Является ли учетная запись AWS Root единственной учетной записью, которая может просматривать использование и выставление счетов?

Я создал группу: биллинг и пользователя: биллинг. Для этой группы я назначил следующую политику:

AWSAccountActivityAccess-Billing - Allow *
AWSAccountUsageReportAccess-Billing - Allow *

но когда я затем войду в меню «Управление выставлением счетов и затратами» из основного раскрывающегося списка входа на aws.amazon.com, это позволит мне войти в систему с пользователем «выставление счетов», но тогда ничего не будет доступно для просмотра: " Несанкционированное и т. д.».

Значит ли это, что я считаю, что только пользователь Root может просматривать использование и выставление счетов? Это было бы странно и не соответствовало бы совету ни для чего не использовать Root. И с этой целью можно ли на самом деле «отключить» использование Root. Звучит безумно, как бы это сделать... вроде курицы и яйца. Некоторые провайдеры инфраструктуры, которых я использовал, разрешают доступ к определенным вещам верхнего уровня (таким как удаление учетной записи или изменение корневого пароля и т. д.) только через нотариуса-посредника, который делает копии удостоверения личности с фотографией паспорта и т. д. Доходит ли AWS до такой степени, если его спросят? Я бы не хотел быть всего в одном щелчке мыши от инфраструктуры, которая будет удалена по прихоти, если для чего-либо будет скомпрометирован корень.


amazon-web-services amazon-iam
person sectornitad    schedule 10.03.2014    source источник

Ответы (2)


arrow_upward
3
arrow_downward

Существует две политики, которые позволяют просматривать информацию о выставлении счетов и использовании, обе доступны в виде шаблонов:

Оплата – «Доступ к действиям в аккаунте AWS»:

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewBilling"
      ],
      "Resource": "*"
    }
  ]
}

Использование — «Доступ к отчету об использовании аккаунта AWS»:

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "aws-portal:ViewUsage"
      ],
      "Resource": "*"
    }
  ]
}

Они должны быть включены пользователем root, чтобы они вступили в силу. Для этого войдите в систему с учетными данными root и перейдите в «Моя учетная запись» из меню, которое появляется, когда вы щелкаете свое имя. Прокрутите все сервисы, на которые вы подписаны, сервисы, на которые вы не подписаны, и первым абзацем под ними должен быть «Доступ пользователя IAM к веб-сайту AWS». Есть кнопка для его активации и два флажка — один для активности учетной записи, один для отчетов об использовании. Выберите их и активируйте IAM, и политики должны вступить в силу.

person chris    schedule 10.03.2014
comment
спасибо, когда вы говорите, что они должны быть включены пользователем root, чтобы они вступили в силу ... вы имеете в виду, что Root должен включить разрешения или просто назначить разрешения пользователю / группе? Я использовал Root для назначения обоих этих разрешений пользователю «выставление счетов» и все равно не позволяет мне просматривать отчеты об использовании и т. Д. - person sectornitad; 10.03.2014
comment
Обновил ответ. Вы должны включить их при включении IAM. - person chris; 11.03.2014

arrow_upward
3
arrow_downward

Вы можете предоставить пользователю IAM доступ к платежной информации, выполнив следующие действия:

  1. Прикрепите полную политику администратора к пользователю.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
     "Effect": "Allow",
     "Action": "*",
     "Resource": "*"
    }
  ]
}

  2. Активируйте страницы в разделе «Доступ пользователей IAM к AWS» на Страница управления вашей учетной записью из вашей учетной записи root.

Это позволит пользователю IAM получить доступ к платежной информации. Вы правы в предположении, что не хотите использовать учетную запись root для слишком многих действий. Amazon рекомендует заблокировать учетную запись root и управлять доступом пользователей через IAM. .

person EFeit    schedule 10.03.2014
comment
Похоже, это работает — я знаю, что некоторое время назад вам приходилось явно добавлять политики aws-portal. - person chris; 11.03.2014