本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 遷移 AWS 成本管理的存取控制
<a name="migrate-granularaccess-whatis"></a>

**注意**  
下列 AWS Identity and Access Management (IAM) 動作已於 2023 年 7 月結束標準支援：  
`aws-portal` 命名空間
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您使用的是 AWS Organizations，您可以使用[大量政策模擬器指令碼](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html)，從您的付款人帳戶更新政策。也可以使用[舊動作至精細動作對應參考](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html)來確認需要新增的 IAM 動作。  
如需詳細資訊，請參閱[AWS 帳單、 AWS 成本管理和帳戶主控台許可](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/)的變更部落格。  
如果您有 在 2023 年 3 月 6 日上午 11：00 (PDT) 或之後 AWS Organizations 建立的 AWS 帳戶或 的一部分，則精細動作已在組織中生效。

您可以使用精細存取控制，為組織中的個人提供 AWS 帳單與成本管理 服務的存取權。例如，您可以提供 Cost Explorer 的存取權，而無需提供 AWS Billing 主控台的存取權。

若要使用精細存取控制，您需要將政策從 `aws-portal` 下遷移至新的 IAM 動作。

您的許可政策或服務控制政策 (SCP) 中的下列 IAM 動作需要透過此遷移進行更新：
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`

若要了解如何使用 **Affected policies** (受影響的政策) 工具來識別受影響的 IAM 政策，請參閱 [如何使用受影響的政策工具](migrate-security-iam-tool.md)。

**注意**  
對 AWS Cost Explorer提出的程式設計請求、 AWS 成本和用量報告，以及 AWS 預算不受影響。  
[啟用 Billing and Cost Management 主控台的存取權](control-access-billing.md#ControllingAccessWebsite-Activate) 保持不變。

**Topics**
+ [管理存取許可](#migrate-control-access-CMG)
+ [如何使用受影響的政策工具](migrate-security-iam-tool.md)

## 管理存取許可
<a name="migrate-control-access-CMG"></a>

AWS Cost Management 與 AWS Identity and Access Management (IAM) 服務整合，因此您可以控制組織中誰可以存取 [AWS Cost Management 主控台](https://console.aws.amazon.com/cost-management/)上的特定頁面。您可以控制對 AWS Cost Management 功能的存取。例如， AWS Cost Explorer、Savings Plans 和保留建議、Savings Plans 和保留使用率和涵蓋範圍報告。

使用下列 IAM 許可進行 AWS 成本管理主控台的精細控制。

### 使用精細 AWS 的成本管理動作
<a name="migrate-user-permissions"></a>

此資料表摘要說明允許或拒絕 IAM 使用者和角色存取成本和用量資訊的許可。如需使用這些許可的政策範例，請參閱 [AWS 成本管理政策範例](billing-example-policies.md)。

如需 AWS 帳單主控台的動作清單，請參閱[AWS 《帳單使用者指南》中的帳單動作政策](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions)。 *AWS *



- ** [AWS 成本管理首頁](https://console.aws.amazon.com/cost-management/home#/) **
  - **IAM 動作:** `ce:GetCostAndUsage`<br />`ce:GetDimensionValues`<br />`ce:GetCostForecast`<br />`ce:GetReservationUtilization`<br />`ce:GetReservationPurchaseRecommendation`<br />`ce:DescribeReport`
  - **Description:** 允許或拒絕使用者檢視**AWS 成本管理首頁**的許可。需要所有 IAM 動作才能檢視頁面。

- ** [AWS Cost Explorer](https://console.aws.amazon.com/cost-management/home#/cost-explorer) **
  - **IAM 動作:** `ce:GetCostCategories`<br />`ce:GetDimensionValues`<br />`ce:GetCostAndUsageWithResources`<br />`ce:GetCostAndUsage`<br />`ce:GetCostForecast`<br />`ce:GetTags`<br />`ce:GetUsageForecast`<br />`ce:DescribeReport` / **Description:** 允許或拒絕使用者檢視 **AWS Cost Explorer** 頁面的許可。
  - **IAM 動作:** `ce:CreateReport` / **Description:** 允許或拒絕使用者儲存 Cost Explorer 報告的許可。

- ** [報告](https://console.aws.amazon.com/cost-management/home#/reports) **
  - **IAM 動作:** `ce:DescribeReport` / **Description:** 允許或拒絕使用者檢視已儲存報告清單的許可。
  - **IAM 動作:** `ce:DeleteReport` / **Description:** 允許或拒絕使用者刪除已儲存報告的許可。

- ** [AWS Budgets](https://console.aws.amazon.com/billing/home#/budgets) **
  - **IAM 動作:** `budgets:ViewBudget`<br />`budgets:DescribeBudgetActionsForBudget`<br />`budgets:DescribeBudgetAction`<br />`budgets:DescribeBudgetActionsForAccount`<br />`budgets:DescribeBudgetActionHistories` / **Description:** 允許或拒絕使用者檢視**預算**頁面的許可。
  - **IAM 動作:** `budgets:CreateBudgetAction`<br />`budgets:ExecuteBudgetAction`<br />`budgets:DeleteBudgetAction`<br />`budgets:UpdateBudgetAction`<br />`budgets:ModifyBudget` / **Description:** 允許或拒絕使用者建立、刪除和修改預算和預算動作的許可。

- ** [AWS 成本異常偵測](https://console.aws.amazon.com/cost-management/home#/anomaly-detection) **
  - **IAM 動作:** `ce:GetDimensionValues`<br />`ce:GetCostAndUsage`<br />`ce:CreateAnomalyMonitor`<br />`ce:GetAnomalyMonitors`<br />`ce:UpdateAnomalyMonitor`<br />`ce:DeleteAnomalyMonitor`<br />`ce:CreateAnomalySubscription`<br />`ce:GetAnomalySubscriptions`<br />`ce:UpdateAnomalySubscription`<br />`ce:DeleteAnomalySubscription`<br />`ce:GetAnomalies`<br />`ce:ProvideAnomalyFeedback`
  - **Description:** 允許或拒絕使用者在**成本異常偵測**頁面上檢視、建立、刪除和更新的許可。

- ** [調整建議的權利](https://console.aws.amazon.com/cost-management/home#/rightsizing) **
  - **IAM 動作:** `ce:GetDimensionValues`<br />`ce:GetTags`<br />`ce:GetRightsizingRecommendation`
  - **Description:** 允許或拒絕使用者檢視 **Savings Plans 概觀**頁面的許可。

- **[Savings Plans 概觀](https://console.aws.amazon.com/cost-management/home#/savings-plans/overview)**
  - **IAM 動作:** `ce:GetSavingsPlansUtilizationDetails`<br />`ce:GetSavingsPlansPurchaseRecommendation` / **Description:** 
  - **IAM 動作:** `ce:DescribeNotificationSubscription` / **Description:** 允許或拒絕使用者檢視過期和排入佇列的 Savings Plans 提醒之現有通知設定的許可。
  - **IAM 動作:** `ce:CreateNotificationSubscription`<br />`ce:UpdateNotificationSubscription`<br />`ce:DeleteNotificationSubscription` / **Description:** 允許或拒絕使用者更新現有通知設定的許可，以用於過期和排入佇列的 Savings Plans 提醒。

- **[Savings Plans 庫存](https://console.aws.amazon.com/cost-management/home#/savings-plans/inventory)**
  - **IAM 動作:** `savingsplans:DescribeSavingsPlans`<br />`ce:GetSavingsPlansUtilizationDetails` / **Description:** 允許或拒絕使用者檢視已購買 Savings Plans 的許可。
  - **IAM 動作:** `savingsplans:DescribeSavingsPlansOfferings` / **Description:** 允許或拒絕使用者將想要續約的 Savings Plans 新增至購物車的許可。

- ** [Savings Plans 建議](https://console.aws.amazon.com/cost-management/home#/savings-plans/recommendations) **
  - **IAM 動作:** `ce:GetSavingsPlansPurchaseRecommendation`<br />`ce:ListSavingsPlansPurchaseRecommendationGeneration` / **Description:** 允許或拒絕使用者檢視產生的 Savings Plans 建議的許可。
  - **IAM 動作:** `ce:StartSavingsPlansPurchaseRecommendationGeneration` / **Description:** 允許或拒絕使用者根據最新用量和 Savings Plans 清查來計算一組新建議的許可。

- ** [購買 Savings Plans](https://console.aws.amazon.com/cost-management/home#/savings-plans/purchase) **
  - **IAM 動作:** `savingsplans:DescribeSavingsPlansOfferings`
  - **Description:** 允許或拒絕使用者將 Savings Plans 新增至購物車的許可。

- ** [Savings Plans 使用率報告](https://console.aws.amazon.com/cost-management/home#/savings-plans/utilization) **
  - **IAM 動作:** `ce:DescribeReport`<br />`ce:GetSavingsPlansUtilization`<br />`ce:GetSavingsPlansUtilizationDetails`<br />`ce:GetDimensionValues` / **Description:** 允許或拒絕使用者檢視現有 Savings Plans 使用率的許可。
  - **IAM 動作:** `savingsplans:DescribeSavingsPlanRates` / **Description:** 允許或拒絕使用者檢視 Savings Plans 費率的許可。

- ** [Savings Plans 涵蓋範圍報告](https://console.aws.amazon.com/cost-management/home#/savings-plans/coverage) **
  - **IAM 動作:** `ce:GetDimensionValues`<br />`ce:GetSavingsPlansCoverage`<br />`ce:GetCostCategories`<br />`ce:DescribeReport`<br />`ce:GetSavingsPlansPurchaseRecommendation`
  - **Description:** 允許或拒絕使用者檢視 Savings Plans 涵蓋之合格支出的許可。

- ** [Savings Plans 購物車](https://console.aws.amazon.com/cost-management/home#/savings-plans/cart) **
  - **IAM 動作:** `savingsplans:DescribeSavingsPlansOfferings`<br />`savingsplans:DescribeSavingsPlans` / **Description:** 允許或拒絕使用者購買 Savings Plans 的許可。
  - **IAM 動作:** `savingsplans:CreateSavingsPlan` / **Description:** 

- ** [預留概觀](https://console.aws.amazon.com/cost-management/home#/ri/dashboard) **
  - **IAM 動作:** `ce:GetReservationUtilization`<br />`ce:GetReservationCoverage`<br />`ce:GetReservationPurchaseRecommendation`<br />`ce:DescribeReport` / **Description:** 允許或拒絕使用者檢視**預留概觀**頁面的許可。
  - **IAM 動作:** `ce:DescribeNotificationSubscription` / **Description:** 允許或拒絕使用者檢視現有通知設定的許可，以將預留執行個體 (RI) 警示過期。
  - **IAM 動作:** `ce:CreateNotificationSubscription`<br />`ce:UpdateNotificationSubscription`<br />`ce:DeleteNotificationSubscription` / **Description:** 允許或拒絕使用者更新過期 RI 警示通知設定的許可。

- ** [預留建議](https://console.aws.amazon.com/cost-management/home#/ri/recommendations) **
  - **IAM 動作:** `ce:GetReservationPurchaseRecommendation`<br />`ce:GetDimensionValues`
  - **Description:** 允許或拒絕使用者檢視保留建議的許可。

- ** [保留使用率報告](https://console.aws.amazon.com/cost-management/home#/ri/utilization) **
  - **IAM 動作:** `ce:GetDimensionValues`<br />`ce:GetReservationUtilization`<br />`ce:DescribeReport` / **Description:** 允許或拒絕使用者檢視現有 RI 使用率的許可。
  - **IAM 動作:** `ce:CreateReport` / **Description:** 允許或拒絕使用者儲存 RI 報告的許可。

- ** [預留涵蓋範圍報告 ](https://console.aws.amazon.com/cost-management/home#/ri/coverage) **
  - **IAM 動作:** `ce:GetReservationCoverage`<br />`ce:GetReservationPurchaseRecommendation`<br />`ce:DescribeReport`<br />`ce:GetDimensionValues`<br />`ce:GetCostCategories` / **Description:** 允許或拒絕使用者檢視預留 (RIs許可。
  - **IAM 動作:** `ce:CreateReport` / **Description:** 允許或拒絕使用者儲存 RI 涵蓋範圍報告的許可。

- ** [Preferences (偏好設定)](https://console.aws.amazon.com/cost-management/home#/settings) **
  - **IAM 動作:** `ce:GetPreferences` / **Description:** 允許或拒絕使用者檢視 AWS 成本管理偏好設定的許可。
  - **IAM 動作:** `ce:UpdatePreferences` / **Description:** 允許或拒絕使用者更新 AWS 成本管理偏好設定的許可。