Migrar o controle de acesso para AWS Billing

nota

As seguintes AWS Identity and Access Management (IAM) ações chegaram ao fim do suporte padrão em julho de 2023:

Namespace do aws-portal
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

Se você estiver usando AWS Organizations, poderá usar os scripts do migrador de políticas em massa ou o migrador de políticas em massa para atualizar as políticas da sua conta de pagador. Você também pode usar a referência de mapeamento de ações antiga para granular para verificar as IAM ações que precisam ser adicionadas.

Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.

Você pode usar controles de acesso refinados para fornecer aos indivíduos da sua organização acesso aos serviços. AWS Billing and Cost Management Por exemplo, é possível conceder acesso ao Cost Explorer sem fornecer acesso ao console de faturamento e gerenciamento de custos.

Para usar os controles de acesso refinados, você precisará migrar suas políticas de baixo aws-portal para as novas ações. IAM

As seguintes IAM ações em suas políticas de permissão ou políticas de controle de serviço (SCP) exigem atualização com essa migração:

aws-portal:ViewAccount
aws-portal:ViewBilling
aws-portal:ViewPaymentMethods
aws-portal:ViewUsage
aws-portal:ModifyAccount
aws-portal:ModifyBilling
aws-portal:ModifyPaymentMethods
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

Para saber como usar a ferramenta de políticas afetadas para identificar suas IAM políticas afetadas, consulteComo usar a ferramenta Políticas afetadas.

nota

APIo acesso AWS Cost Explorer, os relatórios de AWS custo e uso e os AWS orçamentos permanecem inalterados.

Ativar o acesso ao console do Gerenciamento de Faturamento e Custos permanecem inalterados.

Tópicos

Gerenciar permissões de acesso

AWS Billing se integra ao serviço AWS Identity and Access Management (IAM) para que você possa controlar quem em sua organização pode acessar páginas específicas no console do Billing and Cost Management. Isso inclui recursos como pagamentos, cobrança, créditos, nível gratuito, preferências de pagamento, faturamento consolidado, Configurações de impostos e páginas de conta.

Use as IAM permissões a seguir para controle granular do console Billing and Cost Management.

Para fornecer acesso refinado, substitua a política aws-portal por account, billing, payments, freetier, invoicing, tax e consolidatedbilling.

Além disso, substitua purchase-orders:ViewPurchaseOrders e purchase-orders:ModifyPurchaseOrders pelas ações refinadas em purchase-orders, account e payments.

Usando ações refinadas AWS Billing

Esta tabela resume as permissões que permitem ou negam IAM aos usuários e funções o acesso às suas informações de faturamento. Para obter exemplos de políticas que usam essas permissões, consulte AWS Exemplos de políticas de cobrança.

Para obter uma lista de ações para o AWS Cost Management console, consulte as políticas de AWS Cost Management ações no Guia AWS Cost Management do usuário.

Nome do atributo no console de faturamento e gerenciamento de custos	Ação do IAM	Descrição
Página inicial de faturamento	`account:GetAccountInformation` `billing:Get` `payments:List` `tax:List*`	Concede permissão para visualizar a página Início. Estas são permissões somente leitura. nota Estas são permissões somente para o console. Não há API acesso disponível para essas permissões.
Faturas	`account:GetAccountInformation` `billing:Get` `consolidatedbilling:Get` `consolidatedbilling:List` `invoicing:List` `payments:List*`	Concede permissão para visualizar a página Faturas. Estas são permissões somente leitura. nota Estas são permissões somente para o console. Não há API acesso disponível para essas permissões.
	`invoicing:Get*`	Concede permissão para baixar faturas da página Faturas. nota Esta é uma permissão somente para o console. Não há API acesso disponível para essa permissão.
	`cur:Get*`	Concede permissão para baixar CSV relatórios da página Faturas. nota Esta é uma permissão somente para o console. Não há API acesso disponível para essa permissão.
	`billing:ListBillingViews`	Concede permissão para visualizar `ARN` e descrever cada grupo de AWS Billing Conductor cobrança criado. Isso é necessário para criar uma preferência de relatório para grupos específicos. nota Esta é uma permissão somente para o console. Não há API acesso disponível para essa permissão.
Pagamentos	`account:GetAccountInformation` `billing:Get` `payments:Get` `payments:List*`	Concede permissão para visualizar a página Pagamentos. Estas são permissões somente leitura nas guias Payments due (Pagamentos devidos), Unapplied funds (Fundos não aplicados), Transaction (Transação) e Advance pay (Pagamento antecipado). nota Estas são permissões somente para o console. Não há API acesso disponível para essas permissões.
	`invoicing:Get*`	Concede permissão para baixar uma fatura da página Transações. nota Esta é uma permissão somente para o console. Não há API acesso disponível para essa permissão.
	`payments:Update*`	Concede a ação de permissão necessária para usar o pagamento antecipado e configurar detalhes de pagamento.
	`payments:Make` `invoicing:Get`	Concede permissão para gerar um documento de solicitação de financiamento para pagamento antecipado e, em seguida, efetuar um pagamento.
Créditos	`billing:Get*` `account:GetAccountInformation`	Concede permissão para visualizar a página Créditos.
Créditos	`billing:RedeemCredits`	Concede permissão para resgatar créditos.
Ordens de compra	`account:GetAccountInformation` `account:GetContactInformation` `payments:Get` `payments:List` `purchase-orders:ListPurchaseOrders` `purchase-orders:ListPurchaseOrderInvoices` `tax:ListTaxRegistrations` `consolidatedbilling:GetAccountBillingRole`	Concede permissão para visualizar a página Ordens de compra.
	`purchase-orders:GetPurchaseOrder`	Concede permissão para visualizar detalhes de uma ordem de compra.
	`purchase-orders:AddPurchaseOrder`	Concede permissão para adicionar uma ordem de compra.
	`purchase-orders:DeletePurchaseOrder`	Concede permissão para excluir uma ordem de compra.
	`purchase-orders:UpdatePurchaseOrder` `purchase-orders:UpdatePurchaseOrderStatus`	Concede permissão para atualizar ordens de compra e status de ordens de compra.
AWS Relatórios de custos e uso	`cur:GetClassic*` `cur:DescribeReportDefinitions`	Concede permissão para visualizar uma lista de AWS CUR relatórios na página Relatórios de AWS custo e uso. nota `cur:GetClassic*` é uma permissão somente para o console. Não há API acesso disponível para essa permissão.
	`billing:ListBillingViews`	Concede permissão para visualizar `ARN` e descrever cada grupo de cobrança criado no AWS Billing Conductor. Isso é necessário para criar uma preferência de relatório para grupos específicos. nota Esta é uma permissão somente para o console. Não há API acesso disponível para essa permissão.
	`s3:ListAllMyBuckets` `s3:CreateBucket` `s3:PutBucketPolicy` `s3:GetBucketLocation` `cur:Validate*` `cur:PutReportDefinition`	Concede as ações de permissão necessárias para criar um novo AWS CUR relatório. nota `cur:Validate*` é uma permissão somente para o console. Não há API acesso disponível para essas permissões.
	`cur:Validate*` `s3:CreateBucket` `s3:ListAllMyBuckets` `s3:PutBucketPolicy` `s3:GetBucketLocation` `cur:ModifyReportDefinition`	Concede permissão para editar a AWS CUR definição. nota `cur:Validate*` é uma permissão somente para o console. Não há API acesso disponível para essas permissões.
	`cur:DeleteReportDefinition`	Concede permissão para excluir AWS CUR relatórios.
	`cur:GetUsage*`	Concede permissão para baixar relatórios de uso.
	`sustainability:GetCarbonFootprintSummary`	Concede permissão para visualizar dados de sustentabilidade de sua Conta da AWS.
Categorias de custos	`account:GetAccountInformation` `ce:ListCostCategoryDefinitions` `ce:DescribeCostCategoryDefinition` `ce:GetCostAndUsage` `ce:ListTagsForResource` `consolidatedbilling:GetAccountBillingRole`	Concede permissão para visualizar categorias de custo. nota `account:GetAccountInformation` é uma permissão somente para o console. Não há API acesso disponível para essas permissões.
	`billing:Get` `ce:TagResource` `ce:ListCostAllocationTags` `consolidatedbilling:List` `ce:CreateCostCategoryDefinition` `pricing:DescribeServices` `ce:GetDimensionValues` `ce:GetTags`	Concede permissão para criar categorias de custo. nota `billing:Get` e `consolidatedbilling:List` são permissões somente para o console. Não há API acesso disponível para essas permissões.
	`ce:UpdateCostCategoryDefinition` `ce:UntagResource`	Concede permissão para modificar categorias de custo.
	`ce:DeleteCostCategoryDefinition`	Concede permissão para excluir categorias de custo.
Tags de alocação de custos	`account:GetAccountInformation` `ce:ListCostAllocationTags` `consolidatedbilling:GetAccountBillingRole`	Concede permissões para visualizar etiquetas de alocação de custo.
Tags de alocação de custos	`ce:UpdateCostAllocationTagsStatus`	Concede permissão para ativar ou desativar etiquetas de alocação de custo.
AWS Budgets	`budgets:ViewBudget` `budgets:DescribeBudgetActionsForBudget` `budgets:DescribeBudgetAction` `budgets:DescribeBudgetActionsForAccount` `budgets:DescribeBudgetActionHistories`	Concede permissão para visualizar a página Orçamentos.
AWS Budgets	`budgets:CreateBudgetAction` `budgets:ExecuteBudgetAction` `budgets:DeleteBudgetAction` `budgets:UpdateBudgetAction` `budgets:ModifyBudget`	Concede permissão para criar, excluir e modificar orçamentos e ações de orçamentos.
Nível gratuito	`billing:Get` `freetier:Get`	Concede permissão para visualizar limites de uso do nível gratuito e status de uso acumulado no mês.
Preferências de faturamento	`account:GetAccountInformation` `billing:Get` `consolidatedbilling:Get` `consolidatedbilling:List` `cur:GetClassic` `cur:Validate` `freetier:Get` `invoicing:Get*`	Concede as ações de permissão necessárias para visualizar todas as seções na página Preferências de faturamento. nota Estas são permissões somente para o console. Não há API acesso disponível para essas permissões.
Preferências de faturamento	`billing:Update` `freetier:Put` `cur:PutClassic` `s3:ListAllMyBuckets` `s3:CreateBucket` `s3:PutBucketPolicy` `s3:GetBucketLocation` `invoicing:Put`	Concede permissão para fazer as seguintes alterações na página Preferências de faturamento: Ativar ou desativar o compartilhamento de crédito para RI ou o compartilhamento de descontos de Savings Plans. Definir preferências de Free Tier Usage Alert (Alerta de uso do nível gratuito) Definir configurações de entrega e preferências de detailed billing reports (relatórios de faturamento detalhados) Defina ou atualize a PDFfatura por meio de preferências de e-mail nota `billing:Update`, `freetier:Put` e `cur:PutClassic*` são permissões somente para o console. Não há API acesso disponível para essas permissões.
Preferências de pagamento	`account:GetAccountInformation` `billing:Get` `payments:GetPaymentInstrument` `payments:List` `payments:GetPaymentStatus`	Concede permissão para visualizar a página Preferências de pagamento. nota Estas são permissões somente para o console. Não há API acesso disponível para essas permissões.
	`payments:Update` `payments:Make` `payments:CreatePaymentInstrument` `payments:DeletePaymentInstrument`	Concede permissão para criar ou atualizar formas de pagamento. nota `payments:Make*`só é necessário se um cartão de pagamento exigir autenticação multifatorial (MFA).
	`tax:PutTaxRegistration` `tax:Delete*` `payments:UpdatePaymentPreferences` `payments:CreatePaymentInstrument`	Concede permissão para atualizar ou excluir números de registro fiscal.
	`payments:Update*`	Concede permissão para atualizar perfis de pagamento. nota Esta é uma permissão somente para o console. Não há API acesso disponível para essa permissão.
Configurações de impostos	`tax:List` `tax:Get`	Concede permissão para visualizar as configurações fiscais.
	`tax:BatchPut*`	Concede a ação de permissão necessária para atualizar configurações de fiscais.
	`tax:Put*`	Concede permissão para definir a herança fiscal.
	`tax:UpdateExemptions` `support:CreateCase` `support:AddAttachmentsToSet`	Concede permissão para atualizar isenções fiscais.
Conta	`account:Get` `account:List` `billing:Get` `payments:List`	Concede permissão para visualizar Configurações da conta. nota `billing:Get*` é uma permissão somente para o console. Não há API acesso disponível para essa permissão.
	`account:CloseAccount`	Concede permissão para fechar Contas da AWS. nota Esta é uma permissão somente para o console. Não há API acesso disponível para essa permissão.
	`account:DisableRegion`	Concede permissão para desativar uma AWS região na página Conta.
	`account:EnableRegion`	Concede permissão para ativar uma AWS região na página Conta.
	`account:PutAlternateContact`	Concede permissão para gravar os contatos alternativos da conta.
	`account:PutChallengeQuestions`	Concede permissão para definir as perguntas de desafio de segurança da conta. nota Esta é uma permissão somente para o console. Não há API acesso disponível para essa permissão.
	`account:PutContactInformation`	Concede a ação de permissão necessária para definir ou escrever as principais informações de contato, incluindo endereço, da conta.
	`billing:PutContractInformation`	Concede permissão para definir as informações do contrato da conta, se a conta for usada para atender clientes do setor público. As informações que podem ser obtidas incluem nomes da organização do usuário final, número do contrato e números de ordens de compra. nota Esta é uma permissão somente para o console. Não há API acesso disponível para essa permissão.
	`billing:Update*`	Concede a ação de permissão necessária para ativar ou desativar a configuração Ativar IAM acesso na página Conta.
	`payments:Update*`	Concede permissão para definir pagamento antecipado, preferência de moeda, detalhes de contato e endereço de faturamento e termos e condições de pagamento.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS Exemplos de políticas de cobrança

Migração em massa de suas políticas