【Amazon 策略权限】开启 costexplorer、成本优化中心等权限功能设置,以及委派给成员账号组织的只读权限操作步骤

Amazon Organizations
技领云博主
0
0
> 文章作者:云矩阵 ### 一、问题需求 > 1. 为子用户加上 costexplorer 查看 saving plan 和 RI 的权限; > 2. 为子用户添加该关联组织的只读权限; > 3. 为子用户打开成本优化中心; ![image.png](https://dev-media.amazoncloud.cn/ed18f6015f9a4c4b8bdb163bd09085e0_image.png "image.png") ### 二、操作流程 #### 1. 开启成本优化中心 > 开启后,成本优化正在识别您的节省机会,这最多可能需要24小时。 ![image.png](https://dev-media.amazoncloud.cn/008cea2b96334d94866068ca6089dd2c_image.png "image.png") ![image.png](https://dev-media.amazoncloud.cn/617e3881b44b4b3fa0a1951fe4cc02a5_image.png "image.png") #### 2. 成本管理[首选项](https://so.csdn.net/so/search?q=%E9%A6%96%E9%80%89%E9%A1%B9\\&spm=1001.2101.3001.7020?trk=cndc-detail)中开启关联账户访问 > 在成本管理首选项中,勾选`关联账户访问`。 ![image.png](https://dev-media.amazoncloud.cn/44f56a2f00cd42b381b8ff27bbe6553c_image.png "image.png") #### 3.为子用户设置 OU 只读权限 > 在该用户下,创建内联策略,添加 organizationReadOnlyAccess 权限。 ![image.png](https://dev-media.amazoncloud.cn/ce034f9406244fbab5b9d025f2a54e13_image.png "image.png") #### 4.为子用户设置 CE(Cost Explorer)只读权限 > 为子用户创建CE 只读权限,访问级别勾选`列表、读取` ![image.png](https://dev-media.amazoncloud.cn/d64c24386211494c8d636bab601990ae_image.png "image.png") > 保存更改。 ![image.png](https://dev-media.amazoncloud.cn/438874b4343343049415ab2512ac5ce1_image.png "image.png") > 使用子用户登陆,查看到可以访问到 Cost Explorer。 ![image.png](https://dev-media.amazoncloud.cn/86747d8a71df41dbbdbada6ef441f408_image.png "image.png") #### 5. 为在组织中的成员用户创建委派策略,开启 OU 只读权限 **注意:需要使用子用户登陆进行测试,如果使用 root 根用户登陆会无法显示生效。** > 需要提供关联进组织的客户账户的 ARN(Amazon Resource Name(ARN)唯一标识 Amazon 资源),导航至 IAM,找到对应的用户,填写其 ARN。 > > 格式如下: > > “arn:amazon-cn:iam::xxxxxxxxxxxx:user/xxxxxx” > > 🔴 值得注意的是:CN 区和 Global 区提供的 ARN 格式不同。 > > ✨ 区别如下: > > CN 区:arn:amazon-cn:iam::xxxxxxxxxxxx:user/xxx > > Global 区:arn:amazon:iam::xxxxxxxxxxxx:user/xxx > > 将 Amazon Organizations 策略的管理委派给成员账户,并指定他们可以执行的策略类型和操作。 ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "DelegatingNecessaryDescribeListActions", "Effect": "Allow", "Principal": { "Amazon": [ "arn:amazon:iam::842xxxxxxx312:user/xxxxxx" ] }, "Action": [ "organizations:ListRoots", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListChildren", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListPolicies", "organizations:ListPoliciesForTarget", "organizations:ListTargetsForPolicy", "organizations:ListTagsForResource" ], "Resource": "*" } ] } ``` ![image.png](https://dev-media.amazoncloud.cn/acc103b86bab45b5a812a66b527d2dbf_image.png "image.png") ![image.png](https://dev-media.amazoncloud.cn/79a5f87d96ee4f6a929a9f26ca6135b9_image.png "image.png") ### 三、参考资料 \[1] [控制 Cost Explorer 访问权限 - Amazon Cost Management](https://docs.aws.amazon.com/zh_cn/cost-management/latest/userguide/ce-access.html?trk=cndc-detail) \[2] [【Amazon Organizations 】策略管理委派给客户账号的操作实现](https://blog.csdn.net/qq\\_45392321/article/details/135103839?trk=cndc-detail) [![1.png](https://dev-media.amazoncloud.cn/878d864773ca40c39421d22d54a5be38_1.png "1.png")](https://summit.amazoncloud.cn/2024/register.html?source=DSJAVfG2GS7gEk2Osm6kYXAa+8HnSEVdbCVjkuit7lE= )
0
目录
关闭