Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di politiche (politiche) basate sull'identità per la gestione dei costi IAM AWS
Nota
Le seguenti AWS Identity and Access Management (IAM) azioni hanno raggiunto la fine del supporto standard a luglio 2023:
-
Spazio dei nomi
aws-portal -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
Se utilizzi AWS Organizations, puoi utilizzare gli script collettivi di Policy Migrator per aggiornare le politiche dal tuo account di pagamento. Puoi anche utilizzare il riferimento alla mappatura delle azioni da vecchio a granulare per verificare le azioni da aggiungere. IAM
Per ulteriori informazioni, consulta il blog Modifiche alla AWS fatturazione, alla gestione dei AWS costi e alle autorizzazioni di Account Consoles
Se ne hai AWS Organizations creato uno Account AWS o ne fai parte a partire dal 6 marzo 2023 alle 11:00 (PDT), le azioni dettagliate sono già in vigore nella tua organizzazione.
Questo argomento fornisce esempi di politiche basate sull'identità che dimostrano come un amministratore di account può associare criteri di autorizzazione alle IAM identità (ruoli e gruppi) e quindi concedere le autorizzazioni per eseguire operazioni sulle risorse di Billing and Cost Management.
Per una discussione completa su AWS account e utenti, vedi What Is? IAM nella Guida IAM per l'utente.
Per informazioni su come aggiornare le politiche gestite dai clienti, consulta Modifica delle politiche gestite dai clienti (console) nella Guida per l'IAMutente.
Argomenti
Policy di azioni di gestione fatturazione e costi
Questa tabella riepiloga le autorizzazioni che permettono o negano agli utenti l'accesso agli strumenti e alle informazioni di fatturazione. Per esempi di policy che utilizzano queste autorizzazioni, consulta AWS Esempi di politiche di gestione dei costi.
Per un elenco delle politiche relative alle azioni per la console di fatturazione, consulta le politiche relative alle azioni di fatturazione nella guida per l'utente di Billing.
| Nome autorizzazione | Descrizione |
|---|---|
|
|
Consenti o nega agli utenti l'autorizzazione a visualizzare le pagine della console di Billing and Cost Management. Per un esempio di politica, consulta Consentire IAM agli utenti di visualizzare le informazioni di fatturazione nella Billing User Guide. |
aws-portal:ViewUsage |
Consenti o nega agli utenti l'autorizzazione a visualizzare AWS i report di utilizzo. Per consentire agli utenti di visualizzare i report sull'utilizzo, è necessario consentire entrambi Per un esempio di politica, consulta Consentire IAM agli utenti di accedere alla pagina della console dei report nella Billing User Guide. |
|
|
Concede o rifiuta agli utenti l'autorizzazione a modificare le seguenti pagine della console Gestione di costi e fatturazione: Per consentire agli utenti di modificare queste pagine della console, devi consentire entrambe |
|
|
Concede o rifiuta agli utenti l'autorizzazione a visualizzare le seguenti pagine della console Gestione di costi e fatturazione: |
aws-portal:ModifyAccount |
Consenti o nega agli utenti l'autorizzazione a modificare le impostazioni dell'account Per consentire agli utenti di modificare le impostazioni dell'account, devi consentire entrambi Per un esempio di politica che nega esplicitamente a un utente l'accesso alla pagina della console delle impostazioni dell'account, vedi. Nega l'accesso alle impostazioni dell'account, ma permette l'accesso completo a tutte le altre informazioni di fatturazione e utilizzo |
budgets:ViewBudget |
Consentire o negare agli utenti l'autorizzazione a visualizzare i budget. Per consentire agli utenti di visualizzare i budget, devi anche consentire. |
budgets:ModifyBudget |
Consenti o nega agli utenti l'autorizzazione a modificare i budget. Per consentire agli utenti di visualizzare e modificare i budget, devi anche consentire. |
ce:GetPreferences |
Consenti o nega agli utenti le autorizzazioni per visualizzare la pagina delle preferenze di Cost Explorer. Per un esempio di policy, consulta Visualizzazione e aggiornamento della pagina delle preferenze di Cost Explorer. |
ce:UpdatePreferences |
Consenti o nega agli utenti le autorizzazioni per aggiornare la pagina delle preferenze di Cost Explorer. Per un esempio di policy, consulta Visualizzazione e aggiornamento della pagina delle preferenze di Cost Explorer. |
ce:DescribeReport |
Consenti o nega agli utenti le autorizzazioni per visualizzare la pagina dei report di Cost Explorer. Per un esempio di policy, consulta Visualizzazione, creazione, aggiornamento ed eliminazione tramite la pagina dei report di Cost Explorer. |
ce:CreateReport |
Consenti o nega agli utenti le autorizzazioni per creare report utilizzando la pagina dei report di Cost Explorer. Per un esempio di policy, consulta Visualizzazione, creazione, aggiornamento ed eliminazione tramite la pagina dei report di Cost Explorer. |
ce:UpdateReport |
Consenti o nega agli utenti le autorizzazioni per l'aggiornamento utilizzando la pagina dei report di Cost Explorer. Per un esempio di policy, consulta Visualizzazione, creazione, aggiornamento ed eliminazione tramite la pagina dei report di Cost Explorer. |
ce:DeleteReport |
Consenti o nega agli utenti le autorizzazioni per eliminare i report utilizzando la pagina dei report di Cost Explorer. Per un esempio di policy, consulta Visualizzazione, creazione, aggiornamento ed eliminazione tramite la pagina dei report di Cost Explorer. |
ce:DescribeNotificationSubscription |
Consenti o nega agli utenti le autorizzazioni per visualizzare gli avvisi di scadenza delle prenotazioni di Cost Explorer nella pagina di panoramica delle prenotazioni. Per un esempio di policy, consulta Visualizzare, creare, aggiornare ed eliminare gli avvisi relativi ai Savings Plans. |
ce:CreateNotificationSubscription |
Consenti o nega agli utenti le autorizzazioni per creare avvisi di scadenza delle prenotazioni di Cost Explorer nella pagina di panoramica delle prenotazioni. Per un esempio di policy, consulta Visualizzare, creare, aggiornare ed eliminare gli avvisi relativi ai Savings Plans. |
ce:UpdateNotificationSubscription |
Consenti o nega agli utenti le autorizzazioni per aggiornare gli avvisi di scadenza delle prenotazioni di Cost Explorer nella pagina di panoramica delle prenotazioni. Per un esempio di policy, consulta Visualizzare, creare, aggiornare ed eliminare gli avvisi relativi ai Savings Plans. |
ce:DeleteNotificationSubscription |
Consenti o nega agli utenti le autorizzazioni per eliminare gli avvisi di scadenza delle prenotazioni di Cost Explorer nella pagina di panoramica delle prenotazioni. Per un esempio di policy, consulta Visualizzare, creare, aggiornare ed eliminare gli avvisi relativi ai Savings Plans. |
ce:CreateCostCategoryDefinition |
Consentire o negare le autorizzazioni agli utenti per creare categorie di costo. Per un esempio di politica, consulta Visualizza e gestisci le categorie di costi nella Billing User Guide. Puoi aggiungere tag di risorsa ai monitor durante. |
ce:DeleteCostCategoryDefinition |
Consentire o negare le autorizzazioni agli utenti per eliminare le categorie di costo. Per un esempio di politica, consulta Visualizza e gestisci le categorie di costi nella Billing User Guide. |
ce:DescribeCostCategoryDefinition |
Consentire o negare le autorizzazioni agli utenti per visualizzare le categorie di costo. Per un esempio di politica, consulta Visualizza e gestisci le categorie di costi nella Billing User Guide. |
ce:ListCostCategoryDefinitions |
Consentire o negare le autorizzazioni agli utenti per elencare le categorie di costo. Per un esempio di politica, consulta Visualizza e gestisci le categorie di costi nella Billing User Guide. |
ce:ListTagsForResource |
Consenti o nega agli utenti le autorizzazioni per elencare tutti i tag delle risorse per una determinata risorsa. Per un elenco delle risorse supportate, consulta la sezione ResourceTagReference.AWS Billing and Cost Management API |
ce:UpdateCostCategoryDefinition |
Consentire o negare le autorizzazioni agli utenti per aggiornare le categorie di costo. Per un esempio di politica, consulta Visualizza e gestisci le categorie di costi nella Billing User Guide. |
ce:CreateAnomalyMonitor |
Consenti o nega agli utenti le autorizzazioni per creare un unico monitor AWS Cost Anomaly Detection. È possibile aggiungere tag di risorsa ai monitor durante. |
ce:GetAnomalyMonitors |
Consenti o nega agli utenti le autorizzazioni per visualizzare tutti i monitor AWS Cost Anomaly Detection. |
ce:UpdateAnomalyMonitor |
Consenti o nega agli utenti le autorizzazioni per aggiornare i monitor Cost Anomaly Detection.AWS |
ce:DeleteAnomalyMonitor |
Consenti o nega agli utenti le autorizzazioni per eliminare i monitor Cost Anomaly Detection.AWS |
ce:CreateAnomalySubscription |
Consenti o nega agli utenti le autorizzazioni per creare un singolo abbonamento per Cost Anomaly Detection.AWS Puoi aggiungere tag di risorsa agli abbonamenti durante. |
ce:GetAnomalySubscriptions |
|
ce:UpdateAnomalySubscription |
|
ce:DeleteAnomalySubscription |
|
ce:GetAnomalies |
|
ce:ProvideAnomalyFeedback |
|
ce:TagResource |
Consenti o nega agli utenti le autorizzazioni per aggiungere coppie chiave-valore dei tag di risorsa a una risorsa. Per un elenco delle risorse supportate, consulta ResourceTagla sezione Reference.AWS Billing and Cost Management API |
ce:UntagResource |
Consenti o nega agli utenti le autorizzazioni per eliminare i tag delle risorse da una risorsa. Per un elenco delle risorse supportate, consulta la sezione ResourceTagReference.AWS Billing and Cost Management API |
Policy gestite
Nota
Le seguenti AWS Identity and Access Management (IAM) azioni hanno raggiunto la fine del supporto standard a luglio 2023:
-
Spazio dei nomi
aws-portal -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
Se utilizzi AWS Organizations, puoi utilizzare gli script collettivi di Policy Migrator per aggiornare le politiche dal tuo account di pagamento. Puoi anche utilizzare il riferimento alla mappatura delle azioni da vecchio a granulare per verificare le azioni da aggiungere. IAM
Per ulteriori informazioni, consulta il blog Modifiche alla AWS fatturazione, alla gestione dei AWS costi e alle autorizzazioni di Account Consoles
Se ne hai AWS Organizations creato uno Account AWS o ne fai parte a partire dal 6 marzo 2023 alle 11:00 (PDT), le azioni dettagliate sono già in vigore nella tua organizzazione.
Le politiche gestite sono politiche autonome basate sull'identità che puoi allegare a più utenti, gruppi e ruoli nel tuo account. AWS Puoi utilizzare policy AWS gestite per controllare l'accesso in Billing and Cost Management.
Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni. AWS le politiche gestite semplificano l'assegnazione delle autorizzazioni appropriate a utenti, gruppi e ruoli rispetto a quando si dovessero scrivere le politiche personalmente.
Non è possibile modificare le autorizzazioni definite nelle AWS politiche gestite. AWS aggiorna occasionalmente le autorizzazioni definite in una politica AWS gestita. In questi casi l'aggiornamento interessa tutte le entità principali (utenti, gruppi e ruoli) a cui è collegata la policy.
Billing and Cost Management fornisce AWS diverse politiche gestite per casi d'uso comuni.
Argomenti
- Consente l'accesso completo ai AWS budget, comprese le azioni relative ai budget.
- Consente l'accesso in sola lettura ai budget AWS
- Consente il permesso di controllare AWS le risorse
- Consente a Cost Optimization Hub di chiamare i servizi necessari per far funzionare il servizio
- Consente l'accesso in sola lettura al Cost Optimization Hub
- Consente l'accesso dell'amministratore al Cost Optimization Hub
- Consente di suddividere i dati di allocazione dei costi per chiamare i servizi necessari per far funzionare il servizio
- Consente alle esportazioni di dati di accedere ad altri servizi AWS
Consente l'accesso completo ai AWS budget, comprese le azioni relative ai budget.
Nome della policy gestita: AWSBudgetsActionsWithAWSResourceControlAccess
Questa politica gestita è incentrata sull'utente e garantisce che l'utente disponga delle autorizzazioni appropriate per concedere l'autorizzazione a AWS Budgets di eseguire le azioni definite. Questa politica fornisce l'accesso completo ai AWS budget, incluse le azioni relative ai budget, per recuperare lo stato delle politiche ed eseguire le risorse utilizzando. AWS AWS Management Console
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "budgets:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "budgets.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "aws-portal:ModifyBilling", "ec2:DescribeInstances", "iam:ListGroups", "iam:ListPolicies", "iam:ListRoles", "iam:ListUsers", "organizations:ListAccounts", "organizations:ListOrganizationalUnitsForParent", "organizations:ListPolicies", "organizations:ListRoots", "rds:DescribeDBInstances", "sns:ListTopics" ], "Resource": "*" } ] }
Consente l'accesso in sola lettura ai budget AWS
Nome della policy gestita: AWSBudgetsReadOnlyAccess
Questa politica gestita consente l'accesso in sola lettura ai AWS budget tramite. AWS Management Console La politica può essere associata a utenti, gruppi e ruoli.
{ "Version" : "2012-10-17", "Statement" : [ { "Sid": "AWSBudgetsReadOnlyAccess", "Effect" : "Allow", "Action" : [ "aws-portal:ViewBilling", "budgets:ViewBudget", "budgets:Describe*" "budgets:ListTagsForResource" ], "Resource" : "*" } ] }
Consente il permesso di controllare AWS le risorse
Nome della policy gestita: AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM
Questa politica gestita è incentrata sulle azioni specifiche che AWS Budgets intraprende per tuo conto quando completa un'azione specifica. Questa politica consente di controllare AWS le risorse. Ad esempio, avvia e arresta Amazon EC2 o RDS le istanze Amazon eseguendo script AWS Systems Manager (SSM).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "ssm.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ssm:StartAutomationExecution" ], "Resource": [ "arn:aws:ssm:*:*:automation-definition/AWS-StartEC2Instance:*", "arn:aws:ssm:*:*:automation-definition/AWS-StopEC2Instance:*", "arn:aws:ssm:*:*:automation-definition/AWS-StartRdsInstance:*", "arn:aws:ssm:*:*:automation-definition/AWS-StopRdsInstance:*" ] } ] }
Consente a Cost Optimization Hub di chiamare i servizi necessari per far funzionare il servizio
Nome della policy gestita: CostOptimizationHubServiceRolePolicy
Consente a Cost Optimization Hub di recuperare le informazioni sull'organizzazione e raccogliere dati e metadati relativi all'ottimizzazione.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AwsOrgsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListParents", "organizations:DescribeOrganizationalUnit" ], "Resource": [ "*" ] }, { "Sid": "AwsOrgsScopedAccess", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringLikeIfExists": { "organizations:ServicePrincipal": [ "cost-optimization-hub.bcm.amazonaws.com" ] } } }, { "Sid": "CostExplorerAccess", "Effect": "Allow", "Action": [ "ce:ListCostAllocationTags", "ce:GetCostAndUsage" ], "Resource": [ "*" ] } ] }
Per ulteriori informazioni, consulta Ruoli collegati ai servizi per Cost Optimization Hub.
Consente l'accesso in sola lettura al Cost Optimization Hub
Nome della policy gestita: CostOptimizationHubReadOnlyAccess
Questa policy gestita fornisce l'accesso in sola lettura al Cost Optimization Hub.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CostOptimizationHubReadOnlyAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:ListEnrollmentStatuses", "cost-optimization-hub:GetPreferences", "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries" ], "Resource": "*" } ] }
Consente l'accesso dell'amministratore al Cost Optimization Hub
Nome della policy gestita: CostOptimizationHubAdminAccess
Questa politica gestita fornisce l'accesso amministrativo a Cost Optimization Hub.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CostOptimizationHubAdminAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:ListEnrollmentStatuses", "cost-optimization-hub:UpdateEnrollmentStatus", "cost-optimization-hub:GetPreferences", "cost-optimization-hub:UpdatePreferences", "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries", "organizations:EnableAWSServiceAccess" ], "Resource": "*" }, { "Sid": "AllowCreationOfServiceLinkedRoleForCostOptimizationHub", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/cost-optimization-hub.bcm.amazonaws.com/AWSServiceRoleForCostOptimizationHub" ], "Condition": { "StringLike": { "iam:AWSServiceName": "cost-optimization-hub.bcm.amazonaws.com" } } }, { "Sid": "AllowAWSServiceAccessForCostOptimizationHub", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringLike": { "organizations:ServicePrincipal": [ "cost-optimization-hub.bcm.amazonaws.com" ] } } } ] }
Consente di suddividere i dati di allocazione dei costi per chiamare i servizi necessari per far funzionare il servizio
Nome della policy gestita: SplitCostAllocationDataServiceRolePolicy
Consente ai dati di allocazione dei costi suddivisi di recuperare le informazioni di AWS Organizations, se applicabile, e raccogliere dati di telemetria per i servizi di dati di allocazione dei costi suddivisi per i quali il cliente ha scelto di aderire.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AwsOrganizationsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListParents" ], "Resource": "*" }, { "Sid": "AmazonManagedServiceForPrometheusAccess", "Effect": "Allow", "Action": [ "aps:ListWorkspaces", "aps:QueryMetrics" ], "Resource": "*" } ] }
Per ulteriori informazioni, consulta Ruoli collegati ai servizi per i dati di allocazione dei costi suddivisi.
Consente alle esportazioni di dati di accedere ad altri servizi AWS
Nome della policy gestita: AWSBCMDataExportsServiceRolePolicy
Consente a Data Exports di accedere ad altri AWS servizi come Cost Optimization Hub per conto dell'utente.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CostOptimizationRecommendationAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:ListEnrollmentStatuses", "cost-optimization-hub:ListRecommendations" ], "Resource": "*" } ] }
Per ulteriori informazioni, consulta Ruoli collegati ai servizi per le esportazioni di dati.
AWS Cost Management: aggiornamenti alle AWS politiche gestite
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per la gestione dei AWS costi da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al RSS feed nella pagina della cronologia dei documenti di AWS Cost Management.
| Modifica | Descrizione | Data |
|---|---|---|
|
Aggiornamento alla politica esistente |
Abbiamo aggiornato la politica per aggiungere le ce:GetCostAndUsage azioni organizations:ListDelegatedAdministrators e. |
07/05/2024 |
|
Aggiornamento alla politica esistente |
Abbiamo aggiornato la politica per aggiungere l'budgets:ListTagsForResourceazione. |
17/06/2024 |
|
Aggiunta di una nuova politica |
Data Exports ha aggiunto una nuova policy da utilizzare con i ruoli collegati ai servizi, che consente l'accesso ad altri AWS servizi come Cost Optimization Hub. | 10/06/2024 |
|
Aggiunta di una nuova politica |
La suddivisione dei dati sull'allocazione dei costi ha aggiunto una nuova politica da utilizzare con i ruoli collegati ai servizi, che consente l'accesso ai AWS servizi e alle risorse utilizzati o gestiti mediante dati di allocazione dei costi suddivisi. | 16/04/2024 |
|
Aggiornamento alla politica esistente AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM |
Abbiamo aggiornato la politica con autorizzazioni limitate. L'ssm:StartAutomationExecutionazione è consentita solo per risorse specifiche utilizzate da Budget actions. |
14/12/2023 |
|
Aggiornamento alle politiche esistenti |
Cost Optimization Hub ha aggiornato le seguenti due politiche gestite:
|
14/12/2023 |
|
Aggiunta di una nuova politica |
Cost Optimization Hub ha aggiunto una nuova policy da utilizzare con i ruoli collegati ai servizi, che consente l'accesso ai AWS servizi e alle risorse utilizzati o gestiti da Cost Optimization Hub. | 11/02/2023 |
| AWS Cost Management ha iniziato a tenere traccia delle modifiche | AWS Cost Management ha iniziato a tenere traccia delle modifiche per le proprie politiche AWS gestite | 11/02/2023 |
