Migración del control de acceso para AWS Billing

nota

Las siguientes AWS Identity and Access Management (IAM) acciones finalizaron el soporte estándar en julio de 2023:

espacio de nombres aws-portal
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

Si lo estás utilizando AWS Organizations, puedes usar los scripts de migración masiva de políticas o el migrador masivo de políticas para actualizar las políticas desde tu cuenta de pagador. También puedes usar la referencia de mapeo de acciones antigua o granular para verificar las IAM acciones que se deben agregar.

Si tienes una Cuenta de AWS o formas parte de una AWS Organizations creada el 6 de marzo de 2023, o después de esa fecha, a las 11:00 a. m. (PDT), las acciones detalladas ya están en vigor en tu organización.

Puede utilizar controles de acceso detallados para proporcionar a las personas de su organización acceso a los servicios. AWS Billing and Cost Management Por ejemplo, puede proporcionar acceso al Explorador de costos sin proporcionar acceso a la consola de Administración de facturación y costos.

Para utilizar los controles de acceso detallados, tendrás que migrar tus políticas de abajo a las nuevas acciones. aws-portal IAM

Las siguientes IAM acciones de tus políticas de permisos o políticas de control de servicios (SCP) deberán actualizarse con esta migración:

aws-portal:ViewAccount
aws-portal:ViewBilling
aws-portal:ViewPaymentMethods
aws-portal:ViewUsage
aws-portal:ModifyAccount
aws-portal:ModifyBilling
aws-portal:ModifyPaymentMethods
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

Para obtener información sobre cómo utilizar la herramienta Políticas afectadas para identificar IAM las políticas afectadas, consulteCómo usar la herramienta de políticas afectadas.

nota

APIel acceso a AWS Cost Explorer los informes de AWS costos y uso y AWS los presupuestos no se ven afectados.

Activación del acceso a la consola de Administración de facturación y costos permanecen sin cambios.

Temas

Administración de permisos de acceso

AWS Billing se integra con el servicio AWS Identity and Access Management (IAM) para que pueda controlar qué miembros de su organización pueden acceder a páginas específicas de la consola de Billing and Cost Management. Esto incluye características como Pagos, Facturación, Créditos, Nivel gratuito, Preferencias de pago, Facturación consolidada, Configuración de impuestos y Páginas de cuenta.

Utilice los siguientes IAM permisos para un control detallado de la consola Billing and Cost Management.

Para proporcionar un acceso detallado, sustituya la política de aws-portal por account, billing, payments, freetier, invoicing, tax, y consolidatedbilling.

Además, reemplace purchase-orders:ViewPurchaseOrders y purchase-orders:ModifyPurchaseOrders por las acciones detalladas que aparecen en purchase-orders, account y payments.

Uso de acciones detalladas AWS Billing

En esta tabla se resumen los permisos que permiten o deniegan a IAM los usuarios y roles el acceso a tu información de facturación. Para ver ejemplos de políticas que utilizan estos permisos, consulte AWS Ejemplos de políticas de facturación.

Para obtener una lista de las acciones de la AWS Cost Management consola, consulte AWS Cost Management las políticas de acciones en la Guía del AWS Cost Management usuario.

Nombre de característica en la consola de Administración de facturación y costos	Acción de IAM	Descripción
Página de inicio de facturación	`account:GetAccountInformation` `billing:Get` `payments:List` `tax:List*`	Concede permiso para ver la página de Inicio. Estos son permisos de solo lectura. nota Estos son permisos solo para la consola. No hay API acceso disponible para estos permisos.
Facturas	`account:GetAccountInformation` `billing:Get` `consolidatedbilling:Get` `consolidatedbilling:List` `invoicing:List` `payments:List*`	Concede permiso para ver la página Facturas. Estos son permisos de solo lectura. nota Estos son permisos solo para la consola. No hay API acceso disponible para estos permisos.
	`invoicing:Get*`	Concede permiso para descargar facturas desde la página Facturas. nota Este es un permiso solo para la consola. No hay API acceso disponible para este permiso.
	`cur:Get*`	Otorga permiso para descargar CSV informes de la página de proyectos de ley. nota Este es un permiso solo para la consola. No hay API acceso disponible para este permiso.
	`billing:ListBillingViews`	Otorga permiso para ver la descripción `ARN` y la descripción de cada grupo de AWS Billing Conductor facturación creado. Esto es necesario para crear una preferencia de informe para grupos específicos. nota Este es un permiso solo para la consola. No hay API acceso disponible para este permiso.
Pagos	`account:GetAccountInformation` `billing:Get` `payments:Get` `payments:List*`	Concede permiso para ver la página Pagos. Estos son permisos de solo lectura para las pestañas Pagos pendientes, Fondos no aplicados, Transacción y Pago por adelantado. nota Estos son permisos solo para la consola. No hay API acceso disponible para estos permisos.
	`invoicing:Get*`	Concede permiso para descargar una factura desde la pestaña Transacciones. nota Este es un permiso solo para la consola. No hay API acceso disponible para este permiso.
	`payments:Update*`	Concede acciones de permiso requeridas para usar el Pago por adelantado y configurar los detalles de pago.
	`payments:Make` `invoicing:Get`	Concede permiso para generar un documento de solicitud de fondos para el Pago por adelantado y realizar un pago.
Créditos	`billing:Get*` `account:GetAccountInformation`	Concede permiso para ver la página Créditos.
Créditos	`billing:RedeemCredits`	Concede permiso para canjear créditos.
Órdenes de compra	`account:GetAccountInformation` `account:GetContactInformation` `payments:Get` `payments:List` `purchase-orders:ListPurchaseOrders` `purchase-orders:ListPurchaseOrderInvoices` `tax:ListTaxRegistrations` `consolidatedbilling:GetAccountBillingRole`	Concede permiso para ver la página Órdenes de compra.
	`purchase-orders:GetPurchaseOrder`	Concede permiso para ver las órdenes de compra y los detalles.
	`purchase-orders:AddPurchaseOrder`	Concede permiso para agregar una orden de compra.
	`purchase-orders:DeletePurchaseOrder`	Concede permiso para eliminar una orden de compra.
	`purchase-orders:UpdatePurchaseOrder` `purchase-orders:UpdatePurchaseOrderStatus`	Concede permiso para actualizar las órdenes de compra y el estado de las órdenes de compra.
AWS Informes de uso y costo	`cur:GetClassic*` `cur:DescribeReportDefinitions`	Otorga permiso para ver una lista de AWS CUR informes en la página de informes de AWS costos y uso. nota `cur:GetClassic*` es un permiso solo para la consola. No hay API acceso disponible para este permiso.
	`billing:ListBillingViews`	Otorga permiso para ver la descripción `ARN` y la descripción de cada grupo de facturación creado en AWS Billing Conductor. Esto es necesario para crear una preferencia de informe para grupos específicos. nota Este es un permiso solo para la consola. No hay API acceso disponible para este permiso.
	`s3:ListAllMyBuckets` `s3:CreateBucket` `s3:PutBucketPolicy` `s3:GetBucketLocation` `cur:Validate*` `cur:PutReportDefinition`	Otorga el permiso a las acciones necesarias para crear un nuevo AWS CUR informe. nota `cur:Validate*` es un permiso solo para la consola. No hay API acceso disponible para estos permisos.
	`cur:Validate*` `s3:CreateBucket` `s3:ListAllMyBuckets` `s3:PutBucketPolicy` `s3:GetBucketLocation` `cur:ModifyReportDefinition`	Otorga permiso para editar AWS CUR la definición. nota `cur:Validate*` es un permiso solo para la consola. No hay API acceso disponible para estos permisos.
	`cur:DeleteReportDefinition`	Otorga permiso para eliminar AWS CUR informes.
	`cur:GetUsage*`	Concede permiso para descargar los informes de uso.
	`sustainability:GetCarbonFootprintSummary`	Concede permiso para ver los datos de sostenibilidad de su Cuenta de AWS.
Categorías de costos	`account:GetAccountInformation` `ce:ListCostCategoryDefinitions` `ce:DescribeCostCategoryDefinition` `ce:GetCostAndUsage` `ce:ListTagsForResource` `consolidatedbilling:GetAccountBillingRole`	Concede permiso para ver las categorías de costos. nota `account:GetAccountInformation` es un permiso solo para la consola. No hay API acceso disponible para estos permisos.
	`billing:Get` `ce:TagResource` `ce:ListCostAllocationTags` `consolidatedbilling:List` `ce:CreateCostCategoryDefinition` `pricing:DescribeServices` `ce:GetDimensionValues` `ce:GetTags`	Concede permiso para crear las categorías de costos. nota `billing:Get` y `consolidatedbilling:List` es un permiso solo para la consola. No hay API acceso disponible para estos permisos.
	`ce:UpdateCostCategoryDefinition` `ce:UntagResource`	Concede permiso para modificar las categorías de costos.
	`ce:DeleteCostCategoryDefinition`	Concede permiso para eliminar las categorías de costos.
Etiquetas de asignación de costos	`account:GetAccountInformation` `ce:ListCostAllocationTags` `consolidatedbilling:GetAccountBillingRole`	Concede permiso para consultar las etiquetas para la asignación de costos.
Etiquetas de asignación de costos	`ce:UpdateCostAllocationTagsStatus`	Concede permiso para activar o desactivar las etiquetas de asignación de costos.
AWS Budgets	`budgets:ViewBudget` `budgets:DescribeBudgetActionsForBudget` `budgets:DescribeBudgetAction` `budgets:DescribeBudgetActionsForAccount` `budgets:DescribeBudgetActionHistories`	Concede permiso para ver la página Presupuestos.
AWS Budgets	`budgets:CreateBudgetAction` `budgets:ExecuteBudgetAction` `budgets:DeleteBudgetAction` `budgets:UpdateBudgetAction` `budgets:ModifyBudget`	Concede permiso para crear, eliminar y modificar los Presupuestos y las Acciones presupuestarias.
Nivel gratuito	`billing:Get` `freetier:Get`	Concede permiso para consultar los límites de uso del nivel gratuito y el estado de uso del mes hasta la fecha.
Preferencias de facturación	`account:GetAccountInformation` `billing:Get` `consolidatedbilling:Get` `consolidatedbilling:List` `cur:GetClassic` `cur:Validate` `freetier:Get` `invoicing:Get*`	Concede acciones de permiso requeridas para ver todas las secciones en la página Preferencias de facturación. nota Estos son permisos solo para la consola. No hay API acceso disponible para estos permisos.
Preferencias de facturación	`billing:Update` `freetier:Put` `cur:PutClassic` `s3:ListAllMyBuckets` `s3:CreateBucket` `s3:PutBucketPolicy` `s3:GetBucketLocation` `invoicing:Put`	Concede permiso para realizar los siguientes cambios en la página Preferencias de facturación: Activar o desactivar el crédito compartido con RI o el descuento compartido de Savings Plans Defina las preferencias de alerta de uso de nivel gratuito Establezca configuraciones y preferencias de entrega de informes de facturación detallados Configure o actualice la PDFfactura mediante las preferencias de correo electrónico nota `billing:Update`, `freetier:Put`, `cur:PutClassic*` son permisos solo para la consola. No hay API acceso disponible para estos permisos.
Preferencias de pago	`account:GetAccountInformation` `billing:Get` `payments:GetPaymentInstrument` `payments:List` `payments:GetPaymentStatus`	Concede permiso para consultar la página Preferencias de pago. nota Estos son permisos solo para la consola. No hay API acceso disponible para estos permisos.
	`payments:Update` `payments:Make` `payments:CreatePaymentInstrument` `payments:DeletePaymentInstrument`	Concede permiso para crear o actualizar métodos de pago. nota `payments:Make*`solo es obligatorio si una tarjeta de pago requiere una autenticación multifactorial (MFA).
	`tax:PutTaxRegistration` `tax:Delete*` `payments:UpdatePaymentPreferences` `payments:CreatePaymentInstrument`	Concede permiso para actualizar o eliminar los números de registro fiscal.
	`payments:Update*`	Concede permiso para actualizar los perfiles de pago. nota Este es un permiso solo para la consola. No hay API acceso disponible para este permiso.
Configuración fiscal	`tax:List` `tax:Get`	Concede permiso para ver la configuración fiscal.
	`tax:BatchPut*`	Concede acciones de permiso requeridas para actualizar la configuración fiscal.
	`tax:Put*`	Concede permiso para establecer la herencia fiscal.
	`tax:UpdateExemptions` `support:CreateCase` `support:AddAttachmentsToSet`	Concede permiso para actualizar las exenciones fiscales.
Cuenta	`account:Get` `account:List` `billing:Get` `payments:List`	Concede permiso para consultar la Configuración de cuenta. nota `billing:Get*` es un permiso solo para la consola. No hay API acceso disponible para este permiso.
	`account:CloseAccount`	Concede permiso para cerrar Cuentas de AWS. nota Este es un permiso solo para la consola. No hay API acceso disponible para este permiso.
	`account:DisableRegion`	Otorga permiso para desactivar una AWS región en la página de la cuenta.
	`account:EnableRegion`	Otorga permiso para activar una AWS región en la página de la cuenta.
	`account:PutAlternateContact`	Concede permiso para escribir contactos alternativos de la cuenta.
	`account:PutChallengeQuestions`	Concede permiso para configurar las preguntas de desafío de la cuenta. nota Este permiso es solo para la consola. No hay API acceso disponible para este permiso.
	`account:PutContactInformation`	Concede las acciones de permiso requeridas para configurar o escribir la información de contacto principal, incluida la dirección, para la cuenta.
	`billing:PutContractInformation`	Concede permiso para configurar la información del contrato de la cuenta, si la cuenta se utiliza para atender a clientes del sector público. La información que se puede extraer incluye nombres de organizaciones de usuarios finales, número de contrato y números de orden de compra. nota Este permiso es solo para la consola. No hay API acceso disponible para este permiso.
	`billing:Update*`	Otorga el permiso necesario para activar o desactivar la configuración de activación del IAM acceso en la página de la cuenta.
	`payments:Update*`	Concede permiso para establecer el pago por adelantado, la preferencia de moneda, los detalles y la dirección de contacto de facturación y los términos y condiciones de pago.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

AWS Ejemplos de políticas de facturación

Migración masiva de políticas