Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Identity and Access Management para la gestión de AWS costes
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los AWS recursos. Los administradores de IAM controlan quién puede *autenticarse* (iniciar sesión) y quién puede *autorizarse* (tener permisos) para usar los recursos de administración de AWS costos. La IAM es una Servicio de AWS opción que puede utilizar sin coste adicional.
**Topics**
+ [Tipos de usuario y permisos de facturación](#security_iam_audience)
+ [Público](#security_iam_audience)
+ [Autenticación con identidades](#security_iam_authentication)
+ [Administración del acceso con políticas](#security_iam_access-manage)
+ [Información general sobre la administración de permisos de acceso](control-access-billing.md)
+ [Cómo funciona la gestión de AWS costes con IAM](security_iam_service-with-iam.md)
+ [Ejemplos de políticas de gestión de costes basadas en la AWS identidad](security_iam_id-based-policy-examples.md)
+ [Uso de políticas basadas en la identidad (políticas de IAM) para la gestión de costes AWS](billing-permissions-ref.md)
+ [AWS Ejemplos de políticas de gestión de costes](billing-example-policies.md)
+ [Migración del control de acceso para AWS la administración de costos](migrate-granularaccess-whatis.md)
+ [Prevención de la sustitución confusa entre servicios](cross-service-confused-deputy-prevention.md)
+ [Solución de problemas de identidad y acceso a AWS Cost Management](security_iam_troubleshoot.md)
+ [Funciones vinculadas al servicio para la gestión de costes AWS](#security_iam_service-with-iam-roles-service-linked)
+ [Cómo utilizar roles vinculados a servicios](cost-management-SLR.md)
+ [AWS políticas gestionadas para AWS Billing and Cost Management](security-iam-awsmanpol.md)
## Tipos de usuario y permisos de facturación
En esta tabla se resumen las acciones predeterminadas que se permiten en AWS Cost Management para cada tipo de usuario de facturación.
**Tipos de usuario y permisos de facturación**
| Tipo de usuario | Description (Descripción) | Permisos de facturación |
| --- | --- | --- |
| Propietario de la cuenta | La persona o entidad en cuyo nombre está configurada su cuenta. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/cost-management/latest/userguide/security-iam.html) |
| Usuario | Una persona o aplicación definida como usuario en una cuenta por un propietario de cuenta o usuario administrativo. Las cuentas pueden contener varios usuarios de . | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/cost-management/latest/userguide/security-iam.html) |
| Propietario de la cuenta de administración de la organización | La persona o entidad asociada a una cuenta AWS Organizations de administración. La cuenta de administración paga el AWS uso en que incurra la cuenta de un miembro de una organización. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/cost-management/latest/userguide/security-iam.html) |
| Propietario de la cuenta miembro de la organización | La persona o entidad asociada a la cuenta de un AWS Organizations miembro. La cuenta de administración paga el AWS uso en que incurra la cuenta de un miembro de una organización. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/cost-management/latest/userguide/security-iam.html) |
## Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas de identidad y acceso a AWS Cost Management](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Cómo funciona la gestión de AWS costes con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Ejemplos de políticas de gestión de costes basadas en la AWS identidad](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Cuenta de AWS usuario root
Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Identidad federada
Como práctica recomendada, exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder Servicios de AWS mediante credenciales temporales.
Una *identidad federada* es un usuario del directorio empresarial, del proveedor de identidades web o al Directory Service que se accede Servicios de AWS mediante credenciales de una fuente de identidad. Las identidades federadas asumen roles que proporcionan credenciales temporales.
Para una administración de acceso centralizada, se recomienda AWS IAM Identity Center. Para obtener más información, consulte [¿Qué es el Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) en la *Guía del usuario de AWS IAM Identity Center *.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del usuario de *IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
AWS Para controlar el acceso, puede crear políticas y adjuntarlas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos que conceden los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# Información general sobre la administración de permisos de acceso
## Concesión de acceso a la información de facturación y a las herramientas
El propietario de la AWS cuenta puede acceder a la información y las herramientas de facturación iniciando sesión Consola de administración de AWS con las credenciales de la cuenta. Le recomendamos que no use las credenciales para el acceso diario a la cuenta, y especialmente que no comparta las credenciales de la cuenta con otros para darles acceso a ella.
Para sus tareas administrativas diarias, cree un usuario administrativo para controlar de forma segura el acceso a AWS los recursos. De forma predeterminada, los usuarios no tienen acceso a la [consola de Administración de costos de AWS](https://console.aws.amazon.com/billing/). Como administrador, puede crear funciones en su AWS cuenta que sus usuarios puedan asumir. Una vez creados los roles, puede adjuntarles su política de IAM en función del acceso necesario. Por ejemplo, puede conceder a algunos usuarios acceso limitado a ciertos datos de facturación y herramientas, y conceder a otros acceso completo a toda la información y herramientas.
**nota**
La IAM es una función de tu AWS cuenta. Si ya se ha registrado para un producto integrado con IAM, no tiene que hacer nada más para registrarse en IAM ni se le cobrará por usarlo.
Los permisos para Explorador de costos se aplican a todas las cuentas y las cuentas de miembro, independientemente de las políticas de IAM. Para obtener más información acerca del acceso a Explorador de costos, consulte [Control del acceso a Explorador de costos](ce-access.md).
## Activación del acceso a la consola de Administración de facturación y costos
De forma predeterminada, los roles de IAM de una AWS cuenta no pueden acceder a las páginas de la consola de Billing and Cost Management. Esto es válido incluso si el rol tiene políticas de IAM que conceden acceso a determinadas características de la Administración de facturación y costos. El administrador de la AWS cuenta puede permitir que los roles accedan a las páginas de la consola de Billing and Cost Management mediante la configuración **Activate IAM Access**.
En la consola de gestión de AWS costes, la opción **Activar el acceso a IAM** controla el acceso a las siguientes páginas:
+ Inicio
+ Explorador de costos
+ Informes
+ Recomendaciones de redimensionamiento
+ Recomendaciones de Savings Plans
+ Informe de uso de Savings Plans
+ Informe de cobertura de Savings Plans
+ Información general de las reservas
+ Recomendaciones de las reservas
+ Informe de uso de las reservas
+ Informe de cobertura de las reservas
+ Preferencias
Para ver una lista de las páginas que controla la configuración **Activar el acceso de IAM** para la consola de Facturación, consulte [Activar el acceso a la Consola de facturación](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html#ControllingAccessWebsite-Activate) en la *Guía del usuario de facturación*.
**importante**
Activar solo el acceso de IAM no concede a los roles los permisos necesarios para estas páginas de la consola de Administración de facturación y costos. Además de activar el acceso de IAM, también debe adjuntar las políticas de IAM necesarias a esos roles. Para obtener más información, consulte [Uso de políticas basadas en la identidad (políticas de IAM) para la gestión de costes AWS](billing-permissions-ref.md).
La configuración **Activate IAM Access** (Activar acceso de IAM) no controla el acceso a las páginas y los recursos siguientes:
+ Las páginas de consola para AWS Cost Anomaly Detection, Savings Plans resumen, Savings Plans inventario, Purchase Savings Plans y Savings Plans carrito
+ La vista de gestión de costes en el AWS Console Mobile Application
+ El SDK de Billing and Cost Management APIs (explorador de AWS costes, AWS presupuestos e informes de AWS costes y uso APIs)
+ AWS Systems Manager Gestor de aplicaciones
+ El integrado en la consola Calculadora de precios de AWS
+ La capacidad de análisis de costos en Amazon Q
+ El AWS Activate Console
La configuración **Activate IAM Access** (Activar acceso de IAM) está desactivada de forma predeterminada. Para activar esta configuración, debe iniciar sesión en su AWS cuenta con las credenciales del usuario raíz y, a continuación, seleccionar la configuración en la página de la **cuenta**. Active esta configuración en todas las cuentas en las que desee permitir el acceso del rol de IAM a las páginas de la consola de Administración de facturación y costos. Si las usa AWS Organizations, active esta configuración en cada cuenta de administración o miembro en la que desee permitir el acceso del rol de IAM a las páginas de la consola.
**nota**
La configuración **Activar el acceso de IAM** no está disponible para los usuarios con acceso de administrador. Esta configuración solo está disponible para el usuario raíz de la cuenta.
Los roles de IAM de la cuenta no podrán acceder a las páginas de la consola de Administración de facturación y costos si la configuración **Activar acceso de IAM** está desactivada. Esto es así incluso si tienen acceso de administrador o las políticas de IAM necesarias.
**Cómo activar el acceso del usuario de IAM y del rol a la consola de Administración de facturación y costos**
1. Inicie sesión en la consola AWS de administración con las credenciales de su cuenta raíz (específicamente, la dirección de correo electrónico y la contraseña que utilizó para crear su AWS cuenta).
1. En la barra de navegación, elija el nombre de su cuenta y, a continuación, [Account](https://console.aws.amazon.com/billing/home#/account) (Cuenta).
1. Junto a **IAM User and Role Access to Billing Information (Acceso de los roles y usuarios de IAM a la información de facturación)**, elija **Edit (Editar)**.
1. Seleccione la casilla de verificación **Activar acceso de IAM** para activar el acceso a las páginas de la consola de Administración de facturación y costos.
1. Elija **Actualizar**.
Después de activar el acceso de IAM, también debe adjuntar las políticas de IAM necesarias a los roles de IAM. Las políticas de IAM pueden conceder o denegar el acceso a características específicas de Administración de facturación y costos. Para obtener más información, consulte [Uso de políticas basadas en la identidad (políticas de IAM) para la gestión de costes AWS](billing-permissions-ref.md).
# Cómo funciona la gestión de AWS costes con IAM
AWS La administración de costos se integra con el servicio AWS Identity and Access Management (IAM) para que pueda controlar qué miembros de su organización tienen acceso a páginas específicas de la consola de [administración de AWS costos](https://console.aws.amazon.com/cost-management/home). Puede controlar el acceso a las facturas y la información detallada sobre los cargos y la actividad de la cuenta, los presupuestos, los medios de pago y los créditos.
Para obtener más información acerca de cómo activar el acceso a la consola de Administración de facturación y costos, consulte el [Tutorial: delegar acceso a la consola de Facturación](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) en la *Guía del usuario de IAM*.
Antes de usar IAM para administrar el acceso a la administración de AWS costos, conozca qué funciones de IAM están disponibles para usar con AWS la administración de costos.
**Funciones de IAM que puede utilizar con la gestión de costes AWS**
| Característica de IAM | AWS Soporte de gestión de costes |
| --- | --- |
| [Políticas basadas en identidades](#security_iam_service-with-iam-id-based-policies) | Sí |
| [Políticas basadas en recursos](#security_iam_service-with-iam-resource-based-policies) | No |
| [Acciones de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sí |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Parcial |
| [Claves de condición de política](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sí |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (etiquetas en políticas)](#security_iam_service-with-iam-tags) | Parcial |
| [Credenciales temporales](#security_iam_service-with-iam-roles-tempcreds) | Sí |
| [Sesiones de acceso directo (FAS)](#security_iam_service-with-iam-principal-permissions) | Sí |
| [Roles de servicio](#security_iam_service-with-iam-roles-service) | Sí |
| [Roles vinculados al servicio](security-iam.md#security_iam_service-with-iam-roles-service-linked) | No |
Para obtener una visión general de cómo funcionan la gestión de AWS costes y otros AWS servicios con la mayoría de las funciones de IAM, consulte [AWS los servicios que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la Guía del usuario de *IAM*.
## Políticas de gestión de costes basadas en la identidad AWS
**Compatibilidad con las políticas basadas en identidad:** sí
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Ejemplos de políticas basadas en la identidad para la gestión de costes AWS
Para ver ejemplos de políticas de administración de AWS costos basadas en la identidad, consulte. [Ejemplos de políticas de gestión de costes basadas en la AWS identidad](security_iam_id-based-policy-examples.md)
## Políticas basadas en recursos dentro de la administración de costos AWS
**Admite políticas basadas en recursos:** no
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las *políticas de confianza de roles* de IAM y las *políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos. Los directores pueden incluir cuentas, usuarios, roles, usuarios federados o. Servicios de AWS
Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política en función de recursos. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Acciones políticas para la administración de costos AWS
**Compatibilidad con las acciones de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Para ver una lista de las acciones de gestión de AWS costes, consulte [las acciones definidas por la gestión de AWS costes](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostexplorerservice.html) en la *Referencia de autorización de servicios*.
En AWS Cost Management, las acciones políticas utilizan el siguiente prefijo antes de la acción:
```
ce
```
Para especificar varias acciones en una única instrucción, sepárelas con comas.
```
"Action": [
"ce:action1",
"ce:action2"
]
```
Para ver ejemplos de políticas de gestión de AWS costes basadas en la identidad, consulte. [Ejemplos de políticas de gestión de costes basadas en la AWS identidad](security_iam_id-based-policy-examples.md)
## Recursos de políticas para la administración de costos AWS
**Admite recursos de políticas:** en forma parcial
Los recursos de políticas solo con compatibles con los monitores, las suscripciones y las categorías de costos.
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
Para ver una lista de los tipos de recursos de AWS Cost Explorer, consulte [Acciones, recursos y claves de condición del AWS Cost Explorer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostexplorerservice.html) en la *Referencia de autorización de servicio*.
Para ver ejemplos de políticas de administración de AWS costos basadas en la identidad, consulte. [Ejemplos de políticas de gestión de costes basadas en la AWS identidad](security_iam_id-based-policy-examples.md)
## Claves de condición de la política para AWS la gestión de costes
**Compatibilidad con claves de condición de políticas específicas del servicio:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Para ver una lista de las claves de condición, las acciones y los recursos de la gestión de AWS costes, consulte [las claves de condición de la gestión de AWS costes](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostexplorerservice.html) en la *Referencia de autorización de servicios*.
Para ver ejemplos de políticas de gestión de AWS costes basadas en la identidad, consulte. [Ejemplos de políticas de gestión de costes basadas en la AWS identidad](security_iam_id-based-policy-examples.md)
## Listas de control de acceso (ACLs) en Cost Management AWS
**Soportes ACLs:** No
Las listas de control de acceso (ACLs) controlan qué directores (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
## Control de acceso basado en atributos (ABAC) con gestión de costes AWS
**Compatibilidad con ABAC (etiquetas en las políticas):** parcial
Las ABAC (etiquetas en las políticas) solo son compatibles con los monitores, las suscripciones y las categorías de costos.
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede adjuntar etiquetas a las entidades y AWS los recursos de IAM y, a continuación, diseñar políticas de ABAC para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.
*Para obtener más información sobre ABAC, consulte [Definición de permisos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.
## Uso de credenciales temporales con Cost Management AWS
**Compatibilidad con credenciales temporales:** sí
Las credenciales temporales proporcionan acceso a AWS los recursos a corto plazo y se crean automáticamente cuando se utiliza la federación o se cambia de rol. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
## Sesiones de acceso directo para la gestión de AWS costes
**Admite sesiones de acceso directo (FAS):** sí
Las sesiones de acceso directo (FAS) utilizan los permisos del operador principal que realiza la llamada Servicio de AWS, junto con los que solicitan, Servicio de AWS para realizar solicitudes a los servicios descendentes. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Funciones de servicio para la administración de AWS costos
**Compatible con roles de servicio:** sí
Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Crear un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.
**aviso**
Cambiar los permisos de un rol de servicio podría interrumpir la funcionalidad de administración de AWS costos. Edite las funciones de servicio solo cuando AWS Cost Management proporcione instrucciones para hacerlo.
# Ejemplos de políticas de gestión de costes basadas en la AWS identidad
De forma predeterminada, los usuarios y los roles no tienen permiso para crear o modificar los recursos de AWS Cost Management. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan.
Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las acciones y los tipos de recursos definidos por AWS Cost Management, incluido el ARNs formato de cada uno de los tipos de recursos, consulte [las claves de condición, recursos y acciones de AWS Cost Management](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostexplorerservice.html) en la *Referencia de autorización de servicios*.
**Topics**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso de la consola de gestión de costes AWS](#security_iam_id-based-policy-examples-console)
+ [Cómo permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
## Prácticas recomendadas sobre las políticas
Las políticas basadas en la identidad determinan si alguien puede crear, eliminar o acceder a los recursos de AWS Cost Management de su cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Uso de la consola de gestión de costes AWS
Para acceder a la consola de administración de AWS costos, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los recursos de administración de AWS costos de su cuenta Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas a la API AWS CLI o a la AWS API. En su lugar, permita el acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar.
Para garantizar que los usuarios y los roles puedan seguir utilizando la consola de administración de AWS costos, adjunte también la política de administración de AWS costos `ConsoleAccess` o `ReadOnly` AWS administrada a las entidades. Para obtener más información, consulte [Adición de permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de IAM*:
## Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Uso de políticas basadas en la identidad (políticas de IAM) para la gestión de costes AWS
**nota**
Las siguientes acciones AWS Identity and Access Management (IAM) finalizaron el soporte estándar en julio de 2023:
espacio de nombres `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Si lo estás utilizando AWS Organizations, puedes usar los [scripts de migración masiva de políticas para actualizar las políticas desde tu cuenta de pagador](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html). También puede utilizar la [referencia de mapeo de acciones de antigua a granular](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html) para verificar las acciones de IAM que deben agregarse.
Para obtener más información, consulta el blog sobre los [cambios en la AWS facturación, la gestión de AWS costes y los permisos de las consolas de cuentas](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/).
Si tienes o formas Cuenta de AWS parte de uno AWS Organizations creado el 6 de marzo de 2023 a las 11:00 (PDT) o después de esa fecha, las acciones detalladas ya están en vigor en tu organización.
En este tema se ofrecen ejemplos de políticas basadas en identidad que muestran cómo un administrador de una cuenta puede adjuntar políticas de permisos a identidades de IAM (es decir, grupos y roles) y, de ese modo, conceder permisos para realizar operaciones en recursos de la Administración de facturación y costos.
[Para obtener un análisis completo de AWS las cuentas y los usuarios, consulta ¿Qué es la IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_Introduction.html) en la Guía del *usuario de IAM*.
Para obtener más información acerca de cómo actualizar las políticas administradas por el cliente, consulte [Edición de políticas administradas por el cliente (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console) en la *Guía del usuario de IAM*.
**Topics**
+ [Políticas de acciones de Administración de facturación y costos](#user-permissions)
+ [Políticas de acciones recomendadas de Administración de facturación y costos](#allows-recommended-actions-access)
+ [Políticas administradas](#managed-policies)
+ [AWS Cost Management actualiza las políticas AWS gestionadas](#updates-managedIAM)
## Políticas de acciones de Administración de facturación y costos
En la siguiente tabla se resumen los permisos que utiliza para conceder o denegar a los usuarios el acceso a la información de facturación y a las herramientas. Para ver ejemplos de políticas que utilizan estos permisos, consulte [AWS Ejemplos de políticas de gestión de costes](billing-example-policies.md).
Para ver una lista de políticas de acciones de la consola de Facturación, consulte [Políticas de acciones de facturación](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions) en la *Guía del usuario de facturación*.
| Nombre del permiso | Description (Descripción) |
| --- | --- |
| `aws-portal:ViewBilling` | Conceda o deniegue permisos a los usuarios para ver las páginas de la consola de Administración de facturación y costos. Para ver un ejemplo de política, consulte [Permitir a los usuarios de IAM ver su información de facturación](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-billing-view-billing-only) en la *Guía del usuario de facturación*. |
| aws-portal:ViewUsage | Permita o deniegue a los usuarios el permiso para ver los [informes AWS](https://portal.aws.amazon.com/billing/home#/reports) de uso. Para permitir a los usuarios ver informes de uso, debe conceder los permisos `ViewUsage` y `ViewBilling`. Para ver un ejemplo de política, consulte [Permitir a los usuarios de IAM acceder a la página de la consola de informes](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-billing-view-reports) en la *Guía del usuario de facturación*. |
| `aws-portal:ModifyBilling` | Conceda o deniegue permisos a los usuarios para modificar las siguientes páginas de la consola Gestión de costos y facturación: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/cost-management/latest/userguide/billing-permissions-ref.html) Para permitir a los usuarios modificar estas páginas de la consola, debe conceder los permisos `ModifyBilling` y `ViewBilling`. Para ver una política de ejemplo, consulte [Cómo permitir a los usuarios modificar la información de facturación](billing-example-policies.md#example-billing-deny-modifybilling). |
| `aws-portal:ViewAccount` | Conceda o deniegue permisos a los usuarios para ver las siguientes páginas de la consola Gestión de costos y facturación: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/cost-management/latest/userguide/billing-permissions-ref.html) |
| aws-portal:ModifyAccount | Conceda o deniegue permisos a los usuarios para modificar [Configuración de la cuenta](https://portal.aws.amazon.com/billing/home#/account). Para permitir a los usuarios modificar la configuración de la cuenta, debe conceder los permisos `ModifyAccount` y `ViewAccount`. Para ver un ejemplo de una política que deniega de forma explícita a un usuario el acceso a la página de la consola **Configuración de la cuenta**, consulte [Cómo denegar el acceso a la configuración de la cuenta, pero permitir el acceso completo al resto de la información de facturación y de uso](billing-example-policies.md#example-billing-deny-modifyaccount). |
| budgets:ViewBudget | Conceda o deniegue permisos a los usuarios para ver [Presupuestos](https://portal.aws.amazon.com/billing/home#/budgets). Para permitir a los usuarios ver los presupuestos, también debe conceder el permiso `ViewBilling`. |
| budgets:ModifyBudget | Conceda o deniegue permisos a los usuarios para modificar [Presupuestos](https://portal.aws.amazon.com/billing/home#/budgets). Para permitir a los usuarios ver y modificar los presupuestos, también debe conceder el permiso `ViewBilling`. |
| ce:GetPreferences | Conceda o deniegue permisos a los usuarios para ver la página de preferencias de Explorador de costos. Para ver una política de ejemplo, consulte [Cómo ver y actualizar la página Preferences (Preferencias) de Explorador de costos](billing-example-policies.md#example-view-update-ce). |
| ce:UpdatePreferences | Conceda o deniegue permisos a los usuarios para actualizar la página de preferencias de Explorador de costos. Para ver una política de ejemplo, consulte [Cómo ver y actualizar la página Preferences (Preferencias) de Explorador de costos](billing-example-policies.md#example-view-update-ce). |
| ce:DescribeReport | Conceda o deniegue permisos a los usuarios para ver la página de informes de Explorador de costos. Para ver una política de ejemplo, consulte [Cómo ver, crear, actualizar y eliminar a través de la página Reports (Informes) de Explorador de costos](billing-example-policies.md#example-view-ce-reports). |
| ce:CreateReport | Conceda o deniegue permisos a los usuarios para crear informes con la página de informes de Explorador de costos. Para ver una política de ejemplo, consulte [Cómo ver, crear, actualizar y eliminar a través de la página Reports (Informes) de Explorador de costos](billing-example-policies.md#example-view-ce-reports). |
| ce:UpdateReport | Conceda o deniegue permisos a los usuarios para actualizar con la página de informes de Explorador de costos. Para ver una política de ejemplo, consulte [Cómo ver, crear, actualizar y eliminar a través de la página Reports (Informes) de Explorador de costos](billing-example-policies.md#example-view-ce-reports). |
| ce:DeleteReport | Conceda o deniegue permisos a los usuarios para eliminar informes con la página de informes de Explorador de costos. Para ver una política de ejemplo, consulte [Cómo ver, crear, actualizar y eliminar a través de la página Reports (Informes) de Explorador de costos](billing-example-policies.md#example-view-ce-reports). |
| ce:DescribeNotificationSubscription | Conceda o deniegue permisos a los usuarios para ver las alertas de vencimiento de las reservas de Explorador de costos en la página de información general de las reservas. Para ver una política de ejemplo, consulte [Cómo ver, crear, actualizar y eliminar reservas y alertas de Savings Plans](billing-example-policies.md#example-view-ce-expiration). |
| ce:CreateNotificationSubscription | Conceda o deniegue permisos a los usuarios para crear alertas de vencimiento de las reservas de Explorador de costos en la página de información general de las reservas. Para ver una política de ejemplo, consulte [Cómo ver, crear, actualizar y eliminar reservas y alertas de Savings Plans](billing-example-policies.md#example-view-ce-expiration). |
| ce:UpdateNotificationSubscription | Conceda o deniegue permisos a los usuarios para actualizar las alertas de vencimiento de las reservas de Explorador de costos en la página de información general de las reservas. Para ver una política de ejemplo, consulte [Cómo ver, crear, actualizar y eliminar reservas y alertas de Savings Plans](billing-example-policies.md#example-view-ce-expiration). |
| ce:DeleteNotificationSubscription | Conceda o deniegue permisos a los usuarios para eliminar alertas de vencimiento de las reservas de Explorador de costos en la página de información general de las reservas. Para ver una política de ejemplo, consulte [Cómo ver, crear, actualizar y eliminar reservas y alertas de Savings Plans](billing-example-policies.md#example-view-ce-expiration). |
| ce:CreateCostCategoryDefinition | Conceda o deniegue permisos a los usuarios para crear categorías de costos. Para ver un ejemplo de política, consulte [Ver y administrar las categorías de costos](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-policy-cc-api) en la *Guía del usuario de facturación*. Puede añadir etiquetas de recursos a los monitores durante `Create`. Para crear monitores con etiquetas de recursos, necesita el permiso `ce:TagResource`. |
| ce:DeleteCostCategoryDefinition | Conceda o deniegue permisos a los usuarios para eliminar categorías de costos. Para ver un ejemplo de política, consulte [Ver y administrar las categorías de costos](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-policy-cc-api) en la *Guía del usuario de facturación*. |
| ce:DescribeCostCategoryDefinition | Conceda o deniegue permisos a los usuarios para ver categorías de costos. Para ver un ejemplo de política, consulte [Ver y administrar las categorías de costos](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-policy-cc-api) en la *Guía del usuario de facturación*. |
| ce:ListCostCategoryDefinitions | Conceda o deniegue permisos a los usuarios para crear una lista de categorías de costos. Para ver un ejemplo de política, consulte [Ver y administrar las categorías de costos](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-policy-cc-api) en la *Guía del usuario de facturación*. |
| ce:ListTagsForResource | Conceda o deniegue permisos a los usuarios para enumerar todas las etiquetas de recursos de un recurso determinado. Para ver una lista de los recursos compatibles, consulta [ResourceTag](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_ResourceTag.html)la *referencia de la Administración de facturación y costos de AWS API*. |
| ce:UpdateCostCategoryDefinition | Conceda o deniegue permisos a los usuarios para actualizar las categorías de costos. Para ver un ejemplo de política, consulte [Ver y administrar las categorías de costos](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-policy-cc-api) en la *Guía del usuario de facturación*. |
| ce:CreateAnomalyMonitor | Conceda o deniegue permisos a los usuarios para crear un monitoreo único de [Detección de anomalías en los costos de AWS](manage-ad.md). Puede añadir etiquetas de recursos a los monitores durante `Create`. Para crear monitores con etiquetas de recursos, necesita el permiso `ce:TagResource`. |
| ce:GetAnomalyMonitors | Conceda o deniegue permisos a los usuarios para ver todos los monitores de [Detección de anomalías en los costos de AWS](manage-ad.md). |
| ce:UpdateAnomalyMonitor | Conceda o deniegue permisos a los usuarios para actualizar los monitores de [Detección de anomalías en los costos de AWS](manage-ad.md). |
| ce:DeleteAnomalyMonitor | Conceda o deniegue permisos a los usuarios para eliminar monitores de [Detección de anomalías en los costos de AWS](manage-ad.md). |
| ce:CreateAnomalySubscription | Conceda o deniegue permisos a los usuarios para crear una suscripción única a [la Detección de anomalías en los costos de AWS](manage-ad.md). Puede añadir etiquetas de recursos a las suscripciones durante `Create`. Para crear suscripciones con etiquetas de recursos, necesita el permiso `ce:TagResource`. |
| ce:GetAnomalySubscriptions | Conceda o deniegue permisos a los usuarios para ver las suscripciones a [la Detección de anomalías en los costos de AWS](manage-ad.md). |
| ce:UpdateAnomalySubscription | Conceda o deniegue permisos a los usuarios para actualizar las suscripciones a [la Detección de anomalías en los costos de AWS](manage-ad.md). |
| ce:DeleteAnomalySubscription | Conceda o deniegue permisos a los usuarios para eliminar las suscripciones a [la Detección de anomalías en los costos de AWS](manage-ad.md). |
| ce:GetAnomalies | Conceda o deniegue permisos a los usuarios para ver todas las anomalías en [la Detección de anomalías en los costos de AWS](manage-ad.md). |
| ce:ProvideAnomalyFeedback | Conceda o deniegue permisos a los usuarios para brindar retroalimentación sobre una detección de [la Detección de anomalías en los costos de AWS](manage-ad.md). |
| ce:TagResource | Conceda o deniegue permisos a los usuarios para añadir pares clave-valor de etiquetas de recursos a un recurso. Para ver una lista de los recursos compatibles, consulta [ResourceTag](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_ResourceTag.html)la *referencia de la Administración de facturación y costos de AWS API*. |
| ce:UntagResource | Conceda o deniegue permisos a los usuarios para eliminar etiquetas de recursos de un recurso. Para ver una lista de los recursos compatibles, consulta [ResourceTag](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_ResourceTag.html)la *referencia de la Administración de facturación y costos de AWS API*. |
| ce:GetCostAndUsageComparisons | Conceda o deniegue permisos a los usuarios para recuperar comparaciones de costos y uso. |
| ce:GetCostComparisonDrivers | Conceda o deniegue permisos a los usuarios para recuperar los factores de costos. |
## Políticas de acciones recomendadas de Administración de facturación y costos
Para empezar con las acciones recomendadas, debe tener los siguientes permisos básicos:
+ `bcm-recommended-actions:ListRecommendedActions`
En ese caso, se requieren permisos adicionales en función del tipo de acción recomendado. En la siguiente tabla se resumen los distintos tipos de acciones recomendadas y los permisos de política de IAM correspondientes necesarios para ver las acciones recomendadas.
**nota**
Incluso con un permiso de política de IAM concedido, el tipo de acción recomendado correspondiente solo se ve si la acción recomendada se aplica realmente.
| Tipo de acción recomendada | Nombre de permiso necesario | Description (Descripción) |
| --- | --- | --- |
| Método de pago caducado | "bcm-recommended-actions:ListRecommendedActions",
"payments:ListPaymentPreferences",
"payments:GetPaymentInstrument"
| Para conocer las acciones recomendadas relacionadas con los pagos. |
| Método de pago no válido | "bcm-recommended-actions:ListRecommendedActions",
"payments:ListPaymentPreferences",
"payments:GetPaymentInstrument"
| Para conocer las acciones recomendadas relacionadas con los pagos. |
| Pagos vencidos | "bcm-recommended-actions:ListRecommendedActions",
"payments:GetPaymentStatus"
| Para conocer las acciones recomendadas relacionadas con los pagos. |
| Pagos adeudados | "bcm-recommended-actions:ListRecommendedActions",
"payments:GetPaymentStatus"
| Para conocer las acciones recomendadas relacionadas con los pagos. |
| Fije la información de registro fiscal | "bcm-recommended-actions:ListRecommendedActions",
"tax:GetTaxRegistration"
| Para ver las acciones recomendadas relacionadas con la configuración fiscal. |
| Actualice el certificado de exención fiscal | "bcm-recommended-actions:ListRecommendedActions",
"tax:GetExemptions"
| Para ver las acciones recomendadas relacionadas con la configuración fiscal. |
| Migración a permisos granulares | "bcm-recommended-actions:ListRecommendedActions",
"aws-portal:GetConsoleActionSetEnforced",
"ce:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced"
| Para ver las acciones recomendadas relacionadas con los permisos de IAM. |
| Revisión de alertas presupuestarias | "bcm-recommended-actions:ListRecommendedActions",
"budgets:DescribeBudgetNotificationsForAccount",
"budgets:DescribeBudget"
| Para las acciones recomendadas relacionadas con el presupuesto. |
| Revisión de presupuestos excedidos | "bcm-recommended-actions:ListRecommendedActions",
"budgets:DescribeBudgets"
| Para las acciones recomendadas relacionadas con el presupuesto. |
| Revise las alertas de uso del nivel gratuito | "bcm-recommended-actions:ListRecommendedActions",
"freetier:GetFreeTierUsage"
| Para acciones recomendadas para el nivel gratuito |
| Revise las anomalías | "bcm-recommended-actions:ListRecommendedActions",
"ce:GetAnomalies"
| Para las acciones recomendadas relacionadas con la Detección de anomalías en los costos. |
| Revise las reservas que vencen | "bcm-recommended-actions:ListRecommendedActions",
"ce:GetReservationUtilization"
| Para las acciones recomendadas relacionadas con la optimización de costos. |
| Revise Savings Plans que vencen | "bcm-recommended-actions:ListRecommendedActions",
"ce:GetSavingsPlansUtilizationDetails"
| Para las acciones recomendadas relacionadas con la optimización de costos. |
| Revise las recomendaciones sobre oportunidades de ahorro | "bcm-recommended-actions:ListRecommendedActions",
"cost-optimization-hub:ListEnrollmentStatuses",
"cost-optimization-hub:ListRecommendationSummaries"
| Para las acciones recomendadas relacionadas con la optimización de costos. |
| Habilite el Centro de optimización de costos | "bcm-recommended-actions:ListRecommendedActions",
"cost-optimization-hub:ListEnrollmentStatuses"
| Para las acciones recomendadas relacionadas con la optimización de costos. |
| Creación de un presupuesto | "bcm-recommended-actions:ListRecommendedActions",
"budgets:DescribeBudgets"
| Para las acciones recomendadas relacionadas con el presupuesto. |
| Para crear un presupuesto de reserva | "bcm-recommended-actions:ListRecommendedActions",
"budgets:DescribeBudgets",
"ce:GetReservationUtilization"
| Para las acciones recomendadas relacionadas con el presupuesto. |
| Cree un presupuesto de Savings Plans | "bcm-recommended-actions:ListRecommendedActions",
"budgets:DescribeBudgets",
"ce:GetSavingsPlansUtilizationDetails"
| Para las acciones recomendadas relacionadas con el presupuesto. |
| Agregue un contacto de facturación alternativo | "bcm-recommended-actions:ListRecommendedActions",
"account:GetAlternateContact"
| Para ver las acciones recomendadas relacionadas con la cuenta. |
| Cree un monitor de anomalías | "bcm-recommended-actions:ListRecommendedActions",
"ce:GetAnomalyMonitors"
| Para las acciones recomendadas relacionadas con la Detección de anomalías en los costos. |
## Políticas administradas
**nota**
Las siguientes acciones AWS Identity and Access Management (IAM) finalizaron el soporte estándar en julio de 2023:
espacio de nombres `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Si lo estás utilizando AWS Organizations, puedes usar los [scripts de migración masiva de políticas para actualizar las políticas desde tu cuenta de pagador](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html). También puede utilizar la [referencia de mapeo de acciones de antigua a granular](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html) para verificar las acciones de IAM que deben agregarse.
Para obtener más información, consulta el blog sobre los [cambios en la AWS facturación, la gestión de AWS costes y los permisos de las consolas de cuentas](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/).
Si tienes o formas Cuenta de AWS parte de uno AWS Organizations creado el 6 de marzo de 2023 a las 11:00 (PDT) o después de esa fecha, las acciones detalladas ya están en vigor en tu organización.
Las políticas administradas son políticas independientes basadas en la identidad que puedes adjuntar a varios usuarios, grupos y roles de tu cuenta. AWS Puede utilizar políticas AWS gestionadas para controlar el acceso a Billing and Cost Management.
Una política AWS gestionada es una política independiente creada y administrada por AWS. AWS las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes. AWS las políticas administradas le permiten asignar los permisos adecuados a los usuarios, grupos y roles con más facilidad que si tuviera que escribir las políticas usted mismo.
No puede cambiar los permisos definidos en las políticas AWS gestionadas. AWS actualiza ocasionalmente los permisos definidos en una política AWS gestionada. Cuando esto ocurre, la actualización afecta a todas las entidades principales (usuarios, grupos y roles) a los que está asociada la política.
Billing and Cost Management proporciona varias políticas AWS gestionadas para casos de uso comunes.
**Topics**
+ [Permite el acceso total a AWS los presupuestos, incluidas las acciones presupuestarias](#budget-managedIAM-full)
+ [Permite el acceso de solo lectura a AWS los presupuestos](#budget-managedIAM-read-only)
+ [Permite a AWS Budgets llamar a los servicios necesarios para verificar la facturación (ver acceso)](#budget-managedIAM-billing-view)
+ [Permite el permiso para controlar AWS los recursos](#budget-managedIAM-SSM)
+ [Permiso para que el Centro de optimización de costos llame a los servicios necesarios para que el servicio funcione](#cost-optimization-hub-managedIAM)
+ [Permiso de acceso de solo lectura al Centro de optimización de costos](#cost-optimization-hub-read-only)
+ [Permiso de acceso de administrador al Centro de optimización de costos](#cost-optimization-hub-admin)
+ [Permiso para que los datos de asignación de costos divididos llamen a los servicios necesarios para que el servicio funcione](#split-cost-allocation-data-managedIAM)
+ [Permite a Data Exports acceder a otros servicios AWS](#data-exports-managedIAM)
### Permite el acceso total a AWS los presupuestos, incluidas las acciones presupuestarias
Nombre de la política administrada: `AWSBudgetsActionsWithAWSResourceControlAccess`
Esta política gestionada se centra en el usuario, lo que garantiza que usted disponga de los permisos adecuados para conceder permiso a AWS Budgets para ejecutar las acciones definidas. Esta política proporciona acceso completo a AWS los presupuestos, incluidas las acciones presupuestarias, para recuperar el estado de sus políticas y gestionar AWS los recursos utilizando los Consola de administración de AWS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"budgets:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "budgets.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"aws-portal:ModifyBilling",
"ec2:DescribeInstances",
"iam:ListGroups",
"iam:ListPolicies",
"iam:ListRoles",
"iam:ListUsers",
"organizations:ListAccounts",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListPolicies",
"organizations:ListRoots",
"rds:DescribeDBInstances",
"sns:ListTopics"
],
"Resource": "*"
}
]
}
```
------
### Permite el acceso de solo lectura a AWS los presupuestos
Nombre de la política administrada: `AWSBudgetsReadOnlyAccess`
Esta política gestionada permite el acceso de solo lectura a AWS los presupuestos a través del Consola de administración de AWS. Puede asociar la política a sus usuarios, grupos y roles.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid": "AWSBudgetsReadOnlyAccess",
"Effect" : "Allow",
"Action" : [
"aws-portal:ViewBilling",
"budgets:ViewBudget",
"budgets:Describe*",
"budgets:ListTagsForResource"
],
"Resource" : "*"
}
]
}
```
------
### Permite a AWS Budgets llamar a los servicios necesarios para verificar la facturación (ver acceso)
Nombre de la política administrada: `BudgetsServiceRolePolicy`
Permite a AWS Budgets verificar el acceso a las vistas de facturación compartidas entre los distintos límites de las cuentas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"billing:GetBillingViewData"
],
"Resource": "*"
}
]
}
```
------
Para obtener más información, consulte [Roles vinculados al servicio para Budgets](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-SLR.html).
### Permite el permiso para controlar AWS los recursos
Nombre de la política administrada: `AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM`
Esta política gestionada se centra en las acciones específicas que AWS Budgets toma en tu nombre al completar una acción específica. Esta política otorga permiso para controlar AWS los recursos. Por ejemplo, inicia y detiene las instancias de Amazon EC2 o Amazon RDS mediante la ejecución de scripts de AWS Systems Manager (SSM).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceStatus",
"ec2:StartInstances",
"ec2:StopInstances",
"rds:DescribeDBInstances",
"rds:StartDBInstance",
"rds:StopDBInstance"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"ssm.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:StartAutomationExecution"
],
"Resource": [
"arn:aws:ssm:*:*:document/AWS-StartEC2Instance",
"arn:aws:ssm:*:*:document/AWS-StopEC2Instance",
"arn:aws:ssm:*:*:document/AWS-StartRdsInstance",
"arn:aws:ssm:*:*:document/AWS-StopRdsInstance",
"arn:aws:ssm:*:*:automation-execution/*"
]
}
]
}
```
------
### Permiso para que el Centro de optimización de costos llame a los servicios necesarios para que el servicio funcione
Nombre de la política administrada: `CostOptimizationHubServiceRolePolicy`
Permite que el Centro de optimización de costos recupere información de la organización y recopile datos y metadatos relacionados con la optimización.
Para ver los permisos de esta política, consulte [CostOptimizationHubServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CostOptimizationHubServiceRolePolicy.html) en la *Guía de referencia de la política administrada de AWS *.
Para obtener más información, consulte [Roles vinculados a servicios para el Centro de optimización de costos](https://docs.aws.amazon.com/cost-management/latest/userguide/cost-optimization-hub-SLR.html).
### Permiso de acceso de solo lectura al Centro de optimización de costos
Nombre de la política administrada: `CostOptimizationHubReadOnlyAccess`
Esta política proporciona acceso de solo lectura al Centro de optimización de costos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CostOptimizationHubReadOnlyAccess",
"Effect": "Allow",
"Action": [
"cost-optimization-hub:ListEnrollmentStatuses",
"cost-optimization-hub:GetPreferences",
"cost-optimization-hub:GetRecommendation",
"cost-optimization-hub:ListRecommendations",
"cost-optimization-hub:ListRecommendationSummaries"
],
"Resource": "*"
}
]
}
```
------
### Permiso de acceso de administrador al Centro de optimización de costos
Nombre de la política administrada: `CostOptimizationHubAdminAccess`
Esta política administrada proporciona acceso de administrador al Centro de optimización de costos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CostOptimizationHubAdminAccess",
"Effect": "Allow",
"Action": [
"cost-optimization-hub:ListEnrollmentStatuses",
"cost-optimization-hub:UpdateEnrollmentStatus",
"cost-optimization-hub:GetPreferences",
"cost-optimization-hub:UpdatePreferences",
"cost-optimization-hub:GetRecommendation",
"cost-optimization-hub:ListRecommendations",
"cost-optimization-hub:ListRecommendationSummaries",
"organizations:EnableAWSServiceAccess"
],
"Resource": "*"
},
{
"Sid": "AllowCreationOfServiceLinkedRoleForCostOptimizationHub",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/cost-optimization-hub.bcm.amazonaws.com/AWSServiceRoleForCostOptimizationHub"
],
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cost-optimization-hub.bcm.amazonaws.com"
}
}
},
{
"Sid": "AllowAWSServiceAccessForCostOptimizationHub",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringLike": {
"organizations:ServicePrincipal": [
"cost-optimization-hub.bcm.amazonaws.com"
]
}
}
}
]
}
```
------
### Permiso para que los datos de asignación de costos divididos llamen a los servicios necesarios para que el servicio funcione
Nombre de la política administrada: `SplitCostAllocationDataServiceRolePolicy`
Permite que los datos de asignación de costos divididos recuperen la información de AWS las Organizaciones, si corresponde, y recopilen datos de telemetría para los servicios de datos de asignación de costos divididos que el cliente haya elegido.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AwsOrganizationsAccess",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Sid": "AmazonManagedServiceForPrometheusAccess",
"Effect": "Allow",
"Action": [
"aps:ListWorkspaces",
"aps:QueryMetrics"
],
"Resource": "*"
}
]
}
```
------
Para obtener más información, consulte [Roles vinculados a servicios para datos de asignación de costos divididos](https://docs.aws.amazon.com/cost-management/latest/userguide/split-cost-allocation-data-SLR.html).
### Permite a Data Exports acceder a otros servicios AWS
Nombre de la política administrada: `AWSBCMDataExportsServiceRolePolicy`
Permite que Data Exports acceda a otros AWS servicios, como Cost Optimization Hub, en su nombre.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CostOptimizationRecommendationAccess",
"Effect": "Allow",
"Action": [
"cost-optimization-hub:ListEnrollmentStatuses",
"cost-optimization-hub:ListRecommendations"
],
"Resource": "*"
}
]
}
```
------
Para obtener más información, consulte [Roles vinculados a servicios para Exportaciones de datos](https://docs.aws.amazon.com/cost-management/latest/userguide/data-exports-SLR.html).
## AWS Cost Management actualiza las políticas AWS gestionadas
Consulte los detalles sobre las actualizaciones de las políticas AWS gestionadas de AWS Cost Management desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del [historial de documentos](https://docs.aws.amazon.com/cost-management/latest/userguide/doc-history.html) de gestión de AWS costes.
****
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| Actualización de una política existente [AWSBudgetsActions\$1RolePolicyForResourceAdministrationWithSSM](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#budget-managedIAM-SSM) | Hemos actualizado la política con los requisitos automation-execution y document los permisos de usossm:StartAutomationExecution. | 04/07/2026 |
| Actualización de políticas existentes [CostOptimizationHubReadOnlyAccess](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-read-only) [CostOptimizationHubAdminAccess](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-admin) | Hemos actualizado la política para añadir la acción "cost-optimization-hub:ListEfficiencyMetrics". | 20/11/2025 |
| Adición de una nueva política [BudgetsServiceRolePolicy](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#budget-managedIAM-billing-view) | Budgets agregó una nueva política que se utilizará con las funciones vinculadas a los servicios, que permite el acceso a AWS los servicios y recursos utilizados o administrados por Budgets. | 08/06/2025 |
| Actualización de una política existente [CostOptimizationHubServiceRolePolicy](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-managedIAM) | Hemos actualizado la política para añadir la acción ce:GetDimensionValues. | 23/07/2025 |
| Actualización de una política existente [CostOptimizationHubServiceRolePolicy](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-managedIAM) | Hemos actualizado la política para agregar las acciones organizations:ListDelegatedAdministrators y ce:GetCostAndUsage. | 07/05/2024 |
| Actualización de una política existente [AWSBudgetsReadOnlyAccess](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#budget-managedIAM-read-only) | Hemos actualizado la política para añadir la acción budgets:ListTagsForResource. | 17/06/2024 |
| Adición de una nueva política [AWSBCMDataExportsServiceRolePolicy](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#data-exports-managedIAM) | Data Exports agregó una nueva política para su uso con las funciones vinculadas a los servicios, que permite el acceso a otros AWS servicios, como Cost Optimization Hub. | 10/06/2024 |
| Adición de una nueva política [SplitCostAllocationDataServiceRolePolicy](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#split-cost-allocation-data-managedIAM) | Los datos de asignación de costos divididos agregaron una nueva política para usarse con las funciones vinculadas a los servicios, que permite el acceso a los AWS servicios y recursos utilizados o administrados mediante los datos de asignación de costos divididos. | 16/04/2024 |
| Actualización de una política existente [AWSBudgetsActions\$1RolePolicyForResourceAdministrationWithSSM](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#budget-managedIAM-SSM) | Actualizamos la política con permisos de acceso limitado. La acción ssm:StartAutomationExecution solo está permitida para recursos específicos que se usan en acciones presupuestarias. | 14/12/2023 |
| Actualización de políticas existentes [CostOptimizationHubReadOnlyAccess](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-read-only) [CostOptimizationHubAdminAccess](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-admin) | Se actualizaron las dos políticas administradas siguientes en el Centro de optimización de costos:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/cost-management/latest/userguide/billing-permissions-ref.html) | 14 de diciembre de 2023 |
| Adición de una nueva política [CostOptimizationHubServiceRolePolicy](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-managedIAM) | Cost Optimization Hub agregó una nueva política para usar con las funciones vinculadas a los servicios, que permite el acceso a los AWS servicios y recursos utilizados o administrados por Cost Optimization Hub. | 11/02/2023 |
| AWS La administración de costos comenzó a rastrear los cambios | AWS Cost Management comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas | 11/02/2023 |
# AWS Ejemplos de políticas de gestión de costes
**nota**
Las siguientes acciones AWS Identity and Access Management (IAM) finalizaron el soporte estándar en julio de 2023:
espacio de nombres `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Si lo estás utilizando AWS Organizations, puedes usar los [scripts de migración masiva de políticas para actualizar las políticas desde tu cuenta de pagador](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html). También puede utilizar la [referencia de mapeo de acciones de antigua a granular](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html) para verificar las acciones de IAM que deben agregarse.
Para obtener más información, consulta el blog sobre los [cambios en la AWS facturación, la gestión de AWS costes y los permisos de las consolas de cuentas](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/).
Si tienes o formas Cuenta de AWS parte de uno AWS Organizations creado el 6 de marzo de 2023 a las 11:00 (PDT) o después de esa fecha, las acciones detalladas ya están en vigor en tu organización.
Este tema contiene políticas de ejemplo que puede adjuntar a un rol de IAM para controlar el acceso a la información y herramientas de facturación de su cuenta. Las siguientes reglas básicas se aplican a las políticas de IAM para Administración de facturación y costos:
+ `Version` es siempre `2012-10-17`.
+ `Effect` es siempre `Allow` o `Deny`.
+ `Action` es el nombre de la acción o un asterisco (`*`).
El prefijo de acción es `budgets` para AWS los presupuestos, `cur` los informes de AWS costes y uso, `aws-portal` la AWS facturación o el explorador `ce` de costes.
+ `Resource`siempre es `*` para AWS facturación.
Para las acciones que se llevan a cabo con un recurso de `budget`, especifique el nombre de recurso de Amazon (ARN) del presupuesto.
+ Es posible tener varias declaraciones en una política.
Para ver una lista de ejemplos de políticas de la consola de Facturación, consulte los [Ejemplos de políticas de facturación](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html) en la *Guía del usuario de facturación*.
**nota**
Estas políticas requieren que active el acceso de usuario a la consola de Administración de facturación y costos en la página de la consola [Configuración de la cuenta](https://portal.aws.amazon.com/billing/home#/account). Para obtener más información, consulte [Activación del acceso a la consola de Administración de facturación y costos](control-access-billing.md#ControllingAccessWebsite-Activate).
**Topics**
+ [Cómo denegar a los usuarios el acceso a la consola de Administración de facturación y costos](#example-billing-deny-all)
+ [Denegue el acceso al widget de costo y uso de la AWS consola a las cuentas de los miembros](#example-billing-deny-widget)
+ [Denegue el acceso al widget de costo y uso de la AWS consola a usuarios y roles específicos](#example-billing-deny-ce)
+ [Permitir el acceso total a AWS los servicios pero denegar a los usuarios el acceso a la consola Billing and Cost Management](#ExampleAllowAllDenyBilling)
+ [Cómo permitir a los usuarios ver la consola de Administración de facturación y costos, excepto la configuración de la cuenta](#example-billing-read-only)
+ [Cómo permitir a los usuarios modificar la información de facturación](#example-billing-deny-modifybilling)
+ [Cómo permitir a los usuarios crear presupuestos](#example-billing-allow-createbudgets)
+ [Cómo denegar el acceso a la configuración de la cuenta, pero permitir el acceso completo al resto de la información de facturación y de uso](#example-billing-deny-modifyaccount)
+ [Informes de depósito en un bucket de Amazon S3](#example-billing-s3-bucket)
+ [Cómo ver costos y uso](#example-policy-ce-api)
+ [Habilite y deshabilite AWS las regiones](#enable-disable-regions)
+ [Cómo ver y actualizar la página Preferences (Preferencias) de Explorador de costos](#example-view-update-ce)
+ [Cómo ver, crear, actualizar y eliminar a través de la página Reports (Informes) de Explorador de costos](#example-view-ce-reports)
+ [Cómo ver, crear, actualizar y eliminar reservas y alertas de Savings Plans](#example-view-ce-expiration)
+ [Permita el acceso de solo lectura a la detección de anomalías de costes AWS](#example-policy-ce-ad)
+ [Permita que AWS Budgets aplique las políticas de IAM y SCPs](#example-budgets-IAM-SCP)
+ [Permita que AWS Budgets aplique las políticas de IAM y los SCP y se dirija a las instancias de EC2 y RDS](#example-budgets-applySCP)
+ [Permite a los usuarios crear, enumerar y agregar usos a las estimaciones de carga de trabajo en la Calculadora de precios](#example-pc-create-list-estimates)
+ [Permite a los usuarios crear, enumerar y agregar usos y compromisos a los escenarios de facturación en la Calculadora de precios](#example-pc-create-list-scenario)
+ [Permite a los usuarios crear una estimación de factura en la Calculadora de precios](#example-pc-create-bill-estimate)
+ [Cómo permitir a los usuarios crear preferencias en la Calculadora de precios](#example-pc-create-preferences)
+ [Permite a los usuarios crear, gestionar y compartir visualizaciones de facturación personalizadas](#example-billing-view)
+ [Permite que los usuarios accedan al Explorador de costos al acceder a una visualización de facturación personalizada específica](#example-custom-billing-view)
## Cómo denegar a los usuarios el acceso a la consola de Administración de facturación y costos
Para denegar de forma explícita a un usuario el acceso a todas las páginas de la consola de Administración de facturación y costos, utilice una política similar a esta política de ejemplo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "aws-portal:*",
"Resource": "*"
}
]
}
```
------
## Denegue el acceso al widget de costo y uso de la AWS consola a las cuentas de los miembros
Para restringir el acceso de la cuenta de miembro (vinculada) a los datos de costo y uso, utilice su cuenta de administración (pagador) para acceder a la pestaña de preferencias del Explorador de costos y desmarque la opción **Acceso de la cuenta vinculada**. Esto denegará el acceso a los datos de costo y uso de la consola Cost Explorer (administración de AWS costos), la API Cost Explorer y el widget de costo y uso de la página de inicio de la AWS consola, independientemente de las acciones de IAM que realice el usuario o el rol de la cuenta de un miembro.
## Denegue el acceso al widget de costo y uso de la AWS consola a usuarios y roles específicos
Para denegar el acceso a los widgets de costo y uso de la AWS consola a usuarios y roles específicos, usa la política de permisos que se indica a continuación.
**nota**
Al agregar esta política a un usuario o rol, se denegará a los usuarios el acceso a la consola AWS Cost Explorer (Cost Management) y a Cost Explorer APIs también.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ce:*",
"Resource": "*"
}
]
}
```
------
## Permitir el acceso total a AWS los servicios pero denegar a los usuarios el acceso a la consola Billing and Cost Management
Para denegar a los usuarios el acceso a todo el contenido de la consola de Administración de facturación y costos, utilice la siguiente política. En este caso, también debes denegar el acceso de los usuarios a AWS Identity and Access Management (IAM) para que no puedan acceder a las políticas que controlan el acceso a la información y las herramientas de facturación.
**importante**
Esta política no permite ninguna acción. Utilice esta política en combinación con otras políticas que permiten acciones específicas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aws-portal:*",
"iam:*"
],
"Resource": "*"
}
]
}
```
------
## Cómo permitir a los usuarios ver la consola de Administración de facturación y costos, excepto la configuración de la cuenta
Esta política permite el acceso de solo lectura a toda la consola de Administración de facturación y costos, incluidas las páginas **Método de pago** e **Informes**, pero deniega el acceso a la página **Configuración de la cuenta**. De este modo, protege la contraseña de la cuenta, la información de contacto y las preguntas de seguridad.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:View*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## Cómo permitir a los usuarios modificar la información de facturación
Para permitir que los usuarios modifiquen la información de facturación de la cuenta en la consola de Administración de facturación y costos, debe permitir que los usuarios consulten su información de facturación. La siguiente política de ejemplo permite a un usuario modificar las páginas de la consola **Facturación unificada**, **Preferencias** y **Créditos**. También permite a un usuario ver las siguientes páginas de la consola de Administración de facturación y costos:
+ **Panel**
+ **Explorador de costos**
+ **Facturas**
+ **Pedidos y facturas**
+ **Pago por adelantado**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:*Billing",
"Resource": "*"
}
]
}
```
------
## Cómo permitir a los usuarios crear presupuestos
Para permitir a los usuarios crear presupuestos en la consola Billing and Cost Management, también debe permitir a los usuarios ver su información de facturación, crear CloudWatch alarmas y crear notificaciones de Amazon SNS. La siguiente política de ejemplo permite a un usuario de modificar la página de la consola **Presupuesto**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1435216493000",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"aws-portal:ModifyBilling",
"budgets:ViewBudget",
"budgets:ModifyBudget"
],
"Resource": [
"*"
]
},
{
"Sid": "Stmt1435216514000",
"Effect": "Allow",
"Action": [
"cloudwatch:*"
],
"Resource": [
"*"
]
},
{
"Sid": "Stmt1435216552000",
"Effect": "Allow",
"Action": [
"sns:*"
],
"Resource": [
"arn:aws:sns:us-east-1::"
]
}
]
}
```
------
## Cómo denegar el acceso a la configuración de la cuenta, pero permitir el acceso completo al resto de la información de facturación y de uso
Para proteger la contraseña de su cuenta, la información de contacto y las preguntas de seguridad, puede denegar a los usuarios el acceso a **Configuración de la cuenta**, mientras permite el acceso completo al resto de las funcionalidades de la consola de Administración de facturación y costos, como se muestra en el siguiente ejemplo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:*Billing",
"aws-portal:*Usage",
"aws-portal:*PaymentMethods"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## Informes de depósito en un bucket de Amazon S3
La siguiente política permite a Billing and Cost Management guardar tus AWS facturas detalladas en un bucket de Amazon S3, siempre y cuando seas propietario tanto de la AWS cuenta como del bucket de Amazon S3. Tenga en cuenta que esta política debe aplicarse al bucket de Amazon S3, en lugar de a un usuario. Es decir, es una política basada en recursos, no una política basada en usuario. Debe denegar el acceso de usuarios de al bucket para todos los usuarios de que no necesiten obtener acceso a las facturas.
Reemplace *bucketname* con el nombre de su bucket.
Para obtener más información, consulte [Uso de políticas de bucket y políticas de usuario](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-iam-policies.html) en la *Guía del usuario de Amazon Simple Storage Service*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": [
"s3:GetBucketAcl",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::bucketname"
},
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::bucketname/*"
}
]
}
```
------
## Cómo ver costos y uso
Para permitir que los usuarios utilicen la API AWS Cost Explorer, utilice la siguiente política para concederles acceso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ce:*"
],
"Resource": [
"*"
]
}
]
}
```
------
## Habilite y deshabilite AWS las regiones
Para ver un ejemplo de política de IAM que permite a los usuarios habilitar y deshabilitar regiones, consulte [AWS: Permite habilitar y deshabilitar AWS regiones](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws-enable-disable-regions.html) en la Guía del usuario de *IAM*.
## Cómo ver y actualizar la página Preferences (Preferencias) de Explorador de costos
Esta política permite a un usuario ver y actualizar a través de la **página Preferencias de Explorador de costos**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
La siguiente política permite a los usuarios ver Explorador de costos, pero no les permite ver o editar la página **Preferencias**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:GetPreferences",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
La siguiente política permite a los usuarios ver Explorador de costos, pero no les permite editar la página **Preferencias**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
## Cómo ver, crear, actualizar y eliminar a través de la página Reports (Informes) de Explorador de costos
Esta política permite a un usuario ver, crear, actualizar y eliminar a través de la **página Informes de Explorador de costos**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
La siguiente política permite a los usuarios ver Explorador de costos, pero no les permite ver o editar la página **Informes**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeReport",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
La siguiente política permite a los usuarios ver Explorador de costos, pero no les permite editar la página **Informes**.
## Cómo ver, crear, actualizar y eliminar reservas y alertas de Savings Plans
Esta política permite a un usuario ver, crear, actualizar y eliminar [alertas de vencimiento de reservas](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ce-ris.html) y [alertas de Savings Plans](https://docs.aws.amazon.com/savingsplans/latest/userguide/sp-overview.html#sp-alert). Para editar las alertas de vencimiento de reservas o las alertas de Savings Plans, un usuario necesita las tres acciones granulares: `ce:CreateNotificationSubscription`, `ce:UpdateNotificationSubscription` y `ce:DeleteNotificationSubscription`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
La siguiente política permite a los usuarios ver Explorador de costos, pero no les permite ver o editar las páginas **Alertas de vencimiento de reservas** y **Alertas de Savings Plans**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeNotificationSubscription",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
La siguiente política permite a los usuarios ver Explorador de costos, pero no les permite editar las páginas **Alertas de vencimiento de reservas** y **Alertas de Savings Plans**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
## Permita el acceso de solo lectura a la detección de anomalías de costes AWS
Para permitir a los usuarios el acceso de solo lectura a AWS Cost Anomaly Detection, utilice la siguiente política para concederles el acceso. `ce:ProvideAnomalyFeedback`es opcional como parte del acceso de solo lectura.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ce:Get*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Permita que AWS Budgets aplique las políticas de IAM y SCPs
Esta política permite a AWS Budgets aplicar las políticas de IAM y las políticas de control de servicios (SCPs) en nombre del usuario.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": "*"
}
]
}
```
------
## Permita que AWS Budgets aplique las políticas de IAM y los SCP y se dirija a las instancias de EC2 y RDS
Esta política permite a AWS Budgets aplicar políticas de IAM y políticas de control de servicios (SCP) y dirigirse a las instancias de Amazon EC2 y Amazon RDS en nombre del usuario.
Política de confianza
**nota**
Esta política de confianza permite a AWS Budgets asumir una función que puede solicitar a otros servicios en su nombre. Para obtener más información sobre las mejores prácticas respecto a permisos entre servicios como este, consulte [Prevención de la sustitución confusa entre servicios](cross-service-confused-deputy-prevention.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "budgets.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:budgets::123456789012:budget/*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
]
}
```
------
Política de permisos
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceStatus",
"ec2:StartInstances",
"ec2:StopInstances",
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"rds:DescribeDBInstances",
"rds:StartDBInstance",
"rds:StopDBInstance",
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
```
------
## Permite a los usuarios crear, enumerar y agregar usos a las estimaciones de carga de trabajo en la Calculadora de precios
Esta política permite a los usuarios de IAM crear, enumerar y agregar el uso a las estimaciones de carga de trabajo, junto con permisos para consultar los datos del Explorador de costos para obtener datos históricos de costo y uso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "WorkloadEstimate",
"Effect": "Allow",
"Action": [
"ce:GetCostCategories",
"ce:GetDimensionValues",
"ce:GetCostAndUsage",
"ce:GetTags",
"bcm-pricing-calculator:GetWorkloadEstimate",
"bcm-pricing-calculator:ListWorkloadEstimateUsage",
"bcm-pricing-calculator:CreateWorkloadEstimate",
"bcm-pricing-calculator:ListWorkloadEstimates",
"bcm-pricing-calculator:CreateWorkloadEstimateUsage",
"bcm-pricing-calculator:UpdateWorkloadEstimateUsage"
],
"Resource": "*"
}
]
}
```
------
## Permite a los usuarios crear, enumerar y agregar usos y compromisos a los escenarios de facturación en la Calculadora de precios
Esta política permite a los usuarios de IAM crear, enumerar y agregar usos y compromisos a los escenarios de facturación. Los permisos del Explorador de costos no se agregan, por lo que no podrá cargar datos históricos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "BillScenario",
"Effect": "Allow",
"Action": [
"bcm-pricing-calculator:CreateBillScenario",
"bcm-pricing-calculator:GetBillScenario",
"bcm-pricing-calculator:ListBillScenarios",
"bcm-pricing-calculator:CreateBillScenarioUsageModification",
"bcm-pricing-calculator:UpdateBillScenarioUsageModification",
"bcm-pricing-calculator:ListBillScenarioUsageModifications",
"bcm-pricing-calculator:ListBillScenarioCommitmentModifications"
],
"Resource": "*"
}
]
}
```
------
## Permite a los usuarios crear una estimación de factura en la Calculadora de precios
Esta política permite a los usuarios de IAM crear estimaciones de facturas y enumerar partidas de estimaciones de facturas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "BillEstimate",
"Effect": "Allow",
"Action": [
"bcm-pricing-calculator:CreateBillEstimate",
"bcm-pricing-calculator:GetBillEstimate",
"bcm-pricing-calculator:UpdateBillEstimate",
"bcm-pricing-calculator:ListBillEstimates",
"bcm-pricing-calculator:ListBillEstimateLineItems",
"bcm-pricing-calculator:ListBillEstimateCommitments",
"bcm-pricing-calculator:ListBillEstimateInputUsageModifications",
"bcm-pricing-calculator:ListBillEstimateInputCommitmentModifications"
],
"Resource": "*"
}
]
}
```
------
## Cómo permitir a los usuarios crear preferencias en la Calculadora de precios
Esta política permite a los usuarios de IAM crear y obtener preferencias de tarifas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RatePreferences",
"Effect": "Allow",
"Action": [
"bcm-pricing-calculator:GetPreferences",
"bcm-pricing-calculator:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
## Permite a los usuarios crear, gestionar y compartir visualizaciones de facturación personalizadas
Permite a los usuarios de IAM crear, gestionar y compartir visualizaciones de facturación personalizadas Necesitarán la capacidad de crear y administrar vistas de facturación personalizadas mediante Billing View, y la capacidad de crear y asociar recursos compartidos mediante AWS Resource Access Manager (AWS RAM).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"billing:CreateBillingView",
"billing:UpdateBillingView",
"billing:DeleteBillingView",
"billing:GetBillingView",
"billing:ListBillingViews",
"billing:ListTagsForResource",
"billing:PutResourcePolicy",
"ce:GetCostAndUsage",
"ce:GetTags",
"organizations:ListAccounts",
"ram:ListResources",
"ram:ListPermissions",
"ram:CreateResourceShare",
"ram:AssociateResourceShare",
"ram:GetResourceShares",
"ram:GetResourceShareAssociations",
"ram:ListResourceSharePermissions",
"ram:ListResourceTypes",
"ram:ListPrincipals",
"ram:DisassociateResourceShare"
],
"Resource": "*"
}
]
}
```
------
## Permite que los usuarios accedan al Explorador de costos al acceder a una visualización de facturación personalizada específica
Esta política permite que los usuarios de IAM accedan al Explorador de costos acceder a una visualización de facturación personalizada específica (`custom-1a2b3c4d`). `123456789012`Sustitúyalo por el identificador de AWS cuenta de 12 dígitos y `1a2b3c4d` por el identificador único de la vista de facturación personalizada.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ce:GetDimensionValues",
"ce:GetCostAndUsageWithResources",
"ce:GetCostAndUsage",
"ce:GetCostForecast",
"ce:GetTags",
"ce:GetUsageForecast",
"ce:GetCostCategories"
],
"Resource": [
"arn:aws:billing::123456789012:billingview/custom-1a2b3c4d"
]
},
{
"Effect": "Allow",
"Action": [
"billing:ListBillingViews",
"billing:GetBillingView"
],
"Resource": "*"
}
]
}
```
------
# Migración del control de acceso para AWS la administración de costos
**nota**
Las siguientes acciones AWS Identity and Access Management (IAM) finalizaron el soporte estándar en julio de 2023:
espacio de nombres `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Si lo estás utilizando AWS Organizations, puedes usar los [scripts de migración masiva de políticas para actualizar las políticas desde tu cuenta de pagador](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html). También puede utilizar la [referencia de mapeo de acciones de antigua a granular](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html) para verificar las acciones de IAM que deben agregarse.
Para obtener más información, consulta el blog sobre los [cambios en la AWS facturación, la gestión de AWS costes y los permisos de las consolas de cuentas](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/).
Si tienes o formas Cuenta de AWS parte de uno AWS Organizations creado el 6 de marzo de 2023 a las 11:00 (PDT) o después de esa fecha, las acciones detalladas ya están en vigor en tu organización.
Puede utilizar controles de acceso detallados para proporcionar a las personas de su organización acceso a los servicios. Administración de facturación y costos de AWS Por ejemplo, puede proporcionar acceso a Cost Explorer sin proporcionar acceso a la consola AWS de facturación.
Para usar los controles de acceso detallados, deberá migrar sus políticas desde el `aws-portal` a las nuevas acciones de IAM.
Las siguientes acciones de IAM en sus políticas de permisos o políticas de control de servicios (SCP) requieren actualización con esta migración:
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
Para obtener información sobre cómo utilizar la herramienta **Políticas afectadas** para identificar las políticas de IAM afectadas, consulte [Cómo usar la herramienta de políticas afectadas](migrate-security-iam-tool.md).
**nota**
Las solicitudes programáticas AWS Cost Explorer, los informes de AWS costos y uso y los AWS presupuestos no se ven afectados.
[Activación del acceso a la consola de Administración de facturación y costos](control-access-billing.md#ControllingAccessWebsite-Activate) permanecen sin cambios.
**Topics**
+ [Administración de permisos de acceso](#migrate-control-access-CMG)
+ [Cómo usar la herramienta de políticas afectadas](migrate-security-iam-tool.md)
## Administración de permisos de acceso
AWS La administración de costos se integra con el servicio AWS Identity and Access Management (IAM) para que pueda controlar qué miembros de su organización tienen acceso a páginas específicas de la consola de [administración de AWS costos](https://console.aws.amazon.com/cost-management/). Puede controlar el acceso a las funciones de gestión de AWS costes. Por ejemplo, AWS Cost Explorer, Savings Plans y recomendaciones de reservas, planes de ahorro e informes de utilización y cobertura de reservas.
Utilice los siguientes permisos de IAM para controlar de forma pormenorizada la consola de gestión de AWS costes.
### Uso de acciones de administración de costos detalladas AWS
Esta tabla resume los permisos que permiten o deniegan a los roles y usuarios de IAM el acceso a su información de costo y uso. Para ver ejemplos de políticas que utilizan estos permisos, consulte [AWS Ejemplos de políticas de gestión de costes](billing-example-policies.md).
Para obtener una lista de las acciones de la consola de AWS facturación, consulte [las políticas de acciones AWS de facturación](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions) en la guía del usuario de *AWS facturación*.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/cost-management/latest/userguide/migrate-granularaccess-whatis.html)
# Cómo usar la herramienta de políticas afectadas
**nota**
Las siguientes acciones AWS Identity and Access Management (IAM) finalizaron el soporte estándar en julio de 2023:
espacio de nombres `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Si lo estás utilizando AWS Organizations, puedes usar los [scripts de migración masiva de políticas para actualizar las políticas desde tu cuenta de pagador](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html). También puede utilizar la [referencia de mapeo de acciones de antigua a granular](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html) para verificar las acciones de IAM que deben agregarse.
Para obtener más información, consulta el blog sobre los [cambios en la AWS facturación, la gestión de AWS costes y los permisos de las consolas de cuentas](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/).
Si tienes o formas Cuenta de AWS parte de uno AWS Organizations creado el 6 de marzo de 2023 a las 11:00 (PDT) o después de esa fecha, las acciones detalladas ya están en vigor en tu organización.
Puedes usar la herramienta **Políticas afectadas** de la consola de facturación para identificar las políticas de IAM (excluidas SCPs) y hacer referencia a las acciones de IAM afectadas por esta migración. Utilice la herramienta **Políticas afectadas** para realizar las siguientes tareas:
+ Identificar las políticas de IAM y hacer referencia a las acciones de IAM afectadas por esta migración
+ Copiar la política actualizada en su portapapeles
+ Abrir la política afectada en el editor de políticas de IAM
+ Guardar la política actualizada para su cuenta
+ Activar los permisos detallados y desactivar las acciones anteriores
Esta herramienta funciona dentro de los límites de la AWS cuenta en la que has iniciado sesión y no se divulga la información relativa a otras AWS Organizations cuentas.
**Cómo utilizar la herramienta Políticas afectadas**
1. Inicia sesión en Consola de administración de AWS y abre la Administración de facturación y costos de AWS consola en [https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/).
1. Pegue la siguiente URL en su navegador para acceder a la herramienta **Políticas afectadas**: [https://console.aws.amazon.com/poliden/home?region=us-east-1#/](https://console.aws.amazon.com/poliden/home?region=us-east-1#/).
**nota**
El permiso `iam:GetAccountAuthorizationDetails` es necesario para consultar esta página.
1. Revise la tabla que enumera las políticas de IAM afectadas. Utilice la columna **Deprecated IAM actions** (Acciones de IAM en desuso) para revisar acciones de IAM específicas a las que se hace referencia en una política.
1. En la columna **Copiar la política actualizada**, seleccione **Copiar** para copiar la política actualizada en el portapapeles. La política actualizada contiene la política existente y las acciones detalladas sugeridas anexas a la misma en un bloque `Sid` separado. Este bloque tiene el prefijo `AffectedPoliciesMigrator` al final de la política.
1. En la columna **Editar política en la consola de IAM**, seleccione **Editar** para ir al editor de políticas de IAM. Verá el JSON de su política actual.
1. Sustituya toda la política existente por la política actualizada que copió en el paso 4. Puede realizar cualquier otro cambio según sea necesario.
1. Elija **Guardar cambios** y después **Probar**.
1. Repita los pasos del 3 al 7 para todas las políticas afectadas.
1. Después de actualizar las políticas, actualice la herramienta **Políticas afectadas** para confirmar que no haya políticas afectadas en la lista. La columna **Nuevas acciones de IAM encontradas** debería indicar **Sí** para todas las políticas y los botones **Copiar** y **Editar** estarán desactivados. Las políticas afectadas están actualizadas.
**Cómo activar acciones detalladas para su cuenta**
Tras actualizar las políticas, siga este procedimiento para habilitar las acciones detalladas en sus cuenta.
Solo la cuenta de administración (pagador) de una organización o cuentas individuales pueden usar la sección **Administrar nuevas acciones de IAM**. Una cuenta individual puede activar las nuevas acciones por sí misma. Una cuenta de administración puede permitir nuevas acciones para toda la organización o para un subconjunto de cuentas de miembros. Si su cuenta es de administración, actualice las políticas afectadas de todas las cuentas de los miembros y active las nuevas acciones para su organización. Para obtener más información, consulta la sección [¿Cómo cambiar las cuentas entre acciones nuevas y específicas o acciones de IAM existentes?](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/#How-to-toggle-accounts-between-new-fine-grained-actions-or-existing-IAM-Actions) sección de la entrada del blog. AWS
**nota**
Para llevar a cabo esta acción, debe tener los siguientes permisos:
`aws-portal:GetConsoleActionSetEnforced`
`aws-portal:UpdateConsoleActionSetEnforced`
`ce:GetConsoleActionSetEnforced`
`ce:UpdateConsoleActionSetEnforced`
`purchase-orders:GetConsoleActionSetEnforced`
`purchase-orders:UpdateConsoleActionSetEnforced`
Si no ve la sección **Administrar nuevas acciones de IAM**, significa que su cuenta ya ha activado las acciones detalladas de IAM.
1. En **Administrar nuevas acciones de IAM**, la configuración **Conjunto de acciones actual aplicado** pasará a tener el estado **Existente**.
Elija **Habilitar nuevas acciones (detalladas)** y, a continuación, elija **Aplicar cambios**.
1. En el cuadro de diálogo, elija **Yes**. El estado **Conjunto de acciones actual aplicado** cambiará a **Detalladas**. Esto significa que las nuevas acciones se aplican para su Cuenta de AWS o para su organización.
1. (Opcional) A continuación, puede actualizar las políticas existentes para eliminar cualquiera de las acciones anteriores.
**Example Ejemplo: antes y después de la política de IAM**
La siguiente política de IAM tiene la acción `aws-portal:ViewPaymentMethods` anterior.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
}
]
}
```
Tras copiar la política actualizada, en el siguiente ejemplo se muestra el nuevo bloque `Sid` con las acciones detalladas.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
},
{
"Sid": "AffectedPoliciesMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"invoicing:GetInvoicePDF",
"payments:GetPaymentInstrument",
"payments:GetPaymentStatus",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}
]
}
```
## Recursos relacionados
Para obtener más información, consulte [Sid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html) en la *Guía del usuario de IAM*.
[Para obtener más información sobre las nuevas acciones detalladas, consulte la [referencia sobre mapeo de acciones de IAM detalladas y Uso de acciones específicas](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html) de gestión de costes. AWS](https://docs.aws.amazon.com/cost-management/latest/userguide/migrate-granularaccess-whatis.html#migrate-user-permissions)
# Prevención de la sustitución confusa entre servicios
El problema de la sustitución confusa es un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción. En este caso, la suplantación de identidad entre servicios puede provocar el AWS confuso problema de los diputados. La suplantación entre servicios puede producirse cuando un servicio (el *servicio que lleva a cabo las llamadas*) llama a otro servicio (el *servicio al que se llama*). El servicio que lleva a cabo las llamadas se puedes manipular para utilizar sus permisos a fin de actuar en función de los recursos de otro cliente de una manera en la que no debe tener permiso para acceder. Para evitarlo, AWS proporciona herramientas que lo ayudan a proteger sus datos para todos los servicios con entidades principales de servicio a las que se les ha dado acceso a los recursos de su cuenta.
Recomendamos utilizar las claves de contexto de condición [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)y las claves de contexto en las políticas de recursos para limitar los permisos al recurso que las funciones de administración de AWS costos pueden conceder a otro servicio. Si se utilizan ambas claves contextuales de condición global, el valor `aws:SourceAccount` y la cuenta del valor `aws:SourceArn` deben utilizar el mismo ID de cuenta cuando se utilicen en la misma declaración de política.
La forma más eficaz de protegerse contra el problema de la sustitución confusa es utilizar la clave de contexto de condición global de `aws:SourceArn` con el ARN completo del recurso. Si no conoce el ARN completo del recurso o si especifica varios recursos, utiliza la clave de condición de contexto global `aws:SourceArn` con comodines (`*`) para las partes desconocidas del ARN. Por ejemplo, `arn:aws:servicename::123456789012:*`. En el AWS caso de los presupuestos, el valor de `aws:SourceArn` debe ser`arn:aws:budgets::123456789012:budget/*`.
El siguiente ejemplo muestra cómo se pueden utilizar las claves de contexto `aws:SourceArn` y las condiciones `aws:SourceAccount` globales de AWS los presupuestos para evitar el confuso problema de los diputados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "budgets.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:budgets::123456789012:budget/*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
]
}
```
------
# Solución de problemas de identidad y acceso a AWS Cost Management
Utilice la siguiente información como ayuda para diagnosticar y solucionar los problemas más comunes que pueden surgir al trabajar con AWS Cost Management e IAM.
**Topics**
+ [No estoy autorizado a realizar ninguna acción en AWS Cost Management](#security_iam_troubleshoot-no-permissions)
+ [No estoy autorizado a realizar lo siguiente: PassRole](#security_iam_troubleshoot-passrole)
+ [Quiero ver mis claves de acceso](#security_iam_troubleshoot-access-keys)
+ [Soy administrador y quiero permitir que otras personas accedan a AWS Cost Management](#security_iam_troubleshoot-admin-delegate)
+ [Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis recursos de gestión de AWS costes](#security_iam_troubleshoot-cross-account-access)
## No estoy autorizado a realizar ninguna acción en AWS Cost Management
Si Consola de administración de AWS le indica que no está autorizado a realizar una acción, debe ponerse en contacto con su administrador para obtener ayuda. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
En el siguiente ejemplo, el error se produce cuando el usuario `mateojackson` intenta utilizar la consola para consultar los detalles acerca de un recurso ficticio `my-example-widget`, pero no tiene los permisos ficticios `ce:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ce:GetWidget on resource: my-example-widget
```
En este caso, Mateo pide a su administrador que actualice sus políticas de forma que pueda obtener acceso al recurso `my-example-widget` mediante la acción `ce:GetWidget`.
## No estoy autorizado a realizar lo siguiente: PassRole
Si recibe un mensaje de error que indica que no está autorizado a realizar la `iam:PassRole` acción, sus políticas deben actualizarse para que pueda transferir una función a AWS Cost Management.
Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada al servicio. Para ello, debe tener permisos para transferir la función al servicio.
En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en la Administración de costos de AWS . Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Quiero ver mis claves de acceso
Después de crear sus claves de acceso de usuario de IAM, puede ver su ID de clave de acceso en cualquier momento. Sin embargo, no puede volver a ver su clave de acceso secreta. Si pierde la clave de acceso secreta, debe crear un nuevo par de claves de acceso.
Las claves de acceso se componen de dos partes: un ID de clave de acceso (por ejemplo, `AKIAIOSFODNN7EXAMPLE`) y una clave de acceso secreta (por ejemplo, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`). El ID de clave de acceso y la clave de acceso secreta se utilizan juntos, como un nombre de usuario y contraseña, para autenticar sus solicitudes. Administre sus claves de acceso con el mismo nivel de seguridad que para el nombre de usuario y la contraseña.
**importante**
No proporcione las claves de acceso a terceros, ni siquiera para que lo ayuden a [buscar el ID de usuario canónico](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId). De este modo, podrías dar a alguien acceso permanente a tu Cuenta de AWS.
Cuando crea un par de claves de acceso, se le pide que guarde el ID de clave de acceso y la clave de acceso secreta en un lugar seguro. La clave de acceso secreta solo está disponible en el momento de su creación. Si pierde la clave de acceso secreta, debe agregar nuevas claves de acceso a su usuario de IAM. Puede tener un máximo de dos claves de acceso. Si ya cuenta con dos, debe eliminar un par de claves antes de crear una nueva. Para consultar las instrucciones, consulte [Administración de claves de acceso](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey) en la *Guía del usuario de IAM*.
## Soy administrador y quiero permitir que otras personas accedan a AWS Cost Management
Para permitir que otras personas accedan a AWS Cost Management, debe conceder permiso a las personas o aplicaciones que necesiten acceder. Si usa AWS IAM Identity Center para administrar las personas y las aplicaciones, debe asignar conjuntos de permisos a los usuarios o grupos para definir su nivel de acceso. Los conjuntos de permisos crean políticas de IAM y las asignan a los roles de IAM asociados a la persona o aplicación de forma automática. Para obtener más información, consulte la sección [Conjuntos de permisos](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) en la *Guía del usuario de AWS IAM Identity Center *.
Si no utiliza IAM Identity Center, debe crear entidades de IAM (usuarios o roles) para las personas o aplicaciones que necesitan acceso. A continuación, debe adjuntar una política a la entidad que les conceda los permisos correctos en AWS Cost Management. Una vez concedidos los permisos, proporcione las credenciales al usuario o al desarrollador de la aplicación. Utilizarán esas credenciales para acceder a AWS. Para obtener más información sobre la creación de usuarios, grupos, políticas y permisos de IAM, consulte [Identidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) y [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis recursos de gestión de AWS costes
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que respaldan las políticas basadas en recursos o las listas de control de acceso (ACLs), puede usar esas políticas para permitir que las personas accedan a sus recursos.
Para obtener más información, consulte lo siguiente:
+ Para saber si AWS Cost Management admite estas funciones, consulte. [Cómo funciona la gestión de AWS costes con IAM](security_iam_service-with-iam.md)
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro de su propiedad Cuenta de AWS en](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) la Guía del *usuario de IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Funciones vinculadas al servicio para la gestión de costes AWS
Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Para más información sobre cómo crear o administrar roles vinculados a servicios, consulta [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Busque un servicio en la tabla que incluya `Yes` en la columna **Rol vinculado a un servicio**. Seleccione el vínculo **Sí** para ver la documentación acerca del rol vinculado a servicios para ese servicio.
# Cómo utilizar roles vinculados a servicios
Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un servicio. AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en su AWS cuenta y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
**Topics**
+ [Roles vinculados a servicios para el Centro de optimización de costos](cost-optimization-hub-SLR.md)
+ [Roles vinculados a servicios para datos de asignación de costos divididos](split-cost-allocation-data-SLR.md)
+ [Roles vinculados a servicios para Exportaciones de datos](data-exports-SLR.md)
+ [Roles vinculados a servicios para Budgets](budgets-SLR.md)
+ [Funciones vinculadas al servicio para los atributos de usuario para la asignación de costes](ubca-SLR.md)
# Roles vinculados a servicios para el Centro de optimización de costos
[Cost Optimization Hub utiliza AWS funciones vinculadas al servicio Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado al servicio es un tipo único de rol de IAM que está vinculado directamente al Centro de optimización de costos. Cost Optimization Hub predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio necesita para llamar a otros AWS servicios en su nombre.
Un rol vinculado a un servicio facilita la configuración del Centro de optimización de costos porque no tiene que añadir manualmente los permisos necesarios. El Centro de optimización de costos define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo el Centro de optimización de costos puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Yes** (Sí) en la columna **Service-Linked Role** (Rol vinculado a servicio). Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de roles vinculados a servicios para el Centro de optimización de costos
El Centro de optimización de costos usa el rol vinculado al servicio denominado `AWSServiceRoleForCostOptimizationHub`, que permite el acceso a los servicios y recursos de AWS que usa o administra el Centro de optimización de costos.
El rol vinculado a servicios `AWSServiceRoleForCostOptimizationHub` confía en el servicio `cost-optimization-hub.bcm.amazonaws.com` para asumir el rol.
La política de permisos del rol denominada `CostOptimizationHubServiceRolePolicy` permite que el Centro de optimización de costos complete las siguientes acciones en los recursos especificados:
+ organizaciones: DescribeOrganization
+ organizaciones: ListAccounts
+ organizaciones: lista AWSService AccessForOrganization
+ organizaciones: ListParents
+ organizaciones: DescribeOrganizationalUnit
+ organizaciones: ListDelegatedAdministrators
+ hielo: ListCostAllocationTags
+ hielo: GetCostAndUsage
+ hielo: GetDimensionValues
Para obtener más información, consulte [Permiso para que el Centro de optimización de costos llame a los servicios necesarios para que el servicio funcione](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-managedIAM).
Para ver todos los detalles de los permisos del rol vinculado al servicio `CostOptimizationHubServiceRolePolicy`, consulte [CostOptimizationHubServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CostOptimizationHubServiceRolePolicy.html) en la *Guía de referencia de políticas administradas de AWS *.
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Creación del rol vinculado a servicios del Centro de optimización de costos
No necesita crear manualmente un rol vinculado a servicios. Cuando active el Centro de optimización de costos, el servicio crea automáticamente el rol vinculado al servicio para usted. Puede habilitar Cost Optimization Hub a través de la consola de administración de AWS costos o mediante la API o la AWS CLI. Para obtener más información, consulte “Activar el Centro de optimización de costos” en esta guía del usuario.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta.
## Edición del rol vinculado a servicios del Centro de optimización de costos
Dado que varias entidades pueden hacer referencia al rol vinculado al servicio denominado `AWSServiceRoleForCostOptimizationHub`, no puede cambiar su nombre después de crearlo. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Edición del rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la Guía del usuario de IAM.
**Para permitir que una entidad de IAM edite la descripción del rol vinculado al servicio `AWSServiceRoleForCostOptimizationHub`:**
Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que tiene que editar la descripción del rol vinculado al servicio.
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/cost-optimization-hub.bcm.amazonaws.com/AWSServiceRoleForCostOptimizationHub",
"Condition": {"StringLike": {"iam:AWSServiceName": "cost-optimization-hub.bcm.amazonaws.com"}}
}
```
## Eliminación del rol vinculado a servicios del Centro de optimización de costos
Si ya no usa el Centro de optimización de costos, le recomendamos que elimine el rol vinculado al servicio `AWSServiceRoleForCostOptimizationHub`. De esta forma, no tendrá una entidad no utilizada cuya supervisión o mantenimiento no se realizan de forma activa. Sin embargo, antes de poder eliminar manualmente el rol vinculado al servicio, debe desactivar el Centro de optimización de costos.
**Para desactivar el Centro de optimización de costos:**
Para obtener información sobre cómo desactivar el Centro de optimización de costos, consulte [Desactivación del Centro de optimización de costos](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html#coh-opt-out).
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM, la interfaz de línea de AWS comandos (AWS CLI) o la AWS API para eliminar el rol vinculado al `AWSServiceRoleForCostOptimizationHub` servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles con los roles vinculados a servicios para el Centro de optimización de costos
El Centro de optimización de costos es compatible con el uso de roles vinculados a servicios en todas las regiones de AWS en las que el servicio esté disponible. Para obtener más información, consulte AWS los puntos finales del servicio.
# Roles vinculados a servicios para datos de asignación de costos divididos
[Los datos de asignación de costes divididos utilizan AWS funciones vinculadas al servicio Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado al servicio es un tipo único de rol de IAM que está vinculado directamente a los datos de asignación de costos divididos. Las funciones vinculadas al servicio están predefinidas mediante datos de asignación de costes divididos e incluyen todos los permisos que el servicio necesita para llamar a otros AWS servicios en su nombre.
Un rol vinculado al servicio facilita la configuración de los datos de asignación de costos divididos porque no tiene que añadir manualmente los permisos necesarios. Los datos de asignación de costos divididos definen los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo estos pueden asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Yes** (Sí) en la columna **Service-Linked Role** (Rol vinculado a servicio). Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos del rol vinculado a servicios para los datos de asignación de costos divididos
Los datos de asignación de costos divididos utilizan el rol vinculado al servicio denominado`AWSServiceRoleForSplitCostAllocationData`, que permite el acceso a AWS los servicios y recursos utilizados o administrados mediante los datos de asignación de costos divididos.
El rol vinculado a servicios `AWSServiceRoleForSplitCostAllocationData` confía en el servicio `split-cost-allocation-data.bcm.amazonaws.com` para asumir el rol.
La política de permisos del rol denominada `SplitCostAllocationDataServiceRolePolicy` permite que los datos de asignación de costos divididos completen las siguientes acciones en los recursos especificados:
+ organizaciones: DescribeOrganization
+ organizaciones: ListAccounts
+ organizaciones: lista AWSService AccessForOrganization
+ organizaciones: ListParents
+ aplicaciones: ListWorkspaces
+ Mapas: QueryMetrics
Para obtener más información, consulte [Permiso para que los datos de asignación de costos divididos llamen a los servicios necesarios para que el servicio funcione](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#split-cost-allocation-data-managedIAM).
Para ver todos los detalles de los permisos del rol vinculado al servicio `SplitCostAllocationDataServiceRolePolicy`, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CostOptimizationHubServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CostOptimizationHubServiceRolePolicy.html) en la *Guía de referencia de políticas administradas de AWS *.
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la Guía del usuario de IAM.
## Cómo crear el rol vinculado al servicio de los datos de asignación de costos divididos
No necesita crear manualmente un rol vinculado a servicios. Cuando activa los datos de asignación de costos divididos, el servicio crea automáticamente el rol vinculado al servicio para usted. Puede habilitar los datos de asignación de costos divididos a través de la consola de administración de AWS costos. Para obtener más información, consulte [Enabling split cost allocation data](https://docs.aws.amazon.com/cur/latest/userguide/enabling-split-cost-allocation-data.html).
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta.
## Edición del rol vinculado al servicio de los datos de asignación de costos divididos
Dado que varias entidades pueden hacer referencia al rol vinculado al servicio denominado `AWSServiceRoleForSplitCostAllocationData`, no puede cambiar su nombre después de crearlo. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Edición del rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la Guía del usuario de IAM.
**Para permitir que una entidad de IAM edite la descripción del rol vinculado al servicio `AWSServiceRoleForSplitCostAllocationData`:**
Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que tiene que editar la descripción del rol vinculado al servicio.
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/split-cost-allocation-data.bcm.amazonaws.com/AWSServiceRoleForSplitCostAllocationData",
"Condition": {"StringLike": {"iam:AWSServiceName": "split-cost-allocation-data.bcm.amazonaws.com"}}
}
```
## Eliminación del rol vinculado al servicio de los datos de asignación de costos divididos
Si ya no usa los datos de asignación de costos divididos, le recomendamos que elimine el rol vinculado al servicio `AWSServiceRoleForSplitCostAllocationData`. De esta forma, no tendrá una entidad no utilizada cuya supervisión o mantenimiento no se realizan de forma activa. Sin embargo, antes de poder eliminar manualmente el rol vinculado al servicio, debe desactivar los datos de asignación de costos divididos.
**Para desactivar los datos de asignación de costos divididos:**
Para obtener más información sobre cómo desactivar los datos de asignación de costos divididos, consulte [Enabling split cost allocation data](https://docs.aws.amazon.com/cur/latest/userguide/enabling-split-cost-allocation-data.html).
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM, la interfaz de línea de AWS comandos (AWS CLI) o la AWS API para eliminar el rol vinculado al `AWSServiceRoleForSplitCostAllocationData` servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles con los roles vinculados a servicios de los datos de asignación de costos divididos
Los datos de asignación de costos divididos son compatibles con el uso de roles vinculados a servicios en todas las regiones de AWS en las que los datos de asignación de costos divididos están disponibles. Para obtener más información, consulte AWS los puntos finales del servicio.
# Roles vinculados a servicios para Exportaciones de datos
[Data Exports utiliza AWS funciones vinculadas al servicio Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado al servicio es un tipo único de rol de IAM que se encuentra vinculado directamente a Exportaciones de datos. Los roles vinculados a servicios están predefinidos por Exportaciones de datos e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.
Un rol vinculado al servicio simplifica la configuración de Exportaciones de datos porque ya no tendrá que agregar manualmente los permisos necesarios. Exportaciones de datos define los permisos de su rol vinculado a servicios y, a menos que esté definida de otra manera, solo Exportaciones de datos puede asumir ese rol. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Yes** (Sí) en la columna **Service-Linked Role** (Rol vinculado a servicio). Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de roles vinculados a servicios para Exportaciones de datos
Exportaciones de datos usa el rol vinculado al servicio denominado `AWSServiceRoleForBCMDataExports`, que permite acceder a los datos del servicio de AWS para exportarlos a una ubicación de destino, como Amazon S3, en nombre del cliente. Esta función vinculada al servicio se utiliza para realizar acciones de solo lectura con el fin de recopilar la menor cantidad de datos de servicio necesaria. AWS El rol vinculado al servicio se emplea a lo largo del tiempo para garantizar la seguridad y para seguir actualizando los datos de exportación en la ubicación de destino.
El rol vinculado a servicios `AWSServiceRoleForBCMDataExports` confía en el servicio `bcm-data-exports.amazonaws.com` para asumir el rol.
La política de permisos del rol denominada `AWSBCMDataExportsServiceRolePolicy` permite que Exportaciones de datos complete las siguientes acciones en los recursos especificados:
+ cost-optimization-hub:ListEnrollmentStatuses
+ cost-optimization-hub:ListRecommendation
Para obtener más información, consulte [Permiso para que las exportaciones de datos accedan a otros servicios de AWS](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#data-exports-managedIAM).
Para ver todos los detalles de los permisos del rol vinculado al servicio `AWSBCMDataExportsServiceRolePolicy`, consulte [AWSBCMDataExportsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CostOptimizationHubServiceRolePolicy.html) en la *Guía de referencia de políticas administradas de AWS *.
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la Guía del usuario de IAM.
## Creación del rol vinculado a servicios de Exportaciones de datos
No necesita crear manualmente el rol vinculado a servicios de Exportaciones de datos. En la página Exportación de datos de la consola, cuando intenta hacer una exportación de una tabla que requiera el rol vinculado al servicio, el servicio lo crea automáticamente.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta.
## Edición del rol vinculado a servicios de Exportaciones de datos
Dado que varias entidades pueden hacer referencia al rol vinculado al servicio denominado `AWSServiceRoleForBCMDataExports`, no puede cambiar su nombre después de crearlo. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Edición del rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la Guía del usuario de IAM.
**Para permitir que una entidad de IAM edite la descripción del rol vinculado al servicio `AWSServiceRoleForBCMDataExports`:**
Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que tiene que editar la descripción del rol vinculado al servicio.
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/bcm-data-exports.amazonaws.com/AWSServiceRoleForBCMDataExports",
"Condition": {"StringLike": {"iam:AWSServiceName": "bcm-data-exports.amazonaws.com"}}
}
```
## Eliminación del rol vinculado a servicios de Exportaciones de datos
Si ya no emplea Exportaciones de datos, le recomendamos que elimine el rol vinculado al servicio `AWSServiceRoleForBCMDataExports`. De esta forma, no tendrá una entidad no utilizada cuya supervisión o mantenimiento no se realizan de forma activa. Sin embargo, antes de poder eliminar manualmente el rol vinculado al servicio, debe primero eliminar todas las exportaciones de datos que requieran el rol vinculado al servicio.
**Para eliminar una exportación:**
Para obtener información sobre cómo eliminar una exportación, consulte [Edición y eliminación de exportaciones](https://docs.aws.amazon.com/cur/latest/userguide/dataexports-edit-delete.html).
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM, la interfaz de línea de AWS comandos (AWS CLI) o la AWS API para eliminar el rol vinculado al `AWSServiceRoleForBCMDataExports` servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles con los roles vinculados a servicios de Exportaciones de datos
Data Exports admite el uso de funciones vinculadas a servicios en todas las AWS regiones en las que está disponible la exportación de datos. Para obtener más información, consulte los puntos finales del AWS servicio.
# Roles vinculados a servicios para Budgets
[Budgets utiliza AWS funciones vinculadas al servicio Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a servicios es un tipo único de rol de IAM que está vinculado directamente a Budgets. Los roles vinculados a servicios están predefinidos por Budgets e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.
Budgets define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Budgets puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Yes** (Sí) en la columna **Service-Linked Role** (Rol vinculado a servicio). Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de roles vinculados a servicios de Budgets.
Budgets usa el rol vinculado al servicio denominado `AWSServiceRoleForBudgets`, que permite a Budgets verificar el acceso a las visualizaciones de facturación que se comparten entre los límites de las cuentas.
El objetivo de esta función vinculada al servicio es comprobar que los clientes tienen acceso a los datos de la visualización de facturación subyacente asociados a un presupuesto al actualizar el gasto de un presupuesto.
El rol vinculado a servicios `AWSServiceRoleForBudgets` confía en el servicio `budgets.amazonaws.com` para asumir el rol.
La política de permisos de funciones, `BudgetsServiceRolePolicy`, permite a Budgets realizar la siguiente acción en todos los recursos de las visualizaciones de facturación a los que el cliente tiene acceso:
+ facturación: GetBillingViewData
Para más infirmación, consulte [Permisos de Budgets para llamar a los servicios necesarios y verificar el acceso a la visualización de facturación](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#budget-managedIAM-billing-view).
Para ver todos los detalles de los permisos del rol vinculado al servicio `BudgetsServiceRolePolicy`, consulte [BudgetsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/BudgetsBillingViewAccessPolicy.html) en la *Guía de referencia de políticas administradas de AWS *.
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Creación del rol Budgets vinculado al servicio
No necesita crear manualmente un rol vinculado a servicios. Cuando realizas una solicitud BillingView desde CreateBudget o UpdateBudget hacia otra cuenta a la que tengas acceso, el servicio crea automáticamente el rol vinculado al servicio para ti.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta.
## Edición del rol Budgets vinculado al servicio
Dado que varias entidades pueden hacer referencia al rol vinculado al servicio denominado `AWSServiceRoleForBudgets`, no puede cambiar su nombre después de crearlo. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Edición del rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la Guía del usuario de IAM.
**Para permitir que una entidad de IAM edite la descripción del rol vinculado al servicio `AWSServiceRoleForBudgets`:**
Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que tiene que editar la descripción del rol vinculado al servicio.
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/budgets.amazonaws.com/AWSServiceRoleForBudgets",
"Condition": {"StringLike": {"iam:AWSServiceName": "budgets.amazonaws.com"}}
}
```
## Eliminación del rol Budgets vinculado a un servicio
Si ya no utiliza Budgets, le recomendamos que elimine el rol vinculado a servicios de `AWSServiceRoleForBudgets`. De esta forma, no tendrá una entidad no utilizada cuya supervisión o mantenimiento no se realizan de forma activa. Sin embargo, antes de poder eliminar manualmente el rol vinculado al servicio, debe eliminar todos los presupuestos de su cuenta que estén asociados a una visualización de facturación de otra cuenta. Si intenta eliminar el rol vinculado al servicio antes de hacerlo, la solicitud fallará.
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM, la interfaz de línea de AWS comandos (AWS CLI) o la AWS API para eliminar el rol vinculado al `AWSServiceRoleForBudgets` servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones admitidas para los roles vinculados a servicios de Budgets
Budgets admite el uso de funciones vinculadas al servicio en todas las AWS regiones en las que el servicio esté disponible. Para obtener más información, consulte los puntos finales del AWS servicio.
# Funciones vinculadas al servicio para los atributos de usuario para la asignación de costes
[Los atributos de usuario para la asignación de costes utilizan AWS funciones vinculadas al servicio Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM que se vincula directamente a los atributos del usuario para la asignación de costos. Los roles vinculados al servicio están predefinidos por los atributos del usuario para la asignación de costos e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.
Un rol vinculado a un servicio facilita la configuración de los atributos de usuario para la asignación de costes, ya que no es necesario añadir manualmente los permisos necesarios. Los atributos de usuario para la asignación de costes definen los permisos de su función vinculada al servicio y, a menos que se defina lo contrario, solo los atributos de usuario para la asignación de costes pueden asumir esa función. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Yes** (Sí) en la columna **Service-Linked Role** (Rol vinculado a servicio). Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de rol vinculados al servicio para los atributos de usuario para la asignación de costes
Los atributos de usuario para la asignación de costes utilizan el rol vinculado al servicio denominado`AWSServiceRoleForUserAttributeCostAllocation`, que concede a los atributos de usuario para la asignación de costes permisos para leer los atributos de usuario del Centro de Identidad de AWS IAM en su nombre.
El rol vinculado a servicios `AWSServiceRoleForUserAttributeCostAllocation` confía en el servicio `user-attribute-cost-allocation-data.amazonaws.com` para asumir el rol.
El rol vinculado al servicio utiliza dos tipos de políticas:
+ **Política de permisos de roles integrada: contiene los permisos** que permiten a los atributos de usuario para la asignación de costes acceder a la información de los usuarios desde su instancia de AWS IAM Identity Center a través de Identity Store. APIs Esta política incluye los permisos de KMS necesarios cuando los clientes cifran sus datos de Identity Center y se aplica a su cuenta e instancia de Identity Center específicas.
+ **AWS política administrada (AWSUserAttributeCostAllocationPolicy):** proporciona permisos adicionales al servicio para recuperar la función vinculada al servicio para uso interno.
Para obtener más información sobre las actualizaciones de la política AWSUser AttributeCostAllocationPolicy gestionada, consulte [las políticas AWS gestionadas de AWS Billing and Cost Management](security-iam-awsmanpol.html).
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la Guía del usuario de IAM.
## Creación de los atributos de usuario para la función vinculada al servicio de asignación de costes
No necesita crear manualmente un rol vinculado a servicios. Al habilitar los atributos de usuario para la asignación de costos en la consola de administración de AWS costos, el servicio crea automáticamente el rol vinculado al servicio para usted.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al habilitar los atributos de usuario para la asignación de costes, el servicio vuelve a crear el rol vinculado al servicio para usted.
## Edición de los atributos de usuario para la función vinculada al servicio de asignación de costes
Dado que varias entidades pueden hacer referencia al rol vinculado al servicio denominado `AWSServiceRoleForUserAttributeCostAllocation`, no puede cambiar su nombre después de crearlo. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Edición del rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la Guía del usuario de IAM.
## Eliminar los atributos de usuario del rol vinculado al servicio de asignación de costes
Si ya no necesita utilizar los atributos de usuario para la asignación de costes, le recomendamos que elimine el rol vinculado al `AWSServiceRoleForUserAttributeCostAllocation` servicio. De esta forma, no tendrá una entidad no utilizada cuya supervisión o mantenimiento no se realizan de forma activa. Sin embargo, antes de poder eliminar manualmente el rol vinculado al servicio, primero debe excluirse de los atributos de usuario para la asignación de costos.
### Limpieza del rol vinculado al servicio
Antes de poder utilizar IAM para eliminar el rol vinculado al servicio, primero debe excluirse de los atributos de usuario para la asignación de costes. Para ello, debe deshabilitar todos los atributos de usuario en las preferencias de asignación de costes.
### Eliminación manual de un rol vinculado a servicios
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al servicio. `AWSServiceRoleForUserAttributeCostAllocation` Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles con los atributos de usuario para las funciones vinculadas al servicio de asignación de costes
Los atributos de usuario para la asignación de costes permiten utilizar funciones vinculadas al servicio en todas las AWS regiones en las que el servicio está disponible. Para obtener más información, consulte puntos de conexión del servicio de AWS .
# AWS políticas gestionadas para AWS Billing and Cost Management
Crear [políticas de IAM gestionadas por los clientes](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) con solo los permisos que su equipo necesita requiere tiempo y experiencia. Para empezar rápidamente, puede utilizar políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS. Para obtener más información sobre las políticas administradas de AWS , consulte [Políticas administradas de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
AWS los servicios mantienen y AWS actualizan las políticas administradas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios agregan permisos adicionales a una política administrada de AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada de AWS cuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.
## AWSUserAttributeCostAllocationPolicy
Esta política proporciona permisos para los atributos de usuario de la función vinculada al servicio de asignación de costes a fin de obtener información sobre la función para las operaciones del servicio interno.
Esta política se adjunta al rol vinculado al servicio de `AWSServiceRoleForUserAttributeCostAllocation`.
## AWS Actualizaciones de Billing and Cost Management a las políticas AWS gestionadas
Vea los detalles sobre las actualizaciones de las políticas AWS gestionadas de AWS Billing and Cost Management desde que este servicio comenzó a rastrear estos cambios.
| Política | Versión | Cambio |
| --- | --- | --- |
| AWSUserAttributeCostAllocationPolicy | 1 | **15 de diciembre de 2025:** creación inicial de la política. Esta política proporciona permisos para que los atributos de usuario del rol vinculado al servicio de asignación de costos obtengan información sobre el rol para las operaciones del servicio interno. |