实战案例 | 授予财务部门对 AWS 账单控制台的访问权限(Billing)


  项目需求

A 公司正在把本地数据中心的工作负载迁移到 AWS 云计算平台,公司财务部门需要具备访问 AWS 账单和成本管理控制台。

  解决方案

创建一个角色,使得该角色可以具备对AWS 账单控制台的访问权限。授予财务部门对该角色的实用权限。

  作业步骤

步骤一:确认已经授予 AWS IAM 用户对账单控制台的访问权限。
1. 根用户凭证登录 AWS Management Console。
2. 打开账户页面,向下滚动页面,直到找到 IAM 用户和角色的账单信息访问权限部分,然后选择编辑。
3. 选中激活 IAM 访问权限(Activate IAM Access)复选框,以激活对 Billing and Cost Management 页面的访问权限。
4. 选择更新。

备注:
当授予账单信息的 IAM 访问权限时,将会允许 IAM 用户和角色访问 AWS Billing and Cost Management 控制台。此设置不会直接授予 IAM 用户和角色对这些控制台页面的所需权限,而只是允许拥有必要权限的 IAM 用户或角色访可以问AWS Billing and Cost Management 控制台页面。同样的,如果必要的策略已附加到 IAM 用户或角色,但此设置并未启用,则已经附加的策略权限也不会生效。

步骤二:创建测试用户和组
1. 使用 Root user(根用户)登录 AWS 管理控制台。
2. 分别创建两个 AWS IAM 用户,名称为 Finance 和 NoFinance。
Finance 是财务部门成员,需要完全访问您的 AWS 账户中的账单信息。
NoFinance 不是财务部门成员,不需要完全访问您的 AWS 账户中的账单信息。

步骤三:创建角色以授予 AWS Billing and Cost Management控制台访问权限
1. 使用 Root user(根用户)登录 AWS 管理控制台,创建角色。
2. 选择自定义信任策略,在针对 STS 添加操作中,为 STS 添加 AssumeRole,主体类型选择为 IAM User,并且填写 IAM 用户 Finance 的 ARN。
3. 权限策略筛选条件框下,选择AWS 托管策略 Billing。
4. 输入角色名称,然后创建角色。

  结果验证

1. 使用 IAM User 中的 Finance 和 NoFinance分别登录 AWS控制台,尝试打开AWS Billing and Cost Management 控制台页面,发现Finance 和 NoFinance 没有访问权限。
2. 使用 IAM User 中的 NoFinance,发现没有可用的角色,也没有对AWS Billing and Cost Management 控制台页面的访问权限。
3. 使用 IAM User 中的 Finance,发现有可用的角色,切换角色后,发现已经具备访问 AWS Billing and Cost Management 控制台页面的完全访问权限。