本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 適用於 AWS 成本管理的 Identity and Access Management
AWS Identity and Access Management (IAM) 是一種 AWS 服務 ,可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員可控制誰可以*進行身分驗證* (登入) 和*授權* (具有許可),以使用 AWS Cost Management 資源。IAM 是您可以免費使用 AWS 服務 的 。
**Topics**
+ [使用者類型和帳單許可](#security_iam_audience)
+ [目標對象](#security_iam_audience)
+ [使用身分驗證](#security_iam_authentication)
+ [使用政策管理存取權](#security_iam_access-manage)
+ [管理存取許可概觀](control-access-billing.md)
+ [AWS 成本管理如何與 IAM 搭配使用](security_iam_service-with-iam.md)
+ [AWS 成本管理的身分型政策範例](security_iam_id-based-policy-examples.md)
+ [針對 AWS 成本管理使用身分型政策 (IAM 政策)](billing-permissions-ref.md)
+ [AWS 成本管理政策範例](billing-example-policies.md)
+ [遷移 AWS 成本管理的存取控制](migrate-granularaccess-whatis.md)
+ [預防跨服務混淆代理人](cross-service-confused-deputy-prevention.md)
+ [針對 AWS Cost Management 身分和存取進行故障診斷](security_iam_troubleshoot.md)
+ [AWS 成本管理的服務連結角色](#security_iam_service-with-iam-roles-service-linked)
+ [使用服務連結角色](cost-management-SLR.md)
+ [AWS AWS Billing and Cost Management 的 受管政策](security-iam-awsmanpol.md)
## 使用者類型和帳單許可
此資料表摘要說明 AWS 成本管理中針對每種計費使用者類型允許的預設動作。
**使用者類型和帳單許可**
| 使用者類型 | Description | 帳單許可 |
| --- | --- | --- |
| 帳戶擁有者 | 在其名稱下設定您的帳戶的個人或實體。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/cost-management/latest/userguide/security-iam.html) |
| 使用者 | 由帳戶擁有者或管理使用者在帳戶中定義為使用者的人員或應用程式。帳戶可以包含多個 使用者。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/cost-management/latest/userguide/security-iam.html) |
| 組織管理帳戶擁有者 | 與 AWS Organizations 管理帳戶相關聯的個人或實體。管理帳戶會支付組織中成員帳戶所產生的 AWS 用量。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/cost-management/latest/userguide/security-iam.html) |
| 組織成員帳戶擁有者 | 與 AWS Organizations 成員帳戶相關聯的個人或實體。管理帳戶會支付組織中成員帳戶所產生的 AWS 用量。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/cost-management/latest/userguide/security-iam.html) |
## 目標對象
使用方式 AWS Identity and Access Management (IAM) 會根據您的角色而有所不同:
+ **服務使用者** — 若無法存取某些功能,請向管理員申請所需許可 (請參閱 [針對 AWS Cost Management 身分和存取進行故障診斷](security_iam_troubleshoot.md))
+ **服務管理員** — 負責設定使用者存取權並提交相關許可請求 (請參閱 [AWS 成本管理如何與 IAM 搭配使用](security_iam_service-with-iam.md))
+ **IAM 管理員** — 撰寫政策以管理存取控制 (請參閱 [AWS 成本管理的身分型政策範例](security_iam_id-based-policy-examples.md))
## 使用身分驗證
身分驗證是您 AWS 使用身分憑證登入 的方式。您必須以 AWS 帳戶根使用者、IAM 使用者或擔任 IAM 角色身分進行身分驗證。
您可以使用身分來源的登入資料,例如 AWS IAM Identity Center (IAM Identity Center)、單一登入身分驗證或 Google/Facebook 登入資料,以聯合身分的形式登入。如需有關登入的詳細資訊,請參閱《AWS 登入 使用者指南》**中的[如何登入您的 AWS 帳戶](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
對於程式設計存取, AWS 提供 SDK 和 CLI 以密碼編譯方式簽署請求。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [API 請求的AWS 第 4 版簽署程序](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
### AWS 帳戶 根使用者
當您建立 時 AWS 帳戶,您會從一個名為 AWS 帳戶 *theroot 使用者的*登入身分開始,該身分具有對所有 AWS 服務 和 資源的完整存取權。強烈建議不要使用根使用者來執行日常任務。有關需要根使用者憑證的任務,請參閱《IAM 使用者指南》**中的[需要根使用者憑證的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### 聯合身分
最佳實務是要求人類使用者使用聯合身分提供者,以 AWS 服務 使用臨時憑證存取 。
*聯合身分*是您企業目錄、Web 身分提供者的使用者,或使用身分來源的 AWS 服務 憑證存取 Directory Service 。聯合身分會擔任角色,而該角色會提供臨時憑證。
若需集中化管理存取權限,建議使用 AWS IAM Identity Center。如需詳細資訊,請參閱 *AWS IAM Identity Center 使用者指南*中的[什麼是 IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。
### IAM 使用者和群組
*IAM 使用者*[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)是一種身分具備單人或應用程式的特定許可權。建議以臨時憑證取代具備長期憑證的 IAM 使用者。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[要求人類使用者使用聯合身分提供者來 AWS 使用臨時憑證存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) 。
[IAM 群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)**會指定 IAM 使用者集合,使管理大量使用者的許可權更加輕鬆。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [IAM 使用者的使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
### IAM 角色
*IAM 角色*[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)的身分具有特定許可權,其可以提供臨時憑證。您可以透過[從使用者切換到 IAM 角色 (主控台) ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或呼叫 AWS CLI 或 AWS API 操作來擔任角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的[擔任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色適用於聯合身分使用者存取、臨時 IAM 使用者許可、跨帳戶存取權與跨服務存取,以及在 Amazon EC2 執行的應用程式。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的快帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 使用政策管理存取權
您可以透過建立政策並將其連接到身分或資源 AWS 來控制 AWS 中的存取。政策定義與身分或資源相關聯的許可。當委託人提出請求時 AWS , 會評估這些政策。大多數政策會以 JSON 文件 AWS 形式存放在 中。如需進一步了解 JSON 政策文件,請參閱《*IAM 使用者指南*》中的 [JSON 政策概觀](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理員會使用政策,透過定義哪些**主體**可在哪些**條件**下對哪些**資源**執行**動作**,以指定可存取的範圍。
預設情況下,使用者和角色沒有許可。IAM 管理員會建立 IAM 政策並將其新增至角色,供使用者後續擔任。IAM 政策定義動作的許可,無論採用何種方式執行。
### 身分型政策
身分型政策是附加至身分 (使用者、使用者群組或角色) 的 JSON 許可政策文件。這類政策控制身分可對哪些資源執行哪些動作,以及適用的條件。如需了解如何建立身分型政策,請參閱《*IAM 使用者指南*》中的[透過客戶管理政策定義自訂 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
身分型政策可分為*內嵌政策* (直接內嵌於單一身分) 與*受管政策* (可附加至多個身分的獨立政策)。如需了解如何在受管政策及內嵌政策之間做選擇,請參閱《IAM 使用者指南》**中的[在受管政策與內嵌政策之間選擇](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。
### 資源型政策
資源型政策是附加到資源的 JSON 政策文件。範例包括 IAM *角色信任政策*與 Amazon S3 *儲存貯體政策*。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。您必須在資源型政策中[指定主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
資源型政策是位於該服務中的內嵌政策。您無法在資源型政策中使用來自 IAM 的 AWS 受管政策。
### 其他政策類型
AWS 支援其他政策類型,可設定更多常見政策類型授予的最大許可:
+ **許可界限** — 設定身分型政策可授與 IAM 實體的最大許可。如需詳細資訊,請參閱《 IAM 使用者指南》**中的 [IAM 實體許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服務控制政策 (SCP)** — 為 AWS Organizations中的組織或組織單位指定最大許可。如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的[服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **資源控制政策 (RCP)** — 設定您帳戶中資源可用許可的上限。如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的[資源控制政策 (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **工作階段政策** — 在以程式設計方式為角色或聯合身分使用者建立臨時工作階段時,以參數形式傳遞的進階政策。如需詳細資訊,請參《*IAM 使用者指南*》中的[工作階段政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多種政策類型
當多種類型的政策適用於請求時,產生的許可會更複雜而無法理解。若要了解如何 AWS 決定是否在涉及多個政策類型時允許請求,請參閱《*IAM 使用者指南*》中的[政策評估邏輯](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# 管理存取許可概觀
## 授與帳單資訊和工具的存取權
AWS 帳戶擁有者可以使用帳戶登入資料登入 AWS 管理主控台 ,以存取帳單資訊和工具。我們建議您不要將帳戶登入資料用於帳戶的日常存取,尤其是不要與他人共用帳戶登入資料,讓他們能夠存取您的帳戶。
針對您的每日管理任務,建立管理使用者以安全地控制對 AWS 資源的存取。根據預設,使用者無法存取 [AWS Cost Management 主控台](https://console.aws.amazon.com/billing/)。身為管理員,您可以在 AWS 帳戶下建立使用者可擔任的角色。建立角色之後,您可以根據所需的存取權,將 IAM 政策連接到這些角色。例如,您可以授予一些使用者對於部分帳單資訊和工具的限制存取權,以及授予所有資訊和工具的完整存取權給其他人。
**注意**
IAM 是 AWS 您的帳戶的一項功能。若您已經註冊了某項與 IAM 整合的產品,即不需要再以任何方式註冊 IAM,也不會因使用而收費。
Cost Explorer 的許可會套用到所有帳戶和成員帳戶,無論 IAM 政策為何。如需 Cost Explorer 存取權的詳細資訊,請參閱啟用 [控制對成本總管的存取權](ce-access.md)。
## 啟用 Billing and Cost Management 主控台的存取權
AWS 帳戶內的 IAM 角色預設無法存取 Billing and Cost Management 主控台頁面。即使角色具有授予特定 Billing and Cost Management 功能存取權的 IAM 政策,也是如此。 AWS 帳戶管理員可以使用**啟用 IAM 存取設定,允許角色存取 Billing and Cost Management **主控台頁面。
在 AWS 成本管理主控台上,**啟用 IAM 存取**設定會控制對下列頁面的存取:
+ 首頁
+ Cost Explorer
+ 報告
+ 精簡化建議
+ Savings Plans 建議
+ Savings Plans 使用率報告
+ Savings Plans 涵蓋報告
+ 預留概觀
+ 預留建議
+ 預留使用率報告
+ 保留涵蓋報告
+ Preferences (偏好設定)
如需帳單主控台**啟用 IAM 存取**設定控制項的頁面清單,請參閱[《帳單使用者指南》中的啟用帳單主控台的存取權](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html#ControllingAccessWebsite-Activate)。 **
**重要**
僅啟用 IAM 存取並不會授予角色這些 Billing and Cost Management 主控台頁面的必要許可。除了啟用 IAM 存取之外,您還必須將必要的 IAM 政策連接到這些角色。如需詳細資訊,請參閱[針對 AWS 成本管理使用身分型政策 (IAM 政策)](billing-permissions-ref.md)。
**Activate IAM Access** (啟用 IAM 存取) 設定不會控制下列頁面和資源的存取:
+ AWS 成本異常偵測、Savings Plans 概觀、Savings Plans 庫存、購買 Savings Plans 和 Savings Plans 購物車的主控台頁面
+ 中的成本管理檢視 AWS Console Mobile Application
+ Billing and Cost Management SDK APIs(AWS Cost Explorer、 AWS Budgets 和 AWS Cost and Usage Reports APIs)
+ AWS Systems Manager Application Manager
+ 主控台內 AWS 定價計算工具
+ Amazon Q 中的成本分析功能
+ 的 AWS Activate Console
根據預設,**Activate IAM Access** (啟用 IAM 存取) 設定已停用。若要啟用此設定,您必須使用根使用者登入資料登入 AWS 您的帳戶,然後在**帳戶**頁面中選取設定。在您想要允許 IAM 角色存取 Billing and Cost Management 主控台頁面的每個帳戶中啟用此設定。如果您使用 AWS Organizations,請在您要允許 IAM 角色存取主控台頁面的每個管理或成員帳戶中啟用此設定。
**注意**
具有管理員存取權的使用者無法使用**啟用 IAM** 存取設定。此設定僅適用於帳戶的根使用者。
如果停用**啟用 IAM 存取**設定,則帳戶中的 IAM 角色無法存取 Billing and Cost Management 主控台頁面。即使他們具有管理員存取權或必要的 IAM 政策,亦是如此。
**若要啟用 IAM 使用者和角色對 Billing and Cost Management 主控台的存取**
1. 使用您的根帳戶登入資料 (特別是您用來建立 AWS 帳戶的電子郵件地址和密碼) 登入 AWS 管理主控台。
1. 在導覽列上選擇您的帳戶名稱,然後選擇 [Account](https://console.aws.amazon.com/billing/home#/account) (帳戶)。
1. 請選擇 **IAM User and Role Access to Billing Information (IAM 使用者與角色的帳單資訊存取權)** 旁邊的 **Edit (編輯)**。
1. 選取 **Activate IAM Access (啟用 IAM 存取)** 核取方塊,以啟用對 Billing and Cost Management 主控台頁面的存取。
1. 選擇**更新**。
啟用 IAM 存取後,您還必須將所需的 IAM 政策連接至 IAM 角色。IAM 政策可授予或拒絕存取特定 Billing and Cost Management 功能。如需詳細資訊,請參閱[針對 AWS 成本管理使用身分型政策 (IAM 政策)](billing-permissions-ref.md)。
# AWS 成本管理如何與 IAM 搭配使用
AWS Cost Management 與 AWS Identity and Access Management (IAM) 服務整合,因此您可以控制組織中誰可以存取 [AWS Cost Management 主控台](https://console.aws.amazon.com/cost-management/home)上的特定頁面。您可以控制對於發票以及費用和帳戶活動、預算、付款方式與點數之詳細資訊的存取。
如需如何啟用 Billing and Cost Management 主控台存取權的詳細資訊,請參閱 *IAM 使用者指南*中的[教學課程:將存取權委派給帳單主控台](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html)。
在您使用 IAM 管理 AWS 成本管理的存取權之前,請先了解哪些 IAM 功能可與 AWS 成本管理搭配使用。
**您可以搭配 AWS Cost Management 使用的 IAM 功能**
| IAM 功能 | AWS 成本管理支援 |
| --- | --- |
| [身分型政策](#security_iam_service-with-iam-id-based-policies) | 是 |
| [資源型政策](#security_iam_service-with-iam-resource-based-policies) | 否 |
| [政策動作](#security_iam_service-with-iam-id-based-policies-actions) | 是 |
| [政策資源](#security_iam_service-with-iam-id-based-policies-resources) | 部分 |
| [政策條件索引鍵](#security_iam_service-with-iam-id-based-policies-conditionkeys) | 是 |
| [ACL](#security_iam_service-with-iam-acls) | 否 |
| [ABAC(政策中的標籤)](#security_iam_service-with-iam-tags) | 部分 |
| [臨時憑證](#security_iam_service-with-iam-roles-tempcreds) | 是 |
| [轉送存取工作階段 (FAS)](#security_iam_service-with-iam-principal-permissions) | 是 |
| [服務角色](#security_iam_service-with-iam-roles-service) | 是 |
| [服務連結角色](security-iam.md#security_iam_service-with-iam-roles-service-linked) | 否 |
若要全面了解 AWS Cost Management 和其他 AWS 服務如何與大多數 IAM 功能搭配使用,請參閱《[AWS IAM 使用者指南》中的與 IAM 搭配使用的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。 **
## AWS 成本管理的身分型政策
**支援身分型政策:**是
身分型政策是可以附加到身分 (例如 IAM 使用者、使用者群組或角色) 的 JSON 許可政策文件。這些政策可控制身分在何種條件下能對哪些資源執行哪些動作。如需了解如何建立身分型政策,請參閱《*IAM 使用者指南*》中的[透過客戶管理政策定義自訂 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
使用 IAM 身分型政策,您可以指定允許或拒絕的動作和資源,以及在何種條件下允許或拒絕動作。如要了解您在 JSON 政策中使用的所有元素,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### AWS 成本管理的身分型政策範例
若要檢視 AWS Cost Management 身分型政策的範例,請參閱 [AWS 成本管理的身分型政策範例](security_iam_id-based-policy-examples.md)。
## AWS 成本管理中的資源型政策
**支援資源型政策:**否
資源型政策是附加到資源的 JSON 政策文件。資源型政策的最常見範例是 IAM *角色信任政策*和 Amazon S3 *儲存貯體政策*。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。對於附加政策的資源,政策會定義指定的主體可以對該資源執行的動作以及在何種條件下執行的動作。您必須在資源型政策中[指定主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。委託人可以包含帳戶、使用者、角色、聯合身分使用者或 AWS 服務。
如需啟用跨帳戶存取權,您可以在其他帳戶內指定所有帳戶或 IAM 實體作為資源型政策的主體。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的快帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## AWS 成本管理的政策動作
**支援政策動作:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。
若要查看 AWS 成本管理動作的清單,請參閱《*服務授權參考*》中的[AWS 成本管理定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostexplorerservice.html)。
AWS Cost Management 中的政策動作在動作之前使用下列字首:
```
ce
```
若要在單一陳述式中指定多個動作,請用逗號分隔。
```
"Action": [
"ce:action1",
"ce:action2"
]
```
若要檢視 AWS Cost Management 身分型政策的範例,請參閱 [AWS 成本管理的身分型政策範例](security_iam_id-based-policy-examples.md)。
## AWS 成本管理的政策資源
**支援政策資源:**部分
政策資源僅支援監視器、訂閱和成本類別。
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Resource` JSON 政策元素可指定要套用動作的物件。最佳實務是使用其 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 來指定資源。若動作不支援資源層級許可,使用萬用字元 (\$1) 表示該陳述式適用於所有資源。
```
"Resource": "*"
```
若要查看 AWS Cost Explorer 資源類型的清單,請參閱*《服務授權參考*》中的[適用於 AWS Cost Explorer 的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostexplorerservice.html)。
若要檢視 AWS Cost Management 身分型政策的範例,請參閱 [AWS 成本管理的身分型政策範例](security_iam_id-based-policy-examples.md)。
## AWS Cost Management 的政策條件索引鍵
**支援服務特定政策條件金鑰:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Condition` 元素會根據定義的條件,指定陳述式的執行時機。您可以建立使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件運算式 (例如等於或小於),來比對政策中的條件和請求中的值。若要查看所有 AWS 全域條件索引鍵,請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
若要查看 AWS Cost Management 條件索引鍵、動作和資源的清單,請參閱*《服務授權參考*》中的 [AWS Cost Management 條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostexplorerservice.html)。
若要檢視 AWS Cost Management 身分型政策的範例,請參閱 [AWS 成本管理的身分型政策範例](security_iam_id-based-policy-examples.md)。
## AWS 成本管理中的存取控制清單 ACLs)
**支援 ACL:**否
存取控制清單 (ACL) 可控制哪些主體 (帳戶成員、使用者或角色) 擁有存取某資源的許可。ACL 類似於資源型政策,但它們不使用 JSON 政策文件格式。
## 具有 AWS 成本管理的屬性型存取控制 (ABAC)
**支援 ABAC (政策中的標籤):**部分
ABAC (政策中的標籤) 僅支援監視器、訂閱和成本類別。
屬性型存取控制 (ABAC) 是一種授權策略,依據稱為標籤的屬性來定義許可。您可以將標籤連接至 IAM 實體 AWS 和資源,然後設計 ABAC 政策,以便在委託人的標籤符合資源上的標籤時允許操作。
如需根據標籤控制存取,請使用 `aws:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 條件索引鍵,在政策的[條件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中,提供標籤資訊。
如果服務支援每個資源類型的全部三個條件金鑰,則對該服務而言,值為 **Yes**。如果服務僅支援某些資源類型的全部三個條件金鑰,則值為 **Partial**。
如需 ABAC 的詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 ABAC 授權定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如要查看含有設定 ABAC 步驟的教學課程,請參閱《*IAM 使用者指南*》中的[使用屬性型存取控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。
## 搭配 AWS Cost Management 使用暫時登入資料
**支援臨時憑證:**是
臨時登入資料提供 AWS 資源的短期存取權,當您使用聯合或切換角色時,會自動建立。 AWS 建議您動態產生臨時登入資料,而不是使用長期存取金鑰。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的臨時安全憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)與[可與 IAM 搭配運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## AWS 成本管理的轉送存取工作階段
**支援轉寄存取工作階段 (FAS):**是
轉送存取工作階段 (FAS) 使用呼叫 的委託人許可 AWS 服務,並結合 AWS 服務 請求向下游服務提出請求。如需提出 FAS 請求時的政策詳細資訊,請參閱[轉發存取工作階段](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。
## AWS 成本管理的服務角色
**支援服務角色:**是
服務角色是服務擔任的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html),可代您執行動作。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以委派許可給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
**警告**
變更服務角色的許可可能會中斷 AWS 成本管理功能。只有在 AWS Cost Management 提供指引時,才能編輯服務角色。
# AWS 成本管理的身分型政策範例
根據預設,使用者和角色沒有建立或修改 AWS Cost Management 資源的許可。若要授予使用者對其所需資源執行動作的許可,IAM 管理員可以建立 IAM 政策。
如需了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《*IAM 使用者指南*》中的[建立 IAM 政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
如需 AWS Cost Management 定義的動作和資源類型的詳細資訊,包括每種資源類型的 ARNs 格式,請參閱*《服務授權參考*》中的 [AWS Cost Management 的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostexplorerservice.html)。
**Topics**
+ [政策最佳實務](#security_iam_service-with-iam-policy-best-practices)
+ [使用 AWS Cost Management 主控台](#security_iam_id-based-policy-examples-console)
+ [允許使用者檢視他們自己的許可](#security_iam_id-based-policy-examples-view-own-permissions)
## 政策最佳實務
身分型政策會判斷您帳戶中的某個人員是否可以建立、存取或刪除 AWS 成本管理資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:
+ **開始使用 AWS 受管政策並邁向最低權限許可** – 若要開始將許可授予您的使用者和工作負載,請使用將許可授予許多常見使用案例的 *AWS 受管政策*。它們可在您的 中使用 AWS 帳戶。我們建議您定義特定於使用案例 AWS 的客戶受管政策,進一步減少許可。如需更多資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **套用最低權限許可** – 設定 IAM 政策的許可時,請僅授予執行任務所需的許可。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為*最低權限許可*。如需使用 IAM 套用許可的更多相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 政策中的條件進一步限制存取權** – 您可以將條件新增至政策,以限制動作和資源的存取。例如,您可以撰寫政策條件,指定必須使用 SSL 傳送所有請求。如果透過特定 例如 使用服務動作 AWS 服務,您也可以使用條件來授予其存取權 CloudFormation。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 驗證 IAM 政策,確保許可安全且可正常運作** – IAM Access Analyzer 驗證新政策和現有政策,確保這些政策遵從 IAM 政策語言 (JSON) 和 IAM 最佳實務。IAM Access Analyzer 提供 100 多項政策檢查及切實可行的建議,可協助您撰寫安全且實用的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 IAM Access Analyzer 驗證政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重要素驗證 (MFA)** – 如果您的案例需要 IAM 使用者或 中的根使用者 AWS 帳戶,請開啟 MFA 以提高安全性。如需在呼叫 API 操作時請求 MFA,請將 MFA 條件新增至您的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[透過 MFA 的安全 API 存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
如需 IAM 中最佳實務的相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 使用 AWS Cost Management 主控台
若要存取 AWS Cost Management 主控台,您必須擁有一組最低許可。這些許可必須允許您列出和檢視 中 AWS 成本管理資源的詳細資訊 AWS 帳戶。如果您建立比最基本必要許可更嚴格的身分型政策,則對於具有該政策的實體 (使用者或角色) 而言,主控台就無法如預期運作。
對於僅呼叫 AWS CLI 或 AWS API 的使用者,您不需要允許最低主控台許可。反之,只需允許存取符合他們嘗試執行之 API 操作的動作就可以了。
為了確保使用者和角色仍然可以使用 AWS Cost Management 主控台,也請將 AWS Cost Management `ConsoleAccess`或`ReadOnly` AWS 受管政策連接到實體。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[新增許可到使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)。
## 允許使用者檢視他們自己的許可
此範例會示範如何建立政策,允許 IAM 使用者檢視附加到他們使用者身分的內嵌及受管政策。此政策包含在主控台或使用 或 AWS CLI AWS API 以程式設計方式完成此動作的許可。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# 針對 AWS 成本管理使用身分型政策 (IAM 政策)
**注意**
下列 AWS Identity and Access Management (IAM) 動作已於 2023 年 7 月結束標準支援:
`aws-portal` 命名空間
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您使用的是 AWS Organizations,您可以使用[大量政策模擬器指令碼](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html),從您的付款人帳戶更新政策。也可以使用[舊動作至精細動作對應參考](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html)來確認需要新增的 IAM 動作。
如需詳細資訊,請參閱[AWS 帳單、 AWS 成本管理和帳戶主控台許可](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/)的變更部落格。
如果您有 在 2023 年 3 月 6 日上午 11:00 (PDT) 或之後 AWS Organizations 建立的 AWS 帳戶或 的一部分,則精細動作已在組織中生效。
本主題提供以身分為基礎的政策範例,示範帳戶管理員如何將許可政策連接至 IAM 身分 (角色和群組),並藉此授予許可,以對 Billing and Cost Management 資源執行操作。
如需 AWS 帳戶和使用者的完整討論,請參閱《[IAM 使用者指南》中的什麼是](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_Introduction.html) *IAM*?。
如需如何更新客戶受管政策的詳細資訊,請參閱 *IAM 使用者指南*中的[編輯客戶受管政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console)。
**Topics**
+ [Billing and Cost Management 動作政策](#user-permissions)
+ [Billing and Cost Management 建議的動作政策](#allows-recommended-actions-access)
+ [受管政策](#managed-policies)
+ [AWS AWS 受管政策的成本管理更新](#updates-managedIAM)
## Billing and Cost Management 動作政策
下表摘要說明允許或拒絕 使用者存取帳單資訊和工具的許可。如需使用這些許可的政策範例,請參閱 [AWS 成本管理政策範例](billing-example-policies.md)。
如需帳單主控台的動作政策清單,請參閱[《帳單使用者指南》中的帳單動作政策](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions)。 **
| 許可名稱 | Description |
| --- | --- |
| `aws-portal:ViewBilling` | 允許或拒絕使用者檢視 Billing and Cost Management 主控台頁面的許可。如需範例政策,請參閱[《帳單使用者指南》中的允許 IAM 使用者檢視您的帳單資訊](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-billing-view-billing-only)。 ** |
| aws-portal:ViewUsage | 允許或拒絕使用者檢視 AWS 用量[報告的](https://portal.aws.amazon.com/billing/home#/reports)許可。 若要允許使用者檢視用量報告,您必須同時允許 `ViewUsage`和 `ViewBilling`。 如需範例政策,請參閱*《帳單使用者指南*》中的[允許 IAM 使用者存取報告主控台頁面](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-billing-view-reports)。 |
| `aws-portal:ModifyBilling` | 允許或拒絕 使用者修改以下帳單和成本管理主控台頁面的許可: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/cost-management/latest/userguide/billing-permissions-ref.html) 若要允許使用者修改這些主控台頁面,您必須同時允許 `ModifyBilling`和 `ViewBilling`。如需政策範例,請參閱 [允許使用者修改帳單資訊](billing-example-policies.md#example-billing-deny-modifybilling)。 |
| `aws-portal:ViewAccount` | 允許或拒絕 使用者檢視以下帳單和成本管理主控台頁面的許可: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/cost-management/latest/userguide/billing-permissions-ref.html) |
| aws-portal:ModifyAccount | 允許或拒絕使用者修改[帳戶設定的](https://portal.aws.amazon.com/billing/home#/account)許可。 若要允許使用者修改帳戶設定,您必須同時允許 `ModifyAccount`和 `ViewAccount`。 如需明確拒絕使用者存取**帳戶設定**主控台頁面的政策範例,請參閱 [拒絕存取帳戶設定,但允許所有其他帳單和用量資訊的完整存取權](billing-example-policies.md#example-billing-deny-modifyaccount)。 |
| budgets:ViewBudget | 允許或拒絕使用者檢視 [Budgets](https://portal.aws.amazon.com/billing/home#/budgets) 的許可。 若要允許使用者檢視預算,您還必須允許 `ViewBilling`。 |
| budgets:ModifyBudget | 允許或拒絕使用者修改 [Budgets](https://portal.aws.amazon.com/billing/home#/budgets) 的許可。 若要允許使用者檢視和修改預算,您還必須允許 `ViewBilling`。 |
| ce:GetPreferences | 允許或拒絕使用者檢視 Cost Explorer 偏好設定頁面的許可。 如需政策範例,請參閱 [檢視和更新 Cost Explorer 偏好設定頁面](billing-example-policies.md#example-view-update-ce)。 |
| ce:UpdatePreferences | 允許或拒絕使用者更新 Cost Explorer 偏好設定頁面的許可。 如需政策範例,請參閱 [檢視和更新 Cost Explorer 偏好設定頁面](billing-example-policies.md#example-view-update-ce)。 |
| ce:DescribeReport | 允許或拒絕使用者檢視 Cost Explorer 報告頁面的許可。 如需政策範例,請參閱 [使用 Cost Explorer 報告頁面檢視、建立、更新及刪除](billing-example-policies.md#example-view-ce-reports)。 |
| ce:CreateReport | 允許或拒絕使用者使用 Cost Explorer 報告頁面建立報告的許可。 如需政策範例,請參閱 [使用 Cost Explorer 報告頁面檢視、建立、更新及刪除](billing-example-policies.md#example-view-ce-reports)。 |
| ce:UpdateReport | 允許或拒絕使用者使用 Cost Explorer 報告頁面更新許可。 如需政策範例,請參閱 [使用 Cost Explorer 報告頁面檢視、建立、更新及刪除](billing-example-policies.md#example-view-ce-reports)。 |
| ce:DeleteReport | 允許或拒絕使用者使用 Cost Explorer 報告頁面刪除報告的許可。 如需政策範例,請參閱 [使用 Cost Explorer 報告頁面檢視、建立、更新及刪除](billing-example-policies.md#example-view-ce-reports)。 |
| ce:DescribeNotificationSubscription | 允許或拒絕使用者在保留概觀頁面中檢視 Cost Explorer 保留過期提醒的許可。 如需政策範例,請參閱 [檢視、建立、更新及刪除保留和 Savings Plans 提醒](billing-example-policies.md#example-view-ce-expiration)。 |
| ce:CreateNotificationSubscription | 允許或拒絕使用者在保留概觀頁面中建立 Cost Explorer 保留過期提醒的許可。 如需政策範例,請參閱 [檢視、建立、更新及刪除保留和 Savings Plans 提醒](billing-example-policies.md#example-view-ce-expiration)。 |
| ce:UpdateNotificationSubscription | 允許或拒絕使用者在保留概觀頁面中更新 Cost Explorer 保留過期提醒的許可。 如需政策範例,請參閱 [檢視、建立、更新及刪除保留和 Savings Plans 提醒](billing-example-policies.md#example-view-ce-expiration)。 |
| ce:DeleteNotificationSubscription | 允許或拒絕使用者在保留概觀頁面刪除 Cost Explorer 保留過期提醒的許可。 如需政策範例,請參閱 [檢視、建立、更新及刪除保留和 Savings Plans 提醒](billing-example-policies.md#example-view-ce-expiration)。 |
| ce:CreateCostCategoryDefinition | 允許或拒絕 使用者建立成本類別的許可。 如需範例政策,請參閱《 *帳單使用者指南*》中的[檢視和管理成本類別](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-policy-cc-api)。 您可以在 期間將資源標籤新增至監視器`Create`。若要使用資源標籤建立監視器,您需要 `ce:TagResource`許可。 |
| ce:DeleteCostCategoryDefinition | 允許或拒絕 使用者刪除成本類別的許可。 如需範例政策,請參閱《 *帳單使用者指南*》中的[檢視和管理成本類別](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-policy-cc-api)。 |
| ce:DescribeCostCategoryDefinition | 允許或拒絕 使用者檢視成本類別的許可。 如需範例政策,請參閱《 *帳單使用者指南*》中的[檢視和管理成本類別](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-policy-cc-api)。 |
| ce:ListCostCategoryDefinitions | 允許或拒絕 使用者列出成本類別的許可。 如需範例政策,請參閱《 *帳單使用者指南*》中的[檢視和管理成本類別](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-policy-cc-api)。 |
| ce:ListTagsForResource | 允許或拒絕使用者列出指定資源之所有資源標籤的許可。如需支援的資源清單,請參閱 *AWS 帳單與成本管理 API 參考*中的 [ResourceTag](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_ResourceTag.html)。 |
| ce:UpdateCostCategoryDefinition | 允許或拒絕 使用者更新成本類別的許可。 如需範例政策,請參閱《 *帳單使用者指南*》中的[檢視和管理成本類別](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-policy-cc-api)。 |
| ce:CreateAnomalyMonitor | 允許或拒絕使用者建立單一[AWS 成本異常偵測](manage-ad.md)監視器的許可。您可以在 期間將資源標籤新增至監視器`Create`。若要使用資源標籤建立監視器,您需要 `ce:TagResource`許可。 |
| ce:GetAnomalyMonitors | 允許或拒絕使用者檢視所有[AWS 成本異常偵測](manage-ad.md)監視器的許可。 |
| ce:UpdateAnomalyMonitor | 允許或拒絕使用者更新[AWS 成本異常偵測](manage-ad.md)監視器的許可。 |
| ce:DeleteAnomalyMonitor | 允許或拒絕使用者刪除[AWS 成本異常偵測](manage-ad.md)監視器的許可。 |
| ce:CreateAnomalySubscription | 允許或拒絕使用者為[AWS 成本異常偵測](manage-ad.md)建立單一訂閱的許可。您可以在 期間將資源標籤新增至訂閱`Create`。若要使用資源標籤建立訂閱,您需要 `ce:TagResource`許可。 |
| ce:GetAnomalySubscriptions | 允許或拒絕使用者檢視[AWS 成本異常偵測](manage-ad.md)所有訂閱的許可。 |
| ce:UpdateAnomalySubscription | 允許或拒絕使用者更新[AWS 成本異常偵測](manage-ad.md)訂閱的許可。 |
| ce:DeleteAnomalySubscription | 允許或拒絕使用者刪除[AWS 成本異常偵測](manage-ad.md)訂閱的許可。 |
| ce:GetAnomalies | 允許或拒絕使用者檢視[AWS 成本異常偵測中所有異常的](manage-ad.md)許可。 |
| ce:ProvideAnomalyFeedback | 允許或拒絕使用者對偵測到[AWS 的成本異常偵測](manage-ad.md)提供意見回饋的許可。 |
| ce:TagResource | 允許或拒絕使用者將資源標籤鍵值對新增至資源的許可。如需支援的資源清單,請參閱 *AWS 帳單與成本管理 API 參考*中的 [ResourceTag](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_ResourceTag.html)。 |
| ce:UntagResource | 允許或拒絕使用者從資源刪除資源標籤的許可。如需支援的資源清單,請參閱 *AWS 帳單與成本管理 API 參考*中的 [ResourceTag](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_ResourceTag.html)。 |
| ce:GetCostAndUsageComparisons | 允許或拒絕使用者擷取成本和用量比較的許可。 |
| ce:GetCostComparisonDrivers | 允許或拒絕使用者擷取成本驅動程式的許可。 |
## Billing and Cost Management 建議的動作政策
若要開始使用建議的動作,您需要有下列核心許可:
+ `bcm-recommended-actions:ListRecommendedActions`
然後,根據建議的動作類型,需要額外的許可。下表摘要說明不同的建議動作類型,以及查看建議動作所需的對應 IAM 政策許可。
**注意**
即使具有授予的 IAM 政策許可,只有在實際套用建議的動作時,才會看到對應的建議動作類型。
| 建議的動作類型 | 必要的許可名稱 | Description |
| --- | --- | --- |
| 過期的付款方式 | "bcm-recommended-actions:ListRecommendedActions",
"payments:ListPaymentPreferences",
"payments:GetPaymentInstrument"
| 對於與付款相關的建議動作。 |
| 無效的付款方式 | "bcm-recommended-actions:ListRecommendedActions",
"payments:ListPaymentPreferences",
"payments:GetPaymentInstrument"
| 對於與付款相關的建議動作。 |
| 逾期付款 | "bcm-recommended-actions:ListRecommendedActions",
"payments:GetPaymentStatus"
| 對於與付款相關的建議動作。 |
| 應付款項 | "bcm-recommended-actions:ListRecommendedActions",
"payments:GetPaymentStatus"
| 對於與付款相關的建議動作。 |
| 修正稅務註冊資訊 | "bcm-recommended-actions:ListRecommendedActions",
"tax:GetTaxRegistration"
| 有關稅務設定的建議動作。 |
| 更新免稅憑證 | "bcm-recommended-actions:ListRecommendedActions",
"tax:GetExemptions"
| 有關稅務設定的建議動作。 |
| 遷移至精細許可 | "bcm-recommended-actions:ListRecommendedActions",
"aws-portal:GetConsoleActionSetEnforced",
"ce:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced"
| 如需與 IAM 許可相關的建議動作。 |
| 檢閱預算提醒 | "bcm-recommended-actions:ListRecommendedActions",
"budgets:DescribeBudgetNotificationsForAccount",
"budgets:DescribeBudget"
| 對於與預算相關的建議動作。 |
| 超過檢閱預算 | "bcm-recommended-actions:ListRecommendedActions",
"budgets:DescribeBudgets"
| 對於與預算相關的建議動作。 |
| 檢閱 免費方案用量提醒 | "bcm-recommended-actions:ListRecommendedActions",
"freetier:GetFreeTierUsage"
| 有關 免費方案的建議動作。 |
| 檢閱異常 | "bcm-recommended-actions:ListRecommendedActions",
"ce:GetAnomalies"
| 有關成本異常偵測的建議動作。 |
| 檢閱即將到期的保留 | "bcm-recommended-actions:ListRecommendedActions",
"ce:GetReservationUtilization"
| 有關成本最佳化的建議動作。 |
| 檢閱即將到期的 Savings Plans | "bcm-recommended-actions:ListRecommendedActions",
"ce:GetSavingsPlansUtilizationDetails"
| 有關成本最佳化的建議動作。 |
| 檢閱節省成本的機會建議 | "bcm-recommended-actions:ListRecommendedActions",
"cost-optimization-hub:ListEnrollmentStatuses",
"cost-optimization-hub:ListRecommendationSummaries"
| 有關成本最佳化的建議動作。 |
| 啟用成本最佳化中樞 | "bcm-recommended-actions:ListRecommendedActions",
"cost-optimization-hub:ListEnrollmentStatuses"
| 如需與成本最佳化相關的建議動作。 |
| 建立預算 | "bcm-recommended-actions:ListRecommendedActions",
"budgets:DescribeBudgets"
| 對於與預算相關的建議動作。 |
| 建立保留預算 | "bcm-recommended-actions:ListRecommendedActions",
"budgets:DescribeBudgets",
"ce:GetReservationUtilization"
| 對於與預算相關的建議動作。 |
| 建立 Savings Plans 預算 | "bcm-recommended-actions:ListRecommendedActions",
"budgets:DescribeBudgets",
"ce:GetSavingsPlansUtilizationDetails"
| 對於與預算相關的建議動作。 |
| 新增替代帳單聯絡人 | "bcm-recommended-actions:ListRecommendedActions",
"account:GetAlternateContact"
| 對於與帳戶相關的建議動作。 |
| 建立異常監控 | "bcm-recommended-actions:ListRecommendedActions",
"ce:GetAnomalyMonitors"
| 有關成本異常偵測的建議動作。 |
## 受管政策
**注意**
下列 AWS Identity and Access Management (IAM) 動作已於 2023 年 7 月結束標準支援:
`aws-portal` 命名空間
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您使用的是 AWS Organizations,您可以使用[大量政策模擬器指令碼](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html),從您的付款人帳戶更新政策。也可以使用[舊動作至精細動作對應參考](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html)來確認需要新增的 IAM 動作。
如需詳細資訊,請參閱[AWS 帳單、 AWS 成本管理和帳戶主控台許可的變更](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/)部落格。
如果您有 在 2023 年 3 月 6 日上午 11:00 (PDT) 或之後 AWS Organizations 建立的 AWS 帳戶或 的一部分,則精細動作已在組織中生效。
受管政策是獨立的身分型政策,您可以連接到 AWS 帳戶中的多個使用者、群組和角色。您可以使用 AWS 受管政策來控制 Billing and Cost Management 中的存取。
AWS 受管政策是由 AWS. AWS managed 政策建立和管理的獨立政策旨在為許多常用案例提供許可。 AWS 受管政策可讓您更輕鬆地將適當的許可指派給使用者、群組和角色,而不是您必須自行撰寫政策。
您無法變更 AWS 受管政策中定義的許可。 AWS 偶爾會更新 AWS 受管政策中定義的許可。執行這項動作時,更新會影響政策連接到的所有委託人實體 (使用者、群組和角色)。
Billing and Cost Management 為常見使用案例提供數個 AWS 受管政策。
**Topics**
+ [允許完整存取 AWS 預算,包括預算動作](#budget-managedIAM-full)
+ [允許唯讀存取 AWS Budgets](#budget-managedIAM-read-only)
+ [允許 AWS Budgets 呼叫驗證帳單檢視存取權所需的服務](#budget-managedIAM-billing-view)
+ [允許控制 AWS 資源的許可](#budget-managedIAM-SSM)
+ [允許 Cost Optimization Hub 呼叫讓服務運作所需的服務](#cost-optimization-hub-managedIAM)
+ [允許唯讀存取 Cost Optimization Hub](#cost-optimization-hub-read-only)
+ [允許管理員存取 Cost Optimization Hub](#cost-optimization-hub-admin)
+ [允許分割成本分配資料呼叫讓服務運作所需的服務](#split-cost-allocation-data-managedIAM)
+ [允許資料匯出存取其他 AWS 服務](#data-exports-managedIAM)
### 允許完整存取 AWS 預算,包括預算動作
受管政策名稱:`AWSBudgetsActionsWithAWSResourceControlAccess`
此受管政策著重於 使用者,確保您具有適當的許可,可將許可授予 AWS Budgets 以執行定義的動作。此政策提供 AWS Budgets 的完整存取權,包括預算動作,以擷取政策的狀態並使用 執行 AWS 資源 AWS 管理主控台。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"budgets:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "budgets.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"aws-portal:ModifyBilling",
"ec2:DescribeInstances",
"iam:ListGroups",
"iam:ListPolicies",
"iam:ListRoles",
"iam:ListUsers",
"organizations:ListAccounts",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListPolicies",
"organizations:ListRoots",
"rds:DescribeDBInstances",
"sns:ListTopics"
],
"Resource": "*"
}
]
}
```
------
### 允許唯讀存取 AWS Budgets
受管政策名稱:`AWSBudgetsReadOnlyAccess`
此受管政策允許透過 唯讀存取 AWS Budgets AWS 管理主控台。政策可以連接到您的使用者、群組和角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid": "AWSBudgetsReadOnlyAccess",
"Effect" : "Allow",
"Action" : [
"aws-portal:ViewBilling",
"budgets:ViewBudget",
"budgets:Describe*",
"budgets:ListTagsForResource"
],
"Resource" : "*"
}
]
}
```
------
### 允許 AWS Budgets 呼叫驗證帳單檢視存取權所需的服務
受管政策名稱:`BudgetsServiceRolePolicy`
允許 AWS Budgets 驗證對跨帳戶邊界共用的帳單檢視的存取權。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"billing:GetBillingViewData"
],
"Resource": "*"
}
]
}
```
------
如需詳細資訊,請參閱 [Budgets 的服務連結角色](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-SLR.html)。
### 允許控制 AWS 資源的許可
受管政策名稱:`AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM`
此受管政策著重於 AWS Budgets 在完成特定動作時代表您採取的特定動作。此政策提供控制 AWS 資源的許可。例如, 會透過執行 AWS Systems Manager (SSM) 指令碼來啟動和停止 Amazon EC2 或 Amazon RDS 執行個體。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceStatus",
"ec2:StartInstances",
"ec2:StopInstances",
"rds:DescribeDBInstances",
"rds:StartDBInstance",
"rds:StopDBInstance"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"ssm.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:StartAutomationExecution"
],
"Resource": [
"arn:aws:ssm:*:*:document/AWS-StartEC2Instance",
"arn:aws:ssm:*:*:document/AWS-StopEC2Instance",
"arn:aws:ssm:*:*:document/AWS-StartRdsInstance",
"arn:aws:ssm:*:*:document/AWS-StopRdsInstance",
"arn:aws:ssm:*:*:automation-execution/*"
]
}
]
}
```
------
### 允許 Cost Optimization Hub 呼叫讓服務運作所需的服務
受管政策名稱:`CostOptimizationHubServiceRolePolicy`
允許 Cost Optimization Hub 擷取組織資訊,並收集最佳化相關資料和中繼資料。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考指南*》中的 [CostOptimizationHubServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CostOptimizationHubServiceRolePolicy.html)。
如需詳細資訊,請參閱 [Cost Optimization Hub 的服務連結角色](https://docs.aws.amazon.com/cost-management/latest/userguide/cost-optimization-hub-SLR.html)。
### 允許唯讀存取 Cost Optimization Hub
受管政策名稱:`CostOptimizationHubReadOnlyAccess`
此受管政策提供 Cost Optimization Hub 的唯讀存取權。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CostOptimizationHubReadOnlyAccess",
"Effect": "Allow",
"Action": [
"cost-optimization-hub:ListEnrollmentStatuses",
"cost-optimization-hub:GetPreferences",
"cost-optimization-hub:GetRecommendation",
"cost-optimization-hub:ListRecommendations",
"cost-optimization-hub:ListRecommendationSummaries"
],
"Resource": "*"
}
]
}
```
------
### 允許管理員存取 Cost Optimization Hub
受管政策名稱:`CostOptimizationHubAdminAccess`
此受管政策可讓管理員存取 Cost Optimization Hub。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CostOptimizationHubAdminAccess",
"Effect": "Allow",
"Action": [
"cost-optimization-hub:ListEnrollmentStatuses",
"cost-optimization-hub:UpdateEnrollmentStatus",
"cost-optimization-hub:GetPreferences",
"cost-optimization-hub:UpdatePreferences",
"cost-optimization-hub:GetRecommendation",
"cost-optimization-hub:ListRecommendations",
"cost-optimization-hub:ListRecommendationSummaries",
"organizations:EnableAWSServiceAccess"
],
"Resource": "*"
},
{
"Sid": "AllowCreationOfServiceLinkedRoleForCostOptimizationHub",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/cost-optimization-hub.bcm.amazonaws.com/AWSServiceRoleForCostOptimizationHub"
],
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cost-optimization-hub.bcm.amazonaws.com"
}
}
},
{
"Sid": "AllowAWSServiceAccessForCostOptimizationHub",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringLike": {
"organizations:ServicePrincipal": [
"cost-optimization-hub.bcm.amazonaws.com"
]
}
}
}
]
}
```
------
### 允許分割成本分配資料呼叫讓服務運作所需的服務
受管政策名稱:`SplitCostAllocationDataServiceRolePolicy`
允許分割成本分配資料擷取 AWS Organizations 資訊,如適用,並收集客戶已選擇加入的分割成本分配資料服務的遙測資料。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AwsOrganizationsAccess",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Sid": "AmazonManagedServiceForPrometheusAccess",
"Effect": "Allow",
"Action": [
"aps:ListWorkspaces",
"aps:QueryMetrics"
],
"Resource": "*"
}
]
}
```
------
如需詳細資訊,請參閱[分割成本分配資料的服務連結角色](https://docs.aws.amazon.com/cost-management/latest/userguide/split-cost-allocation-data-SLR.html)。
### 允許資料匯出存取其他 AWS 服務
受管政策名稱:`AWSBCMDataExportsServiceRolePolicy`
允許資料匯出代表您存取其他 AWS 服務,例如 Cost Optimization Hub。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CostOptimizationRecommendationAccess",
"Effect": "Allow",
"Action": [
"cost-optimization-hub:ListEnrollmentStatuses",
"cost-optimization-hub:ListRecommendations"
],
"Resource": "*"
}
]
}
```
------
如需詳細資訊,請參閱[資料匯出的服務連結角色](https://docs.aws.amazon.com/cost-management/latest/userguide/data-exports-SLR.html)。
## AWS AWS 受管政策的成本管理更新
檢視自此服務開始追蹤這些變更以來, AWS Cost Management AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 AWS 成本管理[文件歷史記錄](https://docs.aws.amazon.com/cost-management/latest/userguide/doc-history.html)頁面上的 RSS 摘要。
****
| 變更 | 描述 | Date |
| --- | --- | --- |
| 現有政策的更新 [CostOptimizationHubReadOnlyAccess](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-read-only) [CostOptimizationHubAdminAccess](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-admin) | 我們已更新政策以新增 "cost-optimization-hub:ListEfficiencyMetrics"動作。 | 11/20/2025 |
| 新增政策 [BudgetsServiceRolePolicy](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#budget-managedIAM-billing-view) | Budgets 新增了與服務連結角色搭配使用的新政策,可讓您存取 Budgets 使用或管理 AWS 的服務和資源。 | 08/06/2025 |
| 更新現有政策 [CostOptimizationHubServiceRolePolicy](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-managedIAM) | 我們已更新政策以新增 ce:GetDimensionValues動作。 | 07/23/2025 |
| 更新現有政策 [CostOptimizationHubServiceRolePolicy](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-managedIAM) | 我們更新了政策以新增 organizations:ListDelegatedAdministrators和 ce:GetCostAndUsage動作。 | 07/05/2024 |
| 更新現有政策 [AWSBudgetsReadOnlyAccess](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#budget-managedIAM-read-only) | 我們已更新政策以新增 budgets:ListTagsForResource動作。 | 06/17/2024 |
| 新增政策 [AWSBCMDataExportsServiceRolePolicy](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#data-exports-managedIAM) | Data Exports 新增了與服務連結角色搭配使用的新政策,可讓 存取其他 AWS 服務,例如 Cost Optimization Hub。 | 06/10/2024 |
| 新增政策 [SplitCostAllocationDataServiceRolePolicy](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#split-cost-allocation-data-managedIAM) | 分割成本分配資料新增了與服務連結角色搭配使用的新政策,可讓您存取分割成本分配資料使用或管理 AWS 的服務和資源。 | 04/16/2024 |
| 更新現有政策 [AWSBudgetsActions\$1RolePolicyForResourceAdministrationWithSSM](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#budget-managedIAM-SSM) | 我們更新了具有縮小範圍許可的政策。動作僅適用於 Budget ssm:StartAutomationExecution動作使用的特定資源。 | 12/14/2023 |
| 現有政策的更新 [CostOptimizationHubReadOnlyAccess](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-read-only) [CostOptimizationHubAdminAccess](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-admin) | Cost Optimization Hub 已更新下列兩個受管政策:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/cost-management/latest/userguide/billing-permissions-ref.html) | 12/14/2023 |
| 新增政策 [CostOptimizationHubServiceRolePolicy](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-managedIAM) | Cost Optimization Hub 新增了與服務連結角色搭配使用的新政策,可讓您存取 Cost Optimization Hub 使用或管理 AWS 的服務和資源。 | 11/02/2023 |
| AWS Cost Management 開始追蹤變更 | AWS Cost Management 開始追蹤其 AWS 受管政策的變更 | 11/02/2023 |
# AWS 成本管理政策範例
**注意**
下列 AWS Identity and Access Management (IAM) 動作已於 2023 年 7 月結束標準支援:
`aws-portal` 命名空間
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您使用的是 AWS Organizations,您可以使用[大量政策模擬器指令碼](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html),從您的付款人帳戶更新政策。也可以使用[舊動作至精細動作對應參考](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html)來確認需要新增的 IAM 動作。
如需詳細資訊,請參閱[AWS 帳單、 AWS 成本管理和帳戶主控台許可的變更](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/)部落格。
如果您有 AWS 帳戶在 2023 年 3 月 6 日上午 11:00 (PDT) 或之後 AWS Organizations 建立的 或 的一部分,則精細動作已在組織中生效。
本主題包含您可以連接到 IAM 角色或群組的範例政策,以控制對帳戶帳單資訊和工具的存取。以下基本規則適用於 Billing and Cost Management 的 IAM 政策:
+ `Version` 始終是 `2012-10-17`。
+ `Effect` 一律是 `Allow` 或 `Deny`。
+ `Action` 是動作或萬用字元的名稱 (`*`)。
動作字首`budgets`適用於 AWS Budgets、`cur`Co AWS st and Usage Reports、`aws-portal`B AWS illing 或 `ce` Cost Explorer。
+ `Resource` 一律`*`適用於 AWS Billing。
針對在 `budget` 資源執行的動作,指定預算 Amazon Resource Name (ARN)。
+ 一個政策中可以有多個陳述式。
如需帳單主控台的政策範例清單,請參閱[《帳單使用者指南》中的帳單政策範例](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html)。 **
**注意**
這些政策要求您啟用使用者存取[帳戶設定](https://portal.aws.amazon.com/billing/home#/account)主控台頁面上的 Billing and Cost Management 主控台。如需詳細資訊,請參閱[啟用 Billing and Cost Management 主控台的存取權](control-access-billing.md#ControllingAccessWebsite-Activate)。
**Topics**
+ [拒絕使用者存取 Billing and Cost Management 主控台](#example-billing-deny-all)
+ [拒絕成員帳戶的 AWS 主控台成本和用量小工具存取](#example-billing-deny-widget)
+ [拒絕特定使用者和角色的 AWS 主控台成本和用量小工具存取](#example-billing-deny-ce)
+ [允許完整存取 AWS 服務,但拒絕使用者存取 Billing and Cost Management 主控台](#ExampleAllowAllDenyBilling)
+ [允許使用者檢視 Billing and Cost Management 主控台,帳戶設定除外](#example-billing-read-only)
+ [允許使用者修改帳單資訊](#example-billing-deny-modifybilling)
+ [允許使用者建立預算](#example-billing-allow-createbudgets)
+ [拒絕存取帳戶設定,但允許所有其他帳單和用量資訊的完整存取權](#example-billing-deny-modifyaccount)
+ [將報告存入 Simple Storage Service (Amazon S3) 儲存貯體](#example-billing-s3-bucket)
+ [檢視成本和用量](#example-policy-ce-api)
+ [啟用和停用 AWS 區域](#enable-disable-regions)
+ [檢視和更新 Cost Explorer 偏好設定頁面](#example-view-update-ce)
+ [使用 Cost Explorer 報告頁面檢視、建立、更新及刪除](#example-view-ce-reports)
+ [檢視、建立、更新及刪除保留和 Savings Plans 提醒](#example-view-ce-expiration)
+ [允許唯讀存取 AWS 成本異常偵測](#example-policy-ce-ad)
+ [允許 AWS Budgets 套用 IAM 政策和 SCPs](#example-budgets-IAM-SCP)
+ [允許 AWS Budgets 套用 IAM 政策和 SCPs以及目標 EC2 和 RDS 執行個體](#example-budgets-applySCP)
+ [允許使用者在 定價計算器中建立、列出工作負載預估並新增用量](#example-pc-create-list-estimates)
+ [允許使用者在 定價計算器中建立、列出和新增用量和承諾以計費案例](#example-pc-create-list-scenario)
+ [允許使用者在定價計算器中建立帳單預估](#example-pc-create-bill-estimate)
+ [允許使用者在定價計算器中建立偏好設定](#example-pc-create-preferences)
+ [允許使用者建立、管理和共用自訂帳單檢視](#example-billing-view)
+ [允許使用者在存取特定自訂帳單檢視時存取 Cost Explorer](#example-custom-billing-view)
## 拒絕使用者存取 Billing and Cost Management 主控台
若要明確拒絕使用者存取所有 Billing and Cost Management 主控台頁面,請使用與此範例政策類似的政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "aws-portal:*",
"Resource": "*"
}
]
}
```
------
## 拒絕成員帳戶的 AWS 主控台成本和用量小工具存取
若要限制成員 (已連結) 帳戶存取成本和用量資料,請使用管理 (付款人) 帳戶存取 Cost Explorer 偏好設定索引標籤,然後取消選取 **Linked Account Access** (連結帳戶存取)。這將拒絕從 Cost Explorer (AWS 成本管理) 主控台、Cost Explorer API 和 AWS 主控台首頁的成本和用量小工具存取成本和用量資料,無論成員帳戶的使用者或角色擁有的 IAM 動作為何。
## 拒絕特定使用者和角色的 AWS 主控台成本和用量小工具存取
若要拒絕特定使用者和角色的 AWS 主控台成本和用量小工具存取,請使用以下許可政策。
**注意**
將此政策新增至使用者或角色也會拒絕使用者存取 Cost Explorer (AWS 成本管理) 主控台和 Cost Explorer APIs。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ce:*",
"Resource": "*"
}
]
}
```
------
## 允許完整存取 AWS 服務,但拒絕使用者存取 Billing and Cost Management 主控台
若要拒絕使用者存取 Billing and Cost Management 主控台上的所有項目,請使用下列政策。在此情況下,您也應該拒絕使用者存取 AWS Identity and Access Management (IAM),讓使用者無法存取控制帳單資訊和工具存取的政策。
**重要**
此政策不允許任何動作。將此政策與允許特定動作的其他政策結合使用。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aws-portal:*",
"iam:*"
],
"Resource": "*"
}
]
}
```
------
## 允許使用者檢視 Billing and Cost Management 主控台,帳戶設定除外
此政策允許所有 Billing and Cost Management 主控台的唯讀存取,包括 **Payments Method** (付款方式) 和 **Reports** (報告) 主控台頁面,但拒絕存取 A**ccount Settings** (帳戶設定) 頁面,藉此保護帳戶密碼、聯絡資訊和安全問題。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:View*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## 允許使用者修改帳單資訊
若要允許使用者在 Billing and Cost Management 主控台中修改帳戶帳單資訊,您還必須允許使用者檢視您的帳單資訊。下列政策範例允許使用者修改**合併帳單**、**偏好設定**和**點數**主控台頁面。它還允許使用者檢視以下 Billing and Cost Management 主控台頁面:
+ **Dashboard (儀表板)**
+ **Cost Explorer**
+ **Bills (帳單)**
+ **Orders and invoices (訂單與發票)**
+ **Advance Payment (預付款)**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:*Billing",
"Resource": "*"
}
]
}
```
------
## 允許使用者建立預算
若要允許使用者在 Billing and Cost Management 主控台中建立預算,您還必須允許使用者檢視帳單資訊、建立 CloudWatch 警示,以及建立 Amazon SNS 通知。下列政策範例允許使用者修改 **Budget** 主控台頁面。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1435216493000",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"aws-portal:ModifyBilling",
"budgets:ViewBudget",
"budgets:ModifyBudget"
],
"Resource": [
"*"
]
},
{
"Sid": "Stmt1435216514000",
"Effect": "Allow",
"Action": [
"cloudwatch:*"
],
"Resource": [
"*"
]
},
{
"Sid": "Stmt1435216552000",
"Effect": "Allow",
"Action": [
"sns:*"
],
"Resource": [
"arn:aws:sns:us-east-1::"
]
}
]
}
```
------
## 拒絕存取帳戶設定,但允許所有其他帳單和用量資訊的完整存取權
為了保護您的帳戶密碼、聯絡資訊和安全問題,您可以拒絕使用者存取**帳戶設定**,同時仍然啟用 Billing and Cost Management 主控台中其餘功能的完整存取權,如下列範例所示。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:*Billing",
"aws-portal:*Usage",
"aws-portal:*PaymentMethods"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## 將報告存入 Simple Storage Service (Amazon S3) 儲存貯體
下列政策允許 Billing and Cost Management 將詳細 AWS 帳單儲存到 Amazon S3 儲存貯體,只要您同時擁有 AWS 帳戶和 Amazon S3 儲存貯體。請注意,此政策必須套用至 Amazon S3 儲存貯體,而非使用者。也就是說,它是以資源為基礎的政策,而不是使用者為基礎的政策。對於不需要存取您帳單的 使用者,您應該拒絕這些 使用者存取儲存貯體。
以您的儲存貯體名稱取代 *bucketname*。
如需詳細資訊,請參閱 *Amazon Simple Storage Service 使用者指南*中的[使用儲存貯體政策和使用者政策](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-iam-policies.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": [
"s3:GetBucketAcl",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::bucketname"
},
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::bucketname/*"
}
]
}
```
------
## 檢視成本和用量
若要允許使用者使用 AWS Cost Explorer API,請使用下列政策授予他們存取權。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ce:*"
],
"Resource": [
"*"
]
}
]
}
```
------
## 啟用和停用 AWS 區域
如需允許使用者啟用和停用區域的範例 IAM 政策,請參閱《*IAM 使用者指南*》中的[AWS「允許啟用和停用 AWS 區域」](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws-enable-disable-regions.html)。
## 檢視和更新 Cost Explorer 偏好設定頁面
此政策允許使用者使用 **Cost Explorer 偏好設定頁面**來檢視和更新。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
下列政策允許使用者檢視 Cost Explorer,但拒絕檢視或編輯**偏好設定**頁面的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:GetPreferences",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
下列政策允許使用者檢視 Cost Explorer,但拒絕編輯**偏好設定**頁面的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
## 使用 Cost Explorer 報告頁面檢視、建立、更新及刪除
此政策允許使用者使用 **Cost Explorer 報告頁面**來檢視、建立、更新和刪除 。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
下列政策允許使用者檢視 Cost Explorer,但拒絕檢視或編輯**報告**頁面的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeReport",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
下列政策允許使用者檢視 Cost Explorer,但拒絕編輯**報告**頁面的許可。
## 檢視、建立、更新及刪除保留和 Savings Plans 提醒
此政策允許使用者檢視、建立、更新和刪除[保留過期提醒](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ce-ris.html)和 [Savings Plans 提醒](https://docs.aws.amazon.com/savingsplans/latest/userguide/sp-overview.html#sp-alert)。若要編輯保留過期提醒或 Savings Plans 提醒,使用者需要全部三個精密動作:`ce:CreateNotificationSubscription`、`ce:UpdateNotificationSubscription`,以及 `ce:DeleteNotificationSubscription`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
下列政策允許使用者檢視 Cost Explorer,但拒絕檢視或編輯**預留過期提醒**和 **Savings Plans 提醒**頁面的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeNotificationSubscription",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
下列政策允許使用者檢視 Cost Explorer,但拒絕編輯**預留過期提醒**和 **Savings Plans 提醒**頁面的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
## 允許唯讀存取 AWS 成本異常偵測
若要允許使用者唯讀存取 AWS 成本異常偵測,請使用下列政策來授予存取權。 `ce:ProvideAnomalyFeedback` 是唯讀存取權的一部分,是選用的。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ce:Get*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## 允許 AWS Budgets 套用 IAM 政策和 SCPs
此政策允許 AWS Budgets 代表使用者套用 IAM 政策和服務控制政策 (SCPs)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": "*"
}
]
}
```
------
## 允許 AWS Budgets 套用 IAM 政策和 SCPs以及目標 EC2 和 RDS 執行個體
此政策允許 AWS Budgets 套用 IAM 政策和服務控制政策 (SCPs),並代表使用者以 Amazon EC2 和 Amazon RDS 執行個體為目標。
信任政策
**注意**
此信任政策允許 AWS Budgets 擔任可代表您呼叫其他 服務的角色。如需跨服務許可最佳實務的詳細資訊,請參閱 [預防跨服務混淆代理人](cross-service-confused-deputy-prevention.md)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "budgets.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:budgets::123456789012:budget/*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
]
}
```
------
許可政策
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceStatus",
"ec2:StartInstances",
"ec2:StopInstances",
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"rds:DescribeDBInstances",
"rds:StartDBInstance",
"rds:StopDBInstance",
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
```
------
## 允許使用者在 定價計算器中建立、列出工作負載預估並新增用量
此政策允許 IAM 使用者建立、列出工作負載預估,並將用量新增至工作負載預估,以及查詢 Cost Explorer 資料的許可,以取得歷史成本和用量資料。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "WorkloadEstimate",
"Effect": "Allow",
"Action": [
"ce:GetCostCategories",
"ce:GetDimensionValues",
"ce:GetCostAndUsage",
"ce:GetTags",
"bcm-pricing-calculator:GetWorkloadEstimate",
"bcm-pricing-calculator:ListWorkloadEstimateUsage",
"bcm-pricing-calculator:CreateWorkloadEstimate",
"bcm-pricing-calculator:ListWorkloadEstimates",
"bcm-pricing-calculator:CreateWorkloadEstimateUsage",
"bcm-pricing-calculator:UpdateWorkloadEstimateUsage"
],
"Resource": "*"
}
]
}
```
------
## 允許使用者在 定價計算器中建立、列出和新增用量和承諾以計費案例
此政策允許 IAM 使用者建立、列出和新增用量和承諾以計費案例。Cost Explorer 許可不會新增,因此您將無法載入歷史資料。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "BillScenario",
"Effect": "Allow",
"Action": [
"bcm-pricing-calculator:CreateBillScenario",
"bcm-pricing-calculator:GetBillScenario",
"bcm-pricing-calculator:ListBillScenarios",
"bcm-pricing-calculator:CreateBillScenarioUsageModification",
"bcm-pricing-calculator:UpdateBillScenarioUsageModification",
"bcm-pricing-calculator:ListBillScenarioUsageModifications",
"bcm-pricing-calculator:ListBillScenarioCommitmentModifications"
],
"Resource": "*"
}
]
}
```
------
## 允許使用者在定價計算器中建立帳單預估
此政策允許 IAM 使用者建立帳單預估並列出帳單預估明細項目。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "BillEstimate",
"Effect": "Allow",
"Action": [
"bcm-pricing-calculator:CreateBillEstimate",
"bcm-pricing-calculator:GetBillEstimate",
"bcm-pricing-calculator:UpdateBillEstimate",
"bcm-pricing-calculator:ListBillEstimates",
"bcm-pricing-calculator:ListBillEstimateLineItems",
"bcm-pricing-calculator:ListBillEstimateCommitments",
"bcm-pricing-calculator:ListBillEstimateInputUsageModifications",
"bcm-pricing-calculator:ListBillEstimateInputCommitmentModifications"
],
"Resource": "*"
}
]
}
```
------
## 允許使用者在定價計算器中建立偏好設定
此政策允許 IAM 使用者建立和取得速率偏好設定。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RatePreferences",
"Effect": "Allow",
"Action": [
"bcm-pricing-calculator:GetPreferences",
"bcm-pricing-calculator:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
## 允許使用者建立、管理和共用自訂帳單檢視
此政策允許 IAM 使用者建立、管理和共用自訂帳單檢視。他們將需要能夠使用 Billing View 建立和管理自訂帳單檢視,以及能夠使用 Resource Access Manager (AWS RAM) 建立和關聯 AWS 資源共用。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"billing:CreateBillingView",
"billing:UpdateBillingView",
"billing:DeleteBillingView",
"billing:GetBillingView",
"billing:ListBillingViews",
"billing:ListTagsForResource",
"billing:PutResourcePolicy",
"ce:GetCostAndUsage",
"ce:GetTags",
"organizations:ListAccounts",
"ram:ListResources",
"ram:ListPermissions",
"ram:CreateResourceShare",
"ram:AssociateResourceShare",
"ram:GetResourceShares",
"ram:GetResourceShareAssociations",
"ram:ListResourceSharePermissions",
"ram:ListResourceTypes",
"ram:ListPrincipals",
"ram:DisassociateResourceShare"
],
"Resource": "*"
}
]
}
```
------
## 允許使用者在存取特定自訂帳單檢視時存取 Cost Explorer
此政策允許 IAM 使用者在存取特定自訂帳單檢視時存取 Cost Explorer (`custom-1a2b3c4d`)。`123456789012` 將 取代為 12 位數 AWS 的帳戶 ID,並將 `1a2b3c4d`取代為自訂帳單檢視的唯一識別符。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ce:GetDimensionValues",
"ce:GetCostAndUsageWithResources",
"ce:GetCostAndUsage",
"ce:GetCostForecast",
"ce:GetTags",
"ce:GetUsageForecast",
"ce:GetCostCategories"
],
"Resource": [
"arn:aws:billing::123456789012:billingview/custom-1a2b3c4d"
]
},
{
"Effect": "Allow",
"Action": [
"billing:ListBillingViews",
"billing:GetBillingView"
],
"Resource": "*"
}
]
}
```
------
# 遷移 AWS 成本管理的存取控制
**注意**
下列 AWS Identity and Access Management (IAM) 動作已於 2023 年 7 月結束標準支援:
`aws-portal` 命名空間
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您使用的是 AWS Organizations,您可以使用[大量政策模擬器指令碼](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html),從您的付款人帳戶更新政策。也可以使用[舊動作至精細動作對應參考](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html)來確認需要新增的 IAM 動作。
如需詳細資訊,請參閱[AWS 帳單、 AWS 成本管理和帳戶主控台許可的變更](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/)部落格。
如果您有 AWS 帳戶在 2023 年 3 月 6 日上午 11:00 (PDT) 或之後 AWS Organizations 建立的 或 的一部分,則精細動作已在組織中生效。
您可以使用精細存取控制,為組織中的個人提供 AWS 帳單與成本管理 服務的存取權。例如,您可以提供 Cost Explorer 的存取權,而無需提供 AWS Billing 主控台的存取權。
若要使用精細存取控制,您需要將政策從 `aws-portal` 下遷移至新的 IAM 動作。
您的許可政策或服務控制政策 (SCP) 中的下列 IAM 動作需要透過此遷移進行更新:
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
若要了解如何使用 **Affected policies** (受影響的政策) 工具來識別受影響的 IAM 政策,請參閱 [如何使用受影響的政策工具](migrate-security-iam-tool.md)。
**注意**
對 AWS Cost Explorer提出的程式設計請求、 AWS 成本和用量報告,以及 AWS 預算不受影響。
[啟用 Billing and Cost Management 主控台的存取權](control-access-billing.md#ControllingAccessWebsite-Activate) 保持不變。
**Topics**
+ [管理存取許可](#migrate-control-access-CMG)
+ [如何使用受影響的政策工具](migrate-security-iam-tool.md)
## 管理存取許可
AWS Cost Management 與 AWS Identity and Access Management (IAM) 服務整合,因此您可以控制組織中誰可以存取 [AWS Cost Management 主控台](https://console.aws.amazon.com/cost-management/)上的特定頁面。您可以控制對 AWS Cost Management 功能的存取。例如, AWS Cost Explorer、Savings Plans 和保留建議、Savings Plans 和保留使用率和涵蓋範圍報告。
使用下列 IAM 許可進行 AWS 成本管理主控台的精細控制。
### 使用精細 AWS 的成本管理動作
此資料表摘要說明允許或拒絕 IAM 使用者和角色存取成本和用量資訊的許可。如需使用這些許可的政策範例,請參閱 [AWS 成本管理政策範例](billing-example-policies.md)。
如需 AWS 帳單主控台的動作清單,請參閱[AWS 《帳單使用者指南》中的帳單動作政策](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions)。 *AWS *
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/cost-management/latest/userguide/migrate-granularaccess-whatis.html)
# 如何使用受影響的政策工具
**注意**
下列 AWS Identity and Access Management (IAM) 動作已於 2023 年 7 月結束標準支援:
`aws-portal` 命名空間
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您使用的是 AWS Organizations,您可以使用[大量政策 migrator 指令碼](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html),從您的付款人帳戶更新政策。也可以使用[舊動作至精細動作對應參考](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html)來確認需要新增的 IAM 動作。
如需詳細資訊,請參閱[AWS 帳單、 AWS 成本管理和帳戶主控台許可的變更](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/)部落格。
如果您有 AWS 帳戶在 2023 年 3 月 6 日上午 11:00 (PDT) 或之後 AWS Organizations 建立的 或 的一部分,則精細動作已在組織中生效。
您可以使用帳單主控台中的**受影響的政策**工具來識別 IAM 政策 (SCP 除外),並參考受此遷移影響的 IAM 動作。使用**受影響的策略**工具執行下列工作:
+ 識別 IAM 政策並參考受此遷移影響的 IAM 動作
+ 將更新的政策複製到剪貼簿
+ 在 IAM 政策編輯器中開啟受影響的政策
+ 儲存帳戶的更新政策
+ 開啟微調的許可,並停用舊動作
此工具會在您登入 AWS 的帳戶邊界內運作,而且不會公開其他 AWS Organizations 帳戶的相關資訊。
**若要使用受影響的政策工具**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/) 開啟 AWS 帳單與成本管理 主控台。
1. 將下列 URL 貼到瀏覽器中,以存取 **Affected policies** (受影響的政策) 工具:[https://console.aws.amazon.com/poliden/home?region=us-east-1#/](https://console.aws.amazon.com/poliden/home?region=us-east-1#/)。
**注意**
您必須擁有檢視此頁面的 `iam:GetAccountAuthorizationDetails` 許可。
1. 檢閱列出受影響之 IAM 政策的資料表。使用 **Deprecated IAM actions** (已取代的 IAM 動作) 欄,檢閱政策中參考的特定 IAM 動作。
1. 在**複製更新的政策**欄位下方,選擇**複製**以將更新的政策複製到剪貼簿。更新的政策包含現有的政策和附加至其中作為獨立 `Sid` 區塊的建議微調動作。此區塊在政策結尾具有字首 `AffectedPoliciesMigrator`。
1. 在**編輯 IAM 主控台中的政策**欄位下方,選擇**編輯**以前往 IAM 政策編輯器。您將會看到現有政策的 JSON。
1. 將整個現有的政策取代為在步驟 4 中複製的更新政策。您可以視需要進行任何其他變更。
1. 選擇**下一步**,然後選擇**儲存變更**。
1. 針對所有受影響的政策重複步驟 3 至 7。
1. 更新政策後,請重新整理**受影響的政策**工具,以確認沒有列出任何受影響的政策。**找到的新 IAM 動作**欄位應會針對所有政策選擇**是**,而**複製**和**編輯**按鈕將會停用。受影響的政策已更新。
**啟用帳戶的微調動作**
當您更新政策後,請按照此程序為帳戶啟用微調的動作。
僅限組織的管理帳戶 (付款人) 或個人帳戶可使用**管理新的 IAM 動作**區段。個人帳戶可為自己啟用新動作。管理帳戶可為整個組織或成員帳戶的子集啟用新動作。如果您是管理帳戶,請更新所有成員帳戶的受影響政策,並為組織啟用新動作。如需詳細資訊,請參閱 AWS 部落格文章中的[如何在新的精細動作或現有的 IAM 動作之間切換帳戶?](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/#How-to-toggle-accounts-between-new-fine-grained-actions-or-existing-IAM-Actions)一節。
**注意**
若要執行此動作,您必須具有下列許可:
`aws-portal:GetConsoleActionSetEnforced`
`aws-portal:UpdateConsoleActionSetEnforced`
`ce:GetConsoleActionSetEnforced`
`ce:UpdateConsoleActionSetEnforced`
`purchase-orders:GetConsoleActionSetEnforced`
`purchase-orders:UpdateConsoleActionSetEnforced`
如果您沒有看到**管理新的 IAM 動作**區段,表示您的帳戶已啟用微調的 IAM 動作。
1. 在**管理新的 IAM 動作**下方,**目前強制執行的動作集**設定將會顯示**現有**狀態。
選擇**啟用新的動作 (微調)**,然後選擇**套用變更**。
1. 在對話方塊中,選擇 **Yes (是)**。**目前強制執行的動作集**狀態將會變更為**已微調**。如此表示系統已針對您的 AWS 帳戶 或組織強制執行新的動作。
1. (選用) 您可以更新現有的政策,以移除任何舊動作。
**Example 範例:受影響前和受影響後的 IAM 政策**
下列 IAM 政策具有舊的 `aws-portal:ViewPaymentMethods` 動作。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
}
]
}
```
在您複製更新的政策後,下列範例會具有新的 `Sid` 區塊,其中包含微調的動作。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
},
{
"Sid": "AffectedPoliciesMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"invoicing:GetInvoicePDF",
"payments:GetPaymentInstrument",
"payments:GetPaymentStatus",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}
]
}
```
## 相關資源
如需詳細資訊,請參閱 *IAM 使用者使用者指南*中的 [Sid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html)。
如需新精細動作的詳細資訊,請參閱[映射精細 IAM 動作參考](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html)和[使用精細 AWS 成本管理動作](https://docs.aws.amazon.com/cost-management/latest/userguide/migrate-granularaccess-whatis.html#migrate-user-permissions)。
# 預防跨服務混淆代理人
混淆代理人問題屬於安全性問題,其中沒有執行動作許可的實體可以強制具有更多許可的實體執行該動作。在 中 AWS,跨服務模擬可能會導致混淆代理人問題。在某個服務 (*呼叫服務*) 呼叫另一個服務 (*被呼叫服務*) 時,可能會發生跨服務模擬。可以操縱呼叫服務來使用其許可,以其不應有存取許可的方式對其他客戶的資源採取動作。為了預防這種情況, AWS 提供的工具可協助您保護所有服務的資料,而這些服務主體已獲得您帳戶中資源的存取權。
我們建議在資源政策中使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)和 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)全域條件內容索引鍵,將許可限制為 AWS 成本管理功能可以提供其他服務的資源。如果同時使用全域條件內容金鑰,則在相同政策陳述式中使用 `aws:SourceAccount` 值和 `aws:SourceArn` 值中的帳戶時,必須使用相同的帳戶 ID。
防範混淆代理人問題最有效的方法,是使用 `aws:SourceArn` 全域條件內容金鑰,以及資源的完整 ARN。如果不知道資源的完整 ARN,或者如果您指定了多個資源,請使用 `aws:SourceArn` 全域條件內容金鑰,同時使用萬用字元 (`*`) 表示 ARN 的未知部分。例如 `arn:aws:servicename::123456789012:*`。對於 AWS Budgets, 的值`aws:SourceArn`必須為 `arn:aws:budgets::123456789012:budget/*`。
下列範例示範如何使用 AWS Budgets 中的 `aws:SourceArn`和 `aws:SourceAccount`全域條件內容索引鍵,以防止混淆代理人問題。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "budgets.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:budgets::123456789012:budget/*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
]
}
```
------
# 針對 AWS Cost Management 身分和存取進行故障診斷
使用以下資訊來協助您診斷和修正使用 AWS Cost Management 和 IAM 時可能遇到的常見問題。
**Topics**
+ [我無權在 AWS Cost Management 中執行動作](#security_iam_troubleshoot-no-permissions)
+ [我未獲得執行 iam:PassRole 的授權](#security_iam_troubleshoot-passrole)
+ [我想要檢視我的存取金鑰](#security_iam_troubleshoot-access-keys)
+ [我是管理員,想要允許其他人存取 AWS 成本管理](#security_iam_troubleshoot-admin-delegate)
+ [我想要允許 以外的人員 AWS 帳戶 存取我的 AWS Cost Management 資源](#security_iam_troubleshoot-cross-account-access)
## 我無權在 AWS Cost Management 中執行動作
如果 AWS 管理主控台 告訴您無權執行 動作,則必須聯絡您的管理員尋求協助。您的管理員提供您的簽署憑證。
下列範例錯誤會在 `mateojackson` 使用者嘗試使用主控台檢視一個虛構 `my-example-widget` 資源的詳細資訊,但卻無虛構 `ce:GetWidget` 許可時發生。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ce:GetWidget on resource: my-example-widget
```
在此情況下,Mateo 會請求管理員更新他的政策,允許他使用 `my-example-widget` 動作存取 `ce:GetWidget` 資源。
## 我未獲得執行 iam:PassRole 的授權
如果您收到錯誤,告知您無權執行 `iam:PassRole`動作,您的政策必須更新,以允許您將角色傳遞給 AWS Cost Management。
有些 AWS 服務 可讓您將現有角色傳遞給該服務,而不是建立新的服務角色或服務連結角色。如需執行此作業,您必須擁有將角色傳遞至該服務的許可。
當名為 的 IAM `marymajor` 使用者嘗試使用主控台在 AWS Cost Management 中執行動作時,會發生下列範例錯誤。但是,動作請求服務具備服務角色授予的許可。Mary 沒有將角色傳遞給服務的許可。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在這種情況下,Mary 的政策必須更新,允許她執行 `iam:PassRole` 動作。
如果您需要協助,請聯絡您的 AWS 管理員。您的管理員提供您的登入憑證。
## 我想要檢視我的存取金鑰
在您建立 IAM 使用者存取金鑰後,您可以隨時檢視您的存取金鑰 ID。但是,您無法再次檢視您的私密存取金鑰。若您遺失了密碼金鑰,您必須建立新的存取金鑰對。
存取金鑰包含兩個部分:存取金鑰 ID (例如 `AKIAIOSFODNN7EXAMPLE`) 和私密存取金鑰 (例如 `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`)。如同使用者名稱和密碼,您必須一起使用存取金鑰 ID 和私密存取金鑰來驗證您的請求。就如對您的使用者名稱和密碼一樣,安全地管理您的存取金鑰。
**重要**
請勿將您的存取金鑰提供給第三方,甚至是協助[尋找您的標準使用者 ID](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId)。透過這樣做,您可以讓某人永久存取您的 AWS 帳戶。
建立存取金鑰對時,您會收到提示,要求您將存取金鑰 ID 和私密存取金鑰儲存在安全位置。私密存取金鑰只會在您建立它的時候顯示一次。若您遺失了私密存取金鑰,您必須將新的存取金鑰新增到您的 IAM 使用者。您最多可以擁有兩個存取金鑰。若您已有兩個存取金鑰,您必須先刪除其中一個金鑰對,才能建立新的金鑰對。若要檢視說明,請參閱《IAM 使用者指南》中的[管理存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey)。
## 我是管理員,想要允許其他人存取 AWS 成本管理
若要允許其他人存取 AWS Cost Management,您必須將許可授予需要存取的人員或應用程式。如果您使用 AWS IAM Identity Center 管理人員和應用程式,您可以將許可集指派給使用者或群組,以定義其存取層級。許可集會自動建立 IAM 政策,並將其指派給與該人員或應用程式相關聯的 IAM 角色。如需詳細資訊,請參閱*AWS IAM Identity Center 《 使用者指南*》中的[許可集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)。
如果您不是使用 IAM Identity Center,則必須為需要存取的人員或應用程式建立 IAM 實體 (使用者或角色)。然後,您必須將政策連接到實體,以授予他們在 AWS 成本管理中的正確許可。授予許可後,請將登入資料提供給使用者或應用程式開發人員。他們將使用這些登入資料來存取 AWS。若要進一步了解如何建立 IAM 使用者、群組、政策和許可,請參閱《IAM **[使用者指南》中的 IAM 身分](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)和[政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
## 我想要允許 以外的人員 AWS 帳戶 存取我的 AWS Cost Management 資源
您可以建立一個角色,讓其他帳戶中的使用者或您組織外部的人員存取您的資源。您可以指定要允許哪些信任物件取得該角色。針對支援基於資源的政策或存取控制清單 (ACL) 的服務,您可以使用那些政策來授予人員存取您的資源的許可。
如需進一步了解,請參閱以下內容:
+ 若要了解 AWS Cost Management 是否支援這些功能,請參閱 [AWS 成本管理如何與 IAM 搭配使用](security_iam_service-with-iam.md)。
+ 若要了解如何在您擁有 AWS 帳戶 的 資源之間提供存取權,請參閱《[IAM 使用者指南》中的在您擁有 AWS 帳戶 的另一個 IAM 使用者中提供存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)。 **
+ 若要了解如何將資源的存取權提供給第三方 AWS 帳戶,請參閱《*IAM 使用者指南*》中的[將存取權提供給第三方 AWS 帳戶 擁有](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)。
+ 如需了解如何透過聯合身分提供存取權,請參閱《*IAM 使用者指南*》中的[將存取權提供給在外部進行身分驗證的使用者 (聯合身分)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 如需了解使用角色和資源型政策進行跨帳戶存取之間的差異,請參閱《*IAM 使用者指南*》中的 [IAM 中的跨帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## AWS 成本管理的服務連結角色
服務連結角色是連結至 的一種服務角色 AWS 服務。服務可以擔任代表您執行動作的角色。服務連結角色會出現在您的 中 AWS 帳戶 ,並由服務擁有。IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
如需建立或管理服務連結角色的詳細資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。在資料表中尋找服務,其中包含**服務連結角色**欄中的 `Yes`。選擇**是**連結,以檢視該服務的服務連結角色文件。
# 使用服務連結角色
服務連結角色是連結至 服務的一種 AWS 服務角色。服務可以擔任代表您執行動作的角色。服務連結角色會顯示在您的帳戶中 AWS ,並由服務擁有。IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
**Topics**
+ [成本最佳化中樞的服務連結角色](cost-optimization-hub-SLR.md)
+ [分割成本分配資料的服務連結角色](split-cost-allocation-data-SLR.md)
+ [資料匯出的服務連結角色](data-exports-SLR.md)
+ [Budgets 的服務連結角色](budgets-SLR.md)
+ [成本分配之使用者屬性的服務連結角色](ubca-SLR.md)
# 成本最佳化中樞的服務連結角色
Cost Optimization Hub 使用 AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 Cost Optimization Hub 的唯一 IAM 角色類型。服務連結角色由 Cost Optimization Hub 預先定義,並包含服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更輕鬆地設定 Cost Optimization Hub,因為您不必手動新增必要的許可。Cost Optimization Hub 定義其服務連結角色的許可,除非另有定義,否則只有 Cost Optimization Hub 可以擔任其角色。定義的許可包括信任政策和許可政策,並且該許可政策不能連接到任何其他 IAM 實體。
如需關於支援服務連結角色的其他服務資訊,請參閱[《可搭配 IAM 運作的AWS 服務》](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),尋找 **Service-Linked Role** (服務連結角色) 欄中顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## Cost Optimization Hub 的服務連結角色許可
Cost Optimization Hub 使用名為 的服務連結角色`AWSServiceRoleForCostOptimizationHub`,可讓您存取 Cost Optimization Hub 使用或管理 AWS 的服務和資源。
`AWSServiceRoleForCostOptimizationHub` 服務連結角色信任 `cost-optimization-hub.bcm.amazonaws.com` 服務來擔任該角色。
角色許可政策 `CostOptimizationHubServiceRolePolicy`可讓 Cost Optimization Hub 對指定的資源完成下列動作:
+ organizations:DescribeOrganization
+ organizations:ListAccounts
+ organizations:ListAWSServiceAccessForOrganization
+ organizations:ListParents
+ organizations:DescribeOrganizationalUnit
+ organizations:ListDelegatedAdministrators
+ ce:ListCostAllocationTags
+ ce:GetCostAndUsage
+ ce:GetDimensionValues
如需詳細資訊,請參閱[允許成本最佳化中樞呼叫讓服務運作所需的服務](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-managedIAM)。
若要檢視服務連結角色 的完整許可詳細資訊`CostOptimizationHubServiceRolePolicy`,請參閱《 *AWS 受管政策參考指南*》中的 [CostOptimizationHubServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CostOptimizationHubServiceRolePolicy.html)。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 建立 Cost Optimization Hub 服務連結角色
您不需要手動建立服務連結角色,當您啟用 Cost Optimization Hub 時,服務會自動為您建立服務連結角色。您可以透過 Cost Management 主控台或透過 API 或 CLI AWS 啟用 AWS Cost Optimization Hub。如需詳細資訊,請參閱本使用者指南中的啟用成本最佳化中樞。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。
## 編輯 Cost Optimization Hub 服務連結角色
您無法編輯`AWSServiceRoleForCostOptimizationHub`服務連結角色的名稱或許可,因為各種實體可能會參考角色。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《IAM 使用者指南》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
**允許 IAM 實體編輯`AWSServiceRoleForCostOptimizationHub`服務連結角色的描述**
將下列陳述式新增至 IAM 實體編輯服務連結角色描述所需的許可政策:
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/cost-optimization-hub.bcm.amazonaws.com/AWSServiceRoleForCostOptimizationHub",
"Condition": {"StringLike": {"iam:AWSServiceName": "cost-optimization-hub.bcm.amazonaws.com"}}
}
```
## 刪除 Cost Optimization Hub 服務連結角色
如果您不再需要使用 Cost Optimization Hub,我們建議您刪除`AWSServiceRoleForCostOptimizationHub`服務連結角色。這樣就不會有未積極監控或維護的未使用實體。不過,您必須先選擇退出 Cost Optimization Hub,才能手動刪除服務連結角色。
**若要選擇退出 Cost Optimization Hub**
如需有關選擇退出 Cost Optimization Hub 的資訊,請參閱[選擇退出 Cost Optimization Hub](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html#coh-opt-out)。
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台、 AWS 命令列界面 (AWS CLI) 或 AWS API 來刪除`AWSServiceRoleForCostOptimizationHub`服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 成本最佳化中樞服務連結角色的支援區域
Cost Optimization Hub 支援在提供服務的所有 AWS 區域中使用服務連結角色。如需詳細資訊,請參閱 AWS 服務端點。
# 分割成本分配資料的服務連結角色
分割成本分配資料使用 AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是一種獨特的 IAM 角色類型,可直接連結至分割成本分配資料。服務連結角色是由分割成本分配資料預先定義,並包含服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更輕鬆地設定分割成本分配資料,因為您不必手動新增必要的許可。分割成本分配資料會定義其服務連結角色的許可,除非另有定義,否則只有分割成本分配資料才能擔任其角色。定義的許可包括信任政策和許可政策,並且該許可政策不能連接到任何其他 IAM 實體。
如需關於支援服務連結角色的其他服務資訊,請參閱[《可搭配 IAM 運作的AWS 服務》](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),尋找 **Service-Linked Role** (服務連結角色) 欄中顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## 分割成本分配資料的服務連結角色許可
分割成本分配資料使用名為 的服務連結角色`AWSServiceRoleForSplitCostAllocationData`,這可讓您存取分割成本分配資料使用或管理 AWS 的服務和資源。
`AWSServiceRoleForSplitCostAllocationData` 服務連結角色信任 `split-cost-allocation-data.bcm.amazonaws.com` 服務來擔任該角色。
角色許可政策 `SplitCostAllocationDataServiceRolePolicy`可讓分割成本分配資料對指定的資源完成下列動作:
+ organizations:DescribeOrganization
+ organizations:ListAccounts
+ organizations:ListAWSServiceAccessForOrganization
+ organizations:ListParents
+ aps:ListWorkspaces
+ aps:QueryMetrics
如需詳細資訊,請參閱[允許分割成本分配資料呼叫讓服務運作所需的服務](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#split-cost-allocation-data-managedIAM)。
若要檢視服務連結角色 的完整許可詳細資訊`SplitCostAllocationDataServiceRolePolicy`,請參閱《 *AWS 受管政策參考指南*[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CostOptimizationHubServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CostOptimizationHubServiceRolePolicy.html)》中的 。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 建立分割成本分配資料服務連結角色
您不需要手動建立服務連結角色,當您選擇加入分割成本分配資料時,服務會自動為您建立服務連結角色。您可以透過 Cost Management 主控台啟用分割 AWS 成本分配資料。如需詳細資訊,請參閱[啟用分割成本分配資料](https://docs.aws.amazon.com/cur/latest/userguide/enabling-split-cost-allocation-data.html)。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。
## 編輯分割成本分配資料服務連結角色
您無法編輯`AWSServiceRoleForSplitCostAllocationData`服務連結角色的名稱或許可,因為各種實體可能會參考該角色。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《IAM 使用者指南》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
**允許 IAM 實體編輯`AWSServiceRoleForSplitCostAllocationData`服務連結角色的描述**
將下列陳述式新增至 IAM 實體編輯服務連結角色描述所需的許可政策:
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/split-cost-allocation-data.bcm.amazonaws.com/AWSServiceRoleForSplitCostAllocationData",
"Condition": {"StringLike": {"iam:AWSServiceName": "split-cost-allocation-data.bcm.amazonaws.com"}}
}
```
## 刪除分割成本分配資料服務連結角色
如果您不再需要使用分割成本分配資料,我們建議您刪除`AWSServiceRoleForSplitCostAllocationData`服務連結角色。這樣就不會有未積極監控或維護的未使用實體。不過,您必須先選擇退出分割成本分配資料,才能手動刪除服務連結角色。
**選擇退出分割成本分配資料**
如需選擇退出分割成本分配資料的資訊,請參閱[啟用分割成本分配資料](https://docs.aws.amazon.com/cur/latest/userguide/enabling-split-cost-allocation-data.html)。
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台、 AWS 命令列界面 (AWS CLI) 或 AWS API 來刪除`AWSServiceRoleForSplitCostAllocationData`服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 分割成本分配資料服務連結角色的支援區域
分割成本分配資料支援在所有提供分割成本分配資料的 AWS 區域中使用服務連結角色。如需詳細資訊,請參閱 AWS 服務端點。
# 資料匯出的服務連結角色
資料匯出使用 AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至資料匯出的唯一 IAM 角色類型。服務連結角色由 Data Exports 預先定義,並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更輕鬆地設定資料匯出,因為您不必手動新增必要的許可。Data Exports 會定義其服務連結角色的許可,除非另有定義,否則只有 Data Exports 可以擔任該角色。定義的許可包括信任政策和許可政策,並且該許可政策不能連接到任何其他 IAM 實體。
如需關於支援服務連結角色的其他服務資訊,請參閱[《可搭配 IAM 運作的AWS 服務》](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),尋找 **Service-Linked Role** (服務連結角色) 欄中顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## 資料匯出的服務連結角色許可
Data Exports 使用名為 的服務連結角色`AWSServiceRoleForBCMDataExports`,可讓 AWS 存取服務資料,以代表客戶將資料匯出至目標位置,例如 Amazon S3。此服務連結角色用於唯讀動作,以收集所需的最少 AWS 服務資料量。服務連結角色會隨著時間使用,以確保安全性並繼續重新整理目標位置中的匯出資料。
`AWSServiceRoleForBCMDataExports` 服務連結角色信任 `bcm-data-exports.amazonaws.com` 服務來擔任該角色。
角色許可政策 `AWSBCMDataExportsServiceRolePolicy`可讓 Data Exports 對指定的資源完成下列動作:
+ cost-optimization-hub:ListEnrollmentStatuses
+ cost-optimization-hub:ListRecommendation
如需詳細資訊,請參閱[允許資料匯出存取其他 AWS 服務](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#data-exports-managedIAM)。
若要檢視服務連結角色 的完整許可詳細資訊`AWSBCMDataExportsServiceRolePolicy`,請參閱《 *AWS 受管政策參考指南*》中的 [AWSBCMDataExportsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CostOptimizationHubServiceRolePolicy.html)。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 建立資料匯出服務連結角色
您不需要手動建立資料匯出服務連結角色。在資料匯出主控台頁面上,當您嘗試建立需要服務連結角色的資料表匯出時,服務會自動為您建立角色。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。
## 編輯資料匯出服務連結角色
您無法編輯`AWSServiceRoleForBCMDataExports`服務連結角色的名稱或許可,因為各種實體可能會參考該角色。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《IAM 使用者指南》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
**允許 IAM 實體編輯`AWSServiceRoleForBCMDataExports`服務連結角色的描述**
將下列陳述式新增至 IAM 實體編輯服務連結角色描述所需的許可政策:
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/bcm-data-exports.amazonaws.com/AWSServiceRoleForBCMDataExports",
"Condition": {"StringLike": {"iam:AWSServiceName": "bcm-data-exports.amazonaws.com"}}
}
```
## 刪除資料匯出服務連結角色
如果您不再需要使用資料匯出,我們建議您刪除`AWSServiceRoleForBCMDataExports`服務連結角色。這樣就不會有未積極監控或維護的未使用實體。不過,您必須先刪除任何需要服務連結角色的資料匯出,才能手動刪除服務連結角色。
**刪除匯出**
如需有關刪除匯出的資訊,請參閱[編輯和刪除匯出](https://docs.aws.amazon.com/cur/latest/userguide/dataexports-edit-delete.html)。
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台、 AWS 命令列界面 (AWS CLI) 或 AWS API 來刪除`AWSServiceRoleForBCMDataExports`服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## Data Exports 服務連結角色支援的 區域
Data Exports 支援在所有提供資料匯出的 AWS 區域中使用服務連結角色。如需詳細資訊,請參閱 AWS 服務端點。
# Budgets 的服務連結角色
Budgets 使用 AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 Budgets 的唯一 IAM 角色類型。服務連結角色由 Budgets 預先定義,並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
Budgets 定義其服務連結角色的許可,除非另有定義,否則只有 Budgets 可以擔任其角色。定義的許可包括信任政策和許可政策,並且該許可政策不能連接到任何其他 IAM 實體。
如需關於支援服務連結角色的其他服務資訊,請參閱[《可搭配 IAM 運作的AWS 服務》](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),尋找 **Service-Linked Role** (服務連結角色) 欄中顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## Budgets 的服務連結角色許可
Budgets 使用名為 的服務連結角色`AWSServiceRoleForBudgets`,可讓 Budgets 驗證跨帳戶邊界共用的帳單檢視存取權。
此服務連結角色的目的是在更新預算支出時,驗證客戶是否可以存取與 Budget 相關聯的基礎帳單檢視資料。
`AWSServiceRoleForBudgets` 服務連結角色信任 `budgets.amazonaws.com` 服務來擔任該角色。
角色許可政策 `BudgetsServiceRolePolicy`可讓 Budgets 對客戶可存取的所有 Billing View 資源完成下列動作:
+ billing:GetBillingViewData
如需詳細資訊,請參閱[允許 Budgets 呼叫驗證帳單檢視存取所需的服務](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#budget-managedIAM-billing-view)。
若要檢視服務連結角色 的完整許可詳細資訊`BudgetsServiceRolePolicy`,請參閱《 *AWS 受管政策參考指南*》中的 [BudgetsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/BudgetsBillingViewAccessPolicy.html)。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 建立 Budgets 服務連結角色
您不需要手動建立服務連結角色,當您從您有權存取的另一個帳戶使用 BillingView 向 CreateBudget 或 UpdateBudget 提出請求時,服務會自動為您建立服務連結角色。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。
## 編輯 Budgets 服務連結角色
您無法編輯`AWSServiceRoleForBudgets`服務連結角色的名稱或許可,因為各種實體可能會參考該角色。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱[《IAM 使用者指南》中的編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
**允許 IAM 實體編輯`AWSServiceRoleForBudgets`服務連結角色的描述**
將下列陳述式新增至 IAM 實體編輯服務連結角色描述所需的許可政策:
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/budgets.amazonaws.com/AWSServiceRoleForBudgets",
"Condition": {"StringLike": {"iam:AWSServiceName": "budgets.amazonaws.com"}}
}
```
## 刪除 Budgets 服務連結角色
如果您不再需要使用 Budgets,我們建議您刪除`AWSServiceRoleForBudgets`服務連結角色。這樣就不會有未積極監控或維護的未使用實體。不過,您必須先從另一個帳戶刪除帳戶中與帳單檢視相關聯的任何 Budgets,才能手動刪除服務連結角色。如果您在完成之前嘗試刪除服務連結角色,請求將會失敗。
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台、 AWS 命令列界面 (AWS CLI) 或 AWS API 來刪除`AWSServiceRoleForBudgets`服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## Budgets 服務連結角色支援的 區域
Budgets 支援在所有提供服務的 AWS 區域中使用服務連結角色。如需詳細資訊,請參閱 AWS 服務端點。
# 成本分配之使用者屬性的服務連結角色
成本分配的使用者屬性使用 AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是一種獨特的 IAM 角色類型,可直接連結至使用者屬性以進行成本分配。服務連結角色由成本分配的使用者屬性預先定義,並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更輕鬆地設定成本分配的使用者屬性,因為您不必手動新增必要的許可。成本分配的使用者屬性會定義其服務連結角色的許可,除非另有定義,否則只有成本分配的使用者屬性才能擔任該角色。定義的許可包括信任政策和許可政策,並且該許可政策不能連接到任何其他 IAM 實體。
如需關於支援服務連結角色的其他服務資訊,請參閱[《可搭配 IAM 運作的AWS 服務》](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),尋找 **Service-Linked Role** (服務連結角色) 欄中顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## 成本分配之使用者屬性的服務連結角色許可
成本分配的使用者屬性使用名為 的服務連結角色`AWSServiceRoleForUserAttributeCostAllocation`,這會授予使用者成本分配許可的屬性,以代表您從 IAM Identity Center AWS 讀取使用者屬性。
`AWSServiceRoleForUserAttributeCostAllocation` 服務連結角色信任 `user-attribute-cost-allocation-data.amazonaws.com` 服務來擔任該角色。
服務連結角色使用兩種類型的政策:
+ **內嵌角色許可政策:**包含允許成本分配的使用者屬性透過 Identity Store APIs AWS 從 IAM Identity Center 執行個體存取使用者資訊的許可。此政策包含客戶加密其 Identity Center 資料時的必要 KMS 許可,範圍限定於您的特定帳戶和 Identity Center 執行個體。
+ **AWS 受管政策 (AWSUserAttributeCostAllocationPolicy):**為服務提供額外的許可,以擷取服務連結角色供內部使用。
如需 AWSUserAttributeCostAllocationPolicy 受管政策更新的詳細資訊,請參閱 [AWSAWS Billing and Cost Management 的 受管政策](security-iam-awsmanpol.html)。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 建立成本分配服務連結角色的使用者屬性
您不需要手動建立服務連結角色,當您在 Cost Management 主控台中啟用 AWS 成本分配的使用者屬性時,服務會自動為您建立服務連結角色。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您啟用成本分配的使用者屬性時,服務會再次為您建立服務連結角色。
## 編輯成本分配服務連結角色的使用者屬性
您無法編輯`AWSServiceRoleForUserAttributeCostAllocation`服務連結角色的名稱或許可,因為各種實體可能會參考該角色。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《IAM 使用者指南》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除成本分配服務連結角色的使用者屬性
如果您不再需要使用使用者屬性進行成本分配,我們建議您刪除`AWSServiceRoleForUserAttributeCostAllocation`服務連結角色。這樣就不會有未積極監控或維護的未使用實體。不過,您必須先選擇退出使用者屬性以進行成本分配,才能手動刪除服務連結角色。
### 清除服務連結角色
在您可以使用 IAM 刪除服務連結角色之前,您必須先停用成本分配偏好設定之使用者屬性中的所有使用者屬性,以選擇退出成本分配的使用者屬性。
### 手動刪除服務連結角色
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除`AWSServiceRoleForUserAttributeCostAllocation`服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 成本分配服務連結角色之使用者屬性的支援區域
成本分配的使用者屬性支援在提供服務的所有 AWS 區域中使用服務連結角色。如需詳細資訊,請參閱 AWS 服務端點。
# AWS AWS Billing and Cost Management 的 受管政策
建立僅具有團隊所需許可的 [IAM 客戶受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要時間和專業知識。若要快速開始使用,您可以使用 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的 AWS 帳戶中使用。如需 AWS 受管政策的更多相關資訊,請參閱「IAM 使用者指南」**中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。
## AWSUserAttributeCostAllocationPolicy
此政策為成本分配服務連結角色的使用者屬性提供許可,以擷取內部服務操作的角色資訊。
此政策連接至 `AWSServiceRoleForUserAttributeCostAllocation` 服務連結角色。
## AWS AWS 受管政策的帳單和成本管理更新
檢視自此服務開始追蹤這些變更以來 AWS , Billing and Cost Management 受 AWS 管政策更新的詳細資訊。
| 政策 | 版本 | 變更 |
| --- | --- | --- |
| AWSUserAttributeCostAllocationPolicy | 1 | 2**025 年 12 月 15 日:**建立初始政策。此政策為成本分配服務連結角色的使用者屬性提供許可,以擷取內部服務操作的角色資訊。 |