請求情報とコスト管理での ID ベースのポリシー (IAM ポリシー) の使用
このトピックでは、ID ベースのポリシーの例をいくつか示します。これらのポリシーの例として、アカウント管理者が IAM アイデンティティ (ユーザー、グループ、ロール) に許可ポリシーをアタッチし、これにより Amazon DynamoDB リソースに対するオペレーションを実行するための許可を付与する方法を示します。
AWS アカウントと IAM ユーザーの詳細については、IAM ユーザーガイドの「IAM とは」を参照してください。
カスタマーマネージドポリシーを更新する方法については、IAM ユーザーガイドの「カスタマーマネージドポリシーの編集 (コンソール)」を参照してください。
請求情報とコスト管理アクションポリシー
次の表は、請求の情報およびツールへのアクセス権を IAM ユーザーに与えるか拒否する許可をまとめたものです。これらのアクセス許可を使用するポリシーの例については、「請求情報とコスト管理ポリシーの例」を参照してください。
| アクセス許可名 | 説明 |
|---|---|
|
|
請求情報とコスト管理コンソールページを表示する許可を IAM ユーザーに与えるか拒否します。 |
|
|
次の請求情報とコスト管理コンソールページを変更する許可を IAM ユーザーに与えるか拒否します。 IAM ユーザーにこれらのコンソールページの変更を許可するには、 |
|
|
次の請求情報とコスト管理コンソールページを表示する許可を IAM ユーザーに与えるか拒否します。 |
aws-portal:ModifyAccount |
アカウント設定 IAM ユーザーにアカウント設定の変更を許可するには、 [アカウント設定] コンソールページへのアクセスを IAM ユーザーに明示的に拒否するポリシーの例については、「アカウント設定へのアクセスは拒否するが、その他の請求および使用情報へのフルアクセスは許可する」を参照してください。 |
budgets:ViewBudget |
Budgets IAM ユーザーに予算の表示を許可するには、 |
budgets:ModifyBudget |
Budgets IAM ユーザーに予算の表示および変更を許可するには、 |
budgets:CreateBudgetAction |
予算アクションを作成する許可を IAM ユーザーに与えるか拒否します。これは、予算が特定のコストまたは使用量のしきい値を超えた場合、AWS Budgets がお客様に代わって引き受けることができるアクションです。 詳細については、「AWS Budgets アクションを設定する」を参照してください。 |
budgets:DeleteBudgetAction |
予算アクションを削除する許可を IAM ユーザーに与えるか拒否します。 予算アクションの詳細については、「AWS Budgets アクションを設定する」を参照してください。 |
budgets:ExecuteBudgetAction |
保留中の予算アクションを開始し、以前の予算アクションを取り消す許可を IAM ユーザーに与えるか拒否します。 予算アクションの詳細については、「AWS Budgets アクションを設定する」を参照してください。 |
budgets:UpdateBudgetAction |
既存の予算アクションの設定を更新する許可を IAM ユーザーに与えるか拒否します。 予算アクションの詳細については、「AWS Budgets アクションを設定する」を参照してください。 |
budgets:DescribeBudgetAction |
予算アクションの詳細を取得する許可を IAM ユーザーに与えるか拒否します。 予算アクションの詳細については、「AWS Budgets アクションを設定する」を参照してください。 |
budgets:DescribeBudgetActionHistories |
予算アクションの履歴ステータスを取得する許可を IAM ユーザーに与えるか拒否します。 予算アクションの詳細については、「AWS Budgets アクションを設定する」を参照してください。 |
budgets:DescribeBudgetActionsForAccount |
アカウントに関連付けられているすべての予算アクションの詳細を取得する許可を IAM ユーザーに与えるか拒否します。 予算アクションの詳細については、「AWS Budgets アクションを設定する」を参照してください。 |
budgets:DescribeBudgetActionsForBudget |
予算に関連付けられているすべての予算アクションの詳細を取得する許可を IAM ユーザーに与えるか拒否します。 予算アクションの詳細については、「AWS Budgets アクションを設定する」を参照してください。 |
aws-portal:ViewPaymentMethods |
支払い方法 |
aws-portal:ModifyPaymentMethods |
支払い方法 ユーザーに支払い方法の変更を許可するには、 |
cur:DescribeReportDefinitions |
AWS コストと使用状況レポートを表示する許可を IAM ユーザーに与えるか拒否します。 AWS コストと使用状況レポートの許可は、AWSコストと使用状況レポートサービスAPI および請求情報とコスト管理コンソールを使用して作成されたすべてのレポートに適用されます。請求情報とコスト管理コンソールを使用してレポートを作成する場合、IAM ユーザーの許可を更新することをお勧めします。許可を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権を失うことになります。 ポリシーの例については、「レポートコンソールページへのアクセスを IAM ユーザーに許可する」を参照してください。 |
cur:PutReportDefinition |
AWS コストと使用状況レポートを作成する許可を IAM ユーザーに与えるか拒否します。 AWS コストと使用状況レポートの許可は、AWSコストと使用状況レポートサービスAPI および請求情報とコスト管理コンソールを使用して作成されたすべてのレポートに適用されます。請求情報とコスト管理コンソールを使用してレポートを作成する場合、IAM ユーザーの許可を更新することをお勧めします。許可を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権を失うことになります。 ポリシーの例については、「レポートコンソールページへのアクセスを IAM ユーザーに許可する」を参照してください。 |
cur:DeleteReportDefinition |
AWS コストと使用状況レポートを削除する許可を IAM ユーザーに与えるか拒否します。 AWS コストと使用状況レポートの許可は、AWSコストと使用状況レポートサービスAPI および請求情報とコスト管理コンソールを使用して作成されたすべてのレポートに適用されます。請求情報とコスト管理コンソールを使用してレポートを作成する場合、IAM ユーザーの許可を更新することをお勧めします。許可を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権を失うことになります。 ポリシーの例については、「AWS コストと使用状況レポートの作成、表示、編集、または削除」を参照してください。 |
cur:ModifyReportDefinition |
AWS コストと使用状況レポートを変更する許可を IAM ユーザーに与えるか拒否します。 AWS コストと使用状況レポートの許可は、AWSコストと使用状況レポートサービスAPI および請求情報とコスト管理コンソールを使用して作成されたすべてのレポートに適用されます。請求情報とコスト管理コンソールを使用してレポートを作成する場合、IAM ユーザーの許可を更新することをお勧めします。許可を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権を失うことになります。 ポリシーの例については、「AWS コストと使用状況レポートの作成、表示、編集、または削除」を参照してください。 |
ce:GetPreferences |
Cost Explorer の設定ページを表示する許可を IAM ユーザーに与えるか拒否します。 ポリシーの例については、「Cost Explorer 設定ページの表示と更新」を参照してください。 |
ce:UpdatePreferences |
Cost Explorer の設定ページを更新する許可を IAM ユーザーに与えるか拒否します。 ポリシーの例については、「Cost Explorer 設定ページの表示と更新」を参照してください。 |
ce:DescribeReport |
Cost Explorer レポートページを表示する許可を IAM ユーザーに与えるか拒否します。 ポリシーの例については、「Cost Explorer レポートページを使用した表示、作成、更新、および削除」を参照してください。 |
ce:CreateReport |
Cost Explorer レポートページを使用してレポートを作成する許可を IAM ユーザーに与えるか拒否します。 ポリシーの例については、「Cost Explorer レポートページを使用した表示、作成、更新、および削除」を参照してください。 |
ce:UpdateReport |
Cost Explorer レポートページを使用して更新する許可を IAM ユーザーに与えるか拒否します。 ポリシーの例については、「Cost Explorer レポートページを使用した表示、作成、更新、および削除」を参照してください。 |
ce:DeleteReport |
Cost Explorer レポートページを使用してレポートを削除する許可を IAM ユーザーに与えるか拒否します。 ポリシーの例については、「Cost Explorer レポートページを使用した表示、作成、更新、および削除」を参照してください。 |
ce:DescribeNotificationSubscription |
予約概要ページで Cost Explorer の予約の失効アラートを表示する許可を IAM ユーザーに与えるか拒否します。 ポリシーの例については、「予約およびSavings Plans アラートの表示、作成、更新、および削除」を参照してください。 |
ce:CreateNotificationSubscription |
予約概要ページで Cost Explorer 予約の失効アラートを作成する許可を IAM ユーザーに与えるか拒否します。 ポリシーの例については、「予約およびSavings Plans アラートの表示、作成、更新、および削除」を参照してください。 |
ce:UpdateNotificationSubscription |
予約概要ページで Cost Explorer 予約の失効アラートを更新する許可を IAM ユーザーに与えるか拒否します。 ポリシーの例については、「予約およびSavings Plans アラートの表示、作成、更新、および削除」を参照してください。 |
ce:DeleteNotificationSubscription |
予約概要ページで Cost Explorer 予約の失効アラートを削除する許可を IAM ユーザーに与えるか拒否します。 ポリシーの例については、「予約およびSavings Plans アラートの表示、作成、更新、および削除」を参照してください。 |
ce:CreateCostCategoryDefinition |
コストカテゴリを作成する許可を IAM ユーザーに与えるか拒否します。 ポリシーの例については、「Cost Categories の表示と管理」を参照してください。 |
ce:DeleteCostCategoryDefinition |
コストカテゴリを削除する許可を IAM ユーザーに与えるか拒否します。 ポリシーの例については、「Cost Categories の表示と管理」を参照してください。 |
ce:DescribeCostCategoryDefinition |
コストカテゴリを表示する許可を IAM ユーザーに与えるか拒否します。 ポリシーの例については、「Cost Categories の表示と管理」を参照してください。 |
ce:ListCostCategoryDefinitions |
コストカテゴリを一覧表示する許可を IAM ユーザーに与えるか拒否します。 ポリシーの例については、「Cost Categories の表示と管理」を参照してください。 |
ce:UpdateCostCategoryDefinition |
コストカテゴリを更新する許可を IAM ユーザーに与えるか拒否します。 ポリシーの例については、「Cost Categories の表示と管理」を参照してください。 |
ce:CreateAnomalyMonitor |
単一の AWS コスト異常検出モニターを作成する許可を IAM ユーザーに与えるか拒否します。 |
ce:GetAnomalyMonitors |
すべての AWS コスト異常検出モニターを表示する許可を IAM ユーザーに与えるか拒否します。 |
ce:UpdateAnomalyMonitor |
AWS コスト異常検出モニターを更新する許可を IAM ユーザーに与えるか拒否します。 |
ce:DeleteAnomalyMonitor |
AWS コスト異常検出モニターを削除する許可を IAM ユーザーに与えるか拒否します。 |
ce:CreateAnomalySubscription |
AWS コスト異常検出モニターの単一のサブスクリプションを作成する許可を IAM ユーザーに与えるか拒否します。 |
ce:GetAnomalySubscriptions |
AWS コスト異常検出モニターのすべてのサブスクリプションを表示する許可を IAM ユーザーに与えるか拒否します。 |
ce:UpdateAnomalySubscription |
AWS コスト異常検出モニターのサブスクリプションを更新する許可を IAM ユーザーに与えるか拒否します。 |
ce:DeleteAnomalySubscription |
AWS コスト異常検出モニターのサブスクリプションを削除する許可を IAM ユーザーに与えるか拒否します。 |
ce:GetAnomalies |
AWS コスト異常検出モニターのすべての異常を表示する許可を IAM ユーザーに与えるか拒否します。 |
ce:ProvideAnomalyFeedback |
AWS コスト異常検出モニターで検出されたもののフィードバックを提供する許可を IAM ユーザーに与えるか拒否します。 |
aws-portal:ViewUsage |
AWS 使用状況レポート 使用状況レポートの表示を IAM ユーザーに許可するには、 ポリシーの例については、「レポートコンソールページへのアクセスを IAM ユーザーに許可する」を参照してください。 |
pricing:DescribeServices |
AWS サービスの製品と価格を AWS Price List サービス API で表示する許可を IAM ユーザーに与えるか拒否します。 AWS Price List サービス API の使用を IAM ユーザーに許可するには、 ポリシーの例については、「製品と価格の検索」を参照してください。 |
pricing:GetAttributeValues |
AWS サービスの製品と価格を AWS Price List サービス API で表示する許可を IAM ユーザーに与えるか拒否します。 AWS Price List サービス API の使用を IAM ユーザーに許可するには、 ポリシーの例については、「製品と価格の検索」を参照してください。 |
pricing:GetProducts |
AWS サービスの製品と価格を AWS Price List サービス API で表示する許可を IAM ユーザーに与えるか拒否します。 AWS Price List サービス API の使用を IAM ユーザーに許可するには、 ポリシーの例については、「製品と価格の検索」を参照してください。 |
purchase-orders:ViewPurchaseOrders |
発注書を表示する許可を IAM ユーザーに与えるか拒否します。 ポリシーの例については、「発注書の表示と管理」を参照してください。 |
purchase-orders:ModifyPurchaseOrders |
発注書を変更する許可を IAM ユーザーに与えるか拒否します。 ポリシーの例については、「発注書の表示と管理」を参照してください。 |
管理ポリシー
マネージドポリシーは、AWS アカウント内の複数のユーザー、グループ、およびロールにアタッチできるスタンドアロンアイデンティティベースのポリシーです。AWS マネージドポリシーを使用して、請求情報とコスト管理でアクセスを制御できます。
AWS マネージドポリシーは、AWS によって作成され、管理されるスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的ユースケースで許可を提供できるように設計されています。AWS マネージドポリシーは、ポリシーを自身で記述する必要がある場合よりも簡単に、適切な許可をユーザー、グループ、およびロールに割り当てられるようにします。
AWS マネージドポリシーで定義されている許可は変更できません。AWS は、AWS 管理ポリシーで定義されている許可を不定期に更新します。行われた更新は、ポリシーがアタッチされているすべてのプリンシパルエンティティ (ユーザー、グループ、ロール) に影響します。
請求情報とコスト管理は、一般的ユースケースでいくつかの AWS マネージドポリシーを提供します。
予算アクションを含む AWS Budgets へのフルアクセスを許可します。
マネージドポリシー名: AWSBudgetsActionsWithAWSResourceControlAccess
このマネージドポリシーは、ユーザーに焦点を当てています。これは、定義されたアクションを実行するための AWS Budgets へのアクセス権の付与を許可します。このポリシーは、AWS Budgets へのフルアクセスを提供します これには、ポリシーのステータスを取得し、AWS Management Console を使用したAWS リソースを実行するための予算アクションが含まれます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "budgets:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "budgets.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "aws-portal:ModifyBilling", "ec2:DescribeInstances", "iam:ListGroups", "iam:ListPolicies", "iam:ListRoles", "iam:ListUsers", "organizations:ListAccounts", "organizations:ListOrganizationalUnitsForParent", "organizations:ListPolicies", "organizations:ListRoots", "rds:DescribeDBInstances", "sns:ListTopics" ], "Resource": "*" } ] }
AWS リソースを制御する広範な許可を AWS Budgets に与えます。
マネージドポリシー名: AWSBudgetsActionsRolePolicyForResourceAdministrationWithSSM
このマネージドポリシーは、特定のアクションを完了するときにユーザーに代わって AWS Budgets が行う特定のアクションに焦点を当てています。このポリシーは、AWS リソースを管理する広範な許可を AWS Budgets に与えます。たとえば、AWS Systems Manager (SSM) スクリプトを実行することで、Amazon EC2 または Amazon RDS インスタンスを起動および停止します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "ssm.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ssm:StartAutomationExecution" ], "Resource": "*" } ] }
