如何創建IAM策略來限制帳單/付款管理權限？

Question

我想創建一個只有管理服務支付能力的用戶組，例如：輸入帳戶的信用卡信息等。我不希望此用戶有權訪問控制檯中的任何其他工具。我該怎麼做呢？

Answer 1

可惜這是不可能的AWS Identity and Access Management (IAM)你可能想象的方式 - IAM使Controlling User Access to Your AWS Account Billing Information，但這隻包括授予IAM用戶訪問，可查看相應頁面（所需的權限aws-portal:ViewBilling和aws-portal:ViewUsage以他們的名義進行此）：

的AWS網站與AWS身份和訪問管理 （IAM）集成，使您可以授予用戶訪問計費信息。您可以通過 控制訪問Account Activity頁面和Usage Reports頁面。賬戶活動頁面顯示發票和 收費和賬戶活動的詳細信息，按 服務和按使用類型分類。使用報告頁面爲您訂閱的每個服務提供詳細的 使用情況報告。

解決方法

當然您的使用情況下是合理的，並經常遇到 - AWS提供了不同的解決方案恰當地命名爲Consolidated Billing，這使得你可以合併多個Amazon Web Services的支付（AWS），佔公司內通過指定一個付費帳戶：

合併結算，您可以看到AWS的組合觀看費由所有帳戶支付 ，以及獲得DET 每個與您的付款 帳戶相關聯的單個AWS賬戶的成本報告。

所以的付費帳戶被記帳的關聯賬戶的所有費用，因此您需要授予負責支付管理訪問僅此合併結算帳戶，這是沒有問題的用戶（一個或多個）關於資源的其他帳戶所需的保護：

然而，每個鏈接的帳戶是在所有其他 方式（註冊爲服務，訪問資源，使用AWS高級 支持等完全獨立 ）。 支付賬戶所有者不能訪問鏈接賬戶所有者（例如，他們在Amazon S3中的文件）的 的數據。每個賬戶擁有者使用他們自己的AWS憑證來訪問他們的資源 （例如，他們自己的AWS祕密訪問密鑰）。 [重點煤礦]

買者

雖然合併結算保證的關注和資源/數據，並相互結算/支付的相應的保護分離，你仍然需要共享主AWS賬戶證書（即電子郵件/密碼）與負責管理支付的用戶進行交易，這是強烈建議的建議，以方便IAM用戶只能繼續前進，這是一個不幸的例外情況。

• 因此，AWS建議您至少使用AWS Multi-Factor Authentication和強密碼的來保護您的付款賬戶。有關更多信息，請參閱Security for the Paying Account。

Answer 2

現在可以到control access to payments and usage using IAM。

當作爲root帳戶登錄後，轉到結算和成本管理區Account Settings， 向下滾動到「IAM用戶訪問賬單信息」，點擊「編輯」，並啓用該選項。

做完這些後，下面的政策將允許訪問的支付和使用活動視圖：

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Sid": "Stmt1423852703000", 
     "Effect": "Allow", 
     "Action": [ 
     "aws-portal:ModifyBilling", 
     "aws-portal:ModifyPaymentMethods", 
     "aws-portal:ViewBilling", 
     "aws-portal:ViewPaymentMethods" 
     ], 
     "Resource": [ 
     "*" 
     ] 
    } 
    ] 
} 

這一政策的IAM用戶將能夠查看和修改付款方式和賬單信息，但不查看使用情況數據或控制檯中的其他內容。

添加aws-portal:ViewUsage到操作列表可以訪問的使用數據，而你可能希望刪除aws-portal:ModifyBilling如果用戶只能夠在不進行其他修改帳單偏好更新付款方式。

Billing and Cost Management Permissions Reference有可用操作的完整說明。