我想与一个只能管理服务付款的用户创建一个组 - 例如输入帐户的信用卡信息等。我不希望该用户访问控制台中的任何其他工具. 我该怎么做呢?
3 回答
现在可以使用 IAM 控制对付款和使用的访问。
以 root 账户登录后,进入账单和成本管理区域的账户设置,向下滚动至“IAM 用户对账单信息的访问权限”,单击“编辑”,然后启用该选项。
完成后,以下策略将允许访问支付和使用活动视图:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1423852703000",
"Effect": "Allow",
"Action": [
"aws-portal:ModifyBilling",
"aws-portal:ModifyPaymentMethods",
"aws-portal:ViewBilling",
"aws-portal:ViewPaymentMethods"
],
"Resource": [
"*"
]
}
]
}
具有此策略的 IAM 用户将能够查看和修改付款方式和账单信息,但不能在控制台中查看使用数据或其他任何内容。
添加到操作列表可以访问使用数据,而如果用户只能更新付款方式而不对计费首选项进行其他更改aws-portal:ViewUsage
,您可能希望删除。aws-portal:ModifyBilling
计费和成本管理权限参考具有可用操作的完整描述。
不幸的是,这对于AWS Identity and Access Management (IAM)来说是不可能的,就像您想象的那样 - IAM 允许控制用户对您的 AWS 账户账单信息的访问,但这仅包括授予 IAM 用户查看相应页面的访问权限(所需的权限aws-portal:ViewBilling
并aws-portal:ViewUsage
以他们的名字携带):
AWS 网站与 AWS Identity and Access Management (IAM) 集成,因此您可以授予用户访问账单信息的权限。您可以控制对“帐户活动”页面和“使用报告”页面的访问。帐户活动页面显示发票和有关费用和帐户活动的详细信息,按服务和使用类型逐项列出。使用情况报告页面为您订阅的每项服务提供详细的使用情况报告。
解决方法
当然,您的用例是合理且经常遇到的——AWS 提供了一个不同的解决方案,恰当地命名为Consolidated Billing,它使您能够通过指定一个支付账户来合并贵公司内多个 Amazon Web Services (AWS) 账户的付款:
Consolidated Billing 使您能够查看所有账户产生的 AWS 费用的综合视图,并获得与您的支付账户关联的每个 AWS 账户的详细成本报告。
因此,支付账户对关联账户的所有费用进行计费,因此您只需授予负责支付管理的用户对该合并计费账户的访问权限,这对于所需的资源保护没有问题您的其他帐户:
但是,每个链接账户在其他方面都是完全独立的(注册服务、访问资源、使用 AWS 高级支持等)。支付账户所有者无法访问属于关联账户所有者的数据(例如,他们在 Amazon S3 中的文件)。每个账户所有者使用他们自己的 AWS 凭证来访问他们的资源(例如,他们自己的 AWS 秘密访问密钥)。[强调我的]
警告
虽然合并计费可确保关注点分离以及资源/数据和计费/付款相互保护,但您仍需要与用户共享合并计费账户的主要 AWS 账户凭证(即电子邮件/密码)支付管理费用,这是一个不幸的例外,其他强烈推荐的建议仅促进 IAM 用户继续前进。
- 因此,AWS 建议至少使用 AWS Multi-Factor Authentication 和强密码来保护您的支付账户。有关详细信息,请参阅付款帐户的安全性。
创建您的政策
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "aws-portal:*",
"Resource": "*"
}
]
}