选择这些,激活IAM,策略生效。
创建了一个组:billing和一个用户:billing。对于这个组,我分配了以下策略:
AWSAccountActivityAccess-Billing - Allow *
AWSAccountUsageReportAccess-Billing - Allow *
但是当我从aws.amazon.com的主登录下拉菜单中登录"计费和成本管理"菜单时,它将允许我以"计费"用户登录,但随后没有任何内容可查看:"未经授权等。"
那么,我是否认为只有Root用户可以查看使用情况和计费?这将是奇怪的,不符合不使用任何根的建议。为此,是否有可能"禁用"Root的使用。听起来很疯狂,因为一个人会怎么做…有点像鸡和蛋。我使用过的一些基础设施提供商只允许通过公证中间人访问某些顶级内容(如删除帐户或更改Root密码等),公证中间人需要护照照片身份证等的副本。如果被要求,AWS会达到这种程度吗?我不希望只要点击一下鼠标,基础设施就会被随意删除,如果根确实受到了损害。
有两个策略允许查看计费和使用信息,它们都可以作为模板使用:
计费-"AWS帐户活动访问":
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
}
]
}
使用情况-"AWS帐户使用情况报告访问":
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewUsage"
],
"Resource": "*"
}
]
}
必须由root用户打开才能生效。要做到这一点,请使用根凭据登录,然后从单击您的名称时出现的菜单中转到"我的帐户"。滚动过去您已注册的所有服务,您尚未注册的服务,下面的第一段应该是"IAM用户访问AWS网站"。有一个按钮可以激活它,还有两个复选框——一个用于帐户活动,一个用于使用报告。
您可以通过以下步骤让IAM用户访问计费信息:
为用户附加完整的管理策略。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*" } ] }从您的根帐户激活"管理您的帐户"页面上的"IAM用户访问AWS"部分中的页面
这将允许IAM用户访问计费信息。您不希望使用根帐户执行太多操作,这一假设是正确的。Amazon建议锁定root帐户并通过IAM管理用户访问。