Como posso criar uma política do IAM para restringir as permissões ao gerenciamento de faturamento / pagamento?

Desejo criar um grupo com um usuário que tenha apenas a capacidade de gerenciar o pagamento de serviços, por exemplo, insira informações de cartão de crédito para a conta, etc. Não quero que esse usuário tenha acesso a nenhuma das outras ferramentas no console. Como eu faço isso?