チュートリアル: 請求コンソールへのアクセス権の委任

AWS アカウントの所有者は、AWS アカウントの AWS Billing and Cost Management データの表示や管理を行う必要がある特定の IAM ユーザーにアクセス許可を委任できます。この手順に従うことで、事前にテスト済みのシナリオを設定し、主な AWS 本稼働用アカウントに影響を与えることなく、請求アクセス許可を設定する実際の経験を得られるように設計されています。

このワークフローには 4 つの基本ステップがあります。

ステップ 1 - AWS テストアカウントで請求データへのアクセスを有効にする

単一の AWS アカウントを作成する場合は、AWS アカウント所有者 (AWS アカウントのルートユーザー) のみ、請求情報を表示および管理することができます。IAM ユーザーは、アカウント所有者によって、IAM アクセスがアクティブ化され、ユーザーまたはロールへの請求アクションを許可するポリシーがアタッチされるまで、請求データにアクセスすることはできません。ルートユーザーとしてサインインする必要がある追加のタスクを確認するには、「AWS アカウントのルートユーザーが必要な AWS のタスク」を参照してください。

AWS Organizations を使用してメンバーアカウントを作成する場合、この機能はデフォルトで有効に設定されています。

ステップ 2: 請求データにアクセス許可を付与する IAM ポリシーを作成する

アカウントで請求へのアクセスを有効にした後でも、特定の IAM ユーザーまたはグループに請求データへのアクセス許可を明示的に許可する必要があります。カスタマー管理ポリシーでこのアクセス許可を付与します。

ステップ 3: 請求ポリシーをグループにアタッチする

グループにポリシーをアタッチすると、そのグループのすべてのメンバーは、そのポリシーに関連付けられたアクセス権限の完全なセットを受け取ります。このシナリオでは、請求へのアクセスを必要としているユーザーのみを含むグループに新しい請求ポリシーをアタッチします。

ステップ 4: 請求コンソールへのアクセスをテストする

中心となるタスクを完了したら、ポリシーをテストすることができます。テストにより、ポリシーが期待したとおりに動作することを確認できます。

前提条件

このチュートリアルで使用するテスト AWS アカウントを作成します。このアカウントで、次の表にまとめてあるように 2 人のテストユーザーと 2 つのテストグループを作成します。後のステップ 4 でサインインできるように、必ず各ユーザーにパスワードを割り当てます。

ユーザーアカウントを作成する	グループアカウントを作成して設定する
ユーザー名	グループ名	メンバーとしてユーザーを追加する
FinanceManager	BillingFullAccessGroup	FinanceManager
FinanceUser	BillingViewAccessGroup	FinanceUser

ステップ 1 - AWS テストアカウントで請求データへのアクセスを有効にする

テスト用アカウントにサインインし、請求へのアクセスを付与します。本稼働環境でこのプロセスに従う方法の詳細については、AWS Billing and Cost Management ユーザーガイド の「AWS ウェブサイトへのアクセスのアクティベート」を参照してください。

注記

AWS Organizations を使用してメンバーアカウントを作成する場合、この機能はデフォルトで有効に設定されています。

AWS テストアカウントで請求データへのアクセスを有効にするには

AWS アカウントのメールアドレスとパスワードを使用して、AWS マネジメントコンソールに AWS アカウントのルートユーザーとしてサインインしてください。
ナビゲーションバーでアカウント名を選択してから、[アカウント] を選択します。
[IAM User and Role Access to Billing Information] の横で、[Edit] を選択します。
次に、[Activate IAM Access] のチェックボックスをオンにして、[更新] を選択します。
コンソールからサインアウトし、「ステップ 2: 請求データにアクセス許可を付与する IAM ポリシーを作成する」に進みます。

ステップ 2: 請求データにアクセス許可を付与する IAM ポリシーを作成する

次に、Billing and Cost Management コンソール内でページの表示およびフルアクセスの両方の権限を付与するカスタムポリシーを作成します。IAM アクセス許可ポリシーの全般情報については、「管理ポリシーとインラインポリシー」を参照してください。

請求データにアクセス許可を付与する IAM ポリシーを作成するには

管理者認証情報を使用してユーザーとして AWS マネジメントコンソールにサインインします。IAM のベストプラクティスに準拠し、ルートユーザー認証情報ではサインインしないでください。詳細については、「個々の IAM ユーザーの作成」を参照してください。
IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。
ナビゲーションペインで、[ポリシー]、[ポリシーの作成] の順に選択します。
[Visual editor (ビジュアルエディタ)] タブで、まず [Choose a service (サービスの選択)] を選択します。次に、[請求] を選択します。
以下のステップに従って 2 つのポリシーを作成します:

フルアクセス
1. [アクションの選択] を選択し、[すべてのアクション (*)] の横にあるチェックボックスをオンにします。このポリシーのリソースや条件を選択する必要はありません。
2. [ポリシーの確認] を選択します。
3. [Review (確認)] ページで、[Name (名前)] の横に「BillingFullAccess」と入力し、[ポリシーの作成] を選択して保存します。
読み取り専用アクセス
1. ステップ 3 と 4 を繰り返します。
2. [アクションの選択] を選択し、[読み取り] の横にあるチェックボックスをオンにします。このポリシーのリソースや条件を選択する必要はありません。
3. [ポリシーの確認] を選択します。
4. [Review (確認)] ページで、[Name (名前)] に「BillingViewAccess」と入力します。[ポリシーの作成] を選択して保存します。
IAM ポリシーで使用できるアクセス許可のうち、ユーザーに Billing and Cost Management コンソールへのアクセスを許可する各アクセス許可の説明を確認するには、「請求アクセス許可の説明」を参照してください。

ステップ 3: 請求ポリシーをグループにアタッチする

これでカスタム請求ポリシーを利用できるようになったので、前に作成した該当のグループにポリシーをアタッチできます。ユーザーまたはロールに直接ポリシーをアタッチすることはできますが、(IAM のベストプラクティスに従って) 代わりにグループを使用することをお勧めします。詳細については、「グループを使用してアクセス許可を IAM ユーザーに割り当てる」を参照してください。

請求ポリシーをポリシーにアタッチするには

ナビゲーションペインで [ポリシー] を選択して、AWS アカウントで利用できるポリシーの全一覧を表示します。各ポリシーを適切なグループにアタッチするには、以下のステップに従います:

フルアクセス
1. ポリシー検索ボックスに「BillingFullAccess」と入力し、ポリシー名の横にあるチェックボックスをオンにします。
2. [Policy actions] を選択して、[Attach] を選択します。
3. アイデンティティ (ユーザー、グループ、およびロール) 検索ボックスに「BillingFullAccessGroup」と入力し、グループ名の横にあるチェックボックスをオンにして、[ポリシーのアタッチ] を選択します。
読み取り専用アクセス
1. ポリシー検索ボックスに「BillingViewAccess」と入力し、ポリシー名の横にあるチェックボックスをオンにします。
2. [Policy actions] を選択して、[Attach] を選択します。
3. アイデンティティ (ユーザー、グループ、およびロール) 検索ボックスに「BillingViewAccessGroup」と入力し、グループ名の横にあるチェックボックスをオンにして、[ポリシーのアタッチ] を選択します。
コンソールからサインアウトし、「ステップ 4: 請求コンソールへのアクセスをテストする」に進みます。

ステップ 4: 請求コンソールへのアクセスをテストする

ユーザーアクセスは 2 通りの方法でテストできます。このチュートリアルでは、各テストユーザーとしてサインインしてアクセスをテストし、ユーザーの体験を確認できるようにすることをお勧めします。ユーザーのアクセス許可をテストする別の (オプションの) 方法は、IAM Policy Simulator を使用することです。別の方法でこうしたアクションの有効な結果を確認するには、次のステップを使用します。

希望のテスト方法に基づいて、次のいずれかの手順を選択してください。最初のステップでは、アクセス権限の違いを確認するために、両方のテストアカウントを使用してサインインします。

両方のテストユーザーアカウントでサインインして請求へのアクセスをテストするには

AWS アカウント ID またはアカウントエイリアス、IAM ユーザー名、およびパスワードを使用してIAM コンソールにサインインします。

注記

便宜のために、AWS サインインページではブラウザの Cookie を使用して、IAM ユーザー名とアカウント情報を記憶しています。以前に別のユーザーとしてサインインしていた場合は、ページの下部にある[Sign in to a different account] を選択して､メインのサインインページに戻ります。そこから AWS アカウント ID またはアカウントエイリアスを入力して、アカウントの IAM ユーザーサインインページにリダイレクトすることができます。
以下に示す手順を使用して各アカウントにサインインし、さまざまなユーザー体験を比較できるようにします。

フルアクセス
1. ユーザー FinanceManager として AWS アカウントにサインインします。
2. ナビゲーションバーで、[FinanceManager@<アカウントエイリアスまたは ID 番号>]、[請求とコスト管理] の順に選択します。
3. さまざまなページを参照し、各ボタンを選択して、完全な変更アクセス許可があることを確認します。
読み取り専用アクセス
1. ユーザー FinanceUser として AWS アカウントにサインインします。
2. ナビゲーションバーで、[FinanceUser@<アカウントエイリアスまたは ID 番号>]、[請求とコスト管理] を選択します。
3. さまざまなページを参照します。問題なくコスト、レポート、および請求データを表示できることを確認してください。ただし、値を変更するオプションを選択すると、「アクセスが拒否されました」というエラーメッセージが表示されます。たとえば、[設定] ページで、ページの任意のチェックボックスをオンにし、[設定の保存] を選択します。そのページに変更を加えるには [ModifyBilling] アクセス許可が必要であることを知らせるコンソールメッセージが表示されます。

以下のオプションの手順では、代わりに IAM Policy Simulator を使用して、委任されたユーザーの請求ページに対する実質的なアクセス許可をテストする方法を示します。

IAM Policy Simulator で有効なアクセス許可を表示して請求へのアクセスをテストするには

IAM Policy Simulator (https://policysim.aws.amazon.com/) を開きます。(AWS にまだサインインしていない場合は、サインインするように求められます)。
[ユーザー、グループ、およびロール] で、最近ポリシーをアタッチしたグループのメンバーである、いずれかのユーザーを選択します。
[Policy Simulator] で、[サービスの選択]、[請求] の順に選択します。
[アクションの選択] の横にある [すべて選択] を選択します。
[Run Simulation (シミュレーションの実行)] を選択し、一覧されているユーザーのアクセス許可を、可能なすべての請求関連のアクセス許可オプションと比較して、正しいアクセス許可が適用されていることを確認します。

概要

これで、請求およびコスト Billing and Cost Management コンソールにユーザーアクセスを委任するために必要なすべてのステップを正しく完了しました。これで、ユーザーの請求コンソール体験がどのようなものであるかを直接確認しました。これは、このロジックを本稼働環境に実装する手順に進む際の参考となります。