Billing and Cost Management の権限リファレンス
このリファレンスは、Billing and Cost Management で請求ユーザーの種類ごとに許可されるデフォルトのアクション、および IAM ユーザーに適用できる請求アクセス権限をまとめたものです。また、IAM ユーザーによる請求情報およびツールへのアクセスを許可または拒否するために使用できるポリシーの例を提供します。
AWS アカウントと IAM ユーザーの詳細については、IAM ユーザーガイド の「IAM とは」を参照してください。
ユーザーの種類と請求アクセス許可
この表は、Billing and Cost Management で請求ユーザーの種類ごとに許可されるデフォルトのアクションをまとめたものです。
| ユーザータイプ | 説明 | 請求に対する権限 |
|---|---|---|
| アカウント所有者 |
AWS アカウントをセットアップした人物 (名義人) またはエンティティ。 |
|
| IAM ユーザー |
アカウント所有者または管理ユーザーによって、AWS アカウントのユーザーとして定義された人物またはアプリケーション。アカウントには、複数の IAM ユーザーを含めることができます。 |
|
| 組織のマスターアカウント所有者 |
AWS Organizations のマスターアカウントに関連付けられている個人または団体。マスターアカウントが、組織内のメンバーアカウントによる AWS 使用に対する支払いを行います。 |
|
| 組織のメンバーアカウント所有者 |
AWS Organizations のメンバーアカウントに関連付けられている個人または団体。マスターアカウントが、組織内のメンバーアカウントによる AWS 使用に対する支払いを行います。 |
|
注記
組織のマスターアカウントおよびメンバーアカウントの詳細については、AWS Organizations ユーザーガイドを参照してください。
請求アクセス許可の説明
次の表は、IAM ユーザーの請求の情報およびツールへのアクセスを許可または拒否するために使用するアクセス許可をまとめたものです。これらのアクセス許可を使用するポリシーの例については、「Billing and Cost Management ポリシーの例」を参照してください。
| アクセス許可名 | 説明 |
|---|---|
|
|
以下の Billing and Cost Management コンソールのページを表示するアクセス権限を IAM ユーザーに許可または拒否します。
|
|
|
以下の Billing and Cost Management コンソールのページを変更するアクセス権限を IAM ユーザーに許可または拒否します。 IAM ユーザーにこれらのコンソールページの変更を許可するには、 |
|
|
以下の Billing and Cost Management コンソールのページを表示するアクセス権限を IAM ユーザーに許可または拒否します。 |
ModifyAccount |
アカウント設定を変更するアクセス許可を IAM ユーザーに許可するかまたは拒否します。 IAM ユーザーにアカウント設定の変更を許可するには、 コンソールの [アカウント設定] ページへのアクセスを IAM ユーザーに明示的に拒否するポリシーの例については、「例 8: アカウント設定へのアクセスは拒否し、その他の請求および使用状況の情報へのフルアクセスは許可する」を参照してください。 |
ViewBudget |
予算を表示するアクセス権限を IAM ユーザーに許可するかまたは拒否します。 IAM ユーザーに予算の表示を許可するには、 |
ModifyBudget |
予算を変更するアクセス権限を IAM ユーザーに許可するかまたは拒否します。 IAM ユーザーに予算の表示および変更を許可するには、 |
ViewPaymentMethods |
支払方法を表示するアクセス権限を IAM ユーザーに許可するかまたは拒否します。 |
ModifyPaymentMethods |
支払方法を変更するアクセス許可を IAM ユーザーに許可するかまたは拒否します。 ユーザーに支払い方法の変更を許可するには、 |
|
|
API を使用して AWS Cost and Usage Report を表示するアクセス権限を IAM ユーザーに許可または拒否します。 ポリシーの例については、「例 10: AWS Cost and Usage report を作成、表示、または削除する」を参照してください。 |
|
|
API を使用して AWS Cost and Usage Report を作成するアクセス権限を IAM ユーザーに許可または拒否します。 ポリシーの例については、「例 10: AWS Cost and Usage report を作成、表示、または削除する」を参照してください。 |
|
|
API を使用して AWS Cost and Usage Report を削除するアクセス権限を IAM ユーザーに許可または拒否します。 ポリシーの例については、「例 10: AWS Cost and Usage report を作成、表示、または削除する」を参照してください。 |
ViewUsage |
AWS 使用状況レポートを表示するアクセス権限を IAM ユーザーに許可するかまたは拒否します。 使用状況レポートの表示を IAM ユーザーに許可するには、 ポリシーの例については、「例 2: [Reports] コンソールページへの IAM ユーザーのアクセスを許可する」を参照してください。 |
DescribeServices |
AWS サービスの製品と価格を AWS Price List のサービス API で表示するアクセス権限を IAM ユーザーに許可または拒否します。 IAM ユーザーが AWS Price List のサービス API を使用できるようにするには、 ポリシーの例については、「例 11: 製品と価格を検索する」を参照してください。 |
GetAttributeValues |
AWS サービスの製品と価格を AWS Price List のサービス API で表示するアクセス権限を IAM ユーザーに許可または拒否します。 IAM ユーザーが AWS Price List のサービス API を使用できるようにするには、 ポリシーの例については、「例 11: 製品と価格を検索する」を参照してください。 |
GetProducts |
AWS サービスの製品と価格を AWS Price List のサービス API で表示するアクセス権限を IAM ユーザーに許可または拒否します。 IAM ユーザーが AWS Price List のサービス API を使用できるようにするには、 ポリシーの例については、「例 11: 製品と価格を検索する」を参照してください。 |
Billing and Cost Management ポリシーの例
このトピックには、アカウントの請求の情報とツールへのアクセスを制御するために IAM ユーザーまたはグループに適用できるポリシーの例が含まれています。以下の基本ルールは IAM ポリシーに適用されます。
-
Versionは常に2012-10-17です。 -
Effectは常にAllowまたはDenyです。 -
Actionはアクセス権を示し、ワイルドカード (*) を使用できます。コンソールの場合、中国ではアクションのプレフィックスは
awsbillingconsoleです。それ以外の場所では、aws-portalです。API の場合、アクションのプレフィックスは予算の
budgets、または AWS のコストと使用状況レポート のcurです。 -
コンソールの場合、
Resourceは常に*です。予算 API の場合、リソースは予算の ARN です。
-
1 つのポリシーで複数のステートメントを使用できます.
注記
これらのポリシーを使用するには、コンソールの [Account Settings (アカウント設定)] ページで Billing and Cost Management コンソールへの IAM アクセスを有効化する必要があります。IAM ユーザーアクセスのアクティブ化の詳細については、「Billing and Cost Management コンソールへのアクセスのアクティベート」を参照してください。
サンプルトピック
例 1: 請求情報の表示を IAM ユーザーに許可する
アカウントの機密扱い情報 (パスワードやアカウントのアクティビティレポートなど) に対する IAM ユーザーアクセスを与えずに IAM ユーザーが請求情報を表示できるようにするには、次のサンプルポリシーのようなポリシーを使用します。このポリシーは、次の Billing and Cost Management コンソールページを表示する許可を IAM ユーザーに与えますが、[Account Settings] コンソールページと [Reports] コンソールページに対するアクセス権は与えません。
-
ダッシュボード
-
Cost Explorer
-
請求書
-
支払履歴
-
一括請求
-
設定
-
Credits
-
前払い
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:ViewBilling", "Resource": "*" } ] }
例 2: [Reports] コンソールページへの IAM ユーザーのアクセスを許可する
[Reports] コンソールページにアクセスし、アカウントアクティビティ情報を含む使用状況レポートを表示する許可を IAM ユーザーに与えるには、次のサンプルポリシーのようなポリシーを使用します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:ViewUsage", "aws-portal:ViewBilling" ], "Resource": "*" } ] }
例 3: Billing and Cost Management コンソールへの IAM ユーザーのアクセスを拒否する
すべての Billing and Cost Management コンソールページへのアクセスを IAM ユーザーに明示的に拒否するには、次の例のようなポリシーを使用します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "aws-portal:*", "Resource": "*" } ] }
例 4: AWS サービスへのフルアクセスは許可するが、Billing and Cost Management コンソールへの IAM ユーザーのアクセスは拒否する
すべての AWS サービスへのフルアクセスを有効にするが、Billing and Cost Management コンソール上のすべてに対する IAM ユーザーアクセスを拒否するには、次のポリシーを使用します。この場合、AWS Identity and Access Management (IAM) へのアクセスをユーザーに拒否して、請求情報とツールへのアクセスを制御するポリシーにユーザーがアクセスできないようにします。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*" }, { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } ] }
例 5: Billing and Cost Management コンソールの表示 (アカウント設定は除く) を IAM ユーザーに許可する
アカウントのパスワード、連絡先情報、および秘密の質問を保護するために、[Account Settings] へのユーザーアクセスを拒否する一方で、Billing and Cost Management コンソールのその他の機能に対する読み取り専用アクセスを付与できます。このポリシーを IAM ユーザーに適用すると、ユーザーは、[Payments Method] コンソールページと [Reports] コンソールページを含むすべての Billing and Cost Management コンソールページを表示できますが、[Account Settings] へのユーザーアクセスは拒否されます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:View*", "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
例 6: 請求情報の変更を IAM ユーザーに許可する
Billing and Cost Management コンソールのアカウント請求情報の変更を IAM ユーザーに許可するには、請求情報を表示する許可も IAM ユーザーに与える必要があります。次のポリシーの例は、[Consolidated Billing]、[Preferences]、および [Credits] の各コンソールページを変更する許可を IAM ユーザーに付与します。さらに、次の Billing and Cost Management コンソールページを表示する許可を IAM ユーザーに与えます。
-
ダッシュボード
-
Cost Explorer
-
請求書
-
支払履歴
-
前払い
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:*Billing", "Resource": "*" } ] }
例 7: IAM ユーザーに予算の作成を許可する
このポリシーを適用するには、Billing and Cost Management コンソールを表示する IAM アクセス許可がユーザーに必要です。
組織に所属している場合は、マスターアカウントのみが予算を作成および更新できます。個々のメンバーアカウントでは、予算の作成および管理をすることはできません。メンバーアカウントには、IAM ポリシーを使用して、予算への読み取り専用アクセスを許可できます。詳細については、「Controlling Access」を参照してください。
IAM ユーザーに Billing and Cost Management コンソールでの予算の作成を許可するには、IAM ユーザーに請求情報の表示、CloudWatch アラームの作成、Amazon SNS 通知の作成も許可する必要があります。次のポリシー例では、IAM ユーザーに [Budget] コンソールページの変更を許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1435216493000", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "aws-portal:ModifyBilling", "budgets:ViewBudget", "budgets:ModifyBudget" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216514000", "Effect": "Allow", "Action": [ "cloudwatch:*" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216552000", "Effect": "Allow", "Action": [ "sns:*" ], "Resource": [ "arn:aws:sns:us-east-1" ] } ] }
例 8: アカウント設定へのアクセスは拒否し、その他の請求および使用状況の情報へのフルアクセスは許可する
アカウントのパスワード、連絡先情報、秘密の質問を保護するには、IAM ユーザーに対して [Account Settings (アカウント設定)] へのアクセスを 拒否する一方で、Billing and Cost Management コンソールのその他の機能に対するフルアクセスを許可します。次に例を示します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:*Billing", "aws-portal:*Usage", "aws-portal:*PaymentMethods" ], "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
例 9: レポートを Amazon S3 バケットにデポジットする
次のポリシーは、Billing and Cost Management が詳細な AWS 請求を Amazon S3 バケットに保存することを許可します。これは、ユーザーが AWS アカウントと Amazon S3 バケットの両方を持っている場合にのみ許可されます。このポリシーは、IAM ユーザーではなく Amazon S3 バケットに適用する必要があります。つまり、これはリソースベースのポリシーであり、ユーザーベースのポリシーではありません。請求書にアクセスする必要がない IAM ユーザーに対しては、バケットへの IAM ユーザーアクセスを拒否する必要があります。
[bucketname] を実際のバケット名に置き換えます。
詳細については、「バケットポリシーとユーザーポリシーの使用」を参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "386209384616" }, "Action": [ "s3:GetBucketAcl", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::bucketname" }, { "Effect": "Allow", "Principal": { "AWS": "386209384616" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucketname/*" } ] }
例 10: AWS Cost and Usage report を作成、表示、または削除する
このポリシーでは、API を使用した AWS Cost and Usage report の作成、表示、または削除を IAM ユーザーに許可します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cur:PutReportDefinitions", "cur:DescribeReportDefinition", "cur:DeleteReportDefinition" ], "Resource": [ "*" ] } ] }
例 11: 製品と価格を検索する
AWS Price List のサービス API の使用を IAM ユーザーに許可するには、次のポリシーを使用してアクセス権限を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "pricing:DescribeServices", "pricing:GetAttributeValues", "pricing:GetProducts" ], "Resource": [ "*" ] } ] }
例 12: コストと使用状況の表示
AWS Cost Explorer API の使用を IAM ユーザーに許可するには、次のポリシーを使用してアクセス権限を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:*" ], "Resource": [ "*" ] } ] }
