7

我想与一个只能管理服务付款的用户创建一个组 - 例如输入帐户的信用卡信息等。我不希望该用户访问控制台中的任何其他工具. 我该怎么做呢?

4

3 回答 3

8

现在可以使用 IAM 控制对付款和使用的访问。

以 root 账户登录后,进入账单和成本管理区域的账户设置,向下滚动至“IAM 用户对账单信息的访问权限”,单击“编辑”,然后启用该选项。

完成后,以下策略将允许访问支付和使用活动视图:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1423852703000",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ModifyBilling",
        "aws-portal:ModifyPaymentMethods",
        "aws-portal:ViewBilling",
        "aws-portal:ViewPaymentMethods"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

具有此策略的 IAM 用户将能够查看和修改付款方式和账单信息,但不能在控制台中查看使用数据或其他任何内容。

添加到操作列表可以访问使用数据,而如果用户只能更新付款方式而不对计费首选项进行其他更改aws-portal:ViewUsage,您可能希望删除。aws-portal:ModifyBilling

计费和成本管理权限参考具有可用操作的完整描述。

于 2015-02-28T23:17:34.857 回答
4

不幸的是,这对于AWS Identity and Access Management (IAM)来说是不可能的,就像您想象的那样 - IAM 允许控制用户对您的 AWS 账户账单信息的访问,但这仅包括授予 IAM 用户查看相应页面的访问权限(所需的权限aws-portal:ViewBillingaws-portal:ViewUsage以他们的名字携带):

AWS 网站与 AWS Identity and Access Management (IAM) 集成,因此您可以授予用户访问账单信息的权限。您可以控制对“帐户活动”页面和“使用报告”页面的访问。帐户活动页面显示发票和有关费用和帐户活动的详细信息,按服务和使用类型逐项列出。使用情况报告页面为您订阅的每项服务提供详细的使用情况报告。

解决方法

当然,您的用例是合理且经常遇到的——AWS 提供了一个不同的解决方案,恰当地命名为Consolidated Billing,它使您能够通过指定一个支付账户来合并贵公司内多个 Amazon Web Services (AWS) 账户的付款

Consolidated Billing 使您能够查看所有账户产生的 AWS 费用的综合视图,并获得与您的支付账户关联的每个 AWS 账户的详细成本报告。

因此,支付账户对关联账户的所有费用进行计费,因此您只需授予负责支付管理的用户对该合并计费账户的访问权限,这对于所需的资源保护没有问题您的其他帐户:

但是,每个链接账户在其他方面都是完全独立的(注册服务、访问资源、使用 AWS 高级支持等)。支付账户所有者无法访问属于关联账户所有者的数据(例如,他们在 Amazon S3 中的文件)。每个账户所有者使用他们自己的 AWS 凭证来访问他们的资源(例如,他们自己的 AWS 秘密访问密钥)。[强调我的]

警告

虽然合并计费可确保关注点分离以及资源/数据和计费/付款相互保护,但您仍需要与用户共享合并计费账户的主要 AWS 账户凭证(即电子邮件/密码)支付管理费用,这是一个不幸的例外,其他强烈推荐的建议仅促进 IAM 用户继续前进。

  • 因此,AWS 建议至少使用 AWS Multi-Factor Authentication 和强密码来保护您的支付账户。有关详细信息,请参阅付款帐户的安全性
于 2013-07-04T17:20:48.590 回答
0

创建您的政策

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "aws-portal:*",
            "Resource": "*"
        }
    ]
}
于 2019-10-31T07:27:39.213 回答