Migrando o controle de acesso para gerenciamento de AWS custos

nota

As seguintes AWS Identity and Access Management (IAM) ações chegaram ao fim do suporte padrão em julho de 2023:

Namespace do aws-portal
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

Se você estiver usando AWS Organizations, poderá usar os scripts do migrador de políticas em massa para atualizar as políticas da sua conta de pagador. Você também pode usar a referência de mapeamento de ações antiga para granular para verificar as IAM ações que precisam ser adicionadas.

Para obter mais informações, consulte o blog Alterações no AWS faturamento, no gerenciamento de AWS custos e nas permissões dos consoles de contas.

Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.

Você pode usar controles de acesso refinados para fornecer aos indivíduos da sua organização acesso aos serviços. AWS Billing and Cost Management Por exemplo, você pode fornecer acesso ao Cost Explorer sem fornecer acesso ao console de AWS faturamento.

Para usar os controles de acesso refinados, você precisará migrar suas políticas de baixo aws-portal para as novas ações. IAM

As seguintes IAM ações em suas políticas de permissão ou políticas de controle de serviço (SCP) exigem atualização com essa migração:

aws-portal:ViewAccount
aws-portal:ViewBilling
aws-portal:ViewPaymentMethods
aws-portal:ViewUsage
aws-portal:ModifyAccount
aws-portal:ModifyBilling
aws-portal:ModifyPaymentMethods
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

Para saber como usar a ferramenta de políticas afetadas para identificar suas IAM políticas afetadas, consulteComo usar a ferramenta Políticas afetadas.

nota

Solicitações programáticas AWS Cost Explorer, relatórios de AWS custo e uso e AWS orçamentos permanecem inalterados.

Ativar o acesso ao console do Gerenciamento de Faturamento e Custos permanecem inalterados.

Tópicos

Gerenciar permissões de acesso

AWS O Cost Management se integra ao serviço AWS Identity and Access Management (IAM) para que você possa controlar quem em sua organização tem acesso a páginas específicas no console do AWS Cost Management. Você pode controlar o acesso aos recursos de gerenciamento de AWS custos. Por exemplo, AWS Cost Explorer, Savings Plans e recomendações de reservas, Savings Plans e relatórios de cobertura e utilização de reservas.

Use as seguintes IAM permissões para controle granular do console de gerenciamento de AWS custos.

Usando ações refinadas de gerenciamento AWS de custos

Esta tabela resume as permissões que permitem ou negam IAM aos usuários e funções o acesso às suas informações de custo e uso. Para obter exemplos de políticas que usam essas permissões, consulte AWS Exemplos de políticas de gerenciamento de custos.

Para ver uma lista de ações para o console de AWS faturamento, consulte Políticas de ações AWS de cobrança no guia do usuário de AWS faturamento.

Nome do recurso no console de gerenciamento de AWS custos	IAMação	Descrição
AWS Página inicial de gerenciamento de custos	`ce:GetCostAndUsage` `ce:GetDimensionValues` `ce:GetCostForecast` `ce:GetReservationUtilization` `ce:GetReservationPurchaseRecommendation` `ce:DescribeReport`	Conceda ou negue aos usuários permissão para visualizar a página de Início do Gerenciamento de Custos da AWS . Todas IAM as ações são necessárias para visualizar a página.
AWS Explorador de Custos	`ce:GetCostCategories` `ce:GetDimensionValues` `ce:GetCostAndUsageWithResources` `ce:GetCostAndUsage` `ce:GetCostForecast` `ce:GetTags` `ce:GetUsageForecast` `ce:DescribeReport`	Permitir ou negar aos usuários do IAM permissões para visualizar a página de relatórios do AWS Explorador de Custos.
AWS Explorador de Custos	`ce:CreateReport`	Permitir ou negar aos usuários permissão para salvar relatórios do Explorador de Custos.
Relatórios	`ce:DescribeReport`	Permite ou nega aos usuários a permissão para visualizar os relatórios de uso da .
Relatórios	`ce:DeleteReport`	Conceda ou negue aos usuários permissão para excluir um relatório salvo.
AWS Budgets	`budgets:ViewBudget` `budgets:DescribeBudgetActionsForBudget` `budgets:DescribeBudgetAction` `budgets:DescribeBudgetActionsForAccount` `budgets:DescribeBudgetActionHistories`	Conceda ou negue aos usuários permissão para visualizar a página Budgets.
AWS Budgets	`budgets:CreateBudgetAction` `budgets:ExecuteBudgetAction` `budgets:DeleteBudgetAction` `budgets:UpdateBudgetAction` `budgets:ModifyBudget`	Permitir ou negar aos usuários permissão para criar, excluir e modificar orçamentos e ações de orçamentos.
AWS Detecção de anomalias de custo	`ce:GetDimensionValues` `ce:GetCostAndUsage` `ce:CreateAnomalyMonitor` `ce:GetAnomalyMonitors` `ce:UpdateAnomalyMonitor` `ce:DeleteAnomalyMonitor` `ce:CreateAnomalySubscription` `ce:GetAnomalySubscriptions` `ce:UpdateAnomalySubscription` `ce:DeleteAnomalySubscription` `ce:GetAnomalies` `ce:ProvideAnomalyFeedback`	Conceda ou negue aos usuários permissão para visualizar, criar, excluir e atualizar na página Detecção de anomalias de custo.
Recomendações de dimensionamento correto	`ce:GetDimensionValues` `ce:GetTags` `ce:GetRightsizingRecommendation`	Conceda ou negue aos usuários permissão para visualizar a página Savings Plans Overview (Visão geral dos Savings Plans).
Visão geral dos Savings Plans	`ce:GetSavingsPlansUtilizationDetails` `ce:GetSavingsPlansPurchaseRecommendation`
	`ce:DescribeNotificationSubscription`	Conceda ou negue aos usuários permissão para visualizar configurações de notificação existentes para alertas de Savings Plans expirados e em fila.
	`ce:CreateNotificationSubscription` `ce:UpdateNotificationSubscription` `ce:DeleteNotificationSubscription`	Conceda ou negue aos usuários permissão para atualizar configurações de notificação existentes para alertas de Savings Plans expirados e em fila.
Inventário de Savings Plans	`savingsplans:DescribeSavingsPlans` `ce:GetSavingsPlansUtilizationDetails`	Conceda ou negue aos usuários permissão para visualizar Savings Plans comprados.
Inventário de Savings Plans	`savingsplans:DescribeSavingsPlansOfferings`	Permita ou negue aos usuários permissões para adicionar os Savings Plans que eles desejam renovar ao carrinho.
Recomendações dos Savings Plans	`ce:GetSavingsPlansPurchaseRecommendation` `ce:ListSavingsPlansPurchaseRecommendationGeneration`	Conceda ou negue aos usuários permissão para visualizar recomendações de Savings Plans geradas.
Recomendações dos Savings Plans	`ce:StartSavingsPlansPurchaseRecommendationGeneration`	Permita ou negue aos usuários a permissão para calcular um novo conjunto de recomendações com base no uso mais recente e no inventário de Savings Plans.
Compre Savings Plans	`savingsplans:DescribeSavingsPlansOfferings`	Conceda ou negue aos usuários permissão para adicionar Savings Plans ao carrinho.
Relatório de utilização dos Savings Plans	`ce:DescribeReport` `ce:GetSavingsPlansUtilization` `ce:GetSavingsPlansUtilizationDetails` `ce:GetDimensionValues`	Conceda ou negue aos usuários permissão para visualizar a utilização de seus Savings Plans existentes.
Relatório de utilização dos Savings Plans	`savingsplans:DescribeSavingsPlanRates`	Conceda ou negue aos usuários permissão para visualizar a tarifa dos Savings Plans.
Relatório de cobertura dos Savings Plans	`ce:GetDimensionValues` `ce:GetSavingsPlansCoverage` `ce:GetCostCategories` `ce:DescribeReport` `ce:GetSavingsPlansPurchaseRecommendation`	Conceda ou negue aos usuários permissão para visualizar os gastos elegíveis cobertos pelos Savings Plans.
Savings Plans cart	`savingsplans:DescribeSavingsPlansOfferings` `savingsplans:DescribeSavingsPlans`	Conceda ou negue aos usuários permissão para comprar Savings Plans.
Savings Plans cart	`savingsplans:CreateSavingsPlan`
Visão geral de reservas	`ce:GetReservationUtilization` `ce:GetReservationCoverage` `ce:GetReservationPurchaseRecommendation` `ce:DescribeReport`	Conceda ou negue aos usuários permissão para visualizar a página Visão geral de reservas.
	`ce:DescribeNotificationSubscription`	Conceda ou negue aos usuários permissão para visualizar configurações de notificação existentes para alertas de instâncias reservadas (IR) expiradas.
	`ce:CreateNotificationSubscription` `ce:UpdateNotificationSubscription` `ce:DeleteNotificationSubscription`	Conceda ou negue aos usuários permissão para atualizar configurações de notificação para alertas de IR expirados.
Recomendações de reservas	`ce:GetReservationPurchaseRecommendation` `ce:GetDimensionValues`	Conceda ou negue aos usuários permissão para visualizar recomendações de reservas.
Relatórios de utilização de reservas	`ce:GetDimensionValues` `ce:GetReservationUtilization` `ce:DescribeReport`	Conceda ou negue aos usuários permissão para visualizar a utilização de sua IR existente.
Relatórios de utilização de reservas	`ce:CreateReport`	Permitir ou negar aos usuários permissão para salvar relatórios IR.
Relatório de cobertura de reservas	`ce:GetReservationCoverage` `ce:GetReservationPurchaseRecommendation` `ce:DescribeReport` `ce:GetDimensionValues` `ce:GetCostCategories`	Permita ou negue aos usuários a permissão para visualizar os gastos elegíveis cobertos pelas Reservas (RIs).
Relatório de cobertura de reservas	`ce:CreateReport`	Conceda ou negue aos usuários permissão para salvar relatórios de cobertura de IR.
Preferências	`ce:GetPreferences`	Permita ou negue aos usuários a permissão de visualizar as preferências AWS do Gerenciamento de Custos.
Preferências	`ce:UpdatePreferences`	Permita ou negue aos usuários a permissão para atualizar as preferências do AWS Cost Management.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS Exemplos de políticas de gerenciamento de custos

Como usar a ferramenta Políticas afetadas