Autoriser IAM les utilisateurs à consulter vos informations de facturation Permettez IAM aux utilisateurs de consulter vos informations de facturation et votre rapport d'empreinte carbone Autoriser IAM les utilisateurs à accéder à la page de la console des rapports Refuser aux IAM utilisateurs l'accès aux consoles Billing and Cost Management Refuser l'accès au widget de coût et d'utilisation de la AWS console pour les comptes membres Refuser l'accès au widget de coût et d'utilisation de la AWS console pour des IAM utilisateurs et des rôles spécifiques Autorisez IAM les utilisateurs à consulter vos informations de facturation, mais refusez l'accès au rapport sur l'empreinte carbone Permettre IAM aux utilisateurs d'accéder aux rapports sur l'empreinte carbone, mais refuser l'accès aux informations de facturation Autoriser l'accès complet aux AWS services mais refuser aux IAM utilisateurs l'accès aux consoles Billing and Cost Management Autoriser IAM les utilisateurs à consulter les consoles Billing and Cost Management, à l'exception des paramètres du compte Autoriser IAM les utilisateurs à modifier les informations de facturation Refus de l'accès aux paramètres du compte, mais autorisation d'accès complet à toutes les autres informations de facturation et d'utilisation Dépôt des rapports dans un compartiment Amazon S3 Recherche de produits et de prix Affichage des coûts et de l'utilisation Activer et désactiver les AWS régions Affichage et gestion des catégories de coûts Création, affichage, modification ou suppression des Rapports d'utilisation et de coûts AWS Affichage et gestion des bons de commande Affichage et mise à jour la page des préférences Cost Explorer Affichage, création, mise à jour et suppression à l'aide de la page des rapports Cost Explorer Affichage, création, mise à jour et suppression des alertes de réservation et de Savings Plans Autoriser l'accès en lecture seule à la détection des anomalies de AWS coûts Permettre aux AWS budgets d'appliquer IAM des politiques et SCPs Autoriser AWS les budgets à appliquer IAM les politiques, SCPs les cibles EC2 et les RDS instances Permettre IAM aux utilisateurs de consulter les exonérations fiscales américaines et de créer des AWS Support dossiers (Pour les clients ayant une adresse de facturation ou de contact en Inde) Autoriser l'accès en lecture seule aux informations de vérification des clients (Pour les clients ayant une adresse de facturation ou de contact en Inde) Voir, créer et mettre à jour les informations de vérification des clients Vue AWS Migration Acceleration Program informations dans la console de facturation

AWS Exemples de politiques de facturation

Note

Les AWS Identity and Access Management (IAM) actions suivantes ont atteint la fin du support standard en juillet 2023 :

Espace de noms aws-portal
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

Si vous en utilisez AWS Organizations, vous pouvez utiliser les scripts de migration de politiques par lots ou le migrateur de politiques par lots pour mettre à jour les politiques depuis votre compte payeur. Vous pouvez également utiliser l'ancienne référence de mappage d'actions granulaire pour vérifier les IAM actions qui doivent être ajoutées.

Si vous avez AWS Organizations créé ou participez à une création le 6 mars 2023 à 11 h (PDT) ou après cette date, les actions détaillées sont déjà en vigueur dans votre organisation. Compte AWS

Important

Ces politiques exigent que vous activiez IAM l'accès des utilisateurs à la console Billing and Cost Management sur la page de la console Account Settings. Pour de plus amples informations, veuillez consulter Activation de l'accès à la console de Gestion de la facturation et des coûts.
Pour utiliser les politiques AWS gérées, voirAWS politiques gérées.

Cette rubrique contient des exemples de politiques que vous pouvez associer à votre IAM utilisateur ou à votre groupe pour contrôler l'accès aux informations et aux outils de facturation de votre compte. Les règles de base suivantes s'appliquent aux IAM politiques de Billing and Cost Management :

Version est toujours 2012-10-17.
Effect est toujours Allow ou Deny.
Action est le nom de l'action ou un caractère générique (*).

Le préfixe d'action est budgets destiné aux AWS budgets, cur aux rapports de AWS coûts et d'utilisation, aws-portal à la AWS facturation ou ce à Cost Explorer.
Resourceest toujours * destiné à la AWS facturation.

Pour les actions effectuées sur une budget ressource, spécifiez le budget Amazon Resource Name (ARN).
Il peut exister plusieurs déclarations dans une seule stratégie.

Pour obtenir la liste des politiques d'actions pour la console de gestion des AWS coûts, consultez les exemples de politiques de gestion des AWS coûts dans le guide de l'utilisateur de la gestion des AWS coûts.

Rubriques

Autoriser IAM les utilisateurs à consulter vos informations de facturation
Permettez IAM aux utilisateurs de consulter vos informations de facturation et votre rapport d'empreinte carbone
Autoriser IAM les utilisateurs à accéder à la page de la console des rapports
Refuser aux IAM utilisateurs l'accès aux consoles Billing and Cost Management
Refuser l'accès au widget de coût et d'utilisation de la AWS console pour les comptes membres
Refuser l'accès au widget de coût et d'utilisation de la AWS console pour des IAM utilisateurs et des rôles spécifiques
Autorisez IAM les utilisateurs à consulter vos informations de facturation, mais refusez l'accès au rapport sur l'empreinte carbone
Permettre IAM aux utilisateurs d'accéder aux rapports sur l'empreinte carbone, mais refuser l'accès aux informations de facturation
Autoriser l'accès complet aux AWS services mais refuser aux IAM utilisateurs l'accès aux consoles Billing and Cost Management
Autoriser IAM les utilisateurs à consulter les consoles Billing and Cost Management, à l'exception des paramètres du compte
Autoriser IAM les utilisateurs à modifier les informations de facturation
Refus de l'accès aux paramètres du compte, mais autorisation d'accès complet à toutes les autres informations de facturation et d'utilisation
Dépôt des rapports dans un compartiment Amazon S3
Recherche de produits et de prix
Affichage des coûts et de l'utilisation
Activer et désactiver les AWS régions
Affichage et gestion des catégories de coûts
Création, affichage, modification ou suppression des Rapports d'utilisation et de coûts AWS
Affichage et gestion des bons de commande
Affichage et mise à jour la page des préférences Cost Explorer
Affichage, création, mise à jour et suppression à l'aide de la page des rapports Cost Explorer
Affichage, création, mise à jour et suppression des alertes de réservation et de Savings Plans
Autoriser l'accès en lecture seule à la détection des anomalies de AWS coûts
Permettre aux AWS budgets d'appliquer IAM des politiques et SCPs
Autoriser AWS les budgets à appliquer IAM les politiques, SCPs les cibles EC2 et les RDS instances
Permettre IAM aux utilisateurs de consulter les exonérations fiscales américaines et de créer des AWS Support dossiers
(Pour les clients ayant une adresse de facturation ou de contact en Inde) Autoriser l'accès en lecture seule aux informations de vérification des clients
(Pour les clients ayant une adresse de facturation ou de contact en Inde) Voir, créer et mettre à jour les informations de vérification des clients
Vue AWS Migration Acceleration Program informations dans la console de facturation

Autoriser IAM les utilisateurs à consulter vos informations de facturation

Pour permettre à un IAM utilisateur de consulter vos informations de facturation sans lui donner accès aux informations sensibles du IAM compte, utilisez une politique similaire à l'exemple de politique suivant. Une telle stratégie empêche les utilisateurs d'accéder à votre mot de passe et aux rapports d'activité du compte. Cette politique permet aux IAM utilisateurs de consulter les pages suivantes de la console Billing and Cost Management, sans leur donner accès aux pages de la console Account Settings ou Reports :

Tableau de bord
Cost Explorer
Factures
Commandes et factures
Facturation consolidée
Préférences
Crédits
Paiement anticipé


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:ViewBilling",
            "Resource": "*"
        }
    ]
}

Permettez IAM aux utilisateurs de consulter vos informations de facturation et votre rapport d'empreinte carbone

Pour permettre à un IAM utilisateur de consulter à la fois les informations de facturation et les rapports sur l'empreinte carbone, utilisez une politique similaire à l'exemple suivant. Cette politique empêche les utilisateurs d'accéder à votre mot de passe et aux rapports d'activité du compte. Cette politique permet aux IAM utilisateurs de consulter les pages suivantes de la console Billing and Cost Management, sans leur donner accès aux pages de la console Account Settings ou Reports :

Tableau de bord
Cost Explorer
Factures
Commandes et factures
Facturation consolidée
Préférences
Crédits
Paiement anticipé
La section relative à l'outil d'empreinte carbone du AWS client sur la page des rapports sur les AWS coûts et l'utilisation


{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": "aws-portal:ViewBilling",
            "Resource": "*"
        },
        {"Effect": "Allow",
            "Action": "sustainability:GetCarbonFootprintSummary",
            "Resource": "*"
        }
    ]
}

Autoriser IAM les utilisateurs à accéder à la page de la console des rapports

Pour autoriser un IAM utilisateur à accéder à la page de la console Rapports et à consulter les rapports d'utilisation contenant des informations sur l'activité du compte, utilisez une politique similaire à cet exemple de politique.

Pour obtenir des définitions de chaque action, consultez AWS Actions de la console de facturation.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewUsage",
                "aws-portal:ViewBilling",
                "cur:DescribeReportDefinitions",
                "cur:PutReportDefinition",
                "cur:DeleteReportDefinition",
                "cur:ModifyReportDefinition"
            ],
            "Resource": "*"
        }
    ]
}

Refuser aux IAM utilisateurs l'accès aux consoles Billing and Cost Management

Pour refuser explicitement à un IAM utilisateur l'accès à toutes les pages de la console Billing and Cost Management, utilisez une politique similaire à cet exemple de politique.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "aws-portal:*",
            "Resource": "*"
        }
    ]
}

Pour restreindre l'accès du compte membre (lié) aux données de coût et d'utilisation, utilisez votre compte de gestion (souscripteur) pour accéder à l'onglet Preferences (Préférences) de Cost Explorer et décochez la case Linked Account Access (Accès au compte lié). Cela empêchera l'accès aux données de coûts et d'utilisation provenant de la console Cost Explorer (AWS Cost Management), de Cost Explorer et du widget de coûts et d'utilisation de la page d'accueil de la AWS consoleAPI, quelles que soient les IAM actions effectuées par l'IAMutilisateur ou le rôle d'un compte membre.

Refuser l'accès au widget de coût et d'utilisation de la AWS console pour des IAM utilisateurs et des rôles spécifiques

Pour refuser l'accès au widget relatif aux coûts et à l'utilisation de la AWS console à des IAM utilisateurs et à des rôles spécifiques, appliquez la politique d'autorisation ci-dessous.

Note

L'ajout de cette politique à un IAM utilisateur ou à un rôle empêchera également les utilisateurs d'accéder à la console AWS Cost Explorer (Cost Management) et à Cost ExplorerAPIs.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ce:*",
            "Resource": "*"
        }
    ]
}

Autorisez IAM les utilisateurs à consulter vos informations de facturation, mais refusez l'accès au rapport sur l'empreinte carbone

Permettre à un IAM utilisateur d'accéder à la fois aux informations de facturation dans les consoles Billing and Cost Management, mais ne pas autoriser l'accès à l'outil d'empreinte carbone du AWS client. Cet outil se trouve sur la page Rapports sur les AWS coûts et l'utilisation.


{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Allow",
            "Action": "aws-portal:ViewBilling",
            "Resource": "*"
        },
        {"Effect": "Deny",
            "Action": "sustainability:GetCarbonFootprintSummary",
            "Resource": "*"
        }
    ]
}

Permettre IAM aux utilisateurs d'accéder aux rapports sur l'empreinte carbone, mais refuser l'accès aux informations de facturation

Permettre à un IAM utilisateur d'accéder à l'outil d'empreinte carbone du AWS client sur la page AWS Cost and Usage Reports, mais refuse l'accès à la consultation des informations de facturation dans les consoles Billing and Cost Management.


{
    "Version": "2012-10-17",
    "Statement": [
        {"Effect": "Deny",
            "Action": "aws-portal:ViewBilling",
            "Resource": "*"
        },
        {"Effect": "Allow",
            "Action": "sustainability:GetCarbonFootprintSummary",
            "Resource": "*"
        }
    ]
}

Autoriser l'accès complet aux AWS services mais refuser aux IAM utilisateurs l'accès aux consoles Billing and Cost Management

Pour refuser aux IAM utilisateurs l'accès à tout ce qui se trouve sur la console Billing and Cost Management, appliquez la politique suivante. Refusez l'accès des utilisateurs à AWS Identity and Access Management (IAM) pour empêcher l'accès aux politiques qui contrôlent l'accès aux informations et aux outils de facturation.

Important

Cette stratégie n'autorise aucune action. Utilisez cette stratégie conjointement à d'autres stratégies qui autorisent des actions spécifiques.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "aws-portal:*",
                "iam:*"
            ],
            "Resource": "*"
        }
    ]
}

Autoriser IAM les utilisateurs à consulter les consoles Billing and Cost Management, à l'exception des paramètres du compte

Cette stratégie accorde un accès en lecture seule à l'ensemble du contenu de la console de Gestion de la facturation et des coûts. Cela inclut les pages Payments Method (Moyen de paiement) et Reports (Rapports) de la console. Toutefois, cette stratégie refuse l'accès à la page Account Settings (Paramètres de compte). Cela signifie que le mot de passe du compte, les informations de contact et les questions de sécurité sont protégés.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:View*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "aws-portal:*Account",
            "Resource": "*"
        }
    ]
}

Autoriser IAM les utilisateurs à modifier les informations de facturation

Pour permettre aux IAM utilisateurs de modifier les informations de facturation du compte dans la console Billing and Cost Management, autorisez IAM les utilisateurs à consulter vos informations de facturation. L'exemple de politique suivant permet à un IAM utilisateur de modifier les pages de la console de facturation consolidée, de préférences et de crédits. Il permet également à un IAM utilisateur de consulter les pages suivantes de la console Billing and Cost Management :

Tableau de bord
Cost Explorer
Factures
Commandes et factures
Paiement anticipé


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:*Billing",
            "Resource": "*"
        }
    ]
}

Refus de l'accès aux paramètres du compte, mais autorisation d'accès complet à toutes les autres informations de facturation et d'utilisation

Pour protéger le mot de passe, les informations de contact et les questions de sécurité de votre compte, refusez IAM l'accès des utilisateurs aux paramètres du compte tout en permettant un accès complet au reste des fonctionnalités de la console Billing and Cost Management. La politique suivante est un exemple.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:*Billing",
                "aws-portal:*Usage",
                "aws-portal:*PaymentMethods"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "aws-portal:*Account",
            "Resource": "*"
        }
    ]
}

Dépôt des rapports dans un compartiment Amazon S3

La politique suivante permet à Billing and Cost Management d'enregistrer vos AWS factures détaillées dans un compartiment Amazon S3 si vous possédez à la fois le AWS compte et le compartiment Amazon S3. Cette politique doit être appliquée au compartiment Amazon S3 plutôt qu'à un IAM utilisateur. En effet, il s'agit d'une politique basée sur les ressources, et non sur l'utilisateur. Nous vous recommandons de refuser IAM l'accès au bucket aux IAM utilisateurs qui n'ont pas besoin d'accéder à vos factures.

Remplacez amzn-s3-demo-bucket1 avec le nom de votre compartiment.

Pour plus d'informations, consultez Utilisation des politiques de compartiment et des stratégies d'utilisateur dans le Guide de l'utilisateur Amazon Simple Storage Service.


{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Principal": {
      "Service": "billingreports.amazonaws.com"
    },
    "Action": [
      "s3:GetBucketAcl",
      "s3:GetBucketPolicy"
    ],
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1"
  },
  {
    "Effect": "Allow",
    "Principal": {
      "Service": "billingreports.amazonaws.com"
    },
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"
  }
  ]
}

Recherche de produits et de prix

Pour autoriser un IAM utilisateur à utiliser le service de liste de AWS prixAPI, appliquez la politique suivante pour lui accorder l'accès.

Cette politique autorise l'utilisation à la fois de la AWS requête de liste de API AWS prix groupéeAPI.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "pricing:DescribeServices",
                "pricing:GetAttributeValues",
                "pricing:GetProducts",
                "pricing:GetPriceListFileUrl",
                "pricing:ListPriceLists"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Affichage des coûts et de l'utilisation

Pour autoriser IAM les utilisateurs à utiliser le AWS Cost ExplorerAPI, appliquez la politique suivante pour leur accorder l'accès.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ce:*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

Activer et désactiver les AWS régions

Pour un exemple de IAM politique permettant aux utilisateurs d'activer et de désactiver les régions, voir AWS: Autoriser l'activation et la désactivation des AWS régions dans le guide de l'IAMutilisateur.

Affichage et gestion des catégories de coûts

Pour permettre aux IAM utilisateurs d'utiliser, de consulter et de gérer les catégories de coûts, appliquez la politique suivante pour leur accorder l'accès.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling",
        "ce:GetCostAndUsage",
        "ce:DescribeCostCategoryDefinition",
        "ce:UpdateCostCategoryDefinition",
        "ce:CreateCostCategoryDefinition",
        "ce:DeleteCostCategoryDefinition",
        "ce:ListCostCategoryDefinitions",
        "ce:TagResource",
        "ce:UntagResource",
        "ce:ListTagsForResource",
        "pricing:DescribeServices"
      ],
      "Resource": "*"
    }
  ]
}

Création, affichage, modification ou suppression des Rapports d'utilisation et de coûts AWS

Cette politique permet à un IAM utilisateur de créer, d'afficher, de modifier ou de supprimer sample-report à l'aide duAPI.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ManageSampleReport",
            "Effect": "Allow",
			"Action": [
                "cur:PutReportDefinition", 
                "cur:DeleteReportDefinition",
                "cur:ModifyReportDefinition"
            ],
            "Resource": "arn:aws:cur:*:123456789012:definition/sample-report"
        },
        {
            "Sid": "DescribeReportDefs",
            "Effect": "Allow",
            "Action": "cur:DescribeReportDefinitions",
            "Resource": "*"
        }
    ]
}

Affichage et gestion des bons de commande

Cette politique permet à un IAM utilisateur de consulter et de gérer les bons de commande, en utilisant la politique suivante pour accorder l'accès.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling",
                "purchase-orders:*"
            ],
            "Resource": "*"
        }
    ]
}

Affichage et mise à jour la page des préférences Cost Explorer

Cette politique permet à un IAM utilisateur de consulter et de mettre à jour à l'aide de la page des préférences de Cost Explorer.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling",
        "ce:UpdatePreferences"
       ],
      "Resource": "*"
    }
  ]
}

La politique suivante autorise IAM les utilisateurs à consulter Cost Explorer, mais leur refuse l'autorisation d'afficher ou de modifier la page des préférences.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:GetPreferences",
                "ce:UpdatePreferences"
            ],
            "Resource": "*"
        }
    ]
}

La politique suivante permet aux IAM utilisateurs d'afficher Cost Explorer, mais de refuser l'autorisation de modifier la page des préférences.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:UpdatePreferences"
            ],
            "Resource": "*"
        }
    ]
}

Affichage, création, mise à jour et suppression à l'aide de la page des rapports Cost Explorer

Cette politique permet à un IAM utilisateur de consulter, de créer, de mettre à jour et de supprimer à l'aide de la page des rapports de Cost Explorer.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling",
        "ce:CreateReport",
        "ce:UpdateReport",
        "ce:DeleteReport"
       ],
      "Resource": "*"
    }
  ]
}

La politique suivante autorise IAM les utilisateurs à consulter Cost Explorer, mais leur refuse l'autorisation de consulter ou de modifier la page Rapports.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:DescribeReport",
                "ce:CreateReport",
                "ce:UpdateReport",
                "ce:DeleteReport"
            ],
            "Resource": "*"
        }
    ]
}

La politique suivante permet aux IAM utilisateurs de consulter Cost Explorer, mais de refuser l'autorisation de modifier la page Rapports.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:CreateReport",
                "ce:UpdateReport",
                "ce:DeleteReport"
            ],
            "Resource": "*"
        }
    ]
}

Affichage, création, mise à jour et suppression des alertes de réservation et de Savings Plans

Cette politique permet à un IAM utilisateur de consulter, de créer, de mettre à jour et de supprimer les alertes d'expiration des réservations et les alertes Savings Plans. Pour modifier les alertes d'expiration de réservation ou les alertes de Savings Plans, un utilisateur a besoin des trois actions détaillées suivantes :ce:CreateNotificationSubscription, ce:UpdateNotificationSubscription et ce:DeleteNotificationSubscription.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling",
        "ce:CreateNotificationSubscription",
        "ce:UpdateNotificationSubscription",
        "ce:DeleteNotificationSubscription"
       ],
      "Resource": "*"
    }
  ]
}

La politique suivante autorise IAM les utilisateurs à consulter Cost Explorer, mais refuse l'autorisation de consulter ou de modifier les pages d'alertes d'expiration des réservations et d'alerte Savings Plans.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:DescribeNotificationSubscription",
                "ce:CreateNotificationSubscription",
                "ce:UpdateNotificationSubscription",
                "ce:DeleteNotificationSubscription"
            ],
            "Resource": "*"
        }
    ]
}

La politique suivante permet aux IAM utilisateurs de consulter Cost Explorer, mais refuse l'autorisation de modifier les pages d'alerte d'expiration des réservations et d'alerte Savings Plans.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:CreateNotificationSubscription",
                "ce:UpdateNotificationSubscription",
                "ce:DeleteNotificationSubscription"
            ],
            "Resource": "*"
        }
    ]
}

Autoriser l'accès en lecture seule à la détection des anomalies de AWS coûts

Pour autoriser IAM les utilisateurs à accéder en lecture seule à AWS Cost Anomaly Detection, appliquez la politique suivante pour leur accorder l'accès. ce:ProvideAnomalyFeedbackest facultatif dans le cadre de l'accès en lecture seule.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ce:Get*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Permettre aux AWS budgets d'appliquer IAM des politiques et SCPs

Cette politique permet à AWS Budgets d'appliquer IAM des politiques et des politiques de contrôle des services (SCPs) au nom de l'utilisateur.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:AttachGroupPolicy",
        "iam:AttachRolePolicy",
        "iam:AttachUserPolicy",
        "iam:DetachGroupPolicy",
        "iam:DetachRolePolicy",
        "iam:DetachUserPolicy",
        "organizations:AttachPolicy",
        "organizations:DetachPolicy"
      ],
      "Resource": "*"
    }
  ]
}

Autoriser AWS les budgets à appliquer IAM les politiques, SCPs les cibles EC2 et les RDS instances

Cette politique permet à AWS Budgets d'appliquer des IAM politiques et des politiques de contrôle des services (SCPs) et de cibler les RDS instances Amazon EC2 et Amazon au nom de l'utilisateur.

Politique d’approbation


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "budgets.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Politique d'autorisations


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstanceStatus",
        "ec2:StartInstances",
        "ec2:StopInstances",
        "iam:AttachGroupPolicy",
        "iam:AttachRolePolicy",
        "iam:AttachUserPolicy",
        "iam:DetachGroupPolicy",
        "iam:DetachRolePolicy",
        "iam:DetachUserPolicy",
        "organizations:AttachPolicy",
        "organizations:DetachPolicy",
        "rds:DescribeDBInstances",
        "rds:StartDBInstance",
        "rds:StopDBInstance",
        "ssm:StartAutomationExecution"
      ],
      "Resource": "*"
    }
  ]
}

Permettre IAM aux utilisateurs de consulter les exonérations fiscales américaines et de créer des AWS Support dossiers

Cette politique permet à un IAM utilisateur de consulter les exonérations fiscales américaines et de créer des AWS Support dossiers pour télécharger des certificats d'exemption dans la console d'exonération fiscale.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "aws-portal:*",
                "tax:GetExemptions",
                "tax:UpdateExemptions",
                "support:CreateCase",
                "support:AddAttachmentsToSet"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

(Pour les clients ayant une adresse de facturation ou de contact en Inde) Autoriser l'accès en lecture seule aux informations de vérification des clients

Cette politique permet aux IAM utilisateurs d'accéder en lecture seule aux informations de vérification des clients.

Pour obtenir des définitions de chaque action, consultez AWS Actions de la console de facturation.


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "customer-verification:GetCustomerVerificationEligibility",
            "customer-verification:GetCustomerVerificationDetails"
        ],
        "Resource": "*"
    }]
}

(Pour les clients ayant une adresse de facturation ou de contact en Inde) Voir, créer et mettre à jour les informations de vérification des clients

Cette politique permet aux IAM utilisateurs de gérer les informations de vérification de leurs clients.

Pour obtenir des définitions de chaque action, consultez AWS Actions de la console de facturation.


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "customer-verification:CreateCustomerVerificationDetails",
            "customer-verification:UpdateCustomerVerificationDetails",
            "customer-verification:GetCustomerVerificationEligibility",
            "customer-verification:GetCustomerVerificationDetails"
        ],
        "Resource": "*"
    }]
}

Vue AWS Migration Acceleration Program informations dans la console de facturation

Cette politique permet IAM aux utilisateurs de consulter le Migration Acceleration Program accords, crédits et dépenses éligibles pour le compte du payeur dans la console de facturation.

Pour obtenir des définitions de chaque action, consultez AWS Actions de la console de facturation.


{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "mapcredit:ListQuarterSpend",
            "mapcredit:ListQuarterCredits",
            "mapcredit:ListAssociatedPrograms"
        ],
        "Resource": "*"
    }]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Politique basée sur l'identité avec facturation

Migrer le contrôle d'accès