サービスの支払いを管理する機能のみを持つユーザーでグループを作成したいと考えています。たとえば、アカウントのクレジット カード情報を入力するなどです。このユーザーに、コンソールの他のツールへのアクセスを許可したくありません。 . どうすればいいですか?
質問する
4642 次
3 に答える
4
残念ながら、AWS Identity and Access Management (IAM)では、ご想像のとおりこれを行うことはできません。IAM により、 AWS アカウントの請求情報へのユーザー アクセスの制御が可能になりますが、これには、IAM ユーザーにそれぞれのページ (必要な許可aws-portal:ViewBillingし、aws-portal:ViewUsageこれを名前に含めます):
AWS ウェブサイトは AWS Identity and Access Management (IAM) と統合されているため、請求情報へのアクセスをユーザーに許可できます。[アカウント アクティビティ]ページと [使用状況レポート] ページへのアクセスを制御できます。[アカウント アクティビティ] ページには、料金とアカウント アクティビティに関する請求書と詳細情報が、サービス別および使用タイプ別に表示されます。使用状況レポート ページには、加入している各サービスの詳細な使用状況レポートが表示されます。
回避策
もちろん、あなたのユース ケースは健全で、頻繁に遭遇します。AWS は、統合請求という適切な名前の別のソリューションを提供します。これにより、単一の支払いアカウントを指定することで、社内の複数のアマゾン ウェブ サービス (AWS) アカウントの支払いを統合できます。
一括請求では、すべてのアカウントで発生した AWS 料金をまとめて表示したり、支払いアカウントに関連付けられた個々の AWS アカウントごとに詳細なコスト レポートを取得したりできます。
そのため、リンクされたアカウントのすべての料金が支払いアカウントに請求されるため、支払い管理を担当するユーザーに、この統合された請求アカウントへのアクセスのみを許可する必要があります。あなたの他のアカウント:
ただし、リンクされた各アカウントは、他のすべての点で完全に独立しています (サービスへのサインアップ、リソースへのアクセス、AWS プレミアム サポートの使用など)。支払いアカウントの所有者は、リンクされたアカウントの所有者に属するデータ(Amazon S3 内のファイルなど) にアクセスできません。各アカウント所有者は、独自の AWS 認証情報を使用してリソースにアクセスします (たとえば、独自の AWS シークレット アクセス キー)。[鉱山を強調]
警告
一括請求により、問題が分離され、リソース/データと請求/支払いが相互に保護されますが、一括請求アカウントの主要な AWS アカウント資格情報 (E メール/パスワード) をユーザーと共有する必要があります。これは、今後 IAM ユーザーを容易にするために強く推奨されるアドバイスの残念な例外です。
- したがって、AWS は、 AWS Multi-Factor Authentication と強力なパスワードを使用して、少なくとも支払いアカウントを保護することをお勧めします。詳細については、支払いアカウントのセキュリティを参照してください。
于 2013-07-04T17:20:48.590 に答える