Amazon web services AWS根帐户是唯一能够查看使用情况和账单的帐户吗?
我创建了一个组:billing和一个用户:billing。我已为该组分配了以下策略:Amazon web services AWS根帐户是唯一能够查看使用情况和账单的帐户吗?,amazon-web-services,amazon-iam,Amazon Web Services,Amazon Iam,我创建了一个组:billing和一个用户:billing。我已为该组分配了以下策略: AWSAccountActivityAccess-Billing - Allow * AWSAccountUsageReportAccess-Billing - Allow * 但是,当我从aws.amazon.com的主登录下拉列表中登录到“计费和成本管理”菜单时,它将允许我与“计费”用户一起登录,但没有任何内容可供查看:“未授权等…” 那么,我是否认为只有根用户才能查看使用情况和账单?这会很奇怪,也不符合
AWSAccountActivityAccess-Billing - Allow *
AWSAccountUsageReportAccess-Billing - Allow *
但是,当我从aws.amazon.com的主登录下拉列表中登录到“计费和成本管理”菜单时,它将允许我与“计费”用户一起登录,但没有任何内容可供查看:“未授权等…”
那么,我是否认为只有根用户才能查看使用情况和账单?这会很奇怪,也不符合不要将根用于任何事情的建议。为此,是否有可能真正“禁用”Root的使用。听起来很疯狂,怎么做呢。。有点像鸡和蛋。我使用过的一些基础设施提供商只允许通过公证人中间人(负责复印护照照片ID等)访问某些顶级内容(如删除帐户或更改根密码等)。如果询问AWS是否达到这种程度?如果根目录被破坏了,我不希望只需点击鼠标就可以删除基础设施。您可以通过以下步骤让IAM用户访问计费信息:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
]
}
这将允许IAM用户访问计费信息。您不希望将根帐户用于太多操作的假设是正确的。锁定根帐户并通过IAM管理用户访问权限。您可以通过以下步骤为IAM用户提供对账单信息的访问权限:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
]
}
这将允许IAM用户访问计费信息。您不希望将根帐户用于太多操作的假设是正确的。锁定根帐户并通过IAM管理用户访问。有两种策略允许查看计费和使用信息,这两种策略都作为模板提供: 计费-“AWS帐户活动访问”: 用法-“AWS帐户使用情况报告访问”:
这些必须由root用户打开才能生效。要执行此操作,请使用root凭据登录,然后从单击姓名时出现的菜单中转到“我的帐户”。滚动浏览您已注册的所有服务、尚未注册的服务,其下的第一段应为“IAM用户访问AWS网站”。有一个按钮可以激活它,还有两个复选框-一个用于帐户活动,一个用于使用情况报告。选择这些,然后激活IAM,策略将生效。有两种策略允许查看计费和使用信息,这两种策略都作为模板提供: 计费-“AWS帐户活动访问”: 用法-“AWS帐户使用情况报告访问”:
这些必须由root用户打开才能生效。要执行此操作,请使用root凭据登录,然后从单击姓名时出现的菜单中转到“我的帐户”。滚动浏览您已注册的所有服务、尚未注册的服务,其下的第一段应为“IAM用户访问AWS网站”。有一个按钮可以激活它,还有两个复选框-一个用于帐户活动,一个用于使用情况报告。选择这些,然后激活IAM,策略将生效。谢谢,当您说“必须由root用户打开才能生效…”时,您的意思是root用户需要打开权限还是只将权限分配给用户/组?我已经使用Root将这两个perm分配给“计费”用户,但仍然不让我查看使用情况报告等。更新了答案。启用IAM时必须打开它们。谢谢,当您说“它们必须由root用户打开才能生效…”时,您的意思是root用户需要打开权限还是只将权限分配给用户/组?我已经使用Root将这两个perm分配给“计费”用户,但仍然不让我查看使用情况报告等。更新了答案。当您启用IAM时,您必须打开它们。看起来这是可行的-我知道前一段时间您必须显式添加aws门户策略。看起来这是可行的-我知道前一段时间您必须显式添加aws门户策略。
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewUsage"
],
"Resource": "*"
}
]
}