文档

费用与成本权限策略介绍

更新时间:
一键部署

本文介绍费用与成本产品控制台各个产品功能的权限管理策略

费用与成本整体权限策略

阿里云费用与成本的管理控制台,是通过云账号登录进行管理,各个账号登录使用涉及到权限的管理。从实际的使用过程中,存在两种权限控制的场景:

  1. 跨账号的管理权限:企业存在多个账号,A账号作为管理员,管理其他成员账号,涉及到的权限控制;

  2. 单账号内不同使用角色的管理权限:单账号下多个使用角色共同使用,涉及到的不同使用人的权限控制;

对应上述两个场景,费用与成本分别提供了权限策略,来实现对应场景下的权限控制,分别为:

  1. 企业账号权限策略——对应跨账号管理场景下的权限控制;

  2. RAM权限策略——对应一个账号下多个使用人场景下的权限控制;

最佳实践

区别于个人电商的购买行为,云上资源往往有多角色参与整个采购和消费过程:运维,采购,BD,财务,法务等等,而随着企业规模的扩大,业务的复杂度上升,面临多个业务同时上云的情况,以下就不同的客户规模情况下,推荐不同的人员角色在费用与成本控制台的权限管理策略:

1. 中小企业单云账号场景:

推荐以RAM权限策略控制。

对于较为简单的公司业务,可以注册单一的云账号,以此云账号购买和部署使用云资源。对于公司的不同成员,比如IT运维,财务,采购,法务等等角色,建议各角色注册不同的RAM用户,并对不同角色授予对应的RAM权限策略,来实现不同角色控权的需求。

2. 大型企业多云账号场景:

推荐 企业账号权限策略 +RAM权限策略的叠加策略控制。

建议企业开通企业账号中心功能,在此基础上注册/邀约企业成员账号,构建起企业账号的业务组织树,再辅以企业账号权限,和RAM用户的权限策略,如下示意:

image.png

在账号的设置上,我们推荐在职责上可以加以区分,各司其职,以方便管理,分为:

  1. 管理账号:

  • 管理账号作为管理角色使用,尽量不参与实际的消费和资源购买;

  • 管理可能有不同的角色,采购的,财务,运维等,建议注册不同的账号分别使用;

  • 管理可能有不同的层级,建议按需在个层级设置管理账号;

  1. 生产账号:

  • 生产账号作为业务上云消费的资源购买和运维使用;

  • 建议按照业务的最小管理单元设置账号,可实现业务的最细粒度资产及数据和管控策略的隔离,以及后期费用与成本的对账,核算;

  • 生产账号需要资金预算支撑消费,管理员可以设置相应的账户用以结算,依据不同的管理诉求:

    • 专用场景:各业务的管理需要专款专用,且相互业务之间不受影响,可以对每一业务设置独立的账户用以结算。这一模式下各账户的资金相互独立,账户的欠费/停机不会影响到其他业务的账号。

    • 通用场景:各业务账号消费产生的费用可以统一在一起结算,不存在专款专用的诉求,则可以把相关的账号都设置为同一个账户做结算。

  1. RAM账号:

  • 一个业务必然不会只有一个运维人员,当需要不同运维和使用人员共同使用同一个账号时,建议通过设置RAM账号的方式,实现不同人员通过各自RAM账号的分权和隔离使用。

企业账号权限策略

企业账号权限策略,适用的是企业存在多个云账号,且存在跨云账号的操作与管理的场景。

如何使用企业账号权限策略?

使用企业账号权限策略,需要您先开启企业账号中心功能,邀约企业的账号构建企业的账号组织树,然后基于定义的每一账号的角色,授权对应的权限。如何开启企业账号中心,请参考产品概述

如何在企业账号下设置账号权限?

企业账号权限的授权,通过角色的方式授权到对应的账号,则该账号即具备对应角色下的功能权限,具体操作步骤为:

image
  • 角色下可以约定授权该角色可以使用的功能权限,如何创建角色请参考角色创建

  • 角色具有类型,可以定义为是成员角色,或管理员角色:

    • 对于成员账号,授权成员角色后,成员账号被授权使用对应角色下的功能,但可操作的账号范围仅该账号本身;

    • 对于管理员账号,授权管理员角色后,管理员账号被授权对应角色下的功能,且可以操作对应管理的成员账号;具体的可管理的账号包括管理员账号所在组织节点及下级节点的所有账号。

费用与成本企业账号权限点清单:

权限名称

权限code

适用角色

权限说明

可用额度预警设置权限

setavailablecreditwarning

成员类型,管理员类型

设置和修改可用额度预警的权限

自动销账设置权限

setautopay

成员类型,管理员类型

设置自动销账开启与关闭的权限

延停设置权限

setextendedsuspensionservice

成员类型,管理员类型

设置延停权益开启与关闭的权限

充值权限

chargefund

成员类型,管理员类型

为账号余额充值的权限,获取该权限后,可以通过银行汇款,支付宝,企业网银在用户中心或阿里云APP进行充值

提现权限

withdrawfund

成员类型,管理员类型

提现的权限,包括提现的发起,提现记录的查询权限,

资金记录查询权限

queryfund

成员类型,管理员类型

资金收支记录的查询和导出权限,资金收支记录的查询和导出权限,企业资产查询权限

账单、结算单查询权限

querybill

成员类型,管理员类型

查询月账单的权限,查询账单明细数据,导出账单明细数据,导出所选择的产品用量明细

手动销账权限

payforbill

成员类型,管理员类型

手动销账权限

分账设置权限

setcostallocation

成员类型,管理员类型

分账设置权限,财务单元查询,财务单元新建,编辑,删除

成本分析管理权限

costmanagement

成员类型,管理员类型

成本分析管理权限,自助分析管理,报告管理,成本优化管理,成本账单查询等

预算管理权限

budgetmanagement

成员类型,管理员类型

预算管理权限。预算创建,编辑和删除、复制、预实分析订阅;预算列表查询,预算预实分析查询;报告导出

订单查询权限

queryorder

成员类型,管理员类型

订单及明细的查询,订单明细导出

订单取消权限

cancelorder

成员类型,管理员类型

用户中心订单列表作废未支付订单

订单操作权限

payorder

成员类型,管理员类型

用户中心订单列表操作支付订单

查询可续费清单

queryrenew

成员类型,管理员类型

用户中心续费管理查询可续费清单列表

订单续费设置

configrenew

成员类型,管理员类型

用户中心续费管理设置续费的配置(自动续费、不续费等)

导出续费清单

expotrenew

成员类型,管理员类型

用户中心续费管理导出待续费清单

续费操作管理

writerenew

成员类型,管理员类型

用户中心续费管理操作续费

订单退订权限

queryrefund

成员类型,管理员类型

退订管理查询可退资源的清单和费用明细

退订操作管理

writerefund

成员类型,管理员类型

退订管理操作退订资源

卡券查询权限

couponmanagement

成员类型,管理员类型

卡券查询权限

节省计划管理权限

savingplanmanagement

成员类型,管理员类型

节省计划管理权限

资源包管理权限

resourcemanagement

成员类型,管理员类型

资源包管理权限、查询,操作

发票查询权限

queryinvoice

成员类型,管理员类型

查询发票内容

开票信息编辑权限

invoiceinformationmanagement

成员类型,管理员类型

编辑抬头、地址等开票相关主数据信息

申请开票权限

applyinvoice

成员类型,管理员类型

申请开票权限,月账单的开票申请

统一结算权限

unifiedsettlement

管理员类型

统一结算权限

资产共享设置权限

assetsharing

管理员类型

资产共享设置权限

成本优化管理权限

optimizemanagement

成员类型,管理员类型

可访问成本优化,使用成本优化的功能

成本账单管理权限

gaapbillmanagement

成员类型,管理员类型

可访问成本账单,使用成本账单的功能

信控额度设置权限

setcredit

管理员类型

对管理的各账号下信控额度设置修改的权限

资金划拨权限

fundtransfer

管理员类型

对管理的各账号下资金余额进行划拨与回收的权限

订单价格查询权限

queryprice

成员类型,管理员类型

订单下单时价格查询

修改资金账户名称

ModifyBillingAccount

成员类型,管理员类型

修改资金账户名称

修改资金账户结算币种

ModifyCurrency

成员类型,管理员类型

修改资金账户结算币种

修改资金账户绑定支付方式

ModifyPaymentMethods

成员类型,管理员类型

修改资金账户绑定支付方式

修改账号关联付款的资金账户

ModifyPaymentRelationship

管理员类型

修改账号关联付款的资金账户

修改资金账户的管理员

ModifyBillingAccountAdministrator

管理员类型

修改资金账户的管理员

资源过户权限

TransferResources

成员类型,管理员类型

操作将一个阿里云账号下的云资源过户转移给另一阿里云账号的权限

合同管理操作权限

operatecontract

管理员类型,成员类型

合同管理操作权限(含申请,确认,作废等)

合同下载权限

downloadcontract

管理员类型,成员类型

合同下载权限

合同详情查询权限

querycontractdetail

管理员类型,成员类型

合同详情查询权限

合同查询权限

querycontract

管理员类型,成员类型

合同查询权限

重要

部分权限点只适用于费用与成本新版控制台,旧版用户中心(橙色)暂时不生效,请访问新版使用

RAM权限策略

RAM权限策略的介绍说明,请参考什么是访问控制

RAM用户创建,权限授权管理,请前往RAM访问控制台

RAM用户登录,请前往RAM用户登录

费用与成本RAM权限策略点介绍

阿里云用户中心接入RAM访问控制,提供基于RAM的权限策略控制。目前有以下几种策略:

  • AliyunBSSReadOnlyAccess,只读访问用户中心(BSS)策略

  • AliyunBSSOrderAccess,在用户中心(BSS)查看订单、支付订单策略

  • AliyunBSSFullAccess,用户中心(BSS)全部权限策略

  • AliyunBSSCartReadOnlyAccess,购物车查看权限策略

  • AliyunBSSCartFullAccess,购物车全部权限策略(包括:加入商品、移除商品、修改数量和时长、基于购物车场景发起的创建订单)

权限点允许的对应用户中心操作

AliyunBSSFullAccess是用户中心全部权限策略,拥有该策略用户具有所有权限。

AliyunBSSReadOnlyAccess和AliyunBSSOrderAccess策略涉及用户中心菜单如下表:

菜单

子菜单

AliyunBSSReadOnlyAccess

AliyunBSSOrderAccess

账户总览

页面可查看,无业务操作

页面不可查看,不可发起业务操作

账户总览

充值

页面可查看,不可发起业务操作

页面不可查看,不可发起业务操作

账户总览

提现

页面可查看,可发起业务操作

页面不可查看,不可发起业务操作

账户总览

退款

页面可查看,不可发起业务操作

页面不可查看,不可发起业务操作

账户总览

申请网商贷

页面可查看,可发起业务操作

页面不可查看,不可发起业务操作

账户总览

申请支付宝首付款工具

页面可查看,可发起业务操作

页面不可查看,不可发起业务操作

账户总览

查看详情

页面可查看,无业务操作

页面不可查看,不可发起业务操作

账户总览

代金券管理

页面可查看,无业务操作

页面不可查看,不可发起业务操作

账户总览

资源包管理

页面可查看,无业务操作

页面不可查看,不可发起业务操作

账户总览

索取发票

页面可查看,无业务操作

页面不可查看,不可发起业务操作

账户总览

申请合同

页面可查看,无业务操作

页面不可查看,不可发起业务操作

收支明细

页面可查看,不可发起业务操作

页面不可查看,不可发起业务操作

消费记录

消费总览

页面可查看,可发起业务操作

页面不可查看,不可发起业务操作

消费记录

消费明细

页面可查看,可发起业务操作

页面不可查看,不可发起业务操作

消费记录

使用记录

页面可查看,可发起业务操作

页面不可查看,不可发起业务操作

消费记录

实例消费明细

页面可查看,可发起业务操作

页面不可查看,不可发起业务操作

消费记录

月度成本消耗

页面可查看,可发起业务操作

页面不可查看,不可发起业务操作

消费记录

导出记录

页面可查看,可发起业务操作

页面不可查看,不可发起业务操作

消费记录

存储到OSS

页面可查看,可发起业务操作

页面不可查看,不可发起业务操作

账单分析

产品账单分析

页面可查看,可发起业务操作

页面不可查看,不可发起业务操作

保证金管理

页面可查看,不可发起业务操作

页面不可查看,不可发起业务操作

订单管理

页面可查看,不可发起业务操作

页面可查看,可发起业务操作

代金券管理

页面可查看,无业务操作

页面不可查看,不可发起业务操作

优惠券管理

页面不可查看,不可发起业务操作

页面不可查看,不可发起业务操作

储值卡管理

页面不可查看,不可发起业务操作

页面不可查看,不可发起业务操作

提货券管理

页面不可查看,不可发起业务操作

页面不可查看,不可发起业务操作

采购单

页面不可查看,不可发起业务操作

页面不可查看,不可发起业务操作

资源包管理

资源包概览

页面可查看,无业务操作

页面不可查看,不可发起业务操作

资源包管理

使用明细

页面可查看,无业务操作

页面不可查看,不可发起业务操作

发票管理

发票索取

页面可查看,不可发起业务操作

页面不可查看,不可发起业务操作

发票管理

发票列表

页面可查看,无业务操作

页面不可查看,不可发起业务操作

发票管理

发票信息管理

页面可查看,不可发起业务操作

页面不可查看,不可发起业务操作

发票管理

发票寄送地址管理

页面可查看,不可发起业务操作

页面不可查看,不可发起业务操作

汇款底单管理

页面可查看,不可发起业务操作

页面不可查看,不可发起业务操作

退订管理

五天无理由退款

页面可查看,不可发起业务操作

页面不可查看,不可发起业务操作

退订管理

退订记录

页面可查看,无业务操作

页面不可查看,不可发起业务操作

合同管理

合同申请

页面可查看,无业务操作

页面不可查看,不可发起业务操作

合同管理

合同管理

页面可查看,无业务操作

页面不可查看,不可发起业务操作

可用性中心

页面不可查看,不可发起业务操作

页面不可查看,不可发起业务操作

续费管理

页面不可查看,不可发起业务操作

页面不可查看,不可发起业务操作

购买页

各产品购买页

页面可查看,不可发起业务操作

页面可查看,不可发起业务操作

其他

权限配置请登录RAM控制台

RAM账号登录

阿里云Billing OpenAPI授权介绍

目前阿里云Billing OpenAPI支持对RAM User授权,在RAM策略中授权AliyunBSSFullAccess权限后,即可使用所有Billing OpenAPI.

注:点击查看阿里云Billing OpenAPI文档