メニュー
AWS Identity and Access Management
ユーザーガイド

チュートリアル: 請求コンソールへのアクセス権の委任

AWS アカウントの所有者は、AWS アカウントの AWS Billing and Cost Management データの表示または管理を行う必要がある特定の IAM ユーザーにアクセス権限を委任できます。この手順に従うことで、事前にテスト済みのシナリオを設定し、主な AWS 本稼働用アカウントに影響を与えることなく、請求アクセス権限を設定する実際の経験を得られるように設計されています。

このワークフローには 4 つの基本ステップがあります。

ステップ 1 - AWS テストアカウントで請求データへのアクセスを有効にする

デフォルトでは、AWS アカウントの所有者 (root ユーザー) のみに、請求情報を表示および管理するアクセス権限があります。このデータへのアクセスは、アカウント所有者が、アカウント設定の請求データへのアクセスを最初に有効にするまで、IAM ユーザーに委任することはできません。root ユーザーとしてサインインする必要がある追加タスクを確認するには、アカウントのルートユーザーが必要な AWS のタスクを参照してください。

ステップ 2: 請求データにアクセス権限を付与する IAM ポリシーを作成する

アカウントで請求へのアクセスを有効にした後でも、特定の IAM ユーザーまたはグループに請求データへのアクセス権限を明示的に許可する必要があります。カスタマー管理ポリシーでこのアクセス権限を付与します。

ステップ 3: 請求ポリシーをグループにアタッチする

グループにポリシーをアタッチすると、そのグループのすべてのメンバーは、そのポリシーに関連付けられたアクセス権限の完全なセットを受け取ります。このシナリオでは、請求へのアクセスを必要としているユーザーのみを含むセキュリティグループに新しい請求ポリシーをアタッチします。

ステップ 4: 請求コンソールへのアクセスをテストする

中心となるタスクを完了したら、ポリシーをテストすることができます。テストにより、ポリシーが期待したとおりに動作することを確認できます。

前提条件

このチュートリアルで使用するテスト AWS アカウントを作成します。このアカウントで、次の表にまとめてあるように 2 人のテストユーザーと 2 つのテストグループを作成します。後のステップ 4 でサインインできるように、必ず各ユーザーにパスワードを割り当てます。

ユーザーアカウントを作成する グループアカウントを作成して設定する
ユーザー名 グループ名 メンバーとしてユーザーを追加する
FinanceManager FullAccess FinanceManager
FinanceUser ViewAccess FinanceUser

ステップ 1 - AWS テストアカウントで請求データへのアクセスを有効にする

ルートアカウント認証情報を使用してテストアカウントにサインインし、AWS マネジメントコンソールの [Account Settings] ページにアクセスします。ここで、IAM ユーザーが Billing and Cost Management コンソールのデータにアクセスできるようにします。本稼働環境でこのプロセスに従う方法の詳細については、『AWS Billing and Cost Management ユーザーガイド』の「AWS ウェブサイトへのアクセスのアクティベート」を参照してください。

AWS テストアカウントで請求データへのアクセスを有効にするには

  1. ルートアカウント認証情報 (AWS テストアカウントの作成に使用した E メールとパスワード) で AWS マネジメントコンソール にサインインします。

    注記

    これには、ルートアカウントの認証情報が必要です。IAM ユーザーは実行できません。root ユーザーとしてサインインする必要がある追加タスクを確認するには、アカウントのルートユーザーが必要な AWS のタスクを参照してください。

  2. ナビゲーションバーでアカウント名を選択してから、[アカウント] を選択します。

  3. [IAM User Access to Billing Information] の横にある [Edit] を選択します。次に、チェックボックスをオンにして、[Billing and Cost Management] ページへの IAM アクセスをアクティベートします。

    重要

    AWS ウェブサイトへの IAM ユーザーアクセスをアクティベートする場合、既に AWS API にフルアクセスできるすべてのユーザーに対して AWS ウェブサイトへのフルアクセスを許可します。制約のあるアクセス許可を適用することにより、アクセスを制限することができます。「例 4: AWS サービスへのフルアクセスを許可するが、請求およびコスト管理コンソールへの IAM ユーザーのアクセスは拒否する」を参照してください。

  4. コンソールからサインアウトし、「ステップ 2: 請求データにアクセス権限を付与する IAM ポリシーを作成する」に進みます。

ステップ 2: 請求データにアクセス権限を付与する IAM ポリシーを作成する

次に、Billing and Cost Management コンソール内でページの表示およびフルアクセスの両方の権限を付与するカスタムポリシーを作成します。IAM アクセス権限ポリシーの全般情報については、「管理ポリシーとインラインポリシー」を参照してください。

請求データにアクセス権限を付与する IAM ポリシーを作成するには

  1. 管理者認証情報を使用してユーザーとして AWS マネジメントコンソール にサインインします。IAM ベストプラクティスに準拠するため、ルートアカウント認証情報でサインインしないでください。詳細については、「個々の IAM ユーザーの作成」を参照してください。

  2. https://console.aws.amazon.com/iam/ にある IAM コンソールを開きます。

  3. ナビゲーションペインで、[Policies] を選択し、[Create Policy] を選択します。

  4. [Policy Generator] の横の [Select] をクリックします。

  5. [Edit Permissions] ページの [Effect] で [Allow] を選択します。

  6. [AWS Service] で [AWS Billing] を選択します。

  7. 以下のステップに従って 2 つのポリシーを作成します:

    フルアクセス

    1. [Actions] で [All Actions (*)] を選択します。

    2. [Add Statement]、[Next Step] の順に選択します。

    3. [Review] ページで、[Policy Name] の横に「BillingFullAccess」と入力し、[Create Policy] を選択して保存します。

    表示専用アクセス

    1. ステップ 3~6 を繰り返します。

    2. [Actions] で、[View] から始まるこれらの権限のみ選択します。

    3. [Add Statement]、[Next Step] の順に選択します。

    4. [Review] ページで、[Policy Name] の横に「BillingViewAccess」と入力し、[Create Policy] を選択して保存します。

    IAM ポリシーで使用できる各アクセス権限の説明を参照して、Billing and Cost Management コンソールへのユーザーアクセスを許可するには、「請求アクセス許可の説明」を参照してください。

ステップ 3: 請求ポリシーをグループにアタッチする

これでカスタム請求ポリシーを利用できるようになったので、前に作成した該当のグループにポリシーをアタッチできます。ユーザーまたはロールに直接ポリシーをアタッチすることはできますが、(IAM のベストプラクティスに従って) 代わりにグループを使用することをお勧めします。詳細については、「グループを使用してアクセス権限を IAM ユーザーに割り当てる」を参照してください。

請求ポリシーをポリシーにアタッチするには

  1. ナビゲーションペインで [Policies] を選択して、AWS アカウントで利用できるポリシーの一覧を表示します。各ポリシーを適切なグループにアタッチするには、以下のステップに従います:

    フルアクセス

    1. [Filter] に「BillingFullAccess」と入力し、ポリシー名の横にあるチェックボックスをオンにします。

    2. [Policy Actions] を選択して、[Attach] を選択します。

    3. [Filter] に「FullAccess」と入力し、グループ名の横にあるチェックボックスをオンにして、[Attach Policy] を選択します。

    表示専用アクセス

    1. [Filter] に「BillingFullAccess」と入力し、ポリシー名の横にあるチェックボックスをオンにします。

    2. [Policy Actions] を選択して、[Attach] を選択します。

    3. [Filter] に「ViewAccess」と入力し、グループ名の横にあるチェックボックスをオンにして、[Attach Policy] を選択します。

  2. コンソールからサインアウトし、「ステップ 4: 請求コンソールへのアクセスをテストする」に進みます。

ステップ 4: 請求コンソールへのアクセスをテストする

ユーザーアクセスは 2 通りの方法でテストできます。このチュートリアルでは、各テストユーザーとしてサインインしてアクセスをテストし、結果を見てユーザーの体験を確認できるようにすることをお勧めします。ユーザーのアクセス権限をテストする別のオプションの方法は、IAM Policy Simulator を使用することです。別の方法でこうしたアクションの有効な結果を確認するには、次のステップを使用します。

希望のテスト方法に基づいて、次のいずれかの手順を選択してください。最初のステップでは、アクセス権限の違いを確認するために、両方のテストアカウントを使用してサインインします。

両方のテストユーザーアカウントでサインインして請求へのアクセスをテストするには

  1. AWS テストアカウント用のサインイン URL にアクセスします。たとえば、AWS アカウントの名前が CompanyXYZ の場合は、サインイン URL は https://companyxyz.signin.aws.amazon.com/console のようになります。CompanyXYZ などのエイリアスを割り当てなかった場合、アカウント ID 番号を https://123456789012.signin.aws.amazon.com/console. のように使用します。

  2. 以下に示す手順を使用して各アカウントにサインインし、さまざまなユーザー体験を比較できるようにします。

    フルアクセス

    1. ユーザー FinanceManager として AWS アカウントにサインインします。

    2. ナビゲーションバーで、[FinanceManager @ <account alias or ID number>] を選択し、[Billing & Cost Management] を選択します。

    3. さまざまなページを参照し、各ボタンを選択して、完全な変更アクセス権限があることを確認します。

    表示専用アクセス

    1. ユーザー FinanceUser として AWS アカウントにサインインします。

    2. ナビゲーションバーで、[FinanceUser @ <account alias or ID number>] を選択し、[Billing & Cost Management] を選択します。

    3. さまざまなページを参照します。問題なくコスト、レポート、および請求データを表示できることを確認してください。ただし、値を変更するオプションを選択すると、「アクセスが拒否されました」というエラーメッセージが表示されます。たとえば、[Preferences] ページで、ページの任意のチェックボックスをオンにし、[Save preferences] を選択します。そのページに変更を加えるには [ModifyBilling] アクセス権限が必要であることを知らせるコンソールメッセージが表示されます。

以下のオプションの手順では、代わりに IAM Policy Simulator を使用して、委任されたユーザーの請求ページに対する実質的なアクセス権限をテストする方法を示します。

IAM Policy Simulator で有効なアクセス権限を表示して請求へのアクセスをテストするには

  1. IAM Policy Simulator を https://policysim.aws.amazon.com/ で開きます。(AWS にまだサインインしていない場合は、サインインするように求められます)。

  2. [Users, Groups, and Roles] で、最近ポリシーをアタッチしたグループのメンバーである、いずれかのユーザーを選択します。

  3. [Policy Simulator] で、[Select service] を選択し、[Billing] を選択します。

  4. [Select actions] の横にある [Select All] を選択します。

  5. [Run Simulation] を選択し、一覧されているユーザーのアクセス権限を、可能なすべての請求関連のアクセス権限オプションと比較して、正しい権限が適用されていることを確認します。

関連リソース

AWS Billing and Cost Management ユーザーガイド』の関連情報については、以下の関連リソースを参照してください。

IAM ユーザーガイド』の関連情報については、以下の関連リソースを参照してください。

概要

これで、請求およびコスト Billing and Cost Management コンソールにユーザーアクセスを委任するために必要なすべてのステップを正しく完了しました。これで、ユーザーの請求コンソール体験がどのようなものであるかを直接確認しました。これは、このロジックを本稼働環境に実装する手順に進む際の参考となります。