As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usando políticas baseadas em identidade (IAMpolíticas) para AWS gerenciamento de custos
nota
As seguintes AWS Identity and Access Management (IAM) ações chegaram ao fim do suporte padrão em julho de 2023:
-
Namespace do
aws-portal -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
Se você estiver usando AWS Organizations, poderá usar os scripts do migrador de políticas em massa para atualizar as políticas da sua conta de pagador. Você também pode usar a referência de mapeamento de ações antiga para granular para verificar as IAM ações que precisam ser adicionadas.
Para obter mais informações, consulte o blog Alterações no AWS faturamento, no gerenciamento de AWS custos e nas permissões dos consoles de contas
Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.
Este tópico fornece exemplos de políticas baseadas em identidade que demonstram como um administrador de conta pode anexar políticas de permissões a IAM identidades (funções e grupos) e, assim, conceder permissões para realizar operações em recursos de Billing and Cost Management.
Para uma discussão completa sobre AWS contas e usuários, consulte O que éIAM? no Guia do IAM usuário.
Para obter informações sobre como você pode atualizar as políticas gerenciadas pelo cliente, consulte Edição de políticas gerenciadas pelo cliente (console) no Guia IAM do usuário.
Tópicos
Políticas de ações do Gerenciamento de Faturamento e Custos
Essa tabela resume as permissões que permitem ou negam acesso a suas informações e ferramentas de faturamento a usuários do . Para obter exemplos de políticas que usam essas permissões, consulte AWS Exemplos de políticas de gerenciamento de custos.
Para obter uma lista das políticas de ações para o console do Billing, consulte Políticas de ações do Billing no Guia do usuário do Billing.
| Nome da permissão | Descrição |
|---|---|
|
|
Permitir ou negar aos usuários permissões para visualizar as seguintes páginas do console do Gerenciamento de Faturamento e Custos. Para ver um exemplo de política, consulte Permitir que IAM os usuários visualizem suas informações de cobrança no Guia do usuário de faturamento. |
aws-portal:ViewUsage |
Permita ou negue aos usuários a permissão para visualizar os relatórios AWS Para permitir que os usuários visualizem relatórios de uso, é necessário permitir o Para ver um exemplo de política, consulte Permitir que IAM os usuários acessem a página do console de relatórios no Guia do usuário de faturamento. |
|
|
Permitir ou negar permissão aos usuários do para modificar as seguintes páginas do console de Gerenciamento de faturamento e custos: Para permitir que os usuários do |
|
|
Permitir ou negar permissão aos usuários do para visualizar as seguintes páginas do console de Gerenciamento de faturamento e custos: |
aws-portal:ModifyAccount |
Permitir ou negar permissão aos usuários para modificar as Configurações da conta Para permitir que os usuários do Para obter um exemplo de uma política que nega explicitamente o acesso à página do console de Configurações da conta, consulte Recusar o acesso às configurações da conta, mas permitir acesso total a todas as outras informações de faturamento e uso. |
budgets:ViewBudget |
Permitir ou negar permissão aos usuários do para visualizar Orçamentos Para permitir que os usuários visualizem orçamentos, também é necessário permitir |
budgets:ModifyBudget |
Permitir ou negar permissão aos usuários do para modificar Orçamentos Para permitir que os usuários do visualizem e modifiquem orçamentos, também é necessário permitir |
ce:GetPreferences |
Permitir ou negar aos usuários permissões para visualizar a página de preferências do Explorador de Custos. Para visualizar um exemplo de política, consulte Visualizar e atualizar a página de preferências do Explorador de Custos. |
ce:UpdatePreferences |
Permitir ou negar aos usuários permissões para atualizar a página de preferências do Explorador de Custos. Para visualizar um exemplo de política, consulte Visualizar e atualizar a página de preferências do Explorador de Custos. |
ce:DescribeReport |
Permitir ou negar aos usuários permissões para visualizar a página de relatórios do Explorador de Custos. Para visualizar um exemplo de política, consulte Visualizar, criar, atualizar e excluir usando a página de relatórios do Explorador de Custos. |
ce:CreateReport |
Permitir ou negar aos usuários permissões para criar relatórios usando a página de relatórios do Explorador de Custos. Para visualizar um exemplo de política, consulte Visualizar, criar, atualizar e excluir usando a página de relatórios do Explorador de Custos. |
ce:UpdateReport |
Permitir ou negar aos usuários permissões para atualizar usando a página de relatórios do Explorador de Custos. Para visualizar um exemplo de política, consulte Visualizar, criar, atualizar e excluir usando a página de relatórios do Explorador de Custos. |
ce:DeleteReport |
Permitir ou negar aos usuários permissões para excluir relatórios usando a página de relatórios do Explorador de Custos. Para visualizar um exemplo de política, consulte Visualizar, criar, atualizar e excluir usando a página de relatórios do Explorador de Custos. |
ce:DescribeNotificationSubscription |
Permitir ou negar aos usuários do IAM permissões para visualizar alertas de validade de reservas do Explorador de Custos na página de visão geral da reserva. Para visualizar um exemplo de política, consulte Exibir, criar, atualizar e excluir alertas de reserva e dos Savings Plans. |
ce:CreateNotificationSubscription |
Permitir ou negar aos usuários permissões para criar alertas de validade de reservas do Explorador de Custos na página de visão geral da reserva. Para visualizar um exemplo de política, consulte Exibir, criar, atualizar e excluir alertas de reserva e dos Savings Plans. |
ce:UpdateNotificationSubscription |
Permitir ou negar aos usuários permissões para atualizar alertas de validade de reservas do Explorador de Custos na página de visão geral da reserva. Para visualizar um exemplo de política, consulte Exibir, criar, atualizar e excluir alertas de reserva e dos Savings Plans. |
ce:DeleteNotificationSubscription |
Permitir ou negar aos usuários permissões para excluir alertas de validade de reservas do Explorador de Custos na página de visão geral da reserva. Para visualizar um exemplo de política, consulte Exibir, criar, atualizar e excluir alertas de reserva e dos Savings Plans. |
ce:CreateCostCategoryDefinition |
Permitir ou negar permissões de usuários do para criar categorias de custos. Para ver um exemplo de política, consulte Visualizar e gerenciar categorias de custo no Guia do usuário de faturamento. É possível adicionar tags de recurso aos monitores durante a |
ce:DeleteCostCategoryDefinition |
Permitir ou negar permissões de usuários do para excluir categorias de custos. Para ver um exemplo de política, consulte Visualizar e gerenciar categorias de custo no Guia do usuário de faturamento. |
ce:DescribeCostCategoryDefinition |
Permitir ou negar permissões de usuários do para visualizar as categorias de custos. Para ver um exemplo de política, consulte Visualizar e gerenciar categorias de custo no Guia do usuário de faturamento. |
ce:ListCostCategoryDefinitions |
Permitir ou negar permissões de usuários do para listar as categorias de custos. Para ver um exemplo de política, consulte Visualizar e gerenciar categorias de custo no Guia do usuário de faturamento. |
ce:ListTagsForResource |
Conceda ou negue aos usuários permissão para listar todas as tags de recurso para determinado recurso. Para obter uma lista dos recursos compatíveis, consulte ResourceTagna AWS Billing and Cost Management APIReferência. |
ce:UpdateCostCategoryDefinition |
Permitir ou negar permissões de usuários do para atualizar as categorias de custos. Para ver um exemplo de política, consulte Visualizar e gerenciar categorias de custo no Guia do usuário de faturamento. |
ce:CreateAnomalyMonitor |
Permitir ou negar permissões aos usuários para criar um único monitor de Detecção de Anomalias em Custos da AWS. É possível adicionar tags de recurso aos monitores durante a |
ce:GetAnomalyMonitors |
Permitir ou negar permissões aos usuários para visualizar todos os monitores de Detecção de Anomalias em Custos da AWS. |
ce:UpdateAnomalyMonitor |
Permitir ou negar permissões aos usuários para atualizar os monitores de Detecção de Anomalias em Custos da AWS. |
ce:DeleteAnomalyMonitor |
Permitir ou negar permissões aos usuários para excluir os monitores de Detecção de Anomalias em Custos da AWS. |
ce:CreateAnomalySubscription |
Permitir ou negar permissões aos usuários para criar uma única assinatura para Detecção de Anomalias em Custos da AWS. É possível adicionar tags de recurso às assinaturas durante a |
ce:GetAnomalySubscriptions |
Permitir ou negar permissões aos usuários para visualizar todas as assinaturas para Detecção de Anomalias em Custos da AWS. |
ce:UpdateAnomalySubscription |
Permitir ou negar permissões aos usuários para atualizar as assinaturas para Detecção de Anomalias em Custos da AWS. |
ce:DeleteAnomalySubscription |
Permitir ou negar permissões aos usuários para excluir as assinaturas para Detecção de Anomalias em Custos da AWS. |
ce:GetAnomalies |
Permitir ou negar permissões aos usuários para visualizar todas as anomalias na Detecção de Anomalias em Custos da AWS. |
ce:ProvideAnomalyFeedback |
Permitir ou negar permissões aos usuários para fornecer feedback sobre uma anomalia detectada na Detecção de Anomalias em Custos da AWS. |
ce:TagResource |
Conceda ou negue aos usuários permissão para adicionar pares de chave-valor de tag de recurso a um recurso. Para obter uma lista dos recursos compatíveis, consulte ResourceTagna AWS Billing and Cost Management APIReferência. |
ce:UntagResource |
Permita ou negue aos usuários permissões para excluir tags de recursos de um recurso. Para obter uma lista dos recursos compatíveis, consulte ResourceTagna AWS Billing and Cost Management APIReferência. |
Políticas gerenciadas
nota
As seguintes AWS Identity and Access Management (IAM) ações chegaram ao fim do suporte padrão em julho de 2023:
-
Namespace do
aws-portal -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
Se você estiver usando AWS Organizations, poderá usar os scripts do migrador de políticas em massa para atualizar as políticas da sua conta de pagador. Você também pode usar a referência de mapeamento de ações antiga para granular para verificar as IAM ações que precisam ser adicionadas.
Para obter mais informações, consulte o blog Alterações no AWS faturamento, no gerenciamento de AWS custos e nas permissões dos consoles de contas
Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.
As políticas gerenciadas são políticas autônomas baseadas em identidade que você pode anexar a vários usuários, grupos e funções em sua conta. AWS Você pode usar políticas AWS gerenciadas para controlar o acesso no Billing and Cost Management.
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns. AWS as políticas gerenciadas facilitam a atribuição de permissões apropriadas a usuários, grupos e funções do que se você mesmo tivesse que escrever as políticas.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. AWS ocasionalmente atualiza as permissões definidas em uma política AWS gerenciada. Quando isso ocorre, a atualização afetará todas as entidades principais (usuários, grupos e perfis) às quais a política está anexada.
O Billing and Cost Management fornece AWS várias políticas gerenciadas para casos de uso comuns.
Tópicos
- Permite acesso total aos AWS orçamentos, incluindo ações orçamentárias
- Concede acesso somente leitura ao AWS Budgets
- Concede permissão para controlar os recursos da AWS
- Permite que o Hub de Otimização de Custos acesse os serviços necessários para o funcionamento correto do serviço.
- Concede acesso somente leitura ao Hub de Otimização de Custos
- Concede acesso de administrador ao Hub de Otimização de Custos
- Permite que os dados de alocação de custos divididos chamem os serviços necessários para o funcionamento do serviço.
- Permite que as Exportações de dados acessem outros serviços da AWS .
Permite acesso total aos AWS orçamentos, incluindo ações orçamentárias
Nome da política gerenciada: AWSBudgetsActionsWithAWSResourceControlAccess
Essa política gerenciada é focada no usuário, garantindo que você tenha as permissões adequadas para conceder permissão à AWS Budgets para executar as ações definidas. Essa política fornece acesso total aos AWS orçamentos, incluindo ações orçamentárias, para recuperar o status de suas políticas e executar recursos usando o. AWS AWS Management Console
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "budgets:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "budgets.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "aws-portal:ModifyBilling", "ec2:DescribeInstances", "iam:ListGroups", "iam:ListPolicies", "iam:ListRoles", "iam:ListUsers", "organizations:ListAccounts", "organizations:ListOrganizationalUnitsForParent", "organizations:ListPolicies", "organizations:ListRoots", "rds:DescribeDBInstances", "sns:ListTopics" ], "Resource": "*" } ] }
Concede acesso somente leitura ao AWS Budgets
Nome da política gerenciada: AWSBudgetsReadOnlyAccess
Essa política gerenciada permite acesso somente de leitura aos AWS orçamentos por meio do. AWS Management Console A política pode ser vinculada aos seus usuários, grupos e perfis.
{ "Version" : "2012-10-17", "Statement" : [ { "Sid": "AWSBudgetsReadOnlyAccess", "Effect" : "Allow", "Action" : [ "aws-portal:ViewBilling", "budgets:ViewBudget", "budgets:Describe*" "budgets:ListTagsForResource" ], "Resource" : "*" } ] }
Concede permissão para controlar os recursos da AWS
Nome da política gerenciada: AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM
Essa política gerenciada se concentra em ações específicas que a AWS Budgets realiza em seu nome ao concluir uma ação específica. Essa política dá permissão para controlar AWS recursos. Por exemplo, inicia e interrompe RDS instâncias da Amazon EC2 ou da Amazon executando scripts do AWS Systems Manager (SSM).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "ssm.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ssm:StartAutomationExecution" ], "Resource": [ "arn:aws:ssm:*:*:automation-definition/AWS-StartEC2Instance:*", "arn:aws:ssm:*:*:automation-definition/AWS-StopEC2Instance:*", "arn:aws:ssm:*:*:automation-definition/AWS-StartRdsInstance:*", "arn:aws:ssm:*:*:automation-definition/AWS-StopRdsInstance:*" ] } ] }
Permite que o Hub de Otimização de Custos acesse os serviços necessários para o funcionamento correto do serviço.
Nome da política gerenciada: CostOptimizationHubServiceRolePolicy
Permite que o Hub de Otimização de Custos recupere informações da organização e colete dados e metadados relacionados à otimização.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AwsOrgsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListParents", "organizations:DescribeOrganizationalUnit" ], "Resource": [ "*" ] }, { "Sid": "AwsOrgsScopedAccess", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringLikeIfExists": { "organizations:ServicePrincipal": [ "cost-optimization-hub.bcm.amazonaws.com" ] } } }, { "Sid": "CostExplorerAccess", "Effect": "Allow", "Action": [ "ce:ListCostAllocationTags", "ce:GetCostAndUsage" ], "Resource": [ "*" ] } ] }
Para obter mais informações, consulte Perfis vinculados a serviços para o Hub de Otimização de Custos.
Concede acesso somente leitura ao Hub de Otimização de Custos
Nome da política gerenciada: CostOptimizationHubReadOnlyAccess
Esta política gerenciada fornece acesso somente leitura ao Hub de Otimização de Custos.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CostOptimizationHubReadOnlyAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:ListEnrollmentStatuses", "cost-optimization-hub:GetPreferences", "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries" ], "Resource": "*" } ] }
Concede acesso de administrador ao Hub de Otimização de Custos
Nome da política gerenciada: CostOptimizationHubAdminAccess
Essa política gerenciada fornece acesso administrativo ao Hub de Otimização de Custos.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CostOptimizationHubAdminAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:ListEnrollmentStatuses", "cost-optimization-hub:UpdateEnrollmentStatus", "cost-optimization-hub:GetPreferences", "cost-optimization-hub:UpdatePreferences", "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries", "organizations:EnableAWSServiceAccess" ], "Resource": "*" }, { "Sid": "AllowCreationOfServiceLinkedRoleForCostOptimizationHub", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/cost-optimization-hub.bcm.amazonaws.com/AWSServiceRoleForCostOptimizationHub" ], "Condition": { "StringLike": { "iam:AWSServiceName": "cost-optimization-hub.bcm.amazonaws.com" } } }, { "Sid": "AllowAWSServiceAccessForCostOptimizationHub", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringLike": { "organizations:ServicePrincipal": [ "cost-optimization-hub.bcm.amazonaws.com" ] } } } ] }
Permite que os dados de alocação de custos divididos chamem os serviços necessários para o funcionamento do serviço.
Nome da política gerenciada: SplitCostAllocationDataServiceRolePolicy
Permite que os dados de alocação de custos divididos recuperem informações da AWS Organizations, se aplicável, e coletem dados de telemetria para os serviços de dados de alocação de custos divididos pelos quais o cliente optou por aceitar.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AwsOrganizationsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListParents" ], "Resource": "*" }, { "Sid": "AmazonManagedServiceForPrometheusAccess", "Effect": "Allow", "Action": [ "aps:ListWorkspaces", "aps:QueryMetrics" ], "Resource": "*" } ] }
Para obter mais informações, consulte Perfis vinculados a serviços para dados de alocação de custos divididos.
Permite que as Exportações de dados acessem outros serviços da AWS .
Nome da política gerenciada: AWSBCMDataExportsServiceRolePolicy
Permite que as exportações de dados acessem outros AWS serviços, como o Cost Optimization Hub, em seu nome.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CostOptimizationRecommendationAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:ListEnrollmentStatuses", "cost-optimization-hub:ListRecommendations" ], "Resource": "*" } ] }
Para obter mais informações, consulte Perfis vinculados a serviços para Exportações de dados.
AWS Atualizações do gerenciamento de custos nas políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas para gerenciamento de AWS custos desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o RSS feed na página de histórico de documentos de gerenciamento de AWS custos.
| Alteração | Descrição | Data |
|---|---|---|
|
Atualizar a política existente |
Atualizamos a política para adicionar as ações organizations:ListDelegatedAdministrators e ce:GetCostAndUsage. |
07/05/2024 |
|
Atualizar a política existente |
Atualizamos a política para adicionar a ação budgets:ListTagsForResource. |
17/06/2024 |
|
Adição de uma nova política |
A Data Exports adicionou uma nova política para ser usada com funções vinculadas a serviços, o que permite o acesso a outros AWS serviços, como o Cost Optimization Hub. | 06/10/2024 |
|
Adição de uma nova política |
Os dados de alocação de custos divididos adicionaram uma nova política a ser usada com funções vinculadas a serviços, que permite o acesso a AWS serviços e recursos usados ou gerenciados por dados de alocação de custos divididos. | 16/04/2024 |
|
Atualizar a política existente AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM |
Atualizamos a política com permissões limitadas. A ação ssm:StartAutomationExecution só é permitida para recursos específicos usados pelas ações de Orçamento. |
14/12/2023 |
|
Atualização nas políticas existentes |
O Hub de Otimização de Custos atualizou as duas seguintes políticas gerenciadas:
|
14/12/2023 |
|
Adição de uma nova política |
O Cost Optimization Hub adicionou uma nova política para ser usada com funções vinculadas a serviços, que permite o acesso aos AWS serviços e recursos usados ou gerenciados pelo Cost Optimization Hub. | 11/02/2023 |
| AWS O Cost Management começou a monitorar as mudanças | AWS A Cost Management começou a monitorar as mudanças em suas políticas AWS gerenciadas | 11/02/2023 |
