Política baseada em identidade com faturamento AWS

Por padrão, usuários e funções não têm permissão para criar ou modificar recursos do Faturamento. Eles também não podem realizar tarefas usando a AWS API AWS Management Console, AWS Command Line Interface (AWS CLI) ou. Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM. O administrador pode então adicionar as políticas do IAM aos perfis e os usuários podem assumir os perfis.

Para aprender a criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte Criar políticas do IAM (console) no Guia do usuário do IAM.

Para obter detalhes sobre ações e tipos de recursos definidos pelo Faturamento, incluindo o formato de cada um dos tipos de recursos, consulte Ações, recursos e chaves de condição para AWS cobrança na Referência de Autorização de Serviço. ARNs

Sumário

Práticas recomendadas de política

As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Faturamento em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:

Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões aos seus usuários e cargas de trabalho, use as políticas AWS gerenciadas que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para obter mais informações, consulte Políticas gerenciadas pela AWS ou Políticas gerenciadas pela AWS para funções de trabalho no Guia do usuário do IAM.
Aplique permissões de privilégio mínimo: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como permissões de privilégio mínimo. Para obter mais informações sobre como usar o IAM para aplicar permissões, consulte Políticas e permissões no IAM no Guia do usuário do IAM.
Use condições nas políticas do IAM para restringir ainda mais o acesso: você pode adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, você pode escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como AWS CloudFormation. Para obter mais informações, consulte Elementos da política JSON do IAM: condição no Guia do usuário do IAM.
Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para obter mais informações, consulte Validação de políticas do IAM Access Analyzer no Guia do Usuário do IAM.
Exigir autenticação multifator (MFA) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para obter mais informações, consulte Configuração de acesso à API protegido por MFA no Guia do Usuário do IAM.

Para obter mais informações sobre as práticas recomendadas do IAM, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.

Uso do console do Faturamento

Para acessar o console AWS de faturamento, você precisa ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os recursos de faturamento em seu Conta da AWS. Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.

Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente a ações que correspondam à operação de API que estiverem tentando executar.

Você pode encontrar detalhes de acesso, como as permissões necessárias para ativar o console de AWS faturamento, o acesso do administrador e o acesso somente para leitura, na seção. AWS políticas gerenciadas

Permitir que os usuários visualizem suas próprias permissões

Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Uso de políticas baseadas em identidade para o Faturamento

nota

As seguintes ações AWS Identity and Access Management (IAM) chegaram ao fim do suporte padrão em julho de 2023:

Namespace do aws-portal
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

Se você estiver usando AWS Organizations, poderá usar os scripts do migrador de políticas em massa ou o migrador de políticas em massa para atualizar as políticas da sua conta de pagador. Você também poderá usar a referência de mapeamento de ações antigas para granulares para verificar as ações do IAM que precisam ser adicionadas.

Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.

Importante

Além das políticas do IAM, você deve conceder acesso do IAM ao console de Billing and Cost Management na página do console Account Settings (Configurações de conta).

Para obter mais informações, consulte os tópicos a seguir.

Ativar o acesso ao console do Gerenciamento de Faturamento e Custos
Tutorial do IAM: conceder acesso ao console de cobrança no Guia do usuário do IAM

Use esta seção para ver como um administrador de conta de políticas baseadas em identidade pode anexar políticas de permissões a identidades do IAM (perfis e grupos) e conceder permissões para a execução de operações em recursos do Faturamento.

Para obter mais informações sobre usuários Contas da AWS e usuários, consulte O que é o IAM? no Guia do usuário do IAM.

Para obter informações sobre como atualizar políticas gerenciadas pelo cliente, consulte Editar políticas gerenciadas pelo cliente (console) no Guia do usuário do IAM.

AWS Ações do console de faturamento

Esta tabela resume as permissões que concedem acesso a suas informações e ferramentas do console de faturamento. Para obter exemplos de políticas que usam essas permissões, consulte AWS Exemplos de políticas de cobrança.

Para obter uma lista de políticas de ações para o console de gerenciamento de AWS custos, consulte AWS Políticas de ações de gerenciamento de AWS custos no Guia do usuário do gerenciamento de custos.

Nome da permissão	Descrição
`aws-portal:ViewBilling`	Concede permissão para visualizar as páginas do console do Gerenciamento de Faturamento e Custos.
`aws-portal:ModifyBilling`	Concede permissão para modificar as páginas a seguir do console de Gerenciamento de Faturamento e Custos: Orçamentos Faturamento consolidado Preferências de cobrança Créditos Configurações de impostos Métodos de pagamento Ordens de compra Tags de alocação de custos Para permitir que os usuários do IAM modifiquem essas páginas do console, é necessário permitir `ModifyBilling` e `ViewBilling`. Para visualizar um exemplo de política, consulte Permitir que os usuários do IAM modifiquem as informações de faturamento.
`aws-portal:ViewAccount`	Concede permissão para visualizar as Configurações da conta.
`aws-portal:ModifyAccount`	Concede permissão para modificar as Configurações da conta. Para permitir que os usuários do IAM modifiquem as configurações da conta, é necessário permitir `ModifyAccount` e `ViewAccount`. Para obter um exemplo de uma política que nega explicitamente o acesso à página do console de Configurações da conta a um usuário do IAM, consulte Recusar o acesso às configurações da conta, mas permitir acesso total a todas as outras informações de faturamento e uso.
`aws-portal:ViewPaymentMethods`	Concede permissão para visualizar os Métodos de pagamento.
`aws-portal:ModifyPaymentMethods`	Concede permissão para modificar os Métodos de pagamento. Para permitir que os usuários modifiquem os métodos de pagamento, é necessário permitir `ModifyPaymentMethods` e `ViewPaymentMethods`.
`billing:ListBillingViews`	Concede permissão para obter uma lista das visualizações de faturamento disponíveis. Isso inclui visualizações de faturamento personalizadas e visualizações de faturamento correspondentes a grupos de cobrança pro forma. Para obter mais informações sobre visualizações de faturamento personalizadas, consulte Controle do acesso aos dados de gerenciamento de custos com o Billing View. Para obter mais informações sobre visualização dos seus grupos de faturamento do, consulte Viewing your billing group details (Visualizar os detalhes do grupo de faturamento) no Guia do usuário do AWS Billing Conductor.
`billing:CreateBillingView`	Concede permissão para criar visualizações personalizadas de faturamento. Para ver um exemplo de política, consulte Permitir que os usuários criem, gerenciem e compartilhem visualizações personalizadas de faturamento.
`billing:UpdateBillingView`	Concede permissão para atualizar visualizações personalizadas de faturamento. Para ver um exemplo de política, consulte Permitir que os usuários criem, gerenciem e compartilhem visualizações personalizadas de faturamento.
`billing:DeleteBillingView`	Concede permissão para excluir visualizações personalizadas de faturamento. Para ver um exemplo de política, consulte Permitir que os usuários criem, gerenciem e compartilhem visualizações personalizadas de faturamento.
`billing:GetBillingView`	Concede permissão para obter a definição de visualizações de faturamento. Para ver um exemplo de política, consulte Permitir que os usuários criem, gerenciem e compartilhem visualizações personalizadas de faturamento.
`sustainability:GetCarbonFootprintSummary`	Concede permissão para visualizar a ferramenta e os dados da pegada de carbono do AWS cliente. Isso pode ser acessado na página Relatórios de AWS Custos e Uso do console Billing and Cost Management. Para obter um exemplo de política, consulte Permitir que os usuários do IAM visualizem suas informações de faturamento o relatório de pegada de carbono.
`cur:DescribeReportDefinitions`	Concede permissão para visualizar relatórios de AWS custo e uso. AWS As permissões de Relatórios de Custo e Uso se aplicam a todos os relatórios criados usando a API do Serviço de Relatórios de AWS Custo e Uso e o console Billing and Cost Management. Se você cria relatórios usando o console do Billing and Cost Management, recomendamos atualizar as permissões para os usuários do IAM. Se você não as atualizar, pode ser que os usuários percam o acesso a visualizações, edição e exclusão de relatórios na página de relatórios do console. Para obter um exemplo de política, consulte Permitir que os usuários do IAM acessem a página de relatórios do console.
`cur:PutReportDefinition`	Concede permissão para criar relatórios de AWS custo e uso. AWS As permissões de Relatórios de Custo e Uso se aplicam a todos os relatórios criados usando a API do Serviço de Relatórios de AWS Custo e Uso e o console Billing and Cost Management. Se você cria relatórios usando o console do Billing and Cost Management, recomendamos atualizar as permissões para os usuários do IAM. Se você não as atualizar, pode ser que os usuários percam o acesso a visualizações, edição e exclusão de relatórios na página de relatórios do console. Para obter um exemplo de política, consulte Permitir que os usuários do IAM acessem a página de relatórios do console.
`cur:DeleteReportDefinition`	Concede permissão para excluir relatórios de AWS custo e uso. AWS As permissões de Relatórios de Custo e Uso se aplicam a todos os relatórios criados usando a API do Serviço de Relatórios de AWS Custo e Uso e o console Billing and Cost Management. Se você cria relatórios usando o console do Billing and Cost Management, recomendamos atualizar as permissões para os usuários do IAM. Se você não as atualizar, pode ser que os usuários percam o acesso a visualizações, edição e exclusão de relatórios na página de relatórios do console. Para obter um exemplo de política, consulte Criar, visualizar, editar ou excluir Relatórios uso e de custo da AWS.
`cur:ModifyReportDefinition`	Concede permissão para modificar os relatórios de AWS custo e uso. AWS As permissões de Relatórios de Custo e Uso se aplicam a todos os relatórios criados usando a API do Serviço de Relatórios de AWS Custo e Uso e o console Billing and Cost Management. Se você cria relatórios usando o console do Billing and Cost Management, recomendamos atualizar as permissões para os usuários do IAM. Se você não as atualizar, pode ser que os usuários percam o acesso a visualizações, edição e exclusão de relatórios na página de relatórios do console. Para obter um exemplo de política, consulte Criar, visualizar, editar ou excluir Relatórios uso e de custo da AWS.
`ce:CreateCostCategoryDefinition`	Concede permissões para criar categorias de custo. Para visualizar um exemplo de política, consulte Visualizar e gerenciar as categorias de custos.
`ce:DeleteCostCategoryDefinition`	Concede permissões para excluir categorias de custo. Para visualizar um exemplo de política, consulte Visualizar e gerenciar as categorias de custos.
`ce:DescribeCostCategoryDefinition`	Concede permissões para visualizar categorias de custo. Para visualizar um exemplo de política, consulte Visualizar e gerenciar as categorias de custos.
`ce:ListCostCategoryDefinitions`	Concede permissões para listar categorias de custo. Para visualizar um exemplo de política, consulte Visualizar e gerenciar as categorias de custos.
`ce:UpdateCostCategoryDefinition`	Concede permissões para atualizar categorias de custo. Para visualizar um exemplo de política, consulte Visualizar e gerenciar as categorias de custos.
`aws-portal:ViewUsage`	Concede permissão para visualizar relatórios AWS de uso. Para permitir que os usuários do IAM visualizem relatórios de uso, é necessário permitir o `ViewUsage` e o `ViewBilling`. Para visualizar um exemplo de política, consulte Permitir que os usuários do IAM acessem a página de relatórios do console.
`payments:AcceptFinancingApplicationTerms`	Permite que os usuários do IAM concordem com os termos fornecidos pelo credor financeiro. Os usuários devem fornecer os detalhes de sua conta bancária para reembolso e assinar os documentos legais fornecidos pelo credor.
`payments:CreateFinancingApplication`	Permite que os usuários do IAM solicitem um novo empréstimo financeiro e referenciem a opção de financiamento escolhida.
`payments:GetFinancingApplication`	Permite que os usuários do IAM recuperem os detalhes de um aplicativo de financiamento. Por exemplo, status, limites, termos e informações do credor.
`payments:GetFinancingLine`	Permite que os usuários do IAM recuperem os detalhes de um empréstimo financeiro. Por exemplo, status e saldos.
`payments:GetFinancingLineWithdrawal`	Permite que os usuários do IAM recuperem os detalhes do saque. Por exemplo, saldos e reembolsos.
`payments:GetFinancingOption`	Permite que os usuários do IAM recuperem os detalhes de uma opção de financiamento específica.
`payments:ListFinancingApplications`	Permite que os usuários do IAM recuperem os identificadores de todos os aplicativos de financiamento, em todos os credores.
`payments:ListFinancingLines`	Permite que os usuários do IAM recuperem os identificadores de todos os empréstimos financeiros, em todos os credores.
`payments:ListFinancingLineWithdrawals`	Permite que os usuários do IAM recuperem todos os saques existentes de um determinado empréstimo.
`payments:ListTagsForResource`	Permite ou nega aos usuários do IAM a permissão para visualizar tags de um método de pagamento.
`payments:TagResource`	Permite ou nega aos usuários do IAM a permissão para adicionar tags a um método de pagamento.
`payments:UntagResource`	Permite ou nega aos usuários do IAM a permissão para remover tags de um método de pagamento.
`payments:UpdateFinancingApplication`	Permita que os usuários do IAM alterem um pedido de financiamento e enviem informações adicionais solicitadas pelo credor.
`payments:ListPaymentInstruments`	Permite ou nega aos usuários do IAM a permissão para listar seus métodos de pagamento registrados.
`payments:UpdatePaymentInstrument`	Concede ou nega aos usuários do IAM permissão para atualizar seus métodos de pagamento.
`pricing:DescribeServices`	Concede permissão para visualizar produtos AWS de serviços e preços por meio da API de serviços de lista de AWS preços. Para permitir que os usuários do IAM usem a API do AWS Price List Service`DescribeServices`, você deve permitir`GetAttributeValues`, `GetProducts` e. Para visualizar um exemplo de política, consulte Encontrar produtos e preços.
`pricing:GetAttributeValues`	Concede permissão para visualizar produtos AWS de serviços e preços por meio da API de serviços de lista de AWS preços. Para permitir que os usuários do IAM usem a API do AWS Price List Service`DescribeServices`, você deve permitir`GetAttributeValues`, `GetProducts` e. Para visualizar um exemplo de política, consulte Encontrar produtos e preços.
`pricing:GetProducts`	Concede permissão para visualizar produtos AWS de serviços e preços por meio da API de serviços de lista de AWS preços. Para permitir que os usuários do IAM usem a API do AWS Price List Service`DescribeServices`, você deve permitir`GetAttributeValues`, `GetProducts` e. Para visualizar um exemplo de política, consulte Encontrar produtos e preços.
`purchase-orders:ViewPurchaseOrders`	Concede permissão para visualizar Ordens de compra. Para visualizar um exemplo de política, consulte Visualizar e gerenciar ordens de compra.
`purchase-orders:ModifyPurchaseOrders`	Concede permissão para modificar Ordens de compra. Para visualizar um exemplo de política, consulte Visualizar e gerenciar ordens de compra.
`tax:GetExemptions`	Concede permissão de acesso somente leitura para visualizar isenções e tipos de isenções pelo console fiscal. Para visualizar um exemplo de política, consulte Permita que os usuários do IAM visualizem as isenções fiscais dos EUA e criem casos Suporte.
`tax:UpdateExemptions`	Concede permissão para carregar uma isenção no console de isenções fiscais dos EUA. Para visualizar um exemplo de política, consulte Permita que os usuários do IAM visualizem as isenções fiscais dos EUA e criem casos Suporte.
`support:CreateCase`	Concede permissão para iniciar casos de suporte, necessários para carregar isenções do console de isenções fiscais. Para visualizar um exemplo de política, consulte Permita que os usuários do IAM visualizem as isenções fiscais dos EUA e criem casos Suporte.
`support:AddAttachmentsToSet`	Concede permissão para anexar documentos a casos de suporte necessários para carregar certificados de isenção para o console de isenção fiscal. Para visualizar um exemplo de política, consulte Permita que os usuários do IAM visualizem as isenções fiscais dos EUA e criem casos Suporte.
`customer-verification:GetCustomerVerificationEligibility`	(Somente para clientes com endereço de cobrança ou contato na Índia) Concede permissão para recuperar a elegibilidade de verificação do cliente.
`customer-verification:GetCustomerVerificationDetails`	(Somente para clientes com endereço de cobrança ou contato na Índia) Concede permissão para recuperar dados de verificação do cliente.
`customer-verification:CreateCustomerVerificationDetails`	(Somente para clientes com endereço de cobrança ou contato na Índia) Concede permissão para criar dados de verificação do cliente.
`customer-verification:UpdateCustomerVerificationDetails`	(Somente para clientes com endereço de cobrança ou contato na Índia) Concede permissão para atualizar dados de verificação do cliente.
`mapcredit:ListAssociatedPrograms`	Concede permissão para visualizar o associado Migration Acceleration Program acordos e painel para a conta do pagador.
`mapcredit:ListQuarterSpend`	Concede permissão para visualizar o Migration Acceleration Program gasto elegível para a conta do pagador.
`mapcredit:ListQuarterCredits`	Concede permissão para visualizar o Migration Acceleration Program créditos para a conta do pagador.
`invoicing:BatchGetInvoiceProfile`	Concede permissão para acesso somente de leitura para visualizar perfis de fatura para configuração de faturas. AWS
`invoicing:CreateInvoiceUnit`	Concede permissão para criar unidades de fatura para configuração de AWS faturas.
`invoicing:DeleteInvoiceUnit`	Concede permissão para excluir unidades de fatura para configuração de AWS faturas.
`invoicing:GetInvoiceUnit`	Concede permissão para acesso somente de leitura para visualizar unidades de fatura para configuração de faturas. AWS
`invoicing:ListInvoiceUnits`	Concede permissão para listar todas as unidades da fatura para configuração da AWS fatura.
`invoicing:ListTagsForResource`	Permita ou negue aos usuários do IAM a permissão de visualizar as tags de uma unidade de fatura para configuração da AWS fatura.
`invoicing:TagResource`	Permita ou negue aos usuários do IAM a permissão de adicionar tags a uma unidade de fatura para configuração da AWS fatura.
`invoicing:UntagResource`	Permita ou negue aos usuários do IAM a permissão para remover tags de uma unidade de fatura para configuração da AWS fatura.
`invoicing:UpdateInvoiceUnit`	Concede permissões de edição para atualizar as unidades da fatura para configuração da AWS fatura.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Como o AWS faturamento funciona com o IAM

AWS Exemplos de políticas de cobrança