Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS Esempi di politiche di gestione dei costi
Nota
Le seguenti azioni AWS Identity and Access Management (IAM) hanno raggiunto la fine del supporto standard a luglio 2023:
-
Spazio dei nomi
aws-portal -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
Se utilizzi AWS Organizations, puoi utilizzare gli script di Bulk Policy Migrator per aggiornare le politiche dal tuo account di pagamento. Puoi anche utilizzare il riferimento alla mappatura dalle vecchie operazioni alle operazioni granulari per verificare le operazioni IAM da aggiungere.
Per ulteriori informazioni, consulta il blog Modifiche alla AWS fatturazione, alla gestione dei AWS costi e alle autorizzazioni di Account
Se ne hai AWS Organizations creato uno Account AWS o ne fai parte a partire dal 6 marzo 2023 alle 11:00 (PDT) del 6 marzo 2023, le azioni dettagliate sono già in vigore nella tua organizzazione.
Questo argomento contiene esempi di policy che puoi allegare al tuo ruolo o gruppo IAM per controllare l'accesso alle informazioni e agli strumenti di fatturazione del tuo account. Alle policy IAM per la gestione fatturazione e costi si applicano le seguenti regole di base:
-
Versionè sempre2012-10-17. -
Effectè sempreAllowoDeny. -
Actionè il nome dell'operazione o un carattere jolly (*).Il prefisso dell'azione è
budgetsper AWS Budgets,curper AWS Cost and Usage Reports,aws-portalper AWS Billing o per CostceExplorer. -
Resourceè sempre*utilizzato per la fatturazione. AWSPer operazioni eseguite su una risorsa
budget, specifica l'Amazon Resource Name (ARN) del budget. -
È possibile avere più dichiarazioni in una policy.
Per un elenco di esempi di policy per la console di fatturazione, consulta Esempi di policy di fatturazione nella guida per l'utente di Billing.
Nota
Queste politiche richiedono l'attivazione dell'accesso degli utenti alla console di Billing and Cost Management nella pagina della console delle impostazioni dell'account
Argomenti
- Negare agli utenti l'accesso alla console Billing and Cost Management
- Nega l'accesso ai widget relativi ai costi e all'utilizzo AWS della Console per gli account dei membri
- Nega l'accesso al widget relativo ai costi e all'utilizzo della AWS Console a utenti e ruoli specifici
- Consenti l'accesso completo ai AWS servizi ma nega agli utenti l'accesso alla console Billing and Cost Management
- Consenti agli utenti di visualizzare la console Billing and Cost Management ad eccezione delle impostazioni dell'account
- Consenti agli utenti di modificare le informazioni di fatturazione
- Consenti agli utenti di creare budget
- Nega l'accesso alle impostazioni dell'account, ma permette l'accesso completo a tutte le altre informazioni di fatturazione e utilizzo
- Archivia i report in un bucket Amazon S3
- Visualizzazione di costi e utilizzo
- Abilita e disabilita AWS le regioni
- Visualizzazione e aggiornamento della pagina delle preferenze di Cost Explorer
- Visualizzazione, creazione, aggiornamento ed eliminazione tramite la pagina dei report di Cost Explorer
- Visualizzare, creare, aggiornare ed eliminare gli avvisi relativi ai Savings Plans
- Consenti l'accesso in sola lettura a Cost Anomaly Detection AWS
- Consenti a AWS Budgets di applicare le policy IAM e SCPs
- Consenti a AWS Budgets di applicare le policy IAM e le istanze Target SCPs EC2 e RDS
- Consenti agli utenti di creare, elencare e aggiungere l'utilizzo alle stime del carico di lavoro in Pricing Calculator (Preview)
- Consenti agli utenti di creare, elencare e aggiungere utilizzi e impegni agli scenari di fatturazione in Pricing Calculator (Preview)
- Consenti agli utenti di creare una stima delle fatture in Pricing Calculator (Preview)
- Consenti agli utenti di creare preferenze in Pricing Calculator (Preview)
- Consenti agli utenti di creare, gestire e condividere visualizzazioni di fatturazione personalizzate
- Consenti agli utenti di accedere a Cost Explorer quando accedono a una visualizzazione di fatturazione personalizzata specifica
Negare agli utenti l'accesso alla console Billing and Cost Management
Per negare esplicitamente a un utente l'accesso a tutte le pagine della console di Billing and Cost Management, utilizza una politica simile a questa politica di esempio.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "aws-portal:*", "Resource": "*" } ] }
Nega l'accesso ai widget relativi ai costi e all'utilizzo AWS della Console per gli account dei membri
Per limitare l'accesso dell'account membro (collegato) ai dati sui costi e sull'utilizzo, utilizza il conto di gestione (entità pagante) per accedere alla scheda delle preferenze di Cost Explorer e deseleziona Linked Account Access (Accesso account collegati). Ciò impedirà l'accesso ai dati su costi e utilizzo dalla console Cost Explorer (AWS Cost Management), dall'API Cost Explorer e dal widget di costo e utilizzo della home page della AWS Console indipendentemente dalle azioni IAM dell'utente o del ruolo di un account membro.
Nega l'accesso al widget relativo ai costi e all'utilizzo della AWS Console a utenti e ruoli specifici
Per negare l'accesso ai widget relativi ai costi e all'utilizzo della AWS Console a utenti e ruoli specifici, utilizza la politica di autorizzazione riportata di seguito.
Nota
L'aggiunta di questo criterio a un utente o a un ruolo negherà agli utenti l'accesso anche alla console Cost Explorer (AWS Cost Management) e a Cost Explorer APIs .
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ce:*", "Resource": "*" } ] }
Consenti l'accesso completo ai AWS servizi ma nega agli utenti l'accesso alla console Billing and Cost Management
Per negare agli utenti l'accesso a tutto ciò che si trova nella console di Billing and Cost Management, utilizza la seguente politica. In questo caso, dovresti anche negare l'accesso degli utenti a AWS Identity and Access Management (IAM) in modo che gli utenti non possano accedere alle politiche che controllano l'accesso alle informazioni e agli strumenti di fatturazione.
Importante
Questa policy non consente alcuna operazione. Utilizza questa policy in combinazione con altre policy che consentono operazioni specifiche.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } ] }
Consenti agli utenti di visualizzare la console Billing and Cost Management ad eccezione delle impostazioni dell'account
Questo criterio consente l'accesso in sola lettura a tutta la console di Billing and Cost Management, incluse le pagine della console Payments Method e Reports, ma nega l'accesso alla pagina Impostazioni account, proteggendo così la password dell'account, le informazioni di contatto e le domande di sicurezza.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:View*", "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
Consenti agli utenti di modificare le informazioni di fatturazione
Per consentire agli utenti di modificare le informazioni di fatturazione dell'account nella console Billing and Cost Management, devi inoltre consentire agli utenti di visualizzare le tue informazioni di fatturazione. Il seguente esempio di policy consente a un utente di modificare le pagine della console Consolidated Billing, Preferenze e Crediti. Consente inoltre a un utente di visualizzare le seguenti pagine della console di Billing and Cost Management:
-
Dashboard (Pannello di controllo)
-
Cost Explorer
-
Fatture
-
Ordini e fatture
-
Pagamento avanzato
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:*Billing", "Resource": "*" } ] }
Consenti agli utenti di creare budget
Per consentire agli utenti di creare budget nella console Billing and Cost Management, devi anche consentire agli utenti di visualizzare i tuoi dati di fatturazione, CloudWatch creare allarmi e creare notifiche Amazon SNS. Il seguente esempio di policy consente a un utente di modificare la pagina della console Budget.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1435216493000", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "aws-portal:ModifyBilling", "budgets:ViewBudget", "budgets:ModifyBudget" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216514000", "Effect": "Allow", "Action": [ "cloudwatch:*" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216552000", "Effect": "Allow", "Action": [ "sns:*" ], "Resource": [ "arn:aws:sns:us-east-1::" ] } ] }
Nega l'accesso alle impostazioni dell'account, ma permette l'accesso completo a tutte le altre informazioni di fatturazione e utilizzo
Per proteggere la password dell'account, le informazioni di contatto e le domande di sicurezza, puoi negare l'accesso utente alle Impostazioni dell'account pur continuando a consentire l'accesso completo al resto delle funzionalità nella console di Billing and Cost Management, come mostrato nell'esempio seguente.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:*Billing", "aws-portal:*Usage", "aws-portal:*PaymentMethods" ], "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
Archivia i report in un bucket Amazon S3
La seguente politica consente a Billing and Cost Management di salvare le fatture AWS dettagliate in un bucket Amazon S3, a condizione che tu possieda sia AWS l'account che il bucket Amazon S3. Tieni presente che questa politica deve essere applicata al bucket Amazon S3, anziché a un utente. Si tratta di una policy basata sulle risorse e non sugli utenti. Devi rifiutare l'accesso al bucket agli utenti che non necessitano di accedere alle tue fatture.
Sostituisci bucketname con il nome del tuo bucket.
Per maggiori informazioni, consulta Utilizzo delle policy di bucket e delle policy utente nella Guida per l'utente di Amazon Simple Storage Service.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": [ "s3:GetBucketAcl", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::bucketname" }, { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucketname/*" } ] }
Visualizzazione di costi e utilizzo
Per consentire agli utenti di utilizzare l'API AWS Cost Explorer, utilizza la seguente politica per concedere loro l'accesso.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:*" ], "Resource": [ "*" ] } ] }
Abilita e disabilita AWS le regioni
Per un esempio di policy IAM che consente agli utenti di abilitare e disabilitare le regioni, consulta AWS: Allows Enabling and Disabling AWS Regions nella IAM User Guide.
Visualizzazione e aggiornamento della pagina delle preferenze di Cost Explorer
Questo criterio consente a un utente di visualizzare e aggiornare utilizzando la pagina delle preferenze di Cost Explorer.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:UpdatePreferences" ], "Resource": "*" } ] }
La seguente politica consente agli utenti di visualizzare Cost Explorer, ma nega l'autorizzazione a visualizzare o modificare la pagina Preferenze.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:GetPreferences", "ce:UpdatePreferences" ], "Resource": "*" } ] }
La seguente politica consente agli utenti di visualizzare Cost Explorer, ma nega l'autorizzazione a modificare la pagina Preferenze.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:UpdatePreferences" ], "Resource": "*" } ] }
Visualizzazione, creazione, aggiornamento ed eliminazione tramite la pagina dei report di Cost Explorer
Questa politica consente a un utente di visualizzare, creare, aggiornare ed eliminare utilizzando la pagina dei report di Cost Explorer.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
La seguente politica consente agli utenti di visualizzare Cost Explorer, ma nega l'autorizzazione a visualizzare o modificare la pagina Report.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeReport", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
La seguente politica consente agli utenti di visualizzare Cost Explorer, ma nega l'autorizzazione a modificare la pagina Report.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
Visualizzare, creare, aggiornare ed eliminare gli avvisi relativi ai Savings Plans
Questa politica consente a un utente di visualizzare, creare, aggiornare ed eliminare gli avvisi di scadenza delle prenotazioni e gli avvisi Savings Plans. Per modificare gli avvisi scadenze di prenotazioni o gli avvisi Savings Plans, un utente ha bisogno di tutte e tre le azioni granulari: ce:CreateNotificationSubscription, ce:UpdateNotificationSubscription, e ce:DeleteNotificationSubscription.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
La seguente politica consente agli utenti di visualizzare Cost Explorer, ma nega l'autorizzazione a visualizzare o modificare le pagine di avviso Reservation Expiration Alerts e Savings Plans.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeNotificationSubscription", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
La seguente politica consente agli utenti di visualizzare Cost Explorer, ma nega l'autorizzazione a modificare le pagine di avviso Reservation Explosion Alerts e Savings Plans.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
Consenti l'accesso in sola lettura a Cost Anomaly Detection AWS
Per consentire agli utenti l'accesso in sola lettura a AWS Cost Anomaly Detection, utilizza la seguente politica per concedere loro l'accesso. ce:ProvideAnomalyFeedbackè facoltativo come parte dell'accesso in sola lettura.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ce:Get*" ], "Effect": "Allow", "Resource": "*" } ] }
Consenti a AWS Budgets di applicare le policy IAM e SCPs
Questa policy consente a AWS Budgets di applicare le policy IAM e le policy di controllo del servizio (SCPs) per conto dell'utente.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy" ], "Resource": "*" } ] }
Consenti a AWS Budgets di applicare le policy IAM e le istanze Target SCPs EC2 e RDS
Questa policy consente a AWS Budgets di applicare le policy IAM e le policy di controllo dei servizi (SCPs) e di indirizzare le istanze Amazon EC2 e Amazon RDS per conto dell'utente.
Policy di attendibilità
Nota
Questa politica di fiducia consente a AWS Budgets di assumere un ruolo che può richiedere altri servizi per tuo conto. Per ulteriori informazioni sulle migliori pratiche per autorizzazioni interservizi come queste, consulta. Prevenzione del confused deputy tra servizi
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "budgets.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:budgets::123456789012:budget/*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } ] }
Policy delle autorizzazioni
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance", "ssm:StartAutomationExecution" ], "Resource": "*" } ] }
Consenti agli utenti di creare, elencare e aggiungere l'utilizzo alle stime del carico di lavoro in Pricing Calculator (Preview)
Questa policy consente agli utenti IAM di creare, elencare e aggiungere l'utilizzo alle stime del carico di lavoro, oltre alle autorizzazioni per interrogare i dati di Cost Explorer per ottenere dati storici su costi e utilizzo.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "WorkloadEstimate", "Effect": "Allow", "Action": [ "ce:GetCostCategories", "ce:GetDimensionValues", "ce:GetCostAndUsage", "ce:GetTags", "bcm-pricing-calculator:GetWorkloadEstimate", "bcm-pricing-calculator:ListWorkloadEstimateUsage", "bcm-pricing-calculator:CreateWorkloadEstimate", "bcm-pricing-calculator:ListWorkloadEstimates", "bcm-pricing-calculator:CreateWorkloadEstimateUsage", "bcm-pricing-calculator:UpdateWorkloadEstimateUsage" ], "Resource": "*" } ] }
Consenti agli utenti di creare, elencare e aggiungere utilizzi e impegni agli scenari di fatturazione in Pricing Calculator (Preview)
Questa policy consente agli utenti IAM di creare, elencare e aggiungere utilizzi e impegni agli scenari di fatturazione. Le autorizzazioni di Cost Explorer non vengono aggiunte, quindi non potrai caricare dati storici.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "BillScenario", "Effect": "Allow", "Action": [ "bcm-pricing-calculator:CreateBillScenario", "bcm-pricing-calculator:GetBillScenario", "bcm-pricing-calculator:ListBillScenarios", "bcm-pricing-calculator:CreateBillScenarioUsageModification", "bcm-pricing-calculator:UpdateBillScenarioUsageModification", "bcm-pricing-calculator:ListBillScenarioUsageModifications", "bcm-pricing-calculator:ListBillScenarioCommitmentModifications" ], "Resource": "*" } ] }
Consenti agli utenti di creare una stima delle fatture in Pricing Calculator (Preview)
Questa politica consente agli utenti IAM di creare una stima delle fatture ed elencare le voci relative alla stima delle fatture.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "BillEstimate", "Effect": "Allow", "Action": [ "bcm-pricing-calculator:CreateBillEstimate", "bcm-pricing-calculator:GetBillEstimate", "bcm-pricing-calculator:UpdateBillEstimate", "bcm-pricing-calculator:ListBillEstimates", "bcm-pricing-calculator:ListBillEstimateLineItems", "bcm-pricing-calculator:ListBillEstimateCommitments", "bcm-pricing-calculator:ListBillEstimateInputUsageModifications", "bcm-pricing-calculator:ListBillEstimateInputCommitmentModifications" ], "Resource": "*" } ] }
Consenti agli utenti di creare preferenze in Pricing Calculator (Preview)
Questa politica consente agli utenti IAM di creare e ottenere preferenze tariffarie.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RatePreferences", "Effect": "Allow", "Action": [ "bcm-pricing-calculator:GetPreferences", "bcm-pricing-calculator:UpdatePreferences" ], "Resource": "*" } ] }
Consenti agli utenti di creare, gestire e condividere visualizzazioni di fatturazione personalizzate
Questa policy consente agli utenti IAM di creare, gestire e condividere visualizzazioni di fatturazione personalizzate. Avranno bisogno della capacità di creare e gestire visualizzazioni di fatturazione personalizzate utilizzando Billing View e della possibilità di creare e associare condivisioni di AWS risorse utilizzando Resource Access Manager (AWS RAM).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "billing:CreateBillingView", "billing:UpdateBillingView", "billing:DeleteBillingView", "billing:GetBillingView", "billing:ListBillingViews", "billing:ListTagsForResource", "billing:PutResourcePolicy", "ce:GetCostAndUsage", "ce:GetTags", "organizations:ListAccounts", "ram:ListResources", "ram:ListPermissions", "ram:CreateResourceShare", "ram:AssociateResourceShare", "ram:GetResourceShares", "ram:GetResourceShareAssociations", "ram:ListResourceSharePermissions", "ram:ListResourceTypes", "ram:ListPrincipals", "ram:DisassociateResourceShare" ], "Resource": "*" } ] }
Consenti agli utenti di accedere a Cost Explorer quando accedono a una visualizzazione di fatturazione personalizzata specifica
Questa policy consente agli utenti IAM di accedere a Cost Explorer quando accedono a una visualizzazione di fatturazione personalizzata specifica (custom-1a2b3c4d). 123456789012Sostituiscilo con l'ID dell' AWS account a 12 cifre e 1a2b3c4d con l'identificatore univoco della visualizzazione di fatturazione personalizzata.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:GetDimensionValues", "ce:GetCostAndUsageWithResources", "ce:GetCostAndUsage", "ce:GetCostForecast", "ce:GetTags", "ce:GetUsageForecast", "ce:GetCostCategories" ], "Resource": [ "arn:aws:billing::123456789012:billingview/custom-1a2b3c4d" ] }, { "Effect": "Allow", "Action": [ "billing:ListBillingViews", "billing:GetBillingView" ], "Resource": "*" } ] }
