一、问题需求

1. 为子用户加上costexplorer查看saving plan 和 RI 的权限；
2. 为子用户添加该关联组织的只读权限；
3. 为子用户打开成本优化中心；

二、操作流程

1. 开启成本优化中心

开启后，成本优化正在识别您的节省机会，这最多可能需要24小时。

2. 成本管理首选项中开启关联账户访问

在成本管理首选项中，勾选关联账户访问。

3.为子用户设置OU只读权限

在该用户下，创建内联策略，添加organizationReadOnlyAccess权限。

4.为子用户设置CE（Cost Explorer）只读权限

为子用户创建CE只读权限，访问级别勾选列表、读取

保存更改。

使用子用户登陆，查看到可以访问到Cost Explorer。

5. 为在组织中的成员用户创建委派策略，开启OU只读权限

注意：需要使用子用户登陆进行测试，如果使用root根用户登陆会无法显示生效。

需要提供关联进组织的客户账户的ARN（Amazon Resource Name（ARN）唯一标识 Amazon 资源），导航至IAM，找到对应的用户，填写其ARN。

格式如下：

“arn:aws-cn:iam::xxxxxxxxxxxx:user/xxxxxx”

🔴 值得注意的是：CN区和Global区提供的ARN格式不同。

✨ 区别如下：

CN区：arn:aws-cn:iam::xxxxxxxxxxxx:user/xxx

Global区：arn:aws:iam::xxxxxxxxxxxx:user/xxx

将 Amazon Organizations 策略的管理委派给成员账户，并指定他们可以执行的策略类型和操作。

{"Version": "2012-10-17","Statement": [{"Sid": "DelegatingNecessaryDescribeListActions","Effect": "Allow","Principal": {"AWS": ["arn:aws:iam::842xxxxxxx312:user/xxxxxx"]},"Action": ["organizations:ListRoots","organizations:ListOrganizationalUnitsForParent","organizations:ListParents","organizations:ListChildren","organizations:ListAccounts","organizations:ListAccountsForParent","organizations:ListPolicies","organizations:ListPoliciesForTarget","organizations:ListTargetsForPolicy","organizations:ListTagsForResource"],"Resource": "*"}]
}

三、参考资料

[1] 控制 Cost Explorer 访问权限 - AWS Cost Management

[2] 【Amazon Organizations 】策略管理委派给客户账号的操作实现