【Amazon 策略权限】开启 costexplorer、成本优化中心等权限功能设置，以及委派给成员账号组织的只读权限操作步骤

> 文章作者：云矩阵 ### 一、问题需求 > 1. 为子用户加上 costexplorer 查看 saving plan 和 RI 的权限； > 2. 为子用户添加该关联组织的只读权限； > 3. 为子用户打开成本优化中心；  ### 二、操作流程 #### 1. 开启成本优化中心 > 开启后，成本优化正在识别您的节省机会，这最多可能需要24小时。   #### 2. 成本管理[首选项](https://so.csdn.net/so/search?q=%E9%A6%96%E9%80%89%E9%A1%B9\&spm=1001.2101.3001.7020?trk=cndc-detail)中开启关联账户访问 > 在成本管理首选项中，勾选`关联账户访问`。  #### 3.为子用户设置 OU 只读权限 > 在该用户下，创建内联策略，添加 organizationReadOnlyAccess 权限。  #### 4.为子用户设置 CE（Cost Explorer）只读权限 > 为子用户创建CE 只读权限，访问级别勾选`列表、读取`  > 保存更改。  > 使用子用户登陆，查看到可以访问到 Cost Explorer。  #### 5. 为在组织中的成员用户创建委派策略，开启 OU 只读权限 **注意：需要使用子用户登陆进行测试，如果使用 root 根用户登陆会无法显示生效。** > 需要提供关联进组织的客户账户的 ARN（Amazon Resource Name（ARN）唯一标识 Amazon 资源），导航至 IAM，找到对应的用户，填写其 ARN。 > > 格式如下： > > “arn:amazon-cn:iam::xxxxxxxxxxxx:user/xxxxxx” > > 🔴 值得注意的是：CN 区和 Global 区提供的 ARN 格式不同。 > > ✨ 区别如下： > > CN 区：arn:amazon-cn:iam::xxxxxxxxxxxx:user/xxx > > Global 区：arn:amazon:iam::xxxxxxxxxxxx:user/xxx > > 将 Amazon Organizations 策略的管理委派给成员账户，并指定他们可以执行的策略类型和操作。 ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "DelegatingNecessaryDescribeListActions", "Effect": "Allow", "Principal": { "Amazon": [ "arn:amazon:iam::842xxxxxxx312:user/xxxxxx" ] }, "Action": [ "organizations:ListRoots", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListChildren", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListPolicies", "organizations:ListPoliciesForTarget", "organizations:ListTargetsForPolicy", "organizations:ListTagsForResource" ], "Resource": "*" } ] } ```   ### 三、参考资料 \[1] [控制 Cost Explorer 访问权限 - Amazon Cost Management](https://docs.aws.amazon.com/zh_cn/cost-management/latest/userguide/ce-access.html?trk=cndc-detail) \[2] [【Amazon Organizations 】策略管理委派给客户账号的操作实现](https://blog.csdn.net/qq\_45392321/article/details/135103839?trk=cndc-detail) [](https://summit.amazoncloud.cn/2024/register.html?source=DSJAVfG2GS7gEk2Osm6kYXAa+8HnSEVdbCVjkuit7lE= )