前提条件ステップ 1: AWS テストアカウントで請求データへのアクセスを有効にするステップ 2: 請求データにアクセス権限を付与する IAM ポリシーを作成するステップ 3: 請求ポリシーをユーザーグループにアタッチするステップ 4: 請求コンソールへのアクセスをテストする関連リソース概要

IAM チュートリアル: 請求コンソールへのアクセス権の委任

AWS アカウントの所有者は、AWS アカウントの AWS Billing and Cost Management データの表示や管理を行う必要がある特定の IAM ユーザーにアクセス許可を委任できます。以下の手順は、事前にテストされたシナリオの設定に役立ちます。このシナリオでは、メインの AWS 本番稼働用アカウントに影響を与えることなく、請求アクセス許可の設定を実務的に体験できます。このチュートリアルに従わずに、マネージドポリシーを IAM ユーザーにアタッチする場合は、まずステップ 1 で AWS Billing and Cost Management コンソールへのアクセスを有効化する必要があります。

このワークフローには 4 つの基本ステップがあります。

ステップ 1: AWS テストアカウントで請求データへのアクセスを有効にする

単一の AWS アカウントを作成する場合は、AWS アカウント所有者 ( AWS アカウントルートユーザー) のみ、請求情報を表示および管理することができます。IAM ユーザーは、アカウント所有者によって、IAM アクセスがアクティブ化され、ユーザーまたはロールへの請求アクションを許可するポリシーがアタッチされるまで、請求データにアクセスすることもできません。ルートユーザーとしてサインインする必要がある追加のタスクを確認するには、「アカウントのルートユーザーが必要な AWS のタスク」を参照してください。

AWS Organizations を使用してメンバーアカウントを作成する場合、この機能はデフォルトで有効に設定されています。

ステップ 2: 請求データにアクセス権限を付与する IAM ポリシーを作成する

アカウントで請求へのアクセスを有効にした後でも、特定の IAM ユーザーまたはユーザーグループに請求データへのアクセス権限を明示的に許可する必要があります。カスタマー管理ポリシーでこのアクセス許可を付与します。

ステップ 3: 請求ポリシーをユーザーグループにアタッチする

ユーザーグループにポリシーをアタッチすると、そのユーザーグループのすべてのメンバーは、そのポリシーに関連付けられたアクセス権限の完全なセットを受け取ります。このシナリオでは、請求へのアクセスを必要としているユーザーのみを含むユーザーグループに新しい請求ポリシーをアタッチします。

ステップ 4: 請求コンソールへのアクセスをテストする

中心となるタスクを完了したら、ポリシーをテストすることができます。テストにより、ポリシーが期待したとおりに動作することを確認できます。

前提条件

このチュートリアルで使用するテスト AWS アカウントを作成します。このアカウントで、次の表にまとめてあるように 2 人のテストユーザーと 2 つのテストユーザーグループを作成します。後のステップ 4 でサインインできるように、必ず各ユーザーにパスワードを割り当てます。

ユーザーアカウントを作成する	ユーザーグループアカウントを作成して設定する
ユーザー名	ユーザーグループ名	メンバーとしてユーザーを追加する
FinanceManager	BillingFullAccessGroup	FinanceManager
FinanceUser	BillingViewAccessGroup	FinanceUser

ステップ 1: AWS テストアカウントで請求データへのアクセスを有効にする

まず、AWS Billing and Cost Management コンソールでテストユーザーの請求へのアクセスを有効にします。

注記

AWS Organizations を使用してメンバーアカウントを作成する場合、この機能はデフォルトで有効に設定されています。

Billing and Cost Management コンソールへの IAM ユーザーおよびロールのアクセスをアクティブにするには

ルートアカウント認証情報 (具体的には、AWS アカウントの作成に使用した E メールアドレスとパスワード) で AWS Management Console にサインインします。
ナビゲーションバーでアカウント名を選択してから、[アカウント] を選択します。
[IAM User and Role Access to Billing Information] の横で、[Edit] を選択します。
[Activate IAM Access (IAM アクセスのアクティブ化)] チェックボックスをオンにして、Billing and Cost Management コンソールページへのアクセスをアクティブ化します。
[Update (更新)] を選択します。

これで、IAM ポリシーを使用して、ユーザーがアクセスできるページを制御できるようになります。

IAM ユーザーアクセスをアクティブ化したら、特定の請求機能へのアクセスを許可または拒否する IAM ポリシーをアタッチできます。ポリシーを使用して IAM ユーザーに AWS Billing and Cost Management 管理機能へのアクセス権を付与する方法の詳細については、AWS Billing and Cost Management ユーザーガイド の Billing and Cost Management 管理のためのアイデンティティベースのポリシー (IAM ポリシー) の使用を参照してください。

ステップ 2: 請求データにアクセス権限を付与する IAM ポリシーを作成する

次に、Billing and Cost Management コンソール内でページの表示およびフルアクセスの両方の権限を付与するカスタムポリシーを作成します。IAM アクセス許可ポリシーの全般情報については、「管理ポリシーとインラインポリシー」を参照してください。

請求データにアクセス許可を付与する IAM ポリシーを作成するには

管理者認証情報を使用してユーザーとして AWS Management Console にサインインします。IAM のベストプラクティスに準拠し、ルートユーザー認証情報ではサインインしないでください。詳細については、個々の IAM ユーザーの作成を参照してください。
IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。
ナビゲーションペインで、[ポリシー]、[ポリシーの作成] の順に選択します。
[Visual editor (ビジュアルエディタ)] タブで、まず [Choose a service (サービスの選択)] を選択します。次に、[Billing] を選択します。
以下のステップに従って 2 つのポリシーを作成します:

フルアクセス
1. [アクションの選択] を選択し、[すべての請求アクション (aws-portal: *)] の横にあるチェックボックスをオンにします。このポリシーのリソースや条件を選択する必要はありません。
2. [ポリシーの確認] を選択します。
3. [Review (確認)] ページで、[Name (名前)] の横に「BillingFullAccess」と入力し、[ポリシーの作成] を選択して保存します。
読み取り専用アクセス
1. ステップ 3 と 4 を繰り返します。
2. [アクションの選択] を選択し、[読み込み] の横にあるチェックボックスをオンにします。このポリシーのリソースや条件を選択する必要はありません。
3. [ポリシーの確認] を選択します。
4. [Review (確認)] ページで、[Name (名前)] に「BillingViewAccess」と入力します。[ポリシーの作成] を選択して保存します。
IAM ポリシーで使用できる各アクセス権限の説明を参照して、Billing and Cost Management コンソールへのユーザーアクセスを許可するには、「請求アクセス許可の説明」を参照してください。

ステップ 3: 請求ポリシーをユーザーグループにアタッチする

これでカスタム請求ポリシーを利用できるようになったので、前に作成した該当のユーザーグループにポリシーをアタッチできます。ユーザーまたはロールに直接ポリシーをアタッチすることはできますが、(IAM のベストプラクティスに従って) 代わりにユーザーグループを使用することをお勧めします。詳細については、ユーザーグループを使用して許可を IAM ユーザーに割り当てるを参照してください。

請求ポリシーをユーザーグループにアタッチするには

ナビゲーションペインで [ポリシー] を選択して、AWS アカウントで利用できるポリシーの全一覧を表示します。各ポリシーを適切なユーザーグループにアタッチするには、以下のステップに従います:

フルアクセス
1. ポリシー検索ボックスに「BillingFullAccess」と入力し、ポリシー名の横にあるチェックボックスをオンにします。
2. [Actions] (アクション) を選択して、[Attach] (アタッチ) を選択します。
3. アイデンティティ (ユーザー、ユーザーグループ、およびロール) 検索ボックスに「BillingFullAccessGroup」と入力し、ユーザーグループ名の横にあるチェックボックスをオンにして、[ポリシーのアタッチ] を選択します。
読み取り専用アクセス
1. ポリシー検索ボックスに「BillingViewAccess」と入力し、ポリシー名の横にあるチェックボックスをオンにします。
2. [Actions] (アクション) を選択して、[Attach] (アタッチ) を選択します。
3. アイデンティティ (ユーザー、ユーザーグループ、およびロール) 検索ボックスに「BillingViewAccessGroup」と入力し、ユーザーグループ名の横にあるチェックボックスをオンにして、[ポリシーのアタッチ] を選択します。
コンソールからサインアウトし、「ステップ 4: 請求コンソールへのアクセスをテストする」に進みます。

ステップ 4: 請求コンソールへのアクセスをテストする

各テストユーザーとしてサインインしてアクセスをテストし、ユーザーの体験を確認できるようにすることをお勧めします。次のステップを使用して、アクセス権限の違いを確認するために、両方のテストアカウントを使用してサインインします。

両方のテストユーザーアカウントでサインインして請求へのアクセスをテストするには

AWS アカウント ID またはアカウントエイリアス、IAM ユーザー名、およびパスワードを使用して IAM コンソールにサインインします。

注記

便宜のために、AWS サインインページではブラウザの Cookie を使用して、IAM ユーザー名とアカウント情報を記憶しています。以前に別のユーザーとしてサインインしていた場合は、ページの下部にある [Sign in to a different account (別のアカウントにサインイン)] を選択して､メインのサインインページに戻ります。そこから AWS アカウント ID またはアカウントエイリアスを入力して、アカウントの IAM ユーザーサインインページにリダイレクトすることができます。
以下に示すステップを使用して各アカウントにサインインし、さまざまなユーザー体験を比較できるようにします。

フルアクセス
1. ユーザー FinanceManager として AWS アカウントにサインインします。
2. ナビゲーションバーで、[FinanceManager @ <account alias or ID number>] を選択し、[My Billing Dashboard (請求ダッシュボード)] を選択します。
3. さまざまなページを参照し、各ボタンを選択して、完全な変更アクセス権限があることを確認します。
読み取り専用アクセス
1. ユーザー FinanceUser として AWS アカウントにサインインします。
2. ナビゲーションバーで、[FinanceUser@<account alias or ID number>] を選択し、[My Billing Dashboard (請求ダッシュボード)] を選択します。
3. さまざまなページを参照します。問題なくコスト、レポート、および請求データを表示できることを確認してください。ただし、値を変更するオプションを選択すると、「アクセスが拒否されました」というエラーメッセージが表示されます。たとえば、[設定] ページで、ページの任意のチェックボックスをオンにし、[設定の保存] を選択します。そのページに変更を加えるには [ModifyBilling] アクセス許可が必要であることを知らせるコンソールメッセージが表示されます。

概要

これで、Billing and Cost Management コンソールにユーザーアクセスを委任するために必要なすべてのステップを正しく完了しました。その結果、ユーザーの請求コンソールエクスペリエンスがどのようなものになるかを直接確認できました。これで、このロジックを本稼働環境にいつでも実装できます。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

チュートリアル

AWS アカウント間のロールを使用したアクセスの委任