Gestione delle identità e degli accessi per le esportazioni di dati - Esportazioni di dati AWS
Esempio di policy

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione delle identità e degli accessi per le esportazioni di dati

AWS Identity and Access Management (IAM) èAWS un servizio che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere autenticato (che ha effettuato l'accesso) e autorizzato (che dispone delle autorizzazioni) a utilizzare le risorse di fatturazione. IAM è un AWS servizio che puoi utilizzare senza costi aggiuntivi.

Per utilizzare Data Exports, un utente IAM deve avere accesso alle azioni bcm-data-exports namespace in IAM. Consulta la tabella seguente per le azioni disponibili.

Azione di esportazione dei dati Description Livello di accesso Tipi di risorse Chiavi di condizione
CreateExport Consente all'utente di creare un'esportazione e specifica le interrogazioni, le configurazioni di consegna, le configurazioni di pianificazione e le configurazioni dei contenuti. Scrittura

export

table

aws: /$ {} RequestTag TagKey

leggi: TagKeys
UpdateExport Consente all'utente di aggiornare un'esportazione esistente. Scrittura

export

table

aws: ResourceTag /$ {} TagKey
DeleteExport Consente all'utente di eliminare un'esportazione esistente. Scrittura

export

aws: ResourceTag /$ {} TagKey
GetExport Consente all'utente di visualizzare un'esportazione esistente. Lettura

export

aws: ResourceTag /$ {} TagKey
ListExports Consente all'utente di elencare tutte le esportazioni esistenti. Lettura
GetExecution Consente all'utente di visualizzare i dettagli dell'esecuzione specificata, inclusi i metadati e lo schema dei dati esportati. Lettura

export

aws: ResourceTag /$ {} TagKey
ListExecutions Consente all'utente di elencare tutte le esecuzioni dell'identificatore di esportazione fornito. Lettura

export

aws: ResourceTag /$ {} TagKey
GetTable Consente all'utente di ottenere lo schema della tabella specificata. Lettura

table
ListTables Consente all'utente di elencare tutte le tabelle disponibili. Lettura
TagResource Consente all'utente di etichettare un'esportazione esistente. Scrittura

export

aws: ResourceTag /$ {} TagKey

legge: RequestTag /$ {} TagKey

leggi: TagKeys
UntagResource Consente all'utente di rimuovere i tag da un'esportazione esistente. Scrittura

export

aws: ResourceTag /$ {} TagKey

leggi: TagKeys
ListTagsForResource Consente all'utente di elencare i tag associati a un'esportazione esistente. Lettura

export

aws: ResourceTag /$ {} TagKey

Per ulteriori informazioni su come utilizzare queste chiavi di contesto, consulta Controlling access to AWS resources using tags nella IAM User Guide.

La tabella seguente descrive i tipi di risorse disponibili in Data Exports.

Tipo di risorsa Description ARN
export Un'esportazione è la risorsa creata dall' CreateExport API. Un'esportazione genera un output di interrogazione per la fatturazione e la gestione dei costi su base ricorrente. arn: $ {Partition}:: bcm-data-exports $ {Region} :$ {Account} :export/$ {exportName} - {UUID}
table Una tabella è costituita da dati in formato riga-colonna che un utente interroga con un'esportazione. Le tabelle vengono create e gestite da per AWS i clienti. Le tabelle non possono essere eliminate dai clienti. arn: $ {Partition}:bcm-data-exports: $ {Region} :$ {Account} :table/$ {} TableName

Per creare esportazioni delle risorse delle tabelle COST_AND_USAGE_REPORT o COST_AND_USAGE_DASHBOARD in Data Exports, gli utenti IAM devono inoltre disporre delle autorizzazioni per la rispettiva azione in IAM. cur Ciò significa che se a un utente IAM viene impedito di utilizzare cur azioni per qualsiasi motivo, ad esempio in mancanza di un allow on esplicito cur o di una policy di controllo del servizio (SCP) che fornisca un'esplicita negazione dell'accessocur, a quell'utente IAM verrà impedito di creare o aggiornare le esportazioni di queste due tabelle.

La tabella seguente mostra quali cur azioni sono necessarie per quali bcm-data-exports azioni nelle esportazioni di dati per queste due tabelle.

Azione Esportazioni dati Risorse della tabella Azioni aggiuntive richieste in IAM
bcm-data-exports:CreateExport

RAPPORTO SUI COSTI E SULL'UTILIZZO

DASHBOARD SUI COSTI E SULL'UTILIZZO

 cura: PutReportDefinition

Esempio di policy

Consenti all'utente IAM di avere pieno accesso alle esportazioni CUR 2.0 in Data Exports.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewDataExportsTablesAndExports",
            "Effect": "Allow",
            "Action": [
                "bcm-data-exports:ListTables",
                "bcm-data-exports:ListExports",
                "bcm-data-exports:GetExport"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateCurExports",
            "Effect": "Allow",
            "Action": "bcm-data-exports:*",
            "Resource": [
                "arn:aws:bcm-data-exports:*:*:table/COST_AND_USAGE_REPORT",
                "arn:aws:bcm-data-exports:*:*:export/*"
                ]
        },
        {
            "Sid": "CurDataAccess",
            "Effect": "Allow",
            "Action":  "cur:PutReportDefinition",
            "Resource": "*"
         }
    ]
}

Per ulteriori informazioni sul controllo degli accessi e sulle autorizzazioni IAM per utilizzare le esportazioni di dati in Billing and Cost Management, consulta Panoramica sulla gestione delle autorizzazioni di accesso.

Crea un CUR 2.0 pro forma AWS

Per creare un CUR 2.0 pro forma, dovrai includere la seguente policy IAM:

Consenti all'utente IAM di avere pieno accesso a CUR 2.0 e Billing Group Billing View.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCreateCur20AnyBillingView",
            "Effect": "Allow",
            "Action": "bcm-data-exports:CreateExport",
            "Resource": [
                "arn:aws:bcm-data-exports:*:*:table/COST_AND_USAGE_REPORT",
                "arn:aws:bcm-data-exports:*:*:export/*",
                "arn:aws:billing::*:billingview/*"
            ]
        },{
            "Sid": "CurDataAccess",
            "Effect": "Allow",
            "Action": "cur:PutReportDefinition",
            "Resource": "*"
        }
    ]
}

Se desideri che un ruolo IAM abbia accesso a un gruppo di fatturazione specifico, puoi aggiungere l'ARN Billing View a cui il ruolo è autorizzato a accedere.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCreateSpecificBillingViewCur20",
            "Effect": "Allow",
            "Action": "bcm-data-exports:CreateExport",
            "Resource": [
                "arn:aws:bcm-data-exports:*:*:table/COST_AND_USAGE_REPORT", 
                "arn:aws:bcm-data-exports:*:*:export/*", 
                "arn:aws:billing::444455556666:billingview/billing-group-111122223333"
        ]
        },{
            "Sid": "CurDataAccess",
            "Effect": "Allow",
            "Action": "cur:PutReportDefinition",
            "Resource": "*"
        }
    ]
}