Controllo dell'accesso per il rilevamento delle anomalie nei costi - AWS Gestione dei costi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo dell'accesso per il rilevamento delle anomalie nei costi

È possibile utilizzare controlli di accesso a livello di risorsa e tag access control (ABAC) basati sugli attributi per il monitoraggio delle anomalie dei costi e gli abbonamenti alle anomalie. Ogni risorsa di Anomaly Monitor e Anomaly Subscription ha un Amazon Resource Name () ARN univoco. Puoi anche allegare tag (coppie chiave-valore) a ciascuna funzionalità. Sia le risorse che ARNs i ABAC tag possono essere utilizzati per fornire un controllo granulare degli accessi ai ruoli o ai gruppi di utenti all'interno dell'azienda. Account AWS

Per ulteriori informazioni sui controlli di accesso e sui tag a livello di risorsa, consulta. ABAC Come funziona AWS Cost Management con IAM

Nota

Cost Anomaly Detection non supporta le politiche basate sulle risorse. Le politiche basate sulle risorse sono collegate direttamente alle risorse. AWS Per ulteriori informazioni sulla differenza tra politiche e autorizzazioni, consulta Politiche basate sull'identità e politiche basate sulle risorse nella Guida per l'utente. IAM

Controllo dell'accesso mediante politiche a livello di risorsa

È possibile utilizzare le autorizzazioni a livello di risorsa per consentire o negare l'accesso a una o più risorse di Cost Anomaly Detection in una policy. IAM In alternativa, utilizza le autorizzazioni a livello di risorsa per consentire o negare l'accesso a tutte le risorse di Cost Anomaly Detection.

Quando crei unIAM, utilizza i seguenti formati Amazon Resource Name (ARN):

  • AnomalyMonitorrisorsa ARN

    arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}

  • AnomalySubscriptionrisorsa ARN

    arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}

Per consentire all'IAMentità di ottenere e creare un abbonamento al monitoraggio delle anomalie o alle anomalie, utilizza una politica simile a questa politica di esempio.

Nota
  • Per ce:GetAnomalyMonitor ece:GetAnomalySubscription, gli utenti dispongono del controllo totale o nullo degli accessi a livello di risorsa. Ciò richiede che la politica utilizzi un generico sotto ARN forma diarn:${partition}:ce::${account-id}:anomalymonitor/*, o. arn:${partition}:ce::${account-id}:anomalysubscription/* *

  • Perché ce:CreateAnomalyMonitor ece:CreateAnomalySubscription, non abbiamo una risorsa ARN per questa risorsa. Pertanto, la politica utilizza sempre ARN il generico menzionato nel bullet precedente.

  • Perce:GetAnomalies, utilizzate il monitorArn parametro opzionale. Se utilizzato con questo parametro, confermiamo se l'utente ha accesso al monitorArn passato.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ce:GetAnomalyMonitors", "ce:CreateAnomalyMonitor" ], "Effect": "Allow", "Resource": "arn:aws:ce::999999999999:anomalymonitor/*" }, { "Action": [ "ce:GetAnomalySubscriptions", "ce:CreateAnomalySubscription" ], "Effect": "Allow", "Resource": "arn:aws:ce::999999999999:anomalysubscription/*" } ] }

Per consentire all'IAMentità di aggiornare o eliminare i monitor delle anomalie, utilizza una politica simile a questa politica di esempio.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:UpdateAnomalyMonitor", "ce:DeleteAnomalyMonitor" ], "Resource": [ "arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000", "arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001" ] } ] }

Controllo dell'accesso tramite tag () ABAC

È possibile utilizzare tags (ABAC) per controllare l'accesso alle risorse di rilevamento delle anomalie di costo che supportano l'etichettatura. Per controllare l'accesso tramite tag, fornisci le informazioni sul tag nell'Conditionelemento di una policy. Puoi quindi creare una IAM politica che consenta o neghi l'accesso a una risorsa in base ai tag della risorsa. Puoi utilizzare i tasti di condizione dei tag per controllare l'accesso alle risorse, alle richieste o a qualsiasi parte del processo di autorizzazione. Per ulteriori informazioni sui IAM ruoli che utilizzano i tag, vedere Controllo dell'accesso a e per utenti e ruoli utilizzando i tag nella Guida per l'IAMutente.

Crea una policy basata sull'identità che consenta di aggiornare i monitor delle anomalie. Se il tag monitor Owner ha il valore del nome utente, utilizza una politica simile a questa politica di esempio.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:UpdateAnomalyMonitor" ], "Resource": "arn:aws:ce::*:anomalymonitor/*", "Condition": { "StringEquals": { "aws:ResourceTag/Owner": "${aws:username}" } } }, { "Effect": "Allow", "Action": "ce:GetAnomalyMonitors", "Resource": "*" } ] }