Migrer le contrôle d'accès pour AWS Billing

Note

Les AWS Identity and Access Management (IAM) actions suivantes ont atteint la fin du support standard en juillet 2023 :

Espace de noms aws-portal
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

Si vous en utilisez AWS Organizations, vous pouvez utiliser les scripts de migration de politiques par lots ou le migrateur de politiques par lots pour mettre à jour les politiques depuis votre compte payeur. Vous pouvez également utiliser l'ancienne référence de mappage d'actions granulaire pour vérifier les IAM actions qui doivent être ajoutées.

Si vous avez AWS Organizations créé ou participez à une création le 6 mars 2023 à 11 h (PDT) ou après cette date, les actions détaillées sont déjà en vigueur dans votre organisation. Compte AWS

Vous pouvez utiliser des contrôles d'accès précis pour permettre aux membres de votre organisation d'accéder aux AWS Billing and Cost Management services. Par exemple, vous pouvez donner accès à Cost Explorer sans donner accès à la console Billing and Cost Management.

Pour utiliser les contrôles d'accès précis, vous devez migrer vos politiques de la partie inférieure aws-portal vers les nouvelles IAM actions.

Les IAM actions suivantes de vos politiques d'autorisation ou de contrôle des services (SCP) nécessitent une mise à jour lors de cette migration :

aws-portal:ViewAccount
aws-portal:ViewBilling
aws-portal:ViewPaymentMethods
aws-portal:ViewUsage
aws-portal:ModifyAccount
aws-portal:ModifyBilling
aws-portal:ModifyPaymentMethods
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

Pour savoir comment utiliser l'outil Politiques concernées afin d'identifier vos IAM politiques concernées, consultezComment utiliser l'outil relatif aux politiques concernées.

Note

APIl'accès aux AWS Cost Explorer rapports sur les AWS coûts et l'utilisation et AWS aux budgets reste inchangé.

Activation de l'accès à la console de Gestion de la facturation et des coûts reste inchangé.

Rubriques

Gérer les autorisations d'accès

AWS Billing s'intègre au service AWS Identity and Access Management (IAM) afin que vous puissiez contrôler qui, au sein de votre organisation, peut accéder à des pages spécifiques sur la console Billing and Cost Management. Cela inclut des fonctionnalités telles que les paiements, la facturation, les crédits, l'offre gratuite, les préférences de paiement, la facturation consolidée, les paramètres fiscaux et les pages de compte.

Utilisez les IAM autorisations suivantes pour un contrôle granulaire de la console Billing and Cost Management.

Pour fournir un accès détaillé, remplacez la stratégie aws-portal par account, billing, payments, freetier, invoicing, tax et consolidatedbilling.

En outre, remplacez purchase-orders:ViewPurchaseOrders et purchase-orders:ModifyPurchaseOrders par les actions détaillées sous purchase-orders, account et payments.

Utiliser des actions précises AWS Billing

Ce tableau récapitule les autorisations qui autorisent ou refusent aux IAM utilisateurs et aux rôles l'accès à vos informations de facturation. Pour obtenir des exemples de stratégies qui utilisent ces autorisations, consultez AWS Exemples de politiques de facturation.

Pour obtenir la liste des actions pour la AWS Cost Management console, consultez les politiques d'AWS Cost Management actions dans le Guide de AWS Cost Management l'utilisateur.

Nom de la fonctionnalité dans la console Billing and Cost Management	Action IAM	Description
Page d'accueil de facturation	`account:GetAccountInformation` `billing:Get` `payments:List` `tax:List*`	Accorde l'autorisation d'afficher la page d'Accueil. Il s'agit d'autorisations en lecture seule. Note Ces autorisations ne s'appliquent qu'à la console. Aucun API accès n'est disponible pour ces autorisations.
Factures	`account:GetAccountInformation` `billing:Get` `consolidatedbilling:Get` `consolidatedbilling:List` `invoicing:List` `payments:List*`	Accorde l'autorisation d'afficher la page Bills (Factures). Il s'agit d'autorisations en lecture seule. Note Ces autorisations ne s'appliquent qu'à la console. Aucun API accès n'est disponible pour ces autorisations.
	`invoicing:Get*`	Accorde l'autorisation de télécharger des factures depuis la page Bills (Factures). Note Cette autorisation ne s'applique qu'à la console. Aucun API accès n'est disponible pour cette autorisation.
	`cur:Get*`	Autorise le téléchargement CSV des rapports depuis la page des factures. Note Cette autorisation ne s'applique qu'à la console. Aucun API accès n'est disponible pour cette autorisation.
	`billing:ListBillingViews`	Accorde l'autorisation de consulter la description `ARN` et la description de chaque groupe AWS Billing Conductor de facturation créé. Ceci est nécessaire pour créer une préférence de rapport pour des groupes spécifiques. Note Cette autorisation ne s'applique qu'à la console. Aucun API accès n'est disponible pour cette autorisation.
Paiements	`account:GetAccountInformation` `billing:Get` `payments:Get` `payments:List*`	Accorde l'autorisation d'afficher la page Payments (Paiements). Il s'agit d'autorisations en lecture seule pour les onglets Payments due (Paiements dus), Unapplied funds (Fonds non utilisés), Transaction et Advance pay (Paiements anticipés). Note Ces autorisations ne s'appliquent qu'à la console. Aucun API accès n'est disponible pour ces autorisations.
	`invoicing:Get*`	Accorde l'autorisation de télécharger une facture depuis l'onglet Transactions. Note Cette autorisation ne s'applique qu'à la console. Aucun API accès n'est disponible pour cette autorisation.
	`payments:Update*`	Accorde l'autorisation requise pour utiliser Advance Pay (Paiements anticipés) et configurer les informations de paiement.
	`payments:Make` `invoicing:Get`	Accorde l'autorisation de générer un document de demande de financement pour Advance Pay (Paiements anticipés) et d'effectuer un paiement.
Crédits	`billing:Get*` `account:GetAccountInformation`	Accorde l'autorisation d'afficher la page Credits (Crédits).
Crédits	`billing:RedeemCredits`	Accorde l'autorisation d'échanger des crédits.
Bons de commande	`account:GetAccountInformation` `account:GetContactInformation` `payments:Get` `payments:List` `purchase-orders:ListPurchaseOrders` `purchase-orders:ListPurchaseOrderInvoices` `tax:ListTaxRegistrations` `consolidatedbilling:GetAccountBillingRole`	Accorde l'autorisation d'afficher la page Purchase orders (Bons de commande).
	`purchase-orders:GetPurchaseOrder`	Accorde l'autorisation d'afficher les détails d'un bon de commande.
	`purchase-orders:AddPurchaseOrder`	Accorde l'autorisation d'ajouter un bon de commande.
	`purchase-orders:DeletePurchaseOrder`	Accorde l'autorisation de supprimer un bon de commande.
	`purchase-orders:UpdatePurchaseOrder` `purchase-orders:UpdatePurchaseOrderStatus`	Accorde l'autorisation de mettre à jour les bons de commande et leur statut.
AWS Rapports de coûts et d'utilisation	`cur:GetClassic*` `cur:DescribeReportDefinitions`	Autorise l'affichage d'une liste de AWS CUR rapports sur la page Rapports sur les AWS coûts et l'utilisation. Note `cur:GetClassic*` est une autorisation qui ne s'applique qu'à la console. Aucun API accès n'est disponible pour cette autorisation.
	`billing:ListBillingViews`	Accorde l'autorisation de consulter le nom `ARN` et la description de chaque groupe de facturation créé dans AWS Billing Conductor. Ceci est nécessaire pour créer une préférence de rapport pour des groupes spécifiques. Note Cette autorisation ne s'applique qu'à la console. Aucun API accès n'est disponible pour cette autorisation.
	`s3:ListAllMyBuckets` `s3:CreateBucket` `s3:PutBucketPolicy` `s3:GetBucketLocation` `cur:Validate*` `cur:PutReportDefinition`	Accorde les actions d'autorisation requises pour créer un nouveau AWS CUR rapport. Note `cur:Validate*` est une autorisation qui ne s'applique qu'à la console. Aucun API accès n'est disponible pour ces autorisations.
	`cur:Validate*` `s3:CreateBucket` `s3:ListAllMyBuckets` `s3:PutBucketPolicy` `s3:GetBucketLocation` `cur:ModifyReportDefinition`	Accorde l'autorisation de modifier AWS CUR la définition. Note `cur:Validate*` est une autorisation qui ne s'applique qu'à la console. Aucun API accès n'est disponible pour ces autorisations.
	`cur:DeleteReportDefinition`	Accorde l'autorisation de supprimer AWS CUR des rapports.
	`cur:GetUsage*`	Accorde l'autorisation de télécharger les rapports d'utilisation.
	`sustainability:GetCarbonFootprintSummary`	Accorde l'autorisation d'afficher les données de durabilité de votre Compte AWS.
Catégories de coûts	`account:GetAccountInformation` `ce:ListCostCategoryDefinitions` `ce:DescribeCostCategoryDefinition` `ce:GetCostAndUsage` `ce:ListTagsForResource` `consolidatedbilling:GetAccountBillingRole`	Accorde l'autorisation d'afficher les catégories de coûts. Note `account:GetAccountInformation` est une autorisation qui ne s'applique qu'à la console. Aucun API accès n'est disponible pour ces autorisations.
	`billing:Get` `ce:TagResource` `ce:ListCostAllocationTags` `consolidatedbilling:List` `ce:CreateCostCategoryDefinition` `pricing:DescribeServices` `ce:GetDimensionValues` `ce:GetTags`	Accorde l'autorisation de créer des catégories de coûts. Note `billing:Get` et `consolidatedbilling:List` sont des autorisations qui ne s'applique qu'à la console. Aucun API accès n'est disponible pour ces autorisations.
	`ce:UpdateCostCategoryDefinition` `ce:UntagResource`	Accorde l'autorisation de modifier les catégories de coûts.
	`ce:DeleteCostCategoryDefinition`	Accorde l'autorisation de supprimer les catégories de coûts.
Balises d'allocation des coûts	`account:GetAccountInformation` `ce:ListCostAllocationTags` `consolidatedbilling:GetAccountBillingRole`	Accorde l'autorisation d'afficher les balises de répartition des coûts.
Balises d'allocation des coûts	`ce:UpdateCostAllocationTagsStatus`	Accorde l'autorisation d'activer ou de désactiver les balises de répartition des coûts.
AWS Budgets	`budgets:ViewBudget` `budgets:DescribeBudgetActionsForBudget` `budgets:DescribeBudgetAction` `budgets:DescribeBudgetActionsForAccount` `budgets:DescribeBudgetActionHistories`	Accorde l'autorisation d'afficher la page Budgets.
AWS Budgets	`budgets:CreateBudgetAction` `budgets:ExecuteBudgetAction` `budgets:DeleteBudgetAction` `budgets:UpdateBudgetAction` `budgets:ModifyBudget`	Accorde l'autorisation de créer, de supprimer et de modifier des budgets et des actions budgétaires.
Offre gratuite	`billing:Get` `freetier:Get`	Accorde l'autorisation d'afficher les limites d'utilisation de l'offre gratuite et l'état d'utilisation mensuel à ce jour.
Préférences de facturation	`account:GetAccountInformation` `billing:Get` `consolidatedbilling:Get` `consolidatedbilling:List` `cur:GetClassic` `cur:Validate` `freetier:Get` `invoicing:Get*`	Accorde les actions d’autorisation requises pour afficher toutes les sections de la page Préférences de facturation. Note Ces autorisations ne s'appliquent qu'à la console. Aucun API accès n'est disponible pour ces autorisations.
Préférences de facturation	`billing:Update` `freetier:Put` `cur:PutClassic` `s3:ListAllMyBuckets` `s3:CreateBucket` `s3:PutBucketPolicy` `s3:GetBucketLocation` `invoicing:Put`	Accorde l'autorisation d'apporter les modifications suivantes sur la page Préférences de facturation : Activer ou désactiver le partage de crédits vers la RI ou le partage des remises des Savings Plans Définir les préférences Free Tier Usage Alert (Alerte d'utilisation de l'offre gratuite) Définir les paramètres et les préférences de livraison des detailed billing reports (rapports de facturation détaillés) Définir ou mettre à jour les préférences de PDFfacturation par e-mail Note `billing:Update`, `freetier:Put`, `cur:PutClassic*` sont des autorisations qui ne s'applique qu'à la console. Aucun API accès n'est disponible pour ces autorisations.
Préférences de paiement	`account:GetAccountInformation` `billing:Get` `payments:GetPaymentInstrument` `payments:List` `payments:GetPaymentStatus`	Accorde l'autorisation d'afficher la page Préférences de facturation. Note Ces autorisations ne s'appliquent qu'à la console. Aucun API accès n'est disponible pour ces autorisations.
	`payments:Update` `payments:Make` `payments:CreatePaymentInstrument` `payments:DeletePaymentInstrument`	Accorde l'autorisation de créer ou de mettre à jour les moyens de paiement. Note `payments:Make*`n'est nécessaire que si une carte de paiement nécessite une authentification multifactorielle (MFA).
	`tax:PutTaxRegistration` `tax:Delete*` `payments:UpdatePaymentPreferences` `payments:CreatePaymentInstrument`	Accorde l'autorisation de mettre à jour ou de supprimer des numéros d'enregistrement fiscal.
	`payments:Update*`	Accorde l'autorisation de mettre à jour les profils de paiement. Note Cette autorisation ne s'applique qu'à la console. Aucun API accès n'est disponible pour cette autorisation.
Paramètres fiscaux	`tax:List` `tax:Get`	Accorde l'autorisation d'afficher les paramètres fiscaux.
	`tax:BatchPut*`	Accorde l'autorisation requise pour mettre à jour les paramètres fiscaux.
	`tax:Put*`	Accorde l'autorisation d’établir le statut d’héritage fiscal.
	`tax:UpdateExemptions` `support:CreateCase` `support:AddAttachmentsToSet`	Accorde l'autorisation de mettre à jour l'exonération fiscale.
Compte	`account:Get` `account:List` `billing:Get` `payments:List`	Accorde l'autorisation d'afficher Account settings (Paramètres de compte). Note `billing:Get*` est une autorisation qui ne s'applique qu'à la console. Aucun API accès n'est disponible pour cette autorisation.
	`account:CloseAccount`	Accorde l'autorisation de fermer Comptes AWS. Note Cette autorisation ne s'applique qu'à la console. Aucun API accès n'est disponible pour cette autorisation.
	`account:DisableRegion`	Accorde l'autorisation de désactiver une AWS région sur la page Compte.
	`account:EnableRegion`	Accorde l'autorisation d'activer une AWS région sur la page Compte.
	`account:PutAlternateContact`	Accorde l'autorisation d'écrire d'autres contacts pour le compte.
	`account:PutChallengeQuestions`	Accorde l'autorisation de définir des questions de sécurité pour le compte. Note Cette autorisation ne s'applique qu'à la console. Aucun API accès n'est disponible pour cette autorisation.
	`account:PutContactInformation`	Accorde l'autorisation requise pour définir ou écrire les informations de contact principales, y compris l'adresse, pour le compte.
	`billing:PutContractInformation`	Accorde l'autorisation de définir les informations du contrat du compte, si le compte est utilisé pour servir des clients du secteur public. Les informations pouvant être extraites incluent les noms des organisations des utilisateurs finaux, les numéros de contrat et les numéros de bon de commande. Note Cette autorisation ne s'applique qu'à la console. Aucun API accès n'est disponible pour cette autorisation.
	`billing:Update*`	Accorde l'action d'autorisation requise pour activer ou désactiver le paramètre Activer l'IAMaccès sur la page Compte.
	`payments:Update*`	Accorde l'autorisation de définir le paiement anticipé, la devise préférée, les coordonnées et l'adresse de facturation, ainsi que les conditions générales de paiement.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS Exemples de politiques de facturation

Migration en masse de vos politiques