本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 成本管理政策示例
注意
以下 AWS Identity and Access Management (IAM) 操作已于 2023 年 7 月结束标准支持:
-
aws-portal命名空间 -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
如果您正在使用 AWS Organizations,则可以使用批量策略迁移程序脚本从您的付款人账户更新政策。您也可以使用从旧到精细的操作映射参考来验证需要添加的IAM操作。
有关更多信息,请参阅AWS 账单、 AWS 成本管理和账户控制台权限变
如果您在 2023 年 3 月 6 日上午 11:00 当天或之后 AWS Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 AWS 账户 PDT
本主题包含示例政策,您可以将这些策略附加到您的IAM角色或群组,以控制对账户账单信息和工具的访问权限。以下基本规则适用于 Billing and Cost Management 的IAM政策:
-
Version始终为2012-10-17。 -
Effect始终为Allow或Deny。 -
Action是操作的名称或通配符 (*)。操作前缀
budgets用于 AWS 预算、curAWS 成本和使用情况报告、aws-portalAWS 账单或ceCost Explorer。 -
Resource始终*用于 AWS 计费。对于对
budget资源执行的操作,请指定预算 Amazon 资源名称 (ARN)。 -
一个策略中可能包含多个语句。
有关账单控制台的策略示例列表,请参阅账单用户指南中的账单政策示例。
注意
这些策略要求您在账户设置
主题
- 拒绝用户对账单和成本管理控制台的访问权限
- 拒绝成员账号访问 AWS 控制台费用和使用情况小工具
- 拒绝特定用户和角色访问 AWS 控制台成本和使用情况小组件
- 允许用户完全访问 AWS 服务,但拒绝用户访问账单和成本管理控制台
- 允许用户查看账单和成本管理控制台(账户设置除外)
- 允许用户修改账单信息
- 允许用户创建预算
- 拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息
- 将报告存入 Amazon S3 存储桶
- 查看成本和使用情况
- 启用和禁用 AWS 区域
- 查看和更新 Cost Explorer 首选项页面
- 使用 Cost Explorer 报告页面查看、创建、更新和删除
- 查看、创建、更新和删除预留和 Savings Plans 提醒
- 允许对 “ AWS 成本异常检测” 进行只读访问
- 允许 AWS 预算应用IAM政策和 SCPs
- 允许 AWS Budget IAM s 应用政策SCPs并定位EC2和RDS实例
- 允许用户在定价计算器(预览版)中创建、列出并向工作负载估算值中添加使用量
- 允许用户在定价计算器(预览版)中创建、列出用量和承诺金并将其添加到账单场景中
- 允许用户在定价计算器(预览版)中创建账单估算
- 允许用户在定价计算器(预览版)中创建首选项
拒绝用户对账单和成本管理控制台的访问权限
要显式拒绝用户访问所有账单和成本管理控制台页面,请使用类似于此示例策略的策略。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "aws-portal:*", "Resource": "*" } ] }
拒绝成员账号访问 AWS 控制台费用和使用情况小工具
要限制成员(关联)账户访问成本和使用数据,请使用管理(付款人)账户访问 Cost Explorer 首选项选项卡,然后取消选中 Linked Account Access(关联账户访问)。无论成员账户的用户或角色执行了什么IAM操作,这都将拒绝从 Cost Explorer(AWS 成本管理) AWS 控制台API、Cost Explorer 和控制台主页的 “成本和使用情况” 小部件访问成本和使用情况数据。
拒绝特定用户和角色访问 AWS 控制台成本和使用情况小组件
要拒绝特定用户和角色访问 AWS 控制台成本和使用情况小组件,请使用以下权限策略。
注意
向用户或角色添加此策略也会拒绝用户访问 Cost Explorer(AWS 成本管理)控制台和 Cost Explorer APIs。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ce:*", "Resource": "*" } ] }
允许用户完全访问 AWS 服务,但拒绝用户访问账单和成本管理控制台
要拒绝用户访问账单和成本管理控制台上的所有内容,请使用以下策略。在这种情况下,您还应拒绝用户访问 AWS Identity and Access Management (IAM),这样用户就无法访问控制账单信息和工具访问权限的政策。
重要
该策略不允许进行任何操作。可将此策略与允许特定操作的其他策略结合使用。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } ] }
允许用户查看账单和成本管理控制台(账户设置除外)
此策略允许对所有控制台进行只读访问,包括付款方式和报告控制台页面,但拒绝访问账户设置页面,从而保护账户密码、联系信息和安全问题。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:View*", "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
允许用户修改账单信息
要允许 IAM 用户在账单和成本管理控制台中修改账户账单信息,请允许 IAM 用户查看您的账单信息。以下策略示例允许 IAM 用户修改整合账单、首选项和服务抵扣金额控制台页面。它还允许用户查看以下账单和成本管理控制台页面:
-
控制面板
-
Cost Explorer
-
账单
-
订单和发票
-
Advance Payment
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:*Billing", "Resource": "*" } ] }
允许用户创建预算
要允许用户在 Billing and Billing and Cost Management 控制台中创建预算,您还必须允许用户查看您的账单信息、创建 CloudWatch 警报和创建亚马逊SNS通知。以下策略示例允许用户修改预算控制台页面。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1435216493000", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "aws-portal:ModifyBilling", "budgets:ViewBudget", "budgets:ModifyBudget" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216514000", "Effect": "Allow", "Action": [ "cloudwatch:*" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216552000", "Effect": "Allow", "Action": [ "sns:*" ], "Resource": [ "arn:aws:sns:us-east-1::" ] } ] }
拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息
要保护您的账户密码、联系信息和安全问题,您可以拒绝用户访问账户设置,同时仍允许完全访问控制台中的其余功能,如以下示例所示。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:*Billing", "aws-portal:*Usage", "aws-portal:*PaymentMethods" ], "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
将报告存入 Amazon S3 存储桶
以下政策允许账单和成本管理部门将您的详细 AWS 账单保存到 Amazon S3 存储桶中,前提是您同时拥有该 AWS 账户和 Amazon S3 存储桶。请注意,此策略必须应用于 Amazon S3 存储桶而不是某个用户。也就是说,它是一种基于资源的策略,而不是基于用户的策略。您应拒绝 用户访问无需访问您的账单的 用户的存储桶。
Replace(替换) bucketname 用你的存储桶的名字。
有关更多信息,请参阅 Amazon Simple Storage Service 用户指南中的使用存储桶策略和用户策略。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": [ "s3:GetBucketAcl", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::bucketname" }, { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucketname/*" } ] }
查看成本和使用情况
要允许用户使用 Cost Ex AWS plorerAPI,请使用以下策略向他们授予访问权限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:*" ], "Resource": [ "*" ] } ] }
启用和禁用 AWS 区域
有关允许用户启用和禁用区域的IAM策略示例,请参阅《IAM用户指南》中的 AWS:允许启用和禁用 AWS 区域。
查看和更新 Cost Explorer 首选项页面
此策略允许用户使用 Cost Explorer 首选项页面查看和更新。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:UpdatePreferences" ], "Resource": "*" } ] }
以下策略允许用户查看 Cost Explorer,但拒绝查看或编辑首选项页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:GetPreferences", "ce:UpdatePreferences" ], "Resource": "*" } ] }
以下策略允许用户查看 Cost Explorer,但拒绝编辑首选项页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:UpdatePreferences" ], "Resource": "*" } ] }
使用 Cost Explorer 报告页面查看、创建、更新和删除
此策略允许用户使用 Cost Explorer 报告页面查看、创建、更新和删除。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
以下策略允许用户查看 Cost Explorer,但拒绝查看或编辑报告页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeReport", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
以下策略允许用户查看 Cost Explorer,但拒绝编辑报告页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
查看、创建、更新和删除预留和 Savings Plans 提醒
此策略允许用户查看、创建、更新和删除预留到期提醒和节省计划提醒。要编辑预留到期提醒或 Savings Plans 提醒,用户需要所有三个粒度的操作:ce:CreateNotificationSubscription、ce:UpdateNotificationSubscription 和 ce:DeleteNotificationSubscription。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
以下策略允许用户查看 Cost Explorer,但拒绝查看或编辑预留到期提醒和节省计划提醒页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeNotificationSubscription", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
以下策略允许用户查看 Cost Explorer,但拒绝编辑预留到期提醒和节省计划提醒页面的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
允许对 “ AWS 成本异常检测” 进行只读访问
要允许用户以只读方式访问 AWS 成本异常检测,请使用以下策略向他们授予访问权限。 ce:ProvideAnomalyFeedback作为只读访问权限的一部分,是可选的。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ce:Get*" ], "Effect": "Allow", "Resource": "*" } ] }
允许 AWS 预算应用IAM政策和 SCPs
此政策允 AWS 许 Bud IAM gets 代表用户应用策略和服务控制策略 (SCPs)。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy" ], "Resource": "*" } ] }
允许 AWS Budget IAM s 应用政策SCPs并定位EC2和RDS实例
该政策允 AWS 许 Bu IAM dgets 应用策略和服务控制政策 (SCPs),EC2并代表用户定位亚马逊和亚马逊RDS实例。
信任策略
注意
此信任政策允许 AWS Budgets 担任可以代表您调用其他服务的角色。有关此类跨服务权限最佳实践的更多信息,请参阅 防止跨服务混淆座席。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "budgets.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:budgets::123456789012:budget/*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } ] }
权限策略
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance", "ssm:StartAutomationExecution" ], "Resource": "*" } ] }
允许用户在定价计算器(预览版)中创建、列出并向工作负载估算值中添加使用量
此策略允许IAM用户创建、列出工作负载估算值并将其添加至工作量估算值,以及查询 Cost Explorer 数据以获取历史成本和使用情况数据的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "WorkloadEstimate", "Effect": "Allow", "Action": [ "ce:GetCostCategories", "ce:GetDimensionValues", "ce:GetCostAndUsage", "ce:GetTags", "bcm-pricing-calculator:GetWorkloadEstimate", "bcm-pricing-calculator:ListWorkloadEstimateUsage", "bcm-pricing-calculator:CreateWorkloadEstimate", "bcm-pricing-calculator:ListWorkloadEstimates", "bcm-pricing-calculator:CreateWorkloadEstimateUsage", "bcm-pricing-calculator:UpdateWorkloadEstimateUsage" ], "Resource": "*" } ] }
允许用户在定价计算器(预览版)中创建、列出用量和承诺金并将其添加到账单场景中
此政策允许IAM用户在账单场景中创建、列出和添加使用量和承诺金额。未添加 Cost Explorer 权限,因此您将无法加载历史数据。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "BillScenario", "Effect": "Allow", "Action": [ "bcm-pricing-calculator:CreateBillScenario", "bcm-pricing-calculator:GetBillScenario", "bcm-pricing-calculator:ListBillScenarios", "bcm-pricing-calculator:CreateBillScenarioUsageModification", "bcm-pricing-calculator:UpdateBillScenarioUsageModification", "bcm-pricing-calculator:ListBillScenarioUsageModifications", "bcm-pricing-calculator:ListBillScenarioCommitmentModifications" ], "Resource": "*" } ] }
允许用户在定价计算器(预览版)中创建账单估算
此政策允许IAM用户创建账单估算并列出账单估算行项目。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "BillEstimate", "Effect": "Allow", "Action": [ "bcm-pricing-calculator:CreateBillEstimate", "bcm-pricing-calculator:GetBillEstimate", "bcm-pricing-calculator:UpdateBillEstimate", "bcm-pricing-calculator:ListBillEstimates", "bcm-pricing-calculator:ListBillEstimateLineItems", "bcm-pricing-calculator:ListBillEstimateCommitments", "bcm-pricing-calculator:ListBillEstimateInputUsageModifications", "bcm-pricing-calculator:ListBillEstimateInputCommitmentModifications" ], "Resource": "*" } ] }
允许用户在定价计算器(预览版)中创建首选项
此政策允许IAM用户创建和获取费率偏好。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RatePreferences", "Effect": "Allow", "Action": [ "bcm-pricing-calculator:GetPreferences", "bcm-pricing-calculator:UpdatePreferences" ], "Resource": "*" } ] }
