AWS Billing에 대한 액세스 제어 마이그레이션하기

참고

다음 AWS Identity and Access Management (IAM) 조치는 2023년 7월에 표준 지원이 종료되었습니다.

aws-portal 네임스페이스
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

를 사용하는 AWS Organizations경우 대량 정책 마이그레이션 스크립트 또는 대량 정책 마이그레이션기를 사용하여 지급인 계정에서 정책을 업데이트할 수 있습니다. 또한 기존 작업-세분화 작업 매핑 참조를 사용하여 추가해야 하는 IAM 작업을 확인할 수 있습니다.

2023년 3월 6일 오전 11시 (PDT) 또는 그 이후에 AWS Organizations 생성된 콘텐츠가 있거나 해당 콘텐츠에 참여하고 있는 경우, 세분화된 조치가 이미 조직에 적용되고 있습니다. AWS 계정

세분화된 액세스 제어를 사용하여 조직의 개인에게 서비스 액세스 권한을 제공할 수 있습니다. AWS Billing and Cost Management 예를 들어, 과금 정보 및 비용 관리 콘솔에 대한 액세스 권한을 제공하지 않고 Cost Explorer에 대한 액세스 권한을 제공할 수 있습니다.

세분화된 액세스 제어를 사용하려면 aws-portal아래에서 새 IAM 작업으로 정책을 마이그레이션해야 합니다.

권한 정책 또는 서비스 제어 정책(SCP)의 다음과 같은 IAM 작업은 이 마이그레이션을 통해 업데이트해야 합니다.

aws-portal:ViewAccount
aws-portal:ViewBilling
aws-portal:ViewPaymentMethods
aws-portal:ViewUsage
aws-portal:ModifyAccount
aws-portal:ModifyBilling
aws-portal:ModifyPaymentMethods
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

Affected policies(영향을 받는 정책) 도구를 사용하여 영향을 받는 IAM 정책을 식별하는 방법을 알아보려면 영향을 받는 정책 도구를 사용하는 방법섹션을 참조하세요.

참고

API 액세스 AWS Cost Explorer, AWS 비용 및 사용 보고서, AWS 예산은 영향을 받지 않습니다.

Billing and Cost Management 콘솔에 대한 액세스 권한 활성화는 변경되지 않습니다.

주제

액세스 권한 관리하기

AWS Billing AWS Identity and Access Management (IAM) 서비스와 통합되므로 Billing and Cost Management 콘솔의 특정 페이지에 액세스할 수 있는 조직 내 사용자를 제어할 수 있습니다. 여기에는 결제, 청구, 크레딧, 프리 티어, 결제 기본 설정, 통합 청구, 세금 설정 및 계정 페이지와 같은 기능이 포함됩니다.

과금 정보 및 비용 관리 콘솔을 세부적으로 제어하려면 다음과 같은 IAM 권한을 사용합니다.

세분화된 액세스 권한을 제공하려면 aws-portal 정책을 account, billing, payments, freetier, invoicing, tax, 및 consolidatedbilling으로 바꿉니다.

또한 purchase-orders:ViewPurchaseOrders 및 purchase-orders:ModifyPurchaseOrders을 아래의 purchase-orders, account 및 payments 아래의 세분화된 작업으로 바꾸세요.

세분화된 작업 사용 AWS Billing

이 표에는 청구 정보에 대한 IAM 사용자 및 역할 액세스를 허용하거나 거부할 수 있는 권한이 요약되어 있습니다. 이러한 권한을 사용하는 정책의 예는 AWS 결제 정책 예제단원을 참조하세요.

AWS Cost Management 콘솔용 작업 목록은 사용 설명서의 AWS Cost Management 작업 정책을 참조하십시오.AWS Cost Management

과금 정보 및 비용 관리 콘솔의 기능 이름	IAM 작업	설명
청구 홈	`account:GetAccountInformation` `billing:Get` `payments:List` `tax:List*`	홈 페이지를 볼 수 있는 권한을 부여합니다. 읽기 전용 권한입니다. 참고 이러한 권한은 콘솔에만 해당합니다. 이 권한으로 이용할 수 있는 API 액세스는 없습니다.
청구서	`account:GetAccountInformation` `billing:Get` `consolidatedbilling:Get` `consolidatedbilling:List` `invoicing:List` `payments:List*`	청구서 페이지를 볼 수 있는 권한을 부여합니다. 읽기 전용 권한입니다. 참고 이러한 권한은 콘솔에만 해당합니다. 이 권한으로 이용할 수 있는 API 액세스는 없습니다.
	`invoicing:Get*`	청구서 페이지에서 인보이스를 다운로드할 수 있는 사용자 권한을 부여합니다. 참고 이 권한은 콘솔에만 해당합니다. 이 권한으로 이용할 수 있는 API 액세스는 없습니다.
	`cur:Get*`	청구서 페이지에서 CSV 보고서를 다운로드할 수 있는 사용자 권한을 부여합니다. 참고 이 권한은 콘솔에만 해당합니다. 이 권한으로 이용할 수 있는 API 액세스는 없습니다.
	`billing:ListBillingViews`	생성된 각 AWS Billing Conductor 결제 그룹의 설명 `ARN` 및 내용을 볼 수 있는 권한을 부여합니다. 특정 그룹에 대한 보고서 기본 설정을 생성하려면 필요합니다. 참고 이 권한은 콘솔에만 해당합니다. 이 권한으로 이용할 수 있는 API 액세스는 없습니다.
결제	`account:GetAccountInformation` `billing:Get` `payments:Get` `payments:List*`	결제 페이지를 볼 수 있는 권한을 부여합니다. Payments due(결제 기한), Unapplied funds(미반제 선불금), Transaction(트랜잭션) 및 Advance pay(선결제) 탭에 대한 읽기 전용 권한입니다. 참고 이러한 권한은 콘솔에만 해당합니다. 이 권한으로 이용할 수 있는 API 액세스는 없습니다.
	`invoicing:Get*`	트랜잭션 탭에서 인보이스를 다운로드할 수 있는 사용자 권한을 부여합니다. 참고 이 권한은 콘솔에만 해당합니다. 이 권한으로 이용할 수 있는 API 액세스는 없습니다.
	`payments:Update*`	선결제를 사용하고 결제 세부 정보를 설정하려면 필요한 사용자 권한 작업을 부여합니다.
	`payments:Make` `invoicing:Get`	선결제에 대한 자금 지원 요청 문서를 생성하고 결제할 수 있는 사용자 권한을 부여합니다.
Credits	`billing:Get*` `account:GetAccountInformation`	크레딧 페이지를 볼 수 있는 권한을 부여합니다.
Credits	`billing:RedeemCredits`	크레딧을 사용할 수 있는 권한을 부여합니다.
구매 주문	`account:GetAccountInformation` `account:GetContactInformation` `payments:Get` `payments:List` `purchase-orders:ListPurchaseOrders` `purchase-orders:ListPurchaseOrderInvoices` `tax:ListTaxRegistrations` `consolidatedbilling:GetAccountBillingRole`	구매 주문 페이지를 볼 수 있는 권한을 부여합니다.
	`purchase-orders:GetPurchaseOrder`	구매 주문의 세부 정보를 볼 수 있는 권한을 부여합니다.
	`purchase-orders:AddPurchaseOrder`	구매 주문을 추가할 수 있는 권한을 부여합니다.
	`purchase-orders:DeletePurchaseOrder`	구매 주문을 삭제할 수 있는 권한을 부여합니다.
	`purchase-orders:UpdatePurchaseOrder` `purchase-orders:UpdatePurchaseOrderStatus`	구매 주문 및 구매 주문 상태를 업데이트할 수 있는 사용자 권한을 부여합니다.
AWS 비용 및 사용 보고서	`cur:GetClassic*` `cur:DescribeReportDefinitions`	AWS 비용 및 사용 보고서 페이지에서 AWS CUR 보고서 목록을 볼 수 있는 권한을 부여합니다. 참고 `cur:GetClassic*` 권한은 콘솔에만 해당합니다. 이 권한으로 이용할 수 있는 API 액세스는 없습니다.
	`billing:ListBillingViews`	Billing Conductor에서 AWS 생성한 각 청구 그룹의 설명 `ARN` 및 내용을 볼 수 있는 권한을 부여합니다. 특정 그룹에 대한 보고서 기본 설정을 생성하려면 필요합니다. 참고 이 권한은 콘솔에만 해당합니다. 이 권한으로 이용할 수 있는 API 액세스는 없습니다.
	`s3:ListAllMyBuckets` `s3:CreateBucket` `s3:PutBucketPolicy` `s3:GetBucketLocation` `cur:Validate*` `cur:PutReportDefinition`	새 AWS CUR 보고서를 생성하는 데 필요한 권한 조치를 부여합니다. 참고 `cur:Validate*` 권한은 콘솔에만 해당합니다. 이 권한으로 이용할 수 있는 API 액세스는 없습니다.
	`cur:Validate*` `s3:CreateBucket` `s3:ListAllMyBuckets` `s3:PutBucketPolicy` `s3:GetBucketLocation` `cur:ModifyReportDefinition`	AWS CUR 정의를 편집할 권한을 부여합니다. 참고 `cur:Validate*` 권한은 콘솔에만 해당합니다. 이 권한으로 이용할 수 있는 API 액세스는 없습니다.
	`cur:DeleteReportDefinition`	AWS CUR 보고서를 삭제할 권한을 부여합니다.
	`cur:GetUsage*`	사용 보고서를 다운로드할 수 있는 권한을 부여합니다.
	`sustainability:GetCarbonFootprintSummary`	귀하의 AWS 계정을(를) 위한 지속 가능성 데이터를 볼 수 있는 권한을 부여합니다.
비용 범주	`account:GetAccountInformation` `ce:ListCostCategoryDefinitions` `ce:DescribeCostCategoryDefinition` `ce:GetCostAndUsage` `ce:ListTagsForResource` `consolidatedbilling:GetAccountBillingRole`	비용 범주를 볼 수 있는 권한을 부여합니다. 참고 `account:GetAccountInformation` 권한은 콘솔에만 해당합니다. 이 권한으로 이용할 수 있는 API 액세스는 없습니다.
	`billing:Get` `ce:TagResource` `ce:ListCostAllocationTags` `consolidatedbilling:List` `ce:CreateCostCategoryDefinition` `pricing:DescribeServices` `ce:GetDimensionValues` `ce:GetTags`	비용 범주를 생성할 수 있는 권한을 부여합니다. 참고 `billing:Get` 및 `consolidatedbilling:List` 권한은 콘솔에만 해당합니다. 이 권한으로 이용할 수 있는 API 액세스는 없습니다.
	`ce:UpdateCostCategoryDefinition` `ce:UntagResource`	비용 범주를 수정할 수 있는 권한을 부여합니다.
	`ce:DeleteCostCategoryDefinition`	비용 범주를 삭제할 수 있는 권한을 부여합니다.
비용 할당 태그	`account:GetAccountInformation` `ce:ListCostAllocationTags` `consolidatedbilling:GetAccountBillingRole`	비용 할당 태그를 볼 수 있는 권한을 부여합니다.
비용 할당 태그	`ce:UpdateCostAllocationTagsStatus`	비용 할당 태그를 활성화하거나 비활성화할 수 있는 권한을 부여합니다.
AWS Budgets	`budgets:ViewBudget` `budgets:DescribeBudgetActionsForBudget` `budgets:DescribeBudgetAction` `budgets:DescribeBudgetActionsForAccount` `budgets:DescribeBudgetActionHistories`	예산 페이지를 볼 수 있는 권한을 부여합니다.
AWS Budgets	`budgets:CreateBudgetAction` `budgets:ExecuteBudgetAction` `budgets:DeleteBudgetAction` `budgets:UpdateBudgetAction` `budgets:ModifyBudget`	예산 및 예산 작업을 생성, 삭제 및 수정할 수 있는 사용자 권한을 부여합니다.
프리 티어	`billing:Get` `freetier:Get`	프리 티어 사용 한도 및 월간 누계 사용 상태를 볼 수 있는 권한을 부여합니다.
결제 기본 설정	`account:GetAccountInformation` `billing:Get` `consolidatedbilling:Get` `consolidatedbilling:List` `cur:GetClassic` `cur:Validate` `freetier:Get` `invoicing:Get*`	청구 기본 설정 페이지의 모든 섹션을 보는 데 필요한 사용자 권한 작업을 부여합니다. 참고 이러한 권한은 콘솔에만 해당합니다. 이 권한으로 이용할 수 있는 API 액세스는 없습니다.
결제 기본 설정	`billing:Update` `freetier:Put` `cur:PutClassic` `s3:ListAllMyBuckets` `s3:CreateBucket` `s3:PutBucketPolicy` `s3:GetBucketLocation` `invoicing:Put`	청구 기본 설정 페이지에서 다음과 같은 내용을 변경할 수 있는 사용자 권한을 부여합니다. 크레딧 공유를 RI 또는 절감형 플랜 할인 공유로 설정/해제 Free Tier Usage Alert(프리 티어 사용 알림) 기본 설정 지정 detailed billing reports(세부 청구 보고서) 전송 설정 및 기본 설정 지정 PDF invoice by email(이메일로 PDF 인보이스 보내기) 기본 설정 지정 또는 업데이트 참고 `billing:Update`, `freetier:Put`, `cur:PutClassic*` 권한은 콘솔에만 해당합니다. 이 권한으로 이용할 수 있는 API 액세스는 없습니다.
결제 기본 설정	`account:GetAccountInformation` `billing:Get` `payments:GetPaymentInstrument` `payments:List` `payments:GetPaymentStatus`	결제 기본 설정 페이지를 볼 수 있는 권한을 부여합니다. 참고 이러한 권한은 콘솔에만 해당합니다. 이 권한으로 이용할 수 있는 API 액세스는 없습니다.
	`payments:Update` `payments:Make` `payments:CreatePaymentInstrument` `payments:DeletePaymentInstrument`	결제 방법을 생성하거나 업데이트할 수 있는 권한을 부여합니다. 참고 `payments:Make*` 권한은 결제 카드에 다중 인증(MFA) 이 필요한 경우에만 필요합니다.
	`tax:PutTaxRegistration` `tax:Delete*` `payments:UpdatePaymentPreferences` `payments:CreatePaymentInstrument`	사업자 등록 번호를 업데이트하거나 삭제할 수 있는 사용자 권한을 부여합니다.
	`payments:Update*`	결제 프로필을 업데이트할 수 있는 권한을 부여합니다. 참고 이 권한은 콘솔에만 해당합니다. 이 권한으로 이용할 수 있는 API 액세스는 없습니다.
세금 설정	`tax:List` `tax:Get`	세금 설정을 볼 수 있는 권한을 부여합니다.
	`tax:BatchPut*`	세금 설정을 업데이트하는 데 필요한 사용자 권한 작업을 부여합니다.
	`tax:Put*`	세금 상속을 설정할 수 있는 권한을 부여합니다.
	`tax:UpdateExemptions` `support:CreateCase` `support:AddAttachmentsToSet`	면세를 업데이트할 수 있는 권한을 부여합니다.
계정	`account:Get` `account:List` `billing:Get` `payments:List`	계정 설정을 볼 수 있는 권한을 부여합니다. 참고 `billing:Get*` 권한은 콘솔에만 해당합니다. 이 권한으로 이용할 수 있는 API 액세스는 없습니다.
	`account:CloseAccount`	종료 AWS 계정권한을 부여합니다. 참고 이 권한은 콘솔에만 해당합니다. 이 권한으로 이용할 수 있는 API 액세스는 없습니다.
	`account:DisableRegion`	계정 페이지에서 AWS 지역을 끌 수 있는 권한을 부여합니다.
	`account:EnableRegion`	계정 페이지에서 AWS 지역을 활성화할 수 있는 권한을 부여합니다.
	`account:PutAlternateContact`	계정의 대체 연락처를 작성할 수 있는 권한을 부여합니다.
	`account:PutChallengeQuestions`	계정에 대한 보안 챌린지 질문을 설정할 수 있는 권한을 부여합니다. 참고 이 권한은 콘솔에만 해당합니다. 이 권한으로 이용할 수 있는 API 액세스는 없습니다.
	`account:PutContactInformation`	주소를 포함하여 계정에 대한 기본 연락처 정보를 설정하거나 작성하는 데 필요한 사용자 권한 작업을 부여합니다.
	`billing:PutContractInformation`	계정이 공공 부문 고객에게 서비스를 제공하는 데 사용되는 경우 계정 계약 정보를 설정할 수 있는 사용자 권한을 부여합니다. 가져올 수 있는 정보에는 최종 사용자 조직 이름, 계약 번호 및 PO 번호가 포함됩니다. 참고 이 권한은 콘솔에만 해당합니다. 이 권한으로 이용할 수 있는 API 액세스는 없습니다.
	`billing:Update*`	계정 페이지의 IAM 액세스 활성화를 설정하거나 해제하는 데 필요한 사용자 권한 작업을 부여합니다.
	`payments:Update*`	선결제, 통화 기본 설정, 청구 연락처 세부 정보 및 주소, 결제 약관을 설정할 수 있는 사용자 권한을 부여합니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

AWS 결제 정책 예제

정책 일괄 마이그레이션