费用与成本自定义权限策略示例

如果系统权限策略不能满足您的要求，您可以创建自定义权限策略实现最小授权。使用自定义权限策略有助于实现权限的精细化管控，是提升资源访问安全的有效手段。本文介绍费用与成本使用自定义权限策略的场景和策略示例。

什么是自定义权限策略

在基于RAM的访问控制体系中，自定义权限策略是指在系统权限策略之外，您可以自主创建、更新和删除的权限策略。自定义权限策略的版本更新需由您来维护。

创建自定义权限策略后，需为RAM用户、用户组或RAM角色绑定权限策略，这些RAM身份才能获得权限策略中指定的访问权限。

已创建的权限策略支持删除，但删除前需确保该策略未被引用。如果该权限策略已被引用，您需要在该权限策略的引用记录中移除授权。

自定义权限策略支持版本控制，您可以按照RAM规定的版本管理机制来管理您创建的自定义权限策略版本。

操作文档

创建自定义权限策略

修改自定义权限策略内容和备注

删除自定义权限策略

管理权限策略引用记录

管理自定义权限策略版本

费用与成本整体权限策略

阿里云费用与成本控制台是通过云账号登录进行管理，各账号登录使用涉及到权限的管理。实际使用过程中，存在两种权限控制场景：

跨账号的管理权限：企业存在多个账号，A账号作为管理员，管理其他成员账号，涉及到的权限控制。

单账号内不同使用角色的管理权限：单账号下多个使用角色共同使用，涉及到不同使用人权限控制。

对应上述两个场景，费用与成本分别提供权限策略，来实现对应场景下的权限控制：

企业账号权限策略：对应跨账号管理场景下的权限控制。

RAM权限策略：对应一个账号下多个使用人场景下的权限控制。

最佳实践

区别于个人电商的购买行为，云上资源往往有多角色参与整个采购和消费过程，例如运维、采购、BD、财务、法务等，随着企业规模扩大，业务的复杂度上升，面临多个业务同时上云的情况，针对不同的客户规模情况，推荐不同的人员角色在费用与成本控制台的权限管理策略：

推荐以RAM权限策略控制

对于较为简单的公司业务，可以注册单一的云账号，该云账号购买和部署使用云资源。对于公司的不同成员，例如IT运维、财务、采购、法务等角色，建议各角色注册不同的RAM用户，并对不同角色授予对应的RAM权限策略，来实现不同角色控权的需求。

推荐 企业账号权限策略 +RAM权限策略的叠加策略控制

建议企业开通企业账号中心功能，在此基础上注册/邀请企业成员账号，构建起企业账号的业务组织树，再辅以企业账号权限，和RAM用户的权限策略，如下图：

在设置账号时，建议您在职责上加以区分，各司其职，以方便管理。

职责

说明

管理账号

管理账号作为管理角色，建议不参与实际的消费和资源购买。

管理可能有不同的角色，采购、财务、运维等，建议注册不同账号分别使用。

管理可能有不同的层级，建议按需在各层级设置管理账号。

生产账号

生产账号作为业务上云消费的资源购买和运维使用。

建议按照业务的最小管理单元设置账号，可实现业务的最细粒度资产及数据和管控策略的隔离，以及后期费用与成本的对账，核算。

生产账号需要资金预算支撑消费，管理员可以设置相应的账户用以结算，依据不同的管理诉求：

专用场景：各业务的管理需要专款专用，且相互业务之间不受影响，可以对每一业务设置独立的账户用以结算。这一模式下各账户的资金相互独立，账户的欠费/停机不会影响到其他业务的账号。

通用场景：各业务账号消费产生的费用可以统一在一起结算，不存在专款专用的诉求，则可以把相关的账号都设置为同一个账户做结算。

RAM账号

一个业务不会只有一个运维人员，当需要不同运维和使用人员共同使用同一个账号时，建议通过设置RAM账号的方式，实现不同人员通过各自RAM账号的分权和隔离使用。

企业账号权限策略

企业账号权限策略，适用于企业存在多个云账号，且存在跨云账号的操作与管理的场景。

如何使用企业账号权限策略？

使用企业账号权限策略，需要您先开启企业账号中心功能，邀请企业的账号构建企业的账号组织树，基于定义的每一账号的角色，授权对应的权限。详情请参考什么是企业账号中心。

如何在企业账号下设置账号权限？

企业账号权限的授权，通过角色的方式授权到对应的账号，则该账号即具备对应角色下的功能权限，具体操作步骤请参考：

角色下可以约定授权该角色可以使用的功能权限，详情请参见角色创建。

角色具有类型，可以定义为是成员角色或管理员角色。

对于成员账号，授权成员角色，成员账号被授权使用对应角色下的功能，但可操作的账号范围仅该账号本身。

对于管理员账号，授权管理员角色，管理员账号被授权对应角色下的功能，且可以操作对应管理的成员账号，具体可管理的账号包括管理员账号所在组织节点及下级节点的所有账号。

费用与成本企业账号权限点清单

重要

部分权限点只适用于费用与成本新版控制台，旧版费用与成本（橙色）暂时不生效，请访问新版使用。

权限名称

权限code

适用角色

权限说明

权限名称

权限code

适用角色

权限说明

可用额度预警设置权限

setavailablecreditwarning

成员类型，管理员类型

设置和修改可用额度预警的权限

自动销账设置权限

setautopay

成员类型，管理员类型

设置自动销账开启与关闭的权限

延停设置权限

setextendedsuspensionservice

成员类型，管理员类型

设置延停权益开启与关闭的权限

充值权限

chargefund

成员类型，管理员类型

为账号余额充值的权限，获取该权限后，可以通过银行汇款，支付宝，企业网银在费用与成本控制台或阿里云APP进行充值

提现权限

withdrawfund

成员类型，管理员类型

提现的权限，包括提现的发起，提现记录的查询权限，

资金记录查询权限

queryfund

成员类型，管理员类型

资金收支记录的查询和导出权限，资金收支记录的查询和导出权限，企业资产查询权限

账单、结算单查询权限

querybill

成员类型，管理员类型

查询月账单的权限，查询账单明细数据，导出账单明细数据，导出所选择的产品用量明细

手动销账权限

payforbill

成员类型，管理员类型

手动销账权限

分账设置权限

setcostallocation

成员类型，管理员类型

分账设置权限，财务单元查询，财务单元新建，编辑，删除

成本分析管理权限

costmanagement

成员类型，管理员类型

成本分析管理权限，自助分析管理，报告管理，成本优化管理，成本账单查询等

预算管理权限

budgetmanagement

成员类型，管理员类型

预算管理权限。预算创建，编辑和删除、复制、预实分析订阅；预算列表查询，预算预实分析查询；报告导出

订单查询权限

queryorder

成员类型，管理员类型

订单及明细的查询，订单明细导出

订单取消权限

cancelorder

成员类型，管理员类型

费用与成本订单列表作废未支付订单

订单操作权限

payorder

成员类型，管理员类型

费用与成本订单列表操作支付订单

查询可续费清单

queryrenew

成员类型，管理员类型

费用与成本续费管理查询可续费清单列表

订单续费设置

configrenew

成员类型，管理员类型

费用与成本续费管理设置续费的配置（自动续费、不续费等）

导出续费清单

expotrenew

成员类型，管理员类型

费用与成本续费管理导出待续费清单

续费操作管理

writerenew

成员类型，管理员类型

费用与成本续费管理操作续费

订单退订权限

queryrefund

成员类型，管理员类型

退订管理查询可退资源的清单和费用明细

退订操作管理

writerefund

成员类型，管理员类型

退订管理操作退订资源

卡券查询权限

couponmanagement

成员类型，管理员类型

卡券查询权限

节省计划管理权限

savingplanmanagement

成员类型，管理员类型

节省计划管理权限

资源包管理权限

resourcemanagement

成员类型，管理员类型

资源包管理权限、查询，操作

发票查询权限

queryinvoice

成员类型，管理员类型

查询发票内容

开票信息编辑权限

invoiceinformationmanagement

成员类型，管理员类型

编辑抬头、地址等开票相关主数据信息

申请开票权限

applyinvoice

成员类型，管理员类型

申请开票权限，月账单的开票申请

统一结算权限

unifiedsettlement

管理员类型

统一结算权限

资产共享设置权限

assetsharing

管理员类型

资产共享设置权限

成本优化管理权限

optimizemanagement

成员类型，管理员类型

可访问成本优化，使用成本优化的功能

成本账单管理权限

gaapbillmanagement

成员类型，管理员类型

可访问成本账单，使用成本账单的功能

信控额度设置权限

setcredit

管理员类型

对管理的各账号下信控额度设置修改的权限

资金划拨权限

fundtransfer

管理员类型

对管理的各账号下资金余额进行划拨与回收的权限

订单价格查询权限

queryprice

成员类型，管理员类型

订单下单时价格查询

修改资金账户名称

ModifyBillingAccount

成员类型，管理员类型

修改资金账户名称

修改资金账户结算币种

ModifyCurrency

成员类型，管理员类型

修改资金账户结算币种

修改资金账户绑定支付方式

ModifyPaymentMethods

成员类型，管理员类型

修改资金账户绑定支付方式

修改账号关联付款的资金账户

ModifyPaymentRelationship

管理员类型

修改账号关联付款的资金账户

修改资金账户的管理员

ModifyBillingAccountAdministrator

管理员类型

修改资金账户的管理员

资源过户权限

TransferResources

成员类型，管理员类型

操作将一个阿里云账号下的云资源过户转移给另一阿里云账号的权限

合同管理操作权限

operatecontract

管理员类型，成员类型

合同管理操作权限（含申请，确认，作废等）

合同下载权限

downloadcontract

管理员类型，成员类型

合同下载权限

合同详情查询权限

querycontractdetail

管理员类型，成员类型

合同详情查询权限

合同查询权限

querycontract

管理员类型，成员类型

合同查询权限

RAM权限策略

RAM权限策略的介绍说明，请参见什么是访问控制。

RAM用户创建，权限授权管理，请前往RAM访问控制台。

RAM用户登录，请前往RAM用户登录。

RAM权限策略，支持默认权限策略与自定义权限策略两种方式。

更多详情请参见身份管理。

费用与成本RAM权限策略

阿里云费用与成本提供基于RAM的权限策略控制。目前有以下几种策略：

AliyunBSSReadOnlyAccess，只读访问费用与成本(BSS)策略

AliyunBSSOrderAccess，在费用与成本(BSS)查看订单、支付订单策略

AliyunBSSFullAccess，费用与成本(BSS)全部权限策略

AliyunBSSCartReadOnlyAccess，购物车查看权限策略

AliyunBSSCartFullAccess，购物车全部权限策略（包括：加入商品、移除商品、修改数量和时长、基于购物车场景发起的创建订单）

AliyunBSSFullAccess是费用与成本全部权限策略，拥有该策略的用户具有所有权限。

AliyunBSSReadOnlyAccess和AliyunBSSOrderAccess策略涉及费用与成本菜单如下表：

菜单

子菜单

AliyunBSSReadOnlyAccess

AliyunBSSOrderAccess

账户总览

-

页面可查看，无业务操作

页面不可查看，不可发起业务操作

账户总览

充值

页面可查看，不可发起业务操作

页面不可查看，不可发起业务操作

账户总览

提现

页面可查看，可发起业务操作

页面不可查看，不可发起业务操作

账户总览

退款

页面可查看，不可发起业务操作

页面不可查看，不可发起业务操作

账户总览

申请网商贷

页面可查看，可发起业务操作

页面不可查看，不可发起业务操作

账户总览

申请支付宝首付款工具

页面可查看，可发起业务操作

页面不可查看，不可发起业务操作

账户总览

查看详情

页面可查看，无业务操作

页面不可查看，不可发起业务操作

账户总览

代金券管理

页面可查看，无业务操作

页面不可查看，不可发起业务操作

账户总览

资源包管理

页面可查看，无业务操作

页面不可查看，不可发起业务操作

账户总览

索取发票

页面可查看，无业务操作

页面不可查看，不可发起业务操作

账户总览

申请合同

页面可查看，无业务操作

页面不可查看，不可发起业务操作

收支明细

-

页面可查看，不可发起业务操作

页面不可查看，不可发起业务操作

消费记录

消费总览

页面可查看，可发起业务操作

页面不可查看，不可发起业务操作

消费记录

消费明细

页面可查看，可发起业务操作

页面不可查看，不可发起业务操作

消费记录

使用记录

页面可查看，可发起业务操作

页面不可查看，不可发起业务操作

消费记录

实例消费明细

页面可查看，可发起业务操作

页面不可查看，不可发起业务操作

消费记录

月度成本消耗

页面可查看，可发起业务操作

页面不可查看，不可发起业务操作

消费记录

导出记录

页面可查看，可发起业务操作

页面不可查看，不可发起业务操作

消费记录

存储到OSS

页面可查看，可发起业务操作

页面不可查看，不可发起业务操作

账单分析

产品账单分析

页面可查看，可发起业务操作

页面不可查看，不可发起业务操作

保证金管理

-

页面可查看，不可发起业务操作

页面不可查看，不可发起业务操作

订单管理

-

页面可查看，不可发起业务操作

页面可查看，可发起业务操作

代金券管理

-

页面可查看，无业务操作

页面不可查看，不可发起业务操作

优惠券管理

-

页面不可查看，不可发起业务操作

页面不可查看，不可发起业务操作

储值卡管理

-

页面不可查看，不可发起业务操作

页面不可查看，不可发起业务操作

提货券管理

-

页面不可查看，不可发起业务操作

页面不可查看，不可发起业务操作

采购单

-

页面不可查看，不可发起业务操作

页面不可查看，不可发起业务操作

资源包管理

资源包概览

页面可查看，无业务操作

页面不可查看，不可发起业务操作

资源包管理

使用明细

页面可查看，无业务操作

页面不可查看，不可发起业务操作

发票管理

发票索取

页面可查看，不可发起业务操作

页面不可查看，不可发起业务操作

发票管理

发票列表

页面可查看，无业务操作

页面不可查看，不可发起业务操作

发票管理

发票信息管理

页面可查看，不可发起业务操作

页面不可查看，不可发起业务操作

发票管理

发票寄送地址管理

页面可查看，不可发起业务操作

页面不可查看，不可发起业务操作

汇款底单管理

-

页面可查看，不可发起业务操作

页面不可查看，不可发起业务操作

退订管理

五天无理由退款

页面可查看，不可发起业务操作

页面不可查看，不可发起业务操作

退订管理

退订记录

页面可查看，无业务操作

页面不可查看，不可发起业务操作

合同管理

合同申请

页面可查看，无业务操作

页面不可查看，不可发起业务操作

合同管理

合同管理

页面可查看，无业务操作

页面不可查看，不可发起业务操作

可用性中心

-

页面不可查看，不可发起业务操作

页面不可查看，不可发起业务操作

续费管理

-

页面不可查看，不可发起业务操作

页面不可查看，不可发起业务操作

购买页

各产品购买页

页面可查看，不可发起业务操作

页面可查看，不可发起业务操作

费用与成本RAM自定义权限策略：

自定义权限策略通过RAM访问控制的权限策略管理，来创建自定义权限策略：

选择脚本编辑，并在Action中增加费用与成本管理中需要的权限点。

完成自定义权限策略配置后，再将对应权限策略授权到对应的RAM用户，即可实现对应RAM用户的自定义权限控制。

在RAM访问控制-授权中，新增授权，选择需要授权的用户对象，在权限策略中选择自定义策略，选择预先配置的自定义权限策略，完成对应用户对象的授权。

产品模块

权限点

权限点说明

权限类型

订单

bss:DescribeOrderList

查询订单列表

查询

bss:DescribeOrderDetail

查询订单详情

查询

bss:PayOrder

支付订单

操作

bss:CancelOrder

作废订单

操作

续费

bss:ModifyRenew*

操作资源续费

操作

bss:DescribeRenew*

查询可续费资源

查询

退订资源

bss:Refund

资源退订

操作

资金

bss:DescribeAccount

账户资金余额查询

查询

bss:ModifyBalance

账户余额充值

操作

bss:DescribeWithdraw

账户可提现金额，提现记录查询

查询

bss:ModifyWithdraw

申请账户提现

操作

bss:DescribeFund

资金收支明细，代金券查询

查询

bss:DescribeAsset

汇款流水查询

查询

bss:ModifyRemittance

汇款认领操作

操作

bss:DescribeCredit

信控额度查询功能

查询

bss:DescribeAlarm

可用额度预警查询

查询

bss:ModifyAlarm

可用额度预警设置

操作

bss:DescribeStoredCard

储值卡查询

查询

账单

bss:DescribeBill

账单，摊销成本账单，成本分析查询

查询

bss:DescribeBillMonth

月账单查询

查询

bss:DescribeReport

账单导出

查询

bss:DescribeOss

账单订阅查询

查询

bss:ModifyOssSub

账单订阅操作

操作

合同

bss:DescribeContractBasicInfo

获取订单列表信息，合同文件下载，

合同列表，查询合同作废原因，是否发票多抬头合同，用户是否被限制开合同，获取基本信息，获取合同数量，合同详情，获取甲方主体信息

查询

bss:ModifyContractCreate

订单合同创建，查询订单列表，查询账单列表，创建发票多抬头合同

操作

bss:DescribeContractPartyA

获取用户信息：验证码手机号与邮箱，获取多主体信息

查询

bss:ModifyContractApplyPaper

申请纸质合同

操作

bss:ModifyContractBasicAction

修改合同信息

操作

bss:ModifyContractStatus

大客户操作短信验证码，转正发票多抬头合同，作废合同，删除合同

操作

bss:QueryPrice

隐藏优惠折扣信息

查询

成本管理

bss:DescribeSubject

成本总览查询

查询

bss:DescribeDimension

成本分析按各维度查询分析结果

查询

bss:DescribeMeta

成本分析维度源数据查询

查询

bss:ModifyReport

修改成本报告模板

操作

bss:ModifyBudget

预算管理编辑权限

操作

bss:DescribeBudget

预算管理查询权限

查询

bss:DescribeAnomaly

查询异常检测结果数据

查询

bss:ModifyAnomaly

编辑处理异常检测问题

操作

bss:DescribeOptimize

查询成本优化建议

查询

bss:ModifyOptimize

编辑和处理成本优化建议

操作

bss:DescribeCostUnit

财务单元查询权限

查询

bss:ModifyCostUnit

财务单元编辑权限

操作

资源包

bss:DescribeFrInstances

资源包实例查询

查询

bss:DescribeDistinctProductFromInstance

bss:DescribeDistinctCommodityFromInstance

bss:DescribeDistinctSpecFromInstance

bss:DescribeDistinctTemplateFromInstance

bss:DescribeDeductLogs

资源包抵扣记录查询

查询

bss:DescribeDistinctCommodityFromDeductLog

bss:DescribeDistinctBillingCommodityFromDeductLog

bss:DescribeDistinctRelationAccountIdFromDeductLog

bss:DescribeHourOrDayStat

资源包资源记录统计分析查询

查询

bss:DescribeMonthStat

bss:DescribeAnalysis

资源包使用率/覆盖率分析查询

查询

bss:ModifyWarnConfig

修改资源包余量预警规则

操作

bss:DescribeWarnConfig

查询资源包余量预警设置

查询

权限配置请登录RAM控制台

RAM账号登录

阿里云Billing OpenAPI授权介绍

目前阿里云Billing OpenAPI支持对RAM User授权，在RAM策略中授权AliyunBSSFullAccess权限后，即可使用所有Billing OpenAPI。详情请参见阿里云Billing OpenAPI文档。

该文章对您有帮助吗？

什么是自定义权限策略

操作文档

费用与成本整体权限策略

最佳实践

企业账号权限策略

如何使用企业账号权限策略？

如何在企业账号下设置账号权限？

费用与成本企业账号权限点清单

RAM权限策略

费用与成本RAM权限策略

费用与成本RAM自定义权限策略：

阿里云Billing OpenAPI授权介绍

相关知识

香港公司审计费用分析及成本控制策略
7 年针对亚马逊卖家的 2024 种强大的 PPC 策略（附示例）
Lazada开店成本与控制策略
谷歌推广费用，理解成本结构与优化广告支出！
联系客服
云备份服务
园林绿化工程成本控制策略简述
用户权限
试论公园绿化施工项目成本控制策略.doc
园林绿化工程施工成本控制的策略

网址: 费用与成本自定义权限策略示例 https://www.huajiangbk.com/newsview1947202.html