As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Identity and Access Management para gerenciamento de AWS custos
<a name="security-iam"></a>





AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) a usar os recursos de gerenciamento de AWS custos. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.

**Topics**
+ [Tipos de usuário e permissões de faturamento](#security_iam_audience)
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Visão geral do gerenciamento de permissões de acesso](control-access-billing.md)
+ [Como o gerenciamento de AWS custos funciona com o IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas baseadas em identidade para gerenciamento de custos AWS](security_iam_id-based-policy-examples.md)
+ [Usando políticas baseadas em identidade (políticas do IAM) para AWS gerenciamento de custos](billing-permissions-ref.md)
+ [AWS Exemplos de políticas de gerenciamento de custos](billing-example-policies.md)
+ [Migrando o controle de acesso para gerenciamento de AWS custos](migrate-granularaccess-whatis.md)
+ [Prevenção contra o ataque do “substituto confuso” em todos os serviços](cross-service-confused-deputy-prevention.md)
+ [Solução de problemas de identidade e acesso ao AWS Cost Management](security_iam_troubleshoot.md)
+ [Funções vinculadas a serviços para gerenciamento de custos AWS](#security_iam_service-with-iam-roles-service-linked)
+ [Usar perfis vinculados a serviços](cost-management-SLR.md)
+ [AWS políticas gerenciadas para AWS Billing and Cost Management](security-iam-awsmanpol.md)

## Tipos de usuário e permissões de faturamento
<a name="security_iam_audience"></a>

Esta tabela resume as ações padrão que são permitidas no Gerenciamento de AWS Custos para cada tipo de usuário de cobrança.


**Tipos de usuário e permissões de faturamento**  

| Tipo de usuário | Description | Permissões de faturamento | 
| --- | --- | --- | 
| Proprietário da conta |  A pessoa ou entidade em cujo nome a conta está configurada.  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/cost-management/latest/userguide/security-iam.html)  | 
| Usuário |  Uma pessoa ou uma aplicação definida como um usuário em uma conta por um proprietário da conta ou usuário administrativo. As contas podem conter vários usuários.  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/cost-management/latest/userguide/security-iam.html)  | 
| Proprietário da conta de gerenciamento da organização |  A pessoa ou entidade associada a uma conta AWS Organizations de gerenciamento. A conta de gerenciamento paga pelo AWS uso incorrido por uma conta de membro em uma organização.   |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/cost-management/latest/userguide/security-iam.html)  | 
| Proprietário da conta de membro da organização |  A pessoa ou entidade associada a uma conta de AWS Organizations membro. A conta de gerenciamento paga pelo AWS uso incorrido por uma conta de membro em uma organização.   |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/cost-management/latest/userguide/security-iam.html)  | 

## Público
<a name="security_iam_audience"></a>

A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas de identidade e acesso ao AWS Cost Management](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como o gerenciamento de AWS custos funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade para gerenciamento de custos AWS](security_iam_id-based-policy-examples.md))

## Autenticação com identidades
<a name="security_iam_authentication"></a>

A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS

Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.

Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.

### Conta da AWS usuário root
<a name="security_iam_authentication-rootuser"></a>

 Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*. 

### Identidade federada
<a name="security_iam_authentication-federated"></a>

Como prática recomendada, exija que os usuários humanos usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.

Uma *identidade federada* é um usuário do seu diretório corporativo, provedor de identidade da web ou Directory Service que acessa Serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem funções que oferecem credenciais temporárias.

Para o gerenciamento de acesso centralizado, recomendamos Centro de Identidade do AWS IAM. Para saber mais, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.

### Usuários e grupos do IAM
<a name="security_iam_authentication-iamuser"></a>

Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.

Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.

### Perfis do IAM
<a name="security_iam_authentication-iamrole"></a>

Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.

Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.

## Gerenciar o acesso usando políticas
<a name="security_iam_access-manage"></a>

Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.

Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.

Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.

### Políticas baseadas em identidade
<a name="security_iam_access-manage-id-based-policies"></a>

As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.

As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.

### Políticas baseadas em recursos
<a name="security_iam_access-manage-resource-based-policies"></a>

Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.

Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.

### Outros tipos de política
<a name="security_iam_access-manage-other-policies"></a>

AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.

### Vários tipos de política
<a name="security_iam_access-manage-multiple-policies"></a>

Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.

# Visão geral do gerenciamento de permissões de acesso
<a name="control-access-billing"></a>

## Como conceder acesso às ferramentas e informações de faturamento
<a name="grantaccess"></a>

O proprietário da AWS conta pode acessar as informações e ferramentas de cobrança fazendo login Console de gerenciamento da AWS usando as credenciais da conta. Recomendamos que você não use as credenciais da conta para o acesso diário à conta e, principalmente, que não compartilhe as credenciais da conta com outras pessoas a fim de fornecer acesso à sua conta.

Para suas tarefas administrativas diárias, crie um usuário administrativo para controlar com segurança o acesso aos AWS recursos. Por padrão, os usuários do IAM não têm acesso ao [Console do Gerenciamento de Custos da AWS](https://console.aws.amazon.com/billing/). Como administrador, você pode criar funções em sua AWS conta que seus usuários possam assumir. Depois de criar perfis, é possível anexar sua política do IAM a eles, com base no acesso necessário. Por exemplo, você pode conceder a alguns usuários acesso limitado a algumas informações de pagamento e ferramentas e, a outras pessoas, acesso completo a todas as informações e ferramentas.





**nota**  
O IAM é um recurso da sua AWS conta. Se você já estiver cadastrado em um produto integrado ao IAM, não precisará fazer mais nada para se inscrever no IAM nem será cobrado por usá-lo.  
As permissões do Explorador de Custos se aplicam a todas as contas e contas de membros, independentemente das políticas do IAM. Para obter mais informações sobre o acesso ao Explorador de Custos, consulte [Controle de acesso ao Explorador de Custos](ce-access.md).

## Ativar o acesso ao console do Gerenciamento de Faturamento e Custos
<a name="ControllingAccessWebsite-Activate"></a>

Por padrão, os papéis do IAM em uma AWS conta não podem acessar as páginas do console do Billing and Cost Management. Isso é verdade mesmo se o perfil tiver políticas do IAM que concedem acesso a determinados recursos de Gerenciamento de Faturamento e Custos. O administrador da AWS conta pode permitir que as funções acessem as páginas do console do Billing and Cost Management usando **a configuração Activate IAM** Access.

No console de gerenciamento de AWS custos, a configuração **Ativar acesso ao IAM** controla o acesso às seguintes páginas:
+ Início 
+ Explorador de Custos
+ Relatórios
+ Rightsizing recommendations (Recomendações de redimensionamento)
+ Recomendações dos Savings Plans
+ Relatório de utilização dos Savings Plans
+ Relatório de cobertura dos Savings Plans
+ Visão geral de reservas
+ Recomendações de reservas
+ Relatório de utilização de reservas
+ Relatório de cobertura de reservas
+ Preferências

Para ver uma lista das páginas sobre os controles de configuração **Ativar acesso IAM** para o console de faturamento, consulte [Ativação do acesso ao console de faturamento](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html#ControllingAccessWebsite-Activate) no *Guia do usuário de faturamento*.

**Importante**  
Ativar o acesso ao IAM isoladamente não concede aos perfis as permissões necessárias para essas páginas do console de Gerenciamento de Faturamento e Custos. Além de ativar o acesso ao IAM, você também deve anexar as políticas obrigatórias do IAM a esses perfis. Para obter mais informações, consulte [Usando políticas baseadas em identidade (políticas do IAM) para AWS gerenciamento de custos](billing-permissions-ref.md).

A configuração **Ativar acesso ao IAM** não controla o acesso às seguintes páginas e recursos:
+ As páginas do console para Detecção de Anomalias de AWS Custos, visão geral dos Planos de Poupança, inventário de Planos de Poupança, Planos de Poupança de Compra e carrinho de Planos de Poupança
+ A visualização de Gerenciamento de Custos no AWS Console Mobile Application
+ O APIs SDK do Billing and Cost Management (Cost AWS Explorer AWS , Orçamentos e Relatórios de Custos AWS e Uso) APIs
+ AWS Systems Manager Gerenciador de aplicativos
+ O console no console AWS Calculadora de Preços
+ O recurso de análise de custos no Amazon Q
+ O AWS Activate Console

Por padrão, a configuração **Ativar acesso ao IAM** está desativada. Para ativar essa configuração, você deve fazer login na sua AWS conta usando as credenciais do usuário root e, em seguida, selecionar a configuração na página **Conta**. Ative essa configuração em cada conta em que você deseja permitir o acesso de perfil do IAM às páginas do console do Gerenciamento de Faturamento e Custos. Se você usa AWS Organizations, ative essa configuração em cada conta de gerenciamento ou membro em que você deseja permitir o acesso da função do IAM às páginas do console.

**nota**  
A configuração **Ativar acesso ao IAM** não está disponível para usuários com acesso de administrador. Essa configuração está disponível apenas para o usuário-raiz da conta.

Se a configuração **Ativar acesso ao IAM** estiver desativada, os perfis do IAM da conta não poderão acessar as páginas do console do Gerenciamento de Faturamento e Custos. Isso é válido mesmo que tenham acesso de administrador ou as políticas do IAM necessárias.

**Para ativar o acesso de perfis e usuários do IAM ao console de Gerenciamento de Faturamento e Custos**

1. Faça login no AWS Management Console com as credenciais da sua conta raiz (especificamente, o endereço de e-mail e a senha que você usou para criar sua AWS conta).

1. Na barra de navegação, escolha o nome da conta e, depois, escolha [Minha conta](https://console.aws.amazon.com/billing/home#/account).

1. Próximo de **Acesso do usuário e do perfil do IAM a informações de faturamento**, escolha **Editar**.

1. Marque a caixa de seleção **Ativar acesso ao IAM** para ativar o acesso às páginas do console do Gerenciamento de Faturamento e Custos.

1. Selecione **Atualizar**.

Depois de ativar o acesso ao IAM, você também deve anexar as políticas obrigatórias do IAM aos usuários ou perfis do IAM. As políticas do IAM podem conceder ou negar acesso a recursos específicos do Gerenciamento de Faturamento e Custos. Para obter mais informações, consulte [Usando políticas baseadas em identidade (políticas do IAM) para AWS gerenciamento de custos](billing-permissions-ref.md).

# Como o gerenciamento de AWS custos funciona com o IAM
<a name="security_iam_service-with-iam"></a>

AWS O gerenciamento de custos se integra ao serviço AWS Identity and Access Management (IAM) para que você possa controlar quem em sua organização tem acesso a páginas específicas no [console de gerenciamento de AWS custos](https://console.aws.amazon.com/cost-management/home). É possível controlar o acesso às faturas e informações detalhadas relacionadas a cobranças e atividades da conta, orçamentos, métodos de pagamento e créditos.

Para obter mais informações sobre como ativar o acesso ao console de Gerenciamento de Faturamento e Custos, consulte.[Tutorial: Delegar acesso ao console de faturamento](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html) no *Guia do usuário do IAM*.

Antes de usar o IAM para gerenciar o acesso ao gerenciamento de AWS custos, saiba quais recursos do IAM estão disponíveis para uso com o gerenciamento de AWS custos.






**Recursos do IAM que você pode usar com o gerenciamento de AWS custos**  

| Recurso do IAM | AWS Suporte ao gerenciamento de custos | 
| --- | --- | 
|  [Políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies)  |   Sim  | 
|  [Políticas baseadas em recurso](#security_iam_service-with-iam-resource-based-policies)  |   Não   | 
|  [Ações de políticas](#security_iam_service-with-iam-id-based-policies-actions)  |   Sim  | 
|  [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources)  |   Parcial  | 
|  [Chaves de condição de políticas](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Sim  | 
|  [ACLs](#security_iam_service-with-iam-acls)  |   Não   | 
|  [ABAC (tags em políticas)](#security_iam_service-with-iam-tags)  |   Parcial  | 
|  [Credenciais temporárias](#security_iam_service-with-iam-roles-tempcreds)  |   Sim  | 
|  [Sessões de acesso direto (FAS)](#security_iam_service-with-iam-principal-permissions)  |   Sim  | 
|  [Perfis de serviço](#security_iam_service-with-iam-roles-service)  |   Sim  | 
|  [Perfis vinculados a serviço](security-iam.md#security_iam_service-with-iam-roles-service-linked)  |   Não   | 

Para ter uma visão de alto nível de como o gerenciamento de AWS custos e outros AWS serviços funcionam com a maioria dos recursos do IAM, consulte [AWS os serviços que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.

## Políticas baseadas em identidade para gerenciamento de custos AWS
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Compatível com políticas baseadas em identidade:** sim

As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.

Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.

### Exemplos de políticas baseadas em identidade para gerenciamento de custos AWS
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



Para ver exemplos de políticas baseadas em identidade do AWS Cost Management, consulte. [Exemplos de políticas baseadas em identidade para gerenciamento de custos AWS](security_iam_id-based-policy-examples.md)

## Políticas baseadas em recursos no gerenciamento de AWS custos
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Compatibilidade com políticas baseadas em recursos:** não 

Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as *políticas de confiança de perfil* do IAM e as *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS

Para permitir o acesso entre contas, é possível especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recursos. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.

## Ações políticas para gerenciamento de AWS custos
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Compatível com ações de políticas:** sim

Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.

O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.



Para ver uma lista de ações do Gerenciamento de AWS Custos, consulte [Ações definidas pelo Gerenciamento de AWS Custos](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostexplorerservice.html) na *Referência de Autorização de Serviço*.

As ações de política no Gerenciamento de AWS Custos usam o seguinte prefixo antes da ação:

```
ce
```

Para especificar várias ações em uma única declaração, separe-as com vírgulas.

```
"Action": [
      "ce:action1",
      "ce:action2"
         ]
```





Para ver exemplos de políticas baseadas em identidade do AWS Cost Management, consulte. [Exemplos de políticas baseadas em identidade para gerenciamento de custos AWS](security_iam_id-based-policy-examples.md)

## Recursos de políticas para gerenciamento de AWS custos
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Suporte a recursos de políticas:** parcial

Os recursos de políticas são compatíveis somente com monitores, assinaturas e categorias de custos.

Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.

O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.

```
"Resource": "*"
```

Para ver uma lista dos tipos de recursos do AWS Cost Explorer, consulte [Ações, recursos e chaves de condição do AWS Cost Explorer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostexplorerservice.html) na *Referência de Autorização de Serviço*.





Para ver exemplos de políticas baseadas em identidade do AWS Cost Management, consulte. [Exemplos de políticas baseadas em identidade para gerenciamento de custos AWS](security_iam_id-based-policy-examples.md)

## Chaves de condição de política para gerenciamento de AWS custos
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Compatível com chaves de condição de política específicas de serviço:** sim

Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.

O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.

Para ver uma lista de chaves de condição, ações e recursos do Gerenciamento de AWS Custos, consulte [Chaves de condição para Gerenciamento de AWS Custos](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostexplorerservice.html) na *Referência de Autorização de Serviços*.

Para ver exemplos de políticas baseadas em identidade do AWS Cost Management, consulte. [Exemplos de políticas baseadas em identidade para gerenciamento de custos AWS](security_iam_id-based-policy-examples.md)

## Listas de controle de acesso (ACLs) no Gerenciamento de AWS custos
<a name="security_iam_service-with-iam-acls"></a>

**Suportes ACLs:** Não 

As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.

## Controle de acesso baseado em atributos (ABAC) com gerenciamento de custos AWS
<a name="security_iam_service-with-iam-tags"></a>

**Compatível com ABAC (tags em políticas):** parcial

O ABAC (tags nas políticas) só é compatível com monitores, assinaturas e categorias de custo.

O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos chamados de tags. Você pode anexar tags a entidades e AWS recursos do IAM e, em seguida, criar políticas ABAC para permitir operações quando a tag do diretor corresponder à tag no recurso.

Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`.

Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será **Sim** para o serviço. Se um serviço for compatível com as três chaves de condição somente para alguns tipos de recursos, o valor será **Parcial**

Para saber mais sobre o ABAC, consulte [Definir permissões com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para visualizar um tutorial com etapas para configurar o ABAC, consulte [Usar controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.

## Usando credenciais temporárias com gerenciamento de AWS custos
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Compatível com credenciais temporárias:** sim

As credenciais temporárias fornecem acesso de curto prazo aos AWS recursos e são criadas automaticamente quando você usa a federação ou troca de funções. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Serviços da Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.

## Sessões de acesso direto para gerenciamento de AWS custos
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim

 As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Funções de serviço para gerenciamento de AWS custos
<a name="security_iam_service-with-iam-roles-service"></a>

**Compatível com perfis de serviço:** sim

 O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para saber mais, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*. 

**Atenção**  
Alterar as permissões de uma função de serviço pode interromper a funcionalidade de gerenciamento de AWS custos. Edite as funções de serviço somente quando o Gerenciamento de AWS Custos fornecer orientação para fazer isso.

# Exemplos de políticas baseadas em identidade para gerenciamento de custos AWS
<a name="security_iam_id-based-policy-examples"></a>

Por padrão, usuários e funções não têm permissão para criar ou modificar recursos de gerenciamento de AWS custos. Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM.

Para aprender a criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do usuário do IAM*.

Para obter detalhes sobre ações e tipos de recursos definidos pelo Gerenciamento de AWS Custos, incluindo o formato do ARNs para cada um dos tipos de recursos, consulte [Ações, recursos e chaves de condição para Gerenciamento de AWS Custos](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostexplorerservice.html) na *Referência de Autorização de Serviço*.

**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Usando o console AWS de gerenciamento de custos](#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)

## Práticas recomendadas de política
<a name="security_iam_service-with-iam-policy-best-practices"></a>

As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos de gerenciamento de AWS custos em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.

Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.

## Usando o console AWS de gerenciamento de custos
<a name="security_iam_id-based-policy-examples-console"></a>

Para acessar o console de gerenciamento de AWS custos, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os recursos de gerenciamento de AWS custos em seu Conta da AWS. Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.

Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente a ações que correspondam à operação de API que estiverem tentando executar.

Para garantir que usuários e funções ainda possam usar o console de Gerenciamento de AWS Custos, anexe também o Gerenciamento de AWS Custos `ConsoleAccess` ou a política `ReadOnly` AWS gerenciada às entidades. Para obter informações, consulte [Adicionar permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.

## Permitir que os usuários visualizem suas próprias permissões
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```







# Usando políticas baseadas em identidade (políticas do IAM) para AWS gerenciamento de custos
<a name="billing-permissions-ref"></a>

**nota**  
As seguintes ações AWS Identity and Access Management (IAM) chegaram ao fim do suporte padrão em julho de 2023:  
Namespace do `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Se você estiver usando AWS Organizations, poderá usar os [scripts do migrador de políticas em massa](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html) para atualizar as políticas da sua conta de pagador. Você também poderá usar a [referência de mapeamento de ações antigas para granulares](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html) para verificar as ações do IAM que precisam ser adicionadas.  
Para obter mais informações, consulte o blog [Alterações no AWS faturamento, no gerenciamento de AWS custos e nas permissões dos consoles de contas](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/).  
Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.

Esse tópico fornece exemplos de políticas baseadas em identidade que demonstram como um administrador de conta pode anexar políticas de permissões a identidades do IAM (perfis e grupos) e, dessa forma, conceder permissões para a execução de operações em recursos do Gerenciamento de Faturamento e Custos.

Para uma discussão completa sobre AWS contas e usuários, consulte [O que é o IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_Introduction.html) no *Guia do usuário do IAM*.

Para obter informações sobre como atualizar políticas gerenciadas pelo cliente, consulte [Editar políticas gerenciadas pelo cliente (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console) no *Guia do usuário do IAM*.

**Topics**
+ [Políticas de ações do Gerenciamento de Faturamento e Custos](#user-permissions)
+ [Políticas de ações recomendadas para faturamento e gestão de custos](#allows-recommended-actions-access)
+ [Políticas gerenciadas](#managed-policies)
+ [AWS Atualizações do gerenciamento de custos nas políticas AWS gerenciadas](#updates-managedIAM)

## Políticas de ações do Gerenciamento de Faturamento e Custos
<a name="user-permissions"></a>

Essa tabela resume as permissões que permitem ou negam acesso a suas informações e ferramentas de faturamento a usuários do . Para obter exemplos de políticas que usam essas permissões, consulte [AWS Exemplos de políticas de gerenciamento de custos](billing-example-policies.md). 

Para obter uma lista das políticas de ações para o console do Billing, consulte [Políticas de ações do Billing](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions) no *Guia do usuário do Billing*.


| Nome da permissão | Description | 
| --- | --- | 
|  `aws-portal:ViewBilling`  |  Permitir ou negar aos usuários permissões para visualizar as seguintes páginas do console do Gerenciamento de Faturamento e Custos. Para ver um exemplo de política, consulte [Permitir que os usuários do IAM visualizem suas informações de cobrança](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-billing-view-billing-only) no *Guia do usuário de faturamento*.  | 
| aws-portal:ViewUsage |  Permita ou negue aos usuários a permissão de visualizar [relatórios AWS](https://portal.aws.amazon.com/billing/home#/reports) de uso. Para permitir que os usuários visualizem relatórios de uso, é necessário permitir o `ViewUsage` e o `ViewBilling`.  Para ver um exemplo de política, consulte [Permitir que usuários do IAM acessem a página do console de relatórios](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-billing-view-reports) no *Guia do usuário de faturamento*.  | 
|  `aws-portal:ModifyBilling`  |  Permitir ou negar permissão aos usuários do para modificar as seguintes páginas do console de Gerenciamento de faturamento e custos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/cost-management/latest/userguide/billing-permissions-ref.html) Para permitir que os usuários do `ModifyBilling` modifiquem essas páginas do console, é necessário permitir o e o `ViewBilling`. Para visualizar um exemplo de política, consulte [Permitir que os usuários modifiquem as informações de faturamento](billing-example-policies.md#example-billing-deny-modifybilling).  | 
|  `aws-portal:ViewAccount`  |  Permitir ou negar permissão aos usuários do para visualizar as seguintes páginas do console de Gerenciamento de faturamento e custos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/cost-management/latest/userguide/billing-permissions-ref.html)  | 
| aws-portal:ModifyAccount |  Permitir ou negar permissão aos usuários para modificar as [Configurações da conta](https://portal.aws.amazon.com/billing/home#/account). Para permitir que os usuários do `ModifyAccount` modifiquem as configurações da conta, é necessário permitir o e o `ViewAccount`. Para obter um exemplo de uma política que nega explicitamente o acesso à página do console de **Configurações da conta**, consulte [Recusar o acesso às configurações da conta, mas permitir acesso total a todas as outras informações de faturamento e uso](billing-example-policies.md#example-billing-deny-modifyaccount).   | 
| budgets:ViewBudget |  Permitir ou negar permissão aos usuários do para visualizar [Orçamentos](https://portal.aws.amazon.com/billing/home#/budgets). Para permitir que os usuários visualizem orçamentos, também é necessário permitir `ViewBilling`.  | 
| budgets:ModifyBudget |  Permitir ou negar permissão aos usuários do para modificar [Orçamentos](https://portal.aws.amazon.com/billing/home#/budgets). Para permitir que os usuários do visualizem e modifiquem orçamentos, também é necessário permitir `ViewBilling`.  | 
| ce:GetPreferences |  Permitir ou negar aos usuários permissões para visualizar a página de preferências do Explorador de Custos. Para visualizar um exemplo de política, consulte [Visualizar e atualizar a página de preferências do Explorador de Custos](billing-example-policies.md#example-view-update-ce).  | 
| ce:UpdatePreferences |  Permitir ou negar aos usuários permissões para atualizar a página de preferências do Explorador de Custos. Para visualizar um exemplo de política, consulte [Visualizar e atualizar a página de preferências do Explorador de Custos](billing-example-policies.md#example-view-update-ce).  | 
| ce:DescribeReport |  Permitir ou negar aos usuários permissões para visualizar a página de relatórios do Explorador de Custos. Para visualizar um exemplo de política, consulte [Visualizar, criar, atualizar e excluir usando a página de relatórios do Explorador de Custos](billing-example-policies.md#example-view-ce-reports).  | 
| ce:CreateReport |  Permitir ou negar aos usuários permissões para criar relatórios usando a página de relatórios do Explorador de Custos. Para visualizar um exemplo de política, consulte [Visualizar, criar, atualizar e excluir usando a página de relatórios do Explorador de Custos](billing-example-policies.md#example-view-ce-reports).  | 
| ce:UpdateReport |  Permitir ou negar aos usuários permissões para atualizar usando a página de relatórios do Explorador de Custos. Para visualizar um exemplo de política, consulte [Visualizar, criar, atualizar e excluir usando a página de relatórios do Explorador de Custos](billing-example-policies.md#example-view-ce-reports).  | 
| ce:DeleteReport |  Permitir ou negar aos usuários permissões para excluir relatórios usando a página de relatórios do Explorador de Custos. Para visualizar um exemplo de política, consulte [Visualizar, criar, atualizar e excluir usando a página de relatórios do Explorador de Custos](billing-example-policies.md#example-view-ce-reports).  | 
| ce:DescribeNotificationSubscription |  Permitir ou negar aos usuários do IAM permissões para visualizar alertas de validade de reservas do Explorador de Custos na página de visão geral da reserva. Para visualizar um exemplo de política, consulte [Exibir, criar, atualizar e excluir alertas de reserva e dos Savings Plans](billing-example-policies.md#example-view-ce-expiration).  | 
| ce:CreateNotificationSubscription |  Permitir ou negar aos usuários permissões para criar alertas de validade de reservas do Explorador de Custos na página de visão geral da reserva. Para visualizar um exemplo de política, consulte [Exibir, criar, atualizar e excluir alertas de reserva e dos Savings Plans](billing-example-policies.md#example-view-ce-expiration).  | 
| ce:UpdateNotificationSubscription |  Permitir ou negar aos usuários permissões para atualizar alertas de validade de reservas do Explorador de Custos na página de visão geral da reserva. Para visualizar um exemplo de política, consulte [Exibir, criar, atualizar e excluir alertas de reserva e dos Savings Plans](billing-example-policies.md#example-view-ce-expiration).  | 
| ce:DeleteNotificationSubscription |  Permitir ou negar aos usuários permissões para excluir alertas de validade de reservas do Explorador de Custos na página de visão geral da reserva. Para visualizar um exemplo de política, consulte [Exibir, criar, atualizar e excluir alertas de reserva e dos Savings Plans](billing-example-policies.md#example-view-ce-expiration).  | 
| ce:CreateCostCategoryDefinition |  Permitir ou negar permissões de usuários do para criar categorias de custos.  Para ver um exemplo de política, consulte [Visualizar e gerenciar categorias de custo](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-policy-cc-api) no *Guia do usuário de faturamento*. É possível adicionar tags de recurso aos monitores durante a `Create`. Para criar monitores com tags de recursos, é necessário ter a permissão `ce:TagResource`.  | 
| ce:DeleteCostCategoryDefinition |  Permitir ou negar permissões de usuários do para excluir categorias de custos.  Para ver um exemplo de política, consulte [Visualizar e gerenciar categorias de custo](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-policy-cc-api) no *Guia do usuário de faturamento*.  | 
| ce:DescribeCostCategoryDefinition |  Permitir ou negar permissões de usuários do para visualizar as categorias de custos.  Para ver um exemplo de política, consulte [Visualizar e gerenciar categorias de custo](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-policy-cc-api) no *Guia do usuário de faturamento*.  | 
| ce:ListCostCategoryDefinitions |  Permitir ou negar permissões de usuários do para listar as categorias de custos.  Para ver um exemplo de política, consulte [Visualizar e gerenciar categorias de custo](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-policy-cc-api) no *Guia do usuário de faturamento*.  | 
| ce:ListTagsForResource |  Conceda ou negue aos usuários permissão para listar todas as tags de recurso para determinado recurso. Para ver uma lista dos recursos compatíveis, consulte [ResourceTag](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_ResourceTag.html)a *Referência Gerenciamento de Faturamento e Custos da AWS da API*.  | 
| ce:UpdateCostCategoryDefinition |  Permitir ou negar permissões de usuários do para atualizar as categorias de custos.  Para ver um exemplo de política, consulte [Visualizar e gerenciar categorias de custo](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html#example-policy-cc-api) no *Guia do usuário de faturamento*.  | 
| ce:CreateAnomalyMonitor |  Permitir ou negar permissões aos usuários para criar um único monitor de [Detecção de Anomalias em Custos da AWS](manage-ad.md). É possível adicionar tags de recurso aos monitores durante a `Create`. Para criar monitores com tags de recursos, é necessário ter a permissão `ce:TagResource`.  | 
| ce:GetAnomalyMonitors |  Permitir ou negar permissões aos usuários para visualizar todos os monitores de [Detecção de Anomalias em Custos da AWS](manage-ad.md).  | 
| ce:UpdateAnomalyMonitor |  Permitir ou negar permissões aos usuários para atualizar os monitores de [Detecção de Anomalias em Custos da AWS](manage-ad.md).  | 
| ce:DeleteAnomalyMonitor |  Permitir ou negar permissões aos usuários para excluir os monitores de [Detecção de Anomalias em Custos da AWS](manage-ad.md).  | 
| ce:CreateAnomalySubscription |  Permitir ou negar permissões aos usuários para criar uma única assinatura para [Detecção de Anomalias em Custos da AWS](manage-ad.md). É possível adicionar tags de recurso às assinaturas durante a `Create`. Para criar assinaturas com tags de recursos, é necessário ter a permissão `ce:TagResource`.  | 
| ce:GetAnomalySubscriptions |  Permitir ou negar permissões aos usuários para visualizar todas as assinaturas para [Detecção de Anomalias em Custos da AWS](manage-ad.md).  | 
| ce:UpdateAnomalySubscription |  Permitir ou negar permissões aos usuários para atualizar as assinaturas para [Detecção de Anomalias em Custos da AWS](manage-ad.md).  | 
| ce:DeleteAnomalySubscription |  Permitir ou negar permissões aos usuários para excluir as assinaturas para [Detecção de Anomalias em Custos da AWS](manage-ad.md).  | 
| ce:GetAnomalies |  Permitir ou negar permissões aos usuários para visualizar todas as anomalias na [Detecção de Anomalias em Custos da AWS](manage-ad.md).  | 
| ce:ProvideAnomalyFeedback |  Permitir ou negar permissões aos usuários para fornecer feedback sobre uma anomalia detectada na [Detecção de Anomalias em Custos da AWS](manage-ad.md).  | 
| ce:TagResource |  Conceda ou negue aos usuários permissão para adicionar pares de chave-valor de tag de recurso a um recurso. Para ver uma lista dos recursos compatíveis, consulte [ResourceTag](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_ResourceTag.html)a *Referência Gerenciamento de Faturamento e Custos da AWS da API*.  | 
| ce:UntagResource |  Permita ou negue aos usuários permissões para excluir tags de recursos de um recurso. Para ver uma lista dos recursos compatíveis, consulte [ResourceTag](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_ResourceTag.html)a *Referência Gerenciamento de Faturamento e Custos da AWS da API*.  | 
| ce:GetCostAndUsageComparisons |  Permitir ou negar permissões aos usuários para recuperar comparações de custo e uso.  | 
| ce:GetCostComparisonDrivers |  Permitir ou negar permissões aos usuários para recuperar os fatores de custo da.  | 

## Políticas de ações recomendadas para faturamento e gestão de custos
<a name="allows-recommended-actions-access"></a>

Para começar com as ações recomendadas, você precisa ter a seguinte permissão básica:
+ `bcm-recommended-actions:ListRecommendedActions`

Permissões adicionais são então necessárias com base no tipo de ação recomendado. A tabela a seguir resume os diferentes tipos de ação recomendados e as permissões de política do IAM correspondentes necessárias para ver as ações recomendadas.

**nota**  
Mesmo com uma permissão de política do IAM concedida, o tipo de ação recomendado correspondente só é visto se a ação recomendada realmente se aplicar.


| Tipo de ação recomendado | Nome de permissão obrigatório | Description | 
| --- | --- | --- | 
| Método de pagamento expirado |  <pre>"bcm-recommended-actions:ListRecommendedActions",<br />"payments:ListPaymentPreferences",<br />"payments:GetPaymentInstrument"<br />                                </pre>  | Para ações recomendadas relacionadas a pagamentos. | 
| Método de pagamento inválido |  <pre>"bcm-recommended-actions:ListRecommendedActions",<br />"payments:ListPaymentPreferences",<br />"payments:GetPaymentInstrument"<br />                                </pre>  | Para ações recomendadas relacionadas a pagamentos. | 
| Pagamentos vencidos |  <pre>"bcm-recommended-actions:ListRecommendedActions",<br />"payments:GetPaymentStatus"</pre>  | Para ações recomendadas relacionadas a pagamentos. | 
| Pagamentos devidos |  <pre>"bcm-recommended-actions:ListRecommendedActions",<br />"payments:GetPaymentStatus"</pre>  | Para ações recomendadas relacionadas a pagamentos. | 
| Corrigir informações de registros fiscais |  <pre>"bcm-recommended-actions:ListRecommendedActions",<br />"tax:GetTaxRegistration"</pre>  | Para ações recomendadas relacionadas a configurações fiscais. | 
| Atualizar certificado de isenção fiscal |  <pre>"bcm-recommended-actions:ListRecommendedActions",<br />"tax:GetExemptions"</pre>  | Para ações recomendadas relacionadas a configurações fiscais. | 
| Migrar para permissões granulares |  <pre>"bcm-recommended-actions:ListRecommendedActions",<br />"aws-portal:GetConsoleActionSetEnforced",<br />"ce:GetConsoleActionSetEnforced",<br />"purchase-orders:GetConsoleActionSetEnforced"<br /></pre>  | Para ações recomendadas relacionadas às permissões do IAM. | 
| Analisar alertas de orçamento |  <pre>"bcm-recommended-actions:ListRecommendedActions",<br />"budgets:DescribeBudgetNotificationsForAccount",<br />"budgets:DescribeBudget"</pre>  | Para ações recomendadas relacionadas a orçamentos. | 
| Orçamentos de revisão excedidos |  <pre>"bcm-recommended-actions:ListRecommendedActions",<br />"budgets:DescribeBudgets"</pre>  | Para ações recomendadas relacionadas a orçamentos. | 
| Analisar alertas de uso do nível gratuito\$1 |  <pre>"bcm-recommended-actions:ListRecommendedActions",<br />"freetier:GetFreeTierUsage"</pre>  | cPara ações recomendadas relacionadas ao Nível gratuito. | 
| Analisar anomalias |  <pre>"bcm-recommended-actions:ListRecommendedActions",<br />"ce:GetAnomalies"</pre>  | Para ações recomendadas relacionadas à detecção de anomalias de custos. | 
| Analisar reservas que estão prestes a expirar |  <pre>"bcm-recommended-actions:ListRecommendedActions",<br />"ce:GetReservationUtilization"</pre>  | Para ações recomendadas relacionadas à otimização de custos. | 
| Analisar Savings Plans que estão prestes a expirar |  <pre>"bcm-recommended-actions:ListRecommendedActions",<br />"ce:GetSavingsPlansUtilizationDetails"</pre>  | Para ações recomendadas relacionadas à otimização de custos. | 
| Analise as recomendações de oportunidades de economia |  <pre>"bcm-recommended-actions:ListRecommendedActions",<br />"cost-optimization-hub:ListEnrollmentStatuses",<br />"cost-optimization-hub:ListRecommendationSummaries"<br />                                </pre>  | Para ações recomendadas relacionadas à otimização de custos. | 
| Habilitar o Hub de Otimização de Custos |  <pre>"bcm-recommended-actions:ListRecommendedActions",<br />"cost-optimization-hub:ListEnrollmentStatuses"</pre>  | Para ações recomendadas relacionadas à otimização de custos. | 
| Criar um orçamento |  <pre>"bcm-recommended-actions:ListRecommendedActions",<br />"budgets:DescribeBudgets"</pre>  | Para ações recomendadas relacionadas a orçamentos. | 
| Criar um orçamento de reserva |  <pre>"bcm-recommended-actions:ListRecommendedActions",<br />"budgets:DescribeBudgets",<br />"ce:GetReservationUtilization"</pre>  | Para ações recomendadas relacionadas a orçamentos. | 
| Criar um orçamento do Savings Plans |  <pre>"bcm-recommended-actions:ListRecommendedActions",<br />"budgets:DescribeBudgets",<br />"ce:GetSavingsPlansUtilizationDetails"</pre>  | Para ações recomendadas relacionadas a orçamentos. | 
| Adicionar um contato alternativo de cobrança |  <pre>"bcm-recommended-actions:ListRecommendedActions",<br />"account:GetAlternateContact"</pre>  | Para ações recomendadas relacionadas à conta. | 
| Criar um monitor de anomalias |  <pre>"bcm-recommended-actions:ListRecommendedActions",<br />"ce:GetAnomalyMonitors"</pre>  | Para ações recomendadas relacionadas à detecção de anomalias de custos. | 

## Políticas gerenciadas
<a name="managed-policies"></a>

**nota**  
As seguintes ações AWS Identity and Access Management (IAM) chegaram ao fim do suporte padrão em julho de 2023:  
Namespace do `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Se você estiver usando AWS Organizations, poderá usar os [scripts do migrador de políticas em massa](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html) para atualizar as políticas da sua conta de pagador. Você também poderá usar a [referência de mapeamento de ações antigas para granulares](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html) para verificar as ações do IAM que precisam ser adicionadas.  
Para obter mais informações, consulte o blog [Alterações no AWS faturamento, no gerenciamento de AWS custos e nas permissões dos consoles de contas](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/).  
Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.

As políticas gerenciadas são políticas autônomas baseadas em identidade que você pode anexar a vários usuários, grupos e funções em sua conta. AWS Você pode usar políticas AWS gerenciadas para controlar o acesso no Billing and Cost Management.

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns. AWS as políticas gerenciadas facilitam a atribuição de permissões apropriadas a usuários, grupos e funções do que se você mesmo tivesse que escrever as políticas.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. AWS ocasionalmente atualiza as permissões definidas em uma política AWS gerenciada. Quando isso ocorre, a atualização afetará todas as entidades principais (usuários, grupos e perfis) às quais a política está anexada.

O Billing and Cost Management fornece AWS várias políticas gerenciadas para casos de uso comuns.

**Topics**
+ [Permite acesso total aos AWS orçamentos, incluindo ações orçamentárias](#budget-managedIAM-full)
+ [Permite acesso somente para leitura aos AWS orçamentos](#budget-managedIAM-read-only)
+ [Permite que a AWS Budgets ligue para os serviços necessários para verificar o acesso à visualização do faturamento](#budget-managedIAM-billing-view)
+ [Permite permissão para controlar AWS recursos](#budget-managedIAM-SSM)
+ [Permite que o Hub de Otimização de Custos acesse os serviços necessários para o funcionamento correto do serviço.](#cost-optimization-hub-managedIAM)
+ [Concede acesso somente leitura ao Hub de Otimização de Custos](#cost-optimization-hub-read-only)
+ [Concede acesso de administrador ao Hub de Otimização de Custos](#cost-optimization-hub-admin)
+ [Permite que os dados de alocação de custos divididos chamem os serviços necessários para o funcionamento do serviço.](#split-cost-allocation-data-managedIAM)
+ [Permite que as exportações de dados acessem outros AWS serviços](#data-exports-managedIAM)

### Permite acesso total aos AWS orçamentos, incluindo ações orçamentárias
<a name="budget-managedIAM-full"></a>

Nome da política gerenciada: `AWSBudgetsActionsWithAWSResourceControlAccess`

Essa política gerenciada é focada no usuário, garantindo que você tenha as permissões adequadas para conceder permissão à AWS Budgets para executar as ações definidas. Essa política fornece acesso total aos AWS orçamentos, incluindo ações orçamentárias, para recuperar o status de suas políticas e executar recursos usando o. AWS Console de gerenciamento da AWS

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "budgets:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "budgets.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ModifyBilling",
                "ec2:DescribeInstances",
                "iam:ListGroups",
                "iam:ListPolicies",
                "iam:ListRoles",
                "iam:ListUsers",
                "organizations:ListAccounts",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListPolicies",
                "organizations:ListRoots",
                "rds:DescribeDBInstances",
                "sns:ListTopics"
            ],
            "Resource": "*"
        }
    ]
}
```

------

### Permite acesso somente para leitura aos AWS orçamentos
<a name="budget-managedIAM-read-only"></a>

Nome da política gerenciada: `AWSBudgetsReadOnlyAccess`

Essa política gerenciada permite acesso somente de leitura aos AWS orçamentos por meio do. Console de gerenciamento da AWS A política pode ser vinculada aos seus usuários, grupos e perfis.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement" : [
    {
      "Sid": "AWSBudgetsReadOnlyAccess",
      "Effect" : "Allow",
      "Action" : [
        "aws-portal:ViewBilling",
        "budgets:ViewBudget",
        "budgets:Describe*",
        "budgets:ListTagsForResource"
      ],
      "Resource" : "*"
    }
  ]
}
```

------

### Permite que a AWS Budgets ligue para os serviços necessários para verificar o acesso à visualização do faturamento
<a name="budget-managedIAM-billing-view"></a>

Nome da política gerenciada: `BudgetsServiceRolePolicy`

Permite que AWS os orçamentos verifiquem o acesso às visualizações de faturamento compartilhadas entre os limites da conta.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "billing:GetBillingViewData"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Para obter mais informações, consulte [Perfis vinculados ao serviço para o Budgets](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-SLR.html).

### Permite permissão para controlar AWS recursos
<a name="budget-managedIAM-SSM"></a>

Nome da política gerenciada: `AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM`

Essa política gerenciada se concentra em ações específicas que a AWS Budgets realiza em seu nome ao concluir uma ação específica. Essa política dá permissão para controlar AWS recursos. Por exemplo, inicia e interrompe instâncias do Amazon EC2 ou do Amazon RDS executando scripts do AWS Systems Manager (SSM).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstanceStatus",
                "ec2:StartInstances",
                "ec2:StopInstances",
                "rds:DescribeDBInstances",
                "rds:StartDBInstance",
                "rds:StopDBInstance"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "ssm.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartAutomationExecution"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:document/AWS-StartEC2Instance",
                "arn:aws:ssm:*:*:document/AWS-StopEC2Instance",
                "arn:aws:ssm:*:*:document/AWS-StartRdsInstance",
                "arn:aws:ssm:*:*:document/AWS-StopRdsInstance",
                "arn:aws:ssm:*:*:automation-execution/*"
            ]
        }
    ]
}
```

------

### Permite que o Hub de Otimização de Custos acesse os serviços necessários para o funcionamento correto do serviço.
<a name="cost-optimization-hub-managedIAM"></a>

Nome da política gerenciada: `CostOptimizationHubServiceRolePolicy`

Permite que o Hub de Otimização de Custos recupere informações da organização e colete dados e metadados relacionados à otimização.

Para visualizar as permissões para esta política, consulte [CostOptimizationHubServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CostOptimizationHubServiceRolePolicy.html) no *Guia de referência de políticas gerenciadas pela AWS *.

Para obter mais informações, consulte [Perfis vinculados a serviços para o Hub de Otimização de Custos](https://docs.aws.amazon.com/cost-management/latest/userguide/cost-optimization-hub-SLR.html).

### Concede acesso somente leitura ao Hub de Otimização de Custos
<a name="cost-optimization-hub-read-only"></a>

Nome da política gerenciada: `CostOptimizationHubReadOnlyAccess`

Esta política gerenciada fornece acesso somente leitura ao Hub de Otimização de Custos.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CostOptimizationHubReadOnlyAccess",
            "Effect": "Allow",
            "Action": [
                "cost-optimization-hub:ListEnrollmentStatuses",
                "cost-optimization-hub:GetPreferences",
                "cost-optimization-hub:GetRecommendation",
                "cost-optimization-hub:ListRecommendations",
                "cost-optimization-hub:ListRecommendationSummaries"
            ],
            "Resource": "*"
        }
    ]
}
```

------

### Concede acesso de administrador ao Hub de Otimização de Custos
<a name="cost-optimization-hub-admin"></a>

Nome da política gerenciada: `CostOptimizationHubAdminAccess`

Essa política gerenciada fornece acesso administrativo ao Hub de Otimização de Custos.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CostOptimizationHubAdminAccess",
            "Effect": "Allow",
            "Action": [
                "cost-optimization-hub:ListEnrollmentStatuses",
                "cost-optimization-hub:UpdateEnrollmentStatus",
                "cost-optimization-hub:GetPreferences",
                "cost-optimization-hub:UpdatePreferences",
                "cost-optimization-hub:GetRecommendation",
                "cost-optimization-hub:ListRecommendations",
                "cost-optimization-hub:ListRecommendationSummaries",
                "organizations:EnableAWSServiceAccess"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowCreationOfServiceLinkedRoleForCostOptimizationHub",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/cost-optimization-hub.bcm.amazonaws.com/AWSServiceRoleForCostOptimizationHub"
            ],
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "cost-optimization-hub.bcm.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AllowAWSServiceAccessForCostOptimizationHub",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "organizations:ServicePrincipal": [
                        "cost-optimization-hub.bcm.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

### Permite que os dados de alocação de custos divididos chamem os serviços necessários para o funcionamento do serviço.
<a name="split-cost-allocation-data-managedIAM"></a>

Nome da política gerenciada: `SplitCostAllocationDataServiceRolePolicy`

Permite que dados de alocação de custos divididos recuperem informações da AWS Organizations, se aplicável, e coletem dados de telemetria para os serviços de dados de alocação de custos divididos que o cliente optou por usar.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AwsOrganizationsAccess",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListParents"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonManagedServiceForPrometheusAccess",
            "Effect": "Allow",
            "Action": [
                "aps:ListWorkspaces",
                "aps:QueryMetrics"
            ],
            "Resource": "*"
        }
    ]
}
```

------

Para obter mais informações, consulte [Perfis vinculados ao serviço para dados de alocação de custos divididos](https://docs.aws.amazon.com/cost-management/latest/userguide/split-cost-allocation-data-SLR.html).

### Permite que as exportações de dados acessem outros AWS serviços
<a name="data-exports-managedIAM"></a>

Nome da política gerenciada: `AWSBCMDataExportsServiceRolePolicy`

Permite que as exportações de dados acessem outros AWS serviços, como o Cost Optimization Hub, em seu nome.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CostOptimizationRecommendationAccess",
            "Effect": "Allow",
            "Action":  [
                "cost-optimization-hub:ListEnrollmentStatuses",
                "cost-optimization-hub:ListRecommendations"
            ],
            "Resource": "*" 
        }
    ]
}
```

------

Para obter mais informações, consulte [Perfis vinculados ao serviço para exportações de dados](https://docs.aws.amazon.com/cost-management/latest/userguide/data-exports-SLR.html).

## AWS Atualizações do gerenciamento de custos nas políticas AWS gerenciadas
<a name="updates-managedIAM"></a>

Veja detalhes sobre as atualizações das políticas AWS gerenciadas para gerenciamento de AWS custos desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página de [histórico de documentos](https://docs.aws.amazon.com/cost-management/latest/userguide/doc-history.html) de gerenciamento de AWS custos.


****  

| Alteração | Descrição | Data | 
| --- | --- | --- | 
|  Atualizar a política existente [AWSBudgetsActions\$1RolePolicyForResourceAdministrationWithSSM](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#budget-managedIAM-SSM)  | Atualizamos a política com requisitos automation-execution e document permissões de usossm:StartAutomationExecution. | 04/07/2026 | 
|  Atualização nas políticas existentes [CostOptimizationHubReadOnlyAccess](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-read-only) [CostOptimizationHubAdminAccess](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-admin)  | Atualizamos a política para adicionar a ação "cost-optimization-hub:ListEfficiencyMetrics". | 20/11/2025 | 
|  Adição de uma nova política [BudgetsServiceRolePolicy](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#budget-managedIAM-billing-view)  | A Budgets adicionou uma nova política para ser usada com funções vinculadas a serviços, o que permite o acesso aos AWS serviços e recursos usados ou gerenciados pela Budgets. | 08/06/2025 | 
|  Atualizar a política existente [CostOptimizationHubServiceRolePolicy](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-managedIAM)  | Atualizamos a política para adicionar a ação ce:GetDimensionValues. | 23/07/2025 | 
|  Atualizar a política existente [CostOptimizationHubServiceRolePolicy](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-managedIAM)  | Atualizamos a política para adicionar as ações organizations:ListDelegatedAdministrators e ce:GetCostAndUsage. | 07/05/2024 | 
|  Atualizar a política existente [AWSBudgetsReadOnlyAccess](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#budget-managedIAM-read-only)  | Atualizamos a política para adicionar a ação budgets:ListTagsForResource. | 17/06/2024 | 
|  Adição de uma nova política [AWSBCMDataExportsServiceRolePolicy](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#data-exports-managedIAM)  | A Data Exports adicionou uma nova política para ser usada com funções vinculadas a serviços, o que permite o acesso a outros AWS serviços, como o Cost Optimization Hub. | 06/10/2024 | 
|  Adição de uma nova política [SplitCostAllocationDataServiceRolePolicy](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#split-cost-allocation-data-managedIAM)  | Os dados de alocação de custos divididos adicionaram uma nova política a ser usada com funções vinculadas a serviços, que permite o acesso a AWS serviços e recursos usados ou gerenciados por dados de alocação de custos divididos. | 16/04/2024 | 
|  Atualizar a política existente [AWSBudgetsActions\$1RolePolicyForResourceAdministrationWithSSM](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#budget-managedIAM-SSM)  | Atualizamos a política com permissões limitadas. A ação ssm:StartAutomationExecution só é permitida para recursos específicos usados pelas ações de Orçamento. | 14/12/2023 | 
|  Atualização nas políticas existentes [CostOptimizationHubReadOnlyAccess](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-read-only) [CostOptimizationHubAdminAccess](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-admin)  | O Hub de Otimização de Custos atualizou as duas seguintes políticas gerenciadas:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/cost-management/latest/userguide/billing-permissions-ref.html) | 14/12/2023 | 
|  Adição de uma nova política [CostOptimizationHubServiceRolePolicy](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-managedIAM)  | O Cost Optimization Hub adicionou uma nova política para ser usada com funções vinculadas a serviços, que permite o acesso aos AWS serviços e recursos usados ou gerenciados pelo Cost Optimization Hub. | 11/02/2023 | 
| AWS O Cost Management começou a monitorar as mudanças | AWS A Cost Management começou a monitorar as mudanças em suas políticas AWS gerenciadas | 11/02/2023 | 

# AWS Exemplos de políticas de gerenciamento de custos
<a name="billing-example-policies"></a>

**nota**  
As seguintes ações AWS Identity and Access Management (IAM) chegaram ao fim do suporte padrão em julho de 2023:  
Namespace do `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Se você estiver usando AWS Organizations, poderá usar os [scripts do migrador de políticas em massa](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html) para atualizar as políticas da sua conta de pagador. Você também poderá usar a [referência de mapeamento de ações antigas para granulares](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html) para verificar as ações do IAM que precisam ser adicionadas.  
Para obter mais informações, consulte o blog [Alterações no AWS faturamento, no gerenciamento de AWS custos e nas permissões dos consoles de contas](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/).  
Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.

Este tópico contém exemplos de políticas que podem ser anexadas ao grupo ou perfil do IAM para controlar o acesso às informações de faturamento e ferramentas da sua conta. As seguintes regras básicas se aplicam às políticas do IAM para o Gerenciamento de Faturamento e Custos:
+ `Version` é sempre `2012-10-17`.
+ `Effect` é sempre `Allow` ou `Deny`.
+ `Action` é o nome da ação ou um caractere curinga (`*`). 

  O prefixo da ação é `budgets` para AWS orçamentos, `cur` relatórios de AWS custo e uso, `aws-portal` AWS faturamento ou Cost `ce` Explorer.
+ `Resource`é sempre `*` para AWS cobrança.

  Para ações realizadas em um recurso `budget`, especifique o nome de recurso da Amazon (ARN) do orçamento.
+ É possível ter várias instruções em uma política.

Para ver uma lista de exemplos de políticas para o console de faturamento, consulte [Exemplos de políticas de cobrança](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html) no *Guia do usuário de faturamento*.

**nota**  
Essas políticas exigem que você ative o acesso de usuários ao console de Gerenciamento de Faturamento e Custos na página do console [Configurações da conta](https://portal.aws.amazon.com/billing/home#/account). Para obter mais informações, consulte [Ativar o acesso ao console do Gerenciamento de Faturamento e Custos](control-access-billing.md#ControllingAccessWebsite-Activate).

**Topics**
+ [Negar aos usuários acesso ao console do Gerenciamento de Faturamento e Custos](#example-billing-deny-all)
+ [Negar acesso ao widget de custo e uso do AWS console para contas de membros](#example-billing-deny-widget)
+ [Negar acesso ao widget de custo e uso do AWS console para usuários e funções específicos](#example-billing-deny-ce)
+ [Permita acesso total aos AWS serviços, mas negue aos usuários o acesso ao console Billing and Cost Management](#ExampleAllowAllDenyBilling)
+ [Permitir que os usuários visualizem o console do Gerenciamento de Faturamento e Custos, exceto as configurações da conta](#example-billing-read-only)
+ [Permitir que os usuários modifiquem as informações de faturamento](#example-billing-deny-modifybilling)
+ [Permitir que usuários criem orçamentos](#example-billing-allow-createbudgets)
+ [Recusar o acesso às configurações da conta, mas permitir acesso total a todas as outras informações de faturamento e uso](#example-billing-deny-modifyaccount)
+ [Depositar relatórios em um bucket do Amazon S3](#example-billing-s3-bucket)
+ [Visualizar custos e uso](#example-policy-ce-api)
+ [Ativar e desativar AWS regiões](#enable-disable-regions)
+ [Visualizar e atualizar a página de preferências do Explorador de Custos](#example-view-update-ce)
+ [Visualizar, criar, atualizar e excluir usando a página de relatórios do Explorador de Custos](#example-view-ce-reports)
+ [Exibir, criar, atualizar e excluir alertas de reserva e dos Savings Plans](#example-view-ce-expiration)
+ [Permita acesso somente para leitura à Detecção de anomalias de AWS custo](#example-policy-ce-ad)
+ [Permita que AWS os orçamentos apliquem políticas do IAM e SCPs](#example-budgets-IAM-SCP)
+ [Permita que AWS os orçamentos apliquem políticas e SCPs do IAM e visem instâncias do EC2 e do RDS](#example-budgets-applySCP)
+ [Permita que os usuários criem, listem e adicionem o uso às estimativas de workload na Calculadora de Preços](#example-pc-create-list-estimates)
+ [Permite que os usuários criem, listem e adicionem usos e compromissos aos cenários de faturamento na Calculadora de Preços](#example-pc-create-list-scenario)
+ [Permita que os usuários criem uma estimativa de fatura na Calculadora de Preços](#example-pc-create-bill-estimate)
+ [Permitie que usuários criem preferências na Calculadora de preços](#example-pc-create-preferences)
+ [Permite que os usuários criem, gerenciem e compartilhem visualizações personalizadas de faturamento](#example-billing-view)
+ [Permite que os usuários acessem o Explorador de Custos ao acessar uma visualização de faturamento personalizada específica](#example-custom-billing-view)

## Negar aos usuários acesso ao console do Gerenciamento de Faturamento e Custos
<a name="example-billing-deny-all"></a>

Para negar explicitamente que um usuário acesse todas as páginas do console do Gerenciamento de Faturamento e Custos, use uma política semelhante a este exemplo de política.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "aws-portal:*",
            "Resource": "*"
        }
    ]
}
```

------

## Negar acesso ao widget de custo e uso do AWS console para contas de membros
<a name="example-billing-deny-widget"></a>

Para restringir o acesso da conta de membro (vinculada) a dados de custo e uso, use sua conta de gerenciamento (pagador) para acessar a guia de preferências do Explorador de Custos e desmarque **Acesso à conta vinculada**. Isso negará o acesso aos dados de custo e uso do console do Cost Explorer (AWS Cost Management), da API Cost Explorer e do widget de custo e uso da página inicial do AWS console, independentemente das ações do IAM que o usuário ou a função da conta membro tenha.

## Negar acesso ao widget de custo e uso do AWS console para usuários e funções específicos
<a name="example-billing-deny-ce"></a>

Para negar o acesso ao widget de custo e uso do AWS console para usuários e funções específicos, use a política de permissões abaixo.

**nota**  
Adicionar essa política a um usuário ou função negará aos usuários o acesso ao console do Cost Explorer (AWS Cost Management) e ao Cost Explorer APIs .

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ce:*",
            "Resource": "*"
        }
    ]
}
```

------

## Permita acesso total aos AWS serviços, mas negue aos usuários o acesso ao console Billing and Cost Management
<a name="ExampleAllowAllDenyBilling"></a>

Para negar aos usuários o acesso a tudo no console do Gerenciamento de Faturamento e Custos, use a política a seguir. Nesse caso, você também deve negar o acesso do usuário ao AWS Identity and Access Management (IAM) para que os usuários não possam acessar as políticas que controlam o acesso às informações e ferramentas de cobrança.

**Importante**  
Esta política não permite qualquer ação. Use essa política em combinação com outras políticas que permitam ações específicas.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "aws-portal:*",
                "iam:*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Permitir que os usuários visualizem o console do Gerenciamento de Faturamento e Custos, exceto as configurações da conta
<a name="example-billing-read-only"></a>

Essa política concede acesso somente leitura a tudo do console do Gerenciamento de Faturamento e Custos, incluindo as páginas do console **Métodos de pagamento** e **Relatórios**, mas nega acesso à página **Configurações da conta**, protegendo, assim, a senha, as informações de contato e as perguntas de segurança da conta. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:View*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "aws-portal:*Account",
            "Resource": "*"
        }
    ]
}
```

------

## Permitir que os usuários modifiquem as informações de faturamento
<a name="example-billing-deny-modifybilling"></a>

Para permitir que usuários modifiquem as informações de faturamento da conta no console do Gerenciamento de Faturamento e Custos, também é necessário permitir que eles visualizem as informações de faturamento. O exemplo de política a seguir permite que um usuário modifique as páginas do console **Faturamento consolidado**, **Preferências** e **Créditos**. Ele também permite que um usuário visualize as seguintes páginas do console do Gerenciamento de Faturamento e Custos:
+ **Painel**
+ **Explorador de Custos**
+ **Faturas**
+ **Pedidos e faturas**
+ **Pagamento antecipado**

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:*Billing",
            "Resource": "*"
        }
    ]
}
```

------

## Permitir que usuários criem orçamentos
<a name="example-billing-allow-createbudgets"></a>

Para permitir que os usuários criem orçamentos no console Billing and Cost Management, você também deve permitir que os usuários visualizem suas informações de cobrança, CloudWatch criem alarmes e criem notificações do Amazon SNS. O exemplo de política a seguir permite que um usuário do modifique a página do console **Orçamento**.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Stmt1435216493000",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling",
                "aws-portal:ModifyBilling",
                "budgets:ViewBudget",
                "budgets:ModifyBudget"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "Stmt1435216514000",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "Stmt1435216552000",
            "Effect": "Allow",
            "Action": [
                "sns:*"
            ],
            "Resource": [
                "arn:aws:sns:us-east-1::"
            ]
        }
    ]
}
```

------

## Recusar o acesso às configurações da conta, mas permitir acesso total a todas as outras informações de faturamento e uso
<a name="example-billing-deny-modifyaccount"></a>

Para proteger a senha, as informações de contato e as perguntas de segurança da sua conta, é possível negar o acesso do usuário às **Configurações da conta** sem deixar de permitir o acesso completo ao restante da funcionalidade do console do Gerenciamento de Faturamento e Custos, como mostrado no exemplo a seguir.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:*Billing",
                "aws-portal:*Usage",
                "aws-portal:*PaymentMethods"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "aws-portal:*Account",
            "Resource": "*"
        }
    ]
}
```

------

## Depositar relatórios em um bucket do Amazon S3
<a name="example-billing-s3-bucket"></a>

A política a seguir permite que o Billing and Cost Management salve suas faturas AWS detalhadas em um bucket do Amazon S3, desde que você possua a conta AWS e o bucket do Amazon S3. Observe que essa política deve ser aplicada ao bucket do Amazon S3 e não a um usuário. Ou seja, é uma política baseada em recursos, não no usuário. Você deve negar o acesso ao bucket a usuários do que não precisam ter acesso às suas faturas.

Substitua *bucketname* pelo nome do seu bucket.

Para obter mais informações, consulte [Usar políticas de bucket e políticas de usuário](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-iam-policies.html) no *Guia do usuário do Amazon Simple Storage Service*.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
  {
    "Effect": "Allow",
    "Principal": {
      "Service": "billingreports.amazonaws.com"
    },
    "Action": [
      "s3:GetBucketAcl",
      "s3:GetBucketPolicy"
    ],
    "Resource": "arn:aws:s3:::bucketname"
  },
  {
    "Effect": "Allow",
    "Principal": {
      "Service": "billingreports.amazonaws.com"
    },
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::bucketname/*"
  }
  ]
}
```

------

## Visualizar custos e uso
<a name="example-policy-ce-api"></a>

Para permitir que os usuários usem a API AWS Cost Explorer, use a política a seguir para conceder acesso a eles.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ce:*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
```

------

## Ativar e desativar AWS regiões
<a name="enable-disable-regions"></a>

Para ver um exemplo de política do IAM que permite aos usuários ativar e desativar regiões, consulte [AWS: Permite ativar e desativar AWS regiões](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws-enable-disable-regions.html) no *Guia do usuário do IAM*. 

## Visualizar e atualizar a página de preferências do Explorador de Custos
<a name="example-view-update-ce"></a>

Essa política permite que um usuário visualize e atualize usando a **Página de preferências do Explorador de Custos**.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling",
        "ce:UpdatePreferences"
       ],
      "Resource": "*"
    }
  ]
}
```

------

A política a seguir permite que os usuários visualizem o Explorador de Custos, mas neguem permissão para exibir ou editar a página **Preferências**.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:GetPreferences",
                "ce:UpdatePreferences"
            ],
            "Resource": "*"
        }
    ]
}
```

------

A política a seguir permite que os usuários visualizem o Explorador de Custos, mas neguem permissão para editar a página **Preferências**.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:UpdatePreferences"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Visualizar, criar, atualizar e excluir usando a página de relatórios do Explorador de Custos
<a name="example-view-ce-reports"></a>

Essa política permite que um usuário visualize, crie, atualize e exclua usando a **Página de relatórios do Explorador de Custos**.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling",
        "ce:CreateReport",
        "ce:UpdateReport",
        "ce:DeleteReport"
       ],
      "Resource": "*"
    }
  ]
}
```

------

A política a seguir permite que os usuários visualizem o Explorador de Custos, mas neguem permissão para visualizar ou editar a página **Relatórios**.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:DescribeReport",
                "ce:CreateReport",
                "ce:UpdateReport",
                "ce:DeleteReport"
            ],
            "Resource": "*"
        }
    ]
}
```

------

A política a seguir permite que os usuários visualizem o Explorador de Custos, mas neguem permissão para editar a página **Relatórios**.

## Exibir, criar, atualizar e excluir alertas de reserva e dos Savings Plans
<a name="example-view-ce-expiration"></a>

Essa política permite que um usuário visualize, crie, atualize e exclua [alertas de validade de reserva](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ce-ris.html) e [alertas dos Savings Plans](https://docs.aws.amazon.com/savingsplans/latest/userguide/sp-overview.html#sp-alert). Para editar alertas de validade de reserva ou alertas dos Savings Plans, um usuário precisa de todas as três ações detalhadas: `ce:CreateNotificationSubscription`, `ce:UpdateNotificationSubscription` e `ce:DeleteNotificationSubscription`.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling",
        "ce:CreateNotificationSubscription",
        "ce:UpdateNotificationSubscription",
        "ce:DeleteNotificationSubscription"
       ],
      "Resource": "*"
    }
  ]
}
```

------

A política a seguir permite que os usuários visualizem o Explorador de Custos, mas neguem permissão para visualizar ou editar as páginas **Alertas de validade de reservas** e **Alerta dos Savings Plans**.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:DescribeNotificationSubscription",
                "ce:CreateNotificationSubscription",
                "ce:UpdateNotificationSubscription",
                "ce:DeleteNotificationSubscription"
            ],
            "Resource": "*"
        }
    ]
}
```

------

A política a seguir permite que os usuários visualizem o Explorador de Custos, mas neguem permissão para editar as páginas **Alertas de validade de reservas** e **Alerta dos Savings Plans**.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": [
                "ce:CreateNotificationSubscription",
                "ce:UpdateNotificationSubscription",
                "ce:DeleteNotificationSubscription"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Permita acesso somente para leitura à Detecção de anomalias de AWS custo
<a name="example-policy-ce-ad"></a>

Para permitir que os usuários tenham acesso somente para leitura à Detecção de anomalias de AWS custo, use a política a seguir para conceder acesso a eles. `ce:ProvideAnomalyFeedback`é opcional como parte do acesso somente para leitura.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "ce:Get*"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}
```

------

## Permita que AWS os orçamentos apliquem políticas do IAM e SCPs
<a name="example-budgets-IAM-SCP"></a>

Essa política permite que a AWS Budgets aplique políticas do IAM e políticas de controle de serviços (SCPs) em nome do usuário.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:AttachGroupPolicy",
        "iam:AttachRolePolicy",
        "iam:AttachUserPolicy",
        "iam:DetachGroupPolicy",
        "iam:DetachRolePolicy",
        "iam:DetachUserPolicy",
        "organizations:AttachPolicy",
        "organizations:DetachPolicy"
      ],
      "Resource": "*"
    }
  ]
}
```

------

## Permita que AWS os orçamentos apliquem políticas e SCPs do IAM e visem instâncias do EC2 e do RDS
<a name="example-budgets-applySCP"></a>

Essa política permite que a AWS Budgets aplique políticas do IAM e políticas de controle de serviços (SCPs) e vise instâncias do Amazon EC2 e do Amazon RDS em nome do usuário.

Política de confiança

**nota**  
Essa política de confiança permite que a AWS Budgets assuma uma função que pode chamar outros serviços em seu nome. Para obter mais informações sobre as melhores práticas para permissões entre serviços como essa, consulte [Prevenção contra o ataque do “substituto confuso” em todos os serviços](cross-service-confused-deputy-prevention.md).

------
#### [ JSON ]

****  

```
{
"Version":"2012-10-17",		 	 	 
"Statement": [
  {
    "Effect": "Allow",
    "Principal": {
      "Service": "budgets.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:budgets::123456789012:budget/*"
      },
      "StringEquals": {
        "aws:SourceAccount": "123456789012"
      }
    }
  }
]
}
```

------

Política de permissões

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstanceStatus",
        "ec2:StartInstances",
        "ec2:StopInstances",
        "iam:AttachGroupPolicy",
        "iam:AttachRolePolicy",
        "iam:AttachUserPolicy",
        "iam:DetachGroupPolicy",
        "iam:DetachRolePolicy",
        "iam:DetachUserPolicy",
        "organizations:AttachPolicy",
        "organizations:DetachPolicy",
        "rds:DescribeDBInstances",
        "rds:StartDBInstance",
        "rds:StopDBInstance",
        "ssm:StartAutomationExecution"
      ],
      "Resource": "*"
    }
  ]
}
```

------

## Permita que os usuários criem, listem e adicionem o uso às estimativas de workload na Calculadora de Preços
<a name="example-pc-create-list-estimates"></a>

Essa política permite que os usuários do IAM criem, listem e adicionem o uso às estimativas de workload, junto com permissões para consultar dados do Explorador de Custos para obter dados históricos de custo e uso.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "WorkloadEstimate",
            "Effect": "Allow",
            "Action": [
                "ce:GetCostCategories",
                "ce:GetDimensionValues",
                "ce:GetCostAndUsage",
                "ce:GetTags",
                "bcm-pricing-calculator:GetWorkloadEstimate",
                "bcm-pricing-calculator:ListWorkloadEstimateUsage",
                "bcm-pricing-calculator:CreateWorkloadEstimate",
                "bcm-pricing-calculator:ListWorkloadEstimates",
                "bcm-pricing-calculator:CreateWorkloadEstimateUsage",
                "bcm-pricing-calculator:UpdateWorkloadEstimateUsage"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Permite que os usuários criem, listem e adicionem usos e compromissos aos cenários de faturamento na Calculadora de Preços
<a name="example-pc-create-list-scenario"></a>

Essa política permite que os usuários do IAM criem, listem e adicionem uso e compromissos a cenários de faturamento. Permissões do Explorador de Custos não são adicionadas, então você não poderá carregar dados históricos. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "BillScenario",
            "Effect": "Allow",
            "Action": [
                "bcm-pricing-calculator:CreateBillScenario",
                "bcm-pricing-calculator:GetBillScenario",
                "bcm-pricing-calculator:ListBillScenarios",
                "bcm-pricing-calculator:CreateBillScenarioUsageModification", 
                "bcm-pricing-calculator:UpdateBillScenarioUsageModification",  
                "bcm-pricing-calculator:ListBillScenarioUsageModifications",
                  
                "bcm-pricing-calculator:ListBillScenarioCommitmentModifications"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Permita que os usuários criem uma estimativa de fatura na Calculadora de Preços
<a name="example-pc-create-bill-estimate"></a>

Essa política permite que os usuários do IAM criem uma estimativa de fatura e listem itens de linha de estimativa de fatura. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "BillEstimate",
            "Effect": "Allow",
            "Action": [
                "bcm-pricing-calculator:CreateBillEstimate",
                "bcm-pricing-calculator:GetBillEstimate",
                "bcm-pricing-calculator:UpdateBillEstimate",
                "bcm-pricing-calculator:ListBillEstimates",
                "bcm-pricing-calculator:ListBillEstimateLineItems",
                "bcm-pricing-calculator:ListBillEstimateCommitments",
                "bcm-pricing-calculator:ListBillEstimateInputUsageModifications",
                "bcm-pricing-calculator:ListBillEstimateInputCommitmentModifications"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Permitie que usuários criem preferências na Calculadora de preços
<a name="example-pc-create-preferences"></a>

Essa política permite que os usuários do IAM criem e obtenham preferências de tarifa. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "RatePreferences",
            "Effect": "Allow",
            "Action": [
                "bcm-pricing-calculator:GetPreferences",
                "bcm-pricing-calculator:UpdatePreferences"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Permite que os usuários criem, gerenciem e compartilhem visualizações personalizadas de faturamento
<a name="example-billing-view"></a>

Essa política permite que os usuários do IAM criem, gerenciem e compartilhem visualizações personalizadas de faturamento. Eles precisarão da capacidade de criar e gerenciar visualizações de faturamento personalizadas usando o Billing View e de criar e associar compartilhamentos de AWS recursos usando o Resource Access Manager (AWS RAM).

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
        {
           "Effect": "Allow",
           "Action": [
               "billing:CreateBillingView",
               "billing:UpdateBillingView",
               "billing:DeleteBillingView",
               "billing:GetBillingView",
               "billing:ListBillingViews",
               "billing:ListTagsForResource",
               "billing:PutResourcePolicy",
               "ce:GetCostAndUsage",
               "ce:GetTags",
               "organizations:ListAccounts",
               "ram:ListResources",
               "ram:ListPermissions",
               "ram:CreateResourceShare",
               "ram:AssociateResourceShare",
               "ram:GetResourceShares",
               "ram:GetResourceShareAssociations",
               "ram:ListResourceSharePermissions",
               "ram:ListResourceTypes",
               "ram:ListPrincipals",
               "ram:DisassociateResourceShare"
           ],
           "Resource": "*"
       }
   ]
}
```

------

## Permite que os usuários acessem o Explorador de Custos ao acessar uma visualização de faturamento personalizada específica
<a name="example-custom-billing-view"></a>

Essa política permite que os usuários do IAM acessem o explorador de custos ao acessar uma visualização de faturamento personalizada específica (`custom-1a2b3c4d`). `123456789012`Substitua pelo ID da AWS conta de 12 dígitos e `1a2b3c4d` pelo identificador exclusivo da visualização de faturamento personalizada.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
       {
           "Effect": "Allow",
           "Action": [
               "ce:GetDimensionValues",
               "ce:GetCostAndUsageWithResources",
               "ce:GetCostAndUsage",
               "ce:GetCostForecast",
               "ce:GetTags",
               "ce:GetUsageForecast",
               "ce:GetCostCategories"
           ],
           "Resource": [
               "arn:aws:billing::123456789012:billingview/custom-1a2b3c4d"
           ]
       },
       {
           "Effect": "Allow",
           "Action": [
               "billing:ListBillingViews",
               "billing:GetBillingView"
           ],
           "Resource": "*"
       }
   ]
}
```

------

# Migrando o controle de acesso para gerenciamento de AWS custos
<a name="migrate-granularaccess-whatis"></a>

**nota**  
As seguintes ações AWS Identity and Access Management (IAM) chegaram ao fim do suporte padrão em julho de 2023:  
Namespace do `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Se você estiver usando AWS Organizations, poderá usar os [scripts do migrador de políticas em massa](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html) para atualizar as políticas da sua conta de pagador. Você também poderá usar a [referência de mapeamento de ações antigas para granulares](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html) para verificar as ações do IAM que precisam ser adicionadas.  
Para obter mais informações, consulte o blog [Alterações no AWS faturamento, no gerenciamento de AWS custos e nas permissões dos consoles de contas](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/).  
Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.

Você pode usar controles de acesso refinados para fornecer aos indivíduos da sua organização acesso aos serviços. Gerenciamento de Faturamento e Custos da AWS Por exemplo, você pode fornecer acesso ao Cost Explorer sem fornecer acesso ao console de AWS faturamento.

Para usar os controles de acesso refinados, será necessário migrar suas políticas do `aws-portal` para as novas ações do IAM.

As seguintes ações do IAM em suas políticas de permissão ou políticas de controle de serviço (SCP) necessitam de atualização com essa migração:
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`

Para saber como usar a ferramenta **Políticas afetadas** para identificar suas políticas do IAM afetadas, consulte [Como usar a ferramenta Políticas afetadas](migrate-security-iam-tool.md).

**nota**  
Solicitações programáticas AWS Cost Explorer, relatórios de AWS custo e uso e AWS orçamentos permanecem inalterados.  
[Ativar o acesso ao console do Gerenciamento de Faturamento e Custos](control-access-billing.md#ControllingAccessWebsite-Activate) permanecem inalterados.

**Topics**
+ [Gerenciar permissões de acesso](#migrate-control-access-CMG)
+ [Como usar a ferramenta Políticas afetadas](migrate-security-iam-tool.md)

## Gerenciar permissões de acesso
<a name="migrate-control-access-CMG"></a>

AWS O gerenciamento de custos se integra ao serviço AWS Identity and Access Management (IAM) para que você possa controlar quem em sua organização tem acesso a páginas específicas no [console de gerenciamento de AWS custos](https://console.aws.amazon.com/cost-management/). Você pode controlar o acesso aos recursos de gerenciamento de AWS custos. Por exemplo, AWS Cost Explorer, Savings Plans e recomendações de reservas, Savings Plans e relatórios de cobertura e utilização de reservas.

Use as seguintes permissões do IAM para controle granular do console de gerenciamento de AWS custos.

### Usando ações refinadas de gerenciamento AWS de custos
<a name="migrate-user-permissions"></a>

Esta tabela resume as permissões que concedem ou negam aos usuários e perfis do IAM acesso às suas informações de custos e uso. Para obter exemplos de políticas que usam essas permissões, consulte [AWS Exemplos de políticas de gerenciamento de custos](billing-example-policies.md).

Para ver uma lista de ações para o console de AWS faturamento, consulte [Políticas de ações AWS de cobrança no guia do](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions) usuário de *AWS faturamento*.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/cost-management/latest/userguide/migrate-granularaccess-whatis.html)

# Como usar a ferramenta Políticas afetadas
<a name="migrate-security-iam-tool"></a>

**nota**  
As seguintes ações AWS Identity and Access Management (IAM) chegaram ao fim do suporte padrão em julho de 2023:  
Namespace do `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Se você estiver usando AWS Organizations, poderá usar os [scripts do migrador de políticas em massa](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html) para atualizar as políticas da sua conta de pagador. Você também poderá usar a [referência de mapeamento de ações antigas para granulares](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html) para verificar as ações do IAM que precisam ser adicionadas.  
Para obter mais informações, consulte o blog [Alterações no AWS faturamento, no gerenciamento de AWS custos e nas permissões dos consoles de contas](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/).  
Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.

Você pode usar a ferramenta de **políticas afetadas** no console de faturamento para identificar políticas do IAM (excluindo SCPs) e referenciar as ações do IAM afetadas por essa migração. Use a ferramenta de **Políticas afetadas** para realizar as seguintes tarefas: 
+ Identifique as políticas do IAM e faça referência às ações do IAM afetadas por essa migração
+ Copie a política atualizada para sua área de transferência
+ Abra a política afetada no editor de políticas do IAM
+ Salve a política atualizada em sua conta
+ Ative as permissões refinadas e desative as ações antigas

Essa ferramenta opera dentro dos limites da AWS conta na qual você está conectado e as informações sobre outras AWS Organizations contas não são divulgadas.

**Para usar a ferramenta Políticas afetadas**

1. Faça login no Console de gerenciamento da AWS e abra o Gerenciamento de Faturamento e Custos da AWS console em [https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/).

1. Cole o seguinte URL em seu navegador para acessar a ferramenta **Políticas afetadas**: [https://console.aws.amazon.com/poliden/home?region=us-east-1#/](https://console.aws.amazon.com/poliden/home?region=us-east-1#/).
**nota**  
Você deve ter a permissão `iam:GetAccountAuthorizationDetails` para exibir essa página.

1. Analise a tabela que lista as políticas do IAM afetadas. Use a coluna **Ações obsoletas do IAM** para revisar ações específicas do IAM referenciadas em uma política.

1. Na coluna **Copiar política atualizada**, escolha **Copiar** para copiar a política atualizada para sua área de transferência. A política atualizada contém a política existente e as ações refinadas sugeridas anexadas a ela como um bloco `Sid` separado. Esse bloco tem o prefixo `AffectedPoliciesMigrator` no final da política.

1. Na coluna **Editar política no console do IAM**, escolha **Editar** para acessar o editor de políticas do IAM. Você verá o JSON da sua política existente.

1. Substitua toda a política existente pela política atualizada que você copiou na etapa 4. Você pode fazer outras alterações conforme necessário.

1. Escolha **Próximo** e, em seguida, escolha **Salvar alterações**.

1. Repita as etapas 3 a 7 para todas as políticas afetadas.

1. Depois de atualizar suas políticas, atualize a ferramenta **Políticas afetadas** para confirmar que não há políticas afetadas listadas. A coluna **Novas ações do IAM encontradas** deve conter **Sim** para todas as políticas e os botões **Copiar** e **Editar** serão desabilitados. Suas políticas afetadas são atualizadas.

**Habilitar ações refinadas para sua conta**

Depois de atualizar suas políticas, siga este procedimento para habilitar as ações detalhadas em sua conta.

Somente a conta de gerenciamento (pagador) de uma organização ou contas individuais podem usar a seção **Gerenciar novas ações do IAM**. Uma conta individual pode habilitar as novas ações por si mesma. Uma conta de gerenciamento pode habilitar novas ações para toda a organização ou para um subconjunto de contas de membros. Se você for uma conta de gerenciamento, atualize as políticas afetadas para todas as contas dos membros e habilite as novas ações para sua organização. Para obter mais informações, consulte [Como alternar contas entre novas ações refinadas ou ações](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/#How-to-toggle-accounts-between-new-fine-grained-actions-or-existing-IAM-Actions) existentes do IAM? seção na postagem do AWS blog. 
**nota**  
Para fazer isso, você deve ter as seguintes permissões:  
`aws-portal:GetConsoleActionSetEnforced`
`aws-portal:UpdateConsoleActionSetEnforced`
`ce:GetConsoleActionSetEnforced`
`ce:UpdateConsoleActionSetEnforced`
`purchase-orders:GetConsoleActionSetEnforced`
`purchase-orders:UpdateConsoleActionSetEnforced`

Se você não vir a seção **Gerenciar novas ações do IAM**, isso significa que sua conta já habilitou as ações refinadas do IAM.

1. Em **Gerenciar novas ações do IAM**, a configuração **Conjunto de ações atuais aplicado** terá o status **Existente**.

   Escolha **Habilitar novas ações (refinadas)** e, em seguida, **Aplicar alterações**.

1. Na caixa de diálogo, escolha **Yes**. O status **Conjunto de ações atuais aplicado** mudará para **Refinado**. Isso significa que as novas ações estão aplicadas para sua Conta da AWS ou para sua organização.

1. (Opcional) Em seguida, você pode atualizar suas políticas existentes para remover qualquer uma das ações antigas.

**Example Exemplo: antes e depois da política do IAM**  
A política do IAM a seguir tem a ação `aws-portal:ViewPaymentMethods` antiga.    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        }
    ]
}
```
Depois de copiar a política atualizada, o exemplo a seguir tem o novo bloco `Sid` com as ações refinadas.    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AffectedPoliciesMigrator0",
            "Effect": "Allow",
            "Action": [
                "account:GetAccountInformation",
                "invoicing:GetInvoicePDF",
                "payments:GetPaymentInstrument",
                "payments:GetPaymentStatus",
                "payments:ListPaymentPreferences"
            ],
            "Resource": "*"
        }
    ]
}
```

## Recursos relacionados
<a name="related-resources-affected-policies"></a>

Para obter mais informações, consulte [Sid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html) no *Guia do usuário do IAM*.

[Para obter mais informações sobre as novas ações refinadas, consulte a [referência Mapeamento de ações refinadas do IAM e Uso de ações refinadas](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html) de gerenciamento de custos. AWS](https://docs.aws.amazon.com/cost-management/latest/userguide/migrate-granularaccess-whatis.html#migrate-user-permissions)

# Prevenção contra o ataque do “substituto confuso” em todos os serviços
<a name="cross-service-confused-deputy-prevention"></a>

“Confused deputy” é um problema de segurança no qual uma entidade sem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Em AWS, a falsificação de identidade entre serviços pode resultar no problema confuso do deputado. A personificação entre serviços pode ocorrer quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com entidades principais de serviço que receberam acesso aos recursos em sua conta. 

Recomendamos usar as chaves de contexto de condição [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e as chaves de contexto nas políticas de recursos para limitar as permissões ao recurso que os recursos de gerenciamento de AWS custos podem oferecer a outro serviço. Se você utilizar ambas as chaves de contexto de condição global, o valor `aws:SourceAccount` e a conta `aws:SourceArn` no valor deverão utilizar o mesmo ID de conta quando utilizados na mesma instrução de política.

A maneira mais eficaz de se proteger do problema ‘confused deputy’ é usar a chave de contexto de condição global `aws:SourceArn` com o ARN completo do recurso. Se você não souber o ARN completo do recurso ou se especificar vários recursos, use a chave de condição de contexto global `aws:SourceArn` com curingas (`*`) para as partes desconhecidas do ARN. Por exemplo, .`arn:aws:servicename::123456789012:*` Para AWS orçamentos, o valor de `aws:SourceArn` deve ser. `arn:aws:budgets::123456789012:budget/*`

O exemplo a seguir mostra como você pode usar as chaves de contexto de condição `aws:SourceAccount` global `aws:SourceArn` e as chaves de contexto em AWS Orçamentos para evitar o confuso problema substituto.

------
#### [ JSON ]

****  

```
{
"Version":"2012-10-17",		 	 	 
"Statement": [
  {
    "Effect": "Allow",
    "Principal": {
      "Service": "budgets.amazonaws.com"
    },
    "Action": "sts:AssumeRole",
    "Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:budgets::123456789012:budget/*"
      },
      "StringEquals": {
        "aws:SourceAccount": "123456789012"
      }
    }
  }
]
}
```

------

# Solução de problemas de identidade e acesso ao AWS Cost Management
<a name="security_iam_troubleshoot"></a>

Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com o gerenciamento de AWS custos e o IAM.

**Topics**
+ [Não estou autorizado a realizar uma ação no Gerenciamento de AWS Custos](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Quero visualizar minhas chaves de acesso](#security_iam_troubleshoot-access-keys)
+ [Sou administrador e quero permitir que outras pessoas acessem o Gerenciamento de AWS Custos](#security_iam_troubleshoot-admin-delegate)
+ [Quero permitir que pessoas de fora da minha Conta da AWS acessem meus recursos de gerenciamento de AWS custos](#security_iam_troubleshoot-cross-account-access)

## Não estou autorizado a realizar uma ação no Gerenciamento de AWS Custos
<a name="security_iam_troubleshoot-no-permissions"></a>

Se isso Console de gerenciamento da AWS indicar que você não está autorizado a realizar uma ação, entre em contato com o administrador para obter ajuda. Seu administrador é a pessoa que forneceu suas credenciais de login.

O erro do exemplo a seguir ocorre quando o usuário `mateojackson` tenta usar o console para visualizar detalhes sobre um recurso do `my-example-widget` fictício, mas não tem as permissões fictícias do `ce:GetWidget`.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ce:GetWidget on resource: my-example-widget
```

Neste caso, Mateo pede ao administrador para atualizar suas políticas e permitir o acesso ao recurso `my-example-widget` usando a ação `ce:GetWidget`.

## Não estou autorizado a realizar iam: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Se você receber um erro informando que não está autorizado a realizar a `iam:PassRole` ação, suas políticas devem ser atualizadas para permitir que você passe uma função para o Gerenciamento de AWS Custos.

Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.

O erro de exemplo a seguir ocorre quando um usuário do IAM chamada `marymajor` tenta usar o console para executar uma ação no Gerenciamento de Custos da AWS . No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.

Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.

## Quero visualizar minhas chaves de acesso
<a name="security_iam_troubleshoot-access-keys"></a>

Depois de criar suas chaves de acesso de usuário do IAM, é possível visualizar seu ID da chave de acesso a qualquer momento. No entanto, você não pode visualizar sua chave de acesso secreta novamente. Se você perder sua chave secreta, crie um novo par de chaves de acesso. 

As chaves de acesso consistem em duas partes: um ID de chave de acesso (por exemplo, `AKIAIOSFODNN7EXAMPLE`) e uma chave de acesso secreta (por exemplo, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`). Como um nome de usuário e uma senha, você deve usar o ID da chave de acesso e a chave de acesso secreta em conjunto para autenticar suas solicitações. Gerencie suas chaves de acesso de forma tão segura quanto você gerencia seu nome de usuário e sua senha.

**Importante**  
Não forneça as chaves de acesso a terceiros, mesmo que seja para ajudar a [encontrar o ID de usuário canônico](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId). Ao fazer isso, você pode dar a alguém acesso permanente ao seu Conta da AWS.

Ao criar um par de chaves de acesso, você é solicitado a guardar o ID da chave de acesso e a chave de acesso secreta em um local seguro. A chave de acesso secreta só está disponível no momento em que é criada. Se você perder sua chave de acesso secreta, será necessário adicionar novas chaves de acesso para seu usuário do IAM. Você pode ter no máximo duas chaves de acesso. Se você já tiver duas, você deverá excluir um par de chaves para poder criar um novo. Para visualizar as instruções, consulte [Gerenciar chaves de acesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey) no *Guia do usuário do IAM*.

## Sou administrador e quero permitir que outras pessoas acessem o Gerenciamento de AWS Custos
<a name="security_iam_troubleshoot-admin-delegate"></a>

Para permitir que outras pessoas acessem o Gerenciamento de AWS Custos, você deve conceder permissão às pessoas ou aplicativos que precisam de acesso. Se você estiver usando o Centro de Identidade do AWS IAM para gerenciar pessoas e aplicações, atribua conjuntos de permissões a usuários ou grupos para definir o nível de acesso. Os conjuntos de permissões criam e atribuem automaticamente políticas do IAM aos perfis do IAM associados à pessoa ou aplicação. Para ter mais informações, consulte [Conjuntos de permissões](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.

Se você não estiver usando o Centro de Identidade do IAM, deverá criar entidades do IAM (usuários ou perfis) para as pessoas ou aplicações que precisam de acesso. Em seguida, você deve anexar uma política à entidade que conceda a ela as permissões corretas no Gerenciamento de AWS Custos. Depois que as permissões forem concedidas, forneça as credenciais ao usuário ou desenvolvedor da aplicação. Eles usarão essas credenciais para acessar AWS. Para saber mais sobre como criar grupos, políticas, permissões e usuários do IAM, consulte [Identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) e [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.

## Quero permitir que pessoas de fora da minha Conta da AWS acessem meus recursos de gerenciamento de AWS custos
<a name="security_iam_troubleshoot-cross-account-access"></a>

É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.

Para saber mais, consulte:
+ Para saber se o Gerenciamento de AWS Custos oferece suporte a esses recursos, consulte[Como o gerenciamento de AWS custos funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.

## Funções vinculadas a serviços para gerenciamento de custos AWS
<a name="security_iam_service-with-iam-roles-service-linked"></a>

 Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço. 

Para obter detalhes sobre como criar ou gerenciar perfis vinculados a serviços, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Encontre um serviço na tabela que inclua um `Yes` na coluna **Perfil vinculado ao serviço**. Escolha o link **Sim** para visualizar a documentação do perfil vinculado a serviço desse serviço.

# Usar perfis vinculados a serviços
<a name="cost-management-SLR"></a>

Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um AWS serviço. O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em sua AWS conta e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.

**Topics**
+ [Perfis vinculados a serviços para o Hub de Otimização de Custos](cost-optimization-hub-SLR.md)
+ [Perfis vinculados a serviços para dados de alocação de custos divididos](split-cost-allocation-data-SLR.md)
+ [Perfis vinculados a serviços para Exportações de dados](data-exports-SLR.md)
+ [Perfil vinculado ao serviço para o Budgets](budgets-SLR.md)
+ [Funções vinculadas a serviços para atributos de usuário para alocação de custos](ubca-SLR.md)

# Perfis vinculados a serviços para o Hub de Otimização de Custos
<a name="cost-optimization-hub-SLR"></a>

O Cost Optimization Hub usa funções vinculadas ao serviço AWS Identity and Access Management (IAM[)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Um perfil vinculado ao serviço é um tipo único de perfil do IAM que está vinculado diretamente ao Hub de Otimização de Custos. As funções vinculadas ao serviço são predefinidas pelo Cost Optimization Hub e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Um perfil vinculado ao serviço facilita a configuração do Hub de Otimização de Custos porque você não precisa adicionar as permissões necessárias manualmente. O Hub de Otimização de Custos define as permissões de perfis vinculados a serviços e, exceto se definido de outra forma, somente o Hub de Otimização de Custos pode assumir seus perfis. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure serviços que tenham **Sim** na coluna **função vinculada ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.

## Permissões de perfil vinculado ao serviço para o Hub de Otimização de Custos
<a name="cost-optimization-hub-SLR-permissions"></a>

O Hub de Otimização de Custos usa o perfil vinculado ao serviço chamado `AWSServiceRoleForCostOptimizationHub`, que permite o acesso aos serviços e recursos da AWS usados ou gerenciados pelo Hub de Otimização de Custos.

O perfil vinculado ao serviço `AWSServiceRoleForCostOptimizationHub` confia no serviço `cost-optimization-hub.bcm.amazonaws.com` para presumir o perfil.

A política de permissões de perfil, `CostOptimizationHubServiceRolePolicy`, permite que o Hub de Otimização de Custos conclua as seguintes ações nos recursos especificados:
+ organizações: DescribeOrganization
+ organizações: ListAccounts
+ Organizações: lista AWSService AccessForOrganization
+ organizações: ListParents
+ organizações: DescribeOrganizationalUnit
+ organizações: ListDelegatedAdministrators
+ gelo: ListCostAllocationTags
+ gelo: GetCostAndUsage
+ gelo: GetDimensionValues

Para obter mais informações, consulte [Permite que o Hub de Otimização de Custos acesse os serviços necessários para que o serviço funcione](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#cost-optimization-hub-managedIAM).

Para ver os detalhes completos das permissões do perfil vinculado ao serviço `CostOptimizationHubServiceRolePolicy`, consulte [CostOptimizationHubServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CostOptimizationHubServiceRolePolicy.html) no * Guia de referência de políticas gerenciadas da AWS *.

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.

## Criar o perfil vinculado ao serviço do Hub de Otimização de Custos
<a name="cost-optimization-hub-create-SLR"></a>

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você habilita o Hub de Otimização de Custos, o serviço cria automaticamente um perfil vinculado ao serviço para você. Você pode ativar o Cost Optimization Hub por meio do console de gerenciamento de AWS custos ou por meio da API ou da AWS CLI. Para obter mais informações, consulte Habilitar o Hub de Otimização de Custos neste Guia do usuário.

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, você poderá usar esse mesmo processo para recriar o perfil em sua conta.

## Editar o perfil vinculado ao serviço do Hub de Otimização de Custos
<a name="cost-optimization-hub-edit-SLR"></a>

Não é possível editar o nome ou permissões do perfil vinculado ao serviço `AWSServiceRoleForCostOptimizationHub`, pois diversas entidades podem referenciar a ele. No entanto, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no Guia do usuário do IAM.

**Para permitir que uma entidade do IAM edite a descrição do perfil vinculado ao serviço `AWSServiceRoleForCostOptimizationHub`**

Adicione a instrução abaixo à política de permissões da entidade do IAM para a qual precise editar a descrição de um perfil vinculado ao serviço.

```
{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/cost-optimization-hub.bcm.amazonaws.com/AWSServiceRoleForCostOptimizationHub",
    "Condition": {"StringLike": {"iam:AWSServiceName": "cost-optimization-hub.bcm.amazonaws.com"}}
}
```

## Excluir o perfil vinculado ao serviço do Hub de Otimização de Custos
<a name="cost-optimization-hub-delete-SLR"></a>

Se você não precisa mais usar o Hub de Otimização de Custos, recomendamos que exclua o perfil vinculado ao serviço `AWSServiceRoleForCostOptimizationHub`. Dessa forma, você não terá uma entidade não utilizada e não monitorada ativamente ou mantida. Porém, para poder excluir manualmente o perfil vinculado ao serviço, você deve desabilitar o Hub de Otimização de Custos.

**Para desabilitar o Hub de Otimização de Custos**

Para obter informações sobre como desabilitar o Hub de Otimização de Custos, consulte [Desabilitar o Hub de Otimização de Custos](https://docs.aws.amazon.com/cost-management/latest/userguide/coh-getting-started.html#coh-opt-out).

**Para excluir manualmente o perfil vinculado ao serviço usando o IAM**

Use o console do IAM, a interface de linha de AWS comando (AWS CLI) ou a AWS API para excluir a função vinculada ao `AWSServiceRoleForCostOptimizationHub` serviço. Para obter mais informações, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

## Regiões com suporte para perfis vinculados a serviços do Hub de Otimização de Custos
<a name="cost-optimization-hub-SLR-regions"></a>

O Hub de Otimização de Custos oferece suporte a perfis vinculados a serviços em todas as regiões da AWS em que o serviço está disponível. Para obter mais informações, consulte endpoints AWS de serviço.

# Perfis vinculados a serviços para dados de alocação de custos divididos
<a name="split-cost-allocation-data-SLR"></a>

[Os dados de alocação de custos divididos usam funções AWS vinculadas a serviços do Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Um perfil vinculado ao serviço é um tipo único de perfil do IAM vinculado diretamente aos dados de alocação de custos divididos. As funções vinculadas ao serviço são predefinidas por dados de alocação de custos divididos e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Um perfil vinculado ao serviço facilita a configuração dos dados de alocação de custos divididos porque você não precisa adicionar manualmente as permissões necessárias. A alocação de custos divididos define as permissões de seus perfis vinculados a serviços e, a menos que definido de outra forma, apenas a alocação de custos divididos pode assumir seus perfis. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure serviços que tenham **Sim** na coluna **função vinculada ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.

## Permissões de perfil vinculado ao serviço para dados de alocação de custos divididos
<a name="scad-SLR-permissions"></a>

Os dados de alocação de custos divididos usam a função vinculada ao serviço chamada`AWSServiceRoleForSplitCostAllocationData`, que permite o acesso a AWS serviços e recursos usados ou gerenciados por dados de alocação de custos divididos.

O perfil vinculado ao serviço `AWSServiceRoleForSplitCostAllocationData` confia no serviço `split-cost-allocation-data.bcm.amazonaws.com` para presumir o perfil.

A política de permissões de perfil, `SplitCostAllocationDataServiceRolePolicy`, permite que os dados de alocação de custos divididos realizem as seguintes ações nos recursos especificados:
+ organizações: DescribeOrganization
+ organizações: ListAccounts
+ Organizações: lista AWSService AccessForOrganization
+ organizações: ListParents
+ Mapas: ListWorkspaces
+ Mapas: QueryMetrics

Para obter mais informações, consulte [Permite que os dados de alocação de custos divididos chamem serviços necessários para o funcionamento do serviço](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#split-cost-allocation-data-managedIAM).

Para ver os detalhes completos das permissões do perfil vinculado ao serviço `SplitCostAllocationDataServiceRolePolicy`, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CostOptimizationHubServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CostOptimizationHubServiceRolePolicy.html) no * Guia de referência de políticas gerenciadas da AWS *.

 Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no Guia do usuário do IAM.

## Criar o perfil vinculado ao serviço de dados de alocação de custos divididos
<a name="scad-create-SLR"></a>

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você opta por usar dados de alocação de custos divididos, o serviço cria automaticamente um perfil vinculado ao serviço para você. Você pode habilitar dados de alocação de custos divididos por meio do console de gerenciamento de AWS custos. Para obter mais informações, consulte [Habilitar dados de alocação de custos divididos](https://docs.aws.amazon.com/cur/latest/userguide/enabling-split-cost-allocation-data.html).

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta.

## Editar o perfil vinculado ao serviço de dados de alocação de custos divididos
<a name="scad-edit-SLR"></a>

Não é possível editar o nome ou permissões do perfil vinculado ao serviço `AWSServiceRoleForSplitCostAllocationData`, pois diversas entidades podem referenciar a ele. No entanto, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no Guia do usuário do IAM.

**Para permitir que uma entidade do IAM edite a descrição do perfil vinculado ao serviço `AWSServiceRoleForSplitCostAllocationData`**

Adicione a instrução abaixo à política de permissões da entidade do IAM para a qual precise editar a descrição de um perfil vinculado ao serviço.

```
{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/split-cost-allocation-data.bcm.amazonaws.com/AWSServiceRoleForSplitCostAllocationData",
    "Condition": {"StringLike": {"iam:AWSServiceName": "split-cost-allocation-data.bcm.amazonaws.com"}}
}
```

## Excluir o perfil vinculado ao serviço de dados de alocação de custos divididos
<a name="scad-delete-SLR"></a>

Se você não precisa mais usar os dados de alocação de custos divididos, recomendamos que exclua o perfil vinculado ao serviço `AWSServiceRoleForSplitCostAllocationData`. Dessa forma, você não terá uma entidade não utilizada e não monitorada ativamente ou mantida. Porém, para poder excluir manualmente o perfil vinculado ao serviço, você deve desabilitar os dados de alocação de custos divididos.

**Para desabilitar os dados de alocação de custos divididos**

Para obter mais informações sobre como desabilitar os dados de alocação de custos divididos, consulte [Habilitar dados de alocação de custos divididos](https://docs.aws.amazon.com/cur/latest/userguide/enabling-split-cost-allocation-data.html).

**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**

Use o console do IAM, a interface de linha de AWS comando (AWS CLI) ou a AWS API para excluir a função vinculada ao `AWSServiceRoleForSplitCostAllocationData` serviço. Para obter mais informações, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

## Regiões com suporte para perfis vinculados a serviços de dados de alocação de custos divididos
<a name="scad-SLR-regions"></a>

Os dados de alocação de custos divididos oferecem suporte ao uso de perfis vinculados a serviços em todas as regiões da AWS onde os dados de alocação de custos divididos estão disponíveis. Para obter mais informações, consulte endpoints AWS de serviço.

# Perfis vinculados a serviços para Exportações de dados
<a name="data-exports-SLR"></a>

O Data Exports usa AWS funções vinculadas ao serviço Identity and Access Management (IAM[)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Um perfil vinculado ao serviço é um tipo único de perfil do IAM que é vinculado diretamente às Exportações de dados. Os perfis vinculados a serviços são predefinidos pelas Exportações de dados e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.

Um perfil vinculado ao serviço facilita a configuração de Exportações de dados porque você não precisa adicionar as permissões necessárias manualmente. As Exportações de dados definem as permissões do seu perfil vinculado ao serviço e, a menos que definido de outra forma, somente as Exportações de dados podem assumir esse perfil. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure serviços que tenham **Sim** na coluna **função vinculada ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.

## Permissões de perfil vinculado ao serviço das Exportações de dados
<a name="data-exports-SLR-permissions"></a>

As Exportações de dados usam o perfil vinculado ao serviço chamado `AWSServiceRoleForBCMDataExports`, que permite o acesso aos dados de serviço da AWS para exportar os dados para um local de destino, como o Amazon S3, em nome do cliente. Essa função vinculada ao serviço é usada para ações somente de leitura para coletar a menor quantidade de dados de AWS serviço necessária. O perfil vinculado ao serviço é usado ao longo do tempo para garantir a segurança e continuar atualizando os dados de exportação no local de destino.

O perfil vinculado ao serviço `AWSServiceRoleForBCMDataExports` confia no serviço `bcm-data-exports.amazonaws.com` para presumir o perfil.

A política de permissões de perfil, `AWSBCMDataExportsServiceRolePolicy`, permite que as Exportações de dados concluam as seguintes ações nos recursos especificados:
+ cost-optimization-hub:ListEnrollmentStatuses
+ cost-optimization-hub:ListRecommendation

Para obter mais informações, consulte [Permite que as Exportações de dados acessem outros serviços da AWS](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#data-exports-managedIAM).

Para ver os detalhes completos das permissões do perfil vinculado ao serviço `AWSBCMDataExportsServiceRolePolicy`, consulte [AWSBCMDataExportsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CostOptimizationHubServiceRolePolicy.html) no * Guia de referência de políticas gerenciadas da AWS *.

 Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no Guia do usuário do IAM.

## Criar o perfil vinculado ao serviço das Exportações de dados
<a name="data-exports-create-SLR"></a>

Você não precisa criar manualmente perfil vinculado ao serviço de Exportações de dados. Na página do console de Exportações de dados, quando você tenta criar uma exportação de uma tabela que exige o perfil vinculado ao serviço, o serviço cria automaticamente o perfil para você.

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta.

## Editar o perfil vinculado ao serviço das Exportações de dados
<a name="data-exports-edit-SLR"></a>

Não é possível editar o nome ou permissões do perfil vinculado ao serviço `AWSServiceRoleForBCMDataExports`, pois diversas entidades podem referenciar a ele. No entanto, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no Guia do usuário do IAM.

**Para permitir que uma entidade do IAM edite a descrição do perfil vinculado ao serviço `AWSServiceRoleForBCMDataExports`**

Adicione a instrução abaixo à política de permissões da entidade do IAM para a qual precise editar a descrição de um perfil vinculado ao serviço.

```
{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/bcm-data-exports.amazonaws.com/AWSServiceRoleForBCMDataExports",
    "Condition": {"StringLike": {"iam:AWSServiceName": "bcm-data-exports.amazonaws.com"}}
}
```

## Excluir o perfil vinculado ao serviço das Exportações de dados
<a name="data-exports-delete-SLR"></a>

Se você não precisa mais usar Exportações de dados, recomendamos que exclua o perfil vinculado a serviços `AWSServiceRoleForBCMDataExports`. Dessa forma, você não terá uma entidade não utilizada e não monitorada ativamente ou mantida. No entanto, antes de excluir manualmente o perfil vinculado ao serviço, você deve primeiro excluir qualquer Exportação de dados que exija o perfil vinculado ao serviço.

**Para excluir uma exportação**

Para obter informações sobre como excluir uma exportação, consulte [Editar e excluir exportações](https://docs.aws.amazon.com/cur/latest/userguide/dataexports-edit-delete.html).

**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**

Use o console do IAM, a interface de linha de AWS comando (AWS CLI) ou a AWS API para excluir a função vinculada ao `AWSServiceRoleForBCMDataExports` serviço. Para obter mais informações, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

## Regiões com suporte para perfis vinculados a serviços de Exportações de dados
<a name="data-exports-SLR-regions"></a>

As exportações de dados oferecem suporte ao uso de funções vinculadas a serviços em todas as AWS regiões em que as exportações de dados estão disponíveis. Para obter mais informações, consulte endpoints AWS de serviço.

# Perfil vinculado ao serviço para o Budgets
<a name="budgets-SLR"></a>

[O Budgets usa funções vinculadas ao serviço AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) O perfil vinculado a serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao Budgets. Os perfis vinculados ao serviço são definidos previamente pelo Budgets e incluem todas as permissões necessárias para o serviço chamar outros serviços da AWS em seu nome.

O Budgets define as permissões das funções vinculadas ao serviço e, exceto se definido de outra forma, somente o Budgets pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure serviços que tenham **Sim** na coluna **função vinculada ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.

## Permissões de função vinculada ao serviço do Budgets
<a name="budgets-SLR-permissions"></a>

O Budgets usa o Perfil vinculado ao serviço chamado `AWSServiceRoleForBudgets`, que permite ao Budgets verificar o acesso a visualizações de faturamento compartilhadas entre contas.

O objetivo deste Perfil vinculado ao serviço é verificar se os clientes têm acesso aos dados da visualização de faturamento subjacentes associados a um orçamento ao atualizar os gastos de um orçamento.

O perfil vinculado ao serviço `AWSServiceRoleForBudgets` confia no serviço `budgets.amazonaws.com` para presumir o perfil.

A política de permissões de perfil, `BudgetsServiceRolePolicy`, permite que o Budgets realize a seguinte ação em todos os recursos da Visualização de faturamento aos quais o cliente tem acesso:
+ faturamento: GetBillingViewData

Para obter mais informações, consulte [Permite que a Budgets chame os serviços necessários para verificar o acesso à visualização de faturamento](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#budget-managedIAM-billing-view).

Para ver os detalhes completos das permissões do perfil vinculado ao serviço `BudgetsServiceRolePolicy`, consulte [BudgetsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/BudgetsBillingViewAccessPolicy.html) no * Guia de referência de políticas gerenciadas da AWS *.

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.

## Criando o perfil vinculado ao serviço do Budgets
<a name="budgets-create-SLR"></a>

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você faz uma solicitação para CreateBudget ou UpdateBudget com outra conta à qual você tem acesso, o serviço cria automaticamente a função vinculada ao serviço para você. BillingView 

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta.

## Editando o perfil vinculado ao serviço do Budgets
<a name="budgets-edit-SLR"></a>

Não é possível editar o nome ou permissões do perfil vinculado ao serviço `AWSServiceRoleForBudgets`, pois diversas entidades podem referenciar a ele. No entanto, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no Guia do usuário do IAM.

**Para permitir que uma entidade do IAM edite a descrição do perfil vinculado ao serviço `AWSServiceRoleForBudgets`**

Adicione a instrução abaixo à política de permissões da entidade do IAM para a qual precise editar a descrição de um perfil vinculado ao serviço.

```
{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/budgets.amazonaws.com/AWSServiceRoleForBudgets",
    "Condition": {"StringLike": {"iam:AWSServiceName": "budgets.amazonaws.com"}}
}
```

## Excluindo o perfil vinculado ao serviço do Budgets
<a name="budgets-delete-SLR"></a>

Se você não precisa mais usar o Budgets, recomendamos que exclua o perfil vinculado a serviço `AWSServiceRoleForBudgets`. Dessa forma, você não terá uma entidade não utilizada e não monitorada ativamente ou mantida. No entanto, antes de excluir manualmente o perfil vinculado ao serviço, você deve excluir todos os orçamentos da sua conta que estejam associados a uma visualização de faturamento de outra conta. Se você tentar excluir o perfil vinculado ao serviço antes disso, a solicitação falhará.

**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**

Use o console do IAM, a interface de linha de AWS comando (AWS CLI) ou a AWS API para excluir a função vinculada ao `AWSServiceRoleForBudgets` serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

## Regiões com suporte por perfis vinculados a serviço do Budgets
<a name="budgets-SLR-regions"></a>

O Budgets oferece suporte ao uso de funções vinculadas a serviços em todas as AWS regiões em que o serviço está disponível. Para obter mais informações, consulte endpoints AWS de serviço.

# Funções vinculadas a serviços para atributos de usuário para alocação de custos
<a name="ubca-SLR"></a>

[Os atributos do usuário para alocação de custos usam funções vinculadas a serviços do AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente aos atributos do usuário para alocação de custos. As funções vinculadas ao serviço são predefinidas pelos atributos do usuário para alocação de custos e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Uma função vinculada ao serviço facilita a configuração dos atributos do usuário para alocação de custos porque você não precisa adicionar manualmente as permissões necessárias. Os atributos do usuário para alocação de custos definem as permissões de sua função vinculada ao serviço e, a menos que seja definido de outra forma, somente os atributos do usuário para alocação de custos podem assumir essa função. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure serviços que tenham **Sim** na coluna **função vinculada ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.

## Permissões de função vinculadas ao serviço para atributos do usuário para alocação de custos
<a name="ubca-SLR-permissions"></a>

Os atributos do usuário para alocação de custos usam a função vinculada ao serviço chamada`AWSServiceRoleForUserAttributeCostAllocation`, que concede aos atributos do usuário para alocação de custos permissões para ler os atributos do usuário do AWS IAM Identity Center em seu nome.

O perfil vinculado ao serviço `AWSServiceRoleForUserAttributeCostAllocation` confia no serviço `user-attribute-cost-allocation-data.amazonaws.com` para presumir o perfil.

A função vinculada ao serviço usa dois tipos de políticas:
+ **Política de permissões de função embutida:** contém as permissões que permitem que os atributos do usuário para alocação de custos acessem as informações do usuário da sua instância do AWS IAM Identity Center por meio do Identity Store. APIs Essa política inclui as permissões KMS necessárias quando os clientes criptografam seus dados do Identity Center e tem como escopo sua conta específica e sua instância do Identity Center.
+ **AWS política gerenciada (AWSUserAttributeCostAllocationPolicy):** fornece permissões adicionais ao serviço para buscar a função vinculada ao serviço para uso interno.

Para obter mais informações sobre atualizações na política AWSUser AttributeCostAllocationPolicy gerenciada, consulte [políticas AWS gerenciadas para AWS Billing and Cost Management](security-iam-awsmanpol.html).

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no Guia do usuário do IAM.

## Criando os atributos do usuário para a função vinculada ao serviço de alocação de custos
<a name="ubca-create-SLR"></a>

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você ativa os atributos do usuário para alocação de custos no console de Gerenciamento de AWS Custos, o serviço cria automaticamente a função vinculada ao serviço para você.

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você ativa os atributos do usuário para alocação de custos, o serviço cria a função vinculada ao serviço para você novamente.

## Editando os atributos do usuário para a função vinculada ao serviço de alocação de custos
<a name="ubca-edit-SLR"></a>

Não é possível editar o nome ou permissões do perfil vinculado ao serviço `AWSServiceRoleForUserAttributeCostAllocation`, pois diversas entidades podem referenciar a ele. No entanto, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no Guia do usuário do IAM.

## Excluindo os atributos do usuário para a função vinculada ao serviço de alocação de custos
<a name="ubca-delete-SLR"></a>

Se você não precisar mais usar atributos de usuário para alocação de custos, recomendamos que você exclua a função `AWSServiceRoleForUserAttributeCostAllocation` vinculada ao serviço. Dessa forma, você não terá uma entidade não utilizada e não monitorada ativamente ou mantida. No entanto, antes de excluir manualmente a função vinculada ao serviço, você deve primeiro desativar os atributos do usuário para alocação de custos.

### Limpando a função vinculada ao serviço
<a name="ubca-cleanup-SLR"></a>

Antes de usar o IAM para excluir a função vinculada ao serviço, você deve primeiro desativar os atributos do usuário para alocação de custos, desativando todos os atributos do usuário nos atributos do usuário para preferências de alocação de custos.

### Excluir manualmente o perfil vinculado ao serviço
<a name="ubca-manual-delete-SLR"></a>

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função `AWSServiceRoleForUserAttributeCostAllocation` vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

## Regiões suportadas para atributos de usuário para funções vinculadas ao serviço de alocação de custos
<a name="ubca-SLR-regions"></a>

Os atributos do usuário para alocação de custos oferecem suporte ao uso de funções vinculadas ao serviço em todas as AWS regiões em que o serviço está disponível. Para obter mais informações, consulte Endpoints de serviço da AWS .

# AWS políticas gerenciadas para AWS Billing and Cost Management
<a name="security-iam-awsmanpol"></a>

Criar [políticas gerenciadas pelo cliente do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) com apenas as permissões de que sua equipe precisa exige tempo e experiência. Para começar rapidamente, você pode usar políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. Para obter mais informações sobre as políticas gerenciadas da AWS , consulte [Políticas gerenciadas da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.

AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.

## AWSUserAttributeCostAllocationPolicy
<a name="security-iam-awsmanpol-AWSUserAttributeCostAllocationPolicy"></a>

Essa política fornece permissões para que os atributos do usuário da função vinculada ao serviço de alocação de custos busquem informações da função para operações internas de serviços.

Esta política é anexada à função vinculada ao serviço `AWSServiceRoleForUserAttributeCostAllocation`.

## AWS Atualizações do Billing and Cost Management nas políticas AWS gerenciadas
<a name="security-iam-awsmanpol-updates"></a>

Veja detalhes sobre as atualizações das políticas AWS gerenciadas do AWS Billing and Cost Management desde que esse serviço começou a monitorar essas alterações.


| Política | Versão | Alteração | 
| --- | --- | --- | 
| AWSUserAttributeCostAllocationPolicy | 1 |  **15 de dezembro de 2025:** Criação inicial da política. Essa política fornece permissões para que os atributos do usuário da função vinculada ao serviço de alocação de custos busquem informações da função para operações internas de serviços.  |