Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de politiques basées sur l'identité (politiques IAM) pour la gestion des coûts AWS
Note
Les actions AWS Identity and Access Management (IAM) suivantes ont atteint la fin du support standard en juillet 2023 :
-
Espace de noms
aws-portal -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
Si vous en utilisez AWS Organizations, vous pouvez utiliser les scripts de migration de politiques en masse pour mettre à jour les politiques depuis votre compte payeur. Vous pouvez également utiliser la référence du mappage entre les anciennes et les nouvelles actions détaillées pour vérifier les actions IAM qui doivent être ajoutées.
Pour plus d'informations, consultez le blog sur les modifications apportées à la AWS facturation, à la gestion des AWS coûts et aux autorisations des consoles de comptes
Si vous en avez AWS Organizations créé un ou en faites partie le 6 mars 2023 ou après cette date, 11 h 00 (PDT), les actions détaillées sont déjà en vigueur dans votre organisation. Compte AWS
Cette rubrique fournit des exemples de politiques basées sur l'identité qui montrent comment un administrateur de compte peut associer des politiques d'autorisations aux identités IAM (rôles et groupes) et ainsi accorder des autorisations pour effectuer des opérations sur les ressources de Billing and Cost Management.
Pour une discussion complète sur les AWS comptes et les utilisateurs, voir Qu'est-ce que l'IAM ? dans le guide de l'utilisateur IAM.
Pour plus d'informations sur la façon dont vous pouvez mettre à jour les politiques gérées par le client, voir Modifier les politiques gérées par le client (console) dans le guide de l'utilisateur IAM.
Rubriques
Stratégies d'actions de Gestion de la facturation et des coûts
Ce tableau récapitule les autorisations qui accordent ou refusent à des utilisateurs l'accès à vos informations et outils de facturation. Pour obtenir des exemples de stratégies qui utilisent ces autorisations, consultez AWS Exemples de politiques de gestion des coûts.
Pour obtenir la liste des politiques relatives aux actions pour la console de facturation, consultez la section Politiques relatives aux actions de facturation dans le guide de l'utilisateur de facturation.
| Nom de l'autorisation | Description |
|---|---|
|
|
Autorisez ou refusez aux utilisateurs l'autorisation de consulter les pages de la console Billing and Cost Management. Pour un exemple de politique, voir Autoriser les utilisateurs d'IAM à consulter vos informations de facturation dans le Guide de l'utilisateur de facturation. |
aws-portal:ViewUsage |
Autorisez ou refusez aux utilisateurs l'autorisation de consulter les rapports AWS Pour permettre aux utilisateurs de consulter les rapports d'utilisation, vous devez autoriser à la fois Pour un exemple de politique, voir Autoriser les utilisateurs IAM à accéder à la page de la console de rapports dans le Guide de l'utilisateur de facturation. |
|
|
Permet d'accorder ou de refuser aux utilisateurs l'autorisation de modifier les pages suivantes de la console Billing and Cost Management : Pour permettre aux utilisateurs de modifier ces pages de console, vous devez autoriser à la fois |
|
|
Permet d'accorder ou de refuser aux utilisateurs l'autorisation d'afficher les pages suivantes de la console Billing and Cost Management : |
aws-portal:ModifyAccount |
Autorisez ou refusez aux utilisateurs l'autorisation de modifier les paramètres du compte Pour permettre aux utilisateurs de modifier les paramètres du compte, vous devez autoriser à la fois Pour un exemple de politique qui refuse explicitement à un utilisateur l'accès à la page de console des paramètres du compte, consultezRefus de l'accès aux paramètres du compte, mais autorisation d'accès complet à toutes les autres informations de facturation et d'utilisation. |
budgets:ViewBudget |
Autorisez ou refusez aux utilisateurs l'autorisation de consulter les budgets Pour permettre aux utilisateurs de consulter les budgets, vous devez également autoriser |
budgets:ModifyBudget |
Autorisez ou refusez aux utilisateurs l'autorisation de modifier les budgets Pour permettre aux utilisateurs de consulter et de modifier les budgets, vous devez également autoriser |
ce:GetPreferences |
Autorisez ou refusez aux utilisateurs l'autorisation d'afficher la page des préférences de Cost Explorer. Pour un exemple de politique, consultez Affichage et mise à jour la page des préférences Cost Explorer. |
ce:UpdatePreferences |
Autorisez ou refusez aux utilisateurs l'autorisation de mettre à jour la page des préférences de Cost Explorer. Pour un exemple de politique, consultez Affichage et mise à jour la page des préférences Cost Explorer. |
ce:DescribeReport |
Autorisez ou refusez aux utilisateurs l'autorisation de consulter la page des rapports de Cost Explorer. Pour un exemple de politique, consultez Affichage, création, mise à jour et suppression à l'aide de la page des rapports Cost Explorer. |
ce:CreateReport |
Autorisez ou refusez aux utilisateurs l'autorisation de créer des rapports à l'aide de la page des rapports de Cost Explorer. Pour un exemple de politique, consultez Affichage, création, mise à jour et suppression à l'aide de la page des rapports Cost Explorer. |
ce:UpdateReport |
Autorisez ou refusez aux utilisateurs les autorisations de mise à jour à l'aide de la page des rapports de Cost Explorer. Pour un exemple de politique, consultez Affichage, création, mise à jour et suppression à l'aide de la page des rapports Cost Explorer. |
ce:DeleteReport |
Autorisez ou refusez aux utilisateurs l'autorisation de supprimer des rapports à l'aide de la page des rapports de Cost Explorer. Pour un exemple de politique, consultez Affichage, création, mise à jour et suppression à l'aide de la page des rapports Cost Explorer. |
ce:DescribeNotificationSubscription |
Autorisez ou refusez aux utilisateurs l'autorisation de consulter les alertes d'expiration des réservations de Cost Explorer sur la page d'aperçu des réservations. Pour un exemple de politique, consultez Affichage, création, mise à jour et suppression des alertes de réservation et de Savings Plans. |
ce:CreateNotificationSubscription |
Autorisez ou refusez aux utilisateurs l'autorisation de créer des alertes d'expiration de réservation Cost Explorer sur la page d'aperçu des réservations. Pour un exemple de politique, consultez Affichage, création, mise à jour et suppression des alertes de réservation et de Savings Plans. |
ce:UpdateNotificationSubscription |
Autorisez ou refusez aux utilisateurs l'autorisation de mettre à jour les alertes d'expiration des réservations de Cost Explorer sur la page d'aperçu des réservations. Pour un exemple de politique, consultez Affichage, création, mise à jour et suppression des alertes de réservation et de Savings Plans. |
ce:DeleteNotificationSubscription |
Autorisez ou refusez aux utilisateurs l'autorisation de supprimer les alertes d'expiration des réservations Cost Explorer sur la page d'aperçu des réservations. Pour un exemple de politique, consultez Affichage, création, mise à jour et suppression des alertes de réservation et de Savings Plans. |
ce:CreateCostCategoryDefinition |
Accorder ou refuser à des utilisateurs l’autorisation de créer des catégories de coûts. Pour un exemple de politique, voir Afficher et gérer les catégories de coûts dans le Guide de l'utilisateur de facturation. Vous pouvez ajouter des balises de ressources aux moniteurs pendant |
ce:DeleteCostCategoryDefinition |
Accorder ou refuser à des utilisateurs l’autorisation de supprimer des catégories de coûts. Pour un exemple de politique, voir Afficher et gérer les catégories de coûts dans le Guide de l'utilisateur de facturation. |
ce:DescribeCostCategoryDefinition |
Accorder ou refuser aux utilisateurs l’autorisation d’afficher les catégories de coûts. Pour un exemple de politique, voir Afficher et gérer les catégories de coûts dans le Guide de l'utilisateur de facturation. |
ce:ListCostCategoryDefinitions |
Accorder ou refuser aux utilisateurs l’autorisation de répertorier les catégories de coûts. Pour un exemple de politique, voir Afficher et gérer les catégories de coûts dans le Guide de l'utilisateur de facturation. |
ce:ListTagsForResource |
Autorisez ou refusez aux utilisateurs l'autorisation de répertorier toutes les balises de ressources pour une ressource donnée. Pour obtenir la liste des ressources prises en charge, consultez ResourceTagla référence de l'AWS Billing and Cost Management API. |
ce:UpdateCostCategoryDefinition |
Accorder ou refuser aux utilisateurs l’autorisation de mettre à jour les catégories de coûts. Pour un exemple de politique, voir Afficher et gérer les catégories de coûts dans le Guide de l'utilisateur de facturation. |
ce:CreateAnomalyMonitor |
Accordez ou refusez aux utilisateurs l'autorisation de créer un seul moniteur de détection des anomalies de AWS coûts. Vous pouvez ajouter des balises de ressources aux moniteurs pendant |
ce:GetAnomalyMonitors |
Autorisez ou refusez aux utilisateurs l'autorisation de consulter tous les moniteurs de détection des anomalies de AWS coûts. |
ce:UpdateAnomalyMonitor |
Autorisez ou refusez aux utilisateurs l'autorisation de mettre à jour les moniteurs de détection des anomalies de AWS coûts. |
ce:DeleteAnomalyMonitor |
Autorisez ou refusez aux utilisateurs l'autorisation de supprimer les moniteurs de détection des anomalies de AWS coût. |
ce:CreateAnomalySubscription |
Autorisez ou refusez aux utilisateurs l'autorisation de créer un abonnement unique pour AWS Cost Anomaly Detection. Vous pouvez ajouter des balises de ressources aux abonnements en cours de validité |
ce:GetAnomalySubscriptions |
Autorisez ou refusez aux utilisateurs l'autorisation de consulter tous les abonnements à AWS Cost Anomaly Detection. |
ce:UpdateAnomalySubscription |
Autorisez ou refusez aux utilisateurs l'autorisation de mettre à jour les abonnements à AWS Cost Anomaly Detection. |
ce:DeleteAnomalySubscription |
Autorisez ou refusez aux utilisateurs l'autorisation de supprimer les abonnements AWS Cost Anomaly Detection. |
ce:GetAnomalies |
Accordez ou refusez aux utilisateurs l'autorisation de visualiser toutes les anomalies dans AWS Cost Anomaly Detection. |
ce:ProvideAnomalyFeedback |
Autorisez ou refusez aux utilisateurs l'autorisation de fournir des commentaires sur une détection d'anomalie de AWS coût détectée. |
ce:TagResource |
Autorisez ou refusez aux utilisateurs l'autorisation d'ajouter des paires clé-valeur de balise de ressource à une ressource. Pour obtenir la liste des ressources prises en charge, consultez ResourceTagla référence de l'AWS Billing and Cost Management API. |
ce:UntagResource |
Autorisez ou refusez aux utilisateurs l'autorisation de supprimer les balises de ressource d'une ressource. Pour obtenir la liste des ressources prises en charge, consultez ResourceTagla référence de l'AWS Billing and Cost Management API. |
Politiques gérées
Note
Les actions AWS Identity and Access Management (IAM) suivantes ont atteint la fin du support standard en juillet 2023 :
-
Espace de noms
aws-portal -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
Si vous en utilisez AWS Organizations, vous pouvez utiliser les scripts de migration de politiques en masse pour mettre à jour les politiques depuis votre compte payeur. Vous pouvez également utiliser la référence du mappage entre les anciennes et les nouvelles actions détaillées pour vérifier les actions IAM qui doivent être ajoutées.
Pour plus d'informations, consultez le blog sur les modifications apportées à la AWS facturation, à la gestion des AWS coûts et aux autorisations des consoles de comptes
Si vous en avez AWS Organizations créé un ou en faites partie le 6 mars 2023 ou après cette date, 11 h 00 (PDT), les actions détaillées sont déjà en vigueur dans votre organisation. Compte AWS
Les politiques gérées sont des politiques autonomes basées sur l'identité que vous pouvez associer à plusieurs utilisateurs, groupes et rôles dans votre compte. AWS Vous pouvez utiliser des politiques AWS gérées pour contrôler l'accès dans Billing and Cost Management.
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants. AWS les politiques gérées vous permettent d'attribuer plus facilement les autorisations appropriées aux utilisateurs, aux groupes et aux rôles que si vous deviez rédiger vous-même les politiques.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. AWS met occasionnellement à jour les autorisations définies dans une politique AWS gérée. Dans ce cas, la mise à jour affecte toutes les entités de principaux (utilisateurs, groupes et rôles) auxquelles la politique est attachée.
Billing and Cost Management fournit plusieurs politiques AWS gérées pour les cas d'utilisation courants.
Rubriques
- Permet un accès complet aux AWS budgets, y compris aux actions budgétaires
- Autorise le contrôle AWS des ressources
- Permet au centre d'optimisation des coûts d'appeler les services nécessaires au bon fonctionnement du service
- Permet un accès en lecture seule au Cost Optimization Hub
- Permet aux administrateurs d'accéder au hub d'optimisation des coûts
- Permet aux données de répartition des coûts fractionnées d'appeler les services nécessaires au bon fonctionnement du service
- Permet aux exportations de données d'accéder à d'autres AWS services
Permet un accès complet aux AWS budgets, y compris aux actions budgétaires
Nom de la politique gérée : AWSBudgetsActionsWithAWSResourceControlAccess
Cette politique gérée est axée sur l'utilisateur et garantit que vous disposez des autorisations appropriées pour autoriser AWS Budgets à exécuter les actions définies. Cette politique fournit un accès complet aux AWS budgets, y compris aux actions budgétaires, pour récupérer le statut de vos politiques et gérer les AWS ressources à l'aide du AWS Management Console.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "budgets:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "budgets.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "aws-portal:ModifyBilling", "ec2:DescribeInstances", "iam:ListGroups", "iam:ListPolicies", "iam:ListRoles", "iam:ListUsers", "organizations:ListAccounts", "organizations:ListOrganizationalUnitsForParent", "organizations:ListPolicies", "organizations:ListRoots", "rds:DescribeDBInstances", "sns:ListTopics" ], "Resource": "*" } ] }
Autorise le contrôle AWS des ressources
Nom de la politique gérée : AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM
Cette politique gérée est axée sur les actions spécifiques que AWS Budgets prend en votre nom lors de la réalisation d'une action spécifique. Cette politique autorise le contrôle AWS des ressources. Par exemple, démarre et arrête les instances Amazon EC2 ou Amazon RDS en exécutant des scripts AWS Systems Manager (SSM).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "ssm.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ssm:StartAutomationExecution" ], "Resource": [ "arn:aws:ssm:*:*:automation-definition/AWS-StartEC2Instance:*", "arn:aws:ssm:*:*:automation-definition/AWS-StopEC2Instance:*", "arn:aws:ssm:*:*:automation-definition/AWS-StartRdsInstance:*", "arn:aws:ssm:*:*:automation-definition/AWS-StopRdsInstance:*" ] } ] }
Permet au centre d'optimisation des coûts d'appeler les services nécessaires au bon fonctionnement du service
Nom de la politique gérée : CostOptimizationHubServiceRolePolicy
Permet à Cost Optimization Hub de récupérer des informations sur l'organisation et de collecter des données et des métadonnées liées à l'optimisation.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AwsOrgsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListParents", "organizations:DescribeOrganizationalUnit" ], "Resource": [ "*" ] }, { "Sid": "CostExplorerAccess", "Effect": "Allow", "Action": [ "ce:ListCostAllocationTags" ], "Resource": [ "*" ] } ] }
Pour plus d'informations, consultez la section Rôles liés aux services pour Cost Optimization Hub.
Permet un accès en lecture seule au Cost Optimization Hub
Nom de la politique gérée : CostOptimizationHubReadOnlyAccess
Cette politique gérée fournit un accès en lecture seule au Cost Optimization Hub.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CostOptimizationHubReadOnlyAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:ListEnrollmentStatuses", "cost-optimization-hub:GetPreferences", "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries" ], "Resource": "*" } ] }
Permet aux administrateurs d'accéder au hub d'optimisation des coûts
Nom de la politique gérée : CostOptimizationHubAdminAccess
Cette politique gérée fournit un accès administrateur au Cost Optimization Hub.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CostOptimizationHubAdminAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:ListEnrollmentStatuses", "cost-optimization-hub:UpdateEnrollmentStatus", "cost-optimization-hub:GetPreferences", "cost-optimization-hub:UpdatePreferences", "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries", "organizations:EnableAWSServiceAccess" ], "Resource": "*" }, { "Sid": "AllowCreationOfServiceLinkedRoleForCostOptimizationHub", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/cost-optimization-hub.bcm.amazonaws.com/AWSServiceRoleForCostOptimizationHub" ], "Condition": { "StringLike": { "iam:AWSServiceName": "cost-optimization-hub.bcm.amazonaws.com" } } }, { "Sid": "AllowAWSServiceAccessForCostOptimizationHub", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringLike": { "organizations:ServicePrincipal": [ "cost-optimization-hub.bcm.amazonaws.com" ] } } } ] }
Permet aux données de répartition des coûts fractionnées d'appeler les services nécessaires au bon fonctionnement du service
Nom de la politique gérée : SplitCostAllocationDataServiceRolePolicy
Permet aux données de répartition des coûts fractionnés de récupérer AWS les informations relatives aux organisations, le cas échéant, et de collecter des données de télémétrie pour les services de données de répartition des coûts partagés auxquels le client a souscrit.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AwsOrganizationsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListParents" ], "Resource": "*" }, { "Sid": "AmazonManagedServiceForPrometheusAccess", "Effect": "Allow", "Action": [ "aps:ListWorkspaces", "aps:QueryMetrics" ], "Resource": "*" } ] }
Pour plus d'informations, consultez la section Rôles liés aux services pour les données de répartition des coûts fractionnés.
Permet aux exportations de données d'accéder à d'autres AWS services
Nom de la politique gérée : AWSBCMDataExportsServiceRolePolicy
Permet aux exportations de données d'accéder à d'autres AWS services tels que Cost Optimization Hub en votre nom.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CostOptimizationRecommendationAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:ListEnrollmentStatuses", "cost-optimization-hub:ListRecommendations" ], "Resource": "*" } ] }
Pour plus d'informations, voir Rôles liés à un service pour les exportations de données.
AWS Mises à jour des politiques AWS gérées en matière de gestion des coûts
Consultez les détails des mises à jour apportées aux politiques AWS gérées pour la gestion des AWS coûts depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au fil RSS sur la page d'historique des documents de gestion des AWS coûts.
| Modification | Description | Date |
|---|---|---|
|
Ajout d'une nouvelle politique |
Data Exports a ajouté une nouvelle politique à utiliser avec les rôles liés aux services, qui permet d'accéder à d'autres AWS services tels que Cost Optimization Hub. | 10/06/2024 |
|
Ajout d'une nouvelle politique |
Les données de répartition des coûts ont ajouté une nouvelle politique à utiliser avec les rôles liés aux services, qui permet d'accéder aux AWS services et aux ressources utilisés ou gérés par des données de répartition des coûts fractionnés. | 16/04/2024 |
|
Mise à jour de la politique existante AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM |
Nous avons mis à jour la politique avec des autorisations limitées. L'ssm:StartAutomationExecutionaction n'est autorisée que pour des ressources spécifiques utilisées par les actions budgétaires. |
14/12/2023 |
|
Mise à jour des politiques existantes |
Cost Optimization Hub a mis à jour les deux politiques gérées suivantes :
|
14/12/2023 |
|
Ajout d'une nouvelle politique |
Cost Optimization Hub a ajouté une nouvelle politique à utiliser avec les rôles liés aux services, qui permet d'accéder aux AWS services et aux ressources utilisés ou gérés par le Cost Optimization Hub. | 11/02/2023 |
| AWS Cost Management a commencé à suivre les modifications | AWS Cost Management a commencé à suivre les modifications apportées AWS à ses politiques gérées | 11/02/2023 |
