AWS 成本管理政策範例 - AWS 成本管理
拒絕使用者存取 Billing and Cost Management 主控台拒絕成員帳戶的 AWS 主控台成本和用量小工具存取拒絕特定使用者和角色的 AWS 主控台成本和用量小工具存取允許完全存取 AWS 服務,但拒絕使用者存取 Billing and Cost Management 主控台允許使用者檢視 Billing and Cost Management 主控台,但帳戶設定除外允許使用者修改帳單資訊允許使用者建立預算拒絕存取帳戶設定,但允許所有其他帳單和用量資訊的完整存取權將報告存入 Simple Storage Service (Amazon S3) 儲存貯體檢視成本和用量啟用和停用 AWS 區域檢視和更新 Cost Explorer 偏好設定頁面使用 Cost Explorer 報告頁面檢視、建立、更新及刪除檢視、建立、更新及刪除保留和 Savings Plans 提醒允許唯讀存取 AWS 成本異常偵測允許 AWS Budgets 套用 IAM 政策和 SCPs允許 AWS Budgets 套用 IAM 政策和 SCPs 以及目標 EC2 和 RDS 執行個體允許使用者在定價計算器 (預覽) 中建立、列出工作負載估算,並將用量新增至工作負載估算允許使用者在定價計算器中建立、列出和新增用量和遞交,以計費 sceanrios (預覽)允許使用者在定價計算器中建立帳單估算 (預覽)允許使用者在定價計算器中建立偏好設定 (預覽)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 成本管理政策範例

注意

下列 AWS Identity and Access Management (IAM) 動作已於 2023 年 7 月結束標準支援:

  • aws-portal 命名空間

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

如果您使用的是 AWS Organizations,則可以使用大量政策模擬器指令碼,從付款人帳戶更新政策。您也可以使用舊動作映射參考來驗證需要新增的 IAM 動作。

如需詳細資訊,請參閱帳單 AWS 、 AWS 成本管理和帳戶主控台許可部落格的變更

如果您有 AWS 帳戶,或 是 2023 年 3 月 6 日上午 11:00 (PDT) 或之後 AWS Organizations 建立的 的一部分,則精細動作已在組織中生效。

本主題包含您可以連接至 IAM 角色或群組的範例政策,以控制對帳戶帳單資訊和工具的存取。下列基本規則適用於 Billing and Cost Management 的 IAM 政策:

  • Version 始終是 2012-10-17

  • Effect 一律是 AllowDeny

  • Action 是動作或萬用字元的名稱 (*)。

    動作字首budgets適用於 AWS Budgets、curCo AWS st and Usage Reports、aws-portalB AWS illing 或 ce Cost Explorer。

  • Resource 一律*用於 AWS Billing。

    對於在budget資源上執行的動作,請指定預算的 Amazon Resource Name (ARN)。

  • 一個政策中可以有多個陳述式。

如需帳單主控台的政策範例清單,請參閱帳單使用者指南中的帳單政策範例

注意

這些政策要求您啟用使用者存取帳戶設定主控台頁面上的 Billing and Cost Management 主控台。如需詳細資訊,請參閱啟用 Billing and Cost Management 主控台的存取權

拒絕使用者存取 Billing and Cost Management 主控台

若要明確拒絕使用者存取所有 Billing and Cost Management 主控台頁面,請使用類似此範例政策的政策。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "aws-portal:*",
            "Resource": "*"
        }
    ]
}

拒絕成員帳戶的 AWS 主控台成本和用量小工具存取

若要限制成員 (已連結) 帳戶存取成本和用量資料,請使用管理 (付款人) 帳戶存取 Cost Explorer 偏好設定索引標籤,然後取消選取 Linked Account Access (連結帳戶存取)。這將拒絕從 Cost Explorer (AWS 成本管理) 主控台、Cost Explorer API 和 AWS 主控台首頁的成本和用量小工具存取成本和用量資料,無論成員帳戶的使用者或角色擁有的 IAM 動作為何。

拒絕特定使用者和角色的 AWS 主控台成本和用量小工具存取

若要拒絕特定使用者和角色的 AWS 主控台成本和用量小工具存取,請使用下列許可政策。

注意

將此政策新增至使用者或角色也會拒絕使用者存取 Cost Explorer (AWS 成本管理) 主控台和 Cost Explorer APIs。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ce:*",
            "Resource": "*"
        }
    ]
}

允許完全存取 AWS 服務,但拒絕使用者存取 Billing and Cost Management 主控台

若要拒絕使用者存取 Billing and Cost Management 主控台上的所有內容,請使用下列政策。在此情況下,您也應該拒絕使用者存取 AWS Identity and Access Management (IAM),讓使用者無法存取控制帳單資訊和工具存取的政策。

重要

此政策不允許任何動作。將此政策與允許特定動作的其他政策結合使用。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "aws-portal:*",
                "iam:*"
            ],
            "Resource": "*"
        }
    ]
}

允許使用者檢視 Billing and Cost Management 主控台,但帳戶設定除外

此政策允許所有 Billing and Cost Management 主控台的唯讀存取,包括 Payments Method (付款方式) 和 Reports (報告) 主控台頁面,但拒絕存取 Account Settings (帳戶設定) 頁面,藉此保護帳戶密碼、聯絡資訊和安全問題。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:View*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "aws-portal:*Account",
            "Resource": "*"
        }
    ]
}

允許使用者修改帳單資訊

若要允許使用者修改 Billing and Cost Management 主控台中的帳戶帳單資訊,您還必須允許使用者檢視帳單資訊。下列政策範例允許使用者修改合併帳單偏好設定額度主控台頁面。它還允許使用者檢視下列 Billing and Cost Management 主控台頁面:

  • Dashboard (儀表板)

  • Cost Explorer

  • Bills (帳單)

  • Orders and invoices (訂單與發票)

  • Advance Payment (預付款)

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:*Billing",
            "Resource": "*"
        }
    ]
}

允許使用者建立預算

若要允許使用者在 Billing and Cost Management 主控台中建立預算,您還必須允許使用者檢視帳單資訊、建立 CloudWatch 警示和建立 Amazon SNS 通知。下列政策範例允許使用者修改 Budget 主控台頁面。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1435216493000",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling",
                "aws-portal:ModifyBilling",
                "budgets:ViewBudget",
                "budgets:ModifyBudget"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "Stmt1435216514000",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "Stmt1435216552000",
            "Effect": "Allow",
            "Action": [
                "sns:*"
            ],
            "Resource": [
                "arn:aws:sns:us-east-1::"
            ]
        }
    ]
}

拒絕存取帳戶設定,但允許所有其他帳單和用量資訊的完整存取權

為了保護您的帳戶密碼、聯絡資訊和安全問題,您可以拒絕使用者存取帳戶設定,同時仍然啟用 Billing and Cost Management 主控台中其餘功能的完全存取權,如下列範例所示。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:*Billing",
                "aws-portal:*Usage",
                "aws-portal:*PaymentMethods"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "aws-portal:*Account",
            "Resource": "*"
        }
    ]
}

將報告存入 Simple Storage Service (Amazon S3) 儲存貯體

下列政策允許 Billing and Cost Management 將詳細 AWS 帳單儲存至 Amazon S3 儲存貯體,只要您同時擁有 AWS 帳戶和 Amazon S3 儲存貯體。請注意,此政策必須套用至 Amazon S3 儲存貯體,而非使用者。也就是說,它是以資源為基礎的政策,而不是使用者為基礎的政策。對於不需要存取您帳單的 使用者,您應該拒絕這些 使用者存取儲存貯體。

Replace (取代) bucketname 儲存貯體的名稱。

如需詳細資訊,請參閱 Amazon Simple Storage Service 使用者指南中的使用儲存貯體政策和使用者政策

{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Principal": {
      "Service": "billingreports.amazonaws.com"
    },
    "Action": [
      "s3:GetBucketAcl",
      "s3:GetBucketPolicy"
    ],
    "Resource": "arn:aws:s3:::bucketname"
  },
  {
    "Effect": "Allow",
    "Principal": {
      "Service": "billingreports.amazonaws.com"
    },
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::bucketname/*"
  }
  ]
}

檢視成本和用量

若要允許使用者使用 AWS Cost Explorer API,請使用下列政策授予他們存取權。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ce:*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

啟用和停用 AWS 區域

如需允許使用者啟用和停用區域的範例 IAM 政策,請參閱 IAM 使用者指南中的AWS允許啟用和停用 AWS 區域

檢視和更新 Cost Explorer 偏好設定頁面

此政策允許使用者使用 Cost Explorer 偏好設定頁面檢視和更新。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling",
        "ce:UpdatePreferences"
       ],
      "Resource": "*"
    }
  ]
}

下列政策允許使用者檢視 Cost Explorer,但拒絕檢視或編輯偏好設定頁面的許可。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:GetPreferences",
                "ce:UpdatePreferences"
            ],
            "Resource": "*"
        }
    ]
}

下列政策允許使用者檢視 Cost Explorer,但拒絕編輯偏好設定頁面的許可。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:UpdatePreferences"
            ],
            "Resource": "*"
        }
    ]
}

使用 Cost Explorer 報告頁面檢視、建立、更新及刪除

此政策允許使用者使用 Cost Explorer 報告頁面來檢視、建立、更新和刪除 。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling",
        "ce:CreateReport",
        "ce:UpdateReport",
        "ce:DeleteReport"
       ],
      "Resource": "*"
    }
  ]
}

下列政策允許使用者檢視 Cost Explorer,但拒絕檢視或編輯報告頁面的許可。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:DescribeReport",
                "ce:CreateReport",
                "ce:UpdateReport",
                "ce:DeleteReport"
            ],
            "Resource": "*"
        }
    ]
}

下列政策允許使用者檢視 Cost Explorer,但拒絕編輯報告頁面的許可。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action":  
                "ce:CreateReport",
                "ce:UpdateReport",
                "ce:DeleteReport"
            ],
            "Resource": "*"
        }
    ]
}

檢視、建立、更新及刪除保留和 Savings Plans 提醒

此政策允許使用者檢視、建立、更新和刪除保留過期提醒Savings Plans 提醒。若要編輯保留過期提醒或 Savings Plans 提醒,使用者需要全部三個精密動作:ce:CreateNotificationSubscriptionce:UpdateNotificationSubscription,以及 ce:DeleteNotificationSubscription

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling",
        "ce:CreateNotificationSubscription",
        "ce:UpdateNotificationSubscription",
        "ce:DeleteNotificationSubscription"
       ],
      "Resource": "*"
    }
  ]
}

下列政策允許使用者檢視 Cost Explorer,但拒絕檢視或編輯預留過期提醒Savings Plans 提醒頁面的許可。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:DescribeNotificationSubscription",
                "ce:CreateNotificationSubscription",
                "ce:UpdateNotificationSubscription",
                "ce:DeleteNotificationSubscription"
            ],
            "Resource": "*"
        }
    ]
}

下列政策允許使用者檢視 Cost Explorer,但拒絕編輯預留過期提醒Savings Plans 提醒頁面的許可。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:CreateNotificationSubscription",
                "ce:UpdateNotificationSubscription",
                "ce:DeleteNotificationSubscription"
            ],
            "Resource": "*"
        }
    ]
}

允許唯讀存取 AWS 成本異常偵測

若要允許使用者對 AWS 成本異常偵測的唯讀存取權,請使用下列政策來授予存取權。 ce:ProvideAnomalyFeedback 是選擇性的,作為唯讀存取權的一部分。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ce:Get*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

允許 AWS Budgets 套用 IAM 政策和 SCPs

此政策允許 AWS Budgets 代表使用者套用 IAM 政策和服務控制政策 (SCPs)。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:AttachGroupPolicy",
        "iam:AttachRolePolicy",
        "iam:AttachUserPolicy",
        "iam:DetachGroupPolicy",
        "iam:DetachRolePolicy",
        "iam:DetachUserPolicy",
        "organizations:AttachPolicy",
        "organizations:DetachPolicy"
      ],
      "Resource": "*"
    }
  ]
}

允許 AWS Budgets 套用 IAM 政策和 SCPs 以及目標 EC2 和 RDS 執行個體

此政策允許 AWS Budgets 套用 IAM 政策和服務控制政策 (SCPs),以及代表使用者鎖定 Amazon EC2 和 Amazon RDS 執行個體。

信任政策

注意

此信任政策允許 AWS Budgets 擔任可代表您呼叫其他服務的角色。如需跨服務許可最佳實務的詳細資訊,請參閱 預防跨服務混淆代理人

{
"Version": "2012-10-17",
"Statement": [
  {
    "Effect": "Allow",
    "Principal": {
      "Service": "budgets.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:budgets::123456789012:budget/*"
      },
      "StringEquals": {
        "aws:SourceAccount": "123456789012"
      }
    }
  }
]
}

許可政策

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstanceStatus",
        "ec2:StartInstances",
        "ec2:StopInstances",
        "iam:AttachGroupPolicy",
        "iam:AttachRolePolicy",
        "iam:AttachUserPolicy",
        "iam:DetachGroupPolicy",
        "iam:DetachRolePolicy",
        "iam:DetachUserPolicy",
        "organizations:AttachPolicy",
        "organizations:DetachPolicy",
        "rds:DescribeDBInstances",
        "rds:StartDBInstance",
        "rds:StopDBInstance",
        "ssm:StartAutomationExecution"
      ],
      "Resource": "*"
    }
  ]
}

允許使用者在定價計算器 (預覽) 中建立、列出工作負載估算,並將用量新增至工作負載估算

此政策允許 IAM 使用者建立、列出工作負載估算,並將用量新增至工作負載估算,以及查詢 Cost Explorer 資料以取得歷史成本和用量資料的許可。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "WorkloadEstimate",
            "Effect": "Allow",
            "Action": [
                "ce:GetCostCategories",
                "ce:GetDimensionValues",
                "ce:GetCostAndUsage",
                "ce:GetTags",
                "bcm-pricing-calculator:GetWorkloadEstimate",
                "bcm-pricing-calculator:ListWorkloadEstimateUsage",
                "bcm-pricing-calculator:CreateWorkloadEstimate",
                "bcm-pricing-calculator:ListWorkloadEstimates",
                "bcm-pricing-calculator:CreateWorkloadEstimateUsage",
                "bcm-pricing-calculator:UpdateWorkloadEstimateUsage"
            ],
            "Resource": "*"
        }
    ]
}

允許使用者在定價計算器中建立、列出和新增用量和遞交,以計費 sceanrios (預覽)

此政策允許 IAM 使用者建立、列出和新增用量和承諾,以向 sceanrios 收費。系統不會新增 Cost Explorer 許可,因此您將無法載入歷史資料。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "BillScenario",
            "Effect": "Allow",
            "Action": [
                "bcm-pricing-calculator:CreateBillScenario",
                "bcm-pricing-calculator:GetBillScenario",
                "bcm-pricing-calculator:ListBillScenarios",
                "bcm-pricing-calculator:CreateBillScenarioUsageModification", 
                "bcm-pricing-calculator:UpdateBillScenarioUsageModification",  
                "bcm-pricing-calculator:ListBillScenarioUsageModifications",
                  
                "bcm-pricing-calculator:ListBillScenarioCommitmentModifications"
            ],
            "Resource": "*"
        }
    ]
}

允許使用者在定價計算器中建立帳單估算 (預覽)

此政策允許 IAM 使用者建立帳單估算並列出帳單估算明細項目。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "BillEstimate",
            "Effect": "Allow",
            "Action": [
                "bcm-pricing-calculator:CreateBillEstimate",
                "bcm-pricing-calculator:GetBillEstimate",
                "bcm-pricing-calculator:UpdateBillEstimate",
                "bcm-pricing-calculator:ListBillEstimates",
                "bcm-pricing-calculator:ListBillEstimateLineItems",
                "bcm-pricing-calculator:ListBillEstimateCommitments",
                "bcm-pricing-calculator:ListBillEstimateInputUsageModifications",
                "bcm-pricing-calculator:ListBillEstimateInputCommitmentModifications"
            ],
            "Resource": "*"
        }
    ]
}

允許使用者在定價計算器中建立偏好設定 (預覽)

此政策允許 IAM 使用者建立和取得費率偏好設定。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RatePreferences",
            "Effect": "Allow",
            "Action": [
                "bcm-pricing-calculator:GetPreferences",
                "bcm-pricing-calculator:UpdatePreferences"
            ],
            "Resource": "*"
        }
    ]
}