チュートリアル: 請求コンソールへのアクセス権の委任

AWS アカウントの所有者は、AWS アカウントの AWS Billing and Cost Management データの表示または管理を行う必要がある特定の IAM ユーザーにアクセス権限を委任できます。この手順に従うことで、事前にテスト済みのシナリオを設定し、主な AWS 本稼働用アカウントに影響を与えることなく、請求アクセス権限を設定する実際の経験を得られるように設計されています。

このワークフローには 4 つの基本ステップがあります。

ステップ 1 - AWS テストアカウントで請求データへのアクセスを有効にする: デフォルトでは、AWS アカウントの所有者 (AWS アカウントのルートユーザー) にのみ請求情報を表示および管理するアクセス権限があります。IAM ユーザーは、アカウント所有者がユーザーにアクセス許可を付与するまで、請求データにアクセスすることはできません。ルートユーザーとしてサインインする必要がある追加タスクを確認するには、「AWS アカウントのルートユーザーが必要な AWS のタスク」を参照してください。
ステップ 2: 請求データにアクセス権限を付与する IAM ポリシーを作成する: アカウントで請求へのアクセスを有効にした後でも、特定の IAM ユーザーまたはグループに請求データへのアクセス権限を明示的に許可する必要があります。カスタマー管理ポリシーでこのアクセス権限を付与します。
ステップ 3: 請求ポリシーをグループにアタッチする: グループにポリシーをアタッチすると、そのグループのすべてのメンバーは、そのポリシーに関連付けられたアクセス権限の完全なセットを受け取ります。このシナリオでは、請求へのアクセスを必要としているユーザーのみを含むグループに新しい請求ポリシーをアタッチします。
ステップ 4: 請求コンソールへのアクセスをテストする: 中心となるタスクを完了したら、ポリシーをテストすることができます。テストにより、ポリシーが期待したとおりに動作することを確認できます。

前提条件

このチュートリアルで使用するテスト AWS アカウントを作成します。このアカウントで、次の表にまとめてあるように 2 人のテストユーザーと 2 つのテストグループを作成します。後のステップ 4 でサインインできるように、必ず各ユーザーにパスワードを割り当てます。

ユーザーアカウントを作成する	グループアカウントを作成して設定する
ユーザー名	グループ名	メンバーとしてユーザーを追加する
FinanceManager	FullAccess	FinanceManager
FinanceUser	ViewAccess	FinanceUser

ステップ 1 - AWS テストアカウントで請求データへのアクセスを有効にする

テスト用アカウントにサインインし、請求へのアクセスを付与します。本稼働環境でこのプロセスに従う方法の詳細については、『AWS Billing and Cost Management ユーザーガイド』の「AWS ウェブサイトへのアクセスのアクティベート」を参照してください。

AWS テストアカウントで請求データへのアクセスを有効にするには

AWS アカウントのメールアドレスとパスワードを使用して、AWS マネジメントコンソールに AWS アカウントのルートユーザーとしてサインインしてください。
ナビゲーションバーでアカウント名を選択してから、[アカウント] を選択します。
[IAM User and Role Access to Billing Information] の横にある [Edit] を選択します。次に、チェックボックスをオンにして、Billing and Cost Management ページへの IAM ユーザーアクセスおよびフェデレーティッドユーザーアクセスを有効化します。
コンソールからサインアウトし、「ステップ 2: 請求データにアクセス権限を付与する IAM ポリシーを作成する」に進みます。

ステップ 2: 請求データにアクセス権限を付与する IAM ポリシーを作成する

次に、Billing and Cost Management コンソール内でページの表示およびフルアクセスの両方の権限を付与するカスタムポリシーを作成します。IAM アクセス権限ポリシーの全般情報については、「管理ポリシーとインラインポリシー」を参照してください。

請求データにアクセス権限を付与する IAM ポリシーを作成するには

管理者認証情報を使用してユーザーとして AWS マネジメントコンソールにサインインします。IAM ベストプラクティスに準拠するため、ルートユーザー認証情報でサインインしないでください。詳細については、「個々の IAM ユーザーの作成」を参照してください。
https://console.aws.amazon.com/iam/ にある IAM コンソールを開きます。
ナビゲーションペインで、[Policies] を選択し、次に [Create policy] を選択します。
[Visual editor] タブで、[Choose a service] を選択して開始します。次に、[Billing] を選択します。
以下のステップに従って 2 つのポリシーを作成します:

フルアクセス
1. [Select actions] を選択し、[All Actions (*)] の横にあるチェックボックスをオンにします。このポリシーのリソースや条件を選択する必要はありません。
2. [ポリシーの確認] を選択します。
3. [Review] ページで、[Name] の横に BillingFullAccess と入力し、[Create policy] を選択して保存します。
読み取り専用アクセス
1. ステップ 3 と 4 を繰り返します。
2. [Select actions] を選択し、[Read] の横にあるチェックボックスをオンにします。このポリシーのリソースや条件を選択する必要はありません。
3. [ポリシーの確認] を選択します。
4. [Review ] ページの [ Name ] に、「BillingViewAccess」と入力します。[Create policy] を選択して保存します。
IAM ポリシーで使用できる各アクセス権限の説明を参照して、Billing and Cost Management コンソールへのユーザーアクセスを許可するには、「請求アクセス許可の説明」を参照してください。

ステップ 3: 請求ポリシーをグループにアタッチする

これでカスタム請求ポリシーを利用できるようになったので、前に作成した該当のグループにポリシーをアタッチできます。ユーザーまたはロールに直接ポリシーをアタッチすることはできますが、(IAM のベストプラクティスに従って) 代わりにグループを使用することをお勧めします。詳細については、「グループを使用してアクセス権限を IAM ユーザーに割り当てる」を参照してください。

請求ポリシーをポリシーにアタッチするには

ナビゲーションペインで [Policies] を選択して、AWS アカウントで利用できるポリシーの一覧を表示します。各ポリシーを適切なグループにアタッチするには、以下のステップに従います:

フルアクセス
1. 検索ボックスに [BillingFullAccess] と入力し、ポリシー名の横にあるチェックボックスをオンにします。
2. [Policy actions] を選択して、[Attach] を選択します。
3. 検索ボックスに「FinanceManager」と入力し、グループ名の横にあるチェックボックスをオンにして、[ポリシーのアタッチ] を選択します。
読み取り専用アクセス
1. 検索ボックスに「BillingViewAccess」と入力し、ポリシー名の横にあるチェックボックスをオンにします。
2. [Policy actions] を選択して、[Attach] を選択します。
3. [Filter] で、[Groups] を選択します。検索ボックスに「FinanceUser」と入力し、グループ名の横にあるチェックボックスをオンにして、[ポリシーのアタッチ] を選択します。
コンソールからサインアウトし、「ステップ 4: 請求コンソールへのアクセスをテストする」に進みます。

ステップ 4: 請求コンソールへのアクセスをテストする

ユーザーアクセスは 2 通りの方法でテストできます。このチュートリアルでは、各テストユーザーとしてサインインしてアクセスをテストし、ユーザーの体験を確認できるようにすることをお勧めします。ユーザーのアクセス権限をテストする別のオプションの方法は、IAM Policy Simulator を使用することです。別の方法でこうしたアクションの有効な結果を確認するには、次のステップを使用します。

希望のテスト方法に基づいて、次のいずれかの手順を選択してください。最初のステップでは、アクセス権限の違いを確認するために、両方のテストアカウントを使用してサインインします。

両方のテストユーザーアカウントでサインインして請求へのアクセスをテストするには

AWS アカウント ID またはアカウントエイリアス、IAM ユーザー名、およびパスワードを使用してIAM コンソールにサインインします。

注記

便宜のために、AWS サインインページではブラウザの Cookie を使用して、IAM ユーザー名とアカウント情報を記憶しています。以前に別のユーザーとしてサインインしていた場合は、ページの下部にある[Sign in to a different account] を選択して､メインのサインインページに戻ります。そこから AWS アカウント ID またはアカウントエイリアスを入力して、アカウントの IAM ユーザーサインインページにリダイレクトすることができます。
以下に示す手順を使用して各アカウントにサインインし、さまざまなユーザー体験を比較できるようにします。

フルアクセス
1. ユーザー FinanceManager として AWS アカウントにサインインします。
2. ナビゲーションバーで、[FinanceManager @ <account alias or ID number>] を選択し、[Billing & Cost Management] を選択します。
3. さまざまなページを参照し、各ボタンを選択して、完全な変更アクセス権限があることを確認します。
読み取り専用アクセス
1. ユーザー FinanceUser として AWS アカウントにサインインします。
2. ナビゲーションバーで、[FinanceUser @ <account alias or ID number>] を選択し、[Billing & Cost Management] を選択します。
3. さまざまなページを参照します。問題なくコスト、レポート、および請求データを表示できることを確認してください。ただし、値を変更するオプションを選択すると、「アクセスが拒否されました」というエラーメッセージが表示されます。たとえば、[Preferences] ページで、ページの任意のチェックボックスをオンにし、[Save preferences] を選択します。そのページに変更を加えるには [ModifyBilling] アクセス権限が必要であることを知らせるコンソールメッセージが表示されます。

以下のオプションの手順では、代わりに IAM Policy Simulator を使用して、委任されたユーザーの請求ページに対する実質的なアクセス権限をテストする方法を示します。

IAM Policy Simulator で有効なアクセス権限を表示して請求へのアクセスをテストするには

IAM Policy Simulator を https://policysim.aws.amazon.com/ で開きます。（AWS にまだサインインしていない場合は、サインインするように求められます）。
[Users, Groups, and Roles] で、最近ポリシーをアタッチしたグループのメンバーである、いずれかのユーザーを選択します。
[Policy Simulator] で、[Select service] を選択し、[Billing] を選択します。
[Select actions] の横にある [Select All] を選択します。
[Run Simulation] を選択し、一覧されているユーザーのアクセス権限を、可能なすべての請求関連のアクセス権限オプションと比較して、正しい権限が適用されていることを確認します。

概要

これで、請求およびコスト Billing and Cost Management コンソールにユーザーアクセスを委任するために必要なすべてのステップを正しく完了しました。これで、ユーザーの請求コンソール体験がどのようなものであるかを直接確認しました。これは、このロジックを本稼働環境に実装する手順に進む際の参考となります。