Melhores práticas de política Usar o console Permitir que usuários visualizem suas próprias permissões Usando IAM políticas de cobrança

Política baseada em identidade com faturamento AWS

Por padrão, usuários e funções não têm permissão para criar ou modificar recursos do Faturamento. Eles também não podem realizar tarefas usando o AWS Management Console, AWS Command Line Interface (AWS CLI) ou AWS API. Para conceder permissão aos usuários para realizar ações nos recursos de que precisam, um IAM administrador pode criar IAM políticas. O administrador pode então adicionar as IAM políticas às funções e os usuários podem assumir as funções.

Para saber como criar uma política IAM baseada em identidade usando esses exemplos de documentos de JSON política, consulte Criar IAM políticas (console) no Guia do IAMusuário.

Para obter detalhes sobre ações e tipos de recursos definidos pelo Faturamento, incluindo o formato de cada um dos tipos de recursos, consulte Ações, recursos e chaves de condição para AWS cobrança na Referência de Autorização de Serviço. ARNs

Sumário

Melhores práticas de política

As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Faturamento em sua conta. Essas ações podem incorrer em custos para seus Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:

Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões aos seus usuários e cargas de trabalho, use as políticas AWS gerenciadas que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para obter mais informações, consulte políticas AWS gerenciadas ou políticas AWS gerenciadas para funções de trabalho no Guia IAM do usuário.
Aplique permissões com privilégios mínimos — Ao definir permissões com IAM políticas, conceda somente as permissões necessárias para realizar uma tarefa. Você faz isso definindo as ações que podem ser executadas em atributos específicos sob condições específicas, também conhecidas como permissões de privilégio mínimo. Para obter mais informações sobre IAM como usar para aplicar permissões, consulte Políticas e permissões IAM no Guia IAM do usuário.
Use condições nas IAM políticas para restringir ainda mais o acesso — Você pode adicionar uma condição às suas políticas para limitar o acesso a ações e recursos. Por exemplo, você pode escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usandoSSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como AWS CloudFormation. Para obter mais informações, consulte elementos IAM JSON da política: Condição no Guia IAM do usuário.
Use o IAM Access Analyzer para validar suas IAM políticas e garantir permissões seguras e funcionais — o IAM Access Analyzer valida políticas novas e existentes para que as políticas sigam a linguagem da IAM política (JSON) e as melhores práticas. IAM IAMO Access Analyzer fornece mais de 100 verificações de políticas e recomendações práticas para ajudá-lo a criar políticas seguras e funcionais. Para obter mais informações, consulte Validar políticas com o IAM Access Analyzer no Guia do IAMUsuário.
Exigir autenticação multifatorial (MFA) — Se você tiver um cenário que exija IAM usuários ou um usuário root Conta da AWS, ative MFA para obter segurança adicional. Para exigir MFA quando API as operações são chamadas, adicione MFA condições às suas políticas. Para obter mais informações, consulte APIAcesso seguro MFA no Guia do IAM usuário.

Para obter mais informações sobre as melhores práticas emIAM, consulte as melhores práticas de segurança IAM no Guia IAM do usuário.

Uso do console do Faturamento

Para acessar o console AWS de faturamento, você precisa ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os recursos de faturamento em seu Conta da AWS. Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.

Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para AWS CLI o. ou AWS API o. Em vez disso, permita o acesso somente às ações que correspondam à API operação que eles estão tentando realizar.

Você pode encontrar detalhes de acesso, como as permissões necessárias para ativar o console de AWS faturamento, o acesso de administrador e o acesso somente para leitura, na seção. AWS políticas gerenciadas

Permitir que usuários visualizem suas próprias permissões

Este exemplo mostra como você pode criar uma política que permita IAM aos usuários visualizar as políticas embutidas e gerenciadas que estão anexadas à identidade do usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando o AWS CLI ou. AWS API


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Uso de políticas baseadas em identidade para o Faturamento

nota

As seguintes AWS Identity and Access Management (IAM) ações chegaram ao fim do suporte padrão em julho de 2023:

Namespace do aws-portal
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

Se você estiver usando AWS Organizations, poderá usar os scripts do migrador de políticas em massa ou o migrador de políticas em massa para atualizar as políticas da sua conta de pagador. Você também pode usar a referência de mapeamento de ações antiga para granular para verificar as IAM ações que precisam ser adicionadas.

Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.

Importante

Além das IAM políticas, você deve conceder IAM acesso ao console Billing and Cost Management na página do console de Configurações da conta.

Para obter mais informações, consulte os tópicos a seguir.

Ativar o acesso ao console do Billing and Cost Management
IAMtutorial: Conceda acesso ao console de faturamento no Guia do IAMusuário

Use esta seção para ver como um administrador de contas com políticas baseadas em identidade pode anexar políticas de permissões a IAM identidades (funções e grupos) e conceder permissões para realizar operações em recursos de faturamento.

Para obter mais informações sobre usuários Contas da AWS e usuários, consulte O que éIAM? no Guia do IAM usuário.

Para obter informações sobre como você pode atualizar as políticas gerenciadas pelo cliente, consulte Edição de políticas gerenciadas pelo cliente (console) no Guia IAM do usuário.

AWS Ações do console de faturamento

Esta tabela resume as permissões que concedem acesso a suas informações e ferramentas do console de faturamento. Para obter exemplos de políticas que usam essas permissões, consulte AWS Exemplos de políticas de cobrança.

Para obter uma lista de políticas de ações para o console de gerenciamento de AWS custos, consulte AWS Políticas de ações de gerenciamento de AWS custos no Guia do usuário do gerenciamento de custos.

Nome da permissão	Descrição
`aws-portal:ViewBilling`	Concede permissão para visualizar as páginas do console do Gerenciamento de Faturamento e Custos.
`aws-portal:ModifyBilling`	Concede permissão para modificar as páginas a seguir do console de Gerenciamento de Faturamento e Custos: Orçamentos Faturamento consolidado Preferências de cobrança Credits (Créditos) Configurações de impostos Métodos de pagamento Ordens de compra Tags de alocação de custos Para permitir que IAM os usuários modifiquem essas páginas do console, você deve permitir que ambos `ModifyBilling` `ViewBilling` e. Para visualizar um exemplo de política, consulte Permitir que IAM os usuários modifiquem as informações de cobrança.
`aws-portal:ViewAccount`	Concede permissão para visualizar as Configurações da conta.
`aws-portal:ModifyAccount`	Concede permissão para modificar as Configurações da conta. Para permitir que IAM os usuários modifiquem as configurações da conta, você deve permitir que ambos `ModifyAccount` `ViewAccount` e. Para obter um exemplo de uma política que nega explicitamente ao IAM usuário o acesso à página do console de Configurações da conta, consulte. Recusar o acesso às configurações da conta, mas permitir acesso total a todas as outras informações de faturamento e uso
`aws-portal:ViewPaymentMethods`	Concede permissão para visualizar os Métodos de pagamento.
`aws-portal:ModifyPaymentMethods`	Concede permissão para modificar os Métodos de pagamento. Para permitir que os usuários modifiquem os métodos de pagamento, é necessário permitir `ModifyPaymentMethods` e `ViewPaymentMethods`.
`billing:ListBillingViews`	Concede permissão para obter informações de faturamento para grupos de faturamento pró-forma. Isso é feito usando o AWS Billing Conductor na página Faturas ou os Relatórios de AWS Custo e Uso. Para obter mais informações sobre visualização dos seus grupos de faturamento do, consulte Viewing your billing group details (Visualizar os detalhes do grupo de faturamento) no Guia do usuário do AWS Billing Conductor.
`sustainability:GetCarbonFootprintSummary`	Concede permissão para visualizar a ferramenta e os dados da pegada de carbono do AWS cliente. Isso pode ser acessado na página Relatórios de AWS Custos e Uso do console Billing and Cost Management. Para obter um exemplo de política, consulte Permita que IAM os usuários visualizem suas informações de cobrança e relatório de pegada de carbono.
`cur:DescribeReportDefinitions`	Concede permissão para visualizar relatórios de AWS custo e uso. AWS As permissões de Relatórios de Custo e Uso se aplicam a todos os relatórios criados usando o Serviço de Relatórios de AWS Custo e Uso API e o console Billing and Cost Management. Se você criar relatórios usando o console Billing and Cost Management, recomendamos que você atualize as permissões dos usuáriosIAM. Se você não as atualizar, pode ser que os usuários percam o acesso a visualizações, edição e exclusão de relatórios na página de relatórios do console. Para obter um exemplo de política, consulte Permitir que IAM os usuários acessem a página do console de relatórios.
`cur:PutReportDefinition`	Concede permissão para criar relatórios de AWS custo e uso. AWS As permissões de Relatórios de Custo e Uso se aplicam a todos os relatórios criados usando o Serviço de Relatórios de AWS Custo e Uso API e o console Billing and Cost Management. Se você criar relatórios usando o console Billing and Cost Management, recomendamos que você atualize as permissões dos usuáriosIAM. Se você não as atualizar, pode ser que os usuários percam o acesso a visualizações, edição e exclusão de relatórios na página de relatórios do console. Para obter um exemplo de política, consulte Permitir que IAM os usuários acessem a página do console de relatórios.
`cur:DeleteReportDefinition`	Concede permissão para excluir relatórios de AWS custo e uso. AWS As permissões de Relatórios de Custo e Uso se aplicam a todos os relatórios criados usando o Serviço de Relatórios de AWS Custo e Uso API e o console Billing and Cost Management. Se você criar relatórios usando o console Billing and Cost Management, recomendamos que você atualize as permissões dos usuáriosIAM. Se você não as atualizar, pode ser que os usuários percam o acesso a visualizações, edição e exclusão de relatórios na página de relatórios do console. Para obter um exemplo de política, consulte Criar, visualizar, editar ou excluir Relatórios uso e de custo da AWS.
`cur:ModifyReportDefinition`	Concede permissão para modificar os relatórios de AWS custo e uso. AWS As permissões de Relatórios de Custo e Uso se aplicam a todos os relatórios criados usando o Serviço de Relatórios de AWS Custo e Uso API e o console Billing and Cost Management. Se você criar relatórios usando o console Billing and Cost Management, recomendamos que você atualize as permissões dos usuáriosIAM. Se você não as atualizar, pode ser que os usuários percam o acesso a visualizações, edição e exclusão de relatórios na página de relatórios do console. Para obter um exemplo de política, consulte Criar, visualizar, editar ou excluir Relatórios uso e de custo da AWS.
`ce:CreateCostCategoryDefinition`	Concede permissões para criar categorias de custo. Para visualizar um exemplo de política, consulte Visualizar e gerenciar as categorias de custos.
`ce:DeleteCostCategoryDefinition`	Concede permissões para excluir categorias de custo. Para visualizar um exemplo de política, consulte Visualizar e gerenciar as categorias de custos.
`ce:DescribeCostCategoryDefinition`	Concede permissões para visualizar categorias de custo. Para visualizar um exemplo de política, consulte Visualizar e gerenciar as categorias de custos.
`ce:ListCostCategoryDefinitions`	Concede permissões para listar categorias de custo. Para visualizar um exemplo de política, consulte Visualizar e gerenciar as categorias de custos.
`ce:UpdateCostCategoryDefinition`	Concede permissões para atualizar categorias de custo. Para visualizar um exemplo de política, consulte Visualizar e gerenciar as categorias de custos.
`aws-portal:ViewUsage`	Concede permissão para visualizar relatórios AWS de uso. Para permitir que IAM os usuários visualizem relatórios de uso, você deve permitir que ambos `ViewUsageViewBilling`. Para visualizar um exemplo de política, consulte Permitir que IAM os usuários acessem a página do console de relatórios.
`payments:AcceptFinancingApplicationTerms`	Permite que IAM os usuários concordem com os termos fornecidos pelo credor financeiro. Os usuários devem fornecer os detalhes de sua conta bancária para reembolso e assinar os documentos legais fornecidos pelo credor.
`payments:CreateFinancingApplication`	Permite que IAM os usuários solicitem um novo empréstimo financeiro e referenciem a opção de financiamento escolhida.
`payments:GetFinancingApplication`	Permite que IAM os usuários recuperem os detalhes de um pedido de financiamento. Por exemplo, status, limites, termos e informações do credor.
`payments:GetFinancingLine`	Permite que IAM os usuários recuperem os detalhes de um empréstimo financeiro. Por exemplo, status e saldos.
`payments:GetFinancingLineWithdrawal`	Permite que IAM os usuários recuperem os detalhes do saque. Por exemplo, saldos e reembolsos.
`payments:GetFinancingOption`	Permite que IAM os usuários recuperem os detalhes de uma opção de financiamento específica.
`payments:ListFinancingApplications`	Permite que IAM os usuários recuperem os identificadores de todos os pedidos de financiamento, em todos os credores.
`payments:ListFinancingLines`	Permite que IAM os usuários recuperem os identificadores de todos os empréstimos financeiros, em todos os credores.
`payments:ListFinancingLineWithdrawals`	Permite que IAM os usuários recuperem todos os saques existentes de um determinado empréstimo.
`payments:ListTagsForResource`	Permita ou negue IAM aos usuários a permissão de visualizar as tags de uma forma de pagamento.
`payments:TagResource`	Permita ou negue IAM aos usuários a permissão de adicionar tags a uma forma de pagamento.
`payments:UntagResource`	Permita ou negue IAM aos usuários a permissão para remover tags de uma forma de pagamento.
`payments:UpdateFinancingApplication`	Permita que IAM os usuários alterem um pedido de financiamento e enviem informações adicionais solicitadas pelo credor.
`payments:ListPaymentInstruments`	Permita ou negue IAM aos usuários a permissão de listar suas formas de pagamento registradas.
`payments:UpdatePaymentInstrument`	Permita ou negue IAM aos usuários a permissão para atualizar suas formas de pagamento.
`pricing:DescribeServices`	Concede permissão para visualizar produtos AWS de serviços e preços por meio do Serviço de Lista de AWS PreçosAPI. Para permitir que IAM os usuários usem o Serviço de Lista de AWS Preços API`DescribeServices`, você deve permitir`GetAttributeValues`, `GetProducts` e. Para visualizar um exemplo de política, consulte Encontrar produtos e preços.
`pricing:GetAttributeValues`	Concede permissão para visualizar produtos AWS de serviços e preços por meio do Serviço de Lista de AWS PreçosAPI. Para permitir que IAM os usuários usem o Serviço de Lista de AWS Preços API`DescribeServices`, você deve permitir`GetAttributeValues`, `GetProducts` e. Para visualizar um exemplo de política, consulte Encontrar produtos e preços.
`pricing:GetProducts`	Concede permissão para visualizar produtos AWS de serviços e preços por meio do Serviço de Lista de AWS PreçosAPI. Para permitir que IAM os usuários usem o Serviço de Lista de AWS Preços API`DescribeServices`, você deve permitir`GetAttributeValues`, `GetProducts` e. Para visualizar um exemplo de política, consulte Encontrar produtos e preços.
`purchase-orders:ViewPurchaseOrders`	Concede permissão para visualizar Ordens de compra. Para visualizar um exemplo de política, consulte Visualizar e gerenciar ordens de compra.
`purchase-orders:ModifyPurchaseOrders`	Concede permissão para modificar Ordens de compra. Para visualizar um exemplo de política, consulte Visualizar e gerenciar ordens de compra.
`tax:GetExemptions`	Concede permissão de acesso somente leitura para visualizar isenções e tipos de isenções pelo console fiscal. Para visualizar um exemplo de política, consulte Permita que IAM os usuários visualizem as isenções fiscais dos EUA e criem casos AWS Support.
`tax:UpdateExemptions`	Concede permissão para carregar uma isenção no console de isenções fiscais dos EUA. Para visualizar um exemplo de política, consulte Permita que IAM os usuários visualizem as isenções fiscais dos EUA e criem casos AWS Support.
`support:CreateCase`	Concede permissão para iniciar casos de suporte, necessários para carregar isenções do console de isenções fiscais. Para visualizar um exemplo de política, consulte Permita que IAM os usuários visualizem as isenções fiscais dos EUA e criem casos AWS Support.
`support:AddAttachmentsToSet`	Concede permissão para anexar documentos a casos de suporte necessários para carregar certificados de isenção para o console de isenção fiscal. Para visualizar um exemplo de política, consulte Permita que IAM os usuários visualizem as isenções fiscais dos EUA e criem casos AWS Support.
`customer-verification:GetCustomerVerificationEligibility`	(Somente para clientes com endereço de cobrança ou contato na Índia) Concede permissão para recuperar a elegibilidade de verificação do cliente.
`customer-verification:GetCustomerVerificationDetails`	(Somente para clientes com endereço de cobrança ou contato na Índia) Concede permissão para recuperar dados de verificação do cliente.
`customer-verification:CreateCustomerVerificationDetails`	(Somente para clientes com endereço de cobrança ou contato na Índia) Concede permissão para criar dados de verificação do cliente.
`customer-verification:UpdateCustomerVerificationDetails`	(Somente para clientes com endereço de cobrança ou contato na Índia) Concede permissão para atualizar dados de verificação do cliente.
`mapcredit:ListAssociatedPrograms`	Concede permissão para visualizar o associado Migration Acceleration Program acordos e painel para a conta do pagador.
`mapcredit:ListQuarterSpend`	Concede permissão para visualizar o Migration Acceleration Program gasto elegível para a conta do pagador.
`mapcredit:ListQuarterCredits`	Concede permissão para visualizar o Migration Acceleration Program créditos para a conta do pagador.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Como o AWS faturamento funciona com IAM

AWS Exemplos de políticas de cobrança