針對 AWS 成本管理使用身分型政策 (IAM 政策) - AWS 成本管理

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

針對 AWS 成本管理使用身分型政策 (IAM 政策)

注意

下列 AWS Identity and Access Management (IAM) 動作已於 2023 年 7 月結束標準支援:

  • aws-portal 命名空間

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

如果您使用的是 AWS Organizations,則可以使用大量政策模擬器指令碼,從您的付款人帳戶更新政策。您也可以使用舊動作映射參考來驗證需要新增的 IAM 動作。

如需詳細資訊,請參閱帳單 AWS 、 AWS 成本管理和帳戶主控台許可部落格的變更

如果您有 AWS 帳戶或 是 2023 年 3 月 6 日上午 11:00 (PDT) 當天或之後 AWS Organizations 建立的 的一部分,則精細動作已在組織中生效。

本主題提供以身分為基礎的政策範例,示範帳戶管理員如何將許可政策連接至 IAM 身分 (角色和群組),進而授予許可,以對 Billing and Cost Management 資源執行操作。

如需 AWS 帳戶和使用者的完整討論,請參閱 IAM 使用者指南中的什麼是 Word?IAM

如需有關如何更新客戶受管政策的資訊,請參閱 IAM 使用者指南中的編輯客戶受管政策 (主控台)

Billing and Cost Management 動作政策

下表摘要說明允許或拒絕 使用者存取帳單資訊和工具的許可。如需使用這些許可的政策範例,請參閱 AWS 成本管理政策範例

如需帳單主控台的動作政策清單,請參閱帳單使用者指南中的帳單動作政策

許可名稱 描述

aws-portal:ViewBilling

允許或拒絕使用者檢視 Billing and Cost Management 主控台頁面的許可。如需範例政策,請參閱 帳單使用者指南中的允許 IAM 使用者檢視您的帳單資訊

aws-portal:ViewUsage

允許或拒絕使用者檢視 AWS 用量報告的許可。

若要允許使用者檢視用量報告,您必須同時允許 ViewUsageViewBilling

如需範例政策,請參閱 帳單使用者指南中的允許 IAM 使用者存取報告主控台頁面

aws-portal:ModifyBilling

允許或拒絕 使用者修改以下帳單和成本管理主控台頁面的許可:

若要允許使用者修改這些主控台頁面,您必須同時允許 ModifyBillingViewBilling。如需政策範例,請參閱 允許使用者修改帳單資訊

aws-portal:ViewAccount

允許或拒絕 使用者檢視以下帳單和成本管理主控台頁面的許可:

aws-portal:ModifyAccount

允許或拒絕使用者修改帳戶設定的權限。

若要允許使用者修改帳戶設定,您必須同時允許 ModifyAccountViewAccount

如需明確拒絕使用者存取帳戶設定主控台頁面的政策範例,請參閱 拒絕存取帳戶設定,但允許所有其他帳單和用量資訊的完整存取權

budgets:ViewBudget

允許或拒絕使用者檢視 Budgets 的許可。

若要允許使用者檢視預算,您還必須允許 ViewBilling

budgets:ModifyBudget

允許或拒絕使用者修改 Budgets 的許可。

若要允許使用者檢視和修改預算,您還必須允許 ViewBilling

ce:GetPreferences

允許或拒絕使用者檢視 Cost Explorer 偏好設定頁面的許可。

如需政策範例,請參閱 檢視和更新 Cost Explorer 偏好設定頁面

ce:UpdatePreferences

允許或拒絕使用者更新 Cost Explorer 偏好設定頁面的許可。

如需政策範例,請參閱 檢視和更新 Cost Explorer 偏好設定頁面

ce:DescribeReport

允許或拒絕使用者檢視 Cost Explorer 報告頁面的許可。

如需政策範例,請參閱 使用 Cost Explorer 報告頁面檢視、建立、更新及刪除

ce:CreateReport

允許或拒絕使用者使用 Cost Explorer 報告頁面建立報告的許可。

如需政策範例,請參閱 使用 Cost Explorer 報告頁面檢視、建立、更新及刪除

ce:UpdateReport

允許或拒絕使用者使用 Cost Explorer 報告頁面更新許可。

如需政策範例,請參閱 使用 Cost Explorer 報告頁面檢視、建立、更新及刪除

ce:DeleteReport

允許或拒絕使用者使用 Cost Explorer 報告頁面刪除報告的權限。

如需政策範例,請參閱 使用 Cost Explorer 報告頁面檢視、建立、更新及刪除

ce:DescribeNotificationSubscription

允許或拒絕使用者在保留概觀頁面中檢視 Cost Explorer 保留過期提醒的許可。

如需政策範例,請參閱 檢視、建立、更新及刪除保留和 Savings Plans 提醒

ce:CreateNotificationSubscription

允許或拒絕使用者在保留概觀頁面中建立 Cost Explorer 保留過期提醒的許可。

如需政策範例,請參閱 檢視、建立、更新及刪除保留和 Savings Plans 提醒

ce:UpdateNotificationSubscription

允許或拒絕使用者在保留概觀頁面中更新 Cost Explorer 保留過期提醒的許可。

如需政策範例,請參閱 檢視、建立、更新及刪除保留和 Savings Plans 提醒

ce:DeleteNotificationSubscription

允許或拒絕使用者在保留概觀頁面刪除 Cost Explorer 保留過期提醒的許可。

如需政策範例,請參閱 檢視、建立、更新及刪除保留和 Savings Plans 提醒

ce:CreateCostCategoryDefinition

允許或拒絕 使用者建立成本類別的許可。

如需範例政策,請參閱 帳單使用者指南中的檢視和管理成本類別

您可以在 期間將資源標籤新增至監視器Create。若要使用資源標籤建立監視器,您需要 ce:TagResource許可。

ce:DeleteCostCategoryDefinition

允許或拒絕 使用者刪除成本類別的許可。

如需範例政策,請參閱 帳單使用者指南中的檢視和管理成本類別

ce:DescribeCostCategoryDefinition

允許或拒絕 使用者檢視成本類別的許可。

如需範例政策,請參閱 帳單使用者指南中的檢視和管理成本類別

ce:ListCostCategoryDefinitions

允許或拒絕 使用者列出成本類別的許可。

如需範例政策,請參閱 帳單使用者指南中的檢視和管理成本類別

ce:ListTagsForResource

允許或拒絕使用者列出指定資源的所有資源標籤的許可。如需支援的資源清單,請參閱 ResourceTag AWS Billing and Cost Management 參考中的 API

ce:UpdateCostCategoryDefinition

允許或拒絕 使用者更新成本類別的許可。

如需範例政策,請參閱 帳單使用者指南中的檢視和管理成本類別

ce:CreateAnomalyMonitor

允許或拒絕使用者建立單一AWS 成本異常偵測監視器的許可。您可以在 期間將資源標籤新增至監視器Create。若要使用資源標籤建立監視器,您需要 ce:TagResource許可。

ce:GetAnomalyMonitors

允許或拒絕使用者檢視所有AWS 成本異常偵測監視器的許可。

ce:UpdateAnomalyMonitor

允許或拒絕使用者更新AWS 成本異常偵測監視器的許可。

ce:DeleteAnomalyMonitor

允許或拒絕使用者刪除AWS 成本異常偵測監視器的許可。

ce:CreateAnomalySubscription

允許或拒絕使用者為AWS 成本異常偵測建立單一訂閱的許可。您可以在 期間將資源標籤新增至訂閱Create。若要使用資源標籤建立訂閱,您需要 ce:TagResource許可。

ce:GetAnomalySubscriptions

允許或拒絕使用者檢視AWS 成本異常偵測的所有訂閱的許可。

ce:UpdateAnomalySubscription

允許或拒絕使用者更新AWS 成本異常偵測訂閱的許可。

ce:DeleteAnomalySubscription

允許或拒絕使用者刪除AWS 成本異常偵測訂閱的許可。

ce:GetAnomalies

允許或拒絕使用者在AWS 成本異常偵測中檢視所有異常的許可。

ce:ProvideAnomalyFeedback

允許或拒絕使用者許可,以針對偵測到AWS 的成本異常偵測提供意見回饋。

ce:TagResource

允許或拒絕使用者將資源標籤鍵值對新增至資源的許可。如需支援的資源清單,請參閱 ResourceTag AWS Billing and Cost Management 參考中的 API

ce:UntagResource

允許或拒絕使用者從資源刪除資源標籤的許可。如需支援的資源清單,請參閱 ResourceTag AWS Billing and Cost Management 參考中的 API

受管政策

注意

下列 AWS Identity and Access Management (IAM) 動作已於 2023 年 7 月結束標準支援:

  • aws-portal 命名空間

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

如果您使用的是 AWS Organizations,則可以使用大量政策模擬器指令碼,從您的付款人帳戶更新政策。您也可以使用舊動作映射參考來驗證需要新增的 IAM 動作。

如需詳細資訊,請參閱帳單 AWS 、 AWS 成本管理和帳戶主控台許可部落格的變更

如果您有 AWS 帳戶或 是 2023 年 3 月 6 日上午 11:00 (PDT) 當天或之後 AWS Organizations 建立的 的一部分,則精細動作已在組織中生效。

受管政策是獨立的身分型政策,您可以連接到 AWS 帳戶中的多個使用者、群組和角色。您可以使用 AWS 受管政策來控制 Billing and Cost Management 中的存取。

AWS 受管政策是由 AWS. AWS managed 政策建立和管理的獨立政策旨在為許多常見使用案例提供許可。受 AWS 管政策可讓您比必須自行撰寫政策時更輕鬆地將適當的許可指派給使用者、群組和角色。

您無法變更 AWS 受管政策中定義的許可。 AWS 偶爾會更新 AWS 受管政策中定義的許可。執行這項動作時,更新會影響政策連接到的所有委託人實體 (使用者、群組和角色)。

Billing and Cost Management 為常見使用案例提供數個 AWS 受管政策。

允許完整存取 AWS 預算,包括預算動作

受管政策名稱:AWSBudgetsActionsWithAWSResourceControlAccess

此受管政策著重於使用者,確保您擁有適當的許可,以授予許可給 AWS Budgets 來執行定義的動作。此政策提供 AWS Budgets 的完整存取權,包括預算動作,以擷取政策的狀態並使用 執行 AWS 資源 AWS Management Console。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "budgets:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "budgets.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "aws-portal:ModifyBilling", "ec2:DescribeInstances", "iam:ListGroups", "iam:ListPolicies", "iam:ListRoles", "iam:ListUsers", "organizations:ListAccounts", "organizations:ListOrganizationalUnitsForParent", "organizations:ListPolicies", "organizations:ListRoots", "rds:DescribeDBInstances", "sns:ListTopics" ], "Resource": "*" } ] }

允許唯讀存取 AWS Budgets

受管政策名稱:AWSBudgetsReadOnlyAccess

此受管政策允許透過 唯讀存取 AWS Budgets AWS Management Console。政策可以連接到您的使用者、群組和角色。

{ "Version" : "2012-10-17", "Statement" : [ { "Sid": "AWSBudgetsReadOnlyAccess", "Effect" : "Allow", "Action" : [ "aws-portal:ViewBilling", "budgets:ViewBudget", "budgets:Describe*" "budgets:ListTagsForResource" ], "Resource" : "*" } ] }

允許控制 AWS 資源的許可

受管政策名稱:AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM

此受管政策著重於 AWS Budgets 在完成特定動作時代表您採取的特定動作。此政策提供控制 AWS 資源的許可。例如, 會透過執行 AWS Systems Manager (EC2) 指令碼來啟動和停止 Amazon Word 或 Amazon SSM RDS執行個體。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "ssm.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ssm:StartAutomationExecution" ], "Resource": [ "arn:aws:ssm:*:*:automation-definition/AWS-StartEC2Instance:*", "arn:aws:ssm:*:*:automation-definition/AWS-StopEC2Instance:*", "arn:aws:ssm:*:*:automation-definition/AWS-StartRdsInstance:*", "arn:aws:ssm:*:*:automation-definition/AWS-StopRdsInstance:*" ] } ] }

允許 Cost Optimization Hub 呼叫讓服務運作所需的服務

受管政策名稱:CostOptimizationHubServiceRolePolicy

允許 Cost Optimization Hub 擷取組織資訊,並收集最佳化相關資料和中繼資料。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AwsOrgsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListParents", "organizations:DescribeOrganizationalUnit" ], "Resource": [ "*" ] }, { "Sid": "AwsOrgsScopedAccess", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringLikeIfExists": { "organizations:ServicePrincipal": [ "cost-optimization-hub.bcm.amazonaws.com" ] } } }, { "Sid": "CostExplorerAccess", "Effect": "Allow", "Action": [ "ce:ListCostAllocationTags", "ce:GetCostAndUsage" ], "Resource": [ "*" ] } ] }

如需詳細資訊,請參閱 Cost Optimization Hub 的服務連結角色

允許唯讀存取 Cost Optimization Hub

受管政策名稱:CostOptimizationHubReadOnlyAccess

此受管政策提供對 Cost Optimization Hub 的唯讀存取權。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CostOptimizationHubReadOnlyAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:ListEnrollmentStatuses", "cost-optimization-hub:GetPreferences", "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries" ], "Resource": "*" } ] }

允許管理員存取 Cost Optimization Hub

受管政策名稱:CostOptimizationHubAdminAccess

此受管政策可讓管理員存取 Cost Optimization Hub。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CostOptimizationHubAdminAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:ListEnrollmentStatuses", "cost-optimization-hub:UpdateEnrollmentStatus", "cost-optimization-hub:GetPreferences", "cost-optimization-hub:UpdatePreferences", "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries", "organizations:EnableAWSServiceAccess" ], "Resource": "*" }, { "Sid": "AllowCreationOfServiceLinkedRoleForCostOptimizationHub", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/cost-optimization-hub.bcm.amazonaws.com/AWSServiceRoleForCostOptimizationHub" ], "Condition": { "StringLike": { "iam:AWSServiceName": "cost-optimization-hub.bcm.amazonaws.com" } } }, { "Sid": "AllowAWSServiceAccessForCostOptimizationHub", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringLike": { "organizations:ServicePrincipal": [ "cost-optimization-hub.bcm.amazonaws.com" ] } } } ] }

允許分割成本分配資料呼叫使服務正常運作所需的服務

受管政策名稱:SplitCostAllocationDataServiceRolePolicy

允許分割成本分配資料擷取 AWS Organizations 資訊,如適用,並收集客戶選擇加入的分割成本分配資料服務的遙測資料。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AwsOrganizationsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListParents" ], "Resource": "*" }, { "Sid": "AmazonManagedServiceForPrometheusAccess", "Effect": "Allow", "Action": [ "aps:ListWorkspaces", "aps:QueryMetrics" ], "Resource": "*" } ] }

如需詳細資訊,請參閱分割成本分配資料的服務連結角色

允許資料匯出存取其他 AWS 服務

受管政策名稱:AWSBCMDataExportsServiceRolePolicy

允許資料匯出代表您存取其他 AWS 服務,例如 Cost Optimization Hub。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CostOptimizationRecommendationAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:ListEnrollmentStatuses", "cost-optimization-hub:ListRecommendations" ], "Resource": "*" } ] }

如需詳細資訊,請參閱資料匯出的服務連結角色

AWSAWS 受管政策的成本管理更新

檢視自此服務開始追蹤這些變更以來 AWS ,成本管理的受 AWS 管政策更新詳細資訊。如需此頁面變更的自動提醒,請訂閱 AWS 成本管理文件歷史記錄頁面上的 RSS 摘要。

變更 描述 日期

現有政策的更新

CostOptimizationHubServiceRolePolicy

我們更新了政策以新增 organizations:ListDelegatedAdministratorsce:GetCostAndUsage動作。 07/05/2024

現有政策的更新

AWSBudgetsReadOnlyAccess

我們更新了政策以新增budgets:ListTagsForResource動作。 06/17/2024

新增政策

AWSBCMDataExportsServiceRolePolicy

Data Exports 已新增要與服務連結角色搭配使用的新政策,這可讓您存取其他 AWS 服務,例如 Cost Optimization Hub。 06/10/2024

新增政策

SplitCostAllocationDataServiceRolePolicy

分割成本分配資料新增了與服務連結角色搭配使用的新政策,這可讓您存取分割成本分配資料所使用或管理 AWS 的服務和資源。 04/16/2024

現有政策的更新

AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM

我們更新了具有範圍縮減許可的政策。該ssm:StartAutomationExecution動作僅適用於 Budget 動作所使用的特定資源。 12/14/2023

現有政策的更新

CostOptimizationHubReadOnlyAccess

CostOptimizationHubAdminAccess

Cost Optimization Hub 已更新下列兩個受管政策:
  • CostOptimizationHubReadOnlyAccess:修正「GetRecommendation」中的錯字;移除 SLR 政策涵蓋的許可。

  • CostOptimizationHubAdminAccess:修正 "GetRecommendation" 中的錯字;移除 SLR 政策涵蓋的許可;新增啟用服務存取和建立 SLR 的許可,以便政策提供選擇加入和使用 Cost Optimization Hub 的所有必要許可。

12/14/2023

新增政策

CostOptimizationHubServiceRolePolicy

Cost Optimization Hub 新增了新的政策,以搭配服務連結角色使用,這可讓您存取 Cost Optimization Hub 使用或管理 AWS 的服務和資源。 11/02/2023
AWS Cost Management 開始追蹤變更 AWS 成本管理開始追蹤其 AWS 受管政策的變更 11/02/2023