我创建了一个群组:结算和用户:结算。对于这个小组,我已经分配了以下政策:
AWSAccountActivityAccess-Billing - Allow *
AWSAccountUsageReportAccess-Billing - Allow *
但是当我从aws.amazon.com的主登录下拉菜单登录“结算和成本管理”菜单时,它将允许我使用“结算”用户登录,但之后没有任何内容可供使用观点:“未经授权等......”
我是否相信只有Root用户才能查看使用情况和结算?这很奇怪,不符合不使用Root的建议。为此,是否可以实际“禁用”Root的使用。听起来很疯狂,就像一个人做的那样..有点鸡肉和鸡蛋。我使用过的一些基础设施提供商只允许访问某些顶级内容(例如删除帐户或更改Root密码等),并通过一份公证中介,该中间人会获取护照照片ID等的副本。如果被问及AWS是否会达到这个程度?如果Root确实遭到入侵,我不希望只是鼠标点击远离被删除的基础设施。
答案 0 :(得分:3)
您可以按照以下步骤授予IAM用户访问结算信息的权限:
将完整的管理员政策附加到用户。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
]
}
从您的root帐户激活Manage Your Account Page上“IAM用户访问AWS”部分中的页面。
这将允许IAM用户访问帐单信息。假设您不希望将root帐户用于太多操作,那么您是正确的。 Amazon recommends锁定root帐户并通过IAM管理用户访问。
答案 1 :(得分:3)
有两个策略允许查看结算和使用信息,两者都可用作模板:
结算 - “AWS账户活动访问”:
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
}
]
}
用法 - “AWS账户使用情况报告访问”:
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewUsage"
],
"Resource": "*"
}
]
}
这些必须由root用户打开才能生效。要执行此操作,请使用根凭据登录,然后从单击您的姓名时出现的菜单中转到“我的帐户”。滚动浏览您注册的所有服务,您尚未注册的服务,以及其下的第一段应为“IAM用户访问AWS网站”。有一个用于激活它的按钮,以及两个复选框 - 一个用于帐户活动,一个用于使用报告。选择那些,然后激活IAM,策略应该生效。