我想与一个只能管理服务支付的用户创建一个组,例如输入帐户的信用卡信息等。我不希望这个用户访问控制台中的任何其他工具。我该怎么做?
现在可以使用IAM控制对支付和使用的访问。
以根帐户身份登录后,转到"计费和成本管理"区域中的"帐户设置",向下滚动至"IAM用户访问计费信息",单击"编辑",然后启用该选项。
完成后,以下策略将允许访问支付和使用活动视图:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1423852703000",
"Effect": "Allow",
"Action": [
"aws-portal:ModifyBilling",
"aws-portal:ModifyPaymentMethods",
"aws-portal:ViewBilling",
"aws-portal:ViewPaymentMethods"
],
"Resource": [
"*"
]
}
]
}
使用此策略的IAM用户可以查看和修改付款方式和计费信息,但不能在控制台中查看使用数据或其他任何信息。
将aws-portal:ViewUsage添加到操作列表中可以访问使用数据,而如果用户只能更新支付方式而不需要对计费首选项进行其他更改,则您可能希望删除aws-portal:ModifyBilling。
"计费和成本管理权限参考"包含可用操作的完整描述。
不幸的是,这在AWS身份和访问管理(IAM)中是不可能的,正如您所设想的那样-IAM允许控制用户访问您的AWS帐户计费信息,但这只包括授予IAM用户查看相应页面的访问权(所需权限aws-portal:ViewBilling和aws-portal:ViewUsage以其名称携带此项):
AWS网站与AWS身份和访问管理集成(IAM),以便您可以授予用户访问计费信息的权限。你可以控制对"帐户活动"页面和"使用情况"的访问报告页面。"帐户活动"页面显示发票和有关费用和帐户活动的详细信息,按服务和使用类型。使用情况报告页面提供详细信息您订阅的每项服务的使用情况报告。
变通办法
当然,您的用例是合理的,并且经常遇到-AWS提供了一个不同的解决方案,该解决方案被恰当地命名为Consolidated Billing,使您能够通过指定一个支付账户来合并公司内多个亚马逊网络服务(AWS)账户的支付:
合并计费使您能够查看AWS费用的组合视图所有账户产生的费用,以及获得详细的成本报告与您的付款相关的每个单独的AWS账户账户
因此,支付账户将收取链接账户的所有费用,因此您只需要授予负责支付管理的用户访问此合并计费账户的权限,这与您其他账户中资源的所需保护无关:
但是,每个链接帐户在其他帐户中都是完全独立的方式(注册服务、访问资源、使用AWS Premium支持等)。付费帐户所有者无法访问属于链接帐户所有者(例如,他们在AmazonS3中的文件)。每个帐户所有者使用自己的AWS凭据访问其资源(例如,他们自己的AWS秘密访问密钥)[强调矿]
洞穴
虽然合并计费确保了关注点的分离以及资源/数据和计费/支付的各自保护,但您仍然需要与负责支付管理的用户共享合并计费帐户的主要AWS帐户凭据(即电子邮件/密码),这是一个不幸的例外,否则强烈建议只为IAM用户提供便利。
- 因此,AWS建议至少使用AWS Multi-Factor Authentication和强密码来保护您的支付账户。有关详细信息,请参阅付款帐户的安全性
创建您的策略
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "aws-portal:*",
"Resource": "*"
}
]
}