Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan di AWS Billing
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menjelaskan hal ini sebagai keamanan *dari* cloud dan keamanan *dalam* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara teratur menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [Program AWS Kepatuhan Program AWS Kepatuhan](https://aws.amazon.com/compliance/programs/) . Untuk mempelajari tentang program kepatuhan yang berlaku AWS Manajemen Penagihan dan Biaya, lihat [AWS Layanan dalam Lingkup oleh AWS Layanan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, yang mencakup sensitivitas data Anda, persyaratan perusahaan Anda, serta undang-undang dan peraturan yang berlaku.
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan Manajemen Penagihan dan Biaya. Topik berikut akan menunjukkan kepada Anda cara mengonfigurasi Manajemen Penagihan dan Biaya untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga mempelajari cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan sumber daya Billing and Cost Management Anda.
**Topics**
+ [Perlindungan data di AWS Manajemen Penagihan dan Biaya](data-protection.md)
+ [Identity and Access Management untuk AWS Penagihan](security-iam.md)
+ [Menggunakan peran terkait layanan untuk AWS Billing](using-service-linked-roles.md)
+ [Penebangan dan pemantauan di AWS Manajemen Penagihan dan Biaya](billing-security-logging.md)
+ [Validasi kepatuhan untuk AWS Manajemen Penagihan dan Biaya](Billing-compliance.md)
+ [Ketahanan di AWS Manajemen Penagihan dan Biaya](disaster-recovery-resiliency.md)
+ [Keamanan infrastruktur di AWS Manajemen Penagihan dan Biaya](infrastructure-security.md)
**catatan**
Saat Anda menggunakan transfer penagihan sebagai akun sumber tagihan, data penagihan dan manajemen biaya Anda akan ditransfer ke akun manajemen eksternal (akun transfer tagihan). Akun transfer tagihan mengontrol pengalaman penagihan dan manajemen biaya Anda. Akun sumber tagihan tidak dapat mengganti efek transfer penagihan menggunakan kebijakan IAM. Untuk mendapatkan kembali kendali atas data penagihan dan manajemen biaya Anda, Anda harus menarik diri dari transfer penagihan. Untuk informasi selengkapnya, lihat [Transfer manajemen penagihan ke akun eksternal](orgs_transfer_billing.md).
# Perlindungan data di AWS Manajemen Penagihan dan Biaya
[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di AWS Manajemen Penagihan dan Biaya. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan Billing and Cost Management atau Layanan AWS lainnya menggunakan konsol, API AWS CLI, AWS SDKs atau. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.
# Identity and Access Management untuk AWS Penagihan
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya Penagihan. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
*Untuk mulai mengaktifkan akses ke konsol Penagihan, lihat [tutorial IAM: memberikan akses ke konsol Penagihan di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) IAM.*
## Jenis pengguna dan izin penagihan
Tabel ini merangkum tindakan default yang diizinkan dalam Penagihan untuk setiap jenis pengguna penagihan.
**Jenis pengguna dan izin penagihan**
| Jenis pengguna | Deskripsi | Izin penagihan |
| --- | --- | --- |
| Pemilik akun | Orang atau entitas yang ditetapkan dalam nama akun Anda. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/security-iam.html) |
| Pengguna | Seseorang atau aplikasi yang didefinisikan sebagai pengguna dalam akun oleh pemilik akun atau pengguna administratif. Akun dapat berisi banyak pengguna. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/security-iam.html) |
| Pemilik akun manajemen organisasi | Orang atau entitas yang terkait dengan akun AWS Organizations manajemen. Akun manajemen membayar untuk AWS penggunaan yang dilakukan oleh akun anggota dalam suatu organisasi. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/security-iam.html) |
| Pemilik akun anggota organisasi | Orang atau entitas yang terkait dengan akun AWS Organizations anggota. Akun manajemen membayar untuk AWS penggunaan yang dilakukan oleh akun anggota dalam suatu organisasi. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/security-iam.html) |
# Gambaran umum pengelolaan izin akses
## Memberikan akses ke informasi dan alat penagihan Anda
Secara default, pengguna IAM tidak memiliki akses ke [AWS Manajemen Penagihan dan Biaya konsol](https://console.aws.amazon.com/billing/).
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*.
Sebagai administrator, Anda dapat membuat peran di bawah AWS akun yang dapat diasumsikan oleh pengguna Anda. Setelah Anda membuat peran, Anda dapat melampirkan kebijakan IAM Anda ke mereka, berdasarkan akses yang diperlukan. Misalnya, Anda dapat memberikan beberapa pengguna akses terbatas ke beberapa informasi dan alat penagihan Anda, dan memberikan orang lain akses lengkap ke semua informasi dan alat.
Untuk memberikan akses kepada entitas IAM ke konsol Billing and Cost Management, lengkapi hal-hal berikut:
+ [Aktifkan Akses IAM](#ControllingAccessWebsite-Activate) sebagai pengguna Akun AWS root. Anda hanya perlu menyelesaikan tindakan ini sekali untuk akun Anda.
+ Buat identitas IAM Anda, seperti pengguna, grup, atau peran.
+ Gunakan kebijakan AWS terkelola atau buat kebijakan terkelola pelanggan yang memberikan izin untuk tindakan tertentu di konsol Billing and Cost Management. Untuk informasi selengkapnya, lihat [Menggunakan kebijakan berbasis identitas untuk Penagihan](security_iam_id-based-policy-examples.md#billing-permissions-ref).
Untuk informasi selengkapnya, lihat [tutorial IAM: Berikan akses ke konsol Penagihan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) Pengguna *IAM*.
**catatan**
Izin untuk Cost Explorer berlaku untuk semua akun dan akun anggota, terlepas dari kebijakan IAM. Untuk informasi selengkapnya, lihat [Mengontrol akses ke AWS Cost Explorer](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-access.html).
## Mengaktifkan akses ke konsol Manajemen Penagihan dan Biaya
Pengguna dan peran IAM dalam tidak Akun AWS dapat mengakses konsol Billing and Cost Management secara default. Ini benar bahkan jika mereka memiliki kebijakan IAM yang memberikan akses ke fitur Penagihan tertentu. Untuk memberikan akses, pengguna Akun AWS root dapat menggunakan pengaturan **Aktifkan Akses IAM**.
Jika Anda menggunakan AWS Organizations, aktifkan pengaturan ini di setiap akun manajemen atau anggota tempat Anda ingin mengizinkan pengguna IAM dan akses peran ke konsol Billing and Cost Management. Untuk akun anggota yang dibuat, opsi ini akan diaktifkan secara default. Untuk informasi selengkapnya, lihat [Mengaktifkan akses IAM ke konsol AWS Manajemen Penagihan dan Biaya](billing-getting-started.md#activating-iam-access-to-billing-console).
Pada konsol Penagihan, pengaturan **Aktifkan Akses IAM** mengontrol akses ke halaman berikut:
+ Rumah
+ Anggaran
+ Laporan Budgets
+ AWS Laporan Biaya dan Penggunaan
+ Kategori biaya
+ Tag alokasi biaya
+ Tagihan
+ Pembayaran
+ Kredit
+ Pesanan Pembelian
+ Preferensi penagihan
+ Metode pembayaran
+ Pengaturan pajak
+ Cost Explorer
+ Laporan
+ Rekomendasi rightsizing
+ Rekomendasi Savings Plans
+ Laporan penggunaan Savings Plans
+ Laporan cakupan Savings Plans
+ Gambaran umum reservasi
+ Rekomendasi reservasi
+ Laporan pemanfaatan reservasi
+ Laporan cakupan reservasi
+ Preferensi
**penting**
Mengaktifkan akses IAM saja tidak memberikan peran izin yang diperlukan untuk halaman konsol Billing and Cost Management ini. Selain mengaktifkan akses IAM, Anda juga harus melampirkan kebijakan IAM yang diperlukan untuk peran tersebut. Untuk informasi selengkapnya, lihat [Menggunakan kebijakan berbasis identitas untuk Penagihan](security_iam_id-based-policy-examples.md#billing-permissions-ref).
Pengaturan **Aktifkan Akses IAM** tidak mengontrol akses ke halaman dan sumber daya berikut:
+ Halaman konsol untuk Deteksi Anomali AWS Biaya, ikhtisar Savings Plans, inventaris Savings Plans, Purchase Savings Plans, dan keranjang Savings Plans
+ Pandangan Manajemen Biaya dalam AWS Console Mobile Application
+ APIs SDK Billing and Cost Management (Cost AWS Explorer AWS , Budgets, AWS dan Cost and Usage Reports) APIs
+ AWS Systems Manager Manajer Aplikasi
+ Di dalam konsol Kalkulator Harga AWS
+ Kemampuan analisis biaya di Amazon Q
+ The AWS Activate Console
## Audiens
Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Pemecahan masalah Identitas dan AWS akses penagihan](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana AWS Penagihan bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [Kebijakan berbasis identitas dengan Billing AWS](security_iam_id-based-policy-examples.md))
## Mengautentikasi dengan identitas
Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.
Anda dapat masuk sebagai identitas federasi menggunakan kredensil dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.
Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.
### Akun AWS pengguna root
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*.
### Identitas terfederasi
Sebagai praktik terbaik, mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses Layanan AWS menggunakan kredensi sementara.
*Identitas federasi* adalah pengguna dari direktori perusahaan Anda, penyedia identitas web, atau Directory Service yang mengakses Layanan AWS menggunakan kredensil dari sumber identitas. Identitas terfederasi mengambil peran yang memberikan kredensial sementara.
Untuk manajemen akses terpusat, kami menyarankan AWS IAM Identity Center. Untuk informasi selengkapnya, lihat [Apa itu Pusat Identitas IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
### Pengguna dan grup IAM
*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.
### Peran IAM
*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.
Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Mengelola akses menggunakan kebijakan
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.
### Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.
### Kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.
Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.
### Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.
### Berbagai jenis kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
# Bagaimana AWS Penagihan bekerja dengan IAM
[Penagihan terintegrasi dengan layanan AWS Identity and Access Management (IAM) sehingga Anda dapat mengontrol siapa di organisasi Anda yang memiliki akses ke halaman tertentu di konsol Penagihan.](https://console.aws.amazon.com/cost-management/home) Anda dapat mengontrol akses ke faktur dan informasi mendetail tentang biaya dan aktivitas akun, anggaran, metode pembayaran, dan kredit.
Untuk informasi selengkapnya tentang cara mengaktifkan akses ke Konsol Manajemen Penagihan dan Biaya, lihat [Tutorial: Mendelegasikan Akses ke Konsol Penagihan](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) di *Panduan Pengguna IAM*.
Sebelum Anda menggunakan IAM untuk mengelola akses ke Penagihan, pelajari fitur IAM apa yang tersedia untuk digunakan dengan Penagihan.
**Fitur IAM yang dapat Anda gunakan dengan AWS Billing**
| Fitur IAM | Dukungan penagihan |
| --- | --- |
| [Kebijakan berbasis identitas](#security_iam_service-with-iam-id-based-policies) | Ya |
| [Kebijakan berbasis sumber daya](#security_iam_service-with-iam-resource-based-policies) | Tidak |
| [Tindakan kebijakan](#security_iam_service-with-iam-id-based-policies-actions) | Ya |
| [Sumber daya kebijakan](#security_iam_service-with-iam-id-based-policies-resources) | Parsial |
| [Kunci kondisi kebijakan](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ya |
| [ACLs](#security_iam_service-with-iam-acls) | Tidak |
| [ABAC (tanda dalam kebijakan)](#security_iam_service-with-iam-tags) | Parsial |
| [Kredensial sementara](#security_iam_service-with-iam-roles-tempcreds) | Ya |
| [Sesi akses teruskan (FAS)](#security_iam_service-with-iam-principal-permissions) | Ya |
| [Peran layanan](#security_iam_service-with-iam-roles-service) | Ya |
| [Peran terkait layanan](#security_iam_service-with-iam-roles-service-linked) | Tidak |
*Untuk mendapatkan tampilan tingkat tinggi tentang cara kerja Penagihan dan AWS layanan lainnya dengan sebagian besar fitur IAM, lihat [AWS layanan yang bekerja dengan IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
## Kebijakan berbasis identitas untuk Penagihan
**Mendukung kebijakan berbasis identitas**: Ya
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke sebuah identitas, seperti pengguna IAM, grup pengguna IAM, atau peran IAM. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Untuk mempelajari semua elemen yang dapat Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
### Contoh kebijakan berbasis identitas untuk Penagihan
Untuk melihat contoh kebijakan berbasis identitas Penagihan, lihat. [Kebijakan berbasis identitas dengan Billing AWS](security_iam_id-based-policy-examples.md)
## Kebijakan berbasis sumber daya dalam Penagihan
**Mendukung kebijakan berbasis sumber daya:** Tidak
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contoh kebijakan berbasis sumber daya adalah *kebijakan kepercayaan peran* IAM dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Untuk sumber daya tempat kebijakan dilampirkan, kebijakan menentukan tindakan apa yang dapat dilakukan oleh principal tertentu pada sumber daya tersebut dan dalam kondisi apa. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya. Prinsipal dapat mencakup akun, pengguna, peran, pengguna federasi, atau. Layanan AWS
Untuk mengaktifkan akses lintas akun, Anda dapat menentukan secara spesifik seluruh akun atau entitas IAM di akun lain sebagai principal dalam kebijakan berbasis sumber daya. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Tindakan kebijakan untuk Penagihan
**Mendukung tindakan kebijakan:** Ya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Untuk melihat daftar tindakan Penagihan, lihat [Tindakan yang ditentukan oleh AWS Penagihan](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html) di Referensi *Otorisasi Layanan*.
Tindakan kebijakan dalam Penagihan menggunakan awalan berikut sebelum tindakan:
```
billing
```
Untuk menetapkan secara spesifik beberapa tindakan dalam satu pernyataan, pisahkan tindakan tersebut dengan koma.
```
"Action": [
"billing:action1",
"billing:action2"
]
```
Untuk melihat contoh kebijakan berbasis identitas Penagihan, lihat. [Kebijakan berbasis identitas dengan Billing AWS](security_iam_id-based-policy-examples.md)
## Sumber daya kebijakan untuk Penagihan
**Mendukung sumber daya kebijakan:** Sebagian
Sumber daya kebijakan hanya didukung untuk monitor, langganan, dan kategori biaya.
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
Untuk melihat daftar jenis sumber daya AWS Cost Explorer, lihat [Tindakan, sumber daya, dan kunci kondisi untuk AWS Cost Explorer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostexplorerservice.html) di *Referensi Otorisasi Layanan*.
Untuk melihat contoh kebijakan berbasis identitas Penagihan, lihat. [Kebijakan berbasis identitas dengan Billing AWS](security_iam_id-based-policy-examples.md)
## Kunci kondisi kebijakan untuk Penagihan
**Mendukung kunci kondisi kebijakan khusus layanan:** Yes
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
Untuk melihat daftar kunci kondisi penagihan, tindakan, dan sumber daya, lihat [Kunci kondisi untuk AWS Penagihan](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html) di Referensi *Otorisasi Layanan*.
Untuk melihat contoh kebijakan berbasis identitas Penagihan, lihat. [Kebijakan berbasis identitas dengan Billing AWS](security_iam_id-based-policy-examples.md)
## Daftar kontrol akses (ACLs) di Penagihan
**Mendukung ACLs:** Tidak
Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.
## Kontrol akses berbasis atribut (ABAC) dengan Penagihan
**Mendukung ABAC (tag dalam kebijakan): Sebagian**
ABAC (tag dalam kebijakan) hanya didukung untuk monitor, langganan, dan kategori biaya.
Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan izin berdasarkan atribut tanda. Anda dapat melampirkan tag ke entitas dan AWS sumber daya IAM, lalu merancang kebijakan ABAC untuk mengizinkan operasi saat tag prinsipal cocok dengan tag pada sumber daya.
Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`.
Jika sebuah layanan mendukung ketiga kunci kondisi untuk setiap jenis sumber daya, nilainya adalah **Ya** untuk layanan tersebut. Jika suatu layanan mendukung ketiga kunci kondisi untuk hanya beberapa jenis sumber daya, nilainya adalah **Parsial**.
Untuk informasi selengkapnya tentang ABAC, lihat [Tentukan izin dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dalam *Panduan Pengguna IAM.* Untuk melihat tutorial yang menguraikan langkah-langkah pengaturan ABAC, lihat [Menggunakan kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dalam *Panduan Pengguna IAM*.
## Menggunakan kredensial sementara dengan Billing
**Mendukung kredensial sementara:** Ya
Kredensi sementara menyediakan akses jangka pendek ke AWS sumber daya dan secara otomatis dibuat saat Anda menggunakan federasi atau beralih peran. AWS merekomendasikan agar Anda secara dinamis menghasilkan kredensi sementara alih-alih menggunakan kunci akses jangka panjang. Untuk informasi selengkapnya, lihat [Kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) dan [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dalam *Panduan Pengguna IAM*.
## Teruskan sesi akses untuk Penagihan
**Mendukung sesi akses terusan (FAS):** Ya
Sesi akses teruskan (FAS) menggunakan izin dari pemanggilan utama Layanan AWS, dikombinasikan dengan permintaan Layanan AWS untuk membuat permintaan ke layanan hilir. Untuk detail kebijakan ketika mengajukan permintaan FAS, lihat [Sesi akses terusan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Peran layanan untuk Penagihan
**Mendukung peran layanan:** Ya
Peran layanan adalah [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat [Buat sebuah peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam *Panduan pengguna IAM*.
**Awas**
Mengubah izin untuk peran layanan dapat merusak fungsionalitas Penagihan. Edit peran layanan hanya jika Penagihan memberikan panduan untuk melakukannya.
## Peran terkait layanan untuk Penagihan
**Mendukung peran terkait layanan:** Tidak
Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan.
Untuk detail tentang pembuatan atau manajemen peran terkait layanan, lihat [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Cari layanan dalam tabel yang memiliki `Yes` di kolom **Peran terkait layanan**. Pilih tautan **Ya** untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
# Kebijakan berbasis identitas dengan Billing AWS
Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi sumber daya Penagihan. Untuk memberikan izin kepada pengguna untuk melakukan tindakan di sumber daya yang mereka perlukan, administrator IAM dapat membuat kebijakan IAM.
*Untuk mempelajari cara membuat kebijakan berbasis identitas IAM dengan menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan IAM (konsol) di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).*
Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh Penagihan, termasuk format ARNs untuk setiap jenis sumber daya, lihat [Kunci tindakan, sumber daya, dan kondisi untuk AWS Penagihan](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html) di Referensi *Otorisasi Layanan*.
**Contents**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Menggunakan konsol Penagihan](#security_iam_id-based-policy-examples-console)
+ [Mengizinkan pengguna melihat izin mereka sendiri](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Menggunakan kebijakan berbasis identitas untuk Penagihan](#billing-permissions-ref)
+ [AWS Tindakan konsol penagihan](#user-permissions)
## Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus Sumber daya Penagihan di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
## Menggunakan konsol Penagihan
Untuk mengakses konsol AWS Penagihan, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang sumber daya Penagihan di Anda. Akun AWS Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna atau peran) dengan kebijakan tersebut.
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai gantinya, izinkan akses hanya ke tindakan yang sesuai dengan operasi API yang coba mereka lakukan.
Anda dapat menemukan detail akses seperti izin yang diperlukan untuk mengaktifkan konsol AWS Penagihan, akses administrator, dan akses hanya-baca di bagian ini. [AWS kebijakan terkelola](managed-policies.md)
## Mengizinkan pengguna melihat izin mereka sendiri
Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Menggunakan kebijakan berbasis identitas untuk Penagihan
**catatan**
Tindakan AWS Identity and Access Management (IAM) berikut telah mencapai akhir dukungan standar pada Juli 2023:
`aws-portal`namespace
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Jika Anda menggunakan AWS Organizations, Anda dapat menggunakan [skrip migrasi kebijakan massal atau migrator](migrate-iam-permissions.md) kebijakan massal untuk memperbarui kebijakan dari akun pembayar Anda. Anda juga dapat menggunakan [referensi pemetaan tindakan lama ke granular](migrate-granularaccess-iam-mapping-reference.md) untuk memverifikasi tindakan IAM yang perlu ditambahkan.
Jika Anda memiliki Akun AWS, atau merupakan bagian dari yang AWS Organizations dibuat pada atau setelah 6 Maret 2023, 11:00 (PDT), tindakan halus sudah berlaku di organisasi Anda.
**penting**
Selain kebijakan IAM, Anda harus memberikan IAM akses ke konsol Billing and Cost Management di halaman konsol Pengaturan [Akun](https://console.aws.amazon.com/billing/home#/account).
Untuk informasi selengkapnya, lihat topik berikut:
[Mengaktifkan akses ke konsol Manajemen Penagihan dan Biaya](control-access-billing.md#ControllingAccessWebsite-Activate)
[Tutorial IAM: Berikan akses ke konsol penagihan](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) di Panduan Pengguna *IAM*
Gunakan bagian ini untuk melihat bagaimana administrator akun kebijakan berbasis identitas dapat melampirkan kebijakan izin ke identitas IAM (peran dan grup) dan memberikan izin untuk melakukan operasi pada sumber daya Penagihan.
Untuk informasi selengkapnya tentang Akun AWS dan pengguna, lihat [Apa itu IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_Introduction.html) di *Panduan Pengguna IAM*.
Untuk informasi tentang cara memperbarui kebijakan yang dikelola pelanggan, lihat [Mengedit kebijakan yang dikelola pelanggan (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console) di *Panduan Pengguna IAM*.
### AWS Tindakan konsol penagihan
Tabel ini merangkum izin yang memberikan akses ke informasi dan alat konsol penagihan Anda. Untuk contoh kebijakan yang menggunakan izin ini, lihat [AWS Contoh kebijakan penagihan](billing-example-policies.md).
Untuk daftar kebijakan tindakan untuk konsol Manajemen AWS Biaya, lihat [kebijakan tindakan Manajemen AWS Biaya](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#user-permissions) di *Panduan Pengguna Manajemen AWS Biaya*.
| Nama izin | Deskripsi |
| --- | --- |
| aws-portal:ViewBilling | Memberikan izin untuk melihat halaman konsol Billing and Cost Management. |
| aws-portal:ModifyBilling | Memberikan izin untuk memodifikasi halaman konsol Billing and Cost Management berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/security_iam_id-based-policy-examples.html) Untuk mengizinkan pengguna IAM memodifikasi halaman konsol ini, Anda harus mengizinkan `ModifyBilling` dan `ViewBilling`. Untuk contoh kebijakan, lihat [Mengizinkan pengguna IAM untuk memodifikasi informasi penagihan](billing-example-policies.md#example-billing-deny-modifybilling). |
| aws-portal:ViewAccount | Memberikan izin untuk melihat [Pengaturan Akun](https://console.aws.amazon.com/billing/home#/account). |
| aws-portal:ModifyAccount | Memberikan izin untuk mengubah [Pengaturan Akun](https://console.aws.amazon.com/billing/home#/account). Untuk mengizinkan pengguna IAM memodifikasi pengaturan akun, Anda harus mengizinkan `ModifyAccount` dan `ViewAccount`. Untuk contoh kebijakan yang secara jelas menolak akses pengguna IAM ke halaman konsol **Pengaturan Akun**, lihat [Menolak akses ke pengaturan akun, namun mengizinkan akses penuh ke semua informasi penagihan dan penggunaan lainnya](billing-example-policies.md#example-billing-deny-modifyaccount). |
| aws-portal:ViewPaymentMethods | Memberikan izin untuk melihat [Metode Pembayaran](https://console.aws.amazon.com/billing/home#/paymentmethods). |
| aws-portal:ModifyPaymentMethods | Memberikan izin untuk memodifikasi [Metode Pembayaran](https://console.aws.amazon.com/billing/home#/paymentmethods). Untuk mengizinkan pengguna memodifikasi metode pembayaran, Anda harus mengizinkan `ModifyPaymentMethods` dan `ViewPaymentMethods`. |
| billing:ListBillingViews | Memberikan izin untuk mendapatkan daftar tampilan penagihan yang tersedia. Ini termasuk tampilan penagihan khusus dan tampilan penagihan yang sesuai dengan grup penagihan pro forma. Untuk informasi selengkapnya tentang tampilan penagihan khusus, lihat [Mengontrol akses data manajemen biaya dengan Tampilan Penagihan](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-view.html). Untuk informasi selengkapnya tentang melihat detail grup penagihan, lihat [Melihat detail grup penagihan Anda](https://docs.aws.amazon.com/billingconductor/latest/userguide/viewing-abc.html) di Panduan Pengguna *Konduktor AWS Penagihan*. |
| billing:CreateBillingView | Memberikan izin untuk membuat tampilan penagihan kustom. Untuk kebijakan contoh, lihat [Mengizinkan pengguna membuat, mengelola, dan berbagi tampilan penagihan khusus](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view). |
| billing:UpdateBillingView | Memberikan izin untuk memperbarui tampilan penagihan kustom. Untuk kebijakan contoh, lihat [Mengizinkan pengguna membuat, mengelola, dan berbagi tampilan penagihan khusus](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view). |
| billing:DeleteBillingView | Memberikan izin untuk menghapus tampilan penagihan kustom. Untuk kebijakan contoh, lihat [Mengizinkan pengguna membuat, mengelola, dan berbagi tampilan penagihan khusus](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view). |
| billing:GetBillingView | Memberikan izin untuk mendapatkan definisi tampilan penagihan. Untuk kebijakan contoh, lihat [Mengizinkan pengguna membuat, mengelola, dan berbagi tampilan penagihan khusus](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view). |
| sustainability:GetCarbonFootprintSummary | Memberikan izin untuk melihat Alat dan data Jejak Karbon AWS Pelanggan. Ini dapat diakses dari halaman Laporan AWS Biaya dan Penggunaan pada konsol Billing and Cost Management. Untuk contoh kebijakan, lihat [Izinkan pengguna IAM untuk melihat informasi penagihan dan laporan jejak karbon](billing-example-policies.md#example-ccft-policy). |
| cur:DescribeReportDefinitions | Memberikan izin untuk melihat Laporan AWS Biaya dan Penggunaan. AWS Izin Laporan Biaya dan Penggunaan berlaku untuk semua laporan yang dibuat menggunakan API [Layanan Laporan AWS Biaya dan Penggunaan](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) serta konsol Billing and Cost Management. Jika Anda membuat laporan menggunakan konsol Manajemen Penagihan dan Biaya, kami rekomendasikan Anda memperbarui izin untuk pengguna IAM. Tidak memperbarui izin akan mengakibatkan pengguna kehilangan akses untuk melihat, mengedit, dan menghapus laporan pada halaman laporan konsol. Untuk contoh kebijakan, lihat [Mengizinkan pengguna IAM mengakses halaman konsol laporan](billing-example-policies.md#example-billing-view-reports). |
| cur:PutReportDefinition | Memberikan izin untuk membuat Laporan AWS Biaya dan Penggunaan. AWS Izin Laporan Biaya dan Penggunaan berlaku untuk semua laporan yang dibuat menggunakan API [Layanan Laporan AWS Biaya dan Penggunaan](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) serta konsol Billing and Cost Management. Jika Anda membuat laporan menggunakan konsol Manajemen Penagihan dan Biaya, kami rekomendasikan Anda memperbarui izin untuk pengguna IAM. Tidak memperbarui izin akan mengakibatkan pengguna kehilangan akses untuk melihat, mengedit, dan menghapus laporan pada halaman laporan konsol. Untuk contoh kebijakan, lihat [Mengizinkan pengguna IAM mengakses halaman konsol laporan](billing-example-policies.md#example-billing-view-reports). |
| cur:DeleteReportDefinition | Memberikan izin untuk menghapus Laporan AWS Biaya dan Penggunaan. AWS Izin Laporan Biaya dan Penggunaan berlaku untuk semua laporan yang dibuat menggunakan API [Layanan Laporan AWS Biaya dan Penggunaan](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) serta konsol Billing and Cost Management. Jika Anda membuat laporan menggunakan konsol Manajemen Penagihan dan Biaya, kami rekomendasikan Anda memperbarui izin untuk pengguna IAM. Tidak memperbarui izin akan mengakibatkan pengguna kehilangan akses untuk melihat, mengedit, dan menghapus laporan pada halaman laporan konsol. Untuk contoh kebijakan, lihat [Membuat, melihat, mengedit, atau menghapus Laporan AWS Biaya dan Penggunaan](billing-example-policies.md#example-policy-report-definition). |
| cur:ModifyReportDefinition | Memberikan izin untuk memodifikasi Laporan AWS Biaya dan Penggunaan. AWS Izin Laporan Biaya dan Penggunaan berlaku untuk semua laporan yang dibuat menggunakan API [Layanan Laporan AWS Biaya dan Penggunaan](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html) serta konsol Billing and Cost Management. Jika Anda membuat laporan menggunakan konsol Manajemen Penagihan dan Biaya, kami rekomendasikan Anda memperbarui izin untuk pengguna IAM. Tidak memperbarui izin akan mengakibatkan pengguna kehilangan akses untuk melihat, mengedit, dan menghapus laporan pada halaman laporan konsol. Untuk contoh kebijakan, lihat [Membuat, melihat, mengedit, atau menghapus Laporan AWS Biaya dan Penggunaan](billing-example-policies.md#example-policy-report-definition). |
| ce:CreateCostCategoryDefinition | Memberikan izin untuk membuat kategori biaya. Untuk contoh kebijakan, lihat [Melihat dan mengelola kategori biaya](billing-example-policies.md#example-policy-cc-api). |
| ce:DeleteCostCategoryDefinition | Memberikan izin untuk menghapus kategori biaya. Untuk contoh kebijakan, lihat [Melihat dan mengelola kategori biaya](billing-example-policies.md#example-policy-cc-api). |
| ce:DescribeCostCategoryDefinition | Memberikan izin untuk melihat kategori biaya. Untuk contoh kebijakan, lihat [Melihat dan mengelola kategori biaya](billing-example-policies.md#example-policy-cc-api). |
| ce:ListCostCategoryDefinitions | Memberikan izin untuk mencantumkan kategori biaya. Untuk contoh kebijakan, lihat [Melihat dan mengelola kategori biaya](billing-example-policies.md#example-policy-cc-api). |
| ce:UpdateCostCategoryDefinition | Memberikan izin untuk memperbarui kategori biaya. Untuk contoh kebijakan, lihat [Melihat dan mengelola kategori biaya](billing-example-policies.md#example-policy-cc-api). |
| aws-portal:ViewUsage | Memberikan izin untuk melihat [Laporan AWS](https://console.aws.amazon.com/billing/home#/reports) penggunaan. Untuk mengizinkan pengguna IAM melihat laporan penggunaan, Anda harus mengizinkan `ViewUsage` dan `ViewBilling`. Untuk contoh kebijakan, lihat [Mengizinkan pengguna IAM mengakses halaman konsol laporan](billing-example-policies.md#example-billing-view-reports). |
| payments:AcceptFinancingApplicationTerms | Memungkinkan pengguna IAM untuk menyetujui persyaratan yang diberikan oleh pemberi pinjaman pembiayaan. Pengguna diminta untuk memberikan rincian rekening bank mereka untuk pembayaran, dan menandatangani dokumen hukum yang disediakan oleh pemberi pinjaman. |
| payments:CreateFinancingApplication | Memungkinkan pengguna IAM untuk mengajukan pinjaman keuangan baru, dan referensi opsi pembiayaan yang dipilih. |
| payments:GetFinancingApplication | Memungkinkan pengguna IAM untuk mengambil rincian aplikasi pembiayaan. Misalnya, status, batasan, ketentuan, dan informasi pemberi pinjaman. |
| payments:GetFinancingLine | Memungkinkan pengguna IAM untuk mengambil rincian pinjaman pembiayaan. Misalnya, status dan saldo. |
| payments:GetFinancingLineWithdrawal | Memungkinkan pengguna IAM untuk mengambil rincian penarikan. Misalnya, saldo dan pembayaran kembali. |
| payments:GetFinancingOption | Memungkinkan pengguna IAM untuk mengambil rincian opsi pembiayaan tertentu. |
| payments:ListFinancingApplications | Memungkinkan pengguna IAM untuk mengambil pengenal untuk semua aplikasi pembiayaan, di semua pemberi pinjaman. |
| payments:ListFinancingLines | Memungkinkan pengguna IAM untuk mengambil pengenal untuk semua pinjaman pembiayaan, di semua pemberi pinjaman. |
| payments:ListFinancingLineWithdrawals | Memungkinkan pengguna IAM untuk mengambil semua penarikan yang ada untuk pinjaman tertentu. |
| payments:ListTagsForResource | Izinkan atau tolak izin pengguna IAM untuk melihat tag untuk metode pembayaran. |
| payments:TagResource | Izinkan atau tolak izin pengguna IAM untuk menambahkan tag untuk metode pembayaran. |
| payments:UntagResource | Izinkan atau tolak izin pengguna IAM untuk menghapus tag dari metode pembayaran. |
| payments:UpdateFinancingApplication | Memungkinkan pengguna IAM untuk mengubah aplikasi pembiayaan dan mengirimkan informasi tambahan yang diminta oleh pemberi pinjaman. |
| payments:ListPaymentInstruments | Izinkan atau tolak izin pengguna IAM untuk mencantumkan metode pembayaran terdaftar mereka. |
| payments:UpdatePaymentInstrument | Izinkan atau tolak izin pengguna IAM untuk memperbarui metode pembayaran mereka. |
| pricing:DescribeServices | Memberikan izin untuk melihat produk AWS layanan dan harga melalui API Layanan Daftar AWS Harga. Untuk memungkinkan pengguna IAM menggunakan API Layanan Daftar AWS Harga, Anda harus mengizinkan`DescribeServices`,`GetAttributeValues`, dan`GetProducts`. Untuk contoh kebijakan, lihat [Temukan produk dan harga](billing-example-policies.md#example-policy-pe-api). |
| pricing:GetAttributeValues | Memberikan izin untuk melihat produk AWS layanan dan harga melalui API Layanan Daftar AWS Harga. Untuk memungkinkan pengguna IAM menggunakan API Layanan Daftar AWS Harga, Anda harus mengizinkan`DescribeServices`,`GetAttributeValues`, dan`GetProducts`. Untuk contoh kebijakan, lihat [Temukan produk dan harga](billing-example-policies.md#example-policy-pe-api). |
| pricing:GetProducts | Memberikan izin untuk melihat produk AWS layanan dan harga melalui API Layanan Daftar AWS Harga. Untuk memungkinkan pengguna IAM menggunakan API Layanan Daftar AWS Harga, Anda harus mengizinkan`DescribeServices`,`GetAttributeValues`, dan`GetProducts`. Untuk contoh kebijakan, lihat [Temukan produk dan harga](billing-example-policies.md#example-policy-pe-api). |
| purchase-orders:ViewPurchaseOrders | Memberikan izin untuk melihat [Pesanan Pembelian](manage-purchaseorders.md). Untuk contoh kebijakan, lihat [Melihat dan mengelola pesanan pembelian](billing-example-policies.md#example-view-manage-purchaseorders). |
| purchase-orders:ModifyPurchaseOrders | Memberikan izin untuk memodifikasi [Pesanan Pembelian](manage-purchaseorders.md). Untuk contoh kebijakan, lihat [Melihat dan mengelola pesanan pembelian](billing-example-policies.md#example-view-manage-purchaseorders). |
| tax:GetExemptions | Memberikan izin untuk akses hanya-baca untuk melihat pengecualian dan jenis pembebasan berdasarkan konsol pajak. Untuk contoh kebijakan, lihat [Izinkan pengguna IAM untuk melihat pembebasan pajak AS dan membuat kasus Dukungan](billing-example-policies.md#example-awstaxexemption). |
| tax:UpdateExemptions | Memberikan izin untuk mengunggah pengecualian ke konsol pembebasan pajak AS. Untuk contoh kebijakan, lihat [Izinkan pengguna IAM untuk melihat pembebasan pajak AS dan membuat kasus Dukungan](billing-example-policies.md#example-awstaxexemption). |
| support:CreateCase | Memberikan izin untuk mengajukan kasus dukungan, diperlukan untuk mengunggah pembebasan dari konsol pembebasan pajak. Untuk contoh kebijakan, lihat [Izinkan pengguna IAM untuk melihat pembebasan pajak AS dan membuat kasus Dukungan](billing-example-policies.md#example-awstaxexemption). |
| support:AddAttachmentsToSet | Memberikan izin untuk melampirkan dokumen untuk mendukung kasus yang diperlukan untuk mengunggah sertifikat pembebasan ke konsol pembebasan pajak. Untuk contoh kebijakan, lihat [Izinkan pengguna IAM untuk melihat pembebasan pajak AS dan membuat kasus Dukungan](billing-example-policies.md#example-awstaxexemption). |
| customer-verification:GetCustomerVerificationEligibility | (Hanya untuk pelanggan dengan tagihan atau alamat kontak India) Memberikan izin untuk mengambil kelayakan verifikasi pelanggan. |
| customer-verification:GetCustomerVerificationDetails | (Hanya untuk pelanggan dengan tagihan atau alamat kontak India) Memberikan izin untuk mengambil data verifikasi pelanggan. |
| customer-verification:CreateCustomerVerificationDetails | (Hanya untuk pelanggan dengan tagihan atau alamat kontak India) Memberikan izin untuk membuat data verifikasi pelanggan. |
| customer-verification:UpdateCustomerVerificationDetails | (Hanya untuk pelanggan dengan tagihan atau alamat kontak India) Memberikan izin untuk memperbarui data verifikasi pelanggan. |
| mapcredit:ListAssociatedPrograms | Memberikan izin untuk melihat Migration Acceleration Program perjanjian dan dasbor terkait untuk akun pembayar. |
| mapcredit:ListQuarterSpend | Memberikan izin untuk melihat pengeluaran yang Migration Acceleration Program memenuhi syarat untuk akun pembayar. |
| mapcredit:ListQuarterCredits | Memberikan izin untuk melihat Migration Acceleration Program kredit untuk akun pembayar. |
| invoicing:BatchGetInvoiceProfile | Memberikan izin untuk akses hanya-baca untuk melihat profil faktur untuk konfigurasi faktur.. AWS |
| invoicing:CreateInvoiceUnit | Memberikan izin untuk membuat unit faktur untuk konfigurasi AWS faktur. |
| invoicing:DeleteInvoiceUnit | Memberikan izin untuk menghapus unit faktur untuk konfigurasi AWS faktur. |
| invoicing:GetInvoiceUnit | Memberikan izin untuk akses hanya-baca untuk melihat unit faktur untuk konfigurasi faktur. AWS |
| invoicing:ListInvoiceUnits | Memberikan izin untuk mencantumkan semua unit faktur untuk konfigurasi AWS faktur. |
| invoicing:ListTagsForResource | Izinkan atau tolak izin pengguna IAM untuk melihat tag untuk unit faktur untuk konfigurasi AWS faktur. |
| invoicing:TagResource | Izinkan atau tolak izin pengguna IAM untuk menambahkan tag untuk unit faktur untuk konfigurasi AWS faktur. |
| invoicing:UntagResource | Izinkan atau tolak izin pengguna IAM untuk menghapus tag dari unit faktur untuk konfigurasi AWS faktur. |
| invoicing:UpdateInvoiceUnit | Memberikan izin edit untuk memperbarui unit faktur untuk AWS konfigurasi faktur. |
# AWS Contoh kebijakan penagihan
**catatan**
Tindakan AWS Identity and Access Management (IAM) berikut telah mencapai akhir dukungan standar pada Juli 2023:
`aws-portal`namespace
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Jika Anda menggunakan AWS Organizations, Anda dapat menggunakan [skrip migrasi kebijakan massal atau migrator](migrate-iam-permissions.md) kebijakan massal untuk memperbarui kebijakan dari akun pembayar Anda. Anda juga dapat menggunakan [referensi pemetaan tindakan lama ke granular](migrate-granularaccess-iam-mapping-reference.md) untuk memverifikasi tindakan IAM yang perlu ditambahkan.
Jika Anda memiliki Akun AWS, atau merupakan bagian dari yang AWS Organizations dibuat pada atau setelah 6 Maret 2023, 11:00 (PDT), tindakan halus sudah berlaku di organisasi Anda.
**penting**
Kebijakan ini mengharuskan Anda mengaktifkan akses pengguna IAM ke konsol Manajemen Penagihan dan Biaya di halaman konsol [Pengaturan Akun](https://console.aws.amazon.com/billing/home#/account). Untuk informasi selengkapnya, lihat [Mengaktifkan akses ke konsol Manajemen Penagihan dan Biaya](control-access-billing.md#ControllingAccessWebsite-Activate).
Untuk menggunakan kebijakan AWS terkelola, lihat[AWS kebijakan terkelola](managed-policies.md).
Topik ini berisi contoh kebijakan yang dapat Anda lampirkan ke pengguna atau grup IAM Anda untuk mengontrol akses ke informasi dan alat penagihan akun Anda. Aturan dasar berikut berlaku bagi kebijakan IAM untuk Manajemen Penagihan dan Biaya:
+ `Version` selalu `2012-10-17 `.
+ `Effect` selalu `Allow` atau `Deny`.
+ `Action` adalah nama dari tindakan atau wildcard (`*`).
Awalan tindakan adalah `budgets` untuk AWS Anggaran, `cur` untuk Laporan AWS Biaya dan Penggunaan, `aws-portal` untuk AWS Penagihan, atau untuk Cost `ce` Explorer.
+ `Resource`selalu `*` untuk AWS penagihan.
Untuk tindakan yang dilakukan pada `budget` sumber daya, tentukan anggaran Amazon Resource Name (ARN).
+ Ada kemungkinan untuk memiliki beberapa pernyataan dalam satu kebijakan.
Untuk daftar kebijakan tindakan untuk konsol Manajemen AWS Biaya, lihat [contoh kebijakan Manajemen AWS Biaya](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html) dalam *panduan pengguna Manajemen AWS Biaya*.
**Topics**
+ [Mengizinkan pengguna IAM untuk melihat informasi penagihan Anda](#example-billing-view-billing-only)
+ [Izinkan pengguna IAM untuk melihat informasi penagihan dan laporan jejak karbon](#example-ccft-policy)
+ [Mengizinkan pengguna IAM mengakses halaman konsol laporan](#example-billing-view-reports)
+ [Tolak akses pengguna IAM ke konsol Billing and Cost Management](#example-billing-deny-all)
+ [Tolak akses widget biaya dan penggunaan AWS Konsol untuk akun anggota](#example-billing-deny-widget)
+ [Tolak akses widget biaya dan penggunaan AWS Konsol untuk pengguna dan peran IAM tertentu](#example-billing-deny-ce)
+ [Izinkan pengguna IAM untuk melihat informasi penagihan Anda, tetapi tolak akses ke laporan jejak karbon](#example-ccft-policy-deny)
+ [Izinkan pengguna IAM mengakses pelaporan jejak karbon, tetapi tolak akses ke informasi penagihan](#example-ccft-policy-allow)
+ [Izinkan akses penuh ke AWS layanan tetapi tolak akses pengguna IAM ke konsol Billing and Cost Management](#ExampleAllowAllDenyBilling)
+ [Izinkan pengguna IAM untuk melihat konsol Billing and Cost Management kecuali untuk pengaturan akun](#example-billing-read-only)
+ [Mengizinkan pengguna IAM untuk memodifikasi informasi penagihan](#example-billing-deny-modifybilling)
+ [Menolak akses ke pengaturan akun, namun mengizinkan akses penuh ke semua informasi penagihan dan penggunaan lainnya](#example-billing-deny-modifyaccount)
+ [Menyimpan laporan ke dalam bucket Amazon S3](#example-billing-s3-bucket)
+ [Temukan produk dan harga](#example-policy-pe-api)
+ [Lihat biaya dan penggunaan](#example-policy-ce-api)
+ [Aktifkan dan nonaktifkan AWS Wilayah](#enable-disable-regions)
+ [Melihat dan mengelola kategori biaya](#example-policy-cc-api)
+ [Membuat, melihat, mengedit, atau menghapus Laporan AWS Biaya dan Penggunaan](#example-policy-report-definition)
+ [Melihat dan mengelola pesanan pembelian](#example-view-manage-purchaseorders)
+ [Melihat dan memperbarui halaman preferensi Cost Explorer](#example-view-update-ce)
+ [Melihat, membuat, memperbarui, dan menghapus menggunakan halaman laporan Cost Explorer](#example-view-ce-reports)
+ [Melihat, membuat, memperbarui, dan menghapus pemberitahuan reservasi dan Savings Plans](#example-view-ce-expiration)
+ [Izinkan akses hanya-baca ke Deteksi AWS Anomali Biaya](#example-policy-ce-ad)
+ [Izinkan AWS Anggaran untuk menerapkan kebijakan IAM dan SCPs](#example-budgets-IAM-SCP)
+ [Izinkan AWS Anggaran menerapkan kebijakan IAM dan SCP serta menargetkan instans EC2 dan RDS](#example-budgets-applySCP)
+ [Izinkan pengguna IAM untuk melihat pembebasan pajak AS dan membuat kasus Dukungan](#example-awstaxexemption)
+ [(Untuk pelanggan dengan alamat penagihan atau kontak di India) Izinkan akses hanya-baca ke informasi verifikasi pelanggan](#example-aispl-verification)
+ [(Untuk pelanggan dengan alamat penagihan atau kontak di India) Lihat, buat, dan perbarui informasi verifikasi pelanggan](#example-aispl-verification-view)
+ [Melihat AWS Migration Acceleration Program informasi di konsol Penagihan](#read-only-migration-acceleration-program-policy)
+ [Izinkan akses ke konfigurasi AWS faktur di konsol Penagihan](#invoice-config-policy)
## Mengizinkan pengguna IAM untuk melihat informasi penagihan Anda
Untuk memungkinkan pengguna IAM melihat informasi penagihan Anda tanpa memberikan pengguna IAM akses ke informasi akun sensitif, gunakan kebijakan yang mirip dengan contoh kebijakan berikut. Kebijakan semacam itu mencegah pengguna mengakses kata sandi dan laporan aktivitas akun Anda. Kebijakan ini mengizinkan pengguna IAM untuk melihat halaman konsol Manajemen Penagihan dan Biaya berikut, tanpa memberi mereka akses ke halaman konsol **Pengaturan Akun** atau **Laporan**:
+ **Dasbor**
+ **Cost Explorer**
+ **Tagihan**
+ **Pesanan dan faktur**
+ **Penagihan Konsolidasi**
+ **Preferensi**
+ **Kredit**
+ **Pembayaran di Muka**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
}
]
}
```
------
## Izinkan pengguna IAM untuk melihat informasi penagihan dan laporan jejak karbon
Untuk memungkinkan pengguna IAM melihat informasi penagihan dan pelaporan jejak karbon, gunakan kebijakan yang mirip dengan contoh berikut. Kebijakan ini mencegah pengguna mengakses kata sandi dan laporan aktivitas akun Anda. Kebijakan ini mengizinkan pengguna IAM untuk melihat halaman konsol Manajemen Penagihan dan Biaya berikut, tanpa memberi mereka akses ke halaman konsol **Pengaturan Akun** atau **Laporan**:
+ **Dasbor**
+ **Cost Explorer**
+ **Tagihan**
+ **Pesanan dan faktur**
+ **Penagihan Konsolidasi**
+ **Preferensi**
+ **Kredit**
+ **Pembayaran di Muka**
+ **Bagian AWS Customer Carbon Footprint Tool pada AWS halaman Laporan Biaya dan Penggunaan**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Allow",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## Mengizinkan pengguna IAM mengakses halaman konsol laporan
Untuk mengizinkan pengguna IAM mengakses halaman konsol **Laporan** dan untuk melihat laporan penggunaan yang berisi informasi aktivitas akun, gunakan kebijakan yang mirip dengan kebijakan contoh ini.
Untuk definisi dari setiap tindakan, lihat [AWS Tindakan konsol penagihan](security_iam_id-based-policy-examples.md#user-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewUsage",
"aws-portal:ViewBilling",
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*"
}
]
}
```
------
## Tolak akses pengguna IAM ke konsol Billing and Cost Management
Untuk secara eksplisit menolak akses pengguna IAM ke semua halaman konsol Manajemen Penagihan dan Biaya, gunakan kebijakan yang mirip dengan kebijakan contoh ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "aws-portal:*",
"Resource": "*"
}
]
}
```
------
## Tolak akses widget biaya dan penggunaan AWS Konsol untuk akun anggota
Untuk membatasi akses akun anggota (tertaut) ke data biaya dan penggunaan, gunakan akun manajemen (pembayar) Anda untuk mengakses tab preferensi Cost Explorer dan hapus centang Akses Akun **Tertaut**. Ini akan menolak akses ke data biaya dan penggunaan dari konsol Cost Explorer (AWS Cost Management), Cost Explorer API, dan widget biaya dan penggunaan halaman Beranda AWS Konsol terlepas dari tindakan IAM yang dimiliki pengguna atau peran IAM akun anggota.
## Tolak akses widget biaya dan penggunaan AWS Konsol untuk pengguna dan peran IAM tertentu
Untuk menolak akses widget biaya dan penggunaan AWS konsol untuk pengguna dan peran IAM tertentu, gunakan kebijakan izin di bawah ini.
**catatan**
Menambahkan kebijakan ini ke pengguna atau peran IAM akan menolak akses pengguna ke konsol Cost Explorer (AWS Cost Management) dan Cost Explorer APIs juga.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ce:*",
"Resource": "*"
}
]
}
```
------
## Izinkan pengguna IAM untuk melihat informasi penagihan Anda, tetapi tolak akses ke laporan jejak karbon
Untuk memungkinkan pengguna IAM untuk kedua informasi penagihan di konsol Billing and Cost Management, tetapi tidak mengizinkan akses ke AWS Customer Carbon Footprint Tool. Alat ini terletak di halaman Laporan AWS Biaya dan Penggunaan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Deny",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## Izinkan pengguna IAM mengakses pelaporan jejak karbon, tetapi tolak akses ke informasi penagihan
Untuk memungkinkan pengguna IAM mengakses AWS Customer Carbon Footprint Tool di halaman Laporan AWS Biaya dan Penggunaan, tetapi menolak akses untuk melihat informasi penagihan di konsol Billing and Cost Management.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Deny",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Allow",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## Izinkan akses penuh ke AWS layanan tetapi tolak akses pengguna IAM ke konsol Billing and Cost Management
Untuk menolak akses pengguna IAM ke segala sesuatu di konsol Manajemen Penagihan dan Biaya, gunakan kebijakan berikut. Tolak akses pengguna ke AWS Identity and Access Management (IAM) untuk mencegah akses ke kebijakan yang mengontrol akses ke informasi dan alat penagihan.
**penting**
Kebijakan ini tidak mengizinkan tindakan apa pun. Gunakan kebijakan ini bersama dengan kebijakan lain yang mengizinkan tindakan tertentu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aws-portal:*",
"iam:*"
],
"Resource": "*"
}
]
}
```
------
## Izinkan pengguna IAM untuk melihat konsol Billing and Cost Management kecuali untuk pengaturan akun
Kebijakan ini memungkinkan akses hanya-baca ke semua konsol Billing and Cost Management. Ini termasuk halaman konsol **Metode Pembayaran** dan **Laporan**. Namun, kebijakan ini menolak akses ke halaman **Pengaturan Akun**. Ini berarti melindungi kata sandi akun, informasi kontak, dan pertanyaan keamanan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:View*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## Mengizinkan pengguna IAM untuk memodifikasi informasi penagihan
Untuk memungkinkan pengguna IAM mengubah informasi penagihan akun di konsol Billing and Cost Management, izinkan pengguna IAM untuk melihat informasi penagihan Anda. Contoh kebijakan berikut mengizinkan pengguna IAM untuk memodifikasi halaman konsol **Tagihan Terkonsolidasi**, **Preferensi**, dan **Kredit**. Hal itu juga mengizinkan pengguna IAM untuk melihat halaman konsol Manajemen Penagihan dan Biaya berikut:
+ **Dasbor**
+ **Cost Explorer**
+ **Tagihan**
+ **Pesanan dan faktur**
+ **Pembayaran di Muka**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:*Billing",
"Resource": "*"
}
]
}
```
------
## Menolak akses ke pengaturan akun, namun mengizinkan akses penuh ke semua informasi penagihan dan penggunaan lainnya
Untuk melindungi kata sandi akun, informasi kontak, dan pertanyaan keamanan, tolak akses pengguna IAM ke **Pengaturan Akun** sambil tetap mengaktifkan akses penuh ke fungsionalitas lainnya di konsol Billing and Cost Management. Berikut ini adalah contoh kebijakan .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:*Billing",
"aws-portal:*Usage",
"aws-portal:*PaymentMethods"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## Menyimpan laporan ke dalam bucket Amazon S3
Kebijakan berikut memungkinkan Billing and Cost Management untuk menyimpan tagihan AWS terperinci ke bucket Amazon S3 jika Anda memiliki akun AWS dan bucket Amazon S3. Kebijakan ini harus diterapkan pada bucket Amazon S3, bukan pengguna IAM. Ini karena ini adalah kebijakan berbasis sumber daya, bukan kebijakan berbasis pengguna. Kami menyarankan Anda menolak akses pengguna IAM ke bucket untuk pengguna IAM yang tidak memerlukan akses ke tagihan Anda.
Ganti *amzn-s3-demo-bucket1* dengan nama bucket Anda.
Untuk informasi selengkapnya, lihat [Menggunakan Kebijakan Bucket dan Kebijakan Pengguna](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-iam-policies.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": [
"s3:GetBucketAcl",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1"
},
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"
}
]
}
```
------
## Temukan produk dan harga
Untuk mengizinkan pengguna IAM menggunakan API Layanan Daftar AWS Harga, gunakan kebijakan berikut untuk memberi mereka akses.
Kebijakan ini memberikan izin untuk menggunakan API Kueri Daftar AWS Harga API Massal Daftar AWS Harga.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts",
"pricing:GetPriceListFileUrl",
"pricing:ListPriceLists"
],
"Resource": [
"*"
]
}
]
}
```
------
## Lihat biaya dan penggunaan
Untuk mengizinkan pengguna IAM menggunakan AWS Cost Explorer API, gunakan kebijakan berikut untuk memberi mereka akses.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ce:*"
],
"Resource": [
"*"
]
}
]
}
```
------
## Aktifkan dan nonaktifkan AWS Wilayah
*Untuk contoh kebijakan IAM yang memungkinkan pengguna mengaktifkan dan menonaktifkan Wilayah, lihat [AWS: Mengizinkan Mengaktifkan dan Menonaktifkan AWS Wilayah](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws-enable-disable-regions.html) di Panduan Pengguna IAM.*
## Melihat dan mengelola kategori biaya
Untuk mengizinkan pengguna IAM menggunakan, melihat, dan mengelola kategori biaya, gunakan kebijakan berikut untuk memberi mereka akses.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:GetCostAndUsage",
"ce:DescribeCostCategoryDefinition",
"ce:UpdateCostCategoryDefinition",
"ce:CreateCostCategoryDefinition",
"ce:DeleteCostCategoryDefinition",
"ce:ListCostCategoryDefinitions",
"ce:TagResource",
"ce:UntagResource",
"ce:ListTagsForResource",
"pricing:DescribeServices"
],
"Resource": "*"
}
]
}
```
------
## Membuat, melihat, mengedit, atau menghapus Laporan AWS Biaya dan Penggunaan
Kebijakan ini mengizinkan pengguna IAM untuk membuat, melihat, mengedit, atau menghapus `sample-report` menggunakan API.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageSampleReport",
"Effect": "Allow",
"Action": [
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "arn:aws:cur:*:123456789012:definition/sample-report"
},
{
"Sid": "DescribeReportDefs",
"Effect": "Allow",
"Action": "cur:DescribeReportDefinitions",
"Resource": "*"
}
]
}
```
------
## Melihat dan mengelola pesanan pembelian
Kebijakan ini mengizinkan pengguna IAM untuk melihat dan mengelola pesanan pembelian, menggunakan kebijakan berikut untuk memberikan akses.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"purchase-orders:*"
],
"Resource": "*"
}
]
}
```
------
## Melihat dan memperbarui halaman preferensi Cost Explorer
Kebijakan ini mengizinkan pengguna IAM untuk melihat dan memperbarui menggunakan **Halaman preferensi Cost Explorer**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
Kebijakan berikut mengizinkan pengguna IAM untuk melihat Cost Explorer, tetapi menolak izin untuk melihat atau mengedit halaman **Preferensi**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:GetPreferences",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
Kebijakan berikut mengizinkan pengguna IAM untuk melihat Cost Explorer, tetapi menolak izin untuk mengedit halaman **Preferensi**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
## Melihat, membuat, memperbarui, dan menghapus menggunakan halaman laporan Cost Explorer
Kebijakan ini mengizinkan pengguna IAM untuk melihat, membuat, memperbarui, dan menghapus menggunakan **Halaman laporan Cost Explorer**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
Kebijakan berikut mengizinkan pengguna IAM untuk melihat Cost Explorer, tetapi menolak izin untuk melihat atau mengedit halaman **Laporan**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeReport",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
Kebijakan berikut mengizinkan pengguna IAM untuk melihat Cost Explorer, tetapi menolak izin untuk mengedit halaman **Laporan**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
## Melihat, membuat, memperbarui, dan menghapus pemberitahuan reservasi dan Savings Plans
Kebijakan ini mengizinkan pengguna IAM untuk melihat, membuat, memperbarui, dan menghapus [Pemberitahuan kedaluwarsa reservasi](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ce-ris.html) dan [Pemberitahuan Savings Plans](https://docs.aws.amazon.com/savingsplans/latest/userguide/sp-overview.html#sp-alert). Untuk mengedit pemberitahuan kedaluwarsa reservasi atau pemberitahuan Savings Plans, pengguna memerlukan ketiga tindakan terperinci: `ce:CreateNotificationSubscription`, `ce:UpdateNotificationSubscription`, dan `ce:DeleteNotificationSubscription`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
Kebijakan berikut mengizinkan pengguna IAM untuk melihat Cost Explorer, tetapi menolak izin untuk melihat atau mengedit halaman **Pemberitahuan kedaluwarsa reservasi** dan **Pemberitahuan Savings Plans**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeNotificationSubscription",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
Kebijakan berikut mengizinkan pengguna IAM untuk melihat Cost Explorer, tetapi menolak izin untuk mengedit halaman **Pemberitahuan kedaluwarsa reservasi** dan **Pemberitahuan Savings Plans**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
## Izinkan akses hanya-baca ke Deteksi AWS Anomali Biaya
Untuk mengizinkan pengguna IAM akses hanya-baca ke Deteksi Anomali AWS Biaya, gunakan kebijakan berikut untuk memberi mereka akses. `ce:ProvideAnomalyFeedback`bersifat opsional sebagai bagian dari akses hanya-baca.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ce:Get*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Izinkan AWS Anggaran untuk menerapkan kebijakan IAM dan SCPs
Kebijakan ini memungkinkan AWS Anggaran untuk menerapkan kebijakan IAM dan kebijakan kontrol layanan (SCPs) atas nama pengguna.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": "*"
}
]
}
```
------
## Izinkan AWS Anggaran menerapkan kebijakan IAM dan SCP serta menargetkan instans EC2 dan RDS
Kebijakan ini memungkinkan AWS Anggaran untuk menerapkan kebijakan IAM dan kebijakan kontrol layanan (SCP), dan menargetkan instans Amazon EC2 dan Amazon RDS atas nama pengguna.
Kebijakan kepercayaan
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "budgets.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Kebijakan izin
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceStatus",
"ec2:StartInstances",
"ec2:StopInstances",
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"rds:DescribeDBInstances",
"rds:StartDBInstance",
"rds:StopDBInstance",
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
```
------
## Izinkan pengguna IAM untuk melihat pembebasan pajak AS dan membuat kasus Dukungan
Kebijakan ini memungkinkan pengguna IAM untuk melihat pembebasan pajak AS dan membuat Dukungan kasus untuk mengunggah sertifikat pembebasan di konsol pembebasan pajak.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:*",
"tax:GetExemptions",
"tax:UpdateExemptions",
"support:CreateCase",
"support:AddAttachmentsToSet"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
## (Untuk pelanggan dengan alamat penagihan atau kontak di India) Izinkan akses hanya-baca ke informasi verifikasi pelanggan
Kebijakan ini memungkinkan pengguna IAM akses hanya-baca ke informasi verifikasi pelanggan.
Untuk definisi dari setiap tindakan, lihat [AWS Tindakan konsol penagihan](security_iam_id-based-policy-examples.md#user-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"customer-verification:GetCustomerVerificationEligibility",
"customer-verification:GetCustomerVerificationDetails"
],
"Resource": "*"
}]
}
```
------
## (Untuk pelanggan dengan alamat penagihan atau kontak di India) Lihat, buat, dan perbarui informasi verifikasi pelanggan
Kebijakan ini memungkinkan pengguna IAM untuk mengelola informasi verifikasi pelanggan mereka.
Untuk definisi dari setiap tindakan, lihat [AWS Tindakan konsol penagihan](security_iam_id-based-policy-examples.md#user-permissions)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"customer-verification:CreateCustomerVerificationDetails",
"customer-verification:UpdateCustomerVerificationDetails",
"customer-verification:GetCustomerVerificationEligibility",
"customer-verification:GetCustomerVerificationDetails"
],
"Resource": "*"
}]
}
```
------
## Melihat AWS Migration Acceleration Program informasi di konsol Penagihan
Kebijakan ini memungkinkan pengguna IAM untuk melihat Migration Acceleration Program perjanjian, kredit, dan pengeluaran yang memenuhi syarat untuk akun pembayar di konsol Penagihan.
Untuk definisi dari setiap tindakan, lihat [AWS Tindakan konsol penagihan](security_iam_id-based-policy-examples.md#user-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"mapcredits:ListQuarterSpend",
"mapcredits:ListQuarterCredits",
"mapcredits:ListAssociatedPrograms"
],
"Resource": "*"
}]
}
```
------
## Izinkan akses ke konfigurasi AWS faktur di konsol Penagihan
Kebijakan ini memungkinkan akses konfigurasi AWS faktur pengguna IAM di konsol Penagihan.
Untuk definisi dari setiap tindakan, lihat [AWS Tindakan konsol penagihan](security_iam_id-based-policy-examples.md#user-permissions).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"invoicing:ListInvoiceUnits",
"invoicing:GetInvoiceUnit",
"invoicing:CreateInvoiceUnit",
"invoicing:UpdateInvoiceUnit",
"invoicing:DeleteInvoiceUnit",
"invoicing:BatchGetInvoiceProfile"
],
"Resource": [
"*"
]
}
]
}
```
------
# Memigrasi kontrol akses untuk AWS Billing
**catatan**
Tindakan AWS Identity and Access Management (IAM) berikut telah mencapai akhir dukungan standar pada Juli 2023:
`aws-portal`namespace
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Jika Anda menggunakan AWS Organizations, Anda dapat menggunakan [skrip migrasi kebijakan massal atau migrator](migrate-iam-permissions.md) kebijakan massal untuk memperbarui kebijakan dari akun pembayar Anda. Anda juga dapat menggunakan [referensi pemetaan tindakan lama ke granular](migrate-granularaccess-iam-mapping-reference.md) untuk memverifikasi tindakan IAM yang perlu ditambahkan.
Jika Anda memiliki Akun AWS, atau merupakan bagian dari yang AWS Organizations dibuat pada atau setelah 6 Maret 2023, 11:00 (PDT), tindakan halus sudah berlaku di organisasi Anda.
Anda dapat menggunakan kontrol akses berbutir halus untuk memberi individu di organisasi Anda akses ke layanan. AWS Manajemen Penagihan dan Biaya Misalnya, Anda dapat memberikan akses ke Cost Explorer tanpa menyediakan akses ke konsol Billing and Cost Management.
Untuk menggunakan kontrol akses berbutir halus, Anda harus memigrasikan kebijakan Anda dari bawah `aws-portal` ke tindakan IAM baru.
Tindakan IAM berikut dalam kebijakan izin atau kebijakan kontrol layanan (SCP) Anda memerlukan pembaruan dengan migrasi ini:
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
Untuk mempelajari cara menggunakan alat **Kebijakan yang terpengaruh untuk mengidentifikasi kebijakan** IAM Anda yang terkena dampak, lihat. [Cara menggunakan alat kebijakan yang terpengaruh](migrate-security-iam-tool.md)
**catatan**
Akses API ke AWS Cost Explorer, Laporan AWS Biaya dan Penggunaan, dan AWS Anggaran tetap tidak terpengaruh.
[Mengaktifkan akses ke konsol Manajemen Penagihan dan Biaya](control-access-billing.md#ControllingAccessWebsite-Activate)tetap tidak berubah.
**Topics**
+ [Mengelola izin akses](#migrate-control-access-billing)
+ [Menggunakan konsol untuk memigrasi kebijakan Anda secara massal](migrate-granularaccess-console.md)
+ [Cara menggunakan alat kebijakan yang terpengaruh](migrate-security-iam-tool.md)
+ [Gunakan skrip untuk memigrasi kebijakan Anda secara massal untuk menggunakan tindakan IAM berbutir halus](migrate-iam-permissions.md)
+ [Memetakan referensi tindakan IAM berbutir halus](migrate-granularaccess-iam-mapping-reference.md)
## Mengelola izin akses
AWS Billing terintegrasi dengan layanan AWS Identity and Access Management (IAM) sehingga Anda dapat mengontrol siapa di organisasi Anda yang dapat mengakses halaman tertentu di konsol [Billing and](https://console.aws.amazon.com/billing/) Cost Management. Ini termasuk fitur seperti Pembayaran, Penagihan, Kredit, Tingkat Gratis, preferensi Pembayaran, Penagihan Konsolidasi, pengaturan Pajak, dan halaman Akun.
Gunakan izin IAM berikut untuk kontrol granular untuk konsol Billing and Cost Management.
Untuk menyediakan akses berbutir halus, ganti `aws-portal` kebijakan dengan`account`,,,`billing`, `payments` `freetier``invoicing`, `tax` dan. `consolidatedbilling`
Selain itu, ganti `purchase-orders:ViewPurchaseOrders` dan `purchase-orders:ModifyPurchaseOrders` dengan tindakan berbutir halus di bawah`purchase-orders`,, `account` dan. `payments`
### Menggunakan tindakan berbutir halus AWS Billing
Tabel ini merangkum izin yang mengizinkan atau menolak akses pengguna dan peran IAM ke informasi penagihan Anda. Untuk contoh kebijakan yang menggunakan izin ini, lihat [AWS Contoh kebijakan penagihan](billing-example-policies.md).
Untuk daftar tindakan untuk AWS Cost Management konsol, lihat [kebijakan AWS Cost Management tindakan](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#user-permissions) di *Panduan AWS Cost Management Pengguna*.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html)
# Menggunakan konsol untuk memigrasi kebijakan Anda secara massal
**catatan**
Tindakan AWS Identity and Access Management (IAM) berikut telah mencapai akhir dukungan standar pada Juli 2023:
`aws-portal`namespace
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Jika Anda menggunakan AWS Organizations, Anda dapat menggunakan [skrip migrasi kebijakan massal atau migrator](migrate-iam-permissions.md) kebijakan massal untuk memperbarui kebijakan dari akun pembayar Anda. Anda juga dapat menggunakan [referensi pemetaan tindakan lama ke granular](migrate-granularaccess-iam-mapping-reference.md) untuk memverifikasi tindakan IAM yang perlu ditambahkan.
Jika Anda memiliki Akun AWS, atau merupakan bagian dari yang AWS Organizations dibuat pada atau setelah 6 Maret 2023, 11:00 (PDT), tindakan halus sudah berlaku di organisasi Anda.
Bagian ini mencakup cara Anda dapat menggunakan [AWS Manajemen Penagihan dan Biaya konsol](https://console.aws.amazon.com/billing/) untuk memigrasikan kebijakan lama Anda dari akun Organizations atau akun standar ke tindakan berbutir halus secara massal. Anda dapat menyelesaikan migrasi kebijakan lama menggunakan konsol dengan dua cara:
**Menggunakan proses migrasi yang direkomendasikan AWS**
Ini adalah proses tindakan tunggal yang disederhanakan di mana Anda memigrasikan tindakan lama ke tindakan berbutir halus seperti yang dipetakan oleh. AWS Untuk informasi selengkapnya, lihat [Menggunakan tindakan yang disarankan untuk memigrasi kebijakan lama secara massal](migrate-console-streamlined.md).
**Menggunakan proses migrasi yang disesuaikan**
Proses ini memungkinkan Anda meninjau dan mengubah tindakan yang direkomendasikan AWS sebelum migrasi massal, serta menyesuaikan akun mana di organisasi Anda yang dimigrasi. Untuk informasi selengkapnya, lihat [Menyesuaikan tindakan untuk memigrasi kebijakan lama secara massal](migrate-console-customized.md).
## Prasyarat untuk migrasi massal menggunakan konsol
Kedua opsi migrasi mengharuskan Anda untuk menyetujui di konsol sehingga AWS dapat merekomendasikan tindakan berbutir halus ke tindakan IAM lama yang telah Anda tetapkan. Untuk melakukan ini, Anda harus masuk ke AWS akun Anda sebagai [prinsipal IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dengan tindakan IAM berikut untuk melanjutkan pembaruan kebijakan.
------
#### [ Management account ]
```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced",
"aws-portal:UpdateConsoleActionSetEnforced",
"purchase-orders:UpdateConsoleActionSetEnforced",
"iam:GetAccountAuthorizationDetails",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:CreateFunction",
"lambda:InvokeFunction",
"lambda:RemovePermission",
"scheduler:GetSchedule",
"scheduler:DeleteSchedule",
"scheduler:CreateSchedule",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:CreateStackSet",
"cloudformation:CreateStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStackSets",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:ListStacks",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:CreateStack",
"cloudformation:UpdateStackInstances",
"cloudformation:UpdateStackSet",
"cloudformation:DescribeStacks",
"ec2:DescribeRegions",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"iam:GenerateOrganizationsAccessReport",
"iam:GetOrganizationsAccessReport",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"organizations:ListAccountsForParent",
"organizations:ListRoots",
"sts:AssumeRole",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:GetInlinePolicyForPermissionSet",
"sso:DescribePermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sso:ProvisionPermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```
------
#### [ Member account or standard account ]
```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced", // Not needed for member account
"aws-portal:UpdateConsoleActionSetEnforced", // Not needed for member account
"purchase-orders:UpdateConsoleActionSetEnforced", // Not needed for member account
"iam:GetAccountAuthorizationDetails",
"ec2:DescribeRegions",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```
------
**Topics**
+ [Prasyarat untuk migrasi massal menggunakan konsol](#migrate-granularaccess-console-prereq)
+ [Menggunakan tindakan yang disarankan untuk memigrasi kebijakan lama secara massal](migrate-console-streamlined.md)
+ [Menyesuaikan tindakan untuk memigrasi kebijakan lama secara massal](migrate-console-customized.md)
+ [Mengembalikan perubahan kebijakan migrasi massal Anda](migrate-console-rollback.md)
+ [Mengonfirmasi migrasi Anda](#migrate-console-complete)
# Menggunakan tindakan yang disarankan untuk memigrasi kebijakan lama secara massal
Anda dapat memigrasi semua kebijakan lama dengan menggunakan tindakan berbutir halus yang dipetakan oleh. AWS Sebab AWS Organizations, ini berlaku untuk semua kebijakan lama di semua akun. Setelah Anda menyelesaikan proses migrasi, tindakan halus akan efektif. Anda memiliki opsi untuk menguji proses migrasi massal menggunakan akun pengujian sebelum melakukan seluruh organisasi. Untuk informasi selengkapnya, lihat bagian berikut.
**Untuk memigrasi semua kebijakan Anda menggunakan tindakan berbutir halus yang dipetakan oleh AWS**
1. Masuk ke [Konsol Manajemen AWS](https://console.aws.amazon.com/).
1. Di bilah pencarian di bagian atas halaman, masukkan**Bulk Policy Migrator**.
1. Pada halaman **Kelola tindakan IAM baru**, pilih **Konfirmasi dan migrasi**.
1. Tetap berada di halaman **Migrasi yang sedang berlangsung** hingga migrasi selesai. Lihat bilah status untuk kemajuan.
1. Setelah bagian **Migrasi sedang berlangsung** diperbarui ke **Migrasi berhasil**, Anda akan diarahkan ke halaman **Kelola tindakan IAM baru**.
## Menguji migrasi massal
Anda dapat menguji migrasi massal dari kebijakan lama ke tindakan berbutir halus yang AWS disarankan menggunakan akun pengujian sebelum melakukan migrasi ke seluruh organisasi. Setelah menyelesaikan proses migrasi di akun pengujian, tindakan berbutir halus akan diterapkan ke akun pengujian Anda.
**Untuk menggunakan akun pengujian Anda untuk migrasi massal**
1. Masuk ke [Konsol Manajemen AWS](https://console.aws.amazon.com/).
1. Di bilah pencarian di bagian atas halaman, masukkan**Bulk Policy Migrator**.
1. Pada halaman **Kelola tindakan IAM baru**, pilih **Sesuaikan**.
1. Setelah akun dan kebijakan dimuat di tabel **Migrasikan akun**, pilih satu atau beberapa akun pengujian dari daftar AWS akun.
1. **(Opsional) Untuk mengubah pemetaan antara kebijakan lama dan tindakan halus yang AWS disarankan, pilih Lihat pemetaan default.** Ubah pemetaan, dan pilih **Simpan**.
1. Pilih **Konfirmasi dan migrasi.**
1. Tetap berada di halaman konsol hingga migrasi selesai.
# Menyesuaikan tindakan untuk memigrasi kebijakan lama secara massal
Anda dapat menyesuaikan migrasi massal dengan berbagai cara, alih-alih menggunakan tindakan yang AWS disarankan untuk semua akun Anda. Anda memiliki opsi untuk meninjau perubahan apa pun yang diperlukan pada kebijakan lama Anda sebelum bermigrasi, memilih akun tertentu di Organizations untuk dimigrasi sekaligus, dan mengubah rentang akses dengan memperbarui tindakan halus yang dipetakan.
**Untuk meninjau kebijakan yang terpengaruh sebelum melakukan migrasi massal**
1. Masuk ke [Konsol Manajemen AWS](https://console.aws.amazon.com/).
1. Di bilah pencarian di bagian atas halaman, masukkan**Bulk Policy Migrator**.
1. Pada halaman **Kelola tindakan IAM baru**, pilih **Sesuaikan**.
1. Setelah akun dan kebijakan dimuat di tabel **Migrasikan akun**, pilih nomor di kolom **Jumlah kebijakan IAM yang terpengaruh untuk melihat kebijakan** yang terpengaruh. Anda juga akan melihat kapan kebijakan itu digunakan terakhir untuk mengakses konsol Billing and Cost Management.
1. Pilih nama kebijakan untuk membukanya di konsol IAM untuk melihat definisi dan memperbarui kebijakan secara manual.
**Catatan**
Melakukan hal ini dapat membuat Anda keluar dari akun Anda saat ini jika kebijakan tersebut berasal dari akun anggota lain.
Anda tidak akan diarahkan ke halaman IAM terkait jika akun Anda saat ini memiliki migrasi massal yang sedang berlangsung.
1. (Opsional) Pilih **Lihat pemetaan default** untuk melihat kebijakan lama guna memahami kebijakan berbutir halus yang dipetakan oleh. AWS
**Untuk memigrasi grup akun tertentu untuk dimigrasi dari organisasi Anda**
1. Masuk ke [Konsol Manajemen AWS](https://console.aws.amazon.com/).
1. Di bilah pencarian di bagian atas halaman, masukkan**Bulk Policy Migrator**.
1. Pada halaman **Kelola tindakan IAM baru**, pilih **Sesuaikan**.
1. Setelah akun dan kebijakan dimuat di tabel **Migrasikan akun**, pilih satu atau beberapa akun untuk dimigrasi.
1. Pilih **Konfirmasi dan migrasi.**
1. Tetap berada di halaman konsol hingga migrasi selesai.
**Untuk mengubah rentang akses dengan memperbarui tindakan halus yang dipetakan**
1. Masuk ke [Konsol Manajemen AWS](https://console.aws.amazon.com/).
1. Di bilah pencarian di bagian atas halaman, masukkan**Bulk Policy Migrator**.
1. Pada halaman **Kelola tindakan IAM baru**, pilih **Sesuaikan**.
1. Pilih **Lihat pemetaan default**.
1. Pilih **Edit**.
1. Menambahkan atau menghapus tindakan IAM untuk layanan Billing and Cost Management yang ingin Anda kendalikan aksesnya. Untuk informasi selengkapnya tentang tindakan berbutir halus dan akses yang dikontrolnya, lihat. [Memetakan referensi tindakan IAM berbutir halus](migrate-granularaccess-iam-mapping-reference.md)
1. Pilih **Simpan perubahan**.
Pemetaan yang diperbarui digunakan untuk semua migrasi future dari akun yang Anda masuki. Ini dapat diubah kapan saja.
# Mengembalikan perubahan kebijakan migrasi massal Anda
Anda dapat mengembalikan semua perubahan kebijakan yang Anda buat selama proses migrasi massal dengan aman, menggunakan langkah-langkah yang disediakan di alat migrasi massal. Fitur rollback berfungsi pada tingkat akun. Anda dapat mengembalikan pembaruan kebijakan untuk semua akun, atau grup akun migrasi tertentu. Namun, Anda tidak dapat mengembalikan perubahan untuk kebijakan tertentu di akun.
**Untuk mengembalikan perubahan migrasi massal**
1. Masuk ke [Konsol Manajemen AWS](https://console.aws.amazon.com/).
1. Di bilah pencarian di bagian atas halaman, masukkan**Bulk Policy Migrator**.
1. Pada halaman **Kelola tindakan IAM baru**, pilih tab Perubahan **kembalikan**.
1. Pilih akun apa pun untuk rollback. Akun harus `Migrated` ditampilkan di kolom **status Rollback**.
1. Pilih **Tombol perubahan Rollback**.
1. Tetap di halaman konsol sampai rollback selesai.
## Mengonfirmasi migrasi Anda
Anda dapat melihat apakah ada AWS Organizations akun yang masih perlu bermigrasi menggunakan alat migrasi.
**Untuk mengonfirmasi apakah semua akun dimigrasikan**
1. Masuk ke [Konsol Manajemen AWS](https://console.aws.amazon.com/).
1. Di bilah pencarian di bagian atas halaman, masukkan**Bulk Policy Migrator**.
1. Pada halaman **Kelola tindakan IAM baru**, pilih tab **Migrasi akun**.
Semua akun berhasil dimigrasi jika tabel tidak menampilkan akun yang tersisa.
# Cara menggunakan alat kebijakan yang terpengaruh
**catatan**
Tindakan AWS Identity and Access Management (IAM) berikut telah mencapai akhir dukungan standar pada Juli 2023:
`aws-portal`namespace
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Jika Anda menggunakan AWS Organizations, Anda dapat menggunakan [skrip migrasi kebijakan massal atau migrator](migrate-iam-permissions.md) kebijakan massal untuk memperbarui kebijakan dari akun pembayar Anda. Anda juga dapat menggunakan [referensi pemetaan tindakan lama ke granular](migrate-granularaccess-iam-mapping-reference.md) untuk memverifikasi tindakan IAM yang perlu ditambahkan.
Jika Anda memiliki Akun AWS, atau merupakan bagian dari yang AWS Organizations dibuat pada atau setelah 6 Maret 2023, 11:00 (PDT), tindakan halus sudah berlaku di organisasi Anda.
Anda dapat menggunakan alat **Kebijakan yang terpengaruh** di konsol Penagihan untuk mengidentifikasi kebijakan IAM (tidak termasuk SCPs), dan mereferensikan tindakan IAM yang terpengaruh oleh migrasi ini. Gunakan alat **Kebijakan yang terpengaruh** untuk melakukan tugas-tugas berikut:
+ Identifikasi kebijakan IAM dan referensi tindakan IAM yang terpengaruh oleh migrasi ini
+ Salin kebijakan yang diperbarui ke clipboard Anda
+ Buka kebijakan yang terpengaruh di editor kebijakan IAM
+ Simpan kebijakan terbaru untuk akun Anda
+ Nyalakan izin halus dan nonaktifkan tindakan lama
Alat ini beroperasi dalam batas-batas AWS akun yang Anda masuki, dan informasi mengenai AWS Organizations akun lain tidak diungkapkan.
**Untuk menggunakan alat kebijakan yang terpengaruh**
1. Masuk ke Konsol Manajemen AWS dan buka AWS Manajemen Penagihan dan Biaya konsol di [https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/).
1. Tempelkan URL berikut ke browser Anda untuk mengakses alat **Kebijakan yang terpengaruh**:[https://console.aws.amazon.com/poliden/home?region=us-east-1#/](https://console.aws.amazon.com/poliden/home?region=us-east-1#/).
**catatan**
Anda harus memiliki `iam:GetAccountAuthorizationDetails` izin untuk melihat halaman ini.
1. Tinjau tabel yang mencantumkan kebijakan IAM yang terpengaruh. Gunakan kolom **Tindakan IAM yang tidak digunakan lagi untuk meninjau tindakan IAM tertentu yang direferensikan** dalam kebijakan.
1. Di bawah kolom **Salin kebijakan yang diperbarui**, pilih **Salin** untuk menyalin kebijakan yang diperbarui ke clipboard Anda. Kebijakan yang diperbarui berisi kebijakan yang ada dan tindakan halus yang disarankan ditambahkan padanya sebagai blok terpisah. `Sid` Blok ini memiliki awalan `AffectedPoliciesMigrator` di akhir kebijakan.
1. Di bawah kolom **Edit Kebijakan di Konsol IAM**, pilih **Edit** untuk pergi ke editor kebijakan IAM. Anda akan melihat JSON dari kebijakan Anda yang ada.
1. Ganti seluruh kebijakan yang ada dengan kebijakan terbaru yang Anda salin di langkah 4. Anda dapat membuat perubahan lain sesuai kebutuhan.
1. Pilih **Berikutnya** dan kemudian pilih **Simpan perubahan**.
1. Ulangi langkah 3 hingga 7 untuk semua kebijakan yang terpengaruh.
1. Setelah memperbarui kebijakan, segarkan fitur **Kebijakan yang terpengaruh** untuk mengonfirmasi bahwa tidak ada kebijakan yang terpengaruh yang tercantum. Kolom **New IAM Actions Found** harus memiliki **Ya** untuk semua kebijakan dan tombol **Salin** dan **Edit** akan dinonaktifkan. Kebijakan Anda yang terpengaruh diperbarui.
**Untuk mengaktifkan tindakan berbutir halus untuk akun Anda**
Setelah memperbarui kebijakan, ikuti prosedur ini untuk mengaktifkan tindakan halus untuk akun Anda.
Hanya akun manajemen (pembayar) organisasi atau akun individu yang dapat menggunakan bagian **Kelola Tindakan IAM Baru**. Akun individu dapat mengaktifkan tindakan baru untuk dirinya sendiri. Akun manajemen dapat mengaktifkan tindakan baru untuk seluruh organisasi atau subset akun anggota. Jika Anda adalah akun manajemen, perbarui kebijakan yang terpengaruh untuk semua akun anggota dan aktifkan tindakan baru untuk organisasi Anda. Untuk informasi selengkapnya, lihat [Cara mengaktifkan akun antara tindakan berbutir halus baru atau tindakan](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/#How-to-toggle-accounts-between-new-fine-grained-actions-or-existing-IAM-Actions) IAM yang ada? bagian dalam posting AWS blog.
**catatan**
Untuk melakukan ini, Anda harus memiliki izin berikut:
`aws-portal:GetConsoleActionSetEnforced`
`aws-portal:UpdateConsoleActionSetEnforced`
`ce:GetConsoleActionSetEnforced`
`ce:UpdateConsoleActionSetEnforced`
`purchase-orders:GetConsoleActionSetEnforced`
`purchase-orders:UpdateConsoleActionSetEnforced`
Jika Anda tidak melihat bagian **Kelola Tindakan IAM Baru**, ini berarti akun Anda telah mengaktifkan tindakan IAM berbutir halus.
1. Di bawah **Manage New IAM Actions**, pengaturan **Current Action Set Enforced** akan memiliki status yang **ada**.
Pilih **Aktifkan tindakan baru (Fine Grained)** dan kemudian pilih **Terapkan perubahan**.
1. Di kotak dialog, pilih **Ya**. Status **Action Set Enforced saat ini** akan berubah menjadi **Fine Grained**. Ini berarti tindakan baru diberlakukan untuk Anda Akun AWS atau untuk organisasi Anda.
1. (Opsional) Anda kemudian dapat memperbarui kebijakan yang ada untuk menghapus salah satu tindakan lama.
**Example Contoh: Sebelum dan sesudah kebijakan IAM**
Kebijakan IAM berikut memiliki `aws-portal:ViewPaymentMethods` tindakan lama.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
}
]
}
```
Setelah Anda menyalin kebijakan yang diperbarui, contoh berikut memiliki `Sid` blok baru dengan tindakan berbutir halus.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
},
{
"Sid": "AffectedPoliciesMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"invoicing:GetInvoicePDF",
"payments:GetPaymentInstrument",
"payments:GetPaymentStatus",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}
]
}
```
## Sumber daya terkait
Untuk informasi selengkapnya, lihat [Sid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html) di *Panduan Pengguna IAM*.
[Untuk informasi selengkapnya tentang tindakan berbutir halus baru, lihat referensi [Pemetaan tindakan IAM berbutir halus dan Menggunakan tindakan Penagihan berbutir halus](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html).](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html#migrate-user-permissions)
# Gunakan skrip untuk memigrasi kebijakan Anda secara massal untuk menggunakan tindakan IAM berbutir halus
**catatan**
Tindakan AWS Identity and Access Management (IAM) berikut telah mencapai akhir dukungan standar pada Juli 2023:
`aws-portal`namespace
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Jika Anda menggunakan AWS Organizations, Anda dapat menggunakan [skrip migrasi kebijakan massal atau migrator](#migrate-iam-permissions) kebijakan massal untuk memperbarui kebijakan dari akun pembayar Anda. Anda juga dapat menggunakan [referensi pemetaan tindakan lama ke granular](migrate-granularaccess-iam-mapping-reference.md) untuk memverifikasi tindakan IAM yang perlu ditambahkan.
Jika Anda memiliki Akun AWS, atau merupakan bagian dari yang AWS Organizations dibuat pada atau setelah 6 Maret 2023, 11:00 (PDT), tindakan halus sudah berlaku di organisasi Anda.
[Untuk membantu memigrasikan kebijakan IAM agar menggunakan tindakan baru, yang dikenal sebagai tindakan halus, Anda dapat menggunakan skrip dari situs web Sampel.AWS](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles)
Anda menjalankan skrip ini dari akun pembayar organisasi Anda untuk mengidentifikasi kebijakan yang terpengaruh berikut di organisasi Anda yang menggunakan tindakan IAM lama:
+ Kebijakan IAM yang dikelola pelanggan
+ Kebijakan inline IAM peran, grup, dan pengguna
+ Kebijakan kontrol layanan (SCPs) (hanya berlaku untuk akun pembayar)
+ Set izin
Skrip menghasilkan saran untuk tindakan baru yang sesuai dengan tindakan yang ada yang digunakan dalam kebijakan. Anda kemudian meninjau saran dan menggunakan skrip untuk menambahkan tindakan baru di semua kebijakan yang terpengaruh di organisasi Anda. Anda tidak perlu memperbarui kebijakan AWS terkelola atau AWS dikelola SCPs (misalnya, AWS Control Tower dan AWS Organizations SCPs).
Anda menggunakan skrip ini untuk:
+ Sederhanakan pembaruan kebijakan untuk membantu Anda mengelola kebijakan yang terpengaruh dari akun pembayar.
+ Kurangi jumlah waktu yang Anda butuhkan untuk memperbarui kebijakan. Anda tidak perlu masuk ke setiap akun anggota dan memperbarui kebijakan secara manual.
+ Kelompokkan kebijakan yang identik dari akun anggota yang berbeda bersama-sama. Anda kemudian dapat meninjau dan menerapkan pembaruan yang sama di semua kebijakan yang identik, alih-alih meninjaunya satu per satu.
+ Pastikan akses pengguna tetap tidak terpengaruh setelah AWS menghentikan tindakan IAM lama pada 6 Juli 2023.
Untuk informasi selengkapnya tentang kebijakan dan kebijakan kontrol layanan (SCPs), lihat topik berikut:
+ [Mengelola kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) dalam Panduan *Pengguna IAM*
+ [Kebijakan kontrol layanan (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan AWS Organizations Pengguna*
+ [Izin khusus](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetcustom.html) di Panduan Pengguna *Pusat Identitas IAM*
## Ikhtisar
Ikuti topik ini untuk menyelesaikan langkah-langkah berikut:
**Topics**
+ [Ikhtisar](#overview-bulk-migrate-policies)
+ [Prasyarat](#prerequisites-running-the-scripts)
+ [Langkah 1: Siapkan lingkungan Anda](#set-up-your-environment-and-download-the-scripts)
+ [Langkah 2: Buat CloudFormation StackSet](#create-the-cloudformation-stack)
+ [Langkah 3: Identifikasi kebijakan yang terpengaruh](#identify-the-affected-policies)
+ [Langkah 4: Tinjau perubahan yang disarankan](#review-the-affected-policies)
+ [Langkah 5: Perbarui kebijakan yang terpengaruh](#update-the-affected-policies)
+ [Langkah 6: Kembalikan perubahan Anda (Opsional)](#revert-changes)
+ [Contoh kebijakan IAM](#examples-of-similar-policies)
## Prasyarat
Untuk memulai, Anda harus melakukan hal berikut:
+ Unduh dan instal [Python 3](https://www.python.org/downloads/)
+ Masuk ke akun pembayar Anda dan verifikasi bahwa Anda memiliki prinsipal IAM yang memiliki izin IAM berikut:
```
"iam:GetAccountAuthorizationDetails",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"sso:DescribePermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"sso:GetInlinePolicyForPermissionSet",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:ProvisionPermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sts:AssumeRole"
```
**Tip**
Untuk memulai, kami menyarankan Anda menggunakan subset akun, seperti akun pengujian, untuk memverifikasi bahwa perubahan yang disarankan diharapkan.
Anda kemudian dapat menjalankan skrip lagi untuk akun yang tersisa di organisasi Anda.
## Langkah 1: Siapkan lingkungan Anda
Untuk memulai, unduh file yang diperlukan dari situs web [AWS Sampel](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles). Anda kemudian menjalankan perintah untuk mengatur lingkungan Anda.
**Menyiapkan lingkungan Anda**
1. [Kloning repositori dari situs web Sampel.AWS](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles) Di jendela baris perintah, Anda dapat menggunakan perintah berikut:
```
git clone https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles.git
```
1. Arahkan ke direktori tempat Anda mengunduh file. Anda dapat menggunakan perintah berikut:
```
cd bulk-policy-migrator-scripts-for-account-cost-billing-consoles
```
Di repositori, Anda dapat menemukan skrip dan sumber daya berikut:
+ `billing_console_policy_migrator_role.json`— CloudFormation Template yang menciptakan peran `BillingConsolePolicyMigratorRole` IAM dalam akun anggota organisasi Anda. Peran ini memungkinkan skrip untuk mengambil peran, lalu membaca dan memperbarui kebijakan yang terpengaruh.
+ `action_mapping_config.json`— Berisi one-to-many pemetaan tindakan lama ke tindakan baru. Skrip menggunakan file ini untuk menyarankan tindakan baru untuk setiap kebijakan yang terpengaruh yang berisi tindakan lama.
Setiap tindakan lama sesuai dengan beberapa tindakan berbutir halus. Tindakan baru yang disarankan dalam file memberi pengguna akses ke hal yang sama Layanan AWS sebelum migrasi.
+ `identify_affected_policies.py`— Memindai dan mengidentifikasi kebijakan yang terpengaruh di organisasi Anda. Skrip ini menghasilkan `affected_policies_and_suggestions.json` file yang mencantumkan kebijakan yang terpengaruh bersama dengan tindakan baru yang disarankan.
Kebijakan yang terpengaruh yang menggunakan kumpulan tindakan lama yang sama dikelompokkan bersama dalam file JSON, sehingga Anda dapat meninjau atau memperbarui tindakan baru yang disarankan.
+ `update_affected_policies.py`— Memperbarui kebijakan yang terpengaruh di organisasi Anda. Skrip memasukkan `affected_policies_and_suggestions.json` file, dan kemudian menambahkan tindakan baru yang disarankan ke kebijakan.
+ `rollback_affected_policies.py`— (Opsional) Mengembalikan perubahan yang dilakukan pada kebijakan yang terpengaruh. Skrip ini menghapus tindakan berbutir halus baru dari kebijakan yang terpengaruh.
1. Jalankan perintah berikut untuk mengatur dan mengaktifkan lingkungan virtual.
```
python3 -m venv venv
```
```
source venv/bin/activate
```
1. Jalankan perintah berikut untuk menginstal AWS SDK untuk Python (Boto3) dependensi.
```
pip install -r requirements.txt
```
**catatan**
Anda harus mengonfigurasi AWS kredensi Anda untuk menggunakan AWS Command Line Interface ()AWS CLI. Untuk informasi selengkapnya, lihat [AWS SDK untuk Python (Boto3)](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/credentials.html).
Untuk informasi selengkapnya, lihat file [README.md.](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles#readme)
## Langkah 2: Buat CloudFormation StackSet
Ikuti prosedur ini untuk membuat *set CloudFormation tumpukan*. Kumpulan tumpukan ini kemudian membuat peran `BillingConsolePolicyMigratorRole` IAM untuk semua akun anggota di organisasi Anda.
**catatan**
Anda hanya perlu menyelesaikan langkah ini sekali dari akun manajemen (akun pembayar).
**Untuk membuat CloudFormation StackSet**
1. Dalam editor teks, buka `billing_console_policy_migrator_role.json` file, dan ganti setiap contoh *``* dengan ID akun dari akun pembayar (misalnya,*123456789012*).
1. Simpan file tersebut.
1. Masuk ke akun Konsol Manajemen AWS sebagai pembayar.
1. Di CloudFormation konsol, buat set tumpukan dengan `billing_console_policy_migrator_role.json` file yang Anda perbarui.
Untuk informasi selengkapnya, lihat [Membuat kumpulan tumpukan di AWS CloudFormation konsol](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html) di *Panduan AWS CloudFormation Pengguna*.
Setelah CloudFormation membuat kumpulan tumpukan, setiap akun anggota di organisasi Anda memiliki peran `BillingConsolePolicyMigratorRole` IAM.
Peran IAM berisi izin berikut:
```
"iam:GetAccountAuthorizationDetails",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion"
```
**Catatan**
Untuk setiap akun anggota, skrip memanggil operasi [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)API untuk mendapatkan kredensil sementara untuk mengambil peran IAM. `BillingConsolePolicyMigratorRole`
Skrip memanggil operasi [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)API untuk mendapatkan semua akun anggota.
Skrip juga memanggil operasi API IAM untuk melakukan izin baca dan tulis ke kebijakan.
## Langkah 3: Identifikasi kebijakan yang terpengaruh
Setelah Anda membuat set tumpukan dan mengunduh file, jalankan `identify_affected_policies.py` skrip. Skrip ini mengasumsikan peran `BillingConsolePolicyMigratorRole` IAM untuk setiap akun anggota, dan kemudian mengidentifikasi kebijakan yang terpengaruh.
**Untuk mengidentifikasi kebijakan yang terpengaruh**
1. Arahkan ke direktori tempat Anda mengunduh skrip.
```
cd policy_migration_scripts/scripts
```
1. Jalankan `identify_affected_policies.py` skrip.
Anda dapat menggunakan parameter input berikut:
+ Akun AWS bahwa Anda ingin skrip untuk memindai. Untuk menentukan akun, gunakan parameter input berikut:
+ `--all`— Memindai semua akun anggota di organisasi Anda.
```
python3 identify_affected_policies.py --all
```
+ `--accounts`— Memindai subset akun anggota di organisasi Anda.
```
python3 identify_affected_policies.py --accounts 111122223333, 444455556666, 777788889999
```
+ `--exclude-accounts`— Tidak termasuk akun anggota tertentu di organisasi Anda.
```
python3 identify_affected_policies.py --all --exclude-accounts 111111111111, 222222222222, 333333333333
```
+ ` –-action-mapping-config-file`— (Opsional) Tentukan jalur ke `action_mapping_config.json` file. Skrip menggunakan file ini untuk menghasilkan pembaruan yang disarankan untuk kebijakan yang terpengaruh. Jika Anda tidak menentukan jalur, skrip menggunakan `action_mapping_config.json` file di folder.
```
python3 identify_affected_policies.py –-action-mapping-config-file c:\Users\username\Desktop\Scripts\action_mapping_config.json –-all
```
**catatan**
Anda tidak dapat menentukan unit organisasi (OUs) dengan skrip ini.
Setelah Anda menjalankan skrip, itu membuat dua file JSON dalam `Affected_Policies_` folder:
+ `affected_policies_and_suggestions.json`
+ `detailed_affected_policies.json`
**`affected_policies_and_suggestions.json`**
Daftar kebijakan yang terpengaruh dengan tindakan baru yang disarankan. Kebijakan yang terpengaruh yang menggunakan kumpulan tindakan lama yang sama dikelompokkan bersama dalam file.
File ini berisi bagian-bagian berikut:
+ Metadata yang memberikan ikhtisar akun yang Anda tentukan dalam skrip, termasuk:
+ Akun dipindai dan parameter input yang digunakan untuk skrip `identify_affected_policies.py`
+ Jumlah akun yang terpengaruh
+ Jumlah kebijakan yang terpengaruh
+ Jumlah kelompok kebijakan serupa
+ Grup kebijakan serupa - Termasuk daftar akun dan detail kebijakan, termasuk bagian berikut:
+ `ImpactedPolicies`— Menentukan kebijakan mana yang terpengaruh dan termasuk dalam grup
+ `ImpactedPolicyStatements`— Memberikan informasi tentang `Sid` blok yang saat ini menggunakan tindakan lama dalam kebijakan yang terpengaruh. Bagian ini mencakup tindakan lama dan elemen IAM, seperti`Effect`,,`Principal`, `NotPrincipal``NotAction`, dan`Condition`.
+ `SuggestedPolicyStatementsToAppend`— Menyediakan tindakan baru yang disarankan yang ditambahkan sebagai `SID` blok baru.
Saat Anda memperbarui kebijakan, blok ini ditambahkan di akhir kebijakan.
**Example Contoh file `affected_policies_and_suggestions.json`**
File ini mengelompokkan kebijakan yang serupa berdasarkan kriteria berikut:
+ Tindakan lama yang sama digunakan — Kebijakan yang memiliki tindakan lama yang sama di semua `SID` blok.
+ Detail pencocokan — Selain tindakan yang terpengaruh, kebijakan memiliki elemen IAM yang identik, seperti:
+ `Effect` (`Allow`/`Deny`)
+ `Principal`(yang diizinkan atau ditolak aksesnya)
+ `NotAction`(tindakan apa yang tidak diperbolehkan)
+ `NotPrincipal`(yang secara eksplisit ditolak aksesnya)
+ `Resource`( AWS sumber daya yang berlaku untuk kebijakan)
+ `Condition`(kondisi spesifik apa pun di mana kebijakan berlaku)
Untuk informasi selengkapnya, lihat [Contoh kebijakan IAM](#examples-of-similar-policies).
**Example Contoh `affected_policies_and_suggestions.json`**
```
[{
"AccountsScanned": [
"111111111111",
"222222222222"
],
"TotalAffectedAccounts": 2,
"TotalAffectedPolicies": 2,
"TotalSimilarPolicyGroups": 2
},
{
"GroupName": "Group1",
"ImpactedPolicies": [{
"Account": "111111111111",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-Allow",
"PolicyIdentifier": "1111111_1-user:Inline-Test-Policy-Allow"
},
{
"Account": "222222222222",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-Allow",
"PolicyIdentifier": "222222_1-group:Inline-Test-Policy-Allow"
}
],
"ImpactedPolicyStatements": [
[{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccounts"
],
"Resource": "*"
}]
],
"SuggestedPolicyStatementsToAppend": [{
"Sid": "BillingConsolePolicyMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"account:GetAlternateContact",
"account:GetChallengeQuestions",
"account:GetContactInformation",
"billing:GetContractInformation",
"billing:GetIAMAccessPreference",
"billing:GetSellerOfRecord",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}]
},
{
"GroupName": "Group2",
"ImpactedPolicies": [{
"Account": "111111111111",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-deny",
"PolicyIdentifier": "1111111_2-user:Inline-Test-Policy-deny"
},
{
"Account": "222222222222",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-deny",
"PolicyIdentifier": "222222_2-group:Inline-Test-Policy-deny"
}
],
"ImpactedPolicyStatements": [
[{
"Sid": "VisualEditor0",
"Effect": "deny",
"Action": [
"aws-portal:ModifyAccount"
],
"Resource": "*"
}]
],
"SuggestedPolicyStatementsToAppend": [{
"Sid": "BillingConsolePolicyMigrator1",
"Effect": "Deny",
"Action": [
"account:CloseAccount",
"account:DeleteAlternateContact",
"account:PutAlternateContact",
"account:PutChallengeQuestions",
"account:PutContactInformation",
"billing:PutContractInformation",
"billing:UpdateIAMAccessPreference",
"payments:UpdatePaymentPreferences"
],
"Resource": "*"
}]
}
]
```
**`detailed_affected_policies.json`**
Berisi definisi semua kebijakan yang terpengaruh yang diidentifikasi `identify_affected_policies.py` skrip untuk akun anggota.
File mengelompokkan kebijakan serupa bersama-sama. Anda dapat menggunakan file ini sebagai referensi, sehingga Anda dapat meninjau dan mengelola perubahan kebijakan tanpa perlu masuk ke setiap akun anggota untuk meninjau pembaruan untuk setiap kebijakan dan akun satu per satu.
Anda dapat mencari file untuk nama kebijakan (misalnya,`YourCustomerManagedReadOnlyAccessBillingUser`) dan kemudian meninjau definisi kebijakan yang terpengaruh.
**Example Contoh: `detailed_affected_policies.json`**
## Langkah 4: Tinjau perubahan yang disarankan
Setelah skrip membuat `affected_policies_and_suggestions.json` file, tinjau dan buat perubahan apa pun.
**Untuk meninjau kebijakan yang terpengaruh**
1. Dalam editor teks, buka `affected_policies_and_suggestions.json` file.
1. Di `AccountsScanned` bagian ini, verifikasi bahwa jumlah grup serupa yang diidentifikasi di seluruh akun yang dipindai diharapkan.
1. Tinjau tindakan halus yang disarankan yang akan ditambahkan ke kebijakan yang terpengaruh.
1. Perbarui file Anda sesuai kebutuhan dan kemudian simpan.
### Contoh 1: Perbarui `action_mapping_config.json` file
Anda dapat memperbarui pemetaan yang disarankan di. `action_mapping_config.json` Setelah Anda memperbarui file, Anda dapat menjalankan kembali `identify_affected_policies.py` skrip. Skrip ini menghasilkan saran terbaru untuk kebijakan yang terpengaruh.
Anda dapat membuat beberapa versi `action_mapping_config.json` file untuk mengubah kebijakan untuk akun yang berbeda dengan izin yang berbeda. Misalnya, Anda dapat membuat satu file bernama `action_mapping_config_testing.json` untuk memigrasikan izin untuk akun pengujian dan `action_mapping_config_production.json` untuk akun produksi Anda.
### Contoh 2: Perbarui `affected_policies_and_suggestions.json` file
Untuk membuat perubahan pada penggantian yang disarankan untuk grup kebijakan tertentu yang terpengaruh, Anda dapat langsung mengedit bagian penggantian yang disarankan di dalam file. `affected_policies_and_suggestions.json`
Setiap perubahan yang Anda buat di bagian ini diterapkan pada semua kebijakan dalam grup kebijakan tertentu yang terpengaruh tersebut.
### Contoh 3: Sesuaikan kebijakan tertentu
Jika Anda menemukan kebijakan dalam grup kebijakan yang terpengaruh yang memerlukan perubahan berbeda dari pembaruan yang disarankan, Anda dapat melakukan hal berikut:
+ Kecualikan akun tertentu dari `identify_affected_policies.py` skrip. Anda kemudian dapat meninjau akun yang dikecualikan tersebut secara terpisah.
+ Perbarui `Sid` blok yang terpengaruh dengan menghapus kebijakan dan akun yang terpengaruh yang memerlukan izin berbeda. Buat blok JSON yang hanya menyertakan akun tertentu atau mengecualikannya dari proses kebijakan yang terpengaruh pembaruan saat ini.
Saat Anda menjalankan ulang `identify_affected_policies.py` skrip, hanya akun yang relevan yang muncul di blok yang diperbarui. Anda kemudian dapat menyempurnakan penggantian yang disarankan untuk blok tertentu `Sid` itu.
## Langkah 5: Perbarui kebijakan yang terpengaruh
Setelah Anda meninjau dan menyempurnakan penggantian yang disarankan, jalankan skrip. `update_affected_policies.py` Script mengambil `affected_policies_and_suggestions.json` file sebagai input. Skrip ini mengasumsikan peran `BillingConsolePolicyMigratorRole` IAM untuk memperbarui kebijakan yang terpengaruh yang tercantum dalam file. `affected_policies_and_suggestions.json`
**Untuk memperbarui kebijakan yang terpengaruh**
1. Jika Anda belum melakukannya, buka jendela baris perintah untuk file AWS CLI.
1. Masukkan perintah berikut untuk menjalankan `update_affected_policies.py` skrip. Anda dapat memasukkan parameter input berikut:
+ Jalur direktori `affected_policies_and_suggestions.json` file yang berisi daftar kebijakan yang terpengaruh untuk diperbarui. File ini merupakan output dari langkah sebelumnya.
```
python3 update_affected_policies.py --affected-policies-directory Affected_Policies_
```
`update_affected_policies.py`Skrip memperbarui kebijakan yang terpengaruh dalam `affected_policies_and_suggestions.json` file dengan tindakan baru yang disarankan. Skrip menambahkan `Sid` blok ke kebijakan, diidentifikasi sebagai`BillingConsolePolicyMigrator#`, di mana *\$1* sesuai dengan penghitung tambahan (misalnya, 1, 2, 3).
Misalnya, jika ada beberapa `Sid` blok dalam kebijakan yang terpengaruh yang menggunakan tindakan lama, skrip akan menambahkan beberapa `Sid` blok yang muncul `BillingConsolePolicyMigrator#` sesuai dengan setiap `Sid` blok.
**penting**
Skrip tidak menghapus tindakan IAM lama dari kebijakan, dan atau mengubah `Sid` blok yang ada dalam kebijakan. Sebagai gantinya, ia membuat `Sid` blok dan menambahkannya ke akhir kebijakan. `Sid`Blok baru ini memiliki tindakan baru yang disarankan dari file JSON. Ini memastikan bahwa izin kebijakan asli tidak diubah.
Kami menyarankan Anda untuk tidak mengubah nama `BillingConsolePolicyMigrator#` `Sid` blok jika Anda perlu mengembalikan perubahan Anda.
**Example Contoh: Kebijakan dengan blok yang ditambahkan `Sid`**
Lihat blok yang ditambahkan di `Sid` `BillingConsolePolicyMigrator2` blok `BillingConsolePolicyMigrator1` dan.
Skrip menghasilkan laporan status yang berisi operasi yang gagal dan mengeluarkan file JSON secara lokal.
**Example Contoh: Laporan status**
```
[{
"Account": "111111111111",
"PolicyType": "Customer Managed Policy"
"PolicyName": "AwsPortalViewPaymentMethods",
"PolicyIdentifier": "identifier",
"Status": "FAILURE", // FAILURE or SKIPPED
"ErrorMessage": "Error message details"
}]
```
**penting**
Jika Anda menjalankan ulang `update_affected_policies.py` skrip `identify_affected_policies.py` dan skrip, mereka akan melewati semua kebijakan yang berisi blok tersebut. `BillingConsolePolicyMigratorRole#` `Sid` Skrip berasumsi bahwa kebijakan tersebut sebelumnya dipindai dan diperbarui, dan tidak memerlukan pembaruan tambahan. Ini mencegah skrip menduplikasi tindakan yang sama dalam kebijakan.
Setelah memperbarui kebijakan yang terpengaruh, Anda dapat menggunakan IAM baru dengan menggunakan alat kebijakan yang terpengaruh. Jika Anda mengidentifikasi masalah apa pun, Anda dapat menggunakan alat ini untuk beralih kembali ke tindakan sebelumnya. Anda juga dapat menggunakan skrip untuk mengembalikan pembaruan kebijakan Anda.
Untuk informasi selengkapnya, lihat [Cara menggunakan alat kebijakan yang terpengaruh](migrate-security-iam-tool.md) dan posting [blog Perubahan pada AWS Penagihan, Manajemen Biaya, dan Izin Konsol Akun](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/).
Untuk mengelola pembaruan Anda, Anda dapat:
Jalankan skrip untuk setiap akun satu per satu.
Jalankan skrip dalam batch untuk akun serupa, seperti pengujian, QA, dan akun produksi.
Jalankan skrip untuk semua akun.
Pilih campuran antara memperbarui beberapa akun dalam batch, dan kemudian memperbarui yang lain satu per satu.
## Langkah 6: Kembalikan perubahan Anda (Opsional)
`rollback_affected_policies.py`Skrip mengembalikan perubahan yang diterapkan pada setiap kebijakan yang terpengaruh untuk akun yang ditentukan. Skrip menghapus semua `Sid` blok yang ditambahkan `update_affected_policies.py` skrip. `Sid`Blok-blok ini memiliki `BillingConsolePolicyMigratorRole#` format.
**Untuk mengembalikan perubahan Anda**
1. Jika Anda belum melakukannya, buka jendela baris perintah untuk file AWS CLI.
1. Masukkan perintah berikut untuk menjalankan `rollback_affected_policies.py` skrip. Anda dapat memasukkan parameter input berikut:
+ `--accounts`
+ Menentukan daftar dipisahkan koma dari yang ingin Anda sertakan dalam rollback. Akun AWS IDs
+ Contoh berikut memindai kebijakan dalam yang ditentukan Akun AWS, dan menghapus pernyataan apa pun dengan `BillingConsolePolicyMigrator#` `Sid` blok.
```
python3 rollback_affected_policies.py –-accounts 111122223333, 555555555555, 666666666666
```
+ `--all`
+ Termasuk semua Akun AWS IDs dalam organisasi Anda.
+ Contoh berikut memindai semua kebijakan di organisasi Anda, dan menghapus pernyataan apa pun dengan `BillingConsolePolicyMigratorRole#` `Sid` blok tersebut.
```
python3 rollback_affected_policies.py –-all
```
+ `--exclude-accounts`
+ Menentukan daftar dipisahkan koma dari yang ingin Anda kecualikan dari rollback. Akun AWS IDs
Anda dapat menggunakan parameter ini hanya ketika Anda juga menentukan `--all` parameter.
+ Contoh berikut memindai kebijakan untuk semua Akun AWS di organisasi Anda, kecuali untuk akun yang ditentukan.
```
python3 rollback_affected_policies.py --all --exclude-accounts 777777777777, 888888888888, 999999999999
```
## Contoh kebijakan IAM
Kebijakan dianggap serupa jika mereka identik:
+ Tindakan yang terpengaruh di semua `Sid` blok.
+ Detail dalam elemen IAM berikut:
+ `Effect` (`Allow`/`Deny`)
+ `Principal`(yang diizinkan atau ditolak aksesnya)
+ `NotAction`(tindakan apa yang tidak diperbolehkan)
+ `NotPrincipal`(yang secara eksplisit ditolak aksesnya)
+ `Resource`( AWS sumber daya yang berlaku untuk kebijakan)
+ `Condition`(kondisi spesifik apa pun di mana kebijakan berlaku)
Contoh berikut menunjukkan kebijakan yang mungkin atau mungkin tidak dianggap serupa oleh IAM berdasarkan perbedaan di antara keduanya.
**Example Contoh 1: Kebijakan dianggap serupa**
Setiap jenis kebijakan berbeda, tetapi kedua kebijakan berisi satu `Sid` blok dengan pengaruh yang sama`Action`.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
**Example Contoh 2: Kebijakan dianggap serupa**
Kedua kebijakan berisi satu `Sid` blok dengan pengaruh yang sama`Action`. Kebijakan 2 berisi tindakan tambahan, tetapi tindakan ini tidak terpengaruh.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing",
"athena:*"
],
"Resource": "*"
}]
}
```
**Example Contoh 3: Kebijakan tidak dianggap serupa**
Kedua kebijakan berisi satu `Sid` blok dengan pengaruh yang sama`Action`. Namun, kebijakan 2 berisi `Condition` elemen yang tidak ada dalam kebijakan 1.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing",
"athena:*"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "true"
}
}
}]
}
```
**Example Contoh 4: Kebijakan dianggap serupa**
Kebijakan 1 memiliki satu `Sid` blok dengan yang terpengaruh`Action`. Kebijakan 2 memiliki beberapa `Sid` blok, tetapi yang terpengaruh hanya `Action` muncul dalam satu blok.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"cloudtrail:Get*"
],
"Resource": "*"
}
]
}
```
**Example Contoh 5: Kebijakan tidak dianggap serupa**
Kebijakan 1 memiliki satu `Sid` blok dengan yang terpengaruh`Action`. Kebijakan 2 memiliki beberapa `Sid` blok, dan yang terpengaruh `Action` muncul di beberapa blok.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*"
],
"Resource": "*"
}
]
}
```
**Example Contoh 6: Kebijakan dianggap serupa**
Kedua kebijakan memiliki beberapa `Sid` blok, dengan dampak yang sama `Action` di setiap `Sid` blok.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"iam:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"iam:Update*"
],
"Resource": "*"
}
]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"athena:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"athena:Update*"
],
"Resource": "*"
}
]
}
```
**Example Contoh 7**
Dua kebijakan berikut ini tidak dianggap serupa.
Kebijakan 1 memiliki satu `Sid` blok dengan yang terpengaruh`Action`. Kebijakan 2 memiliki `Sid` blok dengan dampak yang sama`Action`. Namun, kebijakan 2 juga berisi `Sid` blok lain dengan tindakan berbeda.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"iam:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"iam:Update*"
],
"Resource": "*"
}
]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"athena:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:*Billing",
"athena:Update*"
],
"Resource": "*"
}
]
}
```
# Memetakan referensi tindakan IAM berbutir halus
**catatan**
Tindakan AWS Identity and Access Management (IAM) berikut telah mencapai akhir dukungan standar pada Juli 2023:
`aws-portal`namespace
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Jika Anda menggunakan AWS Organizations, Anda dapat menggunakan [skrip migrasi kebijakan massal atau migrator](migrate-iam-permissions.md) kebijakan massal untuk memperbarui kebijakan dari akun pembayar Anda. Anda juga dapat menggunakan [referensi pemetaan tindakan lama ke granular](#migrate-granularaccess-iam-mapping-reference) untuk memverifikasi tindakan IAM yang perlu ditambahkan.
Jika Anda memiliki Akun AWS, atau merupakan bagian dari yang AWS Organizations dibuat pada atau setelah 6 Maret 2023, 11:00 (PDT), tindakan halus sudah berlaku di organisasi Anda.
Anda harus memigrasikan tindakan IAM berikut dalam kebijakan izin atau kebijakan kontrol layanan (SCP):
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
Anda dapat menggunakan topik ini untuk melihat pemetaan tindakan lama ke tindakan berbutir halus baru untuk setiap tindakan IAM yang akan kami pensiunkan.
**Ikhtisar**
1. Tinjau kebijakan IAM Anda yang terpengaruh di Anda Akun AWS. Untuk melakukannya, ikuti langkah-langkah di alat **Kebijakan yang terpengaruh untuk mengidentifikasi kebijakan** IAM Anda yang terpengaruh. Lihat [Cara menggunakan alat kebijakan yang terpengaruh](migrate-security-iam-tool.md).
1. Gunakan konsol IAM untuk menambahkan izin granular baru ke kebijakan Anda. Misalnya, jika kebijakan Anda mengizinkan `purchase-orders:ModifyPurchaseOrders` izin, Anda harus menambahkan setiap tindakan dalam [Pemetaan untuk purchase-orders:ModifyPurchaseOrders](#mapping-for-purchase-ordersmodifypurchaseorders) tabel.
**Kebijakan lama**
Kebijakan berikut memungkinkan pengguna untuk menambah, menghapus, atau memodifikasi pesanan pembelian apa pun di akun.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "purchase-orders:ModifyPurchaseOrders",
"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
}
]
}
```
------
**Kebijakan baru**
Kebijakan berikut juga memungkinkan pengguna untuk menambah, menghapus, atau memodifikasi pesanan pembelian apa pun di akun. Perhatikan bahwa setiap izin granular muncul setelah `purchase-orders:ModifyPurchaseOrders` izin lama. Izin ini memberi Anda kontrol lebih besar atas tindakan apa yang ingin Anda izinkan atau tolak.
**Tip**
Kami menyarankan agar Anda menyimpan izin lama untuk memastikan bahwa Anda tidak kehilangan izin sampai migrasi ini selesai.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"purchase-orders:ModifyPurchaseOrders",
"purchase-orders:AddPurchaseOrder",
"purchase-orders:DeletePurchaseOrder",
"purchase-orders:UpdatePurchaseOrder",
"purchase-orders:UpdatePurchaseOrderStatus"
],
"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
}
]
}
```
------
1. Simpan perubahan Anda.
**Catatan**
Untuk mengedit kebijakan secara manual di konsol IAM, lihat [Mengedit kebijakan terkelola pelanggan (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console) di *Panduan Pengguna IAM*.
Untuk memigrasikan kebijakan IAM secara massal agar menggunakan tindakan berbutir halus (tindakan baru), lihat. [Gunakan skrip untuk memigrasi kebijakan Anda secara massal untuk menggunakan tindakan IAM berbutir halus](migrate-iam-permissions.md)
**Contents**
+ [Pemetaan untuk aws-portal:ViewAccount](#mapping-for-aws-portalviewaccount)
+ [Pemetaan untuk aws-portal:ViewBilling](#mapping-for-aws-portalviewbilling)
+ [Pemetaan untuk aws-portal:ViewPaymentMethods](#mapping-for-aws-portalviewpaymentmethods)
+ [Pemetaan untuk aws-portal:ViewUsage](#mapping-for-aws-portalviewusage)
+ [Pemetaan untuk aws-portal:ModifyAccount](#mapping-for-aws-portalmodifyaccount)
+ [Pemetaan untuk aws-portal:ModifyBilling](#mapping-for-aws-portalmodifybilling)
+ [Pemetaan untuk aws-portal:ModifyPaymentMethods](#mapping-for-aws-portalmodifypaymentmethods)
+ [Pemetaan untuk purchase-orders:ViewPurchaseOrders](#mapping-for-purchase-ordersviewpurchaseorders)
+ [Pemetaan untuk purchase-orders:ModifyPurchaseOrders](#mapping-for-purchase-ordersmodifypurchaseorders)
## Pemetaan untuk aws-portal:ViewAccount
| Aksi baru | Deskripsi | Tingkat akses |
| --- | --- | --- |
| account:GetAccountInformation | Memberikan izin untuk mengambil informasi akun untuk akun | Baca |
| account:GetAlternateContact | Memberikan izin untuk mengambil kontak alternatif untuk akun | Baca |
| account:GetContactInformation | Memberikan izin untuk mengambil informasi kontak utama untuk akun | Baca |
| billing:GetContractInformation | Memberikan izin untuk melihat informasi kontrak akun termasuk nomor kontrak, nama organisasi pengguna akhir, nomor pesanan pembelian, dan jika akun digunakan untuk melayani pelanggan sektor publik | Baca |
| billing:GetIAMAccessPreference | Memberikan izin untuk mengambil status preferensi penagihan Izinkan Akses IAM | Baca |
| billing:GetSellerOfRecord | Memberikan izin untuk mengambil penjual catatan default akun | Baca |
| payments:ListPaymentPreferences | Memberikan izin untuk mendapatkan preferensi pembayaran (misalnya, mata uang pembayaran pilihan, metode pembayaran pilihan) | Baca |
## Pemetaan untuk aws-portal:ViewBilling
| Aksi baru | Deskripsi | Tingkat akses |
| --- | --- | --- |
| account:GetAccountInformation | Memberikan izin untuk mengambil informasi akun untuk akun | Baca |
| billing:GetBillingData | Memberikan izin untuk melakukan kueri pada informasi penagihan | Baca |
| billing:GetBillingDetails | Memberikan izin untuk melihat detail informasi penagihan item baris | Baca |
| billing:GetBillingNotifications | Memberikan izin untuk melihat notifikasi yang dikirim oleh AWS terkait dengan informasi penagihan akun Anda | Baca |
| billing:GetBillingPreferences | Memberikan izin untuk melihat preferensi penagihan seperti Instans Cadangan, Savings Plans, dan berbagi kredit | Baca |
| billing:GetContractInformation | Memberikan izin untuk melihat informasi kontrak akun termasuk nomor kontrak, nama organisasi pengguna akhir, nomor pesanan pembelian, dan jika akun digunakan untuk melayani pelanggan sektor publik | Baca |
| billing:GetCredits | Memberikan izin untuk melihat kredit yang telah ditukarkan | Baca |
| billing:GetIAMAccessPreference | Memberikan izin untuk mengambil status preferensi penagihan Izinkan Akses IAM | Baca |
| billing:GetSellerOfRecord | Memberikan izin untuk mengambil penjual catatan default akun | Baca |
| billing:ListBillingViews | Memberikan izin untuk mendapatkan informasi penagihan untuk grup penagihan proforma Anda | Daftar |
| ce:DescribeNotificationSubscription | Memberikan izin untuk melihat peringatan kedaluwarsa reservasi | Baca |
| ce:DescribeReport | Memberikan izin untuk melihat halaman laporan Cost Explorer | Baca |
| ce:GetAnomalies | Memberikan izin untuk mengambil anomali | Baca |
| ce:GetAnomalyMonitors | Memberikan izin untuk menanyakan monitor anomali | Baca |
| ce:GetAnomalySubscriptions | Memberikan izin untuk menanyakan langganan anomali | Baca |
| ce:GetCostAndUsage | Memberikan izin untuk mengambil metrik biaya dan penggunaan untuk akun Anda | Baca |
| ce:GetCostAndUsageWithResources | Memberikan izin untuk mengambil metrik biaya dan penggunaan dengan sumber daya untuk akun Anda | Baca |
| ce:GetCostCategories | Memberikan izin untuk menanyakan nama dan nilai kategori biaya untuk periode waktu tertentu | Baca |
| ce:GetCostForecast | Memberikan izin untuk mengambil perkiraan biaya untuk periode waktu perkiraan | Baca |
| ce:GetDimensionValues | Memberikan izin untuk mengambil semua nilai filter yang tersedia untuk filter selama jangka waktu tertentu | Baca |
| ce:GetPreferences | Memberikan izin untuk melihat halaman preferensi Cost Explorer | Baca |
| ce:GetReservationCoverage | Memberikan izin untuk mengambil cakupan reservasi untuk akun Anda | Baca |
| ce:GetReservationPurchaseRecommendation | Memberikan izin untuk mengambil rekomendasi reservasi untuk akun Anda | Baca |
| ce:GetReservationUtilization | Memberikan izin untuk mengambil pemanfaatan reservasi untuk akun Anda | Baca |
| ce:GetRightsizingRecommendation | Memberikan izin untuk mengambil rekomendasi hak untuk akun Anda | Baca |
| ce:GetSavingsPlansCoverage | Memberikan izin untuk mengambil cakupan Savings Plans untuk akun Anda | Baca |
| ce:GetSavingsPlansPurchaseRecommendation | Memberikan izin untuk mengambil rekomendasi Savings Plans untuk akun Anda | Baca |
| ce:GetSavingsPlansUtilization | Memberikan izin untuk mengambil kembali pemanfaatan Savings Plans untuk akun Anda | Baca |
| ce:GetSavingsPlansUtilizationDetails | Memberikan izin untuk mengambil detail pemanfaatan Savings Plans untuk akun Anda | Baca |
| ce:GetTags | Memberikan izin untuk menanyakan tag untuk jangka waktu tertentu | Baca |
| ce:GetUsageForecast | Memberikan izin untuk mengambil perkiraan penggunaan untuk periode waktu perkiraan | Baca |
| ce:ListCostAllocationTags | Memberikan izin untuk membuat daftar tag alokasi biaya | Daftar |
| ce:ListSavingsPlansPurchaseRecommendationGeneration | Memberikan izin untuk mengambil daftar generasi rekomendasi historis Anda | Baca |
| consolidatedbilling:GetAccountBillingRole | Memberikan izin untuk mendapatkan peran akun (pembayar, tertaut, reguler) | Baca |
| consolidatedbilling:ListLinkedAccounts | Memberikan izin untuk mendapatkan daftar anggota dan akun tertaut | Daftar |
| cur:GetClassicReport | Memberikan izin untuk mendapatkan laporan CSV untuk tagihan Anda | Baca |
| cur:GetClassicReportPreferences | Memberikan izin untuk mendapatkan status pengaktifan laporan klasik untuk laporan penggunaan | Baca |
| cur:ValidateReportDestination | Memberikan izin untuk memvalidasi jika bucket Amazon S3 ada dengan izin yang sesuai untuk pengiriman CUR AWS | Baca |
| freetier:GetFreeTierAlertPreference | Memberikan izin untuk mendapatkan preferensi AWS Tingkat Gratis peringatan (melalui alamat email) | Baca |
| freetier:GetFreeTierUsage | Memberikan izin untuk mendapatkan batas AWS Tingkat Gratis penggunaan dan status penggunaan month-to-date (MTD) | Baca |
| invoicing:GetInvoiceEmailDeliveryPreferences | Memberikan izin untuk mendapatkan preferensi pengiriman email faktur | Baca |
| invoicing:GetInvoicePDF | Memberikan izin untuk mendapatkan faktur PDF | Baca |
| invoicing:ListInvoiceSummaries | Memberikan izin untuk mendapatkan informasi ringkasan faktur untuk akun Anda atau akun tertaut | Daftar |
| payments:GetPaymentInstrument | Memberikan izin untuk mendapatkan informasi tentang instrumen pembayaran | Baca |
| payments:GetPaymentStatus | Memberikan izin untuk mendapatkan status pembayaran faktur | Baca |
| payments:ListPaymentPreferences | Memberikan izin untuk mendapatkan preferensi pembayaran (misalnya, mata uang pembayaran pilihan, metode pembayaran pilihan) | Baca |
| tax:GetTaxInheritance | Memberikan izin untuk melihat status warisan pajak | Baca |
| tax:GetTaxRegistrationDocument | Memberikan izin untuk mengunduh dokumen pendaftaran pajak | Baca |
| tax:ListTaxRegistrations | Memberikan izin untuk melihat pendaftaran pajak | Baca |
## Pemetaan untuk aws-portal:ViewPaymentMethods
| Aksi baru | Deskripsi | Tingkat akses |
| --- | --- | --- |
| account:GetAccountInformation | Memberikan izin untuk mengambil informasi akun untuk akun | Baca |
| invoicing:GetInvoicePDF | Memberikan izin untuk mendapatkan faktur PDF | Baca |
| payments:GetPaymentInstrument | Memberikan izin untuk mendapatkan informasi tentang instrumen pembayaran | Baca |
| payments:GetPaymentStatus | Memberikan izin untuk mendapatkan status pembayaran faktur | Baca |
| payments:ListPaymentPreferences | Memberikan izin untuk mendapatkan preferensi pembayaran (misalnya, mata uang pembayaran pilihan, metode pembayaran pilihan) | Daftar |
## Pemetaan untuk aws-portal:ViewUsage
| Aksi baru | Deskripsi | Tingkat akses |
| --- | --- | --- |
| cur:GetUsageReport | Memberikan izin untuk mendapatkan daftar Layanan AWS, jenis penggunaan dan operasi untuk alur kerja laporan penggunaan, dan untuk mengunduh laporan penggunaan | Baca |
## Pemetaan untuk aws-portal:ModifyAccount
| Aksi baru | Deskripsi | Tingkat akses |
| --- | --- | --- |
| account:CloseAccount | Memberikan izin untuk menutup akun | Tulis |
| account:DeleteAlternateContact | Memberikan izin untuk menghapus kontak alternatif untuk akun | Tulis |
| account:PutAlternateContact | Memberikan izin untuk memodifikasi kontak alternatif untuk akun | Tulis |
| account:PutChallengeQuestions | Memberikan izin untuk memodifikasi pertanyaan tantangan untuk akun | Tulis |
| account:PutContactInformation | Memberikan izin untuk memperbarui informasi kontak utama untuk akun | Tulis |
| billing:PutContractInformation | Memberikan izin untuk menetapkan nama organisasi pengguna akhir informasi kontrak akun dan jika akun tersebut digunakan untuk melayani pelanggan sektor publik | Tulis |
| billing:UpdateIAMAccessPreference | Memberikan izin untuk memperbarui preferensi penagihan Izinkan Akses IAM | Tulis |
| payments:UpdatePaymentPreferences | Memberikan izin untuk memperbarui preferensi pembayaran (misalnya, mata uang pembayaran pilihan, metode pembayaran pilihan) | Tulis |
## Pemetaan untuk aws-portal:ModifyBilling
| Aksi baru | Deskripsi | Tingkat akses |
| --- | --- | --- |
| billing:PutContractInformation | Memberikan izin untuk menetapkan nama organisasi pengguna akhir informasi kontrak akun dan jika akun tersebut digunakan untuk melayani pelanggan sektor publik | Tulis |
| billing:RedeemCredits | Memberikan izin untuk menebus kredit AWS | Tulis |
| billing:UpdateBillingPreferences | Memberikan izin untuk memperbarui preferensi penagihan seperti Instans Cadangan, Savings Plans, dan berbagi kredit | Tulis |
| ce:CreateAnomalyMonitor | Memberikan izin untuk membuat monitor anomali baru | Tulis |
| ce:CreateAnomalySubscription | Memberikan izin untuk membuat langganan anomali baru | Tulis |
| ce:CreateNotificationSubscription | Memberikan izin untuk membuat peringatan kedaluwarsa reservasi | Tulis |
| ce:CreateReport | Memberikan izin untuk membuat laporan Cost Explorer | Tulis |
| ce:DeleteAnomalyMonitor | Memberikan izin untuk menghapus monitor anomali | Tulis |
| ce:DeleteAnomalySubscription | Memberikan izin untuk menghapus langganan anomali | Tulis |
| ce:DeleteNotificationSubscription | Memberikan izin untuk menghapus peringatan kedaluwarsa reservasi | Tulis |
| ce:DeleteReport | Memberikan izin untuk menghapus laporan Cost Explorer | Tulis |
| ce:ProvideAnomalyFeedback | Memberikan izin untuk memberikan umpan balik tentang anomali yang terdeteksi | Tulis |
| ce:StartSavingsPlansPurchaseRecommendationGeneration | Memberikan izin untuk meminta pembuatan rekomendasi Savings Plans | Tulis |
| ce:UpdateAnomalyMonitor | Memberikan izin untuk memperbarui monitor anomali yang ada | Tulis |
| ce:UpdateAnomalySubscription | Memberikan izin untuk memperbarui langganan anomali yang ada | Tulis |
| ce:UpdateCostAllocationTagsStatus | Memberikan izin untuk memperbarui status tag alokasi biaya yang ada | Tulis |
| ce:UpdateNotificationSubscription | Memberikan izin untuk memperbarui peringatan kedaluwarsa reservasi | Tulis |
| ce:UpdatePreferences | Memberikan izin untuk mengedit halaman preferensi Cost Explorer | Tulis |
| cur:PutClassicReportPreferences | Memberikan izin untuk mengaktifkan laporan klasik | Tulis |
| freetier:PutFreeTierAlertPreference | Memberikan izin untuk mengatur preferensi AWS Tingkat Gratis peringatan (melalui alamat email) | Tulis |
| invoicing:PutInvoiceEmailDeliveryPreferences | Memberikan izin untuk memperbarui preferensi pengiriman email faktur | Tulis |
| payments:CreatePaymentInstrument | Memberikan izin untuk membuat instrumen pembayaran | Tulis |
| payments:DeletePaymentInstrument | Memberikan izin untuk menghapus instrumen pembayaran | Tulis |
| payments:MakePayment | Memberikan izin untuk melakukan pembayaran, mengautentikasi pembayaran, memverifikasi metode pembayaran, dan membuat dokumen permintaan pendanaan untuk Advance Pay | Tulis |
| payments:UpdatePaymentPreferences | Memberikan izin untuk memperbarui preferensi pembayaran (misalnya, mata uang pembayaran pilihan, metode pembayaran pilihan) | Tulis |
| tax:BatchPutTaxRegistration | Memberikan izin untuk memperbarui pendaftaran pajak secara batch | Tulis |
| tax:DeleteTaxRegistration | Memberikan izin untuk menghapus data pendaftaran pajak | Tulis |
| tax:PutTaxInheritance | Memberikan izin untuk menetapkan warisan pajak | Tulis |
## Pemetaan untuk aws-portal:ModifyPaymentMethods
| Aksi baru | Deskripsi | Tingkat akses |
| --- | --- | --- |
| account:GetAccountInformation | Memberikan izin untuk mengambil informasi akun untuk akun | Baca |
| payments:DeletePaymentInstrument | Memberikan izin untuk menghapus instrumen pembayaran | Tulis |
| payments:CreatePaymentInstrument | Memberikan izin untuk membuat instrumen pembayaran | Tulis |
| payments:MakePayment | Memberikan izin untuk melakukan pembayaran, mengautentikasi pembayaran, memverifikasi metode pembayaran, dan membuat dokumen permintaan pendanaan untuk Advance Pay | Tulis |
| payments:UpdatePaymentPreferences | Memberikan izin untuk memperbarui preferensi pembayaran (misalnya, mata uang pembayaran pilihan, metode pembayaran pilihan) | Tulis |
## Pemetaan untuk purchase-orders:ViewPurchaseOrders
| Aksi baru | Deskripsi | Tingkat akses |
| --- | --- | --- |
| invoicing:GetInvoicePDF | Memberikan izin untuk mendapatkan faktur PDF | Dapatkan |
| payments:ListPaymentPreferences | Memberikan izin untuk mendapatkan preferensi pembayaran (misalnya, mata uang pembayaran pilihan, metode pembayaran pilihan) | Daftar |
| purchase-orders:GetPurchaseOrder | Memberikan izin untuk mendapatkan pesanan pembelian | Baca |
| purchase-orders:ListPurchaseOrderInvoices | Memberikan izin untuk melihat pesanan pembelian dan detail | Daftar |
| purchase-orders:ListPurchaseOrders | Memberikan izin untuk mendapatkan semua pesanan pembelian yang tersedia | Daftar |
## Pemetaan untuk purchase-orders:ModifyPurchaseOrders
| Aksi baru | Deskripsi | Tingkat akses |
| --- | --- | --- |
| purchase-orders:AddPurchaseOrder | Memberikan izin untuk menambahkan pesanan pembelian | Tulis |
| purchase-orders:DeletePurchaseOrder | Memberikan izin untuk menghapus pesanan pembelian. | Tulis |
| purchase-orders:UpdatePurchaseOrder | Memberikan izin untuk memperbarui pesanan pembelian yang ada | Tulis |
| purchase-orders:UpdatePurchaseOrderStatus | Memberikan izin untuk mengatur status pesanan pembelian | Tulis |
# AWS kebijakan terkelola
Kebijakan terkelola adalah kebijakan berbasis identitas mandiri yang dapat Anda lampirkan ke beberapa pengguna, grup, dan peran di akun Anda. AWS Anda dapat menggunakan kebijakan AWS terkelola untuk mengontrol akses di Penagihan.
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS kebijakan terkelola dirancang untuk memberikan izin untuk banyak kasus penggunaan umum. AWS Kebijakan terkelola memudahkan Anda untuk menetapkan izin yang sesuai untuk pengguna, grup, dan peran daripada jika Anda harus menulis kebijakan sendiri.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. AWS sesekali memperbarui izin yang ditentukan dalam kebijakan AWS terkelola. Ketika ini terjadi, pembaruan memengaruhi semua entitas pengguna utama (pengguna, grup, dan peran) yang terkait dengan kebijakan tersebut.
Penagihan menyediakan beberapa kebijakan AWS terkelola untuk kasus penggunaan umum.
**Topics**
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html)](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html)](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html)](#security-iam-awsmanpol-Billing)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html)](#security-iam-awsmanpol-AWSAccountActivityAccess)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html)](#security-iam-awsmanpol-AWSPriceListServiceFullAccess)
+ [Pembaruan kebijakan AWS terkelola untuk AWS Penagihan](#security-iam-awsmanpol-updates)
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html)
Kebijakan terkelola ini memberikan akses penuh ke konsol Billing and Cost Management dan ke konsol pesanan pembelian. Kebijakan ini memungkinkan pengguna untuk melihat, membuat, memperbarui, dan menghapus pesanan pembelian akun.
Untuk melihat izin kebijakan ini, lihat [AWSPurchaseOrdersServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html)di *Referensi Kebijakan AWS Terkelola*.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html)
Kebijakan terkelola ini memberi pengguna akses hanya-baca ke fitur di konsol. AWS Manajemen Penagihan dan Biaya
### Detail izin
Kebijakan ini mencakup izin berikut:
+ `account`— Ambil informasi tentang AWS akun mereka.
+ `aws-portal`— Memberi pengguna izin melihat keseluruhan ke halaman konsol Billing and Cost Management.
+ `billing`— Ambil akses komprehensif ke informasi AWS penagihan, seperti preferensi penagihan, kontrak aktif, kredit atau diskon yang diterapkan, preferensi IAM, penjual catatan, dan daftar laporan penagihan.
+ `budgets`— Ambil informasi tentang tindakan yang ditetapkan untuk AWS Budgets fitur tersebut.
+ `ce`— Ambil informasi biaya dan penggunaan, tag, dan nilai dimensi untuk melihat fitur AWS Cost Explorer.
+ `consolidatedbilling`— Ambil peran dan detail tentang yang Akun AWS dikonfigurasi menggunakan fitur penagihan konsolidasi.
+ `cur`— Mengambil informasi tentang AWS Cost and Usage Report data mereka.
+ `freetier`— Mengambil informasi tentang AWS Tingkat Gratis peringatan dan preferensi penggunaan.
+ `invoicing`— Mengambil informasi tentang preferensi faktur mereka.
+ `mapcredits`— Mengambil pengeluaran dan kredit yang terkait dengan perjanjian Migration Acceleration Program (MAP) 2.0.
+ `payments`— Ambil informasi pembiayaan, status pembayaran, dan instrumen pembayaran.
+ `purchase-orders`— Ambil informasi tentang faktur yang terkait dengan pesanan pembelian mereka.
+ `sustainability`— Ambil informasi jejak karbon berdasarkan penggunaannya AWS .
+ `tax`— Ambil informasi pajak terdaftar dari pengaturan pajak.
Untuk melihat izin kebijakan ini, lihat [AWSBillingReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html)di *Referensi Kebijakan AWS Terkelola*.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html)
Kebijakan terkelola ini memberi pengguna izin untuk melihat dan mengedit AWS Manajemen Penagihan dan Biaya konsol. Ini termasuk melihat penggunaan akun, memodifikasi anggaran dan metode pembayaran.
Untuk melihat izin kebijakan ini, lihat [Penagihan](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html) di Referensi *Kebijakan AWS Terkelola*.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html)
Kebijakan terkelola ini memberikan izin kepada pengguna untuk melihat halaman **aktivitas Akun**.
Untuk melihat izin kebijakan ini, lihat [AWSAccountActivityAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html)di *Referensi Kebijakan AWS Terkelola*.
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html)
Kebijakan terkelola ini memberi pengguna akses penuh ke Layanan Daftar AWS Harga.
Untuk melihat izin kebijakan ini, lihat [AWSPriceListServiceFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html)di *Referensi Kebijakan AWS Terkelola*.
## Pembaruan kebijakan AWS terkelola untuk AWS Penagihan
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk AWS Penagihan sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman riwayat Dokumen AWS Penagihan.
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| [Penagihan](#security-iam-awsmanpol-Billing) dan [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Perbarui ke kebijakan yang ada | Kami menambahkan izin faktur berikut ke: `Billing` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/managed-policies.html) Kami menambahkan izin faktur berikut ke: `AWSBillingReadOnlyAccess` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/managed-policies.html) | November 19, 2025 |
| [Penagihan](#security-iam-awsmanpol-Billing) dan [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Perbarui ke kebijakan yang ada | Kami menambahkan izin faktur berikut ke: `Billing` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/managed-policies.html) Kami menambahkan izin faktur berikut ke: `AWSBillingReadOnlyAccess` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/managed-policies.html) | Oktober 1, 2025 |
| [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – Pembaruan ke kebijakan yang ada | Kami menambahkan izin berikut ke`AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/managed-policies.html) | Agustus 21, 2025 |
| [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – Pembaruan ke kebijakan yang ada | Kami menambahkan AWS Tingkat Gratis izin berikut ke`AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/managed-policies.html) | Juli 09, 2025 |
| [Penagihan](#security-iam-awsmanpol-Billing) dan [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Perbarui ke kebijakan yang ada | Kami menambahkan izin MAP 2.0 berikut ke `Billing` dan`AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/managed-policies.html) | Maret 27, 2025 |
| [Penagihan](#security-iam-awsmanpol-Billing) - Perbarui ke kebijakan yang ada | Kami menambahkan izin faktur berikut ke: `Billing` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/managed-policies.html) | Januari 17, 2025 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy), [Penagihan](#security-iam-awsmanpol-Billing), dan [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Perbarui ke kebijakan yang ada | Kami menambahkan izin faktur berikut ke`AWSPurchaseOrdersServiceRolePolicy`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/managed-policies.html) Kami menambahkan izin faktur berikut ke: `AWSBillingReadOnlyAccess` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/managed-policies.html) Kami menambahkan izin faktur berikut ke: `Billing` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/managed-policies.html) | Desember 1, 2024 |
| [Penagihan](#security-iam-awsmanpol-Billing) dan [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Perbarui ke kebijakan yang ada | Kami menambahkan izin pembayaran berikut ke`Billing`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/managed-policies.html) Kami menambahkan izin pembayaran berikut ke`AWSBillingReadOnlyAccess`: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/managed-policies.html) | November 12, 2024 |
| [AWSPriceListServiceFullAccess ](#security-iam-awsmanpol-AWSPriceListServiceFullAccess)— Kebijakan yang diperbarui | Kami menambahkan dokumentasi untuk `AWSPriceListServiceFullAccess` kebijakan untuk Layanan Daftar AWS Harga. Kebijakan ini awalnya diluncurkan pada 2017. Kami memperbarui `Sid": "AWSPriceListServiceFullAccess` ke kebijakan yang ada. | Juli 2, 2024 |
| [Penagihan](#security-iam-awsmanpol-Billing) dan [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Perbarui ke kebijakan yang ada | Kami menambahkan izin terkait tag alokasi biaya berikut ke: `Billing` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/managed-policies.html) Kami menambahkan izin terkait tag berikut ke: `AWSBillingReadOnlyAccess` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/managed-policies.html) | 31 Mei 2024 |
| [Penagihan](#security-iam-awsmanpol-Billing) dan [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Perbarui ke kebijakan yang ada | Kami menambahkan izin terkait tag alokasi biaya berikut ke: `Billing` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/managed-policies.html) Kami menambahkan izin terkait tag alokasi biaya berikut ke: `AWSBillingReadOnlyAccess` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/managed-policies.html) | Maret 25, 2024 |
| [Penagihan](#security-iam-awsmanpol-Billing) dan [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Perbarui ke kebijakan yang ada | Kami menambahkan izin terkait tag alokasi biaya berikut ke: `Billing` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/managed-policies.html) Kami menambahkan izin terkait tag alokasi biaya berikut ke: `AWSBillingReadOnlyAccess` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/managed-policies.html) | 26 Juli 2023 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy), [Penagihan](#security-iam-awsmanpol-Billing), dan [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Perbarui ke kebijakan yang ada | Kami menambahkan izin terkait tag pesanan pembelian berikut ke dan: `Billing` `AWSPurchaseOrdersServiceRolePolicy` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/managed-policies.html) Kami menambahkan izin terkait tag berikut ke: `AWSBillingReadOnlyAccess` [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/awsaccountbilling/latest/aboutv2/managed-policies.html) | Juli 17, 2023 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy), [Penagihan](#security-iam-awsmanpol-Billing), dan [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)— Perbarui ke kebijakan yang ada [AWSAccountActivityAccess](#security-iam-awsmanpol-AWSAccountActivityAccess)— Kebijakan AWS terkelola baru yang didokumentasikan untuk AWS Penagihan | Ditambahkan tindakan yang diperbarui yang ditetapkan di semua kebijakan. | Maret 06, 2023 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy) – Pembaruan ke kebijakan yang ada | AWS Penagihan menghapus izin yang tidak perlu. | 18 November 2021 |
| AWS Penagihan mulai melacak perubahan | AWS Penagihan mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 18 November 2021 |
# Pemecahan masalah Identitas dan AWS akses penagihan
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan Penagihan dan IAM.
**Topics**
+ [Saya tidak berwenang untuk melakukan tindakan dalam Penagihan](#security_iam_troubleshoot-no-permissions)
+ [Saya tidak berwenang untuk melakukan iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Saya ingin melihat access key saya](#security_iam_troubleshoot-access-keys)
+ [Saya seorang administrator dan ingin mengizinkan orang lain mengakses Penagihan](#security_iam_troubleshoot-admin-delegate)
+ [Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses sumber daya Penagihan saya](#security_iam_troubleshoot-cross-account-access)
## Saya tidak berwenang untuk melakukan tindakan dalam Penagihan
Jika Konsol Manajemen AWS memberitahu Anda bahwa Anda tidak berwenang untuk melakukan tindakan, maka Anda harus menghubungi administrator Anda untuk bantuan. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
Contoh kesalahan berikut terjadi ketika pengguna `mateojackson` mencoba menggunakan konsol untuk melihat detail tentang suatu sumber daya `my-example-widget` fiktif, tetapi tidak memiliki izin `billing:GetWidget` fiktif.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: billing:GetWidget on resource: my-example-widget
```
Dalam hal ini, Mateo meminta administratornya untuk memperbarui kebijakannya untuk mengizinkan dia mengakses sumber daya `my-example-widget` menggunakan tindakan `billing:GetWidget`.
## Saya tidak berwenang untuk melakukan iam: PassRole
Jika Anda menerima kesalahan bahwa Anda tidak berwenang untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran ke Penagihan.
Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.
Contoh kesalahan berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol untuk melakukan tindakan di Penagihan. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
## Saya ingin melihat access key saya
Setelah membuat access key pengguna IAM, Anda dapat melihat access key ID Anda setiap saat. Namun, Anda tidak dapat melihat secret access key Anda lagi. Jika Anda kehilangan secret key, Anda harus membuat pasangan access key baru.
Access key terdiri dari dua bagian: access key ID (misalnya, `AKIAIOSFODNN7EXAMPLE`) dan secret access key (misalnya, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`). Seperti nama pengguna dan kata sandi, Anda harus menggunakan access key ID dan secret access key sekaligus untuk mengautentikasi permintaan Anda. Kelola access key Anda seaman nama pengguna dan kata sandi Anda.
**penting**
Jangan memberikan access key Anda kepada pihak ke tiga, bahkan untuk membantu [menemukan ID pengguna kanonis Anda](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId). Dengan melakukan ini, Anda mungkin memberi seseorang akses permanen ke Anda Akun AWS.
Saat Anda membuat pasangan access key, Anda diminta menyimpan access key ID dan secret access key di lokasi yang aman. secret access key hanya tersedia saat Anda membuatnya. Jika Anda kehilangan secret access key Anda, Anda harus menambahkan access key baru ke pengguna IAM Anda. Anda dapat memiliki maksimum dua access key. Jika Anda sudah memiliki dua, Anda harus menghapus satu pasangan kunci sebelum membuat pasangan baru. Untuk melihat instruksi, lihat [Mengelola access keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey) di *Panduan Pengguna IAM*.
## Saya seorang administrator dan ingin mengizinkan orang lain mengakses Penagihan
Untuk memungkinkan orang lain mengakses Penagihan, Anda harus memberikan izin kepada orang atau aplikasi yang membutuhkan akses. Jika Anda menggunakan AWS IAM Identity Center untuk mengelola orang dan aplikasi, Anda menetapkan set izin kepada pengguna atau grup untuk menentukan tingkat akses mereka. Set izin secara otomatis membuat dan menetapkan kebijakan IAM ke peran IAM yang terkait dengan orang atau aplikasi. Untuk informasi selengkapnya, lihat [Set izin](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) di *Panduan AWS IAM Identity Center Pengguna*.
Jika Anda tidak menggunakan IAM Identity Center, Anda harus membuat entitas IAM (pengguna atau peran) untuk orang atau aplikasi yang membutuhkan akses. Anda kemudian harus melampirkan kebijakan ke entitas yang memberi mereka izin yang benar dalam Penagihan. Setelah izin diberikan, berikan kredensialnya kepada pengguna atau pengembang aplikasi. Mereka akan menggunakan kredensil tersebut untuk mengakses. AWS*Untuk mempelajari selengkapnya tentang membuat pengguna, grup, kebijakan, dan izin IAM, lihat [Identitas dan Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) [dan izin di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).*
## Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses sumber daya Penagihan saya
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.
Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mengetahui apakah Penagihan mendukung fitur-fitur ini, lihat[Bagaimana AWS Penagihan bekerja dengan IAM](security_iam_service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*
# Menggunakan peran terkait layanan untuk AWS Billing
AWS Billing menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. AWS Billing Peran terkait layanan telah ditentukan sebelumnya oleh AWS Billing dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
Peran terkait layanan membuat pengaturan AWS Billing lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. AWS Billing mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya AWS Billing dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi AWS Billing sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, silakan lihat [layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran terkait layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk AWS Billing
AWS Billing menggunakan peran terkait layanan bernama **Penagihan — Memungkinkan layanan penagihan** untuk memvalidasi akses ke data tampilan penagihan untuk tampilan penagihan turunan.
Peran terkait layanan Penagihan mempercayai layanan berikut untuk mengambil peran:
+ `billing.amazonaws.com`
Kebijakan izin peran bernama AWSBilling ServiceRolePolicy memungkinkan AWS Billing untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ Tindakan: `billing:GetBillingViewData` pada `arn:${Partition}:billing:::billingview/*`
Anda harus mengonfigurasi izin agar pengguna, grup, atau peran Anda membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk AWS Billing
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat atau mengaitkan tampilan penagihan menggunakan tampilan penagihan dari akun lain di, API Konsol Manajemen AWS, atau AWS API AWS CLI, akan AWS Billing membuat peran terkait layanan untuk Anda.
**penting**
Peran tertaut layanan ini dapat muncul di akun Anda jika Anda menyelesaikan tindakan di layanan lain yang menggunakan fitur yang disupport oleh peran ini. Juga, jika Anda menggunakan AWS Billing layanan sebelum 1 Januari 2017, ketika mulai mendukung peran terkait layanan, maka AWS Billing buat peran Penagihan di akun Anda. Untuk mempelajari lebih lanjut, lihat [Peran baru muncul di saya Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
## Mengedit peran terkait layanan untuk AWS Billing
AWS Billing tidak mengizinkan Anda mengedit peran terkait layanan Penagihan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk AWS Billing
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan dan tidak dipantau atau dipelihara secara aktif. Namun, Anda harus membersihkan peran tertaut layanan terlebih dahulu sebelum dapat menghapusnya secara manual.
### Menghapus peran tertaut layanan secara manual
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran terkait layanan Penagihan. Untuk informasi selengkapnya, lihat [Menghapus peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dalam *Panduan Pengguna IAM*.
## Wilayah yang Didukung untuk AWS Billing peran terkait layanan
AWS Billing mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihat [AWS Wilayah dan titik akhir](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Penebangan dan pemantauan di AWS Manajemen Penagihan dan Biaya
Pemantauan adalah bagian penting untuk menjaga keandalan, ketersediaan, dan kinerja AWS akun Anda. Ada beberapa alat yang tersedia untuk memantau penggunaan Manajemen Penagihan dan Biaya Anda.
## AWS Laporan Biaya dan Penggunaan
AWS Laporan Biaya dan Penggunaan melacak AWS penggunaan Anda dan memberikan perkiraan biaya yang terkait dengan akun Anda. Setiap laporan berisi item baris untuk setiap kombinasi unik AWS produk, jenis penggunaan, dan operasi yang Anda gunakan di AWS akun Anda. Anda dapat menyesuaikan Laporan AWS Biaya dan Penggunaan untuk mengumpulkan informasi baik per jam atau hari.
Untuk informasi selengkapnya tentang Laporan AWS Biaya dan Penggunaan, lihat [https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html).
## AWS CloudTrail
Billing and Cost Management terintegrasi AWS CloudTrail dengan, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan dalam Billing and Cost Management. CloudTrail menangkap semua panggilan API tulis dan modifikasi untuk Billing and Cost Management sebagai peristiwa, termasuk panggilan dari konsol Billing and Cost Management dan dari panggilan kode ke Billing and Cost Management. APIs
Untuk informasi lebih lanjut tentang AWS CloudTrail, lihat[Logging Billing and Cost Management API call dengan AWS CloudTrail](logging-using-cloudtrail.md).
# Logging Billing and Cost Management API call dengan AWS CloudTrail
Billing and Cost Management terintegrasi AWS CloudTrail dengan, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan dalam Billing and Cost Management. CloudTrail menangkap panggilan API untuk Billing and Cost Management sebagai peristiwa, termasuk panggilan dari konsol Billing and Cost Management dan dari panggilan kode ke Billing and Cost Management. APIs Untuk daftar lengkap CloudTrail acara yang terkait dengan Penagihan, lihat[AWS Billing CloudTrail acara](#billing-cloudtrail-events).
Jika Anda membuat jejak, Anda dapat mengaktifkan pengiriman CloudTrail acara secara berkelanjutan ke bucket Amazon S3, termasuk peristiwa untuk Billing and Cost Management. Jika Anda tidak membuat konfigurasi jejak, Anda masih dapat melihat kejadian terbaru dalam konsol CloudTrail di **Riwayat peristiwa**. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat untuk Billing and Cost Management, alamat IP dari mana permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan.
Untuk mempelajari selengkapnya CloudTrail, termasuk cara mengonfigurasi dan mengaktifkannya, lihat [Panduan AWS CloudTrail Pengguna](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## AWS Billing CloudTrail acara
Bagian ini menampilkan daftar lengkap CloudTrail peristiwa yang terkait dengan Billing and Cost Management.
****
| Nama peristiwa | Definisi | Sumber peristiwa |
| --- | --- | --- |
| `AddPurchaseOrder` | Log pembuatan pesanan pembelian. | purchase-orders.amazonaws.com |
| `AcceptFxPaymentCurrencyTermsAndConditions` | Mencatat penerimaan syarat dan ketentuan pembayaran dalam mata uang selain USD. | billingconsole.amazonaws.com |
| `CloseAccount` | Mencatat penutupan akun. | billingconsole.amazonaws.com |
| `CreateCustomerVerificationDetails` | (Hanya untuk pelanggan dengan tagihan atau alamat kontak India) Log pembuatan detail verifikasi pelanggan dari akun. | customer-verification.amazonaws.com |
| `CreateOrigamiReportPreference` | Mencatat pembuatan laporan biaya dan penggunaan; akun manajemen saja. | billingconsole.amazonaws.com |
| `DeletePurchaseOrder` | Mencatat penghapusan pesanan pembelian. | purchase-orders.amazonaws.com |
| `DeleteOrigamiReportPreferences` | Mencatat penghapusan laporan biaya dan penggunaan; akun manajemen saja. | billingconsole.amazonaws.com |
| `DownloadCommercialInvoice` | Mencatat unduhan faktur komersial. | billingconsole.amazonaws.com |
| `DownloadECSVForBillingPeriod` | Mencatat unduhan file eCSV (laporan penggunaan bulanan) untuk periode penagihan tertentu. | billingconsole.amazonaws.com |
| `DownloadRegistrationDocument` | Log unduhan dokumen pendaftaran pajak. | billingconsole.amazonaws.com |
| `EnableBillingAlerts` | Mencatat keikutsertaan untuk menerima peringatan CloudWatch penagihan untuk perkiraan biaya. | billingconsole.amazonaws.com |
| `FindECSVForBillingPeriod` | Mencatat pengambilan file ECSV untuk periode penagihan tertentu. | billingconsole.amazonaws.com |
| `GetAccountEDPStatus` | Mencatat pengambilan status EDP akun. | billingconsole.amazonaws.com |
| `GetAddresses` | Mencatat akses ke alamat pajak, alamat penagihan, dan alamat kontak akun. | billingconsole.amazonaws.com |
| `GetAllAccounts` | Log akses ke semua nomor akun anggota akun manajemen. | billingconsole.amazonaws.com |
| `GetBillsForBillingPeriod` | Mencatat akses penggunaan dan biaya akun untuk periode penagihan tertentu. | billingconsole.amazonaws.com |
| `GetBillsForLinkedAccount` | Mencatat akses akun manajemen yang mengambil penggunaan dan biaya salah satu akun anggota dalam keluarga penagihan konsolidasi untuk periode penagihan tertentu. | billingconsole.amazonaws.com |
| `GetCommercialInvoicesForBillingPeriod` | Mencatat akses ke metadata faktur komersial akun untuk periode penagihan tertentu. | billingconsole.amazonaws.com |
| `GetConsolidatedBillingFamilySummary` | Mencatat akses akun manajemen yang mengambil ringkasan seluruh keluarga tagihan terkonsolidasi. | billingconsole.amazonaws.com |
| `GetCustomerVerificationEligibility` | (Hanya untuk pelanggan dengan tagihan atau alamat kontak India) Log pengambilan kelayakan verifikasi pelanggan dari akun. | customer-verification.amazonaws.com |
| `GetCustomerVerificationDetails` | (Hanya untuk pelanggan dengan tagihan atau alamat kontak India) Log pengambilan detail verifikasi pelanggan dari akun. | customer-verification.amazonaws.com |
| `GetLinkedAccountNames` | Mencatat pengambilan dari akun manajemen nama akun anggota milik keluarga tagihan terkonsolidasi untuk periode penagihan tertentu. | billingconsole.amazonaws.com |
| `GetPurchaseOrder` | Mencatat pengambilan pesanan pembelian. | purchase-orders.amazonaws.com |
| `GetSupportedCountryCodes` | Log akses ke semua kode negara yang didukung oleh konsol pajak. | billingconsole.amazonaws.com |
| `GetTotal` | Mencatat pengambilan total biaya akun. | billingconsole.amazonaws.com |
| `GetTotalAmountForForecast` | Mencatat akses ke prakiraan biaya untuk periode penagihan tertentu. | billingconsole.amazonaws.com |
| `ListCostAllocationTags` | Log pengambilan dan daftar tag alokasi biaya. | ce.amazonaws.com |
| `ListCostAllocationTagBackfillHistory` | Mencatat pengambilan dan daftar riwayat permintaan pengisian ulang tag alokasi biaya. | ce.amazonaws.com |
| `ListPurchaseOrders` | Log pengambilan dan daftar pesanan pembelian. | purchase-orders.amazonaws.com |
| `ListPurchaseOrderInvoices` | Log pengambilan dan daftar faktur yang terkait dengan pesanan pembelian. | purchase-orders.amazonaws.com |
| `ListTagsForResource` | Daftar tag yang terkait dengan sumber daya. Sebab`payments`, tindakan ini mengacu pada metode pembayaran. Sebab`purchase-orders`, tindakan ini mengacu pada pesanan pembelian. | purchase-orders.amazonaws.com |
| `RedeemPromoCode` | Mencatat penukaran kredit promosi untuk sebuah akun. | billingconsole.amazonaws.com |
| `SetAccountContractMetadata` | Mencatat pembuatan, penghapusan, atau pembaruan informasi kontrak yang diperlukan untuk pelanggan sektor publik. | billingconsole.amazonaws.com |
| `SetAccountPreferences` | Mencatat pembaruan nama, email, dan kata sandi akun. | billingconsole.amazonaws.com |
| `SetAdditionalContacts` | Mencatat pembuatan, penghapusan, atau pembaruan kontak alternatif untuk penagihan, operasi, dan komunikasi keamanan. | billingconsole.amazonaws.com |
| `SetContactAddress` | Mencatat pembuatan, penghapusan, atau pembaruan informasi kontak pemilik akun, termasuk alamat dan nomor telepon. | billingconsole.amazonaws.com |
| `SetCreatedByOptIn` | Mencatat opt-in preferensi tag alokasi biaya awscreatedby. | billingconsole.amazonaws.com |
| `SetCreditSharing` | Mencatat riwayat preferensi pembagian kredit untuk akun manajemen. | billingconsole.amazonaws.com |
| `SetFreetierBudgetsPreference` | Mencatat preferensi (opt-in atau opt-out) untuk menerima peringatan penggunaan Tingkat Gratis. | billingconsole.amazonaws.com |
| `SetFxPaymentCurrency` | Mencatat pembuatan, penghapusan, atau pembaruan mata uang pilihan yang digunakan untuk membayar faktur Anda. | billingconsole.amazonaws.com |
| `SetIAMAccessPreference` | Mencatat pembuatan, penghapusan, atau pembaruan kemampuan pengguna IAM untuk mengakses ke konsol penagihan. Pengaturan ini hanya untuk pelanggan dengan akses root. | billingconsole.amazonaws.com |
| `SetPANInformation` | Mencatat pembuatan, penghapusan, atau pembaruan informasi PAN di bawah India AWS . | billingconsole.amazonaws.com |
| `SetPayInformation` | Mencatat riwayat metode pembayaran (faktur atau credit/debit kartu) untuk akun tersebut. | billingconsole.amazonaws.com |
| `SetRISharing` | Mencatat riwayat preferensi berbagi RI/Savings Paket untuk akun manajemen. | billingconsole.amazonaws.com |
| `SetSecurityQuestions` | Mencatat pembuatan, penghapusan, atau pembaruan pertanyaan tantangan keamanan untuk membantu AWS mengidentifikasi Anda sebagai pemilik akun. | billingconsole.amazonaws.com |
| `StartCostAllocationTagBackfill` | Log pembuatan permintaan isi ulang untuk status aktivasi semua tag alokasi biaya. | ce.amazonaws.com |
| `TagResource` | Log penandaan sumber daya. Sebab`payments`, tindakan ini mengacu pada metode pembayaran. Sebab`purchase-orders`, tindakan ini mengacu pada pesanan pembelian. | purchase-orders.amazonaws.com |
| `UntagResource` | Log penghapusan tag dari sumber daya. Sebab`payments`, tindakan ini mengacu pada metode pembayaran. Sebab`purchase-orders`, tindakan ini mengacu pada pesanan pembelian. | purchase-orders.amazonaws.com |
| `UpdateCostAllocationTagsStatus` | Mencatat status aktif atau tidak aktif dari tag alokasi biaya tertentu. | ce.amazonaws.com |
| `UpdateCustomerVerificationDetails` | (Hanya untuk pelanggan dengan tagihan atau alamat kontak India) Log pembaruan detail verifikasi pelanggan dari akun. | customer-verification.amazonaws.com |
| `UpdateOrigamiReportPreference` | Mencatat pembaruan laporan biaya dan penggunaan; akun manajemen saja. | billingconsole.amazonaws.com |
| `UpdatePurchaseOrder` | Log pembaruan pesanan pembelian. | purchase-orders.amazonaws.com |
| `UpdatePurchaseOrderStatus` | Log pembaruan status pesanan pembelian. | purchase-orders.amazonaws.com |
| `ValidateAddress` | Log validasi alamat pajak akun. | billingconsole.amazonaws.com |
### CloudTrail Acara pembayaran
Bagian ini menampilkan daftar lengkap CloudTrail peristiwa untuk fitur **Pembayaran** di AWS Billing konsol. CloudTrail Peristiwa ini digunakan `payments.amazonaws.com` sebagai pengganti`billingconsole.amazonaws.com`.
****
| Nama peristiwa | Definisi |
| --- | --- |
| `Financing_AcceptFinancingApplicationTerms` | Mencatat penerimaan persyaratan dalam aplikasi pembiayaan. |
| `Financing_CreateFinancingApplication` | Log pembuatan aplikasi pembiayaan. |
| `Financing_GetFinancingApplication` | Log akses aplikasi pembiayaan. |
| `Financing_GetFinancingApplicationDocument` | Log akses dokumen yang terkait dengan aplikasi pembiayaan. |
| `Financing_GetFinancingLine` | Mencatat akses jalur pembiayaan. |
| `Financing_GetFinancingLineWithdrawal` | Mencatat akses penarikan jalur pembiayaan. |
| `Financing_GetFinancingLineWithdrawalDocument` | Mencatat akses dokumen yang terkait dengan penarikan jalur pembiayaan. |
| `Financing_GetFinancingLineWithdrawalStatements` | Mencatat akses laporan yang terkait dengan penarikan jalur pembiayaan. |
| `Financing_GetFinancingOption` | Log akses opsi pembiayaan. |
| `Financing_ListFinancingApplications` | Log daftar metadata aplikasi pembiayaan. |
| `Financing_ListFinancingLines` | Log daftar metadata garis pembiayaan. |
| `Financing_ListFinancingLineWithdrawals` | Mencatat daftar metadata penarikan jalur pembiayaan. |
| `Financing_UpdateFinancingApplication` | Log pembaruan aplikasi pembiayaan. |
| Instruments\$1Authenticate | Log otentikasi instrumen pembayaran. |
| `Instruments_Create` | Log pembuatan instrumen pembayaran. |
| `Instruments_Delete` | Mencatat penghapusan instrumen pembayaran. |
| `Instruments_Get` | Log akses instrumen pembayaran. |
| `Instruments_List` | Log daftar metadata instrumen pembayaran. |
| `Instruments_StartCreate` | Mencatat operasi sebelum pembuatan instrumen pembayaran. |
| `Instruments_Update` | Log pembaruan instrumen pembayaran. |
| `ListTagsForResource` | Log daftar tag yang terkait dengan sumber daya pembayaran. |
| `Policy_GetPaymentInstrumentEligibility` | Log akses kelayakan instrumen pembayaran. |
| `Preferences_BatchGetPaymentProfiles` | Log akses profil pembayaran. |
| `Preferences_CreatePaymentProfile` | Log pembuatan profil pembayaran. |
| `Preferences_DeletePaymentProfile` | Log penghapusan profil pembayaran. |
| `Preferences_ListPaymentProfiles` | Log daftar metadata profil pembayaran. |
| `Preferences_UpdatePaymentProfile` | Log pembaruan profil pembayaran. |
| `Programs_ListPaymentProgramOptions` | Log daftar opsi program pembayaran. |
| `Programs_ListPaymentProgramStatus` | Log daftar kelayakan program pembayaran dan status pendaftaran. |
| `TagResource` | Log penandaan sumber daya pembayaran. |
| `TermsAndConditions_AcceptTermsAndConditionsForProgramByAccountId` | Mencatat syarat dan ketentuan pembayaran yang diterima. |
| `TermsAndConditions_GetAcceptedTermsAndConditionsForProgramByAccountId` | Mencatat akses syarat dan ketentuan yang diterima. |
| `TermsAndConditions_GetRecommendedTermsAndConditionsForProgram` | Mencatat akses syarat dan ketentuan yang direkomendasikan. |
| `UntagResource` | Log penghapusan tag dari sumber daya pembayaran. |
### CloudTrail Acara pengaturan pajak
Bagian ini menampilkan daftar lengkap CloudTrail acara untuk fitur **Pengaturan pajak** di AWS Billing konsol. CloudTrail Peristiwa ini menggunakan `taxconsole.amazonaws.com` atau `tax.amazonaws.com` bukan`billingconsole.amazonaws.com`.
**CloudTrail acara untuk konsol pengaturan pajak**
| Nama peristiwa | Definisi | Sumber peristiwa |
| --- | --- | --- |
| `BatchGetTaxExemptions` | Mencatat akses ke pembebasan pajak AS atas akun, dan akun apa pun yang ditautkan. | taxconsole.amazon.com |
| `CreateCustomerCase` | Mencatat pembuatan kasus dukungan pelanggan untuk memvalidasi pembebasan pajak AS untuk sebuah akun. | taxconsole.amazon.com |
| `DownloadTaxInvoice` | Mencatat unduhan faktur pajak. | taxconsole.amazon.com |
| `GetTaxExemptionTypes` | Mencatat akses ke semua jenis pembebasan AS yang didukung oleh konsol pajak. | taxconsole.amazon.com |
| `GetTaxInheritance` | Mencatat akses ke preferensi warisan pajak (menghidupkan atau menonaktifkan) akun. | taxconsole.amazon.com |
| `GetTaxInvoicesMetadata` | Mencatat pengambilan metadata faktur pajak. | taxconsole.amazon.com |
| `GetTaxRegistration` | Log akses ke nomor registrasi pajak akun. | taxconsole.amazon.com |
| `PreviewTaxRegistrationChange` | Log pratinjau perubahan pendaftaran pajak sebelum konfirmasi. | taxconsole.amazon.com |
| `SetTaxInheritance` | Mencatat preferensi (opt-in atau opt-out) dari warisan pajak. | taxconsole.amazon.com |
**CloudTrail peristiwa untuk API pengaturan pajak**
| Nama peristiwa | Definisi | Sumber peristiwa |
| --- | --- | --- |
| `BatchDeleteTaxRegistration` | Log penghapusan batch pendaftaran pajak untuk beberapa akun. | tax.amazonaws.com |
| `BatchGetTaxExemptions` | Log akses ke pembebasan pajak dari satu atau beberapa akun. | tax.amazonaws.com |
| `BatchPutTaxRegistration` | Log pengaturan pendaftaran pajak beberapa akun. | tax.amazonaws.com |
| `DeleteTaxRegistration` | Mencatat penghapusan nomor registrasi pajak untuk suatu akun. | tax.amazonaws.com |
| `GetTaxExemptionTypes` | Log akses ke semua jenis pembebasan pajak yang didukung oleh konsol pajak. | tax.amazonaws.com |
| `GetTaxInheritance` | Mencatat akses ke preferensi warisan pajak (menghidupkan atau menonaktifkan) akun. | tax.amazonaws.com |
| `GetTaxRegistration` | Log akses ke pendaftaran pajak akun. | tax.amazonaws.com |
| `GetTaxRegistrationDocument` | Log mengambil dokumen pendaftaran pajak akun. | tax.amazonaws.com |
| `ListTaxExemptions` | Log akses ke pembebasan pajak dari akun AWS organisasi. | tax.amazonaws.com |
| `ListTaxRegistrations` | Log akses ke rincian pendaftaran pajak dari semua akun anggota akun manajemen. | tax.amazonaws.com |
| `PutTaxExemption` | Log menetapkan pembebasan pajak dari satu atau beberapa akun. | tax.amazonaws.com |
| `PutTaxInheritance` | Log menetapkan preferensi (memilih masuk atau memilih keluar) warisan pajak. | tax.amazonaws.com |
| `PutTaxRegistration` | Log pengaturan pendaftaran pajak akun. | tax.amazonaws.com |
### Acara faktur CloudTrail
Bagian ini menampilkan daftar lengkap CloudTrail peristiwa untuk fitur **Faktur** di AWS Billing konsol. CloudTrail Peristiwa ini digunakan`invoicing.amazonaws.com`.
****
| Nama peristiwa | Definisi |
| --- | --- |
| `CreateInvoiceUnit` | Log pembuatan unit faktur. |
| `DeleteInvoiceUnit` | Mencatat penghapusan unit faktur. |
| `GetInvoiceProfiles` | Log akses profil faktur akun. |
| `GetInvoiceUnit` | Log akses unit faktur. |
| `ListInvoiceUnits` | Log pengambilan dan daftar unit faktur. |
| `UpdateInvoiceUnit` | Log pembaruan unit faktur. |
## Informasi Billing and Cost Management di CloudTrail
CloudTrail diaktifkan di AWS akun Anda saat Anda membuat akun. Ketika aktivitas acara yang didukung terjadi di Billing and Cost Management, aktivitas tersebut dicatat dalam CloudTrail suatu peristiwa bersama dengan peristiwa layanan AWS lainnya **dalam riwayat Acara**. Anda dapat melihat, mencari, dan mengunduh acara terbaru di AWS akun Anda. Untuk informasi selengkapnya, lihat [Melihat CloudTrail Acara dengan Riwayat Acara](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) di *Panduan AWS CloudTrail Pengguna*.
Untuk catatan peristiwa yang sedang berlangsung di AWS akun Anda, termasuk acara untuk Billing and Cost Management, buat jejak. Jejak memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon S3. Secara default, saat Anda membuat jejak di konsol, jejak tersebut berlaku untuk semua AWS Wilayah. Jejak mencatat peristiwa dari semua Wilayah di AWS partisi dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log.
Untuk informasi selengkapnya, lihat berikut:
+ [Gambaran Umum untuk Membuat Jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Layanan dan Integrasi yang Didukung](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Mengonfigurasi Notifikasi Amazon SNS untuk CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Menerima File CloudTrail Log dari Beberapa Wilayah](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) dan [Menerima File CloudTrail Log dari Beberapa Akun](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Setiap entri peristiwa atau log berisi informasi tentang entitas yang membuat permintaan tersebut. Informasi identitas membantu Anda menentukan hal berikut ini:
+ Apakah permintaan tersebut dibuat dengan kredensial root atau pengguna IAM.
+ Apakah permintaan tersebut dibuat dengan kredensial keamanan sementara untuk satu peran atau pengguna terfederasi.
+ Apakah permintaan itu dibuat oleh AWS layanan lain.
Untuk informasi selengkapnya, lihat [Elemen CloudTrail UserIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html) di *AWS CloudTrail Panduan Pengguna*.
## CloudTrail contoh entri log
Contoh berikut disediakan untuk skenario entri log Billing and Cost CloudTrail Management tertentu.
**Topics**
+ [Entri berkas log Billing and Cost Management](#understanding-service-name-entries)
+ [Konsol pajak](#CT-example-tax)
+ [Pembayaran](#CT-example-payments-create)
### Entri berkas log Billing and Cost Management
*Trail* adalah konfigurasi yang memungkinkan pengiriman peristiwa sebagai file log ke bucket Amazon S3 yang Anda tentukan. CloudTrail file log berisi satu atau lebih entri log. Peristiwa mewakili permintaan tunggal dari sumber manapun dan mencakup informasi tentang tindakan yang diminta, tanggal dan waktu tindakan, parameter permintaan, dan sebagainya. CloudTrail file log bukanlah jejak tumpukan yang diurutkan dari panggilan API publik, sehingga file tersebut tidak muncul dalam urutan tertentu.
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `SetContactAddress` tindakan.
```
{
"eventVersion": "1.05",
"userIdentity": {
"accountId": "111122223333",
"accessKeyId": "AIDACKCEVSQ6C2EXAMPLE"
},
"eventTime": "2018-05-30T16:44:04Z",
"eventSource": "billingconsole.amazonaws.com",
"eventName": "SetContactAddress",
"awsRegion": "us-east-1",
"sourceIPAddress": "100.100.10.10",
"requestParameters": {
"website": "https://amazon.com",
"city": "Seattle",
"postalCode": "98108",
"fullName": "Jane Doe",
"districtOrCounty": null,
"phoneNumber": "206-555-0100",
"countryCode": "US",
"addressLine1": "Nowhere Estates",
"addressLine2": "100 Main Street",
"company": "AnyCompany",
"state": "Washington",
"addressLine3": "Anytown, USA",
"secondaryPhone": "206-555-0101"
},
"responseElements": null,
"eventID": "5923c499-063e-44ac-80fb-b40example9f",
"readOnly": false,
"eventType": "AwsConsoleAction",
"recipientAccountId": "1111-2222-3333"
}
```
### Konsol pajak
Contoh berikut menunjukkan entri CloudTrail log yang menggunakan `CreateCustomerCase` tindakan.
```
{
"eventVersion":"1.05",
"userIdentity":{
"accountId":"111122223333",
"accessKeyId":"AIDACKCEVSQ6C2EXAMPLE"
},
"eventTime":"2018-05-30T16:44:04Z",
"eventSource":"taxconsole.amazonaws.com",
"eventName":"CreateCustomerCase",
"awsRegion":"us-east-1",
"sourceIPAddress":"100.100.10.10",
"requestParameters":{
"state":"NJ",
"exemptionType":"501C",
"exemptionCertificateList":[
{
"documentName":"ExemptionCertificate.png"
}
]
},
"responseElements":{
"caseId":"case-111122223333-iris-2022-3cd52e8dbf262242"
},
"eventID":"5923c499-063e-44ac-80fb-b40example9f",
"readOnly":false,
"eventType":"AwsConsoleAction",
"recipientAccountId":"1111-2222-3333"
}
```
### Pembayaran
Contoh berikut menunjukkan entri CloudTrail log yang menggunakan `Instruments_Create` tindakan.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Root",
"principalId": "111122223333",
"arn": "arn:aws:iam::111122223333:",
"accountId": "111122223333",
"accessKeyId": "AIDACKCEVSQ6C2EXAMPLE",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-05-01T00:00:00Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-05-01T00:00:00Z",
"eventSource": "payments.amazonaws.com",
"eventName": "Instruments_Create",
"awsRegion": "us-east-1",
"sourceIPAddress": "100.100.10.10",
"userAgent": "AWS",
"requestParameters": {
"accountId": "111122223333",
"paymentMethod": "CreditCard",
"address": "HIDDEN_DUE_TO_SECURITY_REASONS",
"accountHolderName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"cardNumber": "HIDDEN_DUE_TO_SECURITY_REASONS",
"cvv2": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationMonth": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationYear": "HIDDEN_DUE_TO_SECURITY_REASONS",
"tags": {
"Department": "Finance"
}
},
"responseElements": {
"paymentInstrumentArn": "arn:aws:payments::111122223333:payment-instrument:4251d66c-1b05-46ea-890c-6b4acf6b24ab",
"paymentInstrumentId": "111122223333",
"paymentMethod": "CreditCard",
"consent": "NotProvided",
"creationDate": "2024-05-01T00:00:00Z",
"address": "HIDDEN_DUE_TO_SECURITY_REASONS",
"accountHolderName": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationMonth": "HIDDEN_DUE_TO_SECURITY_REASONS",
"expirationYear": "HIDDEN_DUE_TO_SECURITY_REASONS",
"issuer": "Visa",
"tail": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"requestID": "7c7df9c2-c381-4880-a879-2b9037ce0573",
"eventID": "c251942f-6559-43d2-9dcd-2053d2a77de3",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"sessionCredentialFromConsole": "true"
}
```
# Validasi kepatuhan untuk AWS Manajemen Penagihan dan Biaya
Auditor pihak ketiga menilai keamanan dan kepatuhan AWS layanan sebagai bagian dari beberapa program AWS kepatuhan. Billing and Cost Management tidak dalam lingkup program kepatuhan AWS apa pun.
Untuk daftar AWS layanan dalam lingkup program kepatuhan tertentu, lihat [AWS Layanan dalam Lingkup oleh AWS Layanan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/) . Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .
Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Tanggung jawab kepatuhan Anda saat menggunakan Billing and Cost Management ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, serta undang-undang dan peraturan yang berlaku. AWS menyediakan sumber daya berikut untuk membantu kepatuhan:
+ [Panduan Quick Start Keamanan dan Kepatuhan](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) – Panduan deployment ini membahas pertimbangan arsitektur dan menyediakan langkah–langkah untuk melakukan deployment terhadap lingkungan dasar di AWS yang menjadi fokus keamanan dan kepatuhan.
+ [AWS Sumber Daya AWS](https://aws.amazon.com/compliance/resources/) — Kumpulan buku kerja dan panduan ini mungkin berlaku untuk industri dan lokasi Anda.
+ [Mengevaluasi Sumber Daya dengan Aturan](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) dalam *Panduan AWS Config Pengembang* — AWS Config Layanan menilai seberapa baik konfigurasi sumber daya Anda mematuhi praktik internal, pedoman industri, dan peraturan.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— AWS Layanan ini memberikan pandangan komprehensif tentang keadaan keamanan Anda di dalamnya AWS yang membantu Anda memeriksa kepatuhan Anda terhadap standar industri keamanan dan praktik terbaik.
# Ketahanan di AWS Manajemen Penagihan dan Biaya
Infrastruktur AWS global dibangun di sekitar AWS Wilayah dan Zona Ketersediaan. AWS Wilayah menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung dengan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang serta mengoperasikan aplikasi dan basis data yang secara otomatis melakukan fail over di antara zona tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur pusat data tunggal atau multi tradisional.
Untuk informasi selengkapnya tentang AWS Wilayah dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).
# Keamanan infrastruktur di AWS Manajemen Penagihan dan Biaya
Sebagai layanan terkelola, AWS Manajemen Penagihan dan Biaya dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses Billing and Cost Management melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
# Akses AWS Manajemen Penagihan dan Biaya menggunakan endpoint antarmuka ()AWS PrivateLink
Anda dapat menggunakan AWS PrivateLink untuk membuat koneksi pribadi antara VPC Anda dan. AWS Manajemen Penagihan dan Biaya Anda dapat mengakses Billing and Cost Management seolah-olah berada di VPC Anda, tanpa menggunakan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk mengakses Billing and Cost Management.
Anda membuat koneksi pribadi ini dengan membuat *titik akhir antarmuka*, yang didukung oleh AWS PrivateLink. Kami membuat antarmuka jaringan endpoint di setiap subnet yang Anda aktifkan untuk titik akhir antarmuka. Ini adalah antarmuka jaringan yang dikelola oleh permintaan yang berfungsi sebagai titik masuk untuk lalu lintas yang ditujukan untuk Billing and Cost Management.
Untuk informasi selengkapnya, lihat [Akses Layanan AWS melalui AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) di *AWS PrivateLink Panduan*.
Untuk daftar lengkap nama layanan, lihat [AWS layanan yang terintegrasi dengannya AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html).
## Pertimbangan untuk Billing and Cost Management
*Sebelum Anda menyiapkan titik akhir antarmuka untuk Billing and Cost Management, [tinjau](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) Pertimbangan dalam Panduan.AWS PrivateLink *
Billing and Cost Management mendukung panggilan ke semua tindakan API-nya melalui titik akhir antarmuka.
Kebijakan titik akhir VPC tidak didukung untuk Billing and Cost Management. Secara default, akses penuh ke Billing and Cost Management diizinkan melalui titik akhir antarmuka. Atau, Anda dapat mengaitkan grup keamanan dengan antarmuka jaringan titik akhir untuk mengontrol lalu lintas ke Billing and Cost Management melalui titik akhir antarmuka.
## Buat endpoint antarmuka untuk Billing and Cost Management
Anda dapat membuat titik akhir antarmuka untuk Billing and Cost Management menggunakan konsol Amazon VPC atau (). AWS Command Line Interface AWS CLI Untuk informasi selengkapnya, lihat [Membuat titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) di *AWS PrivateLink Panduan*.
Buat endpoint antarmuka untuk Billing and Cost Management menggunakan nama layanan berikut:
```
com.amazonaws.region.service-name
```
Jika Anda mengaktifkan DNS pribadi untuk titik akhir antarmuka, Anda dapat membuat permintaan API ke Billing and Cost Management menggunakan nama DNS Regional default. Misalnya, `service-name.us-east-1.amazonaws.com`.
## Buat kebijakan titik akhir untuk titik akhir antarmuka Anda
Kebijakan endpoint adalah sumber daya IAM yang dapat Anda lampirkan ke titik akhir antarmuka. Kebijakan endpoint default memungkinkan akses penuh ke Billing and Cost Management melalui titik akhir antarmuka. Untuk mengontrol akses yang diizinkan ke Billing and Cost Management dari VPC Anda, lampirkan kebijakan endpoint khusus ke titik akhir antarmuka.
kebijakan titik akhir mencantumkan informasi berikut:
+ Prinsipal yang dapat melakukan tindakan (Akun AWS, pengguna IAM, dan peran IAM).
+ Tindakan yang dapat dilakukan.
+ Sumber daya untuk melakukan tindakan.
Untuk informasi selengkapnya, lihat [Mengontrol akses ke layanan menggunakan kebijakan titik akhir](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) di *Panduan AWS PrivateLink *.
**Contoh: Kebijakan titik akhir VPC untuk AWS API Daftar Harga**
Berikut ini adalah contoh kebijakan endpoint kustom. Saat Anda melampirkan kebijakan ini ke titik akhir antarmuka, semua pengguna yang memiliki akses ke titik akhir dapat mengakses API Daftar AWS Harga.
```
{
"Statement": [
{
"Action": "pricing:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "*"
}
]
}
```
Untuk menggunakan unduhan file massal untuk API Daftar Harga AWS PrivateLink, Anda juga harus mengaktifkan akses Amazon S3. AWS PrivateLink Untuk informasi selengkapnya, lihat [AWS PrivateLink Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html) di Panduan Pengguna *Amazon S3*.