A 公司正在把本地?cái)?shù)據(jù)中心的工作負(fù)載遷移到 AWS 云計(jì)算平臺(tái),公司財(cái)務(wù)部門需要具備訪問 AWS 賬單和成本管理控制臺(tái)。
創(chuàng)建一個(gè)角色,使得該角色可以具備對(duì)AWS 賬單控制臺(tái)的訪問權(quán)限。授予財(cái)務(wù)部門對(duì)該角色的實(shí)用權(quán)限。
步驟一:確認(rèn)已經(jīng)授予 AWS IAM 用戶對(duì)賬單控制臺(tái)的訪問權(quán)限。
1. 根用戶憑證登錄 AWS Management Console。
2. 打開賬戶頁面,向下滾動(dòng)頁面,直到找到 IAM 用戶和角色的賬單信息訪問權(quán)限部分,然后選擇編輯。
3. 選中激活 IAM 訪問權(quán)限(Activate IAM Access)復(fù)選框,以激活對(duì) Billing and Cost Management 頁面的訪問權(quán)限。
4. 選擇更新。
備注:
當(dāng)授予賬單信息的 IAM 訪問權(quán)限時(shí),將會(huì)允許 IAM 用戶和角色訪問 AWS Billing and Cost Management 控制臺(tái)。此設(shè)置不會(huì)直接授予 IAM 用戶和角色對(duì)這些控制臺(tái)頁面的所需權(quán)限,而只是允許擁有必要權(quán)限的 IAM 用戶或角色訪可以問AWS Billing and Cost Management 控制臺(tái)頁面。同樣的,如果必要的策略已附加到 IAM 用戶或角色,但此設(shè)置并未啟用,則已經(jīng)附加的策略權(quán)限也不會(huì)生效。
步驟二:創(chuàng)建測(cè)試用戶和組
1. 使用 Root user(根用戶)登錄 AWS 管理控制臺(tái)。
2. 分別創(chuàng)建兩個(gè) AWS IAM 用戶,名稱為 Finance 和 NoFinance。
Finance 是財(cái)務(wù)部門成員,需要完全訪問您的 AWS 賬戶中的賬單信息。
NoFinance 不是財(cái)務(wù)部門成員,不需要完全訪問您的 AWS 賬戶中的賬單信息。
步驟三:創(chuàng)建角色以授予 AWS Billing and Cost Management控制臺(tái)訪問權(quán)限
1. 使用 Root user(根用戶)登錄 AWS 管理控制臺(tái),創(chuàng)建角色。
2. 選擇自定義信任策略,在針對(duì) STS 添加操作中,為 STS 添加 AssumeRole,主體類型選擇為 IAM User,并且填寫 IAM 用戶 Finance 的 ARN。
3. 權(quán)限策略篩選條件框下,選擇AWS 托管策略 Billing。
4. 輸入角色名稱,然后創(chuàng)建角色。
1. 使用 IAM User 中的 Finance 和 NoFinance分別登錄 AWS控制臺(tái),嘗試打開AWS Billing and Cost Management 控制臺(tái)頁面,發(fā)現(xiàn)Finance 和 NoFinance 沒有訪問權(quán)限。
2. 使用 IAM User 中的 NoFinance,發(fā)現(xiàn)沒有可用的角色,也沒有對(duì)AWS Billing and Cost Management 控制臺(tái)頁面的訪問權(quán)限。
3. 使用 IAM User 中的 Finance,發(fā)現(xiàn)有可用的角色,切換角色后,發(fā)現(xiàn)已經(jīng)具備訪問 AWS Billing and Cost Management 控制臺(tái)頁面的完全訪問權(quán)限。