Bewährte Methoden für Richtlinien Verwenden der Konsole Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer IAMRichtlinien für die Abrechnung verwenden

Identitätsbasierte Politik mit AWS Fakturierung

Standardmäßig sind Benutzer und Rollen nicht berechtigt, Abrechnungsressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mithilfe der ausführen AWS Management Console, AWS Command Line Interface (AWS CLI), oder AWS API. Um Benutzern die Erlaubnis zu erteilen, Aktionen mit den Ressourcen durchzuführen, die sie benötigen, kann ein IAM Administrator IAM Richtlinien erstellen. Der Administrator kann dann die IAM Richtlinien zu Rollen hinzufügen, und Benutzer können die Rollen übernehmen.

Informationen zum Erstellen einer IAM identitätsbasierten Richtlinie anhand dieser JSON Beispieldokumente finden Sie unter IAMRichtlinien erstellen im IAMBenutzerhandbuch.

Einzelheiten zu den in Billing definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Abrechnung in der Serviceautorisierungsreferenz.

Inhalt

Bewährte Methoden für Richtlinien

Identitätsbasierte Richtlinien legen fest, ob jemand Abrechnungsressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Durch diese Aktionen können Kosten für Sie entstehen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:

Beginnen Sie mit AWS verwaltete Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten — Um zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren, verwenden Sie AWS verwaltete Richtlinien, die Berechtigungen für viele gängige Anwendungsfälle gewähren. Sie sind in Ihrem verfügbar AWS-Konto. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie Folgendes definieren AWS vom Kunden verwaltete Richtlinien, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter AWS verwaltete Richtlinien oder AWS verwaltete Richtlinien für Jobfunktionen im IAMBenutzerhandbuch.
Berechtigungen mit den geringsten Rechten anwenden — Wenn Sie Berechtigungen mit IAM Richtlinien festlegen, gewähren Sie nur die Berechtigungen, die für die Ausführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen. Weitere Informationen zur Verwendung IAM zum Anwenden von Berechtigungen finden Sie IAMim Benutzerhandbuch unter Richtlinien und Berechtigungen. IAM
Verwenden Sie Bedingungen in IAM Richtlinien, um den Zugriff weiter einzuschränken — Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen einzuschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um anzugeben, dass alle Anfragen mit gesendet werden müssenSSL. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese über eine bestimmte AWS-Service, wie beispielsweise AWS CloudFormation. Weitere Informationen finden Sie unter IAMJSONRichtlinienelemente: Zustand im IAMBenutzerhandbuch.
Verwenden Sie IAM Access Analyzer, um Ihre IAM Richtlinien zu validieren, um sichere und funktionale Berechtigungen zu gewährleisten. IAM Access Analyzer validiert neue und bestehende Richtlinien, sodass die Richtlinien der IAM Richtliniensprache (JSON) und den IAM bewährten Methoden entsprechen. IAMAccess Analyzer bietet mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen, um Sie bei der Erstellung sicherer und funktionaler Richtlinien zu unterstützen. Weitere Informationen finden Sie unter IAMAccess Analyzer-Richtlinienvalidierung im IAMBenutzerhandbuch.
Multi-Faktor-Authentifizierung erforderlich (MFA) — Wenn Sie ein Szenario haben, das IAM Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, schalten Sie MFA für zusätzliche Sicherheit ein. Wenn Sie festlegen möchten, MFA wann API Operationen aufgerufen werden, fügen Sie MFA Bedingungen zu Ihren Richtlinien hinzu. Weitere Informationen finden Sie unter Konfiguration des MFA -geschützten API Zugriffs im IAMBenutzerhandbuch.

Weitere Informationen zu bewährten Methoden finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch. IAM

Verwenden der Abrechnungskonsole

Um auf die zuzugreifen AWS Für die Abrechnungskonsole benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Abrechnungsressourcen in Ihrem AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die restriktiver ist als die erforderlichen Mindestberechtigungen, funktioniert die Konsole für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie nicht wie vorgesehen.

Sie müssen Benutzern, die nur Anrufe tätigen, keine Mindestberechtigungen für die Konsole gewähren AWS CLI oder das AWS API. Erlauben Sie stattdessen nur den Zugriff auf die Aktionen, die dem API Vorgang entsprechen, den sie ausführen möchten.

Sie finden dort Zugangsdetails wie zum Beispiel die für die Aktivierung erforderlichen Berechtigungen AWS Rechnungskonsole, Administratorzugriff und schreibgeschützter Zugriff finden Sie in diesem Abschnitt. AWS Verwaltete Richtlinien

Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer

Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die es IAM Benutzern ermöglicht, die internen und verwalteten Richtlinien einzusehen, die mit ihrer Benutzeridentität verknüpft sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe von AWS CLI or AWS API.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Verwendung identitätsbasierter Richtlinien für die Abrechnung

Anmerkung

Folgendes AWS Identity and Access Management (IAM) Die Standardunterstützung für folgende Maßnahmen wurde im Juli 2023 eingestellt:

Namespace aws-portal
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

Wenn du verwendest AWS Organizations, können Sie die Bulk Policy Migrator-Skripte oder den Bulk Policy Migrator verwenden, um Richtlinien von Ihrem Zahlerkonto aus zu aktualisieren. Sie können auch die Referenz zur Zuordnung von Aktionen von der alten zur detaillierten Version verwenden, um zu überprüfen, welche IAM Aktionen hinzugefügt werden müssen.

Wenn Sie eine haben AWS-Konto, oder sind Teil eines AWS Organizations Die detaillierten Aktionen, die am oder nach dem 6. März 2023, 11:00 Uhr (PDT) erstellt wurden, sind in Ihrer Organisation bereits in Kraft.

Wichtig

Zusätzlich zu den IAM Richtlinien müssen Sie auf der Konsolenseite mit den Kontoeinstellungen IAM Zugriff auf die Billing and Cost Management-Konsole gewähren.

Weitere Informationen finden Sie unter den folgenden Themen:

In diesem Abschnitt erfahren Sie, wie ein Kontoadministrator für identitätsbasierte Richtlinien IAM Identitäten (Rollen und Gruppen) Berechtigungsrichtlinien zuordnen und Berechtigungen zur Ausführung von Vorgängen mit Abrechnungsressourcen gewähren kann.

Weitere Informationen zur AWS-Konten und Benutzer, siehe Was ist? IAM im IAMBenutzerhandbuch.

Informationen dazu, wie Sie vom Kunden verwaltete Richtlinien aktualisieren können, finden Sie im IAMBenutzerhandbuch unter Vom Kunden verwaltete Richtlinien bearbeiten (Konsole).

AWS Aktionen in der Abrechnungskonsole

In dieser Tabelle sind die Berechtigungen zusammengefasst, die Zugriff auf die Informationen und Tools Ihrer Abrechnungskonsole gewähren. Beispiele für Richtlinien, die diese Berechtigungen benutzen, finden Sie unter AWS Beispiele für Abrechnungsrichtlinien.

Eine Liste der Aktionsrichtlinien für AWS Die Kostenmanagement-Konsole finden Sie unter AWS Richtlinien für Kostenmanagement-Aktionen in der AWS Cost Management-Benutzerhandbuch.

Berechtigungsname	Beschreibung
`aws-portal:ViewBilling`	Erteilt die Berechtigung zum Anzeigen der Konsolenseiten für Billing and Cost Management.
`aws-portal:ModifyBilling`	Erteilt die Berechtigung, die folgenden Seiten der Billing and Cost Management-Konsole zu ändern: Budgets Konsolidierte Fakturierung Fakturierungseinstellungen Guthaben Steuereinstellungen Zahlungsweisen Bestellungen Kostenzuordnungs-Tags Damit IAM Benutzer diese Konsolenseiten ändern können, müssen Sie `ModifyBilling` sowohl als auch zulassen`ViewBilling`. Eine Beispielrichtlinie finden Sie unter Erlauben Sie IAM Benutzern, Rechnungsinformationen zu ändern.
`aws-portal:ViewAccount`	Erteilt die Berechtigung zum Anzeigen der Kontoeinstellungen.
`aws-portal:ModifyAccount`	Erteilt die Erlaubnis, die Kontoeinstellungen zu ändern. Damit IAM Benutzer Kontoeinstellungen ändern können, müssen Sie `ModifyAccount` sowohl als auch zulassen`ViewAccount`. Ein Beispiel für eine Richtlinie, die einem IAM Benutzer ausdrücklich den Zugriff auf die Konsolenseite mit den Kontoeinstellungen verweigert, finden Sie unterVerweigern des Zugriffs auf Kontoeinstellungen, aber vollständigen Zugriff auf alle anderen Fakturierungs- und Nutzungsdaten gewähren.
`aws-portal:ViewPaymentMethods`	Erteilt die Berechtigung zum Anzeigen von Zahlungsmethoden.
`aws-portal:ModifyPaymentMethods`	Erteilt die Erlaubnis, Zahlungsmethoden zu ändern. Sie müssen sowohl `ModifyPaymentMethods` als auch `ViewPaymentMethods` zulassen, um Benutzern zu gestatten, die Zahlungsweisen zu ändern.
`billing:ListBillingViews`	Erteilt die Berechtigung zum Abrufen von Rechnungsinformationen für Pro-forma-Abrechnungsgruppen. Dies wird gemacht mit AWS Billing Conductor auf der Seite Rechnungen, oder AWS Kosten- und Nutzungsberichte. Weitere Informationen zum Anzeigen der Details Ihrer Abrechnungsgruppe finden Sie unter Informationen zu Ihrer Abrechnungsgruppe anzeigen im AWS Billing Conductor-Benutzerhandbuch.
`sustainability:GetCarbonFootprintSummary`	Erteilt die Erlaubnis zum Ansehen der AWS Tool und Daten zum CO2-Fußabdruck von Kunden. Dies ist zugänglich über AWS Seite „Kosten- und Nutzungsberichte“ der Billing and Cost Management-Konsole. Ein Beispiel für eine Richtlinie finden Sie unter Erlauben Sie IAM Benutzern, Ihre Rechnungsinformationen und Ihren Bericht zum CO2-Fußabdruck einzusehen.
`cur:DescribeReportDefinitions`	Erteilt die Berechtigung zum Ansehen AWS Kosten- und Nutzungsberichte. AWS Die Berechtigungen für Kosten- und Nutzungsberichte gelten für alle Berichte, die mit dem AWS Service für Kosten- und Nutzungsberichte API und die Billing and Cost Management-Konsole. Wenn Sie Berichte mit der Billing and Cost Management-Konsole erstellen, empfehlen wir Ihnen, die IAM Benutzerberechtigungen zu aktualisieren. Wenn Sie die Berechtigungen nicht aktualisieren, verlieren die Benutzer den Zugriff auf die Anzeige, Bearbeitung und Entfernung von Berichten auf der Seite Reports (Berichte) der Konsole. Ein Beispiel für eine Richtlinie finden Sie unter Erlauben Sie IAM Benutzern den Zugriff auf die Seite der Berichtskonsole.
`cur:PutReportDefinition`	Erteilt die Berechtigung zum Erstellen AWS Kosten- und Nutzungsberichte. AWS Die Berechtigungen für Kosten- und Nutzungsberichte gelten für alle Berichte, die mit dem AWS Service für Kosten- und Nutzungsberichte API und die Billing and Cost Management-Konsole. Wenn Sie Berichte mit der Billing and Cost Management-Konsole erstellen, empfehlen wir Ihnen, die IAM Benutzerberechtigungen zu aktualisieren. Wenn Sie die Berechtigungen nicht aktualisieren, verlieren die Benutzer den Zugriff auf die Anzeige, Bearbeitung und Entfernung von Berichten auf der Seite Reports (Berichte) der Konsole. Ein Beispiel für eine Richtlinie finden Sie unter Erlauben Sie IAM Benutzern den Zugriff auf die Seite der Berichtskonsole.
`cur:DeleteReportDefinition`	Erteilt die Berechtigung zum Löschen AWS Kosten- und Nutzungsberichte. AWS Die Berechtigungen für Kosten- und Nutzungsberichte gelten für alle Berichte, die mit dem AWS Service für Kosten- und Nutzungsberichte API und die Billing and Cost Management-Konsole. Wenn Sie Berichte mit der Billing and Cost Management-Konsole erstellen, empfehlen wir Ihnen, die IAM Benutzerberechtigungen zu aktualisieren. Wenn Sie die Berechtigungen nicht aktualisieren, verlieren die Benutzer den Zugriff auf die Anzeige, Bearbeitung und Entfernung von Berichten auf der Seite Reports (Berichte) der Konsole. Ein Beispiel für eine Richtlinie finden Sie unter Erstellen, anzeigen, bearbeiten oder löschen AWS Kosten- und Nutzungsberichte.
`cur:ModifyReportDefinition`	Erteilt die Berechtigung zum Ändern AWS Kosten- und Nutzungsberichte. AWS Die Berechtigungen für Kosten- und Nutzungsberichte gelten für alle Berichte, die mit dem AWS Service für Kosten- und Nutzungsberichte API und die Billing and Cost Management-Konsole. Wenn Sie Berichte mit der Billing and Cost Management-Konsole erstellen, empfehlen wir Ihnen, die IAM Benutzerberechtigungen zu aktualisieren. Wenn Sie die Berechtigungen nicht aktualisieren, verlieren die Benutzer den Zugriff auf die Anzeige, Bearbeitung und Entfernung von Berichten auf der Seite Reports (Berichte) der Konsole. Ein Beispiel für eine Richtlinie finden Sie unter Erstellen, anzeigen, bearbeiten oder löschen AWS Kosten- und Nutzungsberichte.
`ce:CreateCostCategoryDefinition`	Erteilt Berechtigungen zum Erstellen von Kostenkategorien. Eine Beispielrichtlinie finden Sie unter Anzeigen und Verwalten von Kostenkategorien.
`ce:DeleteCostCategoryDefinition`	Erteilt Berechtigungen zum Löschen von Kostenkategorien. Eine Beispielrichtlinie finden Sie unter Anzeigen und Verwalten von Kostenkategorien.
`ce:DescribeCostCategoryDefinition`	Erteilt Berechtigungen zum Anzeigen von Kostenkategorien. Eine Beispielrichtlinie finden Sie unter Anzeigen und Verwalten von Kostenkategorien.
`ce:ListCostCategoryDefinitions`	Erteilt Berechtigungen zum Auflisten von Kostenkategorien. Eine Beispielrichtlinie finden Sie unter Anzeigen und Verwalten von Kostenkategorien.
`ce:UpdateCostCategoryDefinition`	Erteilt Berechtigungen zum Aktualisieren von Kostenkategorien. Eine Beispielrichtlinie finden Sie unter Anzeigen und Verwalten von Kostenkategorien.
`aws-portal:ViewUsage`	Erteilt die Berechtigung zum Ansehen AWS Nutzungsberichte. Damit IAM Benutzer Nutzungsberichte einsehen können, müssen Sie `ViewUsage` sowohl als auch zulassen`ViewBilling`. Eine Beispielrichtlinie finden Sie unter Erlauben Sie IAM Benutzern den Zugriff auf die Seite der Berichtskonsole.
`payments:ListTagsForResource`	Erlauben oder verweigern Sie IAM Benutzern das Anzeigen von Stichwörtern für eine Zahlungsmethode.
`payments:TagResource`	Erlauben oder verweigern Sie IAM Benutzern die Erlaubnis, Stichwörter für eine Zahlungsmethode hinzuzufügen.
`payments:UntagResource`	Erlauben oder verweigern Sie IAM Benutzern die Erlaubnis, Tags aus einer Zahlungsmethode zu entfernen.
`payments:ListPaymentInstruments`	Erlauben oder verweigern Sie IAM Benutzern die Erlaubnis, ihre registrierten Zahlungsmethoden aufzulisten.
`payments:UpdatePaymentInstrument`	Erlauben oder verweigern Sie IAM Benutzern die Erlaubnis, ihre Zahlungsmethoden zu aktualisieren.
`pricing:DescribeServices`	Erteilt die Erlaubnis zum Ansehen AWS Serviceprodukte und Preisgestaltung über AWS Preislisten-ServiceAPI. Um IAM Benutzern die Verwendung zu ermöglichen AWS Für den Preislistendienst müssen Sie API `DescribeServicesGetAttributeValues`, und zulassen`GetProducts`. Eine Beispielrichtlinie finden Sie unter Finden von Produkten und Preisen.
`pricing:GetAttributeValues`	Erteilt die Erlaubnis zum Ansehen AWS Serviceprodukte und Preisgestaltung über AWS Preislisten-ServiceAPI. Um IAM Benutzern die Verwendung zu ermöglichen AWS Für den Preislistendienst müssen Sie API `DescribeServicesGetAttributeValues`, und zulassen`GetProducts`. Eine Beispielrichtlinie finden Sie unter Finden von Produkten und Preisen.
`pricing:GetProducts`	Erteilt die Erlaubnis zum Ansehen AWS Serviceprodukte und Preisgestaltung über AWS Preislisten-ServiceAPI. Um IAM Benutzern die Verwendung zu ermöglichen AWS Für den Preislistendienst müssen Sie API `DescribeServicesGetAttributeValues`, und zulassen`GetProducts`. Eine Beispielrichtlinie finden Sie unter Finden von Produkten und Preisen.
`purchase-orders:ViewPurchaseOrders`	Erteilt die Erlaubnis, Bestellungen einzusehen. Eine Beispielrichtlinie finden Sie unter Anzeigen und Verwalten von Bestellungen.
`purchase-orders:ModifyPurchaseOrders`	Erteilt die Erlaubnis, Bestellungen zu ändern. Eine Beispielrichtlinie finden Sie unter Anzeigen und Verwalten von Bestellungen.
`tax:GetExemptions`	Erteilt die Berechtigung für den Lesezugriff zum Anzeigen von Ausnahmen und Befreiungsarten in der Steuerkonsole. Eine Beispielrichtlinie finden Sie unter Erlauben Sie IAM Benutzern, US-Steuerbefreiungen einzusehen und zu erstellen AWS Support Koffer.
`tax:UpdateExemptions`	Erteilt die Erlaubnis, eine Steuerbefreiung in die US-Steuerbefreiungskonsole hochzuladen. Eine Beispielrichtlinie finden Sie unter Erlauben Sie IAM Benutzern, US-Steuerbefreiungen einzusehen und zu erstellen AWS Support Koffer.
`support:CreateCase`	Erteilt die Erlaubnis, Support-Anfragen einzureichen, die zum Hochladen der Steuerbefreiung aus der Steuerbefreiungskonsole erforderlich sind. Eine Beispielrichtlinie finden Sie unter Erlauben Sie IAM Benutzern, US-Steuerbefreiungen einzusehen und zu erstellen AWS Support Koffer.
`support:AddAttachmentsToSet`	Erteilt die Erlaubnis, Dokumente an Support-Anfragen anzuhängen, die für das Hochladen von Freistellungsbescheinigungen in die Steuerbefreiungskonsole erforderlich sind. Eine Beispielrichtlinie finden Sie unter Erlauben Sie IAM Benutzern, US-Steuerbefreiungen einzusehen und zu erstellen AWS Support Koffer.
`customer-verification:GetCustomerVerificationEligibility`	(Nur für Kunden mit einer Rechnungs- oder Kontaktadresse in Indien) Erteilt die Erlaubnis, die Kundenbestätigungsberechtigung abzurufen.
`customer-verification:GetCustomerVerificationDetails`	(Nur für Kunden mit einer Rechnungs- oder Kontaktadresse in Indien) Erteilt die Erlaubnis zum Abrufen von Kundenbestätigungsdaten.
`customer-verification:CreateCustomerVerificationDetails`	(Nur für Kunden mit einer Rechnungs- oder Kontaktadresse in Indien) Erteilt die Erlaubnis, Kundenbestätigungsdaten zu erstellen.
`customer-verification:UpdateCustomerVerificationDetails`	(Nur für Kunden mit einer Rechnungs- oder Kontaktadresse in Indien) Erteilt die Erlaubnis, Kundenbestätigungsdaten zu aktualisieren.
`mapcredit:ListAssociatedPrograms`	Erteilt die Erlaubnis, die zugehörigen Dateien einzusehen Migration Acceleration Program Vereinbarungen und Dashboard für das Zahlerkonto.
`mapcredit:ListQuarterSpend`	Erteilt die Erlaubnis zum Einsehen der Migration Acceleration Program berechtigte Ausgaben für das Konto des Zahlers.
`mapcredit:ListQuarterCredits`	Erteilt die Erlaubnis zum Ansehen der Migration Acceleration Program Gutschriften für das Konto des Zahlers.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Wie AWS Die Abrechnung funktioniert mit IAM

AWS Beispiele für Abrechnungsrichtlinien