本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 计费控制器中的安全性
云安全 AWS 是重中之重。作为 AWS 客户,您可以受益于专为满足大多数安全敏感型组织的要求而构建的数据中心和网络架构。
安全是双方共同承担 AWS 的责任。[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)将其描述为云*的*安全性和云*中*的安全性:
+ **云安全** — AWS 负责保护在 AWS 云中运行 AWS 服务的基础架构。 AWS 还为您提供可以安全使用的服务。作为[AWS 合规计划合规计划合规计划合](https://aws.amazon.com/compliance/programs/)的一部分,第三方审计师定期测试和验证我们安全的有效性。要了解适用于B AWS illing Conductor的合规计划,请参阅按合规计划划分的[范围内的AWSAWS 服务按合规计划](https://aws.amazon.com/compliance/services-in-scope/)服务。
+ **云端安全**-您的责任由您使用的 AWS 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规。
本文档可帮助您了解在使用 B AWS illing Conductor 时如何应用分担责任模型。以下主题向您展示如何配置 Billing Con AWS ductor 以满足您的安全和合规性目标。您还将学习如何使用其他 AWS 服务来帮助您监控和保护您的 B AWS illing Conductor 资源。
**Topics**
+ [AWS 计费控制器中的数据保护](data-protection.md)
+ [的身份和访问管理 AWS Billing Conductor](security-iam.md)
+ [在 AWS 计费指挥中记录和监控](billing-security-logging.md)
+ [AWS 计费控制器的合规性验证](Billing-compliance.md)
+ [AWS 计费导体的弹性](disaster-recovery-resiliency.md)
+ [《 AWS 计费指挥家》中的基础设施安全](infrastructure-security.md)
# AWS 计费控制器中的数据保护
分 AWS [担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)适用于 AWS 账单指挥中的数据保护。如本模型所述 AWS ,负责保护运行所有内容的全球基础架构 AWS 云。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq/)。有关欧洲数据保护的信息,请参阅 *AWS Security Blog* 上的 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
出于数据保护目的,我们建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置个人用户。这样,每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据:
+ 对每个账户使用多重身份验证(MFA)。
+ 用于 SSL/TLS 与 AWS 资源通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 使用设置 API 和用户活动日志 AWS CloudTrail。有关使用 CloudTrail 跟踪捕获 AWS 活动的信息,请参阅《*AWS CloudTrail 用户指南》*中的[使用跟 CloudTrail 踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解决方案以及其中的所有默认安全控件 AWS 服务。
+ 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果您在 AWS 通过命令行界面或 API 进行访问时需要经过 FIPS 140-3 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-3 版》[https://aws.amazon.com/compliance/fips/](https://aws.amazon.com/compliance/fips/)。
强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如**名称**字段)。这包括你 AWS 服务 使用控制台、API 或 AWS 与 Billing Conductor AWS CLI或其他人合作时 AWS SDKs。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供 URL,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。
# 的身份和访问管理 AWS Billing Conductor
AWS Identity and Access Management (IAM) AWS 服务 可帮助管理员安全地控制对 AWS 资源的访问权限。IAM 管理员控制谁可以通过*身份验证*(登录)并获得*授权*(具有权限)来使用 Billing Conductor 资源。您可以使用 IAM AWS 服务 ,无需支付额外费用。
**Topics**
+ [受众](#security_iam_audience)
+ [使用身份进行身份验证](#security_iam_authentication)
+ [使用策略管理访问](#security_iam_access-manage)
+ [如何 AWS Billing Conductor 与 IAM 配合使用](security_iam_service-with-iam.md)
+ [AWS Billing Conductor 基于身份的策略示例](security_iam_id-based-policy-examples.md)
## 受众
您的使用方式 AWS Identity and Access Management (IAM) 因您的角色而异:
+ **服务用户**:如果您无法访问功能,请从管理员处请求权限(请参阅[对 AWS Billing Conductor 身份和访问进行故障排除](security_iam_troubleshoot.md))
+ **服务管理员**:确定用户访问权限并提交权限请求(请参阅[如何 AWS Billing Conductor 与 IAM 配合使用](security_iam_service-with-iam.md))
+ **IAM 管理员**:编写用于管理访问权限的策略(请参阅[AWS Billing Conductor 基于身份的策略示例](security_iam_id-based-policy-examples.md))
## 使用身份进行身份验证
身份验证是您 AWS 使用身份凭证登录的方式。您必须以 IAM 用户身份进行身份验证 AWS 账户根用户,或者通过担任 IAM 角色进行身份验证。
您可以使用来自身份源的证书 AWS IAM Identity Center (例如(IAM Identity Center)、单点登录身份验证或 Google/Facebook 证书,以联合身份登录。有关登录的更多信息,请参阅《AWS 登录 用户指南》**中的[如何登录您的 AWS 账户](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
对于编程访问, AWS 提供 SDK 和 CLI 来对请求进行加密签名。有关更多信息,请参阅*《IAM 用户指南》*中的[适用于 API 请求的AWS 签名版本 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
### AWS 账户根用户
创建时 AWS 账户,首先会有一个名为 AWS 账户 *root 用户的*登录身份,该身份可以完全访问所有资源 AWS 服务 和资源。我们强烈建议不要使用根用户进行日常任务。有关要求根用户凭证的任务,请参阅*《IAM 用户指南》*中的[需要根用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### IAM 用户和群组
*[IAM 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*是对某个人员或应用程序具有特定权限的一个身份。建议使用临时凭证,而非具有长期凭证的 IAM 用户。有关更多信息,请参阅 *IAM 用户指南*[中的要求人类用户使用身份提供商的联合身份验证才能 AWS 使用临时证书进行访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)指定一组 IAM 用户,便于更轻松地对大量用户进行权限管理。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM 用户使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
### IAM 角色
*[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*是具有特定权限的身份,可提供临时凭证。您可以通过[从用户切换到 IAM 角色(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或调用 AWS CLI 或 AWS API 操作来代入角色。有关更多信息,请参阅《IAM 用户指南》**中的[担任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色对于联合用户访问、临时 IAM 用户权限、跨账户访问、跨服务访问以及在 Amazon EC2 上运行的应用程序非常有用。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 使用策略管理访问
您可以 AWS 通过创建策略并将其附加到 AWS 身份或资源来控制中的访问权限。策略定义了与身份或资源关联时的权限。 AWS 在委托人提出请求时评估这些政策。大多数策略都以 JSON 文档的 AWS 形式存储在中。有关 JSON 策略文档的更多信息,请参阅*《IAM 用户指南》*中的 [JSON 策略概述](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理员使用策略,通过定义哪个**主体**可以在什么**条件**下对哪些**资源**执行哪些**操作**来指定谁有权访问什么。
默认情况下,用户和角色没有权限。IAM 管理员创建 IAM 策略并将其添加到角色中,然后用户可以担任这些角色。IAM 策略定义权限,与执行操作所用的方法无关。
### 基于身份的策略
基于身份的策略是您附加到身份(用户、组或角色)的 JSON 权限策略文档。这些策略控制身份可以执行什么操作、对哪些资源执行以及在什么条件下执行。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
基于身份的策略可以是*内联策略*(直接嵌入到单个身份中)或*托管策略*(附加到多个身份的独立策略)。要了解如何在托管策略和内联策略之间进行选择,请参阅*《IAM 用户指南》*中的[在托管策略与内联策略之间进行选择](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。
### 基于资源的策略
基于资源的策略是附加到资源的 JSON 策略文档。示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
基于资源的策略是位于该服务中的内联策略。您不能在基于资源的策略中使用 IAM 中的 AWS 托管策略。
### 访问控制列表 (ACLs)
访问控制列表 (ACLs) 控制哪些委托人(账户成员、用户或角色)有权访问资源。 ACLs 与基于资源的策略类似,尽管它们不使用 JSON 策略文档格式。
Amazon S3 和 Amazon VPC 就是支持的服务示例 ACLs。 AWS WAF要了解更多信息 ACLs,请参阅《*亚马逊简单存储服务开发者指南*》中的[访问控制列表 (ACL) 概述](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)。
### 其他策略类型
AWS 支持其他策略类型,这些策略类型可以设置更常见的策略类型授予的最大权限:
+ **权限边界** – 设置基于身份的策略可以授予 IAM 实体的最大权限。有关更多信息,请参阅《 IAM 用户指南》**中的 [IAM 实体的权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服务控制策略 (SCPs)**-在中指定组织或组织单位的最大权限 AWS Organizations。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **资源控制策略 (RCPs)**-设置账户中资源的最大可用权限。有关更多信息,请参阅《*AWS Organizations 用户指南》*中的[资源控制策略 (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **会话策略** – 在为角色或联合用户创建临时会话时,作为参数传递的高级策略。有关更多信息,请参阅《IAM 用户指南》**中的[会话策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多个策略类型
当多个类型的策略应用于一个请求时,生成的权限更加复杂和难以理解。要了解在涉及多种策略类型时如何 AWS 确定是否允许请求,请参阅 *IAM 用户指南*中的[策略评估逻辑](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# 如何 AWS Billing Conductor 与 IAM 配合使用
在使用 IAM 管理对 Billing Conductor 的访问之前,您应了解哪些 IAM 功能可与 Billing Conductor 结合使用。要全面了解 Billing Conductor 和其他 AWS 服务如何与 IAM 配合使用,请参阅 [IAM *用户指南中的与 IAM* 配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
**Topics**
+ [Billing Conductor 基于身份的策略](#security_iam_service-with-iam-id-based-policies)
+ [Billing Conductor 基于资源的策略](#security_iam_service-with-iam-resource-based-policies)
+ [访问控制列表 (ACLs)](#security_iam_service-with-iam-acls)
+ [基于 Billing Conductor 标签的授权](#security_iam_service-with-iam-tags)
+ [Billing Conductor IAM 角色](#security_iam_service-with-iam-roles)
## Billing Conductor 基于身份的策略
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。Billing Conductor 支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素,请参阅*《IAM 用户指南》* 中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 操作
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
Billing Conductor 的策略操作在操作前使用以下前缀:`Billing Conductor:`。例如,要授予某人使用 Amazon EC2 `RunInstances` API 操作运行 Amazon EC2 实例的权限,您应将 `ec2:RunInstances` 操作纳入其策略。策略语句必须包含 `Action` 或 `NotAction` 元素。Billing Conductor 定义了一组自己的操作,来描述您可以使用该服务执行的任务。
要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:
```
"Action": [
"ec2:action1",
"ec2:action2"
```
您也可以使用通配符 (\$1) 指定多个操作。例如,要指定以单词 `Describe` 开头的所有操作,包括以下操作:
```
"Action": "ec2:Describe*"
```
要查看账单导体操作列表,请参阅 *IAM 用户指南*中的[AWS 账单导体定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsbillingconductor.html#awsbillingconductor-actions-as-permissions)。
### 资源
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。
```
"Resource": "*"
```
Amazon EC2 实例资源具有以下 ARN:
```
arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}
```
有关格式的更多信息 ARNs,请参阅 [Amazon 资源名称 (ARNs) 和 AWS 服务命名空间](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。
例如,要在语句中指定 `i-1234567890abcdef0` 实例,请使用以下 ARN:
```
"Resource": "arn:aws:ec2:us-east-1:123456789012:instance/i-1234567890abcdef0"
```
要指定属于特定账户的所有实例,请使用通配符 (\$1):
```
"Resource": "arn:aws:ec2:us-east-1:123456789012:instance/*"
```
无法对特定资源执行某些 Billing Conductor 操作,例如,用于创建资源的操作。在这些情况下,您必须使用通配符(\$1)。
```
"Resource": "*"
```
许多 Amazon EC2 API 操作涉及多种资源。例如,`AttachVolume` 将一个 Amazon EBS 卷附加到一个实例,从而使 IAM 用户必须获得相应权限才能使用该卷和该实例。要在单个语句中指定多个资源,请 ARNs 用逗号分隔。
```
"Resource": [
"resource1",
"resource2"
```
要查看 Billing Conductor 资源类型及其列表 ARNs,请参阅 *IAM 用户指南*中的[AWS 计费导体定义的资源](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsbillingconductor.html#awsbillingconductor-resources-for-iam-policies)。要了解您可以使用哪些操作来指定每种资源的 ARN,请参阅 B [AWS illing Conductor 定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsbillingconductor.html#awsbillingconductor-actions-as-permissions)。
### 条件键
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
Billing Conductor 定义了一组自己的条件键,还支持使用一些全局条件键。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
所有 Amazon EC2 操作都支持 `aws:RequestedRegion` 和 `ec2:Region` 条件键。有关更多信息,请参阅[示例:限制对特定区域的访问](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region)。
要查看账单导体条件键列表,请参阅 *IAM 用户指南*中的[AWS 账单导体条件密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsbillingconductor.html#awsbillingconductor-policy-keys)。要了解您可以使用哪些操作和资源使用条件密钥,请参阅 Billing Conducto [r AWS 定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsbillingconductor.html#awsbillingconductor-actions-as-permissions)。
### 示例
要查看 Billing Conductor 基于身份的策略示例,请参阅 [AWS Billing Conductor 基于身份的策略示例](security_iam_id-based-policy-examples.md)。
## Billing Conductor 基于资源的策略
基于资源的策略是 JSON 策略文档,它们指定了指定主体可在 Billing Conductor 资源上执行的操作以及在什么条件下可执行。Amazon S3 支持亚马逊 S3 *buckets* 的基于资源的权限策略。基于资源的策略允许您基于资源向其他账户授予使用权限。您也可以使用基于资源的策略来允许 AWS 服务访问您的 Amazon S3 *buckets*。
要启用跨账户访问,您可以将整个账户或其他账户中的 IAM 实体指定为[基于资源的策略中的委托人](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。将跨账户主体添加到基于资源的策略只是建立信任关系工作的一半而已。当委托人和资源位于不同的 AWS 账户中时,您还必须向委托人实体授予访问资源的权限。通过将基于身份的策略附加到实体以授予权限。但是,如果基于资源的策略向同一个账户中的主体授予访问权限,则不需要额外的基于身份的策略。有关更多信息,请参阅*《IAM 用户指南》* 中的 [IAM 角色与基于资源的策略有何不同](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html)。
Amazon S3 服务仅支持一种基于资源的策略,即**bucket*策略*,该策略附加到。*bucket*此策略定义了哪些委托人实体(账户、用户、角色和联合用户)可以对执行操作*Billing Conductor*。
### 示例
要查看 Billing Conductor 基于资源的策略示例,请参阅 [AWS Billing Conductor 基于资源的策略示例](security_iam_resource-based-policy-examples.md)。
## 访问控制列表 (ACLs)
访问控制列表 (ACLs) 是您可以附加到资源的被授权者列表。他们向账户授予访问所附加到的资源的权限。您可以附加 ACLs 到 Amazon S3 *bucket* 资源。
通过 Amazon S3 访问控制列表 (ACLs),您可以管理对*bucket*资源的访问权限。每个都附*bucket*有一个 ACL 作为子资源。它定义了向哪些 AWS 账户、IAM 用户或用户组或 IAM 角色授予访问权限以及访问权限的类型。收到资源请求时, AWS 会检查相应的 ACL 以验证请求者是否具有必要的访问权限。
当您创建*bucket*资源时,Amazon S3 会创建一个默认 ACL,授予资源所有者对资源的完全控制权。在以下示例 *bucket* ACL 中,John Doe 被列为的所有者,*bucket*并被授予对其的完全控制权*bucket*。ACL 可以拥有最多 100 个被授权者。
```
c1daexampleaaf850ea79cf0430f33d72579fd1611c97f7ded193374c0b163b6
john-doe
c1daexampleaaf850ea79cf0430f33d72579fd1611c97f7ded193374c0b163b6
john-doe
FULL_CONTROL
```
ACL 中的 ID 字段是 AWS 账户规范用户 ID。要了解如何在您拥有的账户中查看此 ID,请参阅[查找 AWS 账户规范用户](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId) ID。
## 基于 Billing Conductor 标签的授权
您可以将标签附加到 Billing Conductor 资源或将请求中的标签传递到 Billing Conductor。要基于标签控制访问,您需要使用 `Billing Conductor:ResourceTag/key-name``aws:RequestTag/key-name` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。
## Billing Conductor IAM 角色
I [AM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您的 AWS 账户中具有特定权限的实体。
### 对 Billing Conductor 使用临时凭证
可以使用临时凭证进行联合身份验证登录,分派 IAM 角色或分派跨账户角色。您可以通过调用[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)或之类的 AWS STS API 操作来获取临时安全证书[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)。
Billing Conductor 支持使用临时凭证。
### 服务关联角色
[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)允许 AWS 服务访问其他服务中的资源以代表您完成操作。服务关联角色显示在 IAM 账户中,并归该服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。
### 服务角色
此功能允许服务代表您担任[服务角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在 IAM 账户中,并归该账户所有。这意味着,IAM 管理员可以更改该角色的权限。但是,这样做可能会中断服务的功能。
Billing Conductor 支持服务角色。
### 在 Billing Condoctor 中选择 IAM 角色
在 Billing Conductor 中创建资源时,您必须选择一个角色以允许 Billing Conductor 代表您访问 Amazon EC2。如果您之前已经创建了一个服务角色或服务相关角色,Billing Conductor 会为您提供一个角色列表供您选择。选择一个允许访问以启动和停止 Amazon EC2 实例的角色很重要。
# AWS Billing Conductor 基于身份的策略示例
默认情况下,IAM 用户和角色没有创建或修改 Billing Conductor 资源的权限。他们也无法使用 AWS 管理控制台 AWS CLI、或 AWS API 执行任务。IAM 管理员必须创建 IAM 策略,以便为用户和角色授予权限以对所需的指定资源执行特定的 API 操作。然后,管理员必须将这些策略附加到需要这些权限的 IAM 用户或组。
要了解如何使用这些示例 JSON 策略文档创建 IAM 基于身份的策略,请参阅*《IAM 用户指南》*中的 [在 JSON 选项卡上创建策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)。
**Topics**
+ [策略最佳实践](#security_iam_service-with-iam-policy-best-practices)
+ [Billing Conductor 基于身份策略示例](#security_policy-examples)
+ [AWS AWS 账单指挥官的托管策略](security-iam-awsmanpol.md)
+ [AWS Billing Conductor 基于资源的策略示例](security_iam_resource-based-policy-examples.md)
+ [对 AWS Billing Conductor 身份和访问进行故障排除](security_iam_troubleshoot.md)
## 策略最佳实践
基于身份的策略决定某人是否可以在您的账户中创建、访问或删除 Billing Conductor 资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
+ **开始使用 AWS 托管策略并转向最低权限权限** — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的*AWS 托管策略*。它们在你的版本中可用 AWS 账户。我们建议您通过定义针对您的用例的 AWS 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[工作职能的AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **应用最低权限**:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 策略中的条件进一步限制访问权限**:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果服务操作是通过特定的方式使用的,则也可以使用条件来授予对服务操作的访问权限 AWS 服务,例如 CloudFormation。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性**:IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》**中的[使用 IAM Access Analyzer 验证策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重身份验证 (MFA**)-如果 AWS 账户您的场景需要 IAM 用户或根用户,请启用 MFA 以提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》**中的[使用 MFA 保护 API 访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## Billing Conductor 基于身份策略示例
本主题包含几个示例策略,您可以将它们附加到您的 IAM 用户或组以控制对您的账户的信息和工具的访问权限。
**Topics**
+ [授予对 Billing Condoctor 控制台的完全访问权限](#security_iam_id-based-policy-examples-console)
+ [授予对 Billing Condoctor API 的完全访问权限](#security_iam_id-based-policy-examples-fullAPI)
+ [授予对 Billing Condoctor 控制台的只读访问权限](#security_iam_id-based-policy-examples-readonly)
+ [通过账单控制台授予 Billing Conductor 访问权限](#security_iam_id-based-policy-examples-ABCthroughbilling)
+ [通过 AWS 成本和使用情况报告授予计费指挥员访问权限](#security_iam_id-based-policy-examples-ABCthroughCUR)
+ [授予 Billing Conductor 对导入组织单位功能的访问权限](#security_iam_id-based-policy-examples-ABCaccessOU)
+ [拒绝 Billing 和 Cost Explorer 访问不支持形式费用的服务和功能](#deny-access-proforma-costs)
+ [按账单组创建预算 CUR](#allow-legacy-cur)
### 授予对 Billing Condoctor 控制台的完全访问权限
要访问 Billing Conductor 控制台,您必须拥有一组最低权限。这些权限必须允许您列出和查看有关您的 AWS 账户中的 Billing Conductor 资源的详细信息。如果您创建的基于身份的策略比所需的最低权限更严格,则无法为具有该策略的实体(IAM 用户或角色)正常运行控制台。
为确保这些实体仍然可以使用 Billing Conductor 控制台,还需要将以下 AWS 托管策略附加到这些实体。有关更多信息,请参阅 *《IAM 用户指南》*中的[为用户添加权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console):
除 `billingconductor:*` 权限外,创建定价规则需要 `pricing:DescribeServices`,并且列出与付款人账户关联的关联账户需要 `organizations:ListAccounts`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "billingconductor:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"organizations:ListAccounts",
"organizations:DescribeAccount"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "pricing:DescribeServices",
"Resource": "*"
}
]
}
```
------
对于仅调用 AWS CLI 或 AWS API 的用户,您无需为其设置最低控制台权限。相反,只允许访问与您尝试执行的 API 操作相匹配的操作。
### 授予对 Billing Condoctor API 的完全访问权限
在此示例中,您授予 IAM 实体对 Billing Conductor API 的完全访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "billingconductor:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "organizations:ListAccounts",
"Resource": "*"
}
]
}
```
------
### 授予对 Billing Condoctor 控制台的只读访问权限
在本示例中,您授予 IAM 实体对 Billing Conductor 控制台的只读访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "billingconductor:List*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "organizations:ListAccounts",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "pricing:DescribeServices",
"Resource": "*"
}
]
}
```
------
### 通过账单控制台授予 Billing Conductor 访问权限
在此示例中,IAM 实体可以通过账单控制台中的账单页面切换和查看形式账单数据。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"billing:ListBillingViews",
"aws-portal:ViewBilling"
],
"Resource": "*"
}
]
}
```
------
### 通过 AWS 成本和使用情况报告授予计费指挥员访问权限
在此示例中,IAM 实体可以通过其账单控制台中的 “成本和使用情况报告” 页面切换和查看形式账单数据。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"billing:ListBillingViews",
"aws-portal:ViewBilling",
"cur:DescribeReportDefinitions"
],
"Resource": "*"
}
]
}
```
------
### 授予 Billing Conductor 对导入组织单位功能的访问权限
在此示例中,IAM 实体对创建账单组时导入组织单位 (OU) 账户所需的特定 AWS Organizations API 操作具有只读访问权限。导入 OU 功能在 B AWS illing Conductor 控制台上。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListChildren"
],
"Resource": "*"
}
]
}
```
------
### 拒绝 Billing 和 Cost Explorer 访问不支持形式费用的服务和功能
在此示例中,IAM 实体被拒绝访问不支持形式费用的服务和功能。该政策包括管理账户和个人成员账户中可能采取的操作清单。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Deny",
"Action": [
"aws-portal:ModifyAccount",
"aws-portal:ModifyBilling",
"aws-portal:ModifyPaymentMethods",
"aws-portal:ViewPaymentMethods",
"aws-portal:ViewAccount",
"cur:GetClassic*",
"cur:Validate*",
"tax:List*",
"tax:Get*",
"tax:Put*",
"tax:ListTaxRegistrations",
"tax:BatchPut*",
"tax:UpdateExemptions",
"freetier:Get*",
"payments:Get*",
"payments:List*",
"payments:Update*",
"payments:GetPaymentInstrument",
"payments:GetPaymentStatus",
"purchase-orders:ListPurchaseOrders",
"purchase-orders:ListPurchaseOrderInvoices",
"consolidatedbilling:GetAccountBillingRole",
"consolidatedbilling:Get*",
"consolidatedbilling:List*",
"invoicing:List*",
"invoicing:Get*",
"account:Get*",
"account:List*",
"account:CloseAccount",
"account:DisableRegion",
"account:EnableRegion",
"account:GetContactInformation",
"account:GetAccountInformation",
"account:PutContactInformation",
"billing:GetBillingPreferences",
"billing:GetContractInformation",
"billing:GetCredits",
"billing:RedeemCredits",
"billing:Update*",
"ce:GetPreferences",
"ce:UpdatePreferences",
"ce:GetReservationCoverage",
"ce:GetReservationPurchaseRecommendation",
"ce:GetReservationUtilization",
"ce:GetSavingsPlansCoverage",
"ce:GetSavingsPlansPurchaseRecommendation",
"ce:GetSavingsPlansUtilization",
"ce:GetSavingsPlansUtilizationDetails",
"ce:ListSavingsPlansPurchaseRecommendationGeneration",
"ce:StartSavingsPlansPurchaseRecommendationGeneration",
"ce:UpdateNotificationSubscription"
],
"Resource": "*"
}]
}
```
------
有关更多信息,请参阅 [AWS 服务 支持基于专业格式的账单视图费用](service-integrations-support-proforma.md)。
### 按账单组创建预算 CUR
步骤 1:允许 IAM 用户完全访问传统 CUR 和账单组账单视图。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CurDataAccess",
"Effect": "Allow",
"Action": "cur:PutReportDefinition",
"Resource": [
"arn:*:cur:*:*:definition/*",
"arn:aws:billing::*:billingview/*"
]
}
]
}
```
第 2 步:要分配 IAM 角色以访问特定账单组,请添加用户可以访问的账单视图 ARN。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CurDataAccess",
"Effect": "Allow",
"Action": "cur:PutReportDefinition",
"Resource":[
"arn:aws:cur:us-east-1:123456789012:definition/*",
"arn:aws:billing::AWS-account-ID:billingview/billing-group-$billinggroup-primary-account-ID"
]
}
]
}
```
有关更多信息,请参阅 [按账单组配置成本和使用量报告](configuring-abc.md)。
# AWS AWS 账单指挥官的托管策略
要向用户、群组和角色添加权限,使用 AWS 托管策略比自己编写策略要容易得多。创建仅为团队提供所需权限的 [IAM 客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅 *IAM 用户指南*中的[AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管式策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 托管式策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如,**ReadOnlyAccess** AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动一项新功能时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 *IAM 用户指南*中的[适用于工作职能的AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
## AWS 托管策略: AWSBillingConductorFullAccess
AWSBillingConductorFullAccess 托管策略授予对 Billing Cond AWS uctor 控制台和 APIs. 用户可以列出、创建和删除 Billing Cond AWS uctor 资源。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBillingConductorFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingConductorFullAccess.html)**。
## AWS 托管策略: AWSBillingConductorReadOnlyAccess
AWSBillingConductorReadOnlyAccess 托管策略授予对 Billing Cond AWS uctor 控制台和 APIs. 用户可以查看和列出所有 Billing C AWS ondector 资源。用户无法创建或删除资源。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 [AWSBillingConductorReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingConductorReadOnlyAccess.html)**。
## AWS 账单指挥官更新了 AWS 托管政策
查看自该服务开始跟踪这些更改以来,B AWS illing Conductor AWS 托管政策更新的详细信息。要获得有关此页面变更的自动提醒,请在 B AWS illing Conductor 文档历史记录页面上订阅 RSS 提要。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSBillingConductorFullAccess](#security-iam-awsmanpol-fullaccess)-更新现有政策 | 我们在`AWSBillingConductorFullAccess`策略中添加了`organizations:DescribeResponsibilityTransfer`和`organizations:ListInboundResponsibilityTransfers`操作。 | 2025 年 11 月 19 日 |
| [AWSBillingConductorFullAccess](#security-iam-awsmanpol-fullaccess)-更新现有政策 | 我们在`AWSBillingConductorFullAccess`政策中添加了以下操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/billingconductor/latest/userguide/security-iam-awsmanpol.html) | 2025 年 9 月 9 日 |
| [AWSBillingConductorReadOnlyAccess](#security-iam-awsmanpol-readonly)-更新现有政策 | 我们在`AWSBillingConductorReadOnlyAccess`政策中添加了以下操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/billingconductor/latest/userguide/security-iam-awsmanpol.html) | 2025 年 9 月 9 日 |
| AWSBillingConductorReadOnlyAccess | 已`GetBillingGroupCostReport`添加到`AWSBillingConductorReadOnlyAccess`策略中。 | 2024 年 2 月 8 日 |
| AWSBillingConductorFullAccess | 创建策略 | 2022 年 3 月 29 日 |
| AWSBillingConductorReadOnlyAccess | 创建策略 | 2022 年 3 月 29 日 |
| AWS 账单指挥变更日志已发布 | AWS Billing Conductor 开始跟踪其 AWS 托管策略的变化 | 2022 年 3 月 29 日 |
# AWS Billing Conductor 基于资源的策略示例
**Topics**
+ [限制 Amazon S3 存储桶对特定 IP 地址的访问权限](#security_iam_resource-based-policy-examples-restrict-bucket-by-ip)
## 限制 Amazon S3 存储桶对特定 IP 地址的访问权限
以下示例向任何用户授予对指定存储桶中的对象执行任何 Amazon S3 操作的权限。但是,请求必须来自条件中指定的 IP 地址范围。
此语句中的条件标识了允许的互联网协议版本 4 (IPv4) IP 地址的 54.240.143.\$1 范围,但有一个例外:54.240.143.188。
该`Condition`模块使用`IpAddress`和`NotIpAddress`条件和`aws:SourceIp`条件键,后者是一个 AWS 宽条件键。有关这些条件键的更多信息,请参阅[在策略中指定条件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html)。这些`aws:sourceIp` IPv4 值使用标准的 CIDR 表示法。有关更多信息,请参阅 *《IAM 用户指南》*中的 [IP 地址条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "S3PolicyId1",
"Statement": [
{
"Sid": "IPAllow",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*",
"Condition": {
"IpAddress": {"aws:SourceIp": "54.240.143.0/24"},
"NotIpAddress": {"aws:SourceIp": "54.240.143.188/32"}
}
}
]
}
```
------
# 对 AWS Billing Conductor 身份和访问进行故障排除
以下信息可帮助您诊断和修复在使用 Billing Conductor 和 IAM 时可能遇到的常见问题。
**Topics**
+ [我没有在 Billing Conductor 中执行操作的权限](#security_iam_troubleshoot-no-permissions)
+ [我无权执行 iam:PassRole](#security_iam_troubleshoot-passrole)
+ [我想允许 AWS 账户以外的人访问我的 Billing Conductor 资源](#security_iam_troubleshoot-cross-account-access)
## 我没有在 Billing Conductor 中执行操作的权限
如果 AWS 管理控制台 告诉您您无权执行某项操作,则必须联系管理员寻求帮助。管理员是指提供用户名和密码的人员。
如果 `mateojackson` IAM 用户尝试使用控制台查看有关 *Billing Conductor* 的详细信息,但没有 `Billing Conductor:GetWidget` 权限,则会出现以下示例错误。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: Billing Conductor:GetWidget on resource: my-example-Billing Conductor
```
在这种情况下,Mateo 请求他的管理员更新其策略,以允许他使用 `Billing Conductor:GetWidget` 操作访问 `my-example-Billing Conductor` 资源。
## 我无权执行 iam:PassRole
如果您收到一个错误,表明您无权执行 `iam:PassRole` 操作,则必须更新策略以允许您将角色传递给 Billing Conductor。
有些 AWS 服务 允许您将现有角色传递给该服务,而不是创建新的服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。
当名为 `marymajor` 的 IAM 用户尝试使用控制台在 Billing Conductor 中执行操作时,会发生以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在这种情况下,必须更新 Mary 的策略以允许她执行 `iam:PassRole` 操作。
如果您需要帮助,请联系您的 AWS 管理员。您的管理员是提供登录凭证的人。
## 我想允许 AWS 账户以外的人访问我的 Billing Conductor 资源
您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表 (ACLs) 的服务,您可以使用这些策略向人们授予访问您的资源的权限。
要了解更多信息,请参阅以下内容:
+ 要了解 Billing Conductor 是否支持这些功能,请参阅 [如何 AWS Billing Conductor 与 IAM 配合使用](security_iam_service-with-iam.md)。
+ 要了解如何提供对您拥有的资源的访问权限 AWS 账户 ,请参阅 [IAM 用户*指南中的向您拥有 AWS 账户 的另一个 IAM 用户*提供访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)权限。
+ 要了解如何向第三方提供对您的资源的访问[权限 AWS 账户,请参阅 *IAM 用户指南*中的向第三方提供](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)访问权限。 AWS 账户
+ 要了解如何通过身份联合验证提供访问权限,请参阅《IAM 用户指南》**中的[为经过外部身份验证的用户(身份联合验证)提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 要了解使用角色和基于资源的策略进行跨账户访问之间的差别,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
# 在 AWS 计费指挥中记录和监控
监控是维护 AWS 账户可靠性、可用性和性能的重要组成部分。有多种工具可用于监控您的 B AWS illing Conductor 的使用情况。
## AWS 成本和使用情况报告
AWS 成本和使用情况报告会跟踪您的 AWS 使用情况,并提供与您的账户相关的估计费用。每份报告都包含您在 AWS 账户中使用的 AWS 产品、使用类型和操作的每种独特组合的行项目。您可以自定义 AWS 成本和使用情况报告,以按小时或按天汇总信息。
有关 AWS 成本和使用情况报告的更多信息,请参阅《[https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html](https://docs.aws.amazon.com/cur/latest/userguide/what-is-cur.html)。
# 使用记录 AWS Billing Conductor API 调用 AWS CloudTrail
AWS Billing Conductor 与一项服务集成 AWS CloudTrail,该服务提供用户、角色或 AWS 服务在 B AWS illing Conductor 中采取的操作的记录。 CloudTrail 将 AWS 计费指挥的所有 API 调用捕获为事件。捕获的调用包括来自 B AWS illing Conductor 控制台的调用和对 AWS 账单指挥器 API 操作的代码调用。如果您创建跟踪,则可以允许将 CloudTrail 事件持续传输到 Amazon S3 存储桶,包括 Billing Conducto AWS r 的事件。如果您未配置跟踪,您仍然可以在 CloudTrail 控制台的 “事件**历史记录” 中查看最新的事件**。使用收集的信息 CloudTrail,您可以确定向 B AWS illing Conductor 发出的请求、发出请求的 IP 地址、谁提出了请求、何时提出请求以及其他详细信息。
要了解更多信息 CloudTrail,请参阅《[AWS CloudTrail 用户指南》](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)。
## AWS Billing Conductor CloudTrail 事件
本部分显示了与 Billing and Cost Management 相关 CloudTrail 的事件的完整列表。
****
| 事件名称 | 定义 |
| --- | --- |
| `AssociateAccounts` | 记录账号与账单组的关联。 |
| `AssociatePricingRules` | 记录定价规则与定价计划的关联。 |
| `AutoAssociateAccount` | 记录账户与账单组的自动关联。 |
| `AutoDisassociateAccount` | 记录在下一个账单周期内自动取消账户与账单组关联的情况。 |
| `BatchAssociateResourcesToCustomLineItem` | 记录资源与百分比自定义订单项的批量关联。 |
| `BatchDisassociateResourcesFromCustomLineItem` | 记录资源与百分比自定义订单项的批量解除关联的情况。 |
| `CreateBillingGroup` | 记录账单组的创建情况。 |
| `CreateCustomLineItem` | 记录自定义订单项的创建情况。 |
| `CreatePricingPlan` | 记录定价计划的创建情况。 |
| `CreatePricingRule` | 记录定价规则的创建情况。 |
| `DeleteBillingGroup` | 记录账单组的删除。 |
| `DeleteCustomLineItem` | 记录自定义订单项的删除情况。 |
| `DeletePricingPlan` | 记录定价计划的删除。 |
| `DeletePricingRule` | 记录定价规则的删除。 |
| `DisassociateAccounts` | 记录账户与账单组的取消关联情况。 |
| `DisassociatePricingRules` | 记录定价规则与定价计划的取消关联情况。 |
| `ListAccountAssociations` | 记录对账单组中账户 ID 的访问权限。 |
| `ListBillingGroupCostReports` | 记录对账单组实际 AWS 费用的访问权限。 |
| `ListBillingGroups` | 记录账单周期内对账单组的访问权限。 |
| `ListCustomLineItems` | 记录账单周期内对自定义订单项目的访问权限。 |
| `ListCustomLineItemVersions` | 记录对自定义订单项目版本的访问权限。 |
| `ListPricingPlans` | 记录账单周期内对定价计划的访问权限。 |
| `ListPricingPlansAssociatedWithPricingRule` | 记录对与定价规则关联的定价计划的访问权限。 |
| `ListPricingRules` | 记录账单周期内对定价规则的访问权限。 |
| `ListPricingRulesAssociatedToPricingPlan` | 记录对与定价计划相关的定价规则的访问权限。 |
| `ListResourcesAssociatedToCustomLineItem` | 记录对与自定义订单项目关联的资源的访问权限。 |
| `ListTagsForResource` | 记录对资源标签的访问权限。 |
| `TagResource` | 记录资源上标签的关联。 |
| `UpdateBillingGroup` | 记录账单组的更新。 |
| `UpdateCustomLineItem` | 记录自定义订单项的更新。 |
| `UpdatePricingPlan` | 记录定价计划的更新。 |
| `UpdatePricingRule` | 记录定价规则的更新。 |
## AWS 账单指挥员信息位于 CloudTrail
CloudTrail 在您创建账户 AWS 账户 时已在您的账户上启用。当 B AWS illing Conductor 中发生活动时,该活动会与其他 AWS 服务 CloudTrail 事件一起记录在**事件历史**记录中。您可以在中查看、搜索和下载最近发生的事件 AWS 账户。有关更多信息,请参阅[使用事件历史记录查看 CloudTrail 事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
要持续记录您的事件 AWS 账户,包括 Billing Conduct AWS or 的事件,请创建跟踪。*跟踪*允许 CloudTrail 将日志文件传输到 Amazon S3 存储桶。默认情况下,在控制台中创建跟踪记录时,此跟踪记录应用于所有 AWS 区域。跟踪记录 AWS 分区中所有区域的事件,并将日志文件传送到您指定的 Amazon S3 存储桶。此外,您可以配置其他 AWS 服务,以进一步分析和处理 CloudTrail 日志中收集的事件数据。有关更多信息,请参阅下列内容:
+ [创建跟踪记录概述](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 支持的服务和集成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [配置 Amazon SNS 通知 CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [接收来自多个地区的 CloudTrail 日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)和[接收来自多个账户的 CloudTrail 日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
所有 B AWS illing Conductor 操作都由 Billing Cond [AWS uctor](https://docs.aws.amazon.com/billingconductor/latest/APIReference) 记录 CloudTrail 并记录在案
每个事件或日志条目都包含有关生成请求的人员信息。身份信息有助于您确定以下内容:
+ 请求是使用根证书还是 AWS Identity and Access Management (IAM) 用户凭证发出。
+ 请求是使用角色还是联合用户的临时安全凭证发出的。
+ 请求是否由其他 AWS 服务发出。
有关更多信息,请参阅 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
## 了解 AWS 账单指挥家日志文件条目
跟踪是一种配置,允许将事件作为日志文件传输到您指定的 Amazon S3 存储桶。 CloudTrail 日志文件包含一个或多个日志条目。事件代表来自任何来源的单个请求,包括有关请求的操作、操作的日期和时间、请求参数等的信息。 CloudTrail 日志文件不是公共 API 调用的有序堆栈跟踪,因此它们不会按任何特定顺序出现。
**Topics**
+ [AutoAssociateAccount](#CT-example-auto)
+ [CreateBillingGroup](#CT-example-create)
### AutoAssociateAccount
以下示例显示了演示该`AutoAssociateAccount`操作的 CloudTrail 日志条目。
```
{
"eventVersion": "1.09",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "billingconductor.amazonaws.com"
},
"eventTime": "2024-02-23T00:22:08Z",
"eventSource": "billingconductor.amazonaws.com",
"eventName": "AutoAssociateAccount",
"awsRegion": "us-east-1",
"sourceIPAddress": "billingconductor.amazonaws.com",
"userAgent": "billingconductor.amazonaws.com",
"requestParameters": null,
"responseElements": null,
"requestID": "1v14d239-fe63-4d2b-b3cd-450905b6c33",
"eventID": "14536982-geff-4fe8-bh18-f18jde35218d0",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"requestParameters": {
"Arn": "arn:aws:billingconductor::111122223333:billinggroup/444455556666",
"AccountIds": [
"333333333333"
]
},
"responseElements": {
"Arn": "arn:aws:billingconductor::111122223333:billinggroup/444455556666"
}
},
"eventCategory": "Management"
}
```
### CreateBillingGroup
以下示例显示了演示该`CreateBillingGroup`操作的 CloudTrail 日志条目。
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId":"111122223333",
"accessKeyId":"ASIAIOSFODNN7EXAMPLE"
},
"eventTime": "2024-01-24T20:30:03Z",
"eventSource": "billingconductor.amazonaws.com",
"eventName": "CreateBillingGroup",
"awsRegion": "us-east-1",
"sourceIPAddress": "100.100.10.10",
"userAgent": "aws-internal/3 aws-sdk-java/1.11.465 Linux/4.9.124-0.1.ac.198.73.329.metal1.x86_64 OpenJDK_64-Bit_Server_VM/25.192-b12 java/1.8.0_192",
"requestParameters": {
"PrimaryAccountId": "444455556666",
"ComputationPreference": {
"PricingPlanArn": "arn:aws:billingconductor::111122223333:pricingplan/TqeITi5Bgh"
},
"X-Amzn-Client-Token": "32aafb5s-e5b6-47f5-9795-3a69935e9da4",
"AccountGrouping": {
"LinkedAccountIds": [
"444455556666",
"111122223333"
]
},
"Name": "***"
},
"responseElements": {
"Access-Control-Expose-Headers": "x-amzn-RequestId,x-amzn-ErrorType,x-amzn-ErrorMessage,Date",
"Arn": "arn:aws:billingconductor::111122223333:billinggroup/444455556666"
},
"requestID": "fb26ae47-3510-a833-98fe-3dc0f602gb49",
"eventID": "3ab70d86-c63e-46fd8d-a33s-ce2970441a8",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
# AWS 计费控制器的合规性验证
作为多个合规计划的一部分,第三方审计师评估 AWS 服务的安全 AWS 性和合规性。 AWS Billing Conductor 不在任何 AWS 合规计划的范围内。
有关特定合规计划范围内的 AWS 服务列表,请参阅按合规计划划分的[范围内的AWSAWS 服务按合规计划](https://aws.amazon.com/compliance/services-in-scope/)。有关一般信息,请参阅[AWS 合规计划AWS](https://aws.amazon.com/compliance/programs/)。
您可以使用下载第三方审计报告 AWS Artifact。有关更多信息,请参阅[在 AWS Artifact 中下载报告在 Ar](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) 。
您在使用 Billing AWS Conductor 时的合规责任取决于您的数据的敏感性、贵公司的合规目标以及适用的法律和法规。 AWS 提供了以下资源来帮助实现合规性:
+ [安全性与合规性快速入门指南](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) - 这些部署指南讨论了架构注意事项,并提供了在 AWS上部署基于安全性和合规性的基准环境的步骤。
+ [AWS 合规资源AWS](https://aws.amazon.com/compliance/resources/) — 此工作簿和指南集可能适用于您所在的行业和所在地区。
+ [使用*AWS Config 开发人员指南*中的规则评估资源](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) — 该 AWS Config 服务评估您的资源配置在多大程度上符合内部实践、行业准则和法规。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— 此 AWS 服务可全面了解您的安全状态 AWS ,帮助您检查是否符合安全行业标准和最佳实践。
# AWS 计费导体的弹性
AWS 全球基础设施是围绕 AWS 区域和可用区构建的。 AWS 区域提供多个物理隔离和隔离的可用区,这些可用区通过低延迟、高吞吐量和高度冗余的网络相连。利用可用区,您可以设计和操作在可用区之间无中断地自动实现失效转移的应用程序和数据库。与传统的单个或多个数据中心基础设施相比,可用区具有更高的可用性、容错能力和可扩展性。
有关 AWS 区域和可用区的更多信息,请参阅[AWS 全球基础设施](https://aws.amazon.com/about-aws/global-infrastructure/)。
# 《 AWS 计费指挥家》中的基础设施安全
作为一项托管服务 AWS Billing Conductor ,受 AWS 全球网络安全的保护。有关 AWS 安全服务以及如何 AWS 保护基础设施的信息,请参阅[AWS 云安全](https://aws.amazon.com/security/)。要使用基础设施安全的最佳实践来设计您的 AWS 环境,请参阅 S * AWS ecurity Pillar Well-Architected Fram* ework 中的[基础设施保护](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。
您可以使用 AWS 已发布的 API 调用通过网络访问 Billing Conductor。客户端必须支持以下内容:
+ 传输层安全性协议(TLS)。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 具有完全向前保密(PFS)的密码套件,例如 DHE(临时 Diffie-Hellman)或 ECDHE(临时椭圆曲线 Diffie-Hellman)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
# AWS Billing Conductor 使用接口端点进行访问 (AWS PrivateLink)
您可以使用 AWS PrivateLink 在您的 VPC 和之间创建私有连接 AWS Billing Conductor。您可以像在您的 VPC 中一样访问 Billing Conductor,无需使用互联网网关、NAT 设备、VPN Direct Connect 连接或连接。您的 VPC 中的实例不需要公有 IP 地址即可访问 Billing Conductor。
您可以通过创建由 AWS PrivateLink提供支持的*接口端点*来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者管理的网络接口,是发往 Billing Conductor 的流量的入口点。
有关更多信息,请参阅*AWS PrivateLink 指南 AWS PrivateLink*中的[AWS 服务 通过访问](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)。
## 计费导体的注意事项
在为 Billing Conductor 设置接口端点之前,请查看*AWS PrivateLink 指南*中的[注意事项](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)。
Billing Conductor 支持通过接口端点调用其所有 API 操作。
Billing Conductor 不支持 VPC 终端节点策略。默认情况下,允许通过接口端点对 Billing Conductor 进行完全访问。或者,您可以将安全组与端点网络接口关联,以控制通过接口终端节点流向 Billing Conductor 的流量。
## 为计费指挥家创建接口端点
您可以使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 为 Billing Conductor 创建接口终端节点。有关更多信息,请参阅《AWS PrivateLink 指南》**中的[创建接口端点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)。
使用以下服务名称为 Billing Conductor 创建接口终端节点:
```
com.amazonaws.region.service-name
```
如果您为接口终端节点启用私有 DNS,则可以使用其默认区域 DNS 名称向 Billing Conductor 发出 API 请求。例如 `service-name.us-east-1.amazonaws.com`。
## 为 VPC 端点创建端点策略
端点策略是一种 IAM 资源,您可以将其附加到接口端点。默认终端节点策略允许通过接口端点对 Billing Conductor 进行完全访问。要控制允许从您的 VPC 访问 Billing Conductor 的权限,请将自定义终端节点策略附加到接口终端节点。
端点策略指定以下信息:
+ 可执行操作的主体(AWS 账户、IAM 用户和 IAM 角色)。
+ 可执行的操作。
+ 可对其执行操作的资源。
有关更多信息,请参阅《AWS PrivateLink 指南》**中的[使用端点策略控制对服务的访问权限](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。
**示例:账单指挥操作的 VPC 终端节点策略**
以下是自定义端点策略的示例。当您将此策略附加到接口终端节点时,它会向所有资源的所有委托人授予访问列出的 Billing Conductor 操作的权限。
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": "billingconductor:*",
"Resource":"*"
}
]
}
```