我想進行疑難排解的問題,是關於 AWS Identity and Access Management (AWS IAM) 使用者或群組對我帳戶帳單資訊的存取。
解決方法
如果 IAM 使用者在存取 AWS 帳單與成本管理主控台時遇到權限問題,請確認以下事項:
- 根使用者已將帳單資訊的存取權委派給 IAM 實體 (使用者或角色)。
- IAM 實體具有允許其存取權的必要 IAM 政策。
授予 IAM 實體可以存取帳單與成本管理主控台的權限
首先,若要允許使用者和角色存取帳單與成本管理主控台,請執行下列作業:
- 使用您的 AWS 帳戶根使用者憑證登入 AWS 管理主控台。
- 在導覽列中,選擇您的帳戶名稱,然後選擇帳戶。
- 在 IAM 使用者與角色對帳單資訊的存取權旁邊,選擇編輯。
- 選取啟用 IAM Access 核取方塊,以啟用帳單與成本管理主控台頁面的存取權。
**注意:**由於此設定預設為停用,因此根使用者必須手動啟動它。如需啟用此設定的詳細資訊,請參閱授予帳單資訊與工具的存取權。
- 選擇更新。
然後,請確定您已將必要的權限新增至 IAM 實體,以存取帳單與成本管理主控台。
以下是所需的最低權限:
- aws-portal:ViewBilling - 檢視「帳單與成本管理」主控台頁面時需要此權限。
- aws-portal:ModifyBilling - 在「帳單與成本管理」主控台頁面中執行修改需要此權限。
IAM 實體必須至少附加一個 IAM 政策。如需帳單與成本管理主控台政策的範例,請參閱針對 AWS 帳單使用身分型政策 (IAM 政策)。您也可以使用 AWS 管理政策,例如 AWSBillingReadOnlyAccess 或 Billing。
檢查 IAM 實體未拒絕存取帳單與成本管理主控台
如果您仍然遇到 AccessDenied 問題,則您可能附加了拒絕存取帳單與成本管理主控台的政策。
使用 IAM 政策模擬器來識別阻止存取帳單與成本管理主控台的政策。查看所有適用政策 (IAM 政策、權限界限和 SCP),以尋找專門拒絕存取帳單與成本管理主控台的政策。
常見問題
- **IAM 實體會強制執行限制存取特定 AWS 區域的 SCP/IAM 政策。**帳單服務是全球性的,在帳單與成本管理主控台中執行的所有動作都會記錄在 us-east-1 區域中。如果您的 IAM/SCP 政策拒絕您存取特定區域,請加以修改以免除所需的特定帳單權限。如需詳細資訊,請參閱 AWS: 根據要求的區域拒絕存取 AWS。
- 系統會強制執行具有拒絕效果的 SCP/IAM 政策,並且只有在 IAM 實體通過 MFA 驗證時才允許存取服務。您的 MFA 裝置必須設定為始終使用 MFA Token 進行驗證,才能存取帳單與成本管理主控台。
- IAM 實體具有附加的許可界限,不允許存取帳單與成本管理主控台。如果設定了禁止此權限的許可界限,您的 IAM 實體將無法存取帳單主控台。您的許可界限必須擁有具有允許效果的政策聲明,才能取得您需要的「帳單與成本管理」主控台權限。
相關資訊
管理存取權限概觀
IAM 指導教學: 委派帳單主控台的存取權