Stay up to date with the latest from the Knowledge Center. See all new and updated Knowledge Center articles published in the last month and re:Post’s top contributors.
如何解决账单与成本管理控制台的 IAM 权限问题?
我想解决有关访问我 AWS 账户账单信息的 AWS Identity and Access Management (IAM) 用户或组的权限问题。
解决方法
如果您的 IAM 用户或组在尝试访问 AWS 账单与成本管理控制台时遇到权限问题,请确认以下内容:
- AWS 账户根用户委派了账单信息的访问权限。
- IAM 实体拥有所需的 IAM 策略,允许其访问账单与成本管理控制台。
- AWS Organizations 成员账户没有阻止 IAM 实体或根用户访问的服务控制策略 (SCP)。
- 多重身份验证 (MFA) 设备配置为始终允许身份验证。
- 附加到 IAM 实体的权限边界允许访问账单与成本管理控制台。
授予 IAM 实体访问账单与成本管理控制台的权限
完成以下步骤:
- 使用您的 AWS 账户根用户凭证登录 AWS 管理控制台。
**重要事项:**最佳做法是仅使用 root 用户来执行需要根用户凭证的任务。 - 在导航窗格中,选择您的账户名称,然后选择 Account ID(账户 ID)。
- 在 IAM user and Role Access to Billing Information(IAM 用户和角色对账单信息的访问权限)旁边,选择 Edit(编辑)。
- 选择 Activate IAM Access(激活 IAM 访问权限)。
**注意:**默认情况下,此设置处于禁用状态。有关详细信息,请参阅授予对账单信息和工具的访问权限。 - 选择 Update(更新)。
- 打开 IAM 控制台,然后将 AWS 托管权限附加到 IAM 实体。
**注意:**IAM 实体必须附加至少一个 IAM 策略。有关账单与成本管理控制台策略示例,请参阅 AWS 账单中基于身份的策略。您也可以使用 AWSBillingReadOnlyAccess 或 Billing(账单)等 AWS 托管策略。
检查 IAM 实体是否未被拒绝访问账单与成本管理控制台
如果您仍然遇到权限问题,则可能会将拒绝访问账单与成本管理控制台的策略附加到 IAM 实体。
使用 IAM policy simulator 识别阻止访问账单与成本管理控制台的策略。检查所有适用的策略,以确定它们是否拒绝访问账单与成本管理控制台。
限制访问特定 AWS 区域的 IAM 策略或 SCP 附加到 IAM 实体
账单服务是全球性的,在账单与成本管理控制台中执行的所有操作都记录在 us-east-1 区域。如果 IAM 策略或 SCP 拒绝访问特定区域,请修改该策略以免除所需的特定账单权限。有关详细信息,请参阅 AWS: 根据请求的区域拒绝访问 AWS。
IAM 策略或 SCP 包含 Deny(拒绝)效果,并且仅在 IAM 实体通过 MFA 身份验证时才允许访问服务
如果您使用 AWS 多重身份验证 (MFA),则需要进行额外配置才能访问账单与成本管理控制台。您必须配置 MFA 设备,以便始终使用 MFA 令牌进行身份验证。
IAM 实体附加了权限边界,不允许访问账单与成本管理控制台
如果将权限边界配置为阻止此权限,则您的 IAM 实体无法访问账单与成本管理控制台。您的权限边界必须有策略语句,对所需的账单与成本管理控制台权限具有 Allow(允许)效果。
相关信息
相关内容
AWS 官方已更新 2 年前- AWS 官方已更新 3 年前
- AWS 官方已更新 2 个月前
- AWS 官方已更新 3 年前
