View a markdown version of this page

AWS账单政策示例 - AWS计费
允许 IAM 用户查看您的账单信息允许 IAM 用户查看您的账单信息和碳足迹报告允许 IAM 用户访问报告控制台页面拒绝 IAM 用户对 Billing 和 Cost Management 控制台的访问权限拒绝AWS成员账户的控制台费用和使用情况小工具访问权限拒绝AWS特定 IAM 用户和角色的控制台成本和使用情况小组件访问权限允许 IAM 用户查看您的账单信息,但拒绝用户访问碳足迹报告允许 IAM 用户访问访问碳足迹报告,但拒绝用户访问账单信息允许完全访问AWS服务,但拒绝 IAM 用户访问账单和成本管理控制台允许 IAM 用户查看 Billing 和 Cost Management 控制台(账户设置除外)允许 IAM 用户修改账单信息拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息将报告存入 Amazon S3 存储桶查找产品和价格查看成本和使用情况启用和禁用AWSRegions查看和管理成本类别创建、查看、编辑或删除AWS成本和使用情况报告查看和管理采购订单查看和更新 Cost Explorer 首选项页面使用 Cost Explorer 报告页面查看、创建、更新和删除查看、创建、更新和删除预留和 Savings Plans 提醒允许只读访问AWS成本异常检测允许AWS应用 IAM 政策和 SCP 的预算允许AWS应用 IAM 策略和 SCP 以及目标 EC2 和 RDS 实例的预算允许 IAM 用户查看美国免税并创建支持案件(适用于账单或联系地址在印度的客户)允许对客户验证信息进行只读访问(适用于账单或联系地址在印度的客户)查看、创建和更新客户验证信息视图 AWS迁移加速计划 账单控制台中的信息允许访问AWS账单控制台中的发票配置

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS账单政策示例

注意

以下 AWS Identity and Access Management (IAM) 操作已于 2023 年 7 月结束标准支持:

  • aws-portal 命名空间

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

如果您正在使用AWS Organizations,则可以使用批量策略迁移器脚本或批量策略迁移器从您的付款人账户更新政策。您还可以使用旧到精细操作映射参考来验证需要添加的 IAM 操作。

如果您在 2023 年 3 月 6 日上午 11:00(太平洋夏令时)当天或之后AWS Organizations创建,或参与其中,则细粒度操作已在您的组织中生效。AWS 账户

重要

本主题包含几个示例策略,您可以将它们附加到您的 IAM 用户或组以控制对您的账户的账单信息和工具的访问权限。以下基本规则适用于 Billing and Cost Management 的 IAM policy:

  • Version 始终为 2012-10-17

  • Effect 始终为 AllowDeny

  • Action 是操作的名称或通配符(*)。

    操作前缀budgets用于AWS预算、curAWS成本和使用情况报告、aws-portalAWS账单或 ce Cost Explorer。

  • Resource始终*用于AWS计费。

    对于在 budget 资源上执行的操作,请指定预算 Amazon Resource Name (ARN)。

  • 一个策略中可能包含多个语句。

有关AWS成本管理控制台的操作策略列表,请参阅AWS成本管理用户指南中的AWS成本管理策略示例

主题

允许 IAM 用户查看您的账单信息

要允许某个 IAM 用户查看您的账单信息而不向该 IAM 用户提供对敏感账户信息的访问权限,请使用类似于以下示例策略的策略。此类策略会阻止用户访问您的密码和账户活动报告。此策略允许 IAM 用户查看以下 Billing and Cost Management 控制台页面,而不会向他们提供对 Account Settings(账户设置)Reports(报告)控制台页面的访问权限:

  • 控制面板

  • Cost Explorer

  • 账单

  • 订单和发票

  • 整合账单

  • Preferences

  • Credits

  • Advance Payment

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:ViewBilling", "Resource": "*" } ] }

允许 IAM 用户查看您的账单信息和碳足迹报告

要允许某个 IAM 用户查看账单信息和碳足迹报告,请使用与以下示例类似的策略。此策略会阻止用户访问您的密码和账户活动报告。此策略允许 IAM 用户查看以下 Billing and Cost Management 控制台页面,而不会向他们提供对 Account Settings(账户设置)Reports(报告)控制台页面的访问权限:

  • 控制面板

  • Cost Explorer

  • 账单

  • 订单和发票

  • 整合账单

  • Preferences

  • Credits

  • Advance Payment

  • “AWS成本和使用情况报告” 页面的 “AWS客户碳足迹工具” 部分

JSON
{ "Version":"2012-10-17", "Statement": [ {"Effect": "Allow", "Action": "aws-portal:ViewBilling", "Resource": "*" }, {"Effect": "Allow", "Action": "sustainability:GetCarbonFootprintSummary", "Resource": "*" } ] }

允许 IAM 用户访问报告控制台页面

要允许 IAM 用户访问 Reports(报告)控制台页面和查看包含账户活动信息的使用情况报告,请使用类似于此示例策略的策略。

有关各操作的定义,请参阅AWS账单控制台操作

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:ViewUsage", "aws-portal:ViewBilling", "cur:DescribeReportDefinitions", "cur:PutReportDefinition", "cur:DeleteReportDefinition", "cur:ModifyReportDefinition" ], "Resource": "*" } ] }

拒绝 IAM 用户对 Billing 和 Cost Management 控制台的访问权限

要显式拒绝 IAM 用户访问所有 Billing and Cost Management 控制台页面,请使用类似于此示例策略的策略。

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "aws-portal:*", "Resource": "*" } ] }

拒绝AWS成员账户的控制台费用和使用情况小工具访问权限

要限制成员(关联)账户访问成本和使用数据,请使用管理(付款人)账户访问 Cost Explorer 首选项选项卡,然后取消选中 Linked Account Access(关联账户访问)。无论成员账户的 IAM 用户或角色执行的 IAM 操作如何,这都将拒绝从 Cost Explorer(AWS成本管理)AWS控制台、Cost Explorer API 和控制台主页的成本和使用量小部件访问成本和使用情况数据。

拒绝AWS特定 IAM 用户和角色的控制台成本和使用情况小组件访问权限

要拒绝特定 IAM 用户和角色访问AWS控制台成本和使用情况小组件,请使用以下权限策略。

注意

向 IAM 用户或角色添加此策略也会拒绝用户访问 Cost Explorer(AWS成本管理)控制台和 Cost Explorer API。

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ce:*", "Resource": "*" } ] }

允许 IAM 用户查看您的账单信息,但拒绝用户访问碳足迹报告

允许 IAM 用户在 Billing and Cost Management 控制台中同时查看账单信息,但不允许访问AWS客户碳足迹工具。此工具位于 “AWS成本和使用情况报告” 页面。

JSON
{ "Version":"2012-10-17", "Statement": [ {"Effect": "Allow", "Action": "aws-portal:ViewBilling", "Resource": "*" }, {"Effect": "Deny", "Action": "sustainability:GetCarbonFootprintSummary", "Resource": "*" } ] }

允许 IAM 用户访问访问碳足迹报告,但拒绝用户访问账单信息

允许 IAM 用户访问AWS成本和使用情况报告页面中的AWS客户碳足迹工具,但拒绝访问账单和 Cost Management 控制台中的账单信息。

JSON
{ "Version":"2012-10-17", "Statement": [ {"Effect": "Deny", "Action": "aws-portal:ViewBilling", "Resource": "*" }, {"Effect": "Allow", "Action": "sustainability:GetCarbonFootprintSummary", "Resource": "*" } ] }

允许完全访问AWS服务,但拒绝 IAM 用户访问账单和成本管理控制台

要拒绝 IAM 用户访问 Billing and Cost Management 控制台上的所有内容,请使用以下策略。拒绝用户访问 AWS Identity and Access Management (IAM),以防止访问控制账单信息和工具访问权限的策略。

重要

该策略不允许进行任何操作。可将此策略与允许特定操作的其他策略结合使用。

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } ] }

允许 IAM 用户查看 Billing 和 Cost Management 控制台(账户设置除外)

此策略允许对所有 Billing and Cost Management 控制台进行只读访问。这包括 Payments Method(付款方式)Reports(报告)控制台页面。但是,此策略将拒绝对 Account Settings(账户设置)页面的访问。这意味着它可会保护账户密码、联系信息和安全问题。

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:View*", "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }

允许 IAM 用户修改账单信息

要允许 IAM 用户在 Billing and Cost Management 控制台中修改账户账单信息,请允许 IAM 用户查看您的账单信息。以下策略示例允许 IAM 用户修改 Consolidated Billing(整合账单)Preferences(首选项)Credits(服务抵扣金额)控制台页面。它还允许 IAM 用户查看以下 Billing and Cost Management 控制台页面:

  • 控制面板

  • Cost Explorer

  • 账单

  • 订单和发票

  • Advance Payment

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:*Billing", "Resource": "*" } ] }

拒绝访问账户设置,但允许完全访问所有其他账单和使用情况信息

要保护您的账户密码、联系信息和安全问题,您可以拒绝 IAM 用户访问 Account Settings(账户设置),同时仍允许完全访问 Billing and Cost Management 控制台中的其余功能。以下是示例策略。

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:*Billing", "aws-portal:*Usage", "aws-portal:*PaymentMethods" ], "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }

将报告存入 Amazon S3 存储桶

如果您同时拥有该AWS账户和 Amazon S3 存储桶,则以下政策允许AWS账单和成本管理部门将您的详细账单保存到 Amazon S3 存储桶中。此策略必须应用于 Amazon S3 存储桶而不是 IAM 用户。这是因为,它是一种基于资源的策略,而不是基于用户的策略。我们建议您拒绝 IAM 用户访问无需访问您的账单的 IAM 用户的存储桶。

amzn-s3-demo-bucket1 替换为您的存储桶的名称。

有关更多信息,请参阅 Amazon Simple Storage Service 用户指南中的使用存储桶策略和用户策略

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": [ "s3:GetBucketAcl", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1" }, { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*" } ] }

查找产品和价格

要允许 IAM 用户使用AWS价目表服务 API,请使用以下策略向他们授予访问权限。

此政策授予使用批量AWS价目表 API 价AWS目表查询 API 的权限。

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "pricing:DescribeServices", "pricing:GetAttributeValues", "pricing:GetProducts", "pricing:GetPriceListFileUrl", "pricing:ListPriceLists" ], "Resource": [ "*" ] } ] }

查看成本和使用情况

要允许 IAM 用户使用 Cost AWS Explorer API,请使用以下策略向他们授予访问权限。

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:*" ], "Resource": [ "*" ] } ] }

启用和禁用AWSRegions

有关允许用户启用和禁用区域的 IAM 策略示例,请参阅 IAM 用户指南中的 AWS:允许启用和禁用AWS区域

查看和管理成本类别

要允许 IAM 用户使用、查看和管理成本类别,请使用以下策略授予他们访问权限。

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:GetCostAndUsage", "ce:DescribeCostCategoryDefinition", "ce:UpdateCostCategoryDefinition", "ce:CreateCostCategoryDefinition", "ce:DeleteCostCategoryDefinition", "ce:ListCostCategoryDefinitions", "ce:TagResource", "ce:UntagResource", "ce:ListTagsForResource", "pricing:DescribeServices" ], "Resource": "*" } ] }

创建、查看、编辑或删除AWS成本和使用情况报告

此策略允许 IAM 用户使用 API 创建、查看、编辑或删除 sample-report

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "ManageSampleReport", "Effect": "Allow", "Action": [ "cur:PutReportDefinition", "cur:DeleteReportDefinition", "cur:ModifyReportDefinition" ], "Resource": "arn:aws:cur:*:123456789012:definition/sample-report" }, { "Sid": "DescribeReportDefs", "Effect": "Allow", "Action": "cur:DescribeReportDefinitions", "Resource": "*" } ] }

查看和管理采购订单

此策略允许 IAM 用户使用以下策略授予访问权限以查看和管理采购订单。

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "purchase-orders:*" ], "Resource": "*" } ] }

查看和更新 Cost Explorer 首选项页面

此策略允许 IAM 用户使用 Cost Explorer 首选项页面查看和更新。

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:UpdatePreferences" ], "Resource": "*" } ] }

以下策略允许 IAM 用户查看 Cost Explorer,但拒绝查看或编辑 Preferences(首选项)页面的权限。

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:GetPreferences", "ce:UpdatePreferences" ], "Resource": "*" } ] }

以下策略允许 IAM 用户查看 Cost Explorer,但拒绝编辑 Preferences(首选项)页面的权限。

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:UpdatePreferences" ], "Resource": "*" } ] }

使用 Cost Explorer 报告页面查看、创建、更新和删除

此策略允许 IAM 用户使用 Cost Explorer 报告页面查看、创建、更新和删除。

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }

以下策略允许 IAM 用户查看 Cost Explorer,但拒绝查看或编辑 Reports(报告)页面的权限。

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeReport", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }

以下策略允许 IAM 用户查看 Cost Explorer,但拒绝编辑 Reports(报告)页面的权限。

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }

查看、创建、更新和删除预留和 Savings Plans 提醒

此策略允许 IAM 用户查看、创建、更新和删除预留到期提醒Savings Plans 提醒。要编辑预留到期提醒或 Savings Plans 提醒,用户需要所有三个粒度的操作:ce:CreateNotificationSubscriptionce:UpdateNotificationSubscriptionce:DeleteNotificationSubscription

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }

以下策略允许 IAM 用户查看 Cost Explorer,但拒绝查看或编辑预留到期提醒Savings Plans 提醒页面的权限。

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeNotificationSubscription", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }

以下策略允许 IAM 用户查看 Cost Explorer,但拒绝编辑预留到期提醒Savings Plans 提醒页面的权限。

JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }

允许只读访问AWS成本异常检测

要允许 IAM 用户以只读方式访问AWS成本异常检测,请使用以下策略向他们授予访问权限。 ce:ProvideAnomalyFeedback作为只读访问权限的一部分,是可选的。

JSON
{ "Version":"2012-10-17", "Statement": [ { "Action": [ "ce:Get*" ], "Effect": "Allow", "Resource": "*" } ] }

允许AWS应用 IAM 政策和 SCP 的预算

此政策允许 AWS Budgets 代表用户应用 IAM 策略和服务控制策略 (SCP)。

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy" ], "Resource": "*" } ] }

允许AWS应用 IAM 策略和 SCP 以及目标 EC2 和 RDS 实例的预算

该政策允许AWS预算部门应用 IAM 策略和服务控制策略 (SCP),并代表用户将 Amazon EC2 和 Amazon RDS 实例作为目标。

信任策略

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "budgets.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

权限策略

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance", "ssm:StartAutomationExecution" ], "Resource": "*" } ] }

允许 IAM 用户查看美国免税并创建支持案件

此政策允许 IAM 用户在免税控制台中查看美国免税和创建上传免税证书的支持案例。

JSON
{ "Version":"2012-10-17", "Statement": [ { "Action": [ "aws-portal:*", "tax:GetExemptions", "tax:UpdateExemptions", "support:CreateCase", "support:AddAttachmentsToSet" ], "Resource": [ "*" ], "Effect": "Allow" } ] }

(适用于账单或联系地址在印度的客户)允许对客户验证信息进行只读访问

此策略允许 IAM 用户对客户验证信息进行只读访问。

有关各操作的定义,请参阅AWS账单控制台操作

JSON
{ "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "customer-verification:GetCustomerVerificationEligibility", "customer-verification:GetCustomerVerificationDetails" ], "Resource": "*" }] }

(适用于账单或联系地址在印度的客户)查看、创建和更新客户验证信息

此策略允许 IAM 用户对其客户验证信息进行管理。

有关各操作的定义,请参阅AWS账单控制台操作

JSON
{ "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "customer-verification:CreateCustomerVerificationDetails", "customer-verification:UpdateCustomerVerificationDetails", "customer-verification:GetCustomerVerificationEligibility", "customer-verification:GetCustomerVerificationDetails" ], "Resource": "*" }] }

视图 AWS迁移加速计划 账单控制台中的信息

此策略允许 IAM 用户在账单控制台中查看付款人账户的Migration Acceleration Program协议、服务抵扣金和符合条件的支出。

有关各操作的定义,请参阅AWS账单控制台操作

JSON
{ "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "mapcredits:ListQuarterSpend", "mapcredits:ListQuarterCredits", "mapcredits:ListAssociatedPrograms" ], "Resource": "*" }] }

允许访问AWS账单控制台中的发票配置

此策略允许 IAM 用户在账单控制台中访问AWS发票配置。

有关各操作的定义,请参阅AWS账单控制台操作

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "invoicing:ListInvoiceUnits", "invoicing:GetInvoiceUnit", "invoicing:CreateInvoiceUnit", "invoicing:UpdateInvoiceUnit", "invoicing:DeleteInvoiceUnit", "invoicing:BatchGetInvoiceProfile" ], "Resource": [ "*" ] } ] }