费用与成本权限策略介绍
本文介绍费用与成本产品控制台各个产品功能的权限管理策略
费用与成本整体权限策略
阿里云费用与成本的管理控制台,是通过云账号登录进行管理,各个账号登录使用涉及到权限的管理。从实际的使用过程中,存在两种权限控制的场景:
跨账号的管理权限:企业存在多个账号,A账号作为管理员,管理其他成员账号,涉及到的权限控制;
单账号内不同使用角色的管理权限:单账号下多个使用角色共同使用,涉及到的不同使用人的权限控制;
对应上述两个场景,费用与成本分别提供了权限策略,来实现对应场景下的权限控制,分别为:
企业账号权限策略——对应跨账号管理场景下的权限控制;
RAM权限策略——对应一个账号下多个使用人场景下的权限控制;
最佳实践
区别于个人电商的购买行为,云上资源往往有多角色参与整个采购和消费过程:运维,采购,BD,财务,法务等等,而随着企业规模的扩大,业务的复杂度上升,面临多个业务同时上云的情况,以下就不同的客户规模情况下,推荐不同的人员角色在费用与成本控制台的权限管理策略:
1. 中小企业单云账号场景:
推荐以RAM权限策略控制。
对于较为简单的公司业务,可以注册单一的云账号,以此云账号购买和部署使用云资源。对于公司的不同成员,比如IT运维,财务,采购,法务等等角色,建议各角色注册不同的RAM用户,并对不同角色授予对应的RAM权限策略,来实现不同角色控权的需求。
2. 大型企业多云账号场景:
建议企业开通企业账号中心功能,在此基础上注册/邀约企业成员账号,构建起企业账号的业务组织树,再辅以企业账号权限,和RAM用户的权限策略,如下示意:
在账号的设置上,我们推荐在职责上可以加以区分,各司其职,以方便管理,分为:
管理账号:
管理账号作为管理角色使用,尽量不参与实际的消费和资源购买;
管理可能有不同的角色,采购的,财务,运维等,建议注册不同的账号分别使用;
管理可能有不同的层级,建议按需在个层级设置管理账号;
生产账号:
生产账号作为业务上云消费的资源购买和运维使用;
建议按照业务的最小管理单元设置账号,可实现业务的最细粒度资产及数据和管控策略的隔离,以及后期费用与成本的对账,核算;
生产账号需要资金预算支撑消费,管理员可以设置相应的账户用以结算,依据不同的管理诉求:
专用场景:各业务的管理需要专款专用,且相互业务之间不受影响,可以对每一业务设置独立的账户用以结算。这一模式下各账户的资金相互独立,账户的欠费/停机不会影响到其他业务的账号。
通用场景:各业务账号消费产生的费用可以统一在一起结算,不存在专款专用的诉求,则可以把相关的账号都设置为同一个账户做结算。
RAM账号:
一个业务必然不会只有一个运维人员,当需要不同运维和使用人员共同使用同一个账号时,建议通过设置RAM账号的方式,实现不同人员通过各自RAM账号的分权和隔离使用。
企业账号权限策略
企业账号权限策略,适用的是企业存在多个云账号,且存在跨云账号的操作与管理的场景。
如何使用企业账号权限策略?
使用企业账号权限策略,需要您先开启企业账号中心功能,邀约企业的账号构建企业的账号组织树,然后基于定义的每一账号的角色,授权对应的权限。如何开启企业账号中心,请参考产品概述
如何在企业账号下设置账号权限?
企业账号权限的授权,通过角色的方式授权到对应的账号,则该账号即具备对应角色下的功能权限,具体操作步骤为:
角色下可以约定授权该角色可以使用的功能权限,如何创建角色请参考角色创建;
角色具有类型,可以定义为是成员角色,或管理员角色:
对于成员账号,授权成员角色后,成员账号被授权使用对应角色下的功能,但可操作的账号范围仅该账号本身;
对于管理员账号,授权管理员角色后,管理员账号被授权对应角色下的功能,且可以操作对应管理的成员账号;具体的可管理的账号包括管理员账号所在组织节点及下级节点的所有账号。
费用与成本企业账号权限点清单:
权限名称 | 权限code | 适用角色 | 权限说明 |
可用额度预警设置权限 | setavailablecreditwarning | 成员类型,管理员类型 | 设置和修改可用额度预警的权限 |
自动销账设置权限 | setautopay | 成员类型,管理员类型 | 设置自动销账开启与关闭的权限 |
延停设置权限 | setextendedsuspensionservice | 成员类型,管理员类型 | 设置延停权益开启与关闭的权限 |
充值权限 | chargefund | 成员类型,管理员类型 | 为账号余额充值的权限,获取该权限后,可以通过银行汇款,支付宝,企业网银在费用与成本或阿里云APP进行充值 |
提现权限 | withdrawfund | 成员类型,管理员类型 | 提现的权限,包括提现的发起,提现记录的查询权限, |
资金记录查询权限 | queryfund | 成员类型,管理员类型 | 资金收支记录的查询和导出权限,资金收支记录的查询和导出权限,企业资产查询权限 |
账单、结算单查询权限 | querybill | 成员类型,管理员类型 | 查询月账单的权限,查询账单明细数据,导出账单明细数据,导出所选择的产品用量明细 |
手动销账权限 | payforbill | 成员类型,管理员类型 | 手动销账权限 |
分账设置权限 | setcostallocation | 成员类型,管理员类型 | 分账设置权限,财务单元查询,财务单元新建,编辑,删除 |
成本分析管理权限 | costmanagement | 成员类型,管理员类型 | 成本分析管理权限,自助分析管理,报告管理,成本优化管理,成本账单查询等 |
预算管理权限 | budgetmanagement | 成员类型,管理员类型 | 预算管理权限。预算创建,编辑和删除、复制、预实分析订阅;预算列表查询,预算预实分析查询;报告导出 |
订单查询权限 | queryorder | 成员类型,管理员类型 | 订单及明细的查询,订单明细导出 |
订单取消权限 | cancelorder | 成员类型,管理员类型 | 费用与成本订单列表作废未支付订单 |
订单操作权限 | payorder | 成员类型,管理员类型 | 费用与成本订单列表操作支付订单 |
查询可续费清单 | queryrenew | 成员类型,管理员类型 | 费用与成本续费管理查询可续费清单列表 |
订单续费设置 | configrenew | 成员类型,管理员类型 | 费用与成本续费管理设置续费的配置(自动续费、不续费等) |
导出续费清单 | expotrenew | 成员类型,管理员类型 | 费用与成本续费管理导出待续费清单 |
续费操作管理 | writerenew | 成员类型,管理员类型 | 费用与成本续费管理操作续费 |
订单退订权限 | queryrefund | 成员类型,管理员类型 | 退订管理查询可退资源的清单和费用明细 |
退订操作管理 | writerefund | 成员类型,管理员类型 | 退订管理操作退订资源 |
卡券查询权限 | couponmanagement | 成员类型,管理员类型 | 卡券查询权限 |
节省计划管理权限 | savingplanmanagement | 成员类型,管理员类型 | 节省计划管理权限 |
资源包管理权限 | resourcemanagement | 成员类型,管理员类型 | 资源包管理权限、查询,操作 |
发票查询权限 | queryinvoice | 成员类型,管理员类型 | 查询发票内容 |
开票信息编辑权限 | invoiceinformationmanagement | 成员类型,管理员类型 | 编辑抬头、地址等开票相关主数据信息 |
申请开票权限 | applyinvoice | 成员类型,管理员类型 | 申请开票权限,月账单的开票申请 |
统一结算权限 | unifiedsettlement | 管理员类型 | 统一结算权限 |
资产共享设置权限 | assetsharing | 管理员类型 | 资产共享设置权限 |
成本优化管理权限 | optimizemanagement | 成员类型,管理员类型 | 可访问成本优化,使用成本优化的功能 |
成本账单管理权限 | gaapbillmanagement | 成员类型,管理员类型 | 可访问成本账单,使用成本账单的功能 |
信控额度设置权限 | setcredit | 管理员类型 | 对管理的各账号下信控额度设置修改的权限 |
资金划拨权限 | fundtransfer | 管理员类型 | 对管理的各账号下资金余额进行划拨与回收的权限 |
订单价格查询权限 | queryprice | 成员类型,管理员类型 | 订单下单时价格查询 |
修改资金账户名称 | ModifyBillingAccount | 成员类型,管理员类型 | 修改资金账户名称 |
修改资金账户结算币种 | ModifyCurrency | 成员类型,管理员类型 | 修改资金账户结算币种 |
修改资金账户绑定支付方式 | ModifyPaymentMethods | 成员类型,管理员类型 | 修改资金账户绑定支付方式 |
修改账号关联付款的资金账户 | ModifyPaymentRelationship | 管理员类型 | 修改账号关联付款的资金账户 |
修改资金账户的管理员 | ModifyBillingAccountAdministrator | 管理员类型 | 修改资金账户的管理员 |
资源过户权限 | TransferResources | 成员类型,管理员类型 | 操作将一个阿里云账号下的云资源过户转移给另一阿里云账号的权限 |
合同管理操作权限 | operatecontract | 管理员类型,成员类型 | 合同管理操作权限(含申请,确认,作废等) |
合同下载权限 | downloadcontract | 管理员类型,成员类型 | 合同下载权限 |
合同详情查询权限 | querycontractdetail | 管理员类型,成员类型 | 合同详情查询权限 |
合同查询权限 | querycontract | 管理员类型,成员类型 | 合同查询权限 |
部分权限点只适用于费用与成本新版控制台,旧版费用与成本(橙色)暂时不生效,请访问新版使用
RAM权限策略
RAM权限策略的介绍说明,请参考什么是访问控制
RAM用户创建,权限授权管理,请前往RAM访问控制台
RAM用户登录,请前往RAM用户登录
RAM权限策略,支持默认权限策略与自定义权限策略两种方式
费用与成本RAM默认权限策略点介绍
阿里云费用与成本接入RAM访问控制,提供基于RAM的权限策略控制。目前有以下几种策略:
AliyunBSSReadOnlyAccess,只读访问费用与成本(BSS)策略
AliyunBSSOrderAccess,在费用与成本(BSS)查看订单、支付订单策略
AliyunBSSFullAccess,费用与成本(BSS)全部权限策略
AliyunBSSCartReadOnlyAccess,购物车查看权限策略
AliyunBSSCartFullAccess,购物车全部权限策略(包括:加入商品、移除商品、修改数量和时长、基于购物车场景发起的创建订单)
默认权限允许的功能与操作
AliyunBSSFullAccess是费用与成本全部权限策略,拥有该策略用户具有所有权限。
AliyunBSSReadOnlyAccess和AliyunBSSOrderAccess策略涉及费用与成本菜单如下表:
菜单 | 子菜单 | AliyunBSSReadOnlyAccess | AliyunBSSOrderAccess |
账户总览 | 页面可查看,无业务操作 | 页面不可查看,不可发起业务操作 | |
账户总览 | 充值 | 页面可查看,不可发起业务操作 | 页面不可查看,不可发起业务操作 |
账户总览 | 提现 | 页面可查看,可发起业务操作 | 页面不可查看,不可发起业务操作 |
账户总览 | 退款 | 页面可查看,不可发起业务操作 | 页面不可查看,不可发起业务操作 |
账户总览 | 申请网商贷 | 页面可查看,可发起业务操作 | 页面不可查看,不可发起业务操作 |
账户总览 | 申请支付宝首付款工具 | 页面可查看,可发起业务操作 | 页面不可查看,不可发起业务操作 |
账户总览 | 查看详情 | 页面可查看,无业务操作 | 页面不可查看,不可发起业务操作 |
账户总览 | 代金券管理 | 页面可查看,无业务操作 | 页面不可查看,不可发起业务操作 |
账户总览 | 资源包管理 | 页面可查看,无业务操作 | 页面不可查看,不可发起业务操作 |
账户总览 | 索取发票 | 页面可查看,无业务操作 | 页面不可查看,不可发起业务操作 |
账户总览 | 申请合同 | 页面可查看,无业务操作 | 页面不可查看,不可发起业务操作 |
收支明细 | 页面可查看,不可发起业务操作 | 页面不可查看,不可发起业务操作 | |
消费记录 | 消费总览 | 页面可查看,可发起业务操作 | 页面不可查看,不可发起业务操作 |
消费记录 | 消费明细 | 页面可查看,可发起业务操作 | 页面不可查看,不可发起业务操作 |
消费记录 | 使用记录 | 页面可查看,可发起业务操作 | 页面不可查看,不可发起业务操作 |
消费记录 | 实例消费明细 | 页面可查看,可发起业务操作 | 页面不可查看,不可发起业务操作 |
消费记录 | 月度成本消耗 | 页面可查看,可发起业务操作 | 页面不可查看,不可发起业务操作 |
消费记录 | 导出记录 | 页面可查看,可发起业务操作 | 页面不可查看,不可发起业务操作 |
消费记录 | 存储到OSS | 页面可查看,可发起业务操作 | 页面不可查看,不可发起业务操作 |
账单分析 | 产品账单分析 | 页面可查看,可发起业务操作 | 页面不可查看,不可发起业务操作 |
保证金管理 | 页面可查看,不可发起业务操作 | 页面不可查看,不可发起业务操作 | |
订单管理 | 页面可查看,不可发起业务操作 | 页面可查看,可发起业务操作 | |
代金券管理 | 页面可查看,无业务操作 | 页面不可查看,不可发起业务操作 | |
优惠券管理 | 页面不可查看,不可发起业务操作 | 页面不可查看,不可发起业务操作 | |
储值卡管理 | 页面不可查看,不可发起业务操作 | 页面不可查看,不可发起业务操作 | |
提货券管理 | 页面不可查看,不可发起业务操作 | 页面不可查看,不可发起业务操作 | |
采购单 | 页面不可查看,不可发起业务操作 | 页面不可查看,不可发起业务操作 | |
资源包管理 | 资源包概览 | 页面可查看,无业务操作 | 页面不可查看,不可发起业务操作 |
资源包管理 | 使用明细 | 页面可查看,无业务操作 | 页面不可查看,不可发起业务操作 |
发票管理 | 发票索取 | 页面可查看,不可发起业务操作 | 页面不可查看,不可发起业务操作 |
发票管理 | 发票列表 | 页面可查看,无业务操作 | 页面不可查看,不可发起业务操作 |
发票管理 | 发票信息管理 | 页面可查看,不可发起业务操作 | 页面不可查看,不可发起业务操作 |
发票管理 | 发票寄送地址管理 | 页面可查看,不可发起业务操作 | 页面不可查看,不可发起业务操作 |
汇款底单管理 | 页面可查看,不可发起业务操作 | 页面不可查看,不可发起业务操作 | |
退订管理 | 五天无理由退款 | 页面可查看,不可发起业务操作 | 页面不可查看,不可发起业务操作 |
退订管理 | 退订记录 | 页面可查看,无业务操作 | 页面不可查看,不可发起业务操作 |
合同管理 | 合同申请 | 页面可查看,无业务操作 | 页面不可查看,不可发起业务操作 |
合同管理 | 合同管理 | 页面可查看,无业务操作 | 页面不可查看,不可发起业务操作 |
可用性中心 | 页面不可查看,不可发起业务操作 | 页面不可查看,不可发起业务操作 | |
续费管理 | 页面不可查看,不可发起业务操作 | 页面不可查看,不可发起业务操作 | |
购买页 | 各产品购买页 | 页面可查看,不可发起业务操作 | 页面可查看,不可发起业务操作 |
费用与成本RAM自定义权限策略介绍:
自定义权限策略配置:
自定义权限策略通过RAM访问控制的权限策略管理,来创建自定义权限策略:
选择脚本编辑,并在Action中增加上费用与成本管理中需要的权限点。
完成自定义权限策略配置后,再将对应权限策略授权到对应的RAM用户,即可实现对应RAM用户的自定义权限控制。
自定义权限策略授权:
在RAM访问控制-授权中,新增授权,选择需要授权的用户对象,在权限策略中选择自定义策略,选择预先配置的自定义权限策略,完成对应用户对象的授权。
费用与成本支持的自定义权限点:
产品模块 | 权限点 | 权限点说明 | 权限类型 |
订单 | bss:DescribeOrderList | 查询订单列表 | 查询 |
bss:DescribeOrderDetail | 查询订单详情 | 查询 | |
bss:PayOrder | 支付订单 | 操作 | |
bss:CancelOrder | 作废订单 | 操作 | |
续费 | bss:ModifyRenew* | 操作资源续费 | 操作 |
bss:DescribeRenew* | 查询可续费资源 | 查询 | |
退订资源 | bss:Refund | 资源退订 | 操作 |
资金 | bss:DescribeAccount | 账户资金余额查询 | 查询 |
bss:ModifyBalance | 账户余额充值 | 操作 | |
bss:DescribeWithdraw | 账户可提现金额,提现记录查询 | 查询 | |
bss:ModifyWithdraw | 申请账户提现 | 操作 | |
bss:DescribeFund | 资金收支明细,代金券查询 | 查询 | |
bss:DescribeAsset | 汇款流水查询 | 查询 | |
bss:ModifyRemittance | 汇款认领操作 | 操作 | |
bss:DescribeCredit | 信控额度查询功能 | 查询 | |
bss:DescribeAlarm | 可用额度预警查询 | 查询 | |
bss:ModifyAlarm | 可用额度预警设置 | 操作 | |
bss:DescribeStoredCard | 储值卡查询 | 查询 | |
账单 | bss:DescribeBill | 账单,摊销成本账单,成本分析查询 | 查询 |
bss:DescribeBillMonth | 月账单查询 | 查询 | |
bss:DescribeReport | 账单导出 | 查询 | |
bss:DescribeOss | 账单订阅查询 | 查询 | |
bss:ModifyOssSub | 账单订阅操作 | 操作 | |
合同 | bss:DescribeContractBasicInfo | 获取订单列表信息,合同文件下载, 合同列表,查询合同作废原因,是否发票多抬头合同,用户是否被限制开合同,获取基本信息,获取合同数量,合同详情,获取甲方主体信息 | 查询 |
bss:ModifyContractCreate | 订单合同创建,查询订单列表,查询账单列表,创建发票多抬头合同 | 操作 | |
bss:DescribeContractPartyA | 获取用户信息:验证码手机号与邮箱,获取多主体信息 | 查询 | |
bss:ModifyContractApplyPaper | 申请纸质合同 | 操作 | |
bss:ModifyContractBasicAction | 修改合同信息 | 操作 | |
bss:ModifyContractStatus | 大客户操作短信验证码,转正发票多抬头合同,作废合同,删除合同 | 操作 | |
bss:QueryPrice | 隐藏优惠折扣信息 | 查询 | |
成本管理 | bss:DescribeSubject | 成本总览查询 | 查询 |
bss:DescribeDimension | 成本分析按各维度查询分析结果 | 查询 | |
bss:DescribeMeta | 成本分析维度源数据查询 | 查询 | |
bss:ModifyReport | 修改成本报告模板 | 操作 | |
bss:ModifyBudget | 预算管理编辑权限 | 操作 | |
bss:DescribeBudget | 预算管理查询权限 | 查询 | |
bss:DescribeAnomaly | 查询异常检测结果数据 | 查询 | |
bss:ModifyAnomaly | 编辑处理异常检测问题 | 操作 | |
bss:DescribeOptimize | 查询成本优化建议 | 查询 | |
bss:ModifyOptimize | 编辑和处理成本优化建议 | 操作 | |
bss:DescribeCostUnit | 财务单元查询权限 | 查询 | |
bss:ModifyCostUnit | 财务单元编辑权限 | 操作 | |
资源包 | bss:DescribeFrInstances | 资源包实例查询 | 查询 |
bss:DescribeDistinctProductFromInstance | |||
bss:DescribeDistinctCommodityFromInstance | |||
bss:DescribeDistinctSpecFromInstance | |||
bss:DescribeDistinctTemplateFromInstance | |||
bss:DescribeDeductLogs | 资源包抵扣记录查询 | 查询 | |
bss:DescribeDistinctCommodityFromDeductLog | |||
bss:DescribeDistinctBillingCommodityFromDeductLog | |||
bss:DescribeDistinctRelationAccountIdFromDeductLog | |||
bss:DescribeHourOrDayStat | 资源包资源记录统计分析查询 | 查询 | |
bss:DescribeMonthStat | |||
bss:DescribeAnalysis | 资源包使用率/覆盖率分析查询 | 查询 | |
bss:ModifyWarnConfig | 修改资源包余量预警规则 | 操作 | |
bss:DescribeWarnConfig | 查询资源包余量预警设置 | 查询 |
其他
阿里云Billing OpenAPI授权介绍
目前阿里云Billing OpenAPI支持对RAM User授权,在RAM策略中授权AliyunBSSFullAccess权限后,即可使用所有Billing OpenAPI.
注:点击查看阿里云Billing OpenAPI文档。