Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Sicherheit in AWS Billing Conductor
<a name="security"></a>

Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.

Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, die für AWS Billing Conductor gelten, finden Sie unter [AWS Services im Umfang nach Compliance-Programm AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften. 

Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung von AWS Billing Conductor anwenden können. In den folgenden Themen erfahren Sie, wie Sie AWS Billing Conductor so konfigurieren, dass Sie Ihre Sicherheits- und Compliance-Ziele erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, die Ihnen helfen, Ihre AWS Billing Conductor-Ressourcen zu überwachen und zu schützen. 

**Topics**
+ [Datenschutz in AWS Billing Conductor](data-protection.md)
+ [Identitäts- und Zugriffsmanagement für AWS Billing Conductor](security-iam.md)
+ [Protokollierung und Überwachung in AWS Billing Conductor](billing-security-logging.md)
+ [Überprüfung der Einhaltung der Vorschriften für AWS Billing Conductor](Billing-compliance.md)
+ [Ausfallsicherheit bei AWS Billing Conductor](disaster-recovery-resiliency.md)
+ [Sicherheit der Infrastruktur in AWS Billing Conductor](infrastructure-security.md)

# Datenschutz in AWS Billing Conductor
<a name="data-protection"></a>

Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) gilt für den Datenschutz in AWS Billing Conductor. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.

Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit AWS Billing Conductor oder anderen AWS-Services über die Konsole, API oder arbeiten. AWS CLI AWS SDKs Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.

# Identitäts- und Zugriffsmanagement für AWS Billing Conductor
<a name="security-iam"></a>

AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu AWS kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um die Ressourcen von Billing Conductor zu nutzen. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.

**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [Wie AWS Billing Conductor funktioniert mit IAM](security_iam_service-with-iam.md)
+ [AWS Billing Conductor Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)

## Zielgruppe
<a name="security_iam_audience"></a>

Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Problembehandlung bei AWS Billing Conductor Identität und Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [Wie AWS Billing Conductor funktioniert mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [AWS Billing Conductor Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)).

## Authentifizierung mit Identitäten
<a name="security_iam_authentication"></a>

Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos

Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.

 AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.

### Root-Benutzer des AWS-Kontos
<a name="security_iam_authentication-rootuser"></a>

 Wenn Sie eine erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem so genannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle Ressourcen hat. AWS-Services Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*. 

### IAM-Benutzer und -Gruppen
<a name="security_iam_authentication-iamuser"></a>

Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) verwenden müssen.

Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.

### IAM-Rollen
<a name="security_iam_authentication-iamrole"></a>

Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.

IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.

## Verwalten des Zugriffs mit Richtlinien
<a name="security_iam_access-manage"></a>

Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.

Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.

Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.

### Identitätsbasierte Richtlinien
<a name="security_iam_access-manage-id-based-policies"></a>

Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.

Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.

### Ressourcenbasierte Richtlinien
<a name="security_iam_access-manage-resource-based-policies"></a>

Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).

Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.

### Zugriffskontrolllisten () ACLs
<a name="security_iam_access-manage-acl"></a>

Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.

Amazon S3 und Amazon VPC sind Beispiele für Dienste, die Unterstützung ACLs bieten. AWS WAF Weitere Informationen finden Sie unter [Übersicht über ACLs die Zugriffskontrollliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service Developer Guide*.

### Weitere Richtlinientypen
<a name="security_iam_access-manage-other-policies"></a>

AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.

### Mehrere Richtlinientypen
<a name="security_iam_access-manage-multiple-policies"></a>

Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die sich daraus ergebenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.

# Wie AWS Billing Conductor funktioniert mit IAM
<a name="security_iam_service-with-iam"></a>

Bevor Sie IAM verwenden, um den Zugriff auf Billing Conductor zu verwalten, sollten Sie wissen, welche IAM-Funktionen für Billing Conductor verfügbar sind. *Einen allgemeinen Überblick darüber, wie Billing Conductor und andere AWS Dienste mit IAM funktionieren, finden Sie im [AWS IAM-Benutzerhandbuch unter Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*

**Topics**
+ [Identitätsbasierte Richtlinien von Billing Conductor](#security_iam_service-with-iam-id-based-policies)
+ [Ressourcenbasierte Richtlinien von Billing Conductor](#security_iam_service-with-iam-resource-based-policies)
+ [Zugriffskontrolllisten () ACLs](#security_iam_service-with-iam-acls)
+ [Autorisierung auf der Grundlage von Billing Conductor-Tags](#security_iam_service-with-iam-tags)
+ [IAM-Rollen für Billing Conductor](#security_iam_service-with-iam-roles)

## Identitätsbasierte Richtlinien von Billing Conductor
<a name="security_iam_service-with-iam-id-based-policies"></a>

Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Billing Conductor unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.

### Aktionen
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.

Für Richtlinienaktionen in Billing Conductor wird vor der Aktion das folgende Präfix verwendet:`Billing Conductor:`. Um einem Benutzer beispielsweise die Berechtigung zum Ausführen einer Amazon-EC2-Instance mit der Amazon-EC2-`RunInstances`-API-Operation zu erteilen, fügen Sie die Aktion `ec2:RunInstances` in seine Richtlinie ein. Richtlinienanweisungen müssen entweder ein – `Action`oder ein `NotAction`-Element enthalten. Billing Conductor definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Dienst ausführen können.

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:

```
"Action": [
      "ec2:action1",
      "ec2:action2"
```

Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:

```
"Action": "ec2:Describe*"
```



Eine Liste der Billing [Conductor-Aktionen finden Sie im *IAM-Benutzerhandbuch* unter Von AWS Billing Conductor definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsbillingconductor.html#awsbillingconductor-actions-as-permissions).

### Ressourcen
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.

```
"Resource": "*"
```



Die Amazon EC2 EC2-Instance-Ressource hat den folgenden ARN:

```
arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}
```

Weitere Informationen zum Format von ARNs finden Sie unter [Amazon Resource Names (ARNs) und AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).

Wenn Sie beispielsweise die `i-1234567890abcdef0`-Instance in Ihrer Anweisung angeben möchten, verwenden Sie den folgenden ARN:

```
"Resource": "arn:aws:ec2:us-east-1:123456789012:instance/i-1234567890abcdef0"
```

Um alle Instances anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (\$1):

```
"Resource": "arn:aws:ec2:us-east-1:123456789012:instance/*"
```

Einige Aktionen von Billing Conductor, z. B. zum Erstellen von Ressourcen, können nicht für eine bestimmte Ressource ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (\$1) verwenden.

```
"Resource": "*"
```

Viele Amazon EC2-API-Aktionen umfassen mehrere Ressourcen. Zum Beispiel wird mit `AttachVolume` einer Instance ein Amazon EBS-Volume angefügt, sodass der IAM-Benutzer über Berechtigungen zur Verwendung des Volumes und der Instance verfügen muss. Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie ARNs durch Kommas. 

```
"Resource": [
      "resource1",
      "resource2"
```

Eine Liste der Billing Conductor-Ressourcentypen und der zugehörigen ARNs Ressourcentypen finden Sie unter [Von AWS Billing Conductor definierte Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsbillingconductor.html#awsbillingconductor-resources-for-iam-policies) im *IAM-Benutzerhandbuch*. Informationen darüber, mit welchen Aktionen Sie den ARN jeder Ressource angeben können, finden Sie unter [Von AWS Billing Conductor definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsbillingconductor.html#awsbillingconductor-actions-as-permissions).

### Bedingungsschlüssel
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.

Billing Conductor definiert seinen eigenen Satz von Bedingungsschlüsseln und unterstützt auch die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [AWS Globale Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.



 Alle Amazon EC2-Aktionen unterstützen die Bedingungsschlüssel `aws:RequestedRegion` und `ec2:Region`. Weitere Informationen finden Sie unter [Beispiel: Einschränken des Zugriffs auf eine bestimmte Region](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region). 

Eine Liste der Bedingungsschlüssel von Billing Conductor finden Sie unter [Condition Keys for AWS Billing Conductor](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsbillingconductor.html#awsbillingconductor-policy-keys) im *IAM-Benutzerhandbuch*. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von AWS Billing Conductor definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsbillingconductor.html#awsbillingconductor-actions-as-permissions).

### Beispiele
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



Beispiele für identitätsbasierte Richtlinien von Billing Conductor finden Sie unter. [AWS Billing Conductor Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)

## Ressourcenbasierte Richtlinien von Billing Conductor
<a name="security_iam_service-with-iam-resource-based-policies"></a>

Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die angeben, welche Aktionen ein bestimmter Principal auf der Billing Conductor-Ressource ausführen kann und unter welchen Bedingungen. Amazon S3 unterstützt ressourcenbasierte Berechtigungsrichtlinien für Amazon S3. *buckets* Ressourcenbasierte Richtlinien ermöglichen die Erteilung von Nutzungsberechtigungen für andere -Konten pro Ressource. Sie können auch eine ressourcenbasierte Richtlinie verwenden, um einem AWS Service den Zugriff auf Ihr Amazon S3 zu ermöglichen. *buckets*

Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als [Prinzipal in einer ressourcenbasierten Richtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) angeben. Durch das Hinzufügen eines kontoübergreifenden Auftraggebers zu einer ressourcenbasierten Richtlinie ist nur die halbe Vertrauensbeziehung eingerichtet. Wenn sich der Principal und die Ressource in unterschiedlichen AWS Konten befinden, müssen Sie der Prinzipaleinheit auch die Erlaubnis erteilen, auf die Ressource zuzugreifen. Sie erteilen Berechtigungen, indem Sie der Entität eine identitätsbasierte Richtlinie anfügen. Wenn jedoch eine ressourcenbasierte Richtlinie Zugriff auf einen Prinzipal in demselben Konto gewährt, ist keine zusätzliche identitätsbasierte Richtlinie erforderlich. Weitere Informationen finden Sie unter [Wie sich IAM-Rollen von ressourcenbasierten Richtlinien unterscheiden](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) im *IAM-Benutzerhandbuch*.

*Der Amazon S3 S3-Service unterstützt nur eine Art von ressourcenbasierter Richtlinie, die als Richtlinie bezeichnet wird und an eine *bucket* angehängt ist.* *bucket* Diese Richtlinie definiert, welche Hauptentitäten (Konten, Benutzer, Rollen und Verbundbenutzer) Aktionen für die ausführen können. *Billing Conductor*

### Beispiele
<a name="security_iam_service-with-iam-resource-based-policies-examples"></a>



Beispiele für ressourcenbasierte Richtlinien von Billing Conductor finden Sie unter [AWS Billing Conductor Beispiele für ressourcenbasierte Richtlinien](security_iam_resource-based-policy-examples.md)

## Zugriffskontrolllisten () ACLs
<a name="security_iam_service-with-iam-acls"></a>

Zugriffskontrolllisten (ACLs) sind Listen von Empfängern, die Sie Ressourcen zuordnen können. Sie erteilen Konten Berechtigungen für den Zugriff auf die Ressource, auf die sie sich beziehen. Sie können eine Verbindung ACLs zu einer Amazon S3 *bucket* S3-Ressource herstellen.

Mit Amazon S3 S3-Zugriffskontrolllisten (ACLs) können Sie den Zugriff auf *bucket* Ressourcen verwalten. Jedem *bucket* ist eine ACL als Unterressource angehängt. Sie definiert, welchen AWS Konten, IAM-Benutzern oder Benutzergruppen oder IAM-Rollen Zugriff gewährt wird und welche Art von Zugriff gewährt wird. Wenn eine Anfrage für eine Ressource eingeht, AWS überprüft die entsprechende ACL, ob der Anforderer über die erforderlichen Zugriffsberechtigungen verfügt.

Wenn Sie eine *bucket* Ressource erstellen, erstellt Amazon S3 eine Standard-ACL, die dem Eigentümer der Ressource die volle Kontrolle über die Ressource gewährt. In der folgenden *bucket* Beispiel-ACL wird John Doe als Eigentümer von aufgeführt *bucket* und erhält die volle Kontrolle darüber*bucket*. Eine ACL kann bis zu 100 Empfänger haben.

```
<?xml version="1.0" encoding="UTF-8"?>
<AccessControlPolicy xmlns="http://Billing Conductor.amazonaws.com/doc/2006-03-01/">
  <Owner>
    <ID>c1daexampleaaf850ea79cf0430f33d72579fd1611c97f7ded193374c0b163b6</ID>
    <DisplayName>john-doe</DisplayName>
  </Owner>
  <AccessControlList>
    <Grant>
      <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
               xsi:type="Canonical User">
        <ID>c1daexampleaaf850ea79cf0430f33d72579fd1611c97f7ded193374c0b163b6</ID>
        <DisplayName>john-doe</DisplayName>
      </Grantee>
      <Permission>FULL_CONTROL</Permission>
    </Grant>
  </AccessControlList>
</AccessControlPolicy>
```

Das ID-Feld in der ACL ist die kanonische Benutzer-ID des AWS Kontos. Informationen zum Anzeigen dieser ID in einem Konto, das Ihnen gehört, [finden Sie unter Suchen einer kanonischen Benutzer-ID für ein AWS Konto](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId). 

## Autorisierung auf der Grundlage von Billing Conductor-Tags
<a name="security_iam_service-with-iam-tags"></a>

Sie können Tags an Billing Conductor-Ressourcen anhängen oder Tags in einer Anfrage an Billing Conductor weitergeben. Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `Billing Conductor:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.

## IAM-Rollen für Billing Conductor
<a name="security_iam_service-with-iam-roles"></a>

Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität in Ihrem AWS Konto, die über bestimmte Berechtigungen verfügt.

### Verwendung temporärer Anmeldeinformationen mit Billing Conductor
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder aufrufen [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html). 

Billing Conductor unterstützt die Verwendung temporärer Anmeldeinformationen. 

### Service-verknüpfte Rollen
<a name="security_iam_service-with-iam-roles-service-linked"></a>

Mit [dienstbezogenen Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) können AWS Dienste auf Ressourcen in anderen Diensten zugreifen, um eine Aktion in Ihrem Namen auszuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.

### Servicerollen
<a name="security_iam_service-with-iam-roles-service"></a>

Dieses Feature ermöglicht einem Service das Annehmen einer [Servicerolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Dies bedeutet, dass ein IAM-Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.

Billing Conductor unterstützt Servicerollen. 

### Auswahl einer IAM-Rolle in Billing Conductor
<a name="security_iam_service-with-iam-roles-choose"></a>

Wenn Sie eine Ressource in Billing Conductor erstellen, müssen Sie eine Rolle auswählen, damit Billing Conductor in Ihrem Namen auf Amazon EC2 zugreifen kann. Wenn Sie zuvor eine Servicerolle oder eine serviceverknüpfte Rolle erstellt haben, stellt Ihnen Billing Conductor eine Liste von Rollen zur Auswahl zur Verfügung. Es ist wichtig, eine Rolle zu wählen, die Zugriff zum Starten und Stoppen von Amazon-EC2-Instances ermöglicht.

# AWS Billing Conductor Beispiele für identitätsbasierte Richtlinien
<a name="security_iam_id-based-policy-examples"></a>

Standardmäßig sind IAM-Benutzer und -Rollen nicht berechtigt, Billing Conductor-Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mit der AWS-Managementkonsole AWS CLI, oder AWS API ausführen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den IAM-Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.

Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von Richtlinien auf der JSON-Registerkarte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.

**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Beispiele für identitätsbasierte Richtlinien von Billing Conductor](#security_policy-examples)
+ [AWS verwaltete Richtlinien für AWS Billing Conductor](security-iam-awsmanpol.md)
+ [AWS Billing Conductor Beispiele für ressourcenbasierte Richtlinien](security_iam_resource-based-policy-examples.md)
+ [Problembehandlung bei AWS Billing Conductor Identität und Zugriff](security_iam_troubleshoot.md)

## Best Practices für Richtlinien
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Identitätsbasierte Richtlinien legen fest, ob jemand Billing Conductor-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.

Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.

## Beispiele für identitätsbasierte Richtlinien von Billing Conductor
<a name="security_policy-examples"></a>

Dieses Thema enthält Beispielrichtlinien, die Sie Ihrem IAM-Benutzer oder Ihrer IAM-Gruppe zuordnen können, um den Zugriff auf die Informationen und Tools Ihres Kontos zu kontrollieren.

**Topics**
+ [Vollzugriff auf die Billing Conductor-Konsole gewähren](#security_iam_id-based-policy-examples-console)
+ [Vollzugriff auf die Billing Conductor-API gewähren](#security_iam_id-based-policy-examples-fullAPI)
+ [Gewähren Sie schreibgeschützten Zugriff auf die Billing Conductor-Konsole](#security_iam_id-based-policy-examples-readonly)
+ [Billing Conductor Zugriff über die Billing Console gewähren](#security_iam_id-based-policy-examples-ABCthroughbilling)
+ [Billing Conductor Zugriff über AWS Kosten- und Nutzungsberichte gewähren](#security_iam_id-based-policy-examples-ABCthroughCUR)
+ [Billing Conductor Zugriff auf die Funktion zum Importieren von Organisationseinheiten gewähren](#security_iam_id-based-policy-examples-ABCaccessOU)
+ [Verweigern des Zugriffs auf Dienste und Funktionen für Billing und Cost Explorer, die keine Pro-forma-Kosten unterstützen](#deny-access-proforma-costs)
+ [Erstellung einer Pro-forma-CUR nach Abrechnungsgruppe](#allow-legacy-cur)

### Vollzugriff auf die Billing Conductor-Konsole gewähren
<a name="security_iam_id-based-policy-examples-console"></a>

Um auf die Billing Conductor-Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, die Billing Conductor-Ressourcen in Ihrem aufzulisten und einzusehen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (IAM-Benutzer oder -Rollen) mit dieser Richtlinie.

Um sicherzustellen, dass diese Entitäten weiterhin die Billing Conductor-Konsole verwenden können, fügen Sie den Entitäten außerdem die folgende AWS verwaltete Richtlinie hinzu. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen für einen Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*:

Wird zusätzlich zu den `billingconductor:*` Berechtigungen für die Erstellung von Preisregeln benötigt und `organizations:ListAccounts` ist erforderlich, um verknüpfte Konten aufzulisten, die mit dem Konto des Zahlers verknüpft sind. `pricing:DescribeServices`

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "billingconductor:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccounts",
                "organizations:DescribeAccount"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "pricing:DescribeServices",
            "Resource": "*"
        }
    ]
}
```

------

Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die Sie ausführen möchten.

### Vollzugriff auf die Billing Conductor-API gewähren
<a name="security_iam_id-based-policy-examples-fullAPI"></a>

In diesem Beispiel gewähren Sie einer IAM-Entität vollen Zugriff auf die Billing Conductor-API.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "billingconductor:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "organizations:ListAccounts",
            "Resource": "*"
        }
    ]
}
```

------

### Gewähren Sie schreibgeschützten Zugriff auf die Billing Conductor-Konsole
<a name="security_iam_id-based-policy-examples-readonly"></a>

In diesem Beispiel gewähren Sie einer IAM-Entität schreibgeschützten Zugriff auf die Billing Conductor-Konsole.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "billingconductor:List*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "organizations:ListAccounts",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "pricing:DescribeServices",
            "Resource": "*"
        }
    ]
}
```

------

### Billing Conductor Zugriff über die Billing Console gewähren
<a name="security_iam_id-based-policy-examples-ABCthroughbilling"></a>

In diesem Beispiel können IAM-Entitäten die Pro-forma-Abrechnungsdaten über die Rechnungsseite in ihrer Abrechnungskonsole hin- und herschalten.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "billing:ListBillingViews",
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        }
    ]
}
```

------

### Billing Conductor Zugriff über AWS Kosten- und Nutzungsberichte gewähren
<a name="security_iam_id-based-policy-examples-ABCthroughCUR"></a>

In diesem Beispiel können IAM-Entitäten die Pro-forma-Rechnungsdaten über die Seite Kosten- und Nutzungsberichte in ihrer Abrechnungskonsole umschalten und anzeigen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "billing:ListBillingViews",
                "aws-portal:ViewBilling",
                "cur:DescribeReportDefinitions"
            ],
            "Resource": "*"
        }
    ]
}
```

------

### Billing Conductor Zugriff auf die Funktion zum Importieren von Organisationseinheiten gewähren
<a name="security_iam_id-based-policy-examples-ABCaccessOU"></a>

In diesem Beispiel haben IAM-Entitäten schreibgeschützten Zugriff auf die spezifischen AWS Organizations API-Operationen, die erforderlich sind, um Ihre Konten für Organisationseinheiten (OU) zu importieren, wenn Sie eine Abrechnungsgruppe erstellen. Die Funktion zum Importieren von Organisationseinheiten befindet sich in der AWS Billing Conductor-Konsole.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListRoots",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListChildren"
            ],
            "Resource": "*"
        }
    ]
}
```

------

### Verweigern des Zugriffs auf Dienste und Funktionen für Billing und Cost Explorer, die keine Pro-forma-Kosten unterstützen
<a name="deny-access-proforma-costs"></a>

In diesem Beispiel wird IAM-Entitäten der Zugriff auf Dienste und Funktionen verweigert, für die keine Pro-forma-Kosten anfallen. Diese Richtlinie umfasst eine Liste von Aktionen, die innerhalb des Verwaltungskontos und einzelner Mitgliedskonten möglich sind.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
        "Effect": "Deny",
        "Action": [
            "aws-portal:ModifyAccount",
            "aws-portal:ModifyBilling",
            "aws-portal:ModifyPaymentMethods",
            "aws-portal:ViewPaymentMethods",
            "aws-portal:ViewAccount",
            "cur:GetClassic*",
            "cur:Validate*",
            "tax:List*",
            "tax:Get*",
            "tax:Put*",
            "tax:ListTaxRegistrations",
            "tax:BatchPut*",
            "tax:UpdateExemptions",
            "freetier:Get*",
            "payments:Get*",
            "payments:List*",
            "payments:Update*",
            "payments:GetPaymentInstrument",
            "payments:GetPaymentStatus",
            "purchase-orders:ListPurchaseOrders",
            "purchase-orders:ListPurchaseOrderInvoices",
            "consolidatedbilling:GetAccountBillingRole",
            "consolidatedbilling:Get*",
            "consolidatedbilling:List*",
            "invoicing:List*",
            "invoicing:Get*",
            "account:Get*",
            "account:List*",
            "account:CloseAccount",
            "account:DisableRegion",
            "account:EnableRegion",
            "account:GetContactInformation",
            "account:GetAccountInformation",
            "account:PutContactInformation",
            "billing:GetBillingPreferences",
            "billing:GetContractInformation",
            "billing:GetCredits",
            "billing:RedeemCredits",
            "billing:Update*",
            "ce:GetPreferences",
            "ce:UpdatePreferences",
            "ce:GetReservationCoverage",
            "ce:GetReservationPurchaseRecommendation",
            "ce:GetReservationUtilization",
            "ce:GetSavingsPlansCoverage",
            "ce:GetSavingsPlansPurchaseRecommendation",
            "ce:GetSavingsPlansUtilization",
            "ce:GetSavingsPlansUtilizationDetails",
            "ce:ListSavingsPlansPurchaseRecommendationGeneration",
            "ce:StartSavingsPlansPurchaseRecommendationGeneration",
            "ce:UpdateNotificationSubscription"
        ],
        "Resource": "*"
    }]
}
```

------

Weitere Informationen finden Sie unter [AWS-Services die Pro-forma-basierte Abrechnung unterstützen, Kosten anzeigen](service-integrations-support-proforma.md).

### Erstellung einer Pro-forma-CUR nach Abrechnungsgruppe
<a name="allow-legacy-cur"></a>

Schritt 1: Erlauben Sie IAM-Benutzern den vollen Zugriff auf die ältere Version von CUR und die Fakturierungsansicht für Abrechnungsgruppen.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
        "Sid": "CurDataAccess",
        "Effect": "Allow",
        "Action": "cur:PutReportDefinition",
        "Resource": [
            "arn:*:cur:*:*:definition/*",
            "arn:aws:billing::*:billingview/*"
        ]
      }
    ]
}
```

Schritt 2: Um IAM-Rollen für den Zugriff auf bestimmte Abrechnungsgruppen zuzuweisen, fügen Sie den ARN für die Abrechnungsansicht hinzu, auf den der Benutzer zugreifen kann.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CurDataAccess",
            "Effect": "Allow",
            "Action": "cur:PutReportDefinition",
            "Resource":[
                "arn:aws:cur:us-east-1:123456789012:definition/*",
                "arn:aws:billing::AWS-account-ID:billingview/billing-group-$billinggroup-primary-account-ID"
                ]
        }
    ]
}
```

Weitere Informationen finden Sie unter [Konfiguration von Kosten- und Nutzungsberichten nach Abrechnungsgruppen](configuring-abc.md).

# AWS verwaltete Richtlinien für AWS Billing Conductor
<a name="security-iam-awsmanpol"></a>





Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, AWS verwaltete Richtlinien zu verwenden, als Richtlinien selbst zu schreiben. Es erfordert Zeit und Fachwissen, um [von Kunden verwaltete IAM-Richtlinien zu erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html), die Ihrem Team nur die benötigten Berechtigungen bieten. Um schnell loszulegen, können Sie unsere AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS-Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie im *IAM-Benutzerhandbuch* unter [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies).

AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Services fügen einer von AWS verwalteten Richtlinien gelegentlich zusätzliche Berechtigungen hinzu, um neue Features zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Services aktualisieren eine von AWS verwaltete Richtlinie am ehesten, ein neues Feature gestartet wird oder neue Vorgänge verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.

 AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die **ReadOnlyAccess** AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in [Verwaltete AWS -Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Leitfaden*.

## AWS verwaltete Richtlinie: AWSBilling ConductorFullAccess
<a name="security-iam-awsmanpol-fullaccess"></a>

Die AWSBilling ConductorFullAccess verwaltete Richtlinie gewährt vollständigen Zugriff auf die AWS Billing Conductor-Konsole und APIs. Benutzer können AWS Billing Conductor-Ressourcen auflisten, erstellen und löschen.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSBillingConductorFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingConductorFullAccess.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

## AWS verwaltete Richtlinie: AWSBilling ConductorReadOnlyAccess
<a name="security-iam-awsmanpol-readonly"></a>

Die AWSBilling ConductorReadOnlyAccess verwaltete Richtlinie gewährt nur Lesezugriff auf die AWS Billing Conductor-Konsole und. APIs Benutzer können alle AWS Billing Conductor-Ressourcen anzeigen und auflisten. Benutzer können keine Ressourcen erstellen oder löschen.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter [AWSBillingConductorReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingConductorReadOnlyAccess.html) in der *Referenz zu von AWS verwalteten Richtlinien*.

## AWS Billing Conductor aktualisiert AWS verwaltete Richtlinien
<a name="security-iam-awsmanpol-updates"></a>



Hier finden Sie Informationen zu Aktualisierungen der AWS verwalteten Richtlinien für AWS Billing Conductor, seit dieser Service begonnen hat, diese Änderungen nachzuverfolgen. Wenn Sie automatische Benachrichtigungen über Änderungen an dieser Seite erhalten möchten, abonnieren Sie den RSS-Feed auf der Seite mit dem Verlauf der AWS Billing Conductor-Dokumente.




| Änderungen | Beschreibung | Date | 
| --- | --- | --- | 
| [AWSBillingConductorFullAccess](#security-iam-awsmanpol-fullaccess)- Aktualisierung der bestehenden Richtlinien | Wir haben die `organizations:ListInboundResponsibilityTransfers` Aktionen `organizations:DescribeResponsibilityTransfer` und zur `AWSBillingConductorFullAccess` Richtlinie hinzugefügt.  | 19. November 2025 | 
| [AWSBillingConductorFullAccess](#security-iam-awsmanpol-fullaccess)- Aktualisierung der bestehenden Richtlinien | Wir haben der `AWSBillingConductorFullAccess` Richtlinie die folgenden Aktionen hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/billingconductor/latest/userguide/security-iam-awsmanpol.html)  | 9. September 2025 | 
| [AWSBillingConductorReadOnlyAccess](#security-iam-awsmanpol-readonly)- Aktualisierung der bestehenden Richtlinien |  Wir haben der `AWSBillingConductorReadOnlyAccess` Richtlinie die folgenden Aktionen hinzugefügt: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/billingconductor/latest/userguide/security-iam-awsmanpol.html)  | 9. September 2025 | 
|  AWSBillingConductorReadOnlyAccess  | `GetBillingGroupCostReport`Zur `AWSBillingConductorReadOnlyAccess` Richtlinie hinzugefügt. | 8. Februar 2024 | 
| AWSBillingConductorFullAccess | Richtlinie erstellt | 29. März 2022 | 
|  AWSBillingConductorReadOnlyAccess  | Richtlinie erstellt | 29. März 2022 | 
| AWS Das Änderungsprotokoll von Billing Conductor wurde veröffentlicht |  AWS Billing Conductor hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen.  | 29. März 2022 | 

# AWS Billing Conductor Beispiele für ressourcenbasierte Richtlinien
<a name="security_iam_resource-based-policy-examples"></a>

**Topics**
+ [Beschränkung des Amazon S3 S3-Bucket-Zugriffs auf bestimmte IP-Adressen](#security_iam_resource-based-policy-examples-restrict-bucket-by-ip)

## Beschränkung des Amazon S3 S3-Bucket-Zugriffs auf bestimmte IP-Adressen
<a name="security_iam_resource-based-policy-examples-restrict-bucket-by-ip"></a>

Das folgende Beispiel gewährt jedem Benutzer die Erlaubnis, alle Amazon S3 S3-Operationen an Objekten im angegebenen Bucket durchzuführen. Die Anfrage muss jedoch aus dem in der Bedingung angegebenen IP-Adressbereich stammen.

Die Bedingung in dieser Anweisung identifiziert den Bereich 54.240.143.\$1 der zulässigen IP-Adressen der Internetprotokoll-Version 4 (IPv4), mit einer Ausnahme: 54.240.143.188.

Der `Condition` Block verwendet die `NotIpAddress` Bedingungen `IpAddress` und und den Bedingungsschlüssel, bei dem es sich um einen breiten Bedingungsschlüssel handelt`aws:SourceIp`. AWS Weitere Informationen zu diesen Bedingungsschlüsseln finden Sie unter [Bedingungen in einer Richtlinie angeben](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html). Die `aws:sourceIp` IPv4 Werte verwenden die Standard-CIDR-Notation. Weitere Informationen finden Sie unter [IP-Adressen-Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress) im *IAM-Benutzerhandbuch*.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Id": "S3PolicyId1",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
         "NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"} 
      } 
    } 
  ]
}
```

------

# Problembehandlung bei AWS Billing Conductor Identität und Zugriff
<a name="security_iam_troubleshoot"></a>

Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Billing Conductor und IAM auftreten können.

**Topics**
+ [Ich bin nicht berechtigt, eine Aktion in Billing Conductor durchzuführen](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam durchzuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine Billing Conductor-Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)

## Ich bin nicht berechtigt, eine Aktion in Billing Conductor durchzuführen
<a name="security_iam_troubleshoot-no-permissions"></a>

Wenn Ihnen AWS-Managementkonsole mitgeteilt wird, dass Sie nicht berechtigt sind, eine Aktion durchzuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator ist die Person, die Ihnen Ihren Benutzernamen und Ihr Passwort zur Verfügung gestellt hat.

Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer `mateojackson` versucht, die Konsole zum Anzeigen von Details zu einem *Billing Conductor* zu verwenden, jedoch nicht über `Billing Conductor:GetWidget`-Berechtigungen verfügt.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: Billing Conductor:GetWidget on resource: my-example-Billing Conductor
```

In diesem Fall bittet Mateo seinen Administrator um die Aktualisierung seiner Richtlinien, um unter Verwendung der Aktion `my-example-Billing Conductor` auf die Ressource `Billing Conductor:GetWidget` zugreifen zu können.

## Ich bin nicht berechtigt, iam durchzuführen: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Wenn Sie die Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die `iam:PassRole` Aktion durchzuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an Billing Conductor übergeben können.

Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.

Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Billing Conductor auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.

Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.

## Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine Billing Conductor-Ressourcen ermöglichen
<a name="security_iam_troubleshoot-cross-account-access"></a>

Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.

Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Billing Conductor diese Funktionen unterstützt, finden Sie unter. [Wie AWS Billing Conductor funktioniert mit IAM](security_iam_service-with-iam.md)
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.

# Protokollierung und Überwachung in AWS Billing Conductor
<a name="billing-security-logging"></a>

Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung Ihres AWS Kontos. Es stehen mehrere Tools zur Verfügung, mit denen Sie Ihre Nutzung von AWS Billing Conductor überwachen können.

## AWS Kosten- und Nutzungsberichte
<a name="eb-security-logging-cur"></a>

AWS In den Kosten- und Nutzungsberichten wird Ihre AWS Nutzung nachverfolgt und geschätzte Gebühren für Ihr Konto angegeben. Jeder Bericht enthält Einzelposten für jede einzigartige Kombination von AWS Produkten, Nutzungsarten und Vorgängen, die Sie in Ihrem AWS Konto verwenden. Sie können die AWS Kosten- und Nutzungsberichte so anpassen, dass die Informationen entweder stunden- oder tageweise zusammengefasst werden.

Weitere Informationen zu AWS Kosten- und Nutzungsberichten finden Sie im [https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html).

# Protokollieren von AWS Billing Conductor API-Aufrufen mit AWS CloudTrail
<a name="logging-using-cloudtrail"></a>

AWS Billing Conductor ist in einen Dienst integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Dienst in AWS Billing Conductor ausgeführt wurden. CloudTrail erfasst alle API-Aufrufe für AWS Billing Conductor als Ereignisse. Zu den erfassten Aufrufen gehören Aufrufe von der AWS Billing Conductor-Konsole und Code-Aufrufe der AWS Billing Conductor-API-Operationen. Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Übermittlung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für AWS Billing Conductor. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse trotzdem in der CloudTrail Konsole im **Ereignisverlauf** einsehen. Anhand der von CloudTrail gesammelten Informationen können Sie die Anfrage an AWS Billing Conductor, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln.

Weitere Informationen CloudTrail dazu finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).

## AWS Billing Conductor CloudTrail Ereignisse
<a name="billing-cloudtrail-events"></a>

In diesem Abschnitt finden Sie eine vollständige Liste der CloudTrail Ereignisse im Zusammenhang mit Billing and Cost Management.


****  

| Ereignisname | Definition | 
| --- | --- | 
|  `AssociateAccounts`  |  Protokolliert die Zuordnung von Konten zu einer Abrechnungsgruppe.  | 
|  `AssociatePricingRules`  | Protokolliert die Zuordnung von Preisregeln zu einem Preisplan. | 
|  `AutoAssociateAccount`  | Protokolliert die automatische Zuordnung eines Kontos zu einer Abrechnungsgruppe.  | 
|  `AutoDisassociateAccount`  | Protokolliert die automatische Trennung eines Kontos von einer Abrechnungsgruppe im nächsten Abrechnungszeitraum. | 
|  `BatchAssociateResourcesToCustomLineItem`  | Protokolliert die Batch-Zuordnung von Ressourcen zu einem benutzerdefinierten Einzelposten in Prozent. | 
|  `BatchDisassociateResourcesFromCustomLineItem`  |  Protokolliert die stapelweise Trennung von Ressourcen zu einem benutzerdefinierten Zeileneintrag in Prozent.  | 
|  `CreateBillingGroup`  | Protokolliert die Erstellung einer Abrechnungsgruppe. | 
|  `CreateCustomLineItem`  |  Protokolliert die Erstellung eines benutzerdefinierten Einzelpostens.  | 
|  `CreatePricingPlan`  | Protokolliert die Erstellung eines Preisplans. | 
|  `CreatePricingRule`  | Protokolliert die Erstellung einer Preisregel. | 
|  `DeleteBillingGroup`  | Protokolliert das Löschen einer Abrechnungsgruppe. | 
|  `DeleteCustomLineItem`  | Protokolliert das Löschen eines benutzerdefinierten Einzelpostens. | 
|  `DeletePricingPlan`  | Protokolliert das Löschen eines Preisplans. | 
|  `DeletePricingRule`  | Protokolliert das Löschen einer Preisregel. | 
|  `DisassociateAccounts`  | Protokolliert die Trennung von Konten von einer Abrechnungsgruppe. | 
|  `DisassociatePricingRules`  | Protokolliert die Trennung von Preisregeln von einem Preisplan. | 
|  `ListAccountAssociations`  | Protokolliert den Zugriff auf die Konto-IDs in der Abrechnungsgruppe. | 
|  `ListBillingGroupCostReports`  | Protokolliert den Zugriff auf die tatsächlichen AWS Gebühren für die Abrechnungsgruppe. | 
|  `ListBillingGroups`  | Protokolliert den Zugriff auf die Abrechnungsgruppen in einem Abrechnungszeitraum. | 
|  `ListCustomLineItems`  | Protokolliert den Zugriff auf die benutzerdefinierten Einzelposten in einem Abrechnungszeitraum. | 
|  `ListCustomLineItemVersions`  | Protokolliert den Zugriff auf die Versionen eines benutzerdefinierten Einzelpostens. | 
|  `ListPricingPlans`  | Protokolliert den Zugriff auf die Preispläne in einem Abrechnungszeitraum. | 
|  `ListPricingPlansAssociatedWithPricingRule`  | Protokolliert den Zugriff auf die Preispläne, die einer Preisregel zugeordnet sind. | 
|  `ListPricingRules`  |  Protokolliert den Zugriff auf die Preisregeln in einem Abrechnungszeitraum.  | 
|  `ListPricingRulesAssociatedToPricingPlan`  |  Protokolliert den Zugriff auf die Preisregeln, die einem Preisplan zugeordnet sind.  | 
|  `ListResourcesAssociatedToCustomLineItem`  | Protokolliert den Zugriff auf die Ressourcen, die einem benutzerdefinierten Einzelposten zugeordnet sind. | 
| `ListTagsForResource` |  Protokolliert den Zugriff auf die Tags einer Ressource.  | 
|  `TagResource`  | Protokolliert die Zuordnung von Tags zu einer Ressource. | 
|  `UpdateBillingGroup`  | Protokolliert die Aktualisierung einer Abrechnungsgruppe. | 
|  `UpdateCustomLineItem`  | Protokolliert die Aktualisierung eines benutzerdefinierten Einzelpostens. | 
|  `UpdatePricingPlan`  | Protokolliert die Aktualisierung eines Preisplans. | 
|  `UpdatePricingRule`  | Protokolliert die Aktualisierung einer Preisregel. | 

## AWS Informationen zum Abrechnungsleiter unter CloudTrail
<a name="service-name-info-in-cloudtrail"></a>

CloudTrail ist auf Ihrem aktiviert AWS-Konto , wenn Sie das Konto erstellen. Wenn in AWS Billing Conductor eine Aktivität stattfindet, wird diese Aktivität zusammen mit anderen CloudTrail AWS Serviceereignissen in der **Ereignishistorie in einem Ereignis** aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem anzeigen, suchen und herunterladen AWS-Konto. Weitere Informationen finden Sie unter [Ereignisse mit dem CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).

Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem System AWS-Konto, einschließlich der Ereignisse für AWS Billing Conductor, erstellen Sie einen Trail. Ein *Trail* ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie einen Trail in der Konsole anlegen, gilt dieser für alle AWS-Regionen-Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie hier:
+ [Übersicht zum Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail unterstützte Dienste und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Empfangen von CloudTrail Protokolldateien aus mehreren Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) und [Empfangen von CloudTrail Protokolldateien von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)

Alle AWS Billing Conductor-Aktionen werden von der [AWS Billing Conductor API-Referenz](https://docs.aws.amazon.com/billingconductor/latest/APIReference) protokolliert CloudTrail und sind in dieser dokumentiert.

Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
+ Ob die Anfrage mit Root- oder AWS Identity and Access Management (IAM-) Benutzeranmeldedaten gestellt wurde.
+ Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
+ Ob die Anfrage von einem anderen AWS Dienst gestellt wurde.

Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).

## Die Einträge in der AWS Billing Conductor-Protokolldatei verstehen
<a name="understanding-service-name-entries"></a>

Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar und enthält Informationen über die angeforderte Aktion, Datum und Uhrzeit der Aktion, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass sie nicht in einer bestimmten Reihenfolge angezeigt werden. 

**Topics**
+ [AutoAssociateAccount](#CT-example-auto)
+ [CreateBillingGroup](#CT-example-create)

### AutoAssociateAccount
<a name="CT-example-auto"></a>

Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die `AutoAssociateAccount` Aktion demonstriert.

```
{
    "eventVersion": "1.09",
    "userIdentity": {
        "accountId": "111122223333",
        "invokedBy": "billingconductor.amazonaws.com"
    },
    "eventTime": "2024-02-23T00:22:08Z",
    "eventSource": "billingconductor.amazonaws.com",
    "eventName": "AutoAssociateAccount",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "billingconductor.amazonaws.com",
    "userAgent": "billingconductor.amazonaws.com",
    "requestParameters": null,
    "responseElements": null,
    "requestID": "1v14d239-fe63-4d2b-b3cd-450905b6c33",
    "eventID": "14536982-geff-4fe8-bh18-f18jde35218d0",
    "readOnly": false,
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "serviceEventDetails": {
        "requestParameters": {
            "Arn": "arn:aws:billingconductor::111122223333:billinggroup/444455556666",
            "AccountIds": [
                "333333333333"
            ]
        },
        "responseElements": {
            "Arn": "arn:aws:billingconductor::111122223333:billinggroup/444455556666"
        }
    },
    "eventCategory": "Management"
}
```

### CreateBillingGroup
<a name="CT-example-create"></a>

Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die `CreateBillingGroup` Aktion demonstriert.

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "accountId":"111122223333",
        "accessKeyId":"ASIAIOSFODNN7EXAMPLE"
    },
    "eventTime": "2024-01-24T20:30:03Z",
    "eventSource": "billingconductor.amazonaws.com",
    "eventName": "CreateBillingGroup",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "100.100.10.10",
    "userAgent": "aws-internal/3 aws-sdk-java/1.11.465 Linux/4.9.124-0.1.ac.198.73.329.metal1.x86_64 OpenJDK_64-Bit_Server_VM/25.192-b12 java/1.8.0_192",
    "requestParameters": {
        "PrimaryAccountId": "444455556666",
        "ComputationPreference": {
            "PricingPlanArn": "arn:aws:billingconductor::111122223333:pricingplan/TqeITi5Bgh"
        },
        "X-Amzn-Client-Token": "32aafb5s-e5b6-47f5-9795-3a69935e9da4",
        "AccountGrouping": {
            "LinkedAccountIds": [
                "444455556666",
                "111122223333"
            ]
        },
        "Name": "***"
    },
    "responseElements": {
        "Access-Control-Expose-Headers": "x-amzn-RequestId,x-amzn-ErrorType,x-amzn-ErrorMessage,Date",
        "Arn": "arn:aws:billingconductor::111122223333:billinggroup/444455556666"
    },
    "requestID": "fb26ae47-3510-a833-98fe-3dc0f602gb49",
    "eventID": "3ab70d86-c63e-46fd8d-a33s-ce2970441a8",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}
```

# Überprüfung der Einhaltung der Vorschriften für AWS Billing Conductor
<a name="Billing-compliance"></a>

Externe Prüfer bewerten die Sicherheit und Konformität von AWS Services im Rahmen mehrerer AWS Compliance-Programme. AWS Billing Conductor fällt nicht in den Geltungsbereich von AWS Compliance-Programmen.

Eine Liste der AWS Dienstleistungen im Rahmen bestimmter Compliance-Programme finden Sie unter [AWS Services im Umfang nach Compliance-Programmen AWS](https://aws.amazon.com/compliance/services-in-scope/) . Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .

Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Herunterladen von Berichten in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

Ihre Verantwortung für die Einhaltung von Vorschriften bei der Nutzung von AWS Billing Conductor hängt von der Sensibilität Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. AWS stellt Ihnen die folgenden Ressourcen zur Verfügung, die Sie bei der Einhaltung der Vorschriften unterstützen:
+ [Schnellstartanleitungen für Sicherheit und Compliance](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) – In diesen Bereitstellungsleitfäden werden architektonische Überlegungen erörtert und Schritte für die Bereitstellung von sicherheits- und konformitätsorientierten Basisumgebungen auf AWS angegeben.
+ [AWS Ressourcen zur AWS](https://aws.amazon.com/compliance/resources/) von Vorschriften — Diese Sammlung von Arbeitsmappen und Leitfäden kann auf Ihre Branche und Ihren Standort zutreffen.
+ [Bewertung von Ressourcen anhand von Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) im *AWS Config Entwicklerhandbuch* — Der AWS Config Service bewertet, wie gut Ihre Ressourcenkonfigurationen den internen Praktiken, Branchenrichtlinien und Vorschriften entsprechen.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Dieser AWS Service bietet einen umfassenden Überblick über Ihren Sicherheitsstatus, sodass Sie überprüfen können AWS , ob Sie die Sicherheitsstandards und Best Practices der Branche einhalten.

# Ausfallsicherheit bei AWS Billing Conductor
<a name="disaster-recovery-resiliency"></a>

Die AWS globale Infrastruktur basiert auf AWS Regionen und Availability Zones. AWS Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren. 

Weitere Informationen zu AWS Regionen und Availability Zones finden Sie unter [AWS Globale](https://aws.amazon.com/about-aws/global-infrastructure/) Infrastruktur.

# Sicherheit der Infrastruktur in AWS Billing Conductor
<a name="infrastructure-security"></a>

Als verwalteter Dienst AWS Billing Conductor ist er durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.

Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Billing Conductor zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.

# Zugriff AWS Billing Conductor über einen Schnittstellenendpunkt (AWS PrivateLink)
<a name="vpc-interface-endpoints"></a>

Sie können verwenden AWS PrivateLink , um eine private Verbindung zwischen Ihrer VPC und AWS Billing Conductor herzustellen. Sie können auf Billing Conductor zugreifen, als wäre es in Ihrer VPC, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder Direct Connect eine Verbindung verwenden zu müssen. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um auf Billing Conductor zuzugreifen.

Sie stellen diese private Verbindung her, indem Sie einen *Schnittstellen-Endpunkt* erstellen, der von AWS PrivateLink unterstützt wird. Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt aktivieren. Dabei handelt es sich um vom Anforderer verwaltete Netzwerkschnittstellen, die als Einstiegspunkt für den Datenverkehr dienen, der für Billing Conductor bestimmt ist.

*Weitere Informationen finden Sie AWS PrivateLink im Handbuch unter [Access AWS-Services through](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html).AWS PrivateLink *

## Überlegungen zu Billing Conductor
<a name="vpc-endpoint-considerations"></a>

Bevor Sie einen Schnittstellen-Endpunkt für Billing Conductor einrichten, lesen Sie die [Überlegungen](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) im *AWS PrivateLink Leitfaden*.

Billing Conductor unterstützt Aufrufe aller API-Aktionen über den Schnittstellenendpunkt.

VPC-Endpunktrichtlinien werden für Billing Conductor nicht unterstützt. Standardmäßig ist der vollständige Zugriff auf Billing Conductor über den Schnittstellenendpunkt zulässig. Alternativ können Sie den Endpunkt-Netzwerkschnittstellen eine Sicherheitsgruppe zuordnen, um den Datenverkehr zu Billing Conductor über den Schnittstellenendpunkt zu steuern.

## Erstellen Sie einen Schnittstellenendpunkt für Billing Conductor
<a name="vpc-endpoint-create"></a>

Sie können einen Schnittstellenendpunkt für Billing Conductor entweder mit der Amazon VPC-Konsole oder mit AWS Command Line Interface (AWS CLI) erstellen. Weitere Informationen finden Sie unter [Erstellen eines Schnittstellenendpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) im *AWS PrivateLink -Leitfaden*.

Erstellen Sie einen Schnittstellenendpunkt für Billing Conductor mit dem folgenden Servicenamen:

```
com.amazonaws.region.service-name
```

Wenn Sie privates DNS für den Schnittstellenendpunkt aktivieren, können Sie API-Anfragen an Billing Conductor stellen, indem Sie dessen standardmäßigen regionalen DNS-Namen verwenden. Beispiel, `service-name.us-east-1.amazonaws.com`.

## Erstellen einer Endpunktrichtlinie für Ihren Schnittstellen-Endpunkt
<a name="vpc-endpoint-policy"></a>

Eine Endpunktrichtlinie ist eine IAM-Ressource, die Sie an einen Schnittstellen-Endpunkt anfügen können. Die standardmäßige Endpunktrichtlinie ermöglicht den vollen Zugriff auf Billing Conductor über den Schnittstellenendpunkt. Um den Zugriff auf Billing Conductor von Ihrer VPC aus zu kontrollieren, fügen Sie dem Schnittstellenendpunkt eine benutzerdefinierte Endpunktrichtlinie hinzu.

Eine Endpunktrichtlinie gibt die folgenden Informationen an:
+ Die Prinzipale, die Aktionen ausführen können (AWS-Konten, IAM-Benutzer und IAM-Rollen).
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, auf denen die Aktionen ausgeführt werden können.

Weitere Informationen finden Sie unter [Steuern des Zugriffs auf Services mit Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) im *AWS PrivateLink -Leitfaden*.

**Beispiel: VPC-Endpunktrichtlinie für Billing Conductor-Aktionen**  
Im Folgenden finden Sie ein Beispiel für eine benutzerdefinierte Endpunktrichtlinie. Wenn Sie diese Richtlinie an Ihren Schnittstellenendpunkt anhängen, gewährt sie allen Prinzipalen auf allen Ressourcen Zugriff auf die aufgelisteten Billing Conductor-Aktionen.

```
{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": "billingconductor:*",
         "Resource":"*"
      }
   ]
}
```