用于成本分配的用户属性的服务关联角色 - AWS 成本管理
用于成本分配的用户属性的服务相关角色权限为成本分配服务相关角色创建用户属性编辑成本分配服务相关角色的用户属性删除成本分配服务相关角色的用户属性成本分配服务相关角色的用户属性支持的区域

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

用于成本分配的用户属性的服务关联角色

用于成本分配的用户属性使用 AWS 身份和访问管理 (IAM) Access Management 服务相关角色。服务相关角色是一种独特的 IAM 角色,直接链接到用户属性以进行成本分配。服务相关角色由用户属性预定义以进行成本分配,包括该服务代表您调用其他 AWS 服务所需的所有权限。

服务相关角色可以更轻松地设置用户属性以进行成本分配,因为您不必手动添加必要的权限。成本分配的用户属性定义了其服务相关角色的权限,除非另有定义,否则只有用于成本分配的用户属性才能担任该角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其他 IAM 实体。

有关支持服务相关角色的其他服务的信息,请参阅可与 IAM 搭配使用的AWS 服务,并查找 Service-Linked Role(服务相关角色)列中为 Yes(是)的服务。选择和链接,查看该服务的服务关联角色文档。

用于成本分配的用户属性的服务相关角色权限

用于成本分配的用户属性使用名为的服务相关角色AWSServiceRoleForUserAttributeCostAllocation,该角色授予成本分配的用户属性代表您从 AWS IAM Identity Center 读取用户属性的权限。

AWSServiceRoleForUserAttributeCostAllocation 服务关联角色信任 user-attribute-cost-allocation-data.amazonaws.com 服务来代入角色。

服务相关角色使用两种类型的策略:

  • 内联角色权限策略:包含允许成本分配的用户属性通过 Identity Store 访问您的 AWS IAM Identity Center 实例中的用户信息的权限 APIs。该策略包括客户加密身份中心数据时必需的 KMS 权限,其范围仅限于您的特定账户和 Identity Center 实例。

  • AWS 托管策略 (AWSUserAttributeCostAllocationPolicy):为服务提供获取服务相关角色以供内部使用的额外权限。

有关 AWSUserAttributeCostAllocationPolicy 托管政策更新的更多信息,请参阅 B AWS illing and Cost Management 的AWS 托管政策

您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限

为成本分配服务相关角色创建用户属性

您无需手动创建服务关联角色。当您在成本管理控制台中为成本分配启用用户属性时,该服务会自动为您创建与服务相关的角色。 AWS

如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您为成本分配启用用户属性时,该服务会再次为您创建服务相关角色。

编辑成本分配服务相关角色的用户属性

由于多个实体可能引用 AWSServiceRoleForUserAttributeCostAllocation 服务相关角色,因此无法编辑该角色的名称或权限。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色

删除成本分配服务相关角色的用户属性

如果您不再需要使用用户属性进行成本分配,我们建议您删除AWSServiceRoleForUserAttributeCostAllocation服务相关角色。这样您就没有未被主动监控或维护的未使用实体。但是,在手动删除服务相关角色之前,必须先选择退出用于成本分配的用户属性。

清除 服务相关角色

在使用 IAM 删除服务相关角色之前,您必须先禁用成本分配首选项的用户属性中的所有用户属性,从而选择退出用于成本分配的用户属性。

手动删除服务相关角色

使用 IAM 控制台 AWS CLI、或 AWS API 删除AWSServiceRoleForUserAttributeCostAllocation服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色

成本分配服务相关角色的用户属性支持的区域

成本分配的用户属性支持在提供服务的所有 AWS 区域中使用服务相关角色。有关更多信息,请参阅 AWS 服务端点。