AWS Application Cost Profiler で IAM を使用する方法 - Application Cost Profiler
Application Cost Profiler のアイデンティティベースのポリシーApplication Cost Profiler のリソースベースのポリシーApplication Cost Profiler タグに基づいた許可Application Cost Profiler の IAM ロール

AWS Application Cost Profiler は 2024 年 9 月 30 日までに廃止される予定で、現在、新規のお客様は受け付けていません。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Application Cost Profiler で IAM を使用する方法

IAM を使用して Application Cost Profiler へのアクセスを管理するには、Application Cost Profiler で使用できる IAM 機能を理解しておく必要があります。Application Cost Profiler およびその他の AWS のサービスと IAM との連携の概要については、IAM ユーザーガイドの IAM と連携する AWS のサービスを参照してください。

Application Cost Profiler のアイデンティティベースのポリシー

IAM のアイデンティティベースのポリシーでは、アクションを許可または拒否する条件に加えて、許可または拒否するアクションとリソースを指定できます。Application Cost Profiler は、特定のアクションをサポートしています。JSON ポリシーで使用するすべての要素については、「IAM ユーザーガイド」の「IAM JSON ポリシー要素のリファレンス」を参照してください。

アクション

管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどんなリソースにどんな条件アクションを実行できるかということです。

JSON ポリシーのAction要素には、ポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。ポリシーアクションの名前は通常、関連する AWS API オペレーションと同じです。一致する API オペレーションのない権限のみのアクションなど、いくつかの例外があります。また、ポリシーに複数アクションが必要なオペレーションもあります。これらの追加アクションは、依存アクションと呼ばれます。

このアクションは、関連付けられたオペレーションを実行するための権限を付与するポリシーで使用されます。

Application Cost Profiler のポリシーアクションは、アクションの前にプレフィックス application-cost-profiler: を使用します。例えば、Application Cost Profiler レポート定義の詳細を表示するアクセス許可を他のユーザーに付与するには、ポリシーに application-cost-profiler:GetReportDefinition アクションを含めます。ポリシーステートメントには、Action または NotAction 要素を含める必要があります。Application Cost Profiler は、このサービスで実行できるタスクを記述する、独自の一連のアクションを定義します。

単一のステートメントに複数の アクションを指定するには、次のようにコンマで区切ります。

"Action": [
      "application-cost-profiler:ListReportDefinitions",
      "application-cost-profiler:GetReportDefinition"

以下に、Application Cost Profiler で使用できるアクションを示します。それぞれが、同じ名前の API アクションを許可します。Application Cost Profiler API の詳細については、「AWS Application Cost Profiler API リファレンス」を参照してください。

  • application-cost-profiler:ListReportDefinitions — AWS アカウントのレポート定義 (存在する場合) の一覧表示を許可します。

  • application-cost-profiler:GetReportDefinition – Application Cost Profiler レポートのレポート定義詳細の取得を許可します。

  • application-cost-profiler:PutReportDefinition – 新しいレポート定義の作成を許可します。

  • application-cost-profiler:UpdateReportDefinition – レポート定義の更新を許可します。

  • application-cost-profiler:DeleteReportDefinition – レポートの削除を許可します (Application Cost Profiler API でのみ使用可能)。

  • application-cost-profiler:ImportApplicationUsage — 指定された Amazon S3 バケットからの使用状況データのインポートを Application Cost Profiler にリクエストすることを許可します。

リソース

Application Cost Profiler では、ポリシーでリソースの Amazon リソースネーム (ARN) を指定することはできません。

条件キー

Application Cost Profiler にはサービス固有の条件キーがありませんが、いくつかのグローバル条件キーの使用がサポートされています。すべての AWS グローバル条件キーを確認するには、IAM ユーザーガイドの「AWS グローバル条件コンテキストキー」を参照してください。

Application Cost Profiler のアイデンティティベースのポリシーの例については、AWS Application Cost Profiler のアイデンティティベースのポリシーの例を参照してください。

Application Cost Profiler のリソースベースのポリシー

Application Cost Profiler は、リソースベースのポリシーをサポートしていません。

Application Cost Profiler タグに基づいた許可

Application Cost Profiler は、リソースのタグ付けやタグに基づいたアクセスの制御をサポートしていません。

Application Cost Profiler の IAM ロール

IAM ロールは AWS アカウント内のエンティティで、特定の許可を持っています。

Application Cost Profiler での一時的な認証情報の使用

一時的な認証情報を使用して、フェデレーションでサインインする、IAM ロールを引き受ける、またはクロスアカウントロールを引き受けることができます。一時的なセキュリティ認証情報を取得するには、 AssumeRoleGetFederationToken などの AWS STS API オペレーションを呼び出します。

Application Cost Profiler は、一時的な認証情報の使用をサポートしています。

サービスにリンクされたロール

サービスリンクロールは、AWS サービスが他のサービスのリソースにアクセスしてお客様の代わりにアクションを完了することを許可します。サービスリンクロールは、IAM アカウント内に表示され、サービスによって所有されます。 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。

Application Cost Profiler は、サービスにリンクされたロールをサポートしていません。

サービスロール

この機能により、ユーザーに代わってサービスがサービスロールを引き受けることが許可されます。このロールにより、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールは、IAM アカウントに表示され、アカウントによって所有されます。つまり、 管理者は、このロールのアクセス許可を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。

Application Cost Profiler は、サービスロールをサポートしていません。