我想解决有关访问我账户账单信息的 AWS Identity and Access Management(IAM)用户或群组的问题。
解决方法
如果您的 IAM 用户在访问 AWS 账单和成本管理控制台时遇到权限问题,请确认以下事项:
- 根用户已委托 IAM 实体(用户或角色)访问账单信息。
- IAM 实体拥有允许他们访问的必需 IAM 策略。
授予 IAM 实体访问账单和成本管理控制台的权限
首先,要允许用户和角色访问账单和成本管理控制台,请执行以下操作:
- 使用您的 AWS 账户根用户凭证登录 AWS 管理控制台。
- 在导航栏中,选择您的账户名称,然后选择账户。
- 在 IAM 用户和角色对账单信息的访问权限旁边,选择编辑。
- 选中激活 IAM 访问权限复选框,以激活账单和成本管理控制台页面的访问权限。
**注意:**由于此设置在默认情况下处于禁用状态,因此根用户必须手动将其激活。有关激活此设置的更多信息,请参阅授予对账单信息和工具的访问权限。
- 选择更新。
然后,确保您已向 IAM 实体添加了访问账单和成本管理控制台所需的权限。
以下是所需的最低权限:
- aws-portal:ViewBilling - 需要此权限才能查看账单和成本管理控制台页面。
- aws-portal:ModifyBilling - 需要此权限才能在账单和成本管理控制台页面中进行修改。
IAM 实体必须附加至少一个 IAM policy。有关账单和成本管理控制台策略的示例,请参阅对 AWS 账单使用基于身份的策略(IAM policy)。也可以使用 AWSBillingReadOnlyAccess 或 Billing 等 AWS 托管策略。
检查 IAM 实体是否可以访问账单和成本管理控制台
如果您仍然遇到 AccessDenied 问题,则可能附加了拒绝访问账单和成本管理控制台的策略。
使用 IAM policy simulator 来识别阻止访问账单和成本管理控制台的策略。查看所有适用的策略(IAM policy、权限边界和 SCP),查看专门拒绝访问账单和成本管理控制台的策略。
常见问题
- **在 IAM 实体上强制执行限制访问特定 AWS 区域的 SCP/IAM policy。**计费服务是全球性的,在账单和成本管理控制台中执行的所有操作都记录在 us-east-1 区域。如果您的 IAM/SCP policy 拒绝您访问特定区域,请对其进行修改以豁免所需的特定账单权限。有关详细信息,请参阅 AWS: 根据请求的区域拒绝访问 AWS。
- 强制执行具有拒绝效果的 SCP/IAM policy,并且仅在 IAM 实体通过 MFA 身份验证时才允许访问服务。必须对您的 MFA 设备进行配置,以便您始终使用 MFA 令牌进行身份验证,才能访问账单和成本管理控制台。
- IAM 实体附加了权限边界,不允许访问账单和成本管理控制台。如果配置了阻止此权限的权限边界,则您的 IAM 实体将无法访问账单控制台。您的权限边界必须具有对所需的账单和成本管理控制台权限具有允许效果的策略声明。
相关信息
管理访问权限概述
IAM 教程: 委派账单控制台访问权限