本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 帳單政策範例
注意
下列 AWS Identity and Access Management (IAM) 動作已於 2023 年 7 月結束標準支援:
-
aws-portal命名空間 -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
如果您使用的是 AWS Organizations,則可以使用大量政策模擬器指令碼或大量政策模擬器,從您的付款人帳戶更新政策。您也可以使用舊的精細動作映射參考來驗證需要新增IAM的動作。
如果您有 AWS 帳戶,或 是在 2023 年 3 月 6 日上午 11:00 (PDT) 或之後 AWS Organizations 建立的 的一部分,則精細動作已在組織中生效。
重要
-
這些政策要求您啟用IAM使用者存取帳戶設定
主控台頁面上的 Billing and Cost Management 主控台。如需詳細資訊,請參閱啟用 Billing and Cost Management 主控台的存取權。 -
若要使用 AWS 受管政策,請參閱 AWS 受管政策。
本主題包含您可以連接至IAM使用者或群組的範例政策,以控制對帳戶帳單資訊和工具的存取。下列基本規則適用於 Billing and Cost Management IAM的政策:
-
Version始終是2012-10-17。 -
Effect一律是Allow或Deny。 -
Action是動作或萬用字元的名稱 (*)。動作字首
budgets適用於 AWS Budgets、curCo AWS st and Usage Reports、aws-portalB AWS illing 或ceCost Explorer。 -
Resource一律*用於 AWS Billing。對於在
budget資源上執行的動作,請指定預算 Amazon Resource Name (ARN)。 -
一個政策中可以有多個陳述式。
如需 AWS Cost Management 主控台的動作政策清單,請參閱 AWS Cost Management 使用者指南中的 Cost Management 政策範例。 AWS
主題
- IAM 允許使用者檢視您的帳單資訊
- IAM 允許使用者檢視您的帳單資訊和碳足跡報告
- IAM 允許使用者存取報告主控台頁面
- 拒絕IAM使用者存取 Billing and Cost Management 主控台
- 拒絕成員帳戶的 AWS 主控台成本和用量小工具存取
- 拒絕特定IAM使用者和角色的 AWS 主控台成本和用量小工具存取
- IAM 允許使用者檢視您的帳單資訊,但拒絕存取碳足跡報告
- IAM 允許使用者存取碳足跡報告,但拒絕存取帳單資訊
- 允許完全存取 AWS 服務,但拒絕IAM使用者存取 Billing and Cost Management 主控台
- IAM 允許使用者檢視 Billing and Cost Management 主控台,但帳戶設定除外
- IAM 允許使用者修改帳單資訊
- 拒絕存取帳戶設定,但允許所有其他帳單和用量資訊的完整存取權
- 將報告存入 Simple Storage Service (Amazon S3) 儲存貯體
- 尋找產品和價格
- 檢視成本和用量
- 啟用和停用 AWS 區域
- 檢視和管理成本類別
- 建立、檢視、編輯或刪除 AWS 成本和用量報告
- 檢視並管理採購訂單
- 檢視和更新 Cost Explorer 偏好設定頁面
- 使用 Cost Explorer 報告頁面檢視、建立、更新及刪除
- 檢視、建立、更新及刪除保留和 Savings Plans 提醒
- 允許唯讀存取 AWS 成本異常偵測
- 允許 AWS Budgets 套用IAM政策和 SCPs
- 允許 AWS Budgets 套用IAM政策和SCPs目標EC2和RDS執行個體
- IAM 允許使用者檢視美國免稅項目並建立 AWS Support 案例
- (適用於帳單或聯絡地址位於印度的客戶) 允許客戶驗證資訊的唯讀存取權
- (適用於在印度擁有帳單或聯絡地址的客戶) 檢視、建立和更新客戶驗證資訊
- 檢視 AWS Migration Acceleration Program 帳單主控台中的資訊
- 允許存取帳單主控台中的 AWS 發票組態
IAM 允許使用者檢視您的帳單資訊
若要允許使用者IAM檢視您的帳單資訊,而不授予IAM使用者存取敏感帳戶資訊的權限,請使用類似下列範例政策的政策。這類政策可防止使用者存取您的密碼和帳戶活動報告。此政策允許使用者IAM檢視下列 Billing and Cost Management 主控台頁面,而無須授予他們帳戶設定或報告主控台頁面的存取權:
-
Dashboard (儀表板)
-
Cost Explorer
-
Bills (帳單)
-
Orders and invoices (訂單與發票)
-
Consolidated Billing (合併帳單)
-
Preferences (偏好設定)
-
Credits (點數)
-
Advance Payment (預付款)
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:ViewBilling", "Resource": "*" } ] }
IAM 允許使用者檢視您的帳單資訊和碳足跡報告
若要允許使用者IAM檢視帳單資訊和碳足跡報告,請使用類似下列範例的政策。此政策可防止使用者存取您的密碼和帳戶活動報告。此政策允許使用者IAM檢視下列 Billing and Cost Management 主控台頁面,而無須授予他們存取帳戶設定或報告主控台頁面的權限:
-
Dashboard (儀表板)
-
Cost Explorer
-
Bills (帳單)
-
Orders and invoices (訂單與發票)
-
Consolidated Billing (合併帳單)
-
Preferences (偏好設定)
-
Credits (點數)
-
Advance Payment (預付款)
-
AWS 成本和用量報告頁面 AWS 的客戶碳足跡工具區段
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": "aws-portal:ViewBilling", "Resource": "*" }, {"Effect": "Allow", "Action": "sustainability:GetCarbonFootprintSummary", "Resource": "*" } ] }
IAM 允許使用者存取報告主控台頁面
若要允許 IAM 使用者存取 Reports (報告) 主控台頁面以及檢視包含帳戶活動資訊的用量報告,請使用類似此範例政策的政策。
如需每個動作的定義,請參閱 AWS 帳單主控台動作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:ViewUsage", "aws-portal:ViewBilling", "cur:DescribeReportDefinitions", "cur:PutReportDefinition", "cur:DeleteReportDefinition", "cur:ModifyReportDefinition" ], "Resource": "*" } ] }
拒絕IAM使用者存取 Billing and Cost Management 主控台
若要明確拒絕IAM使用者存取所有 Billing and Cost Management 主控台頁面,請使用類似此範例政策的政策。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "aws-portal:*", "Resource": "*" } ] }
拒絕成員帳戶的 AWS 主控台成本和用量小工具存取
若要限制成員 (已連結) 帳戶存取成本和用量資料,請使用管理 (付款人) 帳戶存取 Cost Explorer 偏好設定索引標籤,然後取消選取 Linked Account Access (連結帳戶存取)。這將拒絕從 Cost Explorer (AWS 成本管理) 主控台、Cost Explorer 和 AWS 主控台首頁的成本和用量小工具存取成本和用量資料API,無論成員帳戶IAM的使用者或角色擁有哪些IAM動作。
拒絕特定IAM使用者和角色的 AWS 主控台成本和用量小工具存取
若要拒絕特定IAM使用者和角色的 AWS 主控台成本和用量小工具存取,請使用以下許可政策。
注意
將此政策新增至IAM使用者或角色也會拒絕使用者存取 Cost Explorer (AWS 成本管理) 主控台和 Cost ExplorerAPIs。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ce:*", "Resource": "*" } ] }
IAM 允許使用者檢視您的帳單資訊,但拒絕存取碳足跡報告
允許使用者IAM在 Billing and Cost Management 主控台中同時存取帳單資訊,但不允許存取 AWS 客戶碳足跡工具。此工具位於 AWS 成本和用量報告頁面。
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Allow", "Action": "aws-portal:ViewBilling", "Resource": "*" }, {"Effect": "Deny", "Action": "sustainability:GetCarbonFootprintSummary", "Resource": "*" } ] }
IAM 允許使用者存取碳足跡報告,但拒絕存取帳單資訊
若要允許使用者IAM存取 AWS 成本和用量報告頁面中的 AWS 客戶碳足跡工具,但拒絕在 Billing and Cost Management 主控台中檢視帳單資訊的存取權。
{ "Version": "2012-10-17", "Statement": [ {"Effect": "Deny", "Action": "aws-portal:ViewBilling", "Resource": "*" }, {"Effect": "Allow", "Action": "sustainability:GetCarbonFootprintSummary", "Resource": "*" } ] }
允許完全存取 AWS 服務,但拒絕IAM使用者存取 Billing and Cost Management 主控台
若要拒絕IAM使用者存取 Billing and Cost Management 主控台上的所有內容,請使用下列政策。拒絕使用者存取 AWS Identity and Access Management (IAM),以防止存取控制帳單資訊和工具存取的政策。
重要
此政策不允許任何動作。將此政策與允許特定動作的其他政策結合使用。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } ] }
IAM 允許使用者檢視 Billing and Cost Management 主控台,但帳戶設定除外
此政策允許唯讀存取 Billing and Cost Management 主控台的全部功能。其中包括 Payments Method (付款方式) 和 Reports (報告) 主控台頁面。不過,此政策拒絕存取 Account Settings (帳戶設定)。這表示會保護帳戶密碼、聯絡資訊和安全問題。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:View*", "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
IAM 允許使用者修改帳單資訊
若要IAM允許使用者在 Billing and Cost Management 主控台中修改帳戶帳單資訊,IAM請允許使用者檢視您的帳單資訊。下列政策範例允許 IAM 使用者修改 Consolidated Billing (合併帳單)、Preferences (偏好設定) 和 Credits (點數) 主控台頁面。它還允許使用者IAM檢視以下 Billing and Cost Management 主控台頁面:
-
Dashboard (儀表板)
-
Cost Explorer
-
Bills (帳單)
-
Orders and invoices (訂單與發票)
-
Advance Payment (預付款)
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:*Billing", "Resource": "*" } ] }
拒絕存取帳戶設定,但允許所有其他帳單和用量資訊的完整存取權
為了保護您的帳戶密碼、聯絡資訊和安全問題,請拒絕IAM使用者存取帳戶設定,同時仍然啟用 Billing and Cost Management 主控台中其餘功能的完整存取權。政策範例如下。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:*Billing", "aws-portal:*Usage", "aws-portal:*PaymentMethods" ], "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
將報告存入 Simple Storage Service (Amazon S3) 儲存貯體
如果您同時擁有 AWS 帳戶和 Amazon S3 儲存貯體,下列政策允許 Billing and Cost Management 將詳細 AWS 帳單儲存至 Amazon S3 儲存貯體。此政策必須套用到 Amazon S3 儲存貯體,而非IAM使用者。因這是以資源為基礎的政策,而不是使用者為基礎的政策。對於不需要存取帳單IAM的使用者,我們建議您拒絕IAM使用者存取 儲存貯體。
用您的儲存貯體名稱取代 amzn-s3-demo-bucket1。
如需詳細資訊,請參閱 Amazon Simple Storage Service 使用者指南中的使用儲存貯體政策和使用者政策。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": [ "s3:GetBucketAcl", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1" }, { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*" } ] }
尋找產品和價格
若要允許使用者IAM使用 AWS 價格清單服務 API,請使用下列政策授予他們存取權。
此政策授予使用 AWS 價格清單大量API AWS 價格清單查詢 的許可API。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "pricing:DescribeServices", "pricing:GetAttributeValues", "pricing:GetProducts", "pricing:GetPriceListFileUrl", "pricing:ListPriceLists" ], "Resource": [ "*" ] } ] }
檢視成本和用量
若要允許使用者IAM使用 AWS Cost Explorer API,請使用下列政策授予他們存取權。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:*" ], "Resource": [ "*" ] } ] }
啟用和停用 AWS 區域
如需允許使用者啟用和停用區域的範例IAM政策,請參閱IAM《 使用者指南》中的AWS允許啟用和停用 AWS 區域。
檢視和管理成本類別
若要允許使用者IAM使用、檢視和管理成本類別,請使用下列政策授予他們存取權。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:GetCostAndUsage", "ce:DescribeCostCategoryDefinition", "ce:UpdateCostCategoryDefinition", "ce:CreateCostCategoryDefinition", "ce:DeleteCostCategoryDefinition", "ce:ListCostCategoryDefinitions", "ce:TagResource", "ce:UntagResource", "ce:ListTagsForResource", "pricing:DescribeServices" ], "Resource": "*" } ] }
建立、檢視、編輯或刪除 AWS 成本和用量報告
此政策允許使用者sample-report使用 IAM 建立、檢視、編輯或刪除 API。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageSampleReport", "Effect": "Allow", "Action": [ "cur:PutReportDefinition", "cur:DeleteReportDefinition", "cur:ModifyReportDefinition" ], "Resource": "arn:aws:cur:*:123456789012:definition/sample-report" }, { "Sid": "DescribeReportDefs", "Effect": "Allow", "Action": "cur:DescribeReportDefinitions", "Resource": "*" } ] }
檢視並管理採購訂單
此政策允許使用者IAM檢視和管理採購訂單,使用下列政策授予存取權。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "purchase-orders:*" ], "Resource": "*" } ] }
檢視和更新 Cost Explorer 偏好設定頁面
此政策允許使用者使用 Cost Explorer 偏好設定頁面來IAM檢視和更新。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:UpdatePreferences" ], "Resource": "*" } ] }
下列政策IAM允許使用者檢視 Cost Explorer,但拒絕檢視或編輯偏好設定頁面的許可。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:GetPreferences", "ce:UpdatePreferences" ], "Resource": "*" } ] }
下列政策IAM允許使用者檢視 Cost Explorer,但拒絕編輯偏好設定頁面的許可。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:UpdatePreferences" ], "Resource": "*" } ] }
使用 Cost Explorer 報告頁面檢視、建立、更新及刪除
此政策允許使用者使用 Cost Explorer 報告頁面IAM來檢視、建立、更新和刪除 。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
下列政策IAM允許使用者檢視 Cost Explorer,但拒絕檢視或編輯報告頁面的許可。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeReport", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
下列政策IAM允許使用者檢視 Cost Explorer,但拒絕編輯報告頁面的許可。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
檢視、建立、更新及刪除保留和 Savings Plans 提醒
此政策允許使用者IAM檢視、建立、更新和刪除保留過期提醒和 Savings Plans 提醒。若要編輯保留過期提醒或 Savings Plans 提醒,使用者需要全部三個精密動作:ce:CreateNotificationSubscription、ce:UpdateNotificationSubscription,以及 ce:DeleteNotificationSubscription。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
下列政策IAM允許使用者檢視 Cost Explorer,但拒絕檢視或編輯預留過期提醒和 Savings Plans 提醒頁面的許可。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeNotificationSubscription", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
下列政策允許使用者IAM檢視 Cost Explorer,但拒絕編輯預留過期提醒和 Savings Plans 提醒頁面的許可。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
允許唯讀存取 AWS 成本異常偵測
若要允許使用者IAM對 AWS 成本異常偵測的唯讀存取權,請使用下列政策來授予存取權。 ce:ProvideAnomalyFeedback是唯讀存取權的一部分,為選用。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ce:Get*" ], "Effect": "Allow", "Resource": "*" } ] }
允許 AWS Budgets 套用IAM政策和 SCPs
此政策允許 AWS Budgets 代表使用者套用IAM政策和服務控制政策 (SCPs)。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy" ], "Resource": "*" } ] }
允許 AWS Budgets 套用IAM政策和SCPs目標EC2和RDS執行個體
此政策允許 AWS Budgets 套用IAM政策和服務控制政策 (SCPs),以及代表使用者鎖定 Amazon EC2和 Amazon RDS執行個體。
信任政策
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "budgets.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
許可政策
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance", "ssm:StartAutomationExecution" ], "Resource": "*" } ] }
IAM 允許使用者檢視美國免稅項目並建立 AWS Support 案例
此政策允許使用者IAM檢視美國免稅,並建立 AWS Support 案例以在免稅主控台中上傳免稅憑證。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "aws-portal:*", "tax:GetExemptions", "tax:UpdateExemptions", "support:CreateCase", "support:AddAttachmentsToSet" ], "Resource": [ "*" ], "Effect": "Allow" } ] }
(適用於帳單或聯絡地址位於印度的客戶) 允許客戶驗證資訊的唯讀存取權
此政策允許使用者IAM唯讀存取客戶驗證資訊。
如需每個動作的定義,請參閱 AWS 帳單主控台動作。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "customer-verification:GetCustomerVerificationEligibility", "customer-verification:GetCustomerVerificationDetails" ], "Resource": "*" }] }
(適用於在印度擁有帳單或聯絡地址的客戶) 檢視、建立和更新客戶驗證資訊
此政策允許使用者IAM管理其客戶驗證資訊。
如需每個動作的定義,請參閱 AWS 帳單主控台動作
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "customer-verification:CreateCustomerVerificationDetails", "customer-verification:UpdateCustomerVerificationDetails", "customer-verification:GetCustomerVerificationEligibility", "customer-verification:GetCustomerVerificationDetails" ], "Resource": "*" }] }
檢視 AWS Migration Acceleration Program 帳單主控台中的資訊
此政策允許使用者IAM檢視 Migration Acceleration Program 帳單主控台中付款人帳戶的協議、額度和合格支出。
如需每個動作的定義,請參閱 AWS 帳單主控台動作。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "mapcredit:ListQuarterSpend", "mapcredit:ListQuarterCredits", "mapcredit:ListAssociatedPrograms" ], "Resource": "*" }] }
允許存取帳單主控台中的 AWS 發票組態
此政策允許使用者在帳單主控台中存取IAM AWS 發票組態。
如需每個動作的定義,請參閱 AWS 帳單主控台動作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "invoicing:ListInvoiceUnits", "invoicing:GetInvoiceUnit", "invoicing:CreateInvoiceUnit", "invoicing:UpdateInvoiceUnit", "invoicing:DeleteInvoiceUnit", "invoicing:BatchGetInvoiceProfile" ], "Resource": [ "*" ] } ] }
