Política basada en la identidad con facturación AWS

De forma predeterminada, los usuarios y roles no tienen permiso para crear ni modificar recursos de facturación. Tampoco pueden realizar tareas mediante la AWS Management Console, AWS Command Line Interface (AWS CLI) o AWS la API. Un administrador de IAM puedes crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan. A continuación, el administrador puedes añadir las políticas de IAM a roles y los usuarios puedes asumirlos.

Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte Creación de políticas de IAM (consola) en la Guía del usuario de IAM.

Para obtener más información sobre las acciones y los tipos de recursos definidos por Billing, incluido el ARNs formato de cada uno de los tipos de recursos, consulte Acciones, recursos y claves de condición de la AWS facturación en la Referencia de autorización de servicios.

Contenido

Prácticas recomendadas sobre las políticas

Las políticas basadas en identidades determinan si alguien puede crear, acceder o eliminar los recursos de facturación de la cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:

Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las políticas AWS administradas que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulta las políticas administradas por AWS o las políticas administradas por AWS para funciones de tarea en la Guía de usuario de IAM.
Aplique permisos de privilegio mínimo: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se puedes llevar a cabo en determinados recursos en condiciones específicas, también conocidos como permisos de privilegios mínimos. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulta Políticas y permisos en IAM en la Guía del usuario de IAM.
Utiliza condiciones en las políticas de IAM para restringir aún más el acceso: puedes agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puedes escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo AWS CloudFormation. Para obtener más información, consulta Elementos de la política de JSON de IAM: Condición en la Guía del usuario de IAM.
Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte Validación de políticas con el Analizador de acceso de IAM en la Guía del usuario de IAM.
Requerir autenticación multifactor (MFA): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte Acceso seguro a la API con MFA en la Guía del usuario de IAM.

Para obtener más información sobre las prácticas recomendadas de IAM, consulte Prácticas recomendadas de seguridad en IAM en la Guía del usuario de IAM.

Uso de la consola de facturación

Para acceder a la consola AWS de facturación, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los recursos de facturación de su cuenta Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.

No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas a la API AWS CLI o a la AWS API. En su lugar, permite el acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar.

En la sección encontrarás información sobre el acceso, como los permisos necesarios para activar la consola de AWS facturación, el acceso de administrador y el AWS políticas gestionadas acceso de solo lectura.

Cómo permitir a los usuarios consultar sus propios permisos

En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas gestionadas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API o. AWS CLI AWS


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Uso de políticas basadas en identidad para facturación

nota

Las siguientes acciones AWS Identity and Access Management (IAM) finalizaron el soporte estándar en julio de 2023:

espacio de nombres aws-portal
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

Si las utilizas AWS Organizations, puedes usar los scripts de migración masiva de políticas o el migrador masivo de políticas para actualizar las políticas desde tu cuenta de pagador. También puede utilizar la referencia de mapeo de acciones de antigua a granular para verificar las acciones de IAM que deben agregarse.

Si tienes una Cuenta de AWS o formas parte de una AWS Organizations creada el 6 de marzo de 2023 o después de esa fecha, a las 11:00 a. m. (PDT), las acciones detalladas ya están en vigor en tu organización.

importante

Además de las políticas de IAM, debe conceder acceso de IAM a la consola de facturación y administración de costos en la página de la consola Configuración de la cuenta.

Para obtener más información, consulte los temas siguientes:

Activación del acceso a la consola de Administración de facturación y costos
Tutorial de IAM: Conceder acceso a la consola de facturación en la Guía del usuario de IAM

Utilice esta sección para ver cómo el administrador de una cuenta de políticas basadas en identidades puede adjuntar políticas de permisos a identidades de IAM (es decir, grupos y roles) y conceder permisos para realizar operaciones en recursos de facturación.

Para obtener más información sobre los usuarios Cuentas de AWS y usuarios, consulte ¿Qué es la IAM? en la Guía del usuario de IAM.

Para obtener más información acerca de cómo actualizar las políticas administradas por el cliente, consulte Edición de políticas administradas por el cliente (consola) en la Guía del usuario de IAM.

AWS Acciones de la consola de facturación

En la siguiente tabla se resumen los permisos que utiliza para conceder a los usuarios el acceso a las herramientas y la información de la consola de facturación. Para ver ejemplos de políticas que utilizan estos permisos, consulte AWS Ejemplos de políticas de facturación.

Para obtener una lista de las políticas de acciones de la consola de administración de AWS costos, consulte AWS las políticas de acciones de administración de AWS costos en la Guía del usuario de administración de costos.

Nombre del permiso	Descripción
`aws-portal:ViewBilling`	Concede permiso para ver páginas de la consola de Administración de facturación y costos.
`aws-portal:ModifyBilling`	Concede permisos a los usuarios para modificar las siguientes páginas de la consola Administración de facturación y costos: Presupuestos Facturación unificada Preferencias de facturación Créditos Configuración fiscal Métodos de pago Órdenes de compra Etiquetas de asignación de costos Para permitir a los usuarios de IAM que modifiquen estas páginas de la consola, debe conceder los permisos `ModifyBilling` y `ViewBilling`. Para ver una política de ejemplo, consulte Permitir a los usuarios de IAM modificar la información de facturación.
`aws-portal:ViewAccount`	Concede permiso para consultar la configuración de cuenta.
`aws-portal:ModifyAccount`	Concede permiso para modificar la configuración de cuenta. Para permitir a los usuarios de IAM que modifiquen la configuración de la cuenta, debe conceder los permisos `ModifyAccount` y `ViewAccount`. Para ver un ejemplo de una política que deniega de forma explícita a un usuario de IAM el acceso a la página de la consola Configuración de la cuenta, consulte Cómo denegar el acceso a la configuración de la cuenta, pero permitir el acceso completo al resto de la información de facturación y de uso.
`aws-portal:ViewPaymentMethods`	Concede permiso para consultar los métodos de pago.
`aws-portal:ModifyPaymentMethods`	Concede permiso para modificar los métodos de pago. Para permitir a los usuarios modificar los métodos de pago, debe conceder los permisos `ModifyPaymentMethods` y `ViewPaymentMethods`.
`billing:ListBillingViews`	Otorga permiso para obtener una lista de las vistas de facturación disponibles. Esto incluye las vistas de facturación personalizadas y las vistas de facturación correspondientes a los grupos de facturación proforma. Para obtener más información sobre las vistas de facturación personalizadas, consulte Controlar el acceso a los datos de gestión de costes con la vista de facturación. Para obtener más información acerca de la visualización de los detalles sobre el grupo de facturación, consulte Visualización de los detalles del grupo de facturación en la Guía del usuario de AWS .
`billing:CreateBillingView`	Otorga permiso para crear vistas de facturación personalizadas. Para ver un ejemplo de política, consulte Permitir a los usuarios crear, administrar y compartir vistas de facturación personalizadas.
`billing:UpdateBillingView`	Otorga permiso para actualizar las vistas de facturación personalizadas. Para ver un ejemplo de política, consulte Permitir a los usuarios crear, administrar y compartir vistas de facturación personalizadas.
`billing:DeleteBillingView`	Otorga permiso para eliminar las vistas de facturación personalizadas. Para ver un ejemplo de política, consulte Permitir a los usuarios crear, administrar y compartir vistas de facturación personalizadas.
`billing:GetBillingView`	Otorga permiso para obtener la definición de las vistas de facturación. Para ver un ejemplo de política, consulte Permitir a los usuarios crear, administrar y compartir vistas de facturación personalizadas.
`sustainability:GetCarbonFootprintSummary`	Otorga permiso para ver la herramienta y los datos sobre la huella de carbono del AWS cliente. Se puede acceder a ella desde la página Informes de AWS costes y uso de la consola Billing and Cost Management. Para ver un ejemplo de una política, consulte Permite a los usuarios de IAM ver la información de facturación y el informe de la huella de carbono.
`cur:DescribeReportDefinitions`	Otorga permiso para ver los informes de AWS costos y uso. AWS Los permisos de informes de costo y uso se aplican a todos los informes que se crean mediante la API del servicio de informes de AWS costo y uso y la consola Billing and Cost Management. Si crea informes mediante la consola de Administración de facturación y costos, recomendamos que actualice los permisos para los usuarios de IAM. En caso contrario, los usuarios perderán el acceso para ver, editar y eliminar informes en la página de informes de la consola. Para ver un ejemplo de una política, consulte Permitir a los usuarios de IAM acceder a la página de la consola de informes.
`cur:PutReportDefinition`	Otorga permiso para crear informes de AWS costos y uso. AWS Los permisos de informes de costo y uso se aplican a todos los informes que se crean mediante la API del servicio de informes de AWS costo y uso y la consola Billing and Cost Management. Si crea informes mediante la consola de Administración de facturación y costos, recomendamos que actualice los permisos para los usuarios de IAM. En caso contrario, los usuarios perderán el acceso para ver, editar y eliminar informes en la página de informes de la consola. Para ver un ejemplo de una política, consulte Permitir a los usuarios de IAM acceder a la página de la consola de informes.
`cur:DeleteReportDefinition`	Otorga permiso para eliminar los informes de AWS costos y uso. AWS Los permisos de informes de costo y uso se aplican a todos los informes que se crean mediante la API del servicio de informes de AWS costo y uso y la consola Billing and Cost Management. Si crea informes mediante la consola de Administración de facturación y costos, recomendamos que actualice los permisos para los usuarios de IAM. En caso contrario, los usuarios perderán el acceso para ver, editar y eliminar informes en la página de informes de la consola. Para ver un ejemplo de una política, consulte Crear, ver, editar o eliminar AWS Cost and Usage Reports.
`cur:ModifyReportDefinition`	Otorga permiso para modificar los informes de AWS costos y uso. AWS Los permisos de informes de costo y uso se aplican a todos los informes que se crean mediante la API del servicio de informes de AWS costo y uso y la consola Billing and Cost Management. Si crea informes mediante la consola de Administración de facturación y costos, recomendamos que actualice los permisos para los usuarios de IAM. En caso contrario, los usuarios perderán el acceso para ver, editar y eliminar informes en la página de informes de la consola. Para ver un ejemplo de una política, consulte Crear, ver, editar o eliminar AWS Cost and Usage Reports.
`ce:CreateCostCategoryDefinition`	Concede permisos para crear las categorías de costos. Para ver una política de ejemplo, consulte Ver y administrar categorías de costos.
`ce:DeleteCostCategoryDefinition`	Concede permisos para eliminar las categorías de costos. Para ver una política de ejemplo, consulte Ver y administrar categorías de costos.
`ce:DescribeCostCategoryDefinition`	Concede permisos para ver las categorías de costos. Para ver una política de ejemplo, consulte Ver y administrar categorías de costos.
`ce:ListCostCategoryDefinitions`	Concede permisos para enumerar las categorías de costos. Para ver una política de ejemplo, consulte Ver y administrar categorías de costos.
`ce:UpdateCostCategoryDefinition`	Concede permisos para actualizar las categorías de costos. Para ver una política de ejemplo, consulte Ver y administrar categorías de costos.
`aws-portal:ViewUsage`	Otorga permiso para ver los informes AWS de uso. Para permitir a los usuarios de IAM; ver informes de uso, debe conceder los permisos `ViewUsage` y `ViewBilling`. Para ver una política de ejemplo, consulte Permitir a los usuarios de IAM acceder a la página de la consola de informes.
`payments:AcceptFinancingApplicationTerms`	Permite a los usuarios de IAM aceptar las condiciones establecidas por el prestamista financiero. Los usuarios deben proporcionar los detalles de su cuenta bancaria para el reembolso y firmar los documentos legales proporcionados por el prestamista.
`payments:CreateFinancingApplication`	Permite a los usuarios de IAM solicitar un nuevo préstamo financiero y consultar la opción de financiación elegida.
`payments:GetFinancingApplication`	Permite a los usuarios de IAM recuperar los detalles de una solicitud de financiación. Por ejemplo, el estado, los límites, las condiciones y la información sobre el prestamista.
`payments:GetFinancingLine`	Permite a los usuarios de IAM recuperar los detalles de un préstamo de financiación. Por ejemplo, el estado y los saldos.
`payments:GetFinancingLineWithdrawal`	Permite a los usuarios de IAM recuperar los detalles de la retirada. Por ejemplo, saldos y reembolsos.
`payments:GetFinancingOption`	Permite a los usuarios de IAM recuperar los detalles de una opción de financiación específica.
`payments:ListFinancingApplications`	Permite a los usuarios de IAM recuperar los identificadores de todas las solicitudes de financiación de todos los prestamistas.
`payments:ListFinancingLines`	Permite a los usuarios de IAM recuperar los identificadores de todos los préstamos de financiación de todos los prestamistas.
`payments:ListFinancingLineWithdrawals`	Permite a los usuarios de IAM recuperar todos los retiros existentes de un préstamo determinado.
`payments:ListTagsForResource`	Concede o deniega permisos a los usuarios de IAM para ver las etiquetas de un método de pago.
`payments:TagResource`	Concede o deniega permisos a los usuarios de IAM para añadir las etiquetas de un método de pago.
`payments:UntagResource`	Concede o deniega permisos a los usuarios de IAM para quitar las etiquetas de un método de pago.
`payments:UpdateFinancingApplication`	Permite a los usuarios de IAM cambiar una solicitud de financiación y enviar la información adicional solicitada por el prestamista.
`payments:ListPaymentInstruments`	Concede o deniega permisos a los usuarios de IAM para enumerar los métodos de pago registrados.
`payments:UpdatePaymentInstrument`	Concede o deniega permisos a los usuarios de IAM para actualizar los métodos de pago.
`pricing:DescribeServices`	Otorga permiso para ver los AWS servicios, los productos y los precios a través de la API del servicio AWS Price List. Para permitir que los usuarios de IAM utilicen la API del servicio AWS Price List, debes permitir `DescribeServicesGetAttributeValues`, y`GetProducts`. Para ver una política de ejemplo, consulte Buscar productos y precios.
`pricing:GetAttributeValues`	Otorga permiso para ver los productos AWS de servicio y los precios a través de la API del servicio AWS Price List. Para permitir que los usuarios de IAM utilicen la API del servicio AWS Price List, debes permitir `DescribeServicesGetAttributeValues`, y`GetProducts`. Para ver una política de ejemplo, consulte Buscar productos y precios.
`pricing:GetProducts`	Otorga permiso para ver los productos AWS de servicio y los precios a través de la API del servicio AWS Price List. Para permitir que los usuarios de IAM utilicen la API del servicio AWS Price List, debes permitir `DescribeServicesGetAttributeValues`, y`GetProducts`. Para ver una política de ejemplo, consulte Buscar productos y precios.
`purchase-orders:ViewPurchaseOrders`	Concede permiso para ver las órdenes de compra. Para ver una política de ejemplo, consulte Ver y administrar órdenes de compra.
`purchase-orders:ModifyPurchaseOrders`	Concede permiso para modificar las órdenes de compra. Para ver una política de ejemplo, consulte Ver y administrar órdenes de compra.
`tax:GetExemptions`	Concede permisos de acceso de solo lectura para ver la consola de exenciones y tipos de exenciones por impuesto. Para ver una política de ejemplo, consulte Permite a los usuarios de IAM consultar las exenciones fiscales de EE. UU. y crear casos Support.
`tax:UpdateExemptions`	Concede permiso a los usuarios de IAM para cargar una exención en la consola de exenciones fiscales de EE. UU. Para ver una política de ejemplo, consulte Permite a los usuarios de IAM consultar las exenciones fiscales de EE. UU. y crear casos Support.
`support:CreateCase`	Concede permiso a los usuarios de IAM para presentar casos de asistencia necesarios para cargar exenciones desde la consola de exenciones fiscales. Para ver una política de ejemplo, consulte Permite a los usuarios de IAM consultar las exenciones fiscales de EE. UU. y crear casos Support.
`support:AddAttachmentsToSet`	Concede permiso a los usuarios de IAM para adjuntar documentos a los casos de soporte necesarios para cargar certificados de exención en la consola de exención fiscal. Para ver una política de ejemplo, consulte Permite a los usuarios de IAM consultar las exenciones fiscales de EE. UU. y crear casos Support.
`customer-verification:GetCustomerVerificationEligibility`	(Solo para clientes con una dirección de facturación o de contacto en la India) Concede permiso para recuperar la elegibilidad de verificación de clientes.
`customer-verification:GetCustomerVerificationDetails`	(Solo para clientes con una dirección de facturación o de contacto en la India) Concede permiso para recuperar datos de verificación de clientes.
`customer-verification:CreateCustomerVerificationDetails`	(Solo para clientes con una dirección de facturación o de contacto en la India) Concede permiso para crear datos de verificación de clientes.
`customer-verification:UpdateCustomerVerificationDetails`	(Solo para clientes con una dirección de facturación o de contacto en la India) Concede permiso para actualizar datos de verificación de clientes.
`mapcredit:ListAssociatedPrograms`	Otorga permiso para ver los asociados Migration Acceleration Program los acuerdos y el panel de control de la cuenta del pagador.
`mapcredit:ListQuarterSpend`	Otorga permiso para ver el Migration Acceleration Program gasto elegible para la cuenta del pagador.
`mapcredit:ListQuarterCredits`	Otorga permiso para ver el Migration Acceleration Program créditos para la cuenta del pagador.
`invoicing:BatchGetInvoiceProfile`	Concede permiso de acceso de solo lectura para ver los perfiles de las facturas y configurarlas. AWS
`invoicing:CreateInvoiceUnit`	Otorga permiso para crear unidades de factura para la configuración de las AWS facturas.
`invoicing:DeleteInvoiceUnit`	Otorga permiso para eliminar las unidades de AWS factura para la configuración de las facturas.
`invoicing:GetInvoiceUnit`	Concede permiso de acceso de solo lectura para ver las unidades de factura para la configuración de las AWS facturas.
`invoicing:ListInvoiceUnits`	Otorga permiso para enumerar todas las unidades de factura para la configuración de la AWS factura.
`invoicing:ListTagsForResource`	Permite o deniega a los usuarios de IAM el permiso para ver las etiquetas de una unidad de factura para la configuración de AWS la factura.
`invoicing:TagResource`	Permite o deniega a los usuarios de IAM el permiso para añadir etiquetas a una unidad de factura para la configuración de la AWS factura.
`invoicing:UntagResource`	Permite o deniega a los usuarios de IAM el permiso para eliminar etiquetas de una unidad de AWS facturación para configurarlas.
`invoicing:UpdateInvoiceUnit`	Otorga permisos de edición para actualizar las unidades de factura para la configuración de las AWS facturas.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cómo funciona AWS la facturación con IAM

AWS Ejemplos de políticas de facturación