Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Zugriffskontrolle und Beispiele für die Erkennung von Kostenanomalien
Sie können Zugriffskontrollen auf Ressourcenebene und attributbasierte Zugriffskontroll-Tags (ABAC) für Kostenanomalie-Monitore und Anomalieabonnements verwenden. Jede Ressource für Anomalieüberwachung und Anomalieabonnement hat einen eindeutigen Amazon-Ressourcennamen (ARN). Sie können auch Tags (Schlüssel-Wert-Paare) an jedes Feature anfügen. Sowohl Ressourcen-ARNs als auch ABAC-Tags können verwendet werden, um eine detaillierte Zugriffskontrolle für Benutzerrollen oder Gruppen in Ihrem zu ermöglichen AWS-Konten.
Weitere Informationen zu Zugriffskontrollen auf Ressourcenebene und ABAC-Tags finden Sie unter Wie funktioniert AWS Cost Management mit IAM.
Anmerkung
Die -Kostenanomalie-Erkennung unterstützt keine ressourcenbasierten Richtlinien. Ressourcenbasierte Richtlinien werden direkt an AWS Ressourcen angefügt. Weitere Informationen zum Unterschied zwischen Richtlinien und Berechtigungen finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien im IAM-Benutzerhandbuch.
Steuern des Zugriffs mithilfe von Richtlinien auf Ressourcenebene
Sie können Berechtigungen auf Ressourcenebene verwenden, um den Zugriff auf eine oder mehrere Ressourcen zur Erkennung von Kostenanomalien in einer IAM-Richtlinie zu erlauben oder zu verweigern. Alternativ können Sie auch Berechtigungen auf Ressourcenebene verwenden, um den Zugriff auf alle Ressourcen der -Kostenanomalie-Erkennung zu erlauben oder zu verweigern.
Verwenden Sie beim Erstellen eines IAM die folgenden Formate für den Amazon-Ressourcennamen (ARN):
-
AnomalyMonitor
Ressourcen-ARNarn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}
-
AnomalySubscription
Ressourcen-ARNarn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}
Um der IAM-Entität zu erlauben, einen Anomaliemonitor oder ein Anomalieabonnement abzurufen und zu erstellen, verwenden Sie eine Richtlinie ähnlich dieser Beispielrichtlinie.
Anmerkung
-
Für
ce:GetAnomalyMonitor
und habence:GetAnomalySubscription
Benutzer die Zugriffssteuerung auf Ressourcenebene ganz oder gar nicht. Dazu muss die Richtlinie einen generischen ARN in der Form vonarn:${partition}:ce::${account-id}:anomalymonitor/*
,arn:${partition}:ce::${account-id}:anomalysubscription/*
oder verwenden*
. -
Für
ce:CreateAnomalyMonitor
und habence:CreateAnomalySubscription
wir keinen Ressourcen-ARN für diese Ressource. Daher verwendet die Richtlinie immer den generischen ARN, der im vorherigen Aufzählungspunkt erwähnt wurde. -
ce:GetAnomalies
Verwenden Sie für den optionalenmonitorArn
Parameter . Bei Verwendung mit diesem Parameter bestätigen wir, ob der Benutzer Zugriff auf denmonitorArn
übergebenen hat.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ce:GetAnomalyMonitors", "ce:CreateAnomalyMonitor" ], "Effect": "Allow", "Resource": "arn:aws:ce::999999999999:anomalymonitor/*" }, { "Action": [ "ce:GetAnomalySubscriptions", "ce:CreateAnomalySubscription" ], "Effect": "Allow", "Resource": "arn:aws:ce::999999999999:anomalysubscription/*" } ] }
Um der IAM-Entität das Aktualisieren oder Löschen von Anomalie-Monitoren zu ermöglichen, verwenden Sie eine Richtlinie ähnlich dieser Beispielrichtlinie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:UpdateAnomalyMonitor", "ce:DeleteAnomalyMonitor" ], "Resource": [ "arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000", "arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001" ] } ] }
Steuern des Zugriffs mithilfe von Tags (ABAC)
Sie können Tags (ABAC) verwenden, um den Zugriff auf Ressourcen zur -Kostenanomalieerkennung zu steuern, die das Markieren unterstützen. Um den Zugriff mithilfe von Tags zu steuern, geben Sie die Tag-Informationen im -Condition
Element einer Richtlinie an. Anschließend können Sie eine IAM-Richtlinie erstellen, die den Zugriff auf eine Ressource basierend auf den Tags der Ressource erlaubt oder verweigert. Sie können Tag-Bedingungsschlüssel verwenden, um den Zugriff auf Ressourcen, Anforderungen oder einen beliebigen Teil des Autorisierungsprozesses zu steuern. Weitere Informationen zu IAM-Rollen mithilfe von Tags finden Sie unter Steuern des Zugriffs auf und für Benutzer und Rollen mithilfe von Tags im IAM-Benutzerhandbuch.
Erstellen Sie eine identitätsbasierte Richtlinie, die das Aktualisieren von Anomalieüberwachungen ermöglicht. Wenn das Monitor-Tag den Wert des Benutzernamens Owner
hat, verwenden Sie eine Richtlinie, die dieser Beispielrichtlinie ähnelt.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:UpdateAnomalyMonitor" ], "Resource": "arn:aws:ce::*:anomalymonitor/*", "Condition": { "StringEquals": { "aws:ResourceTag/Owner": "${aws:username}" } } }, { "Effect": "Allow", "Action": "ce:GetAnomalyMonitors", "Resource": "*" } ] }