyPurchaseOrders`。

### 使用精細 AWS Billing 動作
<a name="migrate-user-permissions"></a>

下表摘要說明允許或拒絕 IAM 使用者和角色存取帳單資訊的許可。如需使用這些許可的政策範例，請參閱 [AWS 帳單政策範例](billing-example-policies.md)。

如需 AWS Cost Management 主控台的動作清單，請參閱*AWS Cost Management 《 使用者指南*》中的[AWS Cost Management 動作政策](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#user-permissions)。



- ** [帳單首頁](https://console.aws.amazon.com/billing/home#/) **
  - **IAM 動作:** `account:GetAccountInformation`<br />`billing:Get*`<br />`payments:List*`<br />`tax:List*`
  - **說明:** 准許檢視**首頁**頁面。這些是唯讀許可。這些許可僅適用於主控台。這些許可沒有可用的 API 存取權。

- ** [Bills (帳單)](https://console.aws.amazon.com/billing/home#/bills) **
  - **IAM 動作:** `account:GetAccountInformation`<br />`billing:Get*`<br />`consolidatedbilling:Get*`<br />`consolidatedbilling:List*`<br />`invoicing:List*`<br />`payments:List*` / **說明:** 准許檢視**帳單**頁面。這些是唯讀許可。這些許可僅適用於主控台。這些許可沒有可用的 API 存取權。
  - **IAM 動作:** `invoicing:Get*` / **說明:** 准許從**帳單**頁面下載發票。此許可僅適用於主控台。此許可沒有可用的 API 存取權。
  - **IAM 動作:** `cur:Get*` / **說明:** 准許從**帳單**頁面下載 CSV 報告。此許可僅適用於主控台。此許可沒有可用的 API 存取權。
  - **IAM 動作:** `billing:ListBillingViews` / **說明:** 准許檢視所建立之每個 AWS Billing Conductor 帳單群組的 `ARN`和 描述。這是針對特定群組建立報告偏好設定所必需的。此許可僅適用於主控台。此許可沒有可用的 API 存取權。

- ** [付款](https://console.aws.amazon.com/billing/home#/paymentsoverview) **
  - **IAM 動作:** `account:GetAccountInformation`<br />`billing:Get*`<br />`payments:Get*`<br />`payments:List*` / **說明:** 准許檢視**付款**頁面。這些是 **Payments due** (到期付款)、**Unapplied funds** (未沖銷資金)、**Transaction** (交易) 及 **Advance pay** (預付款) 索引標籤的唯讀許可。這些許可僅適用於主控台。這些許可沒有可用的 API 存取權。
  - **IAM 動作:** `invoicing:Get*` / **說明:** 准許從**交易**索引標籤下載發票。此許可僅適用於主控台。此許可沒有可用的 API 存取權。
  - **IAM 動作:** `payments:Update*` / **說明:** 准許使用「預付款」和設定付款詳細資料所需的動作。
  - **IAM 動作:** `payments:Make*`<br />`invoicing:Get*` / **說明:** 准許產生「預付款」資金申請文件並進行付款。

- ** [Credits (點數)](https://console.aws.amazon.com/billing/home#/credits) **
  - **IAM 動作:** `billing:Get*`<br />`account:GetAccountInformation` / **說明:** 准許檢視**點數**頁面。
  - **IAM 動作:** `billing:RedeemCredits` / **說明:** 准許兌換點數。

- ** [Purchase orders (採購訂單)](https://console.aws.amazon.com/billing/home#/purchaseorders) **
  - **IAM 動作:** `account:GetAccountInformation`<br />`account:GetContactInformation`<br />`payments:Get*`<br />`payments:List*`<br />`purchase-orders:ListPurchaseOrders`<br />`purchase-orders:ListPurchaseOrderInvoices`<br />`tax:ListTaxRegistrations`<br />`consolidatedbilling:GetAccountBillingRole` / **說明:** 准許檢視**採購訂單**頁面。
  - **IAM 動作:** `purchase-orders:GetPurchaseOrder` / **說明:** 准許檢視採購訂單的詳細資訊。
  - **IAM 動作:** `purchase-orders:AddPurchaseOrder` / **說明:** 准許新增採購訂單。
  - **IAM 動作:** `purchase-orders:DeletePurchaseOrder` / **說明:** 准許刪除採購單。
  - **IAM 動作:** `purchase-orders:UpdatePurchaseOrder`<br />`purchase-orders:UpdatePurchaseOrderStatus` / **說明:** 准許更新採購訂單和採訂單狀態。

- ** [AWS 成本與用量報告](https://console.aws.amazon.com/billing/home#/reports) **
  - **IAM 動作:** `cur:GetClassic*`<br />`cur:DescribeReportDefinitions` / **說明:** 准許在成本和用量報告頁面上檢視 AWS CUR 報告清單。 **AWS **`cur:GetClassic*` 許可僅適用於主控台。此許可沒有可用的 API 存取權。
  - **IAM 動作:** `billing:ListBillingViews` / **說明:** 准許檢視在 Billing Conductor 中建立的每個 AWS 帳單群組的 `ARN`和描述。這是針對特定群組建立報告偏好設定所必需的。此許可僅適用於主控台。此許可沒有可用的 API 存取權。
  - **IAM 動作:** `s3:ListAllMyBuckets`<br />`s3:CreateBucket`<br />`s3:PutBucketPolicy`<br />`s3:GetBucketLocation`<br />`cur:Validate*`<br />`cur:PutReportDefinition` / **說明:** 准許建立新 AWS CUR 報告所需的動作。`cur:Validate*` 許可僅適用於主控台。這些許可沒有可用的 API 存取權。
  - **IAM 動作:** `cur:Validate*`<br />`s3:CreateBucket`<br />`s3:ListAllMyBuckets`<br />`s3:PutBucketPolicy`<br />`s3:GetBucketLocation`<br />`cur:ModifyReportDefinition` / **說明:** 准許編輯 AWS CUR 定義。`cur:Validate*` 許可僅適用於主控台。這些許可沒有可用的 API 存取權。
  - **IAM 動作:** `cur:DeleteReportDefinition` / **說明:** 准許刪除 AWS CUR 報告。
  - **IAM 動作:** `cur:GetUsage*` / **說明:** 准許下載用量報告。
  - **IAM 動作:** `sustainability:GetCarbonFootprintSummary` / **說明:** 准許檢視  AWS 帳戶 的永續發展資料。

- ** [成本類別](https://console.aws.amazon.com/billing/home#/costcategories) **
  - **IAM 動作:** `account:GetAccountInformation`<br />`ce:ListCostCategoryDefinitions`<br />`ce:DescribeCostCategoryDefinition`<br />`ce:GetCostAndUsage`<br />`ce:ListTagsForResource`<br />`consolidatedbilling:GetAccountBillingRole` / **說明:** 准許檢視成本類別。`account:GetAccountInformation` 許可僅適用於主控台。這些許可沒有可用的 API 存取權。
  - **IAM 動作:** `billing:Get*`<br />`ce:TagResource`<br />`ce:ListCostAllocationTags`<br />`consolidatedbilling:List*`<br />`ce:CreateCostCategoryDefinition`<br />`pricing:DescribeServices`<br />`ce:GetDimensionValues`<br />`ce:GetTags` / **說明:** 准許建立成本類別。`billing:Get*` 和 `consolidatedbilling:List*` 許可僅適用於主控台。這些許可沒有可用的 API 存取權。
  - **IAM 動作:** `ce:UpdateCostCategoryDefinition`<br />`ce:UntagResource` / **說明:** 准許修改成本類別。
  - **IAM 動作:** `ce:DeleteCostCategoryDefinition` / **說明:** 准許刪除成本類別。

- ** [成本分配標籤](https://console.aws.amazon.com/billing/home#/tags) **
  - **IAM 動作:** `account:GetAccountInformation`<br />`ce:ListCostAllocationTags`<br />`consolidatedbilling:GetAccountBillingRole` / **說明:** 准許檢視成本分配標籤。
  - **IAM 動作:** `ce:UpdateCostAllocationTagsStatus` / **說明:** 准許啟用或停用成本分配標籤。

- ** [AWS Budgets](https://console.aws.amazon.com/billing/home#/budgets) **
  - **IAM 動作:** `budgets:ViewBudget`<br />`budgets:DescribeBudgetActionsForBudget`<br />`budgets:DescribeBudgetAction`<br />`budgets:DescribeBudgetActionsForAccount`<br />`budgets:DescribeBudgetActionHistories` / **說明:** 准許檢視**预算**頁面。
  - **IAM 動作:** `budgets:CreateBudgetAction`<br />`budgets:ExecuteBudgetAction`<br />`budgets:DeleteBudgetAction`<br />`budgets:UpdateBudgetAction`<br />`budgets:ModifyBudget` / **說明:** 准許建立、刪除和修改預算和預算動作。

- ** [免費方案](https://console.aws.amazon.com/billing/home#/freetier) **
  - **IAM 動作:** `billing:Get*`<br />`freetier:Get*`
  - **說明:** 准許檢視免費方案用量限制和每月迄今用量狀態。

- ** [Billing preferences (帳單偏好設定)](https://console.aws.amazon.com/billing/home#/preferences) **
  - **IAM 動作:** `account:GetAccountInformation`<br />`billing:Get*`<br />`consolidatedbilling:Get*`<br />`consolidatedbilling:List*`<br />`cur:GetClassic*`<br />`cur:Validate*`<br />`freetier:Get*`<br />`invoicing:Get*` / **說明:** 准許檢視**帳單偏好設定**頁面所有區段所需的動作。這些許可僅適用於主控台。這些許可沒有可用的 API 存取權。
  - **IAM 動作:** `billing:Update*`<br />`freetier:Put*`<br />`cur:PutClassic*`<br />`s3:ListAllMyBuckets`<br />`s3:CreateBucket`<br />`s3:PutBucketPolicy`<br />`s3:GetBucketLocation`<br />`invoicing:Put*` / **說明:** 准許在**帳單偏好設定**頁面做出下列變更：[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html)`billing:Update*`、`freetier:Put*`、`cur:PutClassic*` 許可僅適用於主控台。這些許可沒有可用的 API 存取權。

- ** [付款偏好設定](https://console.aws.amazon.com/billing/home#/paymentpreferences) **
  - **IAM 動作:** `account:GetAccountInformation`<br />`billing:Get*`<br />`payments:GetPaymentInstrument`<br />`payments:List*`<br />`payments:GetPaymentStatus` / **說明:** 准許檢視**付款偏好設定**頁面。這些許可僅適用於主控台。這些許可沒有可用的 API 存取權。
  - **IAM 動作:** `payments:Update*`<br />`payments:Make*`<br />`payments:CreatePaymentInstrument`<br />`payments:DeletePaymentInstrument` / **說明:** 准許建立或更新付款方式。僅在付款卡需要求多重要素驗證 (MFA) 的情況下才會要求 `payments:Make*`。
  - **IAM 動作:** `tax:PutTaxRegistration`<br />`tax:Delete*`<br />`payments:UpdatePaymentPreferences`<br />`payments:CreatePaymentInstrument` / **說明:** 准許更新或刪除稅務登記號碼。
  - **IAM 動作:** `payments:Update*` / **說明:** 准許更新付款設定檔。此許可僅適用於主控台。此許可沒有可用的 API 存取權。

- ** [Tax settings (稅務設定)](https://console.aws.amazon.com/billing/home#/tax) **
  - **IAM 動作:** `tax:List*`<br />`tax:Get*` / **說明:** 准許檢視稅務設定。
  - **IAM 動作:** `tax:BatchPut*` / **說明:** 准許更新稅務設定所需的動作。
  - **IAM 動作:** `tax:Put*` / **說明:** 准許設定稅務繼承。
  - **IAM 動作:** `tax:UpdateExemptions`<br />`support:CreateCase`<br />`support:AddAttachmentsToSet` / **說明:** 准許更新稅金豁免。

- ** [帳戶](https://console.aws.amazon.com/billing/home#/account) **
  - **IAM 動作:** `account:Get*`<br />`account:List*`<br />`billing:Get*`<br />`payments:List*` / **說明:** 准許檢視**帳戶設定**。`billing:Get*` 許可僅適用於主控台。此許可沒有可用的 API 存取權。
  - **IAM 動作:** `account:CloseAccount` / **說明:** 准許關閉 AWS 帳戶。此許可僅適用於主控台。此許可沒有可用的 API 存取權。
  - **IAM 動作:** `account:DisableRegion` / **說明:** 准許關閉**帳戶**頁面上 AWS 的區域。
  - **IAM 動作:** `account:EnableRegion` / **說明:** 准許在**帳戶**頁面上開啟 AWS 區域。
  - **IAM 動作:** `account:PutAlternateContact` / **說明:** 准許寫入帳戶的替代聯絡人。
  - **IAM 動作:** `account:PutChallengeQuestions` / **說明:** 准許設定帳戶的安全質詢問題。此許可僅適用於主控台。此許可沒有可用的 API 存取權。
  - **IAM 動作:** `account:PutContactInformation` / **說明:** 准許設定或寫入帳戶的主要聯絡人資訊 (包括地址) 所需的動作。
  - **IAM 動作:** `billing:PutContractInformation` / **說明:** 准許設定帳戶合約資訊 (如果帳戶用於服務公共部門客戶)。可提取的資訊包括最終使用者組織名稱、合約編號及採購訂單編號。此許可僅適用於主控台。此許可沒有可用的 API 存取權。
  - **IAM 動作:** `billing:Update*` / **說明:** 准許在**帳戶**頁面開啟或關閉**啟用 IAM 存取權**設定所需的動作。
  - **IAM 動作:** `payments:Update*` / **說明:** 准許設定預付款、貨幣偏好設定、帳單聯絡人詳細資料和地址，以及付款條件與條件。