Comment résoudre les erreurs d'accès refusé liées à la console Billing and Cost Management ?

Date de la dernière mise à jour : 06/04/2022

Je souhaite accorder à des utilisateurs ou à des groupes AWS Identity and Access Management (IAM) les autorisations nécessaires pour accéder aux informations de facturation de mon compte. Cependant, ils rencontrent toujours des problèmes d'autorisation malgré les mesures nécessaires. Comment résoudre ce problème ?

Brève description

Les utilisateurs IAM peuvent rencontrer des problèmes d'autorisation lors de l'accès à la console AWS Billing and Cost Management si l'utilisateur racine n'a pas délégué à l'entité IAM (utilisateur ou rôle) l'accès aux informations de facturation. Cela se produit également si l'entité IAM ne dispose pas des politiques IAM requises pour lui donner l'accès.

Solution

Accordez à l'entité IAM les autorisations pour accéder à la console Billing and Cost Management

1.    Activez le paramètre Accès des utilisateurs et des rôles IAM aux informations de facturation dans la console Billing and Cost Management. Si vous n'avez pas activé ce paramètre, vos utilisateurs et rôles IAM ne peuvent pas accéder à la console Billing and Cost Management, même s'ils disposent des autorisations d'administrateur et des politiques IAM requises en place. Ce paramètre étant désactivé par défaut, il doit être activé manuellement par l'utilisateur root. Pour plus d'informations sur l'activation de ce paramètre, consultez Accorder l'accès à vos informations et outils de facturation.

2.    Assurez-vous que vous disposez des autorisations requises associées à votre entité IAM pour accéder à la console Billing and Cost Management. Les autorisations minimales requises sont les suivantes :

  • aws-portal:ViewBilling – Cette autorisation est requise pour afficher les pages de la console Billing and Cost Management.
  • aws-portal:ModifyBilling – Cette autorisation est requise pour effectuer des modifications dans les pages de la console Billing and Cost Management.

Au moins une politique IAM est attachée à l'entité IAM. Pour des exemples de politiques de console Billing and Cost Management, consultez Utilisation des politiques basées sur une identité (politiques IAM) pour AWS Billing. Les politiques gérées par AWS telles que AWSBillingReadOnlyAccess ou Billing peuvent également être utilisées.

Vérifier que l'accès à la console Billing and Cost Management n'est pas refusé à l'entité IAM

Si vous suivez ces bonnes pratiques et que vous rencontrez toujours un problème AccessDenied, il est possible qu'une politique attachée refuse l'accès à la console Billing and Cost Management. Vérifiez toutes les politiques applicables (politiques IAM, limites d'autorisations, SCP) pour vous assurer qu'elles ne provoquent pas de refus explicite pour l'accès à la console Billing and Cost Management.

Vous pouvez également utiliser le simulateur de politique IAM pour identifier la politique qui empêche l'accès à la console Billing and Cost Management.

Problèmes courants

  • Une politique SCP/IAM qui restreint l'accès à des régions spécifiques est appliquée à l'entité IAM. Les services de facturation sont mondiaux et toutes les actions effectuées dans la console Billing and Cost Management sont enregistrées dans la région us-east-1. Si une politique IAM/SCP vous refuse l'accès à des régions spécifiques, modifiez-la pour exempter les autorisations de facturation spécifiques requises. Pour plus d'informations, consultez la section AWS : Refuser l'accès à AWS en fonction de la région AWS demandée.
  • Une politique SCP/IAM avec un effet de refus est appliquée et autorise l'accès aux services uniquement lorsque l'entité IAM est authentifiée MFA. Votre dispositif MFA doit être configuré de manière à ce que vous soyez toujours authentifié avec un jeton MFA pour avoir accès à la console Billing and Cost Management.
  • L'entité IAM possède une limite d'autorisations attachée qui n'autorise pas l'accès à la console Billing and Cost Management. Malgré la mise en place des politiques IAM requises, votre entité IAM ne peut pas accéder à la console de facturation si une limite d'autorisations est configurée pour empêcher cette autorisation. Votre limite d'autorisations doit comporter une déclaration de politique avec un effet Allow pour les autorisations de console Billing and Cost Management dont vous avez besoin.

Cet article vous a-t-il été utile ?


Avez-vous besoin d'aide pour une question technique ou de facturation ?