請求情報とコスト管理での ID ベースのポリシー (IAM ポリシー) の使用 - AWS Billing and Cost Management

請求情報とコスト管理での ID ベースのポリシー (IAM ポリシー) の使用

このトピックでは、ID ベースのポリシーの例をいくつか示します。これらのポリシーの例として、アカウント管理者が IAM アイデンティティ (ユーザー、グループ、ロール) に許可ポリシーをアタッチし、これにより Amazon DynamoDB リソースに対するオペレーションを実行するための許可を付与する方法を示します。

AWS アカウントと IAM ユーザーの詳細については、IAM ユーザーガイドの「IAM とは」を参照してください。

カスタマーマネージドポリシーを更新する方法については、IAM ユーザーガイドの「カスタマーマネージドポリシーの編集 (コンソール)」を参照してください。

請求情報とコスト管理アクションポリシー

次の表は、請求の情報およびツールへのアクセス権を IAM ユーザーに与えるか拒否する許可をまとめたものです。これらのアクセス許可を使用するポリシーの例については、「請求情報とコスト管理ポリシーの例」を参照してください。

アクセス許可名 説明

aws-portal:ViewBilling

請求情報とコスト管理コンソールページを表示する許可を IAM ユーザーに与えるか拒否します。

aws-portal:ModifyBilling

次の請求情報とコスト管理コンソールページを変更する許可を IAM ユーザーに与えるか拒否します。

IAM ユーザーにこれらのコンソールページの変更を許可するには、ModifyBillingViewBilling の両方を許可する必要があります。ポリシーの例については、「請求情報の変更を IAM ユーザーに許可する」を参照してください。

aws-portal:ViewAccount

次の請求情報とコスト管理コンソールページを表示する許可を IAM ユーザーに与えるか拒否します。

aws-portal:ModifyAccount

アカウント設定を変更する許可を IAM ユーザーに与えるか拒否します。

IAM ユーザーにアカウント設定の変更を許可するには、ModifyAccountViewAccount の両方を許可する必要があります。

[アカウント設定] コンソールページへのアクセスを IAM ユーザーに明示的に拒否するポリシーの例については、「アカウント設定へのアクセスは拒否するが、その他の請求および使用情報へのフルアクセスは許可する」を参照してください。

budgets:ViewBudget

Budgets を表示する許可を IAM ユーザーに与えるか拒否します。

IAM ユーザーに予算の表示を許可するには、ViewBilling も許可する必要があります。

budgets:ModifyBudget

Budgets を変更する許可を IAM ユーザーに与えるか拒否します。

IAM ユーザーに予算の表示および変更を許可するには、ViewBilling も許可する必要があります。

budgets:CreateBudgetAction

予算アクションを作成する許可を IAM ユーザーに与えるか拒否します。これは、予算が特定のコストまたは使用量のしきい値を超えた場合、AWS Budgets がお客様に代わって引き受けることができるアクションです。

詳細については、「AWS Budgets アクションを設定する」を参照してください。

budgets:DeleteBudgetAction

予算アクションを削除する許可を IAM ユーザーに与えるか拒否します。

予算アクションの詳細については、「AWS Budgets アクションを設定する」を参照してください。

budgets:ExecuteBudgetAction

保留中の予算アクションを開始し、以前の予算アクションを取り消す許可を IAM ユーザーに与えるか拒否します。

予算アクションの詳細については、「AWS Budgets アクションを設定する」を参照してください。

budgets:UpdateBudgetAction

既存の予算アクションの設定を更新する許可を IAM ユーザーに与えるか拒否します。

予算アクションの詳細については、「AWS Budgets アクションを設定する」を参照してください。

budgets:DescribeBudgetAction

予算アクションの詳細を取得する許可を IAM ユーザーに与えるか拒否します。

予算アクションの詳細については、「AWS Budgets アクションを設定する」を参照してください。

budgets:DescribeBudgetActionHistories

予算アクションの履歴ステータスを取得する許可を IAM ユーザーに与えるか拒否します。

予算アクションの詳細については、「AWS Budgets アクションを設定する」を参照してください。

budgets:DescribeBudgetActionsForAccount

アカウントに関連付けられているすべての予算アクションの詳細を取得する許可を IAM ユーザーに与えるか拒否します。

予算アクションの詳細については、「AWS Budgets アクションを設定する」を参照してください。

budgets:DescribeBudgetActionsForBudget

予算に関連付けられているすべての予算アクションの詳細を取得する許可を IAM ユーザーに与えるか拒否します。

予算アクションの詳細については、「AWS Budgets アクションを設定する」を参照してください。

aws-portal:ViewPaymentMethods

支払い方法を表示する許可を IAM ユーザーに与えるか拒否します。

aws-portal:ModifyPaymentMethods

支払い方法を変更する許可を IAM ユーザーに与えるか拒否します。

ユーザーに支払い方法の変更を許可するには、ModifyPaymentMethodsViewPaymentMethods の両方を許可する必要があります。

cur:DescribeReportDefinitions

AWS コストと使用状況レポートを表示する許可を IAM ユーザーに与えるか拒否します。

AWS コストと使用状況レポートの許可は、AWSコストと使用状況レポートサービスAPI および請求情報とコスト管理コンソールを使用して作成されたすべてのレポートに適用されます。請求情報とコスト管理コンソールを使用してレポートを作成する場合、IAM ユーザーの許可を更新することをお勧めします。許可を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権を失うことになります。

ポリシーの例については、「レポートコンソールページへのアクセスを IAM ユーザーに許可する」を参照してください。

cur:PutReportDefinition

AWS コストと使用状況レポートを作成する許可を IAM ユーザーに与えるか拒否します。

AWS コストと使用状況レポートの許可は、AWSコストと使用状況レポートサービスAPI および請求情報とコスト管理コンソールを使用して作成されたすべてのレポートに適用されます。請求情報とコスト管理コンソールを使用してレポートを作成する場合、IAM ユーザーの許可を更新することをお勧めします。許可を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権を失うことになります。

ポリシーの例については、「レポートコンソールページへのアクセスを IAM ユーザーに許可する」を参照してください。

cur:DeleteReportDefinition

AWS コストと使用状況レポートを削除する許可を IAM ユーザーに与えるか拒否します。

AWS コストと使用状況レポートの許可は、AWSコストと使用状況レポートサービスAPI および請求情報とコスト管理コンソールを使用して作成されたすべてのレポートに適用されます。請求情報とコスト管理コンソールを使用してレポートを作成する場合、IAM ユーザーの許可を更新することをお勧めします。許可を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権を失うことになります。

ポリシーの例については、「AWS コストと使用状況レポートの作成、表示、編集、または削除」を参照してください。

cur:ModifyReportDefinition

AWS コストと使用状況レポートを変更する許可を IAM ユーザーに与えるか拒否します。

AWS コストと使用状況レポートの許可は、AWSコストと使用状況レポートサービスAPI および請求情報とコスト管理コンソールを使用して作成されたすべてのレポートに適用されます。請求情報とコスト管理コンソールを使用してレポートを作成する場合、IAM ユーザーの許可を更新することをお勧めします。許可を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権を失うことになります。

ポリシーの例については、「AWS コストと使用状況レポートの作成、表示、編集、または削除」を参照してください。

ce:GetPreferences

Cost Explorer の設定ページを表示する許可を IAM ユーザーに与えるか拒否します。

ポリシーの例については、「Cost Explorer 設定ページの表示と更新」を参照してください。

ce:UpdatePreferences

Cost Explorer の設定ページを更新する許可を IAM ユーザーに与えるか拒否します。

ポリシーの例については、「Cost Explorer 設定ページの表示と更新」を参照してください。

ce:DescribeReport

Cost Explorer レポートページを表示する許可を IAM ユーザーに与えるか拒否します。

ポリシーの例については、「Cost Explorer レポートページを使用した表示、作成、更新、および削除」を参照してください。

ce:CreateReport

Cost Explorer レポートページを使用してレポートを作成する許可を IAM ユーザーに与えるか拒否します。

ポリシーの例については、「Cost Explorer レポートページを使用した表示、作成、更新、および削除」を参照してください。

ce:UpdateReport

Cost Explorer レポートページを使用して更新する許可を IAM ユーザーに与えるか拒否します。

ポリシーの例については、「Cost Explorer レポートページを使用した表示、作成、更新、および削除」を参照してください。

ce:DeleteReport

Cost Explorer レポートページを使用してレポートを削除する許可を IAM ユーザーに与えるか拒否します。

ポリシーの例については、「Cost Explorer レポートページを使用した表示、作成、更新、および削除」を参照してください。

ce:DescribeNotificationSubscription

予約概要ページで Cost Explorer の予約の失効アラートを表示する許可を IAM ユーザーに与えるか拒否します。

ポリシーの例については、「予約およびSavings Plans アラートの表示、作成、更新、および削除」を参照してください。

ce:CreateNotificationSubscription

予約概要ページで Cost Explorer 予約の失効アラートを作成する許可を IAM ユーザーに与えるか拒否します。

ポリシーの例については、「予約およびSavings Plans アラートの表示、作成、更新、および削除」を参照してください。

ce:UpdateNotificationSubscription

予約概要ページで Cost Explorer 予約の失効アラートを更新する許可を IAM ユーザーに与えるか拒否します。

ポリシーの例については、「予約およびSavings Plans アラートの表示、作成、更新、および削除」を参照してください。

ce:DeleteNotificationSubscription

予約概要ページで Cost Explorer 予約の失効アラートを削除する許可を IAM ユーザーに与えるか拒否します。

ポリシーの例については、「予約およびSavings Plans アラートの表示、作成、更新、および削除」を参照してください。

ce:CreateCostCategoryDefinition

コストカテゴリを作成する許可を IAM ユーザーに与えるか拒否します。

ポリシーの例については、「Cost Categories の表示と管理」を参照してください。

ce:DeleteCostCategoryDefinition

コストカテゴリを削除する許可を IAM ユーザーに与えるか拒否します。

ポリシーの例については、「Cost Categories の表示と管理」を参照してください。

ce:DescribeCostCategoryDefinition

コストカテゴリを表示する許可を IAM ユーザーに与えるか拒否します。

ポリシーの例については、「Cost Categories の表示と管理」を参照してください。

ce:ListCostCategoryDefinitions

コストカテゴリを一覧表示する許可を IAM ユーザーに与えるか拒否します。

ポリシーの例については、「Cost Categories の表示と管理」を参照してください。

ce:UpdateCostCategoryDefinition

コストカテゴリを更新する許可を IAM ユーザーに与えるか拒否します。

ポリシーの例については、「Cost Categories の表示と管理」を参照してください。

ce:CreateAnomalyMonitor

単一の AWS コスト異常検出モニターを作成する許可を IAM ユーザーに与えるか拒否します。

ce:GetAnomalyMonitors

すべての AWS コスト異常検出モニターを表示する許可を IAM ユーザーに与えるか拒否します。

ce:UpdateAnomalyMonitor

AWS コスト異常検出モニターを更新する許可を IAM ユーザーに与えるか拒否します。

ce:DeleteAnomalyMonitor

AWS コスト異常検出モニターを削除する許可を IAM ユーザーに与えるか拒否します。

ce:CreateAnomalySubscription

AWS コスト異常検出モニターの単一のサブスクリプションを作成する許可を IAM ユーザーに与えるか拒否します。

ce:GetAnomalySubscriptions

AWS コスト異常検出モニターのすべてのサブスクリプションを表示する許可を IAM ユーザーに与えるか拒否します。

ce:UpdateAnomalySubscription

AWS コスト異常検出モニターのサブスクリプションを更新する許可を IAM ユーザーに与えるか拒否します。

ce:DeleteAnomalySubscription

AWS コスト異常検出モニターのサブスクリプションを削除する許可を IAM ユーザーに与えるか拒否します。

ce:GetAnomalies

AWS コスト異常検出モニターのすべての異常を表示する許可を IAM ユーザーに与えるか拒否します。

ce:ProvideAnomalyFeedback

AWS コスト異常検出モニターで検出されたもののフィードバックを提供する許可を IAM ユーザーに与えるか拒否します。

aws-portal:ViewUsage

AWS 使用状況レポートを表示する許可を IAM ユーザーに与えるか拒否します。

使用状況レポートの表示を IAM ユーザーに許可するには、ViewUsageViewBilling の両方を許可する必要があります。

ポリシーの例については、「レポートコンソールページへのアクセスを IAM ユーザーに許可する」を参照してください。

pricing:DescribeServices

AWS サービスの製品と価格を AWS Price List サービス API で表示する許可を IAM ユーザーに与えるか拒否します。

AWS Price List サービス API の使用を IAM ユーザーに許可するには、DescribeServicesGetAttributeValues、および GetProducts を許可する必要があります。

ポリシーの例については、「製品と価格の検索」を参照してください。

pricing:GetAttributeValues

AWS サービスの製品と価格を AWS Price List サービス API で表示する許可を IAM ユーザーに与えるか拒否します。

AWS Price List サービス API の使用を IAM ユーザーに許可するには、DescribeServicesGetAttributeValues、および GetProducts を許可する必要があります。

ポリシーの例については、「製品と価格の検索」を参照してください。

pricing:GetProducts

AWS サービスの製品と価格を AWS Price List サービス API で表示する許可を IAM ユーザーに与えるか拒否します。

AWS Price List サービス API の使用を IAM ユーザーに許可するには、DescribeServicesGetAttributeValues、および GetProducts を許可する必要があります。

ポリシーの例については、「製品と価格の検索」を参照してください。

purchase-orders:ViewPurchaseOrders

発注書を表示する許可を IAM ユーザーに与えるか拒否します。

ポリシーの例については、「発注書の表示と管理」を参照してください。

purchase-orders:ModifyPurchaseOrders

発注書を変更する許可を IAM ユーザーに与えるか拒否します。

ポリシーの例については、「発注書の表示と管理」を参照してください。

管理ポリシー

マネージドポリシーは、AWS アカウント内の複数のユーザー、グループ、およびロールにアタッチできるスタンドアロンアイデンティティベースのポリシーです。AWS マネージドポリシーを使用して、請求情報とコスト管理でアクセスを制御できます。

AWS マネージドポリシーは、AWS によって作成され、管理されるスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的ユースケースで許可を提供できるように設計されています。AWS マネージドポリシーは、ポリシーを自身で記述する必要がある場合よりも簡単に、適切な許可をユーザー、グループ、およびロールに割り当てられるようにします。

AWS マネージドポリシーで定義されている許可は変更できません。AWS は、AWS 管理ポリシーで定義されている許可を不定期に更新します。行われた更新は、ポリシーがアタッチされているすべてのプリンシパルエンティティ (ユーザー、グループ、ロール) に影響します。

請求情報とコスト管理は、一般的ユースケースでいくつかの AWS マネージドポリシーを提供します。

予算アクションを含む AWS Budgets へのフルアクセスを許可します。

マネージドポリシー名: AWSBudgetsActionsWithAWSResourceControlAccess

このマネージドポリシーは、ユーザーに焦点を当てています。これは、定義されたアクションを実行するための AWS Budgets へのアクセス権の付与を許可します。このポリシーは、AWS Budgets へのフルアクセスを提供します これには、ポリシーのステータスを取得し、AWS Management Console を使用したAWS リソースを実行するための予算アクションが含まれます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "budgets:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "budgets.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "aws-portal:ModifyBilling", "ec2:DescribeInstances", "iam:ListGroups", "iam:ListPolicies", "iam:ListRoles", "iam:ListUsers", "organizations:ListAccounts", "organizations:ListOrganizationalUnitsForParent", "organizations:ListPolicies", "organizations:ListRoots", "rds:DescribeDBInstances", "sns:ListTopics" ], "Resource": "*" } ] }

AWS リソースを制御する広範な許可を AWS Budgets に与えます。

マネージドポリシー名: AWSBudgetsActionsRolePolicyForResourceAdministrationWithSSM

このマネージドポリシーは、特定のアクションを完了するときにユーザーに代わって AWS Budgets が行う特定のアクションに焦点を当てています。このポリシーは、AWS リソースを管理する広範な許可を AWS Budgets に与えます。たとえば、AWS Systems Manager (SSM) スクリプトを実行することで、Amazon EC2 または Amazon RDS インスタンスを起動および停止します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "ssm.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ssm:StartAutomationExecution" ], "Resource": "*" } ] }