Como posso solucionar erros de acesso negado relacionados ao console de Gerenciamento de faturamento e custos?

4 minuto de leitura
0

Quero solucionar problemas com usuários ou grupos do AWS Identity and Access Management (IAM) que acessam as informações de cobrança da minha conta.

Resolução

Se seus usuários do IAM encontrarem problemas de permissão ao acessar o console do Gerenciamento de Faturamento e Custos da AWS, confirme o seguinte:

  • O usuário raiz delegou à entidade (usuário ou perfil) do IAM o acesso às informações de faturamento.
  • A entidade do IAM tem as políticas de IAM necessárias para permitir o acesso.

Conceda à entidade do IAM permissões para acessar o console de Gerenciamento de Faturamento e Custos

Primeiro, para permitir que usuários e perfis acessem o console de Gerenciamento de Custos e Faturamento, faça o seguinte:

  1. Faça login no Console de Gerenciamento da AWS com suas credenciais de usuário raiz da conta da AWS.
  2. Na barra de navegação, escolha o nome da sua conta e, em seguida, escolha Account (Conta).
  3. Ao lado de Usuário do IAM e Acesso de função a Informações de faturamento, escolha Editar.
  4. Marque a caixa de seleção Activate IAM Access para ativar o acesso às páginas do console Gerenciamento de Custo e Faturamento.
    Observação: como essa configuração está desativada por padrão, o usuário raiz deve ativá-la manualmente. Para mais informações sobre como ativar essa configuração, consulte Granting access to your billing information and tools (Conceder acesso às suas informações e ferramentas de cobrança).
  5. Escolha Update (Atualizar).

Em seguida, certifique-se de ter adicionado as permissões necessárias à sua entidade do IAM para acessar o Console de gerenciamento de faturamento e custos.

A seguir estão as permissões mínimas necessárias:

  • aws-portal:ViewBilling: essa permissão é necessária para visualizar as páginas do Console de gerenciamento de faturamento e custos.
  • aws-portal:ModifyBilling: essa permissão é necessária para realizar modificações nas páginas do console de Gerenciamento de faturamento e custos.

A entidade do IAM deve ter pelo menos uma política do IAM anexada. Para obter exemplos de políticas de console de Gerenciamento de faturamento e custos, consulte Using identity-based policies (IAM policies) for AWS Billing (Usar políticas baseadas em identidade (políticas do IAM) para o faturamento da AWS). Políticas gerenciadas pela AWS, como AWSBillingReadOnlyAccess or Billing também podem ser usadas.

Verifique se o acesso à entidade do IAM não foi negado ao console de Gerenciamento de faturamento e custos

Se você ainda encontrar um problema de AccessDenied, talvez tenha uma política anexada que negue o acesso ao console de Gerenciamento de faturamento e custos.

Use o simulador de políticas do IAM para identificar a política que está impedindo o acesso ao Console de gerenciamento de faturamento e custos. Verifique todas as políticas aplicáveis (políticas do IAM, limite de permissões e SCP) para ver se há políticas que negam especificamente o acesso ao console de Gerenciamento de faturamento e custos.

Problemas comuns

  • Uma política de SCP/IAM que restringe o acesso a regiões da AWS específicas é aplicada à entidade do IAM. Os serviços de cobrança são globais, e todas as ações realizadas no console de Gerenciamento de faturamento e custos são registradas na região us-east-1. Se você tiver uma política do IAM/SCP que nega o acesso a regiões específicas, modifique-a para isentar as permissões de cobrança específicas necessárias. Para mais informações, consulte AWS: Nega o acesso à AWS com base na região solicitada.
  • Uma política de SCP/IAM com efeito de negação é aplicada e permite acesso aos serviços somente quando a entidade IAM é autenticada pela MFA. Seu dispositivo de MFA deve estar configurado para que você esteja sempre autenticado com um token de MFA para ter acesso ao console de Gerenciamento de faturamento e custos.
  • **A entidade do IAM tem um limite de permissões anexado que não permite acesso ao console de Gerenciamento de faturamento e .**Sua entidade do IAM não poderá acessar o console de faturamento se houver um limite de permissões configurado que impeça essa permissão. Seu limite de permissões deve ter uma declaração de política com um efeito Permitir para as permissões necessárias do Console de gerenciamento de faturamento e custos.

Informações relacionadas

Visão geral do gerenciamento de permissões de acesso

Tutorial do IAM: Delegar acesso ao console de cobrança

AWS OFICIAL
AWS OFICIALAtualizada há um ano