AWS Application Cost Profiler が IAM と連携する方法 - Application Cost Profiler

AWS Application Cost Profiler は 2024 年 9 月 30 日までに廃止され、新規顧客を受け入れなくなります。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Application Cost Profiler が IAM と連携する方法

IAM を使用して Application Cost Profiler へのアクセスを管理する前に、Application Cost Profiler で使用できる IAM 機能を理解しておく必要があります。Application Cost Profiler やその他の AWS サービスが IAM とどのように連携するかの概要については、IAM ユーザーガイドAWS IAM と連携するサービス」を参照してください。

Application Cost Profiler のアイデンティティベースのポリシー

IAM アイデンティティベースのポリシーでは、アクションが許可または拒否される条件に加えて、許可または拒否されたアクションとリソースを指定できます。Application Cost Profiler は、特定のアクションをサポートしています。JSON ポリシーで使用するすべての要素については、IAM ユーザーガイドのJSON「Word ポリシー要素リファレンス」を参照してください。 IAM

アクション

管理者は AWS JSON ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どのプリンシパルがどのリソースに対してどのような条件下でアクションを実行できるかということです。

JSON ポリシーの Action要素では、ポリシー内のアクセスを許可または拒否するために使用できるアクションについて説明します。ポリシーアクションは通常、関連付けられた AWS API オペレーションと同じ名前を持ちます。一致する API オペレーションがないアクセス許可のみのアクションなど、いくつかの例外があります。また、ポリシーに複数のアクションが必要なオペレーションもあります。これらの追加アクションは、依存アクションと呼ばれます。

このアクションは、関連付けられたオペレーションを実行するための権限を付与するポリシーで使用されます。

Application Cost Profiler のポリシーアクションは、アクションの前にプレフィックス application-cost-profiler: を使用します。例えば、Application Cost Profiler レポート定義の詳細を表示するアクセス許可を他のユーザーに付与するには、ポリシーに application-cost-profiler:GetReportDefinition アクションを含めます。ポリシーステートメントには、Action または NotAction 要素を含める必要があります。Application Cost Profiler は、このサービスで実行できるタスクを記述する、独自の一連のアクションを定義します。

単一のステートメントに複数の アクションを指定するには、次のようにコンマで区切ります。

"Action": [ "application-cost-profiler:ListReportDefinitions", "application-cost-profiler:GetReportDefinition"

以下に、Application Cost Profiler で使用できるアクションを示します。それぞれが同じ名前の API アクションを許可します。Application Cost Profiler API の詳細については、AWS 「Application Cost Profiler API リファレンス」を参照してください。

  • application-cost-profiler:ListReportDefinitions – AWS アカウントのレポート定義がある場合は、一覧表示を許可します。

  • application-cost-profiler:GetReportDefinition – Application Cost Profiler レポートのレポート定義詳細の取得を許可します。

  • application-cost-profiler:PutReportDefinition – 新しいレポート定義の作成を許可します。

  • application-cost-profiler:UpdateReportDefinition – レポート定義の更新を許可します。

  • application-cost-profiler:DeleteReportDefinition – レポートの削除を許可します (Application Cost Profiler API でのみ使用できます)。

  • application-cost-profiler:ImportApplicationUsage — 指定された Amazon S3 バケットからの使用状況データのインポートを Application Cost Profiler にリクエストすることを許可します。

リソース

Application Cost Profiler は、ポリシーでのリソース Amazon リソースネーム (ARNs) の指定をサポートしていません。

条件キー

Application Cost Profiler にはサービス固有の条件キーがありませんが、いくつかのグローバル条件キーの使用がサポートされています。すべての AWS グローバル条件キーを表示するには、IAM ユーザーガイドAWS 「グローバル条件コンテキストキー」を参照してください。

Application Cost Profiler のアイデンティティベースのポリシーの例については、AWS Application Cost Profiler アイデンティティベースのポリシーの例を参照してください。

Application Cost Profiler のリソースベースのポリシー

Application Cost Profiler は、リソースベースのポリシーをサポートしていません。

Application Cost Profiler タグに基づいた許可

Application Cost Profiler は、リソースのタグ付けやタグに基づいたアクセスの制御をサポートしていません。

Application Cost Profiler IAM ロール

IAM ロールは、特定のアクセス許可を持つ AWS アカウント内のエンティティです。

Application Cost Profiler での一時的な認証情報の使用

一時的な認証情報を使用して、フェデレーションでサインインしたり、IAM ロールを引き受けたり、クロスアカウントロールを引き受けたりすることができます。Word や AWS STS API などの GetFederationToken オペレーションを呼び出して、一時的なセキュリティ認証情報を取得します。 AssumeRole

Application Cost Profiler は、一時的な認証情報の使用をサポートしています。

サービスにリンクされたロール

サービスにリンクされたロールを使用すると、 AWS サービスが他のサービスのリソースにアクセスして、ユーザーに代わってアクションを実行できます。サービスにリンクされたロールは IAM アカウントに表示され、サービスによって所有されます。 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。

Application Cost Profiler は、サービスにリンクされたロールをサポートしていません。

サービスロール

この機能により、ユーザーに代わってサービスがサービスロールを引き受けることが許可されます。このロールにより、サービスがお客様に代わって他のサービスのリソースにアクセスし、アクションを完了することが許可されます。サービスロールは IAM アカウントに表示され、アカウントによって所有されます。つまり、 管理者は、このロールのアクセス許可を変更できます。ただし、それにより、サービスの機能が損なわれる場合があります。

Application Cost Profiler は、サービスロールをサポートしていません。