IAM 教程:委托对账单控制台的访问权限 - Amazon Identity and Access Management
先决条件步骤 1:激活对您的 Amazon 测试账户的账单数据的访问权限步骤 2:将账单策略附加到用户组步骤 3:测试对账单控制台的访问权限相关资源摘要
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

IAM 教程:委托对账单控制台的访问权限

Amazon Web Services 账户 所有者可以向需要查看或管理 Amazon Web Services 账户 的 Amazon Billing and Cost Management 数据的特定 IAM 用户委派访问权限。下面的说明将帮助您设置一个预先测试过的方案。此方案会帮助您获得配置账单权限的实践经验,而无需担心影响您的主 Amazon 生产账户。如果您将托管策略附加到 IAM 用户而不是按照本教程操作,则必须首先在步骤 1 中激活对 Amazon Billing and Cost Management 控制台的访问权限。

步骤 1:激活对您的 Amazon 测试账户的账单数据的访问权限

如果您创建单个 Amazon Web Services 账户,则仅 Amazon Web Services 账户 拥有者(Amazon Web Services 账户根用户)才有权查看和管理账单信息。在账户拥有者激活 IAM 访问权限并附加向用户或角色提供账单操作的策略之前,IAM 用户无法访问账单数据。要查看需要您以根用户身份登录的其他任务,请参阅需要账户根用户的 Amazon 任务

如果您使用 Amazon Organizations 创建成员账户,则默认启用这项功能。

步骤 2:将账单策略附加到用户组

将策略附加到用户组时,该用户组的所有成员都会收到与该策略关联的完整访问权限集。在此场景中,您将账单策略附加到只包含需要账单访问权限的用户的用户组。

步骤 3:测试对账单控制台的访问权限

完成核心任务后,您即可测试策略。测试确保策略按预期方式运行。

先决条件

创建要在本教程中使用的测试 Amazon Web Services 账户。在此账户中创建两个测试用户和两个测试用户组,如下表所示。请确保为每个用户分配密码,以便在后面的步骤 4 中可以登录。

创建用户账户 创建和配置用户组账户
用户名称 用户组名称 将用户添加为成员
FinanceManager BillingFullAccessGroup FinanceManager
FinanceUser BillingViewAccessGroup FinanceUser

步骤 1:激活对您的 Amazon 测试账户的账单数据的访问权限

首先,在 Amazon Billing and Cost Management 控制台中为您的测试用户激活对账单访问权限。

注意

如果您使用 Amazon Organizations 创建成员账户,则默认启用这项功能。

激活 IAM 用户和角色对 Billing and Cost Management 控制台的访问权限

  1. 使用您的根用户凭证(您用于创建 Amazon 账户的电子邮件地址和密码)登录 Amazon Web Services Management Console。

  2. 在导航栏中,选择账户名称,然后选择 Account(账户)。

  3. 选择 IAM 用户和角色访问账单信息的权限旁边的编辑

  4. 选中 Activate IAM Access(激活 IAM 访问权限)复选框以激活对 Billing and Cost Management 页面的访问权限。

  5. 选择更新

您现在可使用 IAM policy 控制用户可访问的页面。

激活 IAM 用户访问权限后,您可附加 IAM policy 以授权或拒绝对特定账单功能的访问。有关使用策略授权 IAM 用户访问 Amazon Billing and Cost Management 功能的更多信息,请参阅 Amazon Billing 用户指南中的为账单和成本管理使用基于身份的策略(IAM policy)

步骤 2:将账单策略附加到用户组

现在,我们将向您之前创建的账单用户组附加相应的 Amazon 托管式策略。

将账单策略附加到用户组

  1. 在导航窗格中,选择 Policies(策略)以显示您 Amazon Web Services 账户 可用的策略的完整列表。

  2. 在策略搜索框中,输入 Billing。该列表仅显示应用于账单功能的 Amazon 托管式策略。

  3. 要向您的账单管理员提供完全访问权限,请选择 Billing(账单)Amazon 托管式 – 工作职能策略。

  4. 选择 Actions(操作)下拉箭头,然后从操作列表中选择 Attach(附加)。

  5. Attach policy(附加策略)页面上的 Filter(筛选器)搜索框中,输入 BillingFullAccessGroup

  6. 在列表中,选择用户组,然后选择 Attach policy(附加策略)。您将返回到 Policies(策略)页面。

  7. 在策略搜索框中,输入 Billing。该列表仅显示应用于账单功能的 Amazon 托管式策略。

  8. 要向监控账单活动的用户提供只读访问权限,请选择 AmazonBillingReadOnlyAccess Amazon 托管式策略。

  9. 选择 Actions(操作)下拉箭头,然后从操作列表中选择 Attach(附加)。

  10. Attach policy(附加策略)页面上的 Filter(筛选器)搜索框中,输入 BillingViewAccessGroup

  11. 在列表中,选择用户组,然后选择 Attach policy(附加策略)。

  12. 注销控制台,然后执行步骤 3:测试对账单控制台的访问权限

步骤 3:测试对账单控制台的访问权限

我们建议您以各测试用户身份登录来测试访问权限,以便了解用户可能获得的体验。通过以下步骤,使用两个测试账户登录来查看访问权限有何不同。

使用两个测试用户登录以测试账单访问权限

  1. 使用 Amazon 账户 ID 或账户别名、您的 IAM 用户名和密码登录到 IAM 控制台

    注意

    为方便起见,Amazon登录页面使用浏览器 Cookie 记住您的 IAM 用户名和账户信息。如果您之前以其他用户身份登录,请选择页面底部的 Sign-in to a different account(登录到其他账户)以返回主登录页面。在此处,您可以输入要重新导向到您账户 IAM 用户登录页面的 Amazon 账户 ID 或账户别名。

  2. 通过下面提供的步骤使用每个用户登录以比较不同的用户体验。

    完全访问权限

    1. 以用户 FinanceManager 的身份登录您的 Amazon Web Services 账户。

    2. 在导航栏上,选择 FinanceManager@<account alias or ID number>(FinanceManager@<账户别名或 ID 号>),然后选择 Billing Dashboard(账单控制面板)。

    3. 浏览页面并选择不同的按钮以确保您有完全修改权限。

    只读访问权限

    1. 以用户 FinanceUser 的身份登录您的 Amazon Web Services 账户。

    2. 在导航栏上,选择 FinanceUser@<account alias or ID number>(FinanceUser@<账户别名或 ID 号>),然后选择 Billing Dashboard(账单控制面板)。

    3. 浏览页面。注意您是否可以正常显示成本、报告和账单数据。不过,如果您选择一个选项来修改值,会收到 Access Denied 消息。例如,在 Preferences 页面上,选中页面上的任意复选框,然后选择 Save preferences。控制台消息通知您需要 ModifyBilling 权限才能对该页面进行更改。

相关资源

有关 Amazon Billing 用户指南 中的相关信息,请参阅以下资源:

有关 IAM 用户指南 中的相关信息,请参阅以下资源:

摘要

现在您已成功完成向用户委派对 Billing and Cost Management 控制台的访问权限所需的全部步骤。因此,您已亲眼目睹用户账单控制台的体验。现在,您可以方便地在生产环境中实施此逻辑。