IAM チュートリアル: 請求コンソールへのアクセス権限の委任
AWS アカウントの所有者は、AWS アカウントの AWS Billing and Cost Management データの表示や管理を行う必要がある特定の IAM ユーザーにアクセス許可を委任できます。以下の手順は、事前にテストされたシナリオの設定に役立ちます。このシナリオでは、メインの AWS 本番稼働用アカウントに影響を与えることなく、請求アクセス許可の設定を実務的に体験できます。このチュートリアルに従わずに、マネージドポリシーを IAM ユーザーにアタッチする場合は、まず ステップ 1 で AWS Billing and Cost Management コンソールへのアクセスを有効化する必要があります。
このワークフローには 4 つの基本ステップがあります。

- ステップ 1: AWS テストアカウントで請求データへのアクセスを有効にする
-
単一の AWS アカウントを作成する場合は、AWS アカウント所有者 (AWS アカウントのルートユーザー) のみ、請求情報を表示および管理することができます。IAM ユーザーは、アカウント所有者によって、IAM アクセスがアクティブ化され、ユーザーまたはロールへの請求アクションを許可するポリシーがアタッチされるまで、請求データにアクセスすることもできません。ルートユーザー としてサインインする必要がある追加のタスクを確認するには、「AWS アカウントのルートユーザーが必要な AWS のタスク」を参照してください。
AWS Organizations を使用してメンバーアカウントを作成する場合、この機能はデフォルトで有効に設定されています。
- ステップ 2: 請求データにアクセス権限を付与する IAM ポリシーを作成する
-
アカウントで請求へのアクセスを有効にした後でも、特定の IAM ユーザーまたはグループに請求データへのアクセス許可を明示的に許可する必要があります。カスタマー管理ポリシーでこのアクセス許可を付与します。
- ステップ 3: 請求ポリシーをグループにアタッチする
-
グループにポリシーをアタッチすると、そのグループのすべてのメンバーは、そのポリシーに関連付けられたアクセス権限の完全なセットを受け取ります。このシナリオでは、請求へのアクセスを必要としているユーザーのみを含むグループに新しい請求ポリシーをアタッチします。
- ステップ 4: 請求コンソールへのアクセスをテストする
-
中心となるタスクを完了したら、ポリシーをテストすることができます。テストにより、ポリシーが期待したとおりに動作することを確認できます。
前提条件
このチュートリアルで使用するテスト AWS アカウントを作成します。このアカウントで、次の表にまとめてあるように 2 人のテストユーザーと 2 つのテストグループを作成します。後のステップ 4 でサインインできるように、必ず各ユーザーにパスワードを割り当てます。
ユーザーアカウントを作成する | グループアカウントを作成して設定する | |
---|---|---|
ユーザー名 | グループ名 | メンバーとしてユーザーを追加する |
FinanceManager | BillingFullAccessGroup | FinanceManager |
FinanceUser | BillingViewAccessGroup | FinanceUser |
ステップ 1: AWS テストアカウントで請求データへのアクセスを有効にする
まず、テストユーザーの請求へのアクセスを有効にします。これを行うには、AWS Billing and Cost Management ユーザーガイド の 「Billing and Cost Management コンソールへのアクセスのアクティベート」を参照してください。
AWS Organizations を使用してメンバーアカウントを作成する場合、この機能はデフォルトで有効に設定されています。
ステップ 2: 請求データにアクセス権限を付与する IAM ポリシーを作成する
次に、Billing and Cost Management コンソール内でページの表示およびフルアクセスの両方の権限を付与するカスタムポリシーを作成します。IAM アクセス許可ポリシーの全般情報については、「管理ポリシーとインラインポリシー」を参照してください。
請求データにアクセス許可を付与する IAM ポリシーを作成するには
-
管理者認証情報を使用してユーザーとして AWS マネジメントコンソール にサインインします。IAM のベストプラクティスに準拠し、ルートユーザー 認証情報ではサインインしないでください。詳細については、「個々の IAM ユーザーの作成」を参照してください。
-
IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
ナビゲーションペインで、[ポリシー]、[ポリシーの作成] の順に選択します。
-
[Visual editor (ビジュアルエディタ)] タブで、まず [Choose a service (サービスの選択)] を選択します。次に、[Billing] を選択します。
-
以下のステップに従って 2 つのポリシーを作成します:
フルアクセス
-
[アクションの選択] を選択し、[すべてのアクション (*)] の横にあるチェックボックスをオンにします。このポリシーのリソースや条件を選択する必要はありません。
-
[ポリシーの確認] を選択します。
-
[Review (確認)] ページで、[Name (名前)] の横に「
BillingFullAccess
」と入力し、[ポリシーの作成] を選択して保存します。
読み取り専用アクセス
-
ステップ 3 と 4 を繰り返します。
-
[アクションの選択] を選択し、[読み込み] の横にあるチェックボックスをオンにします。このポリシーのリソースや条件を選択する必要はありません。
-
[ポリシーの確認] を選択します。
-
[Review (確認)] ページで、[Name (名前)] に「
BillingViewAccess
」と入力します。[ポリシーの作成] を選択して保存します。
IAM ポリシーで使用できる各アクセス権限の説明を参照して、Billing and Cost Management コンソールへのユーザーアクセスを許可するには、「請求アクセス許可の説明」を参照してください。
-
ステップ 3: 請求ポリシーをグループにアタッチする
これでカスタム請求ポリシーを利用できるようになったので、前に作成した該当のグループにポリシーをアタッチできます。ユーザーまたはロールに直接ポリシーをアタッチすることはできますが、(IAM のベストプラクティスに従って) 代わりにグループを使用することをお勧めします。詳細については、「グループを使用してアクセス許可を IAM ユーザーに割り当てる」を参照してください。
請求ポリシーをポリシーにアタッチするには
-
ナビゲーションペインで [ポリシー] を選択して、AWS アカウントで利用できるポリシーの全一覧を表示します。各ポリシーを適切なグループにアタッチするには、以下のステップに従います:
フルアクセス
-
ポリシー検索ボックスに「
BillingFullAccess
」と入力し、ポリシー名の横にあるチェックボックスをオンにします。 -
[Policy actions (ポリシーアクション)] を選択して、[Attach (アタッチ)] を選択します。
-
アイデンティティ (ユーザー、グループ、およびロール) 検索ボックスに「
BillingFullAccessGroup
」と入力し、グループ名の横にあるチェックボックスをオンにして、[ポリシーのアタッチ] を選択します。
読み取り専用アクセス
-
ポリシー検索ボックスに「
BillingViewAccess
」と入力し、ポリシー名の横にあるチェックボックスをオンにします。 -
[Policy actions (ポリシーアクション)] を選択して、[Attach (アタッチ)] を選択します。
-
アイデンティティ (ユーザー、グループ、およびロール) 検索ボックスに「
BillingViewAccessGroup
」と入力し、グループ名の横にあるチェックボックスをオンにして、[ポリシーのアタッチ] を選択します。
-
-
コンソールからサインアウトし、「ステップ 4: 請求コンソールへのアクセスをテストする」に進みます。
ステップ 4: 請求コンソールへのアクセスをテストする
各テストユーザーとしてサインインしてアクセスをテストし、ユーザーの体験を確認できるようにすることをお勧めします。次のステップを使用して、アクセス権限の違いを確認するために、両方のテストアカウントを使用してサインインします。
両方のテストユーザーアカウントでサインインして請求へのアクセスをテストするには
-
AWS アカウント ID またはアカウントエイリアス、IAM ユーザー名、およびパスワードを使用して IAM
コンソールにサインインします。 注記 便宜のために、AWS サインインページではブラウザの Cookie を使用して、IAM ユーザー名とアカウント情報を記憶しています。以前に別のユーザーとしてサインインしていた場合は、ページの下部にある [Sign in to a different account (別のアカウントにサインイン)] を選択して、メインのサインインページに戻ります。そこから AWS アカウント ID またはアカウントエイリアスを入力して、アカウントの IAM ユーザーサインインページにリダイレクトすることができます。
-
以下に示すステップを使用して各アカウントにサインインし、さまざまなユーザー体験を比較できるようにします。
フルアクセス
-
ユーザー FinanceManager として AWS アカウントにサインインします。
-
ナビゲーションバーで、[FinanceManager @
<account alias or ID number>
] を選択し、[My Billing Dashboard (請求ダッシュボード)] を選択します。 -
さまざまなページを参照し、各ボタンを選択して、完全な変更アクセス権限があることを確認します。
読み取り専用アクセス
-
ユーザー FinanceUser として AWS アカウントにサインインします。
-
ナビゲーションバーで、[FinanceUser@
<account alias or ID number>
] を選択し、[My Billing Dashboard (請求ダッシュボード)] を選択します。 -
さまざまなページを参照します。問題なくコスト、レポート、および請求データを表示できることを確認してください。ただし、値を変更するオプションを選択すると、「アクセスが拒否されました」というエラーメッセージが表示されます。たとえば、[設定] ページで、ページの任意のチェックボックスをオンにし、[設定の保存] を選択します。そのページに変更を加えるには [ModifyBilling] アクセス許可が必要であることを知らせるコンソールメッセージが表示されます。
-
関連リソース
AWS Billing and Cost Management ユーザーガイド の関連情報については、以下の関連リソースを参照してください。
IAM ユーザーガイド の関連情報については、以下の関連リソースを参照してください。
概要
これで、Billing and Cost Management コンソールにユーザーアクセスを委任するために必要なすべてのステップを正しく完了しました。その結果、ユーザーの請求コンソールエクスペリエンスがどのようなものになるかを直接確認できました。これで、このロジックを本稼働環境にいつでも実装できます。