Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS Exemples de politiques de gestion des coûts
Note
Les AWS Identity and Access Management (IAM) actions suivantes ont atteint la fin du support standard en juillet 2023 :
-
Espace de noms
aws-portal
-
purchase-orders:ViewPurchaseOrders
-
purchase-orders:ModifyPurchaseOrders
Si vous en utilisez AWS Organizations, vous pouvez utiliser les scripts de migration de politiques en masse pour mettre à jour les politiques depuis votre compte payeur. Vous pouvez également utiliser l'ancienne référence de mappage d'actions granulaire pour vérifier les IAM actions qui doivent être ajoutées.
Pour plus d'informations, consultez le blog sur les modifications apportées à la AWS facturation, à la gestion des AWS coûts et aux autorisations des consoles de comptes
Si vous avez AWS Organizations créé ou participez à une création le 6 mars 2023 à 11 h (PDT) ou après cette date, les actions détaillées sont déjà en vigueur dans votre organisation. Compte AWS
Cette rubrique contient des exemples de politiques que vous pouvez associer à votre IAM rôle ou à votre groupe pour contrôler l'accès aux informations et aux outils de facturation de votre compte. Les règles de base suivantes s'appliquent aux IAM politiques de Billing and Cost Management :
-
Version
est toujours2012-10-17
. -
Effect
est toujoursAllow
ouDeny
. -
Action
est le nom de l'action ou un caractère générique (*
).Le préfixe d'action est
budgets
destiné aux AWS budgets,cur
aux rapports de AWS coûts et d'utilisation,aws-portal
à la AWS facturation ouce
à Cost Explorer. -
Resource
est toujours*
destiné à la AWS facturation.Pour les actions effectuées sur une
budget
ressource, spécifiez le budget Amazon Resource Name (ARN). -
Il peut exister plusieurs déclarations dans une seule stratégie.
Pour obtenir une liste d'exemples de politiques pour la console de facturation, consultez la section Exemples de politiques de facturation dans le guide de l'utilisateur de facturation.
Note
Ces politiques exigent que vous activiez l'accès des utilisateurs à la console Billing and Cost Management sur la page de la console Account Settings
Rubriques
- Refuser aux utilisateurs l'accès à la console Billing and Cost Management
- Refuser l'accès au widget de coût et d'utilisation de la AWS console pour les comptes membres
- Refuser l'accès au widget de coût et d'utilisation de la AWS console pour des utilisateurs et des rôles spécifiques
- Autoriser l'accès complet aux AWS services mais refuser aux utilisateurs l'accès à la console Billing and Cost Management
- Autoriser les utilisateurs à consulter la console Billing and Cost Management, à l'exception des paramètres du compte
- Autoriser les utilisateurs à modifier les informations de facturation
- Permettre aux utilisateurs de créer des budgets
- Refus de l'accès aux paramètres du compte, mais autorisation d'accès complet à toutes les autres informations de facturation et d'utilisation
- Dépôt des rapports dans un compartiment Amazon S3
- Affichage des coûts et de l'utilisation
- Activer et désactiver les AWS régions
- Affichage et mise à jour la page des préférences Cost Explorer
- Affichage, création, mise à jour et suppression à l'aide de la page des rapports Cost Explorer
- Affichage, création, mise à jour et suppression des alertes de réservation et de Savings Plans
- Autoriser l'accès en lecture seule à la détection des anomalies de AWS coûts
- Permettre aux AWS budgets d'appliquer IAM des politiques et SCPs
- Autoriser AWS les budgets à appliquer IAM les politiques, SCPs les cibles EC2 et les RDS instances
- Autoriser les utilisateurs à créer, répertorier et ajouter l'utilisation aux estimations de charge de travail dans le calculateur de prix (version préliminaire)
- Permettre aux utilisateurs de créer, de répertorier et d'ajouter des utilisations et des engagements aux scénarios de facturation dans le calculateur de prix (version préliminaire)
- Permettre aux utilisateurs de créer une estimation de facture dans le calculateur de prix (version préliminaire)
- Autoriser les utilisateurs à créer des préférences dans le calculateur de prix (version préliminaire)
Refuser aux utilisateurs l'accès à la console Billing and Cost Management
Pour refuser explicitement à un utilisateur l'accès à toutes les pages de la console Billing and Cost Management, utilisez une politique similaire à cet exemple de politique.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "aws-portal:*", "Resource": "*" } ] }
Refuser l'accès au widget de coût et d'utilisation de la AWS console pour les comptes membres
Pour restreindre l'accès du compte membre (lié) aux données de coût et d'utilisation, utilisez votre compte de gestion (souscripteur) pour accéder à l'onglet Preferences (Préférences) de Cost Explorer et décochez la case Linked Account Access (Accès au compte lié). Cela empêchera l'accès aux données de coûts et d'utilisation provenant de la console Cost Explorer (AWS Cost Management), de Cost Explorer et du widget de coûts et d'utilisation de la page d'accueil de la AWS consoleAPI, quelles que soient les IAM actions effectuées par l'utilisateur ou le rôle d'un compte membre.
Refuser l'accès au widget de coût et d'utilisation de la AWS console pour des utilisateurs et des rôles spécifiques
Pour refuser l'accès au widget relatif aux coûts et à l'utilisation de la AWS console à des utilisateurs et à des rôles spécifiques, appliquez la politique d'autorisation ci-dessous.
Note
L'ajout de cette politique à un utilisateur ou à un rôle empêchera également les utilisateurs d'accéder à la console AWS Cost Explorer (Cost Management) et à Cost ExplorerAPIs.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ce:*", "Resource": "*" } ] }
Autoriser l'accès complet aux AWS services mais refuser aux utilisateurs l'accès à la console Billing and Cost Management
Pour refuser aux utilisateurs l'accès à tout ce qui se trouve sur la console Billing and Cost Management, appliquez la politique suivante. Dans ce cas, vous devez également refuser aux utilisateurs l'accès à AWS Identity and Access Management (IAM) afin qu'ils ne puissent pas accéder aux politiques qui contrôlent l'accès aux informations et aux outils de facturation.
Important
Cette stratégie n'autorise aucune action. Utilisez cette stratégie conjointement à d'autres stratégies qui autorisent des actions spécifiques.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } ] }
Autoriser les utilisateurs à consulter la console Billing and Cost Management, à l'exception des paramètres du compte
Cette politique autorise un accès en lecture seule à l'ensemble de la console Billing and Cost Management, y compris les pages de la console Payments Method et Reports, mais refuse l'accès à la page des paramètres du compte, protégeant ainsi le mot de passe du compte, les informations de contact et les questions de sécurité.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:View*", "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
Autoriser les utilisateurs à modifier les informations de facturation
Pour permettre aux utilisateurs de modifier les informations de facturation du compte dans la console Billing and Cost Management, vous devez également autoriser les utilisateurs à consulter vos informations de facturation. L'exemple de politique suivant permet à un utilisateur de modifier les pages de la console de facturation consolidée, de préférences et de crédits. Il permet également à l'utilisateur de consulter les pages suivantes de la console Billing and Cost Management :
-
Tableau de bord
-
Cost Explorer
-
Factures
-
Commandes et factures
-
Paiement anticipé
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:*Billing", "Resource": "*" } ] }
Permettre aux utilisateurs de créer des budgets
Pour permettre aux utilisateurs de créer des budgets dans la console Billing and Cost Management, vous devez également autoriser les utilisateurs à consulter vos informations de facturation, à créer des CloudWatch alarmes et à créer SNS des notifications Amazon. L'exemple de politique suivant permet à un utilisateur de modifier la page de la console Budget.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1435216493000", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "aws-portal:ModifyBilling", "budgets:ViewBudget", "budgets:ModifyBudget" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216514000", "Effect": "Allow", "Action": [ "cloudwatch:*" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216552000", "Effect": "Allow", "Action": [ "sns:*" ], "Resource": [ "arn:aws:sns:us-east-1::" ] } ] }
Refus de l'accès aux paramètres du compte, mais autorisation d'accès complet à toutes les autres informations de facturation et d'utilisation
Pour protéger le mot de passe, les informations de contact et les questions de sécurité de votre compte, vous pouvez refuser aux utilisateurs l'accès aux paramètres du compte tout en garantissant un accès complet au reste des fonctionnalités de la console Billing and Cost Management, comme illustré dans l'exemple suivant.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:*Billing", "aws-portal:*Usage", "aws-portal:*PaymentMethods" ], "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
Dépôt des rapports dans un compartiment Amazon S3
La politique suivante permet à Billing and Cost Management d'enregistrer vos AWS factures détaillées dans un compartiment Amazon S3, à condition que vous soyez propriétaire à la fois du AWS compte et du compartiment Amazon S3. Notez que cette politique doit être appliquée au compartiment Amazon S3, et non à un utilisateur. En d'autres termes, il s'agit d'une stratégie basée sur les ressources, et non sur l'utilisateur. Vous devez refuser l'accès au bucket aux utilisateurs qui n'ont pas besoin d'accéder à vos factures.
Remplacez bucketname
avec le nom de votre compartiment.
Pour plus d'informations, consultez Utilisation des politiques de compartiment et des stratégies d'utilisateur dans le Guide de l'utilisateur Amazon Simple Storage Service.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": [ "s3:GetBucketAcl", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::
bucketname
" }, { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucketname
/*" } ] }
Affichage des coûts et de l'utilisation
Pour autoriser les utilisateurs à utiliser le AWS Cost ExplorerAPI, appliquez la politique suivante pour leur accorder l'accès.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:*" ], "Resource": [ "*" ] } ] }
Activer et désactiver les AWS régions
Pour un exemple de IAM politique permettant aux utilisateurs d'activer et de désactiver les régions, voir AWS: Autoriser l'activation et la désactivation des AWS régions dans le guide de l'IAMutilisateur.
Affichage et mise à jour la page des préférences Cost Explorer
Cette politique permet à un utilisateur de consulter et de mettre à jour à l'aide de la page des préférences de Cost Explorer.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:UpdatePreferences" ], "Resource": "*" } ] }
La politique suivante autorise les utilisateurs à consulter Cost Explorer, mais leur refuse l'autorisation d'afficher ou de modifier la page des préférences.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:GetPreferences", "ce:UpdatePreferences" ], "Resource": "*" } ] }
La politique suivante permet aux utilisateurs d'afficher Cost Explorer, mais de refuser l'autorisation de modifier la page des préférences.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:UpdatePreferences" ], "Resource": "*" } ] }
Affichage, création, mise à jour et suppression à l'aide de la page des rapports Cost Explorer
Cette politique permet à un utilisateur de consulter, de créer, de mettre à jour et de supprimer à l'aide de la page des rapports de Cost Explorer.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
La politique suivante autorise les utilisateurs à consulter Cost Explorer, mais leur refuse l'autorisation de consulter ou de modifier la page Rapports.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeReport", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
La politique suivante permet aux utilisateurs de consulter Cost Explorer, mais de refuser l'autorisation de modifier la page Rapports.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
Affichage, création, mise à jour et suppression des alertes de réservation et de Savings Plans
Cette politique permet à un utilisateur de consulter, de créer, de mettre à jour et de supprimer les alertes d'expiration des réservations et les alertes Savings Plans. Pour modifier les alertes d'expiration de réservation ou les alertes de Savings Plans, un utilisateur a besoin des trois actions détaillées suivantes :ce:CreateNotificationSubscription
, ce:UpdateNotificationSubscription
et ce:DeleteNotificationSubscription
.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
La politique suivante autorise les utilisateurs à consulter Cost Explorer, mais refuse l'autorisation de consulter ou de modifier les pages d'alertes d'expiration des réservations et d'alerte Savings Plans.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeNotificationSubscription", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
La politique suivante permet aux utilisateurs de consulter Cost Explorer, mais refuse l'autorisation de modifier les pages d'alerte d'expiration des réservations et d'alerte Savings Plans.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
Autoriser l'accès en lecture seule à la détection des anomalies de AWS coûts
Pour autoriser les utilisateurs à accéder en lecture seule à AWS Cost Anomaly Detection, appliquez la politique suivante pour leur accorder l'accès. ce:ProvideAnomalyFeedback
est facultatif dans le cadre de l'accès en lecture seule.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ce:Get*" ], "Effect": "Allow", "Resource": "*" } ] }
Permettre aux AWS budgets d'appliquer IAM des politiques et SCPs
Cette politique permet à AWS Budgets d'appliquer IAM des politiques et des politiques de contrôle des services (SCPs) au nom de l'utilisateur.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy" ], "Resource": "*" } ] }
Autoriser AWS les budgets à appliquer IAM les politiques, SCPs les cibles EC2 et les RDS instances
Cette politique permet à AWS Budgets d'appliquer des IAM politiques et des politiques de contrôle des services (SCPs) et de cibler les RDS instances Amazon EC2 et Amazon au nom de l'utilisateur.
Politique d’approbation
Note
Cette politique de confiance permet à AWS Budgets d'assumer un rôle qui peut appeler d'autres services en votre nom. Pour plus d'informations sur les meilleures pratiques relatives aux autorisations interservices de ce type, consultezPrévention du cas de figure de l’adjoint désorienté entre services.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "budgets.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:budgets::123456789012:budget/*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } ] }
Politique d'autorisations
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance", "ssm:StartAutomationExecution" ], "Resource": "*" } ] }
Autoriser les utilisateurs à créer, répertorier et ajouter l'utilisation aux estimations de charge de travail dans le calculateur de prix (version préliminaire)
Cette politique permet aux IAM utilisateurs de créer, de répertorier et d'ajouter de l'utilisation aux estimations de charge de travail, ainsi que des autorisations pour interroger les données Cost Explorer afin d'obtenir des données historiques sur les coûts et l'utilisation.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "WorkloadEstimate", "Effect": "Allow", "Action": [ "ce:GetCostCategories", "ce:GetDimensionValues", "ce:GetCostAndUsage", "ce:GetTags", "bcm-pricing-calculator:GetWorkloadEstimate", "bcm-pricing-calculator:ListWorkloadEstimateUsage", "bcm-pricing-calculator:CreateWorkloadEstimate", "bcm-pricing-calculator:ListWorkloadEstimates", "bcm-pricing-calculator:CreateWorkloadEstimateUsage", "bcm-pricing-calculator:UpdateWorkloadEstimateUsage" ], "Resource": "*" } ] }
Permettre aux utilisateurs de créer, de répertorier et d'ajouter des utilisations et des engagements aux scénarios de facturation dans le calculateur de prix (version préliminaire)
Cette politique permet aux IAM utilisateurs de créer, de répertorier et d'ajouter des utilisations et des engagements aux scénarios de facturation. Les autorisations Cost Explorer n'étant pas ajoutées, vous ne pourrez pas charger de données historiques.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "BillScenario", "Effect": "Allow", "Action": [ "bcm-pricing-calculator:CreateBillScenario", "bcm-pricing-calculator:GetBillScenario", "bcm-pricing-calculator:ListBillScenarios", "bcm-pricing-calculator:CreateBillScenarioUsageModification", "bcm-pricing-calculator:UpdateBillScenarioUsageModification", "bcm-pricing-calculator:ListBillScenarioUsageModifications", "bcm-pricing-calculator:ListBillScenarioCommitmentModifications" ], "Resource": "*" } ] }
Permettre aux utilisateurs de créer une estimation de facture dans le calculateur de prix (version préliminaire)
Cette politique permet aux IAM utilisateurs de créer une estimation de facture et de répertorier les rubriques d'estimation de facture.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "BillEstimate", "Effect": "Allow", "Action": [ "bcm-pricing-calculator:CreateBillEstimate", "bcm-pricing-calculator:GetBillEstimate", "bcm-pricing-calculator:UpdateBillEstimate", "bcm-pricing-calculator:ListBillEstimates", "bcm-pricing-calculator:ListBillEstimateLineItems", "bcm-pricing-calculator:ListBillEstimateCommitments", "bcm-pricing-calculator:ListBillEstimateInputUsageModifications", "bcm-pricing-calculator:ListBillEstimateInputCommitmentModifications" ], "Resource": "*" } ] }
Autoriser les utilisateurs à créer des préférences dans le calculateur de prix (version préliminaire)
Cette politique permet aux IAM utilisateurs de créer et d'obtenir des préférences tarifaires.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RatePreferences", "Effect": "Allow", "Action": [ "bcm-pricing-calculator:GetPreferences", "bcm-pricing-calculator:UpdatePreferences" ], "Resource": "*" } ] }