Mengontrol akses menggunakan kebijakan tingkat sumber daya Mengontrol akses menggunakan tag (ABAC)

Mengontrol akses untuk Deteksi Anomali Biaya

Anda dapat menggunakan kontrol akses tingkat sumber daya dan tag kontrol akses (ABAC) berbasis atribut untuk monitor anomali biaya dan langganan anomali. Setiap monitor anomali dan sumber daya langganan anomali memiliki Nama Sumber Daya Amazon () yang unik. ARN Anda juga dapat melampirkan tag (pasangan kunci-nilai) ke setiap fitur. Sumber daya ARNs dan ABAC tag dapat digunakan untuk memberikan kontrol akses granular ke peran atau grup pengguna di dalam Anda Akun AWS.

Untuk informasi selengkapnya tentang kontrol dan ABAC tag akses tingkat sumber daya, lihat. Bagaimana Manajemen AWS Biaya bekerja dengan IAM

catatan

Deteksi Anomali Biaya tidak mendukung kebijakan berbasis sumber daya. Kebijakan berbasis sumber daya secara langsung melekat pada sumber daya. AWS Untuk informasi selengkapnya tentang perbedaan antara kebijakan dan izin, lihat Kebijakan berbasis identitas dan kebijakan berbasis sumber daya di Panduan Pengguna. IAM

Mengontrol akses menggunakan kebijakan tingkat sumber daya

Anda dapat menggunakan izin tingkat sumber daya untuk mengizinkan atau menolak akses ke satu atau beberapa sumber daya Deteksi Anomali Biaya dalam suatu kebijakan. IAM Atau, gunakan izin tingkat sumber daya untuk mengizinkan atau menolak akses ke semua sumber daya Deteksi Anomali Biaya.

Saat Anda membuatIAM, gunakan format Amazon Resource Name (ARN) berikut:

AnomalyMonitorsumber daya ARN

arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}
AnomalySubscriptionsumber daya ARN

arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}

Untuk memungkinkan IAM entitas mendapatkan dan membuat monitor anomali atau langganan anomali, gunakan kebijakan yang mirip dengan kebijakan contoh ini.

catatan

Untuk ce:GetAnomalyMonitor dance:GetAnomalySubscription, pengguna memiliki semua atau tidak ada kontrol akses tingkat sumber daya. Ini mensyaratkan kebijakan untuk menggunakan generik ARN dalam bentukarn:${partition}:ce::${account-id}:anomalymonitor/*,arn:${partition}:ce::${account-id}:anomalysubscription/*, atau*.
Untuk ce:CreateAnomalyMonitor dance:CreateAnomalySubscription, kami tidak memiliki sumber daya ARN untuk sumber daya ini. Jadi, kebijakan selalu menggunakan generik ARN yang disebutkan dalam bullet sebelumnya.
Untukce:GetAnomalies, gunakan monitorArn parameter opsional. Saat digunakan dengan parameter ini, kami mengonfirmasi apakah pengguna memiliki akses ke yang monitorArn diteruskan.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ce:GetAnomalyMonitors",
                "ce:CreateAnomalyMonitor"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalymonitor/*"
        }, 
        {
            "Action": [
                "ce:GetAnomalySubscriptions",
                "ce:CreateAnomalySubscription"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalysubscription/*"
        }
    ]
}

Untuk mengizinkan IAM entitas memperbarui atau menghapus monitor anomali, gunakan kebijakan yang mirip dengan kebijakan contoh ini.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor",
                "ce:DeleteAnomalyMonitor"
                ],
            "Resource": [
              "arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000",
              "arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001"
		]
         }
    ]
}

Mengontrol akses menggunakan tag (ABAC)

Anda dapat menggunakan tag (ABAC) untuk mengontrol akses ke sumber daya Deteksi Anomali Biaya yang mendukung penandaan. Untuk mengontrol akses menggunakan tag, berikan informasi tag dalam Condition elemen kebijakan. Anda kemudian dapat membuat IAM kebijakan yang mengizinkan atau menolak akses ke sumber daya berdasarkan tag sumber daya. Anda dapat menggunakan tombol kondisi tag untuk mengontrol akses ke sumber daya, permintaan, atau bagian apa pun dari proses otorisasi. Untuk informasi selengkapnya tentang IAM peran yang menggunakan tag, lihat Mengontrol akses ke dan untuk pengguna serta peran yang menggunakan tag di Panduan IAM Pengguna.

Buat kebijakan berbasis identitas yang memungkinkan memperbarui monitor anomali. Jika tag monitor Owner memiliki nilai nama pengguna, gunakan kebijakan yang mirip dengan kebijakan contoh ini.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor"
            ],
            "Resource": "arn:aws:ce::*:anomalymonitor/*",
            "Condition": {
                "StringEquals": {
			"aws:ResourceTag/Owner": "${aws:username}"
		   }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ce:GetAnomalyMonitors",
            "Resource": "*"
        }
    ]
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menyiapkan deteksi anomali Anda

Memulai Deteksi Anomali AWS Biaya