Benutzern den Zugriff auf die Billing and Cost Management-Konsole verweigern Den Zugriff auf das AWS Konsolen-Widget für Kosten und Nutzung für Mitgliedskonten verweigern Verweigern Sie bestimmten Benutzern und Rollen den Zugriff auf das AWS Konsolen-Widget für Kosten und Nutzung Vollzugriff auf AWS Dienste zulassen, Benutzern jedoch den Zugriff auf die Billing and Cost Management-Konsole verweigern Benutzern den Zugriff auf die Billing and Cost Management-Konsole mit Ausnahme der Kontoeinstellungen ermöglichen Erlauben Sie Benutzern, Rechnungsinformationen zu ändern Erlaubt Benutzern, Budgets zu erstellen Verweigern des Zugriffs auf Kontoeinstellungen, aber vollständigen Zugriff auf alle anderen Fakturierungs- und Nutzungsdaten gewähren Ablegen von Berichten in einem Amazon-S3-Bucket Anzeigen der Kosten und Nutzung AWS Regionen aktivieren und deaktivieren Anzeigen und Aktualisieren der Cost-Explorer-Einstellungen-Seite Anzeigen, Erstellen, Aktualisieren und Löschen über die Berichte-Seite von Cost Explorer Anzeigen, Erstellen, Aktualisieren und Löschen von Reservierungs- und Savings-Plans-Warnungen Erlauben Sie den schreibgeschützten Zugriff auf die Erkennung von AWS Kostenanomalien AWS Budgets die Anwendung IAM von Richtlinien ermöglichen und SCPs AWS Erlaubt Budgets, IAM Richtlinien SCPs EC2 und RDS Zielinstanzen anzuwenden Erlauben Sie Benutzern das Erstellen, Auflisten und Hinzufügen der Nutzung zu Workload-Schätzungen in Pricing Calculator (Vorschau)Ermöglicht Benutzern das Erstellen, Auflisten und Hinzufügen von Nutzungs- und Zahlungsverpflichtungen zu Abrechnungsszenarien im Preisrechner (Vorschau)Erlauben Sie Benutzern, im Preisrechner (Vorschau) einen Kostenvoranschlag zu erstellen Erlauben Sie Benutzern, Einstellungen im Preisrechner (Vorschau) zu erstellen Erlauben Sie Benutzern, benutzerdefinierte Abrechnungsansichten zu erstellen, zu verwalten und zu teilen Erlauben Sie Benutzern den Zugriff auf den Cost Explorer, wenn sie auf eine bestimmte benutzerdefinierte Abrechnungsansicht zugreifen

AWS Politische Beispiele für das Kostenmanagement

Anmerkung

Für die folgenden AWS Identity and Access Management (IAM) Aktionen wurde der Standardsupport im Juli 2023 eingestellt:

Namespace aws-portal
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

Wenn Sie diese Option verwenden AWS Organizations, können Sie die Skripts für die Massenmigration von Richtlinien verwenden, um die Richtlinien von Ihrem Zahlerkonto aus zu aktualisieren. Sie können auch die Referenz zur Zuordnung von Vorgängen zu detaillierten Aktionen verwenden, um zu überprüfen, welche IAM Aktionen hinzugefügt werden müssen.

Weitere Informationen finden Sie im Blog Änderungen an den Berechtigungen für AWS Fakturierung, AWS Kostenmanagement und Kontokonsolen.

Wenn Sie ein am oder nach dem 6. März 2023 AWS-Konto, 11:00 Uhr (PDT) AWS Organizations erstelltes Programm haben oder Teil eines solchen sind, sind die detaillierten Aktionen in Ihrer Organisation bereits wirksam.

Dieses Thema enthält Beispielrichtlinien, die Sie Ihrer IAM Rolle oder Gruppe zuordnen können, um den Zugriff auf die Rechnungsinformationen und Tools Ihres Kontos zu kontrollieren. Die folgenden Grundregeln gelten für IAM Richtlinien für Billing and Cost Management:

Version ist immer 2012-10-17.
Effect ist immer Allow oder Deny.
Action ist der Name der Aktion oder ein Platzhalter (*).

Das Aktionspräfix gilt budgets für AWS Budgets, cur für AWS Kosten- und Nutzungsberichte, aws-portal für AWS Fakturierung oder ce für Cost Explorer.
Resourcesteht immer * für AWS Fakturierung.

Geben Sie für Aktionen, die an einer budget Ressource ausgeführt werden, den Amazon-Ressourcennamen (ARN) für das Budget an.
Es ist möglich, mehrere Anweisungen in einer Richtlinie zu verwenden.

Eine Liste mit Richtlinienbeispielen für die Abrechnungskonsole finden Sie unter Beispiele für Abrechnungsrichtlinien im Billing User Guide.

Anmerkung

Für diese Richtlinien müssen Sie den Benutzerzugriff auf die Billing and Cost Management-Konsole auf der Konsolenseite mit den Kontoeinstellungen aktivieren. Weitere Informationen finden Sie unter Aktivieren des Zugriffs auf die Konsole für Fakturierung und Kostenmanagement.

Themen

Benutzern den Zugriff auf die Billing and Cost Management-Konsole verweigern
Den Zugriff auf das AWS Konsolen-Widget für Kosten und Nutzung für Mitgliedskonten verweigern
Verweigern Sie bestimmten Benutzern und Rollen den Zugriff auf das AWS Konsolen-Widget für Kosten und Nutzung
Vollzugriff auf AWS Dienste zulassen, Benutzern jedoch den Zugriff auf die Billing and Cost Management-Konsole verweigern
Benutzern den Zugriff auf die Billing and Cost Management-Konsole mit Ausnahme der Kontoeinstellungen ermöglichen
Erlauben Sie Benutzern, Rechnungsinformationen zu ändern
Erlaubt Benutzern, Budgets zu erstellen
Verweigern des Zugriffs auf Kontoeinstellungen, aber vollständigen Zugriff auf alle anderen Fakturierungs- und Nutzungsdaten gewähren
Ablegen von Berichten in einem Amazon-S3-Bucket
Anzeigen der Kosten und Nutzung
AWS Regionen aktivieren und deaktivieren
Anzeigen und Aktualisieren der Cost-Explorer-Einstellungen-Seite
Anzeigen, Erstellen, Aktualisieren und Löschen über die Berichte-Seite von Cost Explorer
Anzeigen, Erstellen, Aktualisieren und Löschen von Reservierungs- und Savings-Plans-Warnungen
Erlauben Sie den schreibgeschützten Zugriff auf die Erkennung von AWS Kostenanomalien
AWS Budgets die Anwendung IAM von Richtlinien ermöglichen und SCPs
AWS Erlaubt Budgets, IAM Richtlinien SCPs EC2 und RDS Zielinstanzen anzuwenden
Erlauben Sie Benutzern das Erstellen, Auflisten und Hinzufügen der Nutzung zu Workload-Schätzungen in Pricing Calculator (Vorschau)
Ermöglicht Benutzern das Erstellen, Auflisten und Hinzufügen von Nutzungs- und Zahlungsverpflichtungen zu Abrechnungsszenarien im Preisrechner (Vorschau)
Erlauben Sie Benutzern, im Preisrechner (Vorschau) einen Kostenvoranschlag zu erstellen
Erlauben Sie Benutzern, Einstellungen im Preisrechner (Vorschau) zu erstellen
Erlauben Sie Benutzern, benutzerdefinierte Abrechnungsansichten zu erstellen, zu verwalten und zu teilen
Erlauben Sie Benutzern den Zugriff auf den Cost Explorer, wenn sie auf eine bestimmte benutzerdefinierte Abrechnungsansicht zugreifen

Benutzern den Zugriff auf die Billing and Cost Management-Konsole verweigern

Um einem Benutzer ausdrücklich den Zugriff auf alle Seiten der Billing and Cost Management-Konsole zu verweigern, verwenden Sie eine Richtlinie, die dieser Beispielrichtlinie ähnelt.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "aws-portal:*",
            "Resource": "*"
        }
    ]
}

Um den Zugriff von (verknüpften) Mitgliederkonten auf Preis- und Nutzungsdaten einzuschränken, verwenden Sie Ihr Verwaltungskonto (Zahler), um auf die Registerkarte der Cost-Explorer-Einstellungen zuzugreifen und deaktivieren Sie Linked Account Access (Verknüpfter Kontozugriff). Dadurch wird der Zugriff auf Kosten- und Nutzungsdaten über die Cost Explorer-Konsole (AWS Cost Management), den Cost Explorer und das Kosten- und Nutzungs-Widget der AWS Konsolen-Startseite verweigertAPI, unabhängig davon, welche IAM Aktionen der Benutzer oder die Rolle eines Mitgliedskontos ausführt.

Verweigern Sie bestimmten Benutzern und Rollen den Zugriff auf das AWS Konsolen-Widget für Kosten und Nutzung

Verwenden Sie die unten stehende Berechtigungsrichtlinie, um bestimmten Benutzern und Rollen den Zugriff auf das AWS Konsolen-Widget für Kosten und Nutzung zu verweigern.

Anmerkung

Wenn Sie diese Richtlinie einem Benutzer oder einer Rolle hinzufügen, wird Benutzern der Zugriff auf die Cost Explorer-Konsole (AWS Cost Management) und den Cost Explorer APIs verweigert.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ce:*",
            "Resource": "*"
        }
    ]
}

Vollzugriff auf AWS Dienste zulassen, Benutzern jedoch den Zugriff auf die Billing and Cost Management-Konsole verweigern

Verwenden Sie die folgende Richtlinie, um Benutzern den Zugriff auf alles auf der Billing and Cost Management-Konsole zu verweigern. In diesem Fall sollten Sie den Benutzern auch den Zugriff auf AWS Identity and Access Management (IAM) verweigern, sodass die Benutzer nicht auf die Richtlinien zugreifen können, die den Zugriff auf Abrechnungsinformationen und Tools steuern.

Wichtig

Diese Richtlinie lässt keine Aktionen zu. Verwenden Sie diese Richtlinie in Kombination mit anderen Richtlinien, die bestimmte Aktionen zulassen.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "aws-portal:*",
                "iam:*"
            ],
            "Resource": "*"
        }
    ]
}

Benutzern den Zugriff auf die Billing and Cost Management-Konsole mit Ausnahme der Kontoeinstellungen ermöglichen

Diese Richtlinie bietet Lesezugriff auf alle Elemente der Konsole für Fakturierung und Kostenmanagement, einschließlich der Konsolenseiten Payments Method (Zahlungsweise) und Reports (Berichte), aber verweigert Zugriff auf die Seite Account Settings (Kontoeinstellungen). Dadurch sind Kontopasswort, Kontaktinformationen und Sicherheitsfragen geschützt.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:View*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "aws-portal:*Account",
            "Resource": "*"
        }
    ]
}

Erlauben Sie Benutzern, Rechnungsinformationen zu ändern

Damit Benutzer die Kontoabrechnungsinformationen in der Fakturierungs Billing and Cost Management Kostenmanagement-Konsole ändern können, müssen Sie den Benutzern auch erlauben, Ihre Rechnungsinformationen einzusehen. Das folgende Richtlinienbeispiel ermöglicht es einem Benutzer, die Konsolenseiten „Consolidated Billing“, „Preferences“ und „Credits“ zu ändern. Außerdem kann ein Benutzer die folgenden Seiten der Billing and Cost Management-Konsole aufrufen:

Dashboard
Cost Explorer
Rechnungen
Bestellungen und Rechnungen
Vorauszahlung


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:*Billing",
            "Resource": "*"
        }
    ]
}

Erlaubt Benutzern, Budgets zu erstellen

Damit Benutzer Budgets in der Billing and Cost Management Kostenmanagement-Konsole erstellen können, müssen Sie den Benutzern auch die Möglichkeit geben, Ihre Rechnungsinformationen einzusehen, CloudWatch Alarme zu erstellen und SNS Amazon-Benachrichtigungen zu erstellen. Das folgende Richtlinienbeispiel ermöglicht es einem Benutzer, die Budget-Konsolenseite zu ändern.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1435216493000",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling",
                "aws-portal:ModifyBilling",
                "budgets:ViewBudget",
                "budgets:ModifyBudget"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "Stmt1435216514000",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "Stmt1435216552000",
            "Effect": "Allow",
            "Action": [
                "sns:*"
            ],
            "Resource": [
                "arn:aws:sns:us-east-1::"
            ]
        }
    ]
}

Verweigern des Zugriffs auf Kontoeinstellungen, aber vollständigen Zugriff auf alle anderen Fakturierungs- und Nutzungsdaten gewähren

Um Ihr Kontopasswort, Ihre Kontaktinformationen und Sicherheitsfragen zu schützen, können Sie Benutzern den Zugriff auf die Kontoeinstellungen verweigern und gleichzeitig den vollen Zugriff auf die übrigen Funktionen in der Billing and Cost Management-Konsole aktivieren, wie im folgenden Beispiel gezeigt.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:*Billing",
                "aws-portal:*Usage",
                "aws-portal:*PaymentMethods"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "aws-portal:*Account",
            "Resource": "*"
        }
    ]
}

Ablegen von Berichten in einem Amazon-S3-Bucket

Die folgende Richtlinie ermöglicht es Billing and Cost Management, Ihre detaillierten AWS Rechnungen in einem Amazon S3 S3-Bucket zu speichern, sofern Sie sowohl das AWS Konto als auch den Amazon S3 S3-Bucket besitzen. Beachten Sie, dass diese Richtlinie auf den Amazon S3 S3-Bucket und nicht auf einen Benutzer angewendet werden muss. Das bedeutet, es ist eine ressourcenbasierte Richtlinie, keine benutzerbasierte Richtlinie. Sie sollten -Benutzerzugriff auf den Bucket für -Benutzer verweigern, die keinen Zugriff auf Ihre Rechnungen benötigen.

Ersetzen Sie bucketname durch den Namen von Ihrem Bucket.

Weitere Informationen finden Sie unter Verwenden von Bucket-Richtlinien und Benutzerrichtlinien im Benutzerhandbuch für Amazon Simple Storage.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Principal": {
      "Service": "billingreports.amazonaws.com"
    },
    "Action": [
      "s3:GetBucketAcl",
      "s3:GetBucketPolicy"
    ],
    "Resource": "arn:aws:s3:::bucketname"
  },
  {
    "Effect": "Allow",
    "Principal": {
      "Service": "billingreports.amazonaws.com"
    },
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::bucketname/*"
  }
  ]
}

Anzeigen der Kosten und Nutzung

Um Benutzern die Verwendung des AWS Cost Explorer zu ermöglichenAPI, verwenden Sie die folgende Richtlinie, um ihnen Zugriff zu gewähren.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ce:*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

AWS Regionen aktivieren und deaktivieren

Eine IAM Beispielrichtlinie, die es Benutzern ermöglicht, Regionen zu aktivieren und zu deaktivieren, finden Sie unter AWS: Ermöglicht das Aktivieren und Deaktivieren von AWS Regionen im IAMBenutzerhandbuch.

Anzeigen und Aktualisieren der Cost-Explorer-Einstellungen-Seite

Diese Richtlinie ermöglicht es einem Benutzer, die Einstellungen auf der Cost Explorer Explorer-Einstellungsseite anzuzeigen und zu aktualisieren.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling",
        "ce:UpdatePreferences"
       ],
      "Resource": "*"
    }
  ]
}

Mit der folgenden Richtlinie können Benutzer den Cost Explorer aufrufen, ihnen wird jedoch die Berechtigung zum Anzeigen oder Bearbeiten der Einstellungsseite verweigert.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:GetPreferences",
                "ce:UpdatePreferences"
            ],
            "Resource": "*"
        }
    ]
}

Mit der folgenden Richtlinie können Benutzer den Cost Explorer aufrufen, ihnen wird jedoch die Bearbeitung der Seite „Einstellungen“ verweigert.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:UpdatePreferences"
            ],
            "Resource": "*"
        }
    ]
}

Anzeigen, Erstellen, Aktualisieren und Löschen über die Berichte-Seite von Cost Explorer

Diese Richtlinie ermöglicht es einem Benutzer, die Berichtsseite von Cost Explorer anzuzeigen, zu erstellen, zu aktualisieren und zu löschen.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling",
        "ce:CreateReport",
        "ce:UpdateReport",
        "ce:DeleteReport"
       ],
      "Resource": "*"
    }
  ]
}

Mit der folgenden Richtlinie können Benutzer den Cost Explorer aufrufen, ihnen wird jedoch die Berechtigung zum Anzeigen oder Bearbeiten der Berichtsseite verweigert.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:DescribeReport",
                "ce:CreateReport",
                "ce:UpdateReport",
                "ce:DeleteReport"
            ],
            "Resource": "*"
        }
    ]
}

Die folgende Richtlinie ermöglicht es Benutzern, den Cost Explorer aufzurufen, ihnen jedoch die Berechtigung zum Bearbeiten der Berichtsseite zu verweigern.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action":  
                "ce:CreateReport",
                "ce:UpdateReport",
                "ce:DeleteReport"
            ],
            "Resource": "*"
        }
    ]
}

Anzeigen, Erstellen, Aktualisieren und Löschen von Reservierungs- und Savings-Plans-Warnungen

Diese Richtlinie ermöglicht es Benutzern, Benachrichtigungen über den Ablauf von Reservierungen und Benachrichtigungen über Savings Plans einzusehen, zu erstellen, zu aktualisieren und zu löschen. Um Warnungen zum Ablauf von Reservierungen oder Savings-Plans-Warnungen zu bearbeiten, benötigt ein Benutzer alle drei detaillierten Aktionen: ce:CreateNotificationSubscription, ce:UpdateNotificationSubscription und ce:DeleteNotificationSubscription.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling",
        "ce:CreateNotificationSubscription",
        "ce:UpdateNotificationSubscription",
        "ce:DeleteNotificationSubscription"
       ],
      "Resource": "*"
    }
  ]
}

Die folgende Richtlinie ermöglicht Benutzern das Aufrufen von Cost Explorer, verweigert jedoch die Erlaubnis, die Warnseiten mit Benachrichtigungen zum Ablauf von Reservierungen und Savings Plans anzuzeigen oder zu bearbeiten.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:DescribeNotificationSubscription",
                "ce:CreateNotificationSubscription",
                "ce:UpdateNotificationSubscription",
                "ce:DeleteNotificationSubscription"
            ],
            "Resource": "*"
        }
    ]
}

Die folgende Richtlinie ermöglicht Benutzern das Aufrufen von Cost Explorer, verweigert jedoch die Bearbeitung der Warnseiten für Reservierungsablaufwarnungen und Savings Plans.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:CreateNotificationSubscription",
                "ce:UpdateNotificationSubscription",
                "ce:DeleteNotificationSubscription"
            ],
            "Resource": "*"
        }
    ]
}

Erlauben Sie den schreibgeschützten Zugriff auf die Erkennung von AWS Kostenanomalien

Um Benutzern nur Lesezugriff auf AWS Cost Anomaly Detection zu gewähren, verwenden Sie die folgende Richtlinie, um ihnen Zugriff zu gewähren. ce:ProvideAnomalyFeedbackist im Rahmen des schreibgeschützten Zugriffs optional.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ce:Get*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

AWS Budgets die Anwendung IAM von Richtlinien ermöglichen und SCPs

Diese Richtlinie ermöglicht es AWS Budgets, IAM Richtlinien und Richtlinien zur Servicesteuerung (SCPs) im Namen des Benutzers anzuwenden.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:AttachGroupPolicy",
        "iam:AttachRolePolicy",
        "iam:AttachUserPolicy",
        "iam:DetachGroupPolicy",
        "iam:DetachRolePolicy",
        "iam:DetachUserPolicy",
        "organizations:AttachPolicy",
        "organizations:DetachPolicy"
      ],
      "Resource": "*"
    }
  ]
}

AWS Erlaubt Budgets, IAM Richtlinien SCPs EC2 und RDS Zielinstanzen anzuwenden

Diese Richtlinie ermöglicht es AWS Budgets, IAM Richtlinien und Richtlinien zur Servicekontrolle (SCPs) anzuwenden und Amazon- EC2 und RDS Amazon-Instances im Namen des Benutzers ins Visier zu nehmen.

Vertrauensrichtlinie

Anmerkung

Diese Vertrauensrichtlinie ermöglicht es AWS Budgets, eine Rolle zu übernehmen, die andere Dienste in Ihrem Namen aufrufen kann. Weitere Informationen zu den bewährten Methoden für solche dienstübergreifenden Berechtigungen finden Sie unterServiceübergreifende Confused-Deputy-Prävention.


{
"Version": "2012-10-17",
"Statement": [
  {
    "Effect": "Allow",
    "Principal": {
      "Service": "budgets.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:budgets::123456789012:budget/*"
      },
      "StringEquals": {
        "aws:SourceAccount": "123456789012"
      }
    }
  }
]
}

Berechtigungsrichtlinie


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstanceStatus",
        "ec2:StartInstances",
        "ec2:StopInstances",
        "iam:AttachGroupPolicy",
        "iam:AttachRolePolicy",
        "iam:AttachUserPolicy",
        "iam:DetachGroupPolicy",
        "iam:DetachRolePolicy",
        "iam:DetachUserPolicy",
        "organizations:AttachPolicy",
        "organizations:DetachPolicy",
        "rds:DescribeDBInstances",
        "rds:StartDBInstance",
        "rds:StopDBInstance",
        "ssm:StartAutomationExecution"
      ],
      "Resource": "*"
    }
  ]
}

Erlauben Sie Benutzern das Erstellen, Auflisten und Hinzufügen der Nutzung zu Workload-Schätzungen in Pricing Calculator (Vorschau)

Diese Richtlinie ermöglicht es IAM Benutzern, die Nutzung zu Workload-Schätzungen zu erstellen, aufzulisten und hinzuzufügen. Außerdem sind sie berechtigt, Cost Explorer Explorer-Daten abzufragen, um historische Kosten- und Nutzungsdaten abzurufen.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "WorkloadEstimate",
            "Effect": "Allow",
            "Action": [
                "ce:GetCostCategories",
                "ce:GetDimensionValues",
                "ce:GetCostAndUsage",
                "ce:GetTags",
                "bcm-pricing-calculator:GetWorkloadEstimate",
                "bcm-pricing-calculator:ListWorkloadEstimateUsage",
                "bcm-pricing-calculator:CreateWorkloadEstimate",
                "bcm-pricing-calculator:ListWorkloadEstimates",
                "bcm-pricing-calculator:CreateWorkloadEstimateUsage",
                "bcm-pricing-calculator:UpdateWorkloadEstimateUsage"
            ],
            "Resource": "*"
        }
    ]
}

Ermöglicht Benutzern das Erstellen, Auflisten und Hinzufügen von Nutzungs- und Zahlungsverpflichtungen zu Abrechnungsszenarien im Preisrechner (Vorschau)

Diese Richtlinie ermöglicht es IAM Benutzern, Nutzungen und Verpflichtungen zu Abrechnungsszenarien zu erstellen, aufzulisten und hinzuzufügen. Cost Explorer Explorer-Berechtigungen werden nicht hinzugefügt, sodass Sie keine historischen Daten laden können.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "BillScenario",
            "Effect": "Allow",
            "Action": [
                "bcm-pricing-calculator:CreateBillScenario",
                "bcm-pricing-calculator:GetBillScenario",
                "bcm-pricing-calculator:ListBillScenarios",
                "bcm-pricing-calculator:CreateBillScenarioUsageModification", 
                "bcm-pricing-calculator:UpdateBillScenarioUsageModification",  
                "bcm-pricing-calculator:ListBillScenarioUsageModifications",
                  
                "bcm-pricing-calculator:ListBillScenarioCommitmentModifications"
            ],
            "Resource": "*"
        }
    ]
}

Erlauben Sie Benutzern, im Preisrechner (Vorschau) einen Kostenvoranschlag zu erstellen

Diese Richtlinie ermöglicht es IAM Benutzern, einen Rechnungsvoranschlag zu erstellen und Einzelposten für den Rechnungsvoranschlag aufzulisten.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "BillEstimate",
            "Effect": "Allow",
            "Action": [
                "bcm-pricing-calculator:CreateBillEstimate",
                "bcm-pricing-calculator:GetBillEstimate",
                "bcm-pricing-calculator:UpdateBillEstimate",
                "bcm-pricing-calculator:ListBillEstimates",
                "bcm-pricing-calculator:ListBillEstimateLineItems",
                "bcm-pricing-calculator:ListBillEstimateCommitments",
                "bcm-pricing-calculator:ListBillEstimateInputUsageModifications",
                "bcm-pricing-calculator:ListBillEstimateInputCommitmentModifications"
            ],
            "Resource": "*"
        }
    ]
}

Erlauben Sie Benutzern, Einstellungen im Preisrechner (Vorschau) zu erstellen

Diese Richtlinie ermöglicht es IAM Benutzern, Preispräferenzen zu erstellen und abzurufen.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RatePreferences",
            "Effect": "Allow",
            "Action": [
                "bcm-pricing-calculator:GetPreferences",
                "bcm-pricing-calculator:UpdatePreferences"
            ],
            "Resource": "*"
        }
    ]
}

Erlauben Sie Benutzern, benutzerdefinierte Abrechnungsansichten zu erstellen, zu verwalten und zu teilen

Diese Richtlinie ermöglicht es IAM Benutzern, benutzerdefinierte Abrechnungsansichten zu erstellen, zu verwalten und zu teilen. Sie müssen in der Lage sein, benutzerdefinierte Abrechnungsansichten mithilfe der Abrechnungsansicht zu erstellen und zu verwalten und Ressourcenfreigaben mithilfe AWS von Resource Access Manager (AWS RAM) zu erstellen und zuzuordnen.


{
   "Version": "2012-10-17",
   "Statement": [
        {
           "Effect": "Allow",
           "Action": [
               "billing:CreateBillingView",
               "billing:UpdateBillingView",
               "billing:DeleteBillingView",
               "billing:GetBillingView",
               "billing:ListBillingViews",
               "billing:ListTagsForResource",
               "billing:PutResourcePolicy",
               "ce:GetCostAndUsage",
               "ce:GetTags",
               "organizations:ListAccounts",
               "ram:ListResources",
               "ram:ListPermissions",
               "ram:CreateResourceShare",
               "ram:AssociateResourceShare",
               "ram:GetResourceShares",
               "ram:GetResourceShareAssociations",
               "ram:ListResourceSharePermissions",
               "ram:ListResourceTypes",
               "ram:ListPrincipals",
               "ram:DisassociateResourceShare"
           ],
           "Resource": "*"
       }
   ]
}

Erlauben Sie Benutzern den Zugriff auf den Cost Explorer, wenn sie auf eine bestimmte benutzerdefinierte Abrechnungsansicht zugreifen

Diese Richtlinie ermöglicht IAM Benutzern den Zugriff auf den Cost Explorer, wenn sie auf eine bestimmte benutzerdefinierte Abrechnungsansicht (custom-1a2b3c4d) zugreifen. 123456789012Ersetzen Sie es durch die 12-stellige AWS Konto-ID und 1a2b3c4d durch die eindeutige Kennung der benutzerdefinierten Abrechnungsansicht.


{
   "Version": "2012-10-17",
   "Statement": [
       {
           "Effect": "Allow",
           "Action": [
               "ce:GetDimensionValues",
               "ce:GetCostAndUsageWithResources",
               "ce:GetCostAndUsage",
               "ce:GetCostForecast",
               "ce:GetTags",
               "ce:GetUsageForecast",
               "ce:GetCostCategories"
           ],
           "Resource": [
               "arn:aws:billing::123456789012:billingview/custom-1a2b3c4d"
           ]
       },
       {
           "Effect": "Allow",
           "Action": [
               "billing:ListBillingViews",
               "billing:GetBillingView"
           ],
           "Resource": "*"
       }
   ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verwenden von IAM Richtlinien für AWS das Kostenmanagement

Migration der Zugriffskontrolle