Billing and Cost Management の権限リファレンス

このリファレンスは、Billing and Cost Management で請求ユーザーの種類ごとに許可されるデフォルトのアクション、および IAM ユーザーに適用できる請求アクセス権限をまとめたものです。また、IAM ユーザーによる請求情報およびツールへのアクセスを許可または拒否するために使用できるポリシーの例を提供します。

トピック

ユーザーの種類と請求アクセス許可
請求アクセス許可の説明
請求およびコスト管理ポリシーの例

AWS アカウントと IAM ユーザーの詳細については、「IAM とは」（『IAM ユーザーガイド』）を参照してください。

ユーザーの種類と請求アクセス許可

この表は、Billing and Cost Management で請求ユーザーの種類ごとに許可されるデフォルトのアクションをまとめたものです。

ユーザータイプ	説明	請求に対する権限
アカウント所有者	AWS アカウントをセットアップした人物 (名義人) またはエンティティ。	すべての Billing and Cost Management リソースを完全に制御できます。 AWS 料金の毎月の請求書を受け取ります。
IAM ユーザー	アカウント所有者または管理ユーザーによって、AWS アカウントのユーザーとして定義された人物またはアプリケーション。アカウントには、複数の IAM ユーザーを含めることができます。	ユーザー単位またはユーザーグループ単位で明示的に付与された権限を有します。 Billing and Cost Management コンソールページを表示するアクセス許可が付与されます。詳細については、「Controlling Access」を参照してください。 AWS アカウントを解約することはできません。
組織のマスターアカウント所有者	マスターアカウントをセットアップした人物 (名義人) またはエンティティ。マスターアカウントが、 AWS Organizations の組織内の AWS 使用に対する支払いを行います。	マスターアカウントのみに対してすべての Billing and Cost Management リソースを完全に制御できます。マスターアカウントとメンバーアカウントの両方に対する AWS 料金の毎月の請求を受け取ります。マスターアカウントの請求レポートで、メンバーアカウントのアクティビティを参照できます。
組織のメンバーアカウント所有者	AWS Organizations で組織内のマスターアカウントがその使用に対して支払いを行う AWS アカウント。	使用状況レポートまたはアクティビティは、当のアカウントに関するもののみ参照できます。組織内の他のメンバーアカウントまたはマスターアカウントの使用状況レポートやアカウントアクティビティにはアクセスできません。請求レポートを表示する権限はありません。当のアカウントに関する情報のみ更新できます。その他のメンバーアカウントまたはマスターアカウントにはアクセスできません。

注記

組織のマスターアカウントおよびメンバーアカウントの詳細については、AWS Organizations ユーザーガイドを参照してください。

請求アクセス許可の説明

次の表は、IAM ユーザーの請求の情報およびツールへのアクセスを許可または拒否するために使用するアクセス許可をまとめたものです。これらのアクセス許可を使用するポリシーの例については、「請求およびコスト管理ポリシーの例」を参照してください。

アクセス許可名	説明
ViewBilling	次の [Billing and Cost Management] コンソールページを表示する権限を IAM ユーザーに与えるか拒否します。請求ダッシュボード請求書コストエクスプローラー予算支払履歴一括請求設定 Credits 前払い (前払いの詳細については、「組織の一括請求」を参照してください)。
ModifyBilling	次の [Billing and Cost Management] コンソールページを変更する権限を IAM ユーザーに与えるか拒否します。予算一括請求設定 Credits IAM ユーザーがこれらのコンソールページを変更できるようにするには、ModifyBilling と ViewBilling の両方を許可する必要があります。ポリシーの例については、例例 6: 請求情報の変更を IAM ユーザーに許可するを参照してください。
ViewAccount	アカウント設定を表示するアクセス権限を IAM ユーザーに与えるか拒否します。
ModifyAccount	アカウント設定を変更するアクセス権限を IAM ユーザーに与えるか拒否します。 IAM ユーザーがアカウント設定を変更できるようにするには、ModifyAccount と ViewAccount の両方を許可する必要があります。 [Account Settings] コンソールページに対する IAM ユーザーアクセスを明示的に拒否するポリシーの例については、例例 8: アカウント設定へのアクセスは拒否し、その他の請求および使用状況の情報へのフルアクセスは許可するを参照してください。
ViewBudget	予算を表示するアクセス権限を IAM ユーザーに与えるか拒否します。 IAM ユーザーに予算の表示を許可するには、ViewBilling も許可する必要があります。
ModifyBudget	予算を変更するアクセス権限を IAM ユーザーに許可または拒否します。 IAM ユーザーに予算の表示と変更を許可するには、ViewBilling も許可する必要があります。
ViewPaymentMethods	支払方法を表示するアクセス権限を IAM ユーザーに与えるか拒否します。
ModifyPaymentMethods	支払方法を変更するアクセス権限を IAM ユーザーに与えるか拒否します。ユーザーが支払方法を変更できるようにするには、ModifyPaymentMethods と ViewPaymentMethods の両方を許可する必要があります。
DescribeReportDefinition	API を使用してコストと使用状況レポートを表示するアクセス権限を IAM ユーザーに許可または拒否します。ポリシーの例については、例例 10: AWS のコストと使用状況レポートを作成、表示、または削除するを参照してください。
PutReportDefinitions	API を使用してコストと使用状況レポートを作成するアクセス権限を IAM ユーザーに許可または拒否します。ポリシーの例については、例例 10: AWS のコストと使用状況レポートを作成、表示、または削除するを参照してください。
DeleteReportDefinition	API を使用してコストと使用状況レポートを削除するアクセス権限を IAM ユーザーに許可または拒否します。ポリシーの例については、例例 10: AWS のコストと使用状況レポートを作成、表示、または削除するを参照してください。
ViewUsage	AWS 使用状況レポートを表示するアクセス権限を IAM ユーザーに許可または拒否します。 IAM ユーザーが使用状況レポートを表示できるようにするには、ViewUsage と ViewBilling の両方を許可する必要があります。ポリシーの例については、例例 2: [Reports] コンソールページへの IAM ユーザーのアクセスを許可するを参照してください。

請求およびコスト管理ポリシーの例

このトピックには、アカウントの請求の情報とツールへのアクセスを制御するために IAM ユーザーまたはグループに適用できるポリシーの例が含まれています。次の基本ルールは IAM ポリシーに適用されます。

Version は常に 2012-10-17 です。
Effect は常に Allow または Deny です。
Action はアクセス権を示し、ワイルドカード (*) を使用できます。

コンソールの場合、中国ではアクションのプレフィックスは awsbillingconsole です。それ以外の場所では、aws-portal です。

API の場合、アクションのプレフィックスは予算に対する budgets、または AWS のコストと使用状況レポートに対する cur です。
コンソールの場合、Resource は常に * です。

予算 API の場合、リソースは予算の ARN です。
1 つのポリシーで複数のステートメントを使用できます.

注記

これらのポリシーを使用するには、[Account Settings] コンソールページで AWS 請求およびコスト管理コンソールへの IAM ユーザーアクセスをアクティブ化する必要があります。IAM ユーザーアクセスのアクティブ化の詳細については、「Billing and Cost Management コンソールへのアクセスのアクティベート」を参照してください。

サンプルトピック

例 1: 請求情報の表示を IAM ユーザーに許可する

アカウントの機密扱い情報 (パスワードやアカウントのアクティビティレポートなど) に対する IAM ユーザーアクセスを与えずに IAM ユーザーが請求情報を表示できるようにするには、次のサンプルポリシーのようなポリシーを使用します。このポリシーは、次の Billing and Cost Management コンソールページを表示する許可を IAM ユーザーに与えますが、[Account Settings] コンソールページと [Reports] コンソールページに対するアクセス権は与えません。

ダッシュボード
コストエクスプローラー
請求書
支払履歴
一括請求
設定
Credits
前払い

Copy
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:ViewBilling",
            "Resource": "*"
        }
    ]
}

例 2: [Reports] コンソールページへの IAM ユーザーのアクセスを許可する

[Reports] コンソールページにアクセスし、アカウントアクティビティ情報を含む使用状況レポートを表示する許可を IAM ユーザーに与えるには、次のサンプルポリシーのようなポリシーを使用します。

Copy
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewUsage",
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        }
    ]
}

例 3: Billing and Cost Management コンソールへの IAM ユーザーのアクセスを拒否する

すべての Billing and Cost Management コンソールページへの IAM ユーザーアクセスを明示的に拒否する場合は、このサンプルポリシーのようなポリシーを使用できます。

Copy
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "aws-portal:*",
            "Resource": "*"
        }
    ]
}

例 4: AWS サービスへのフルアクセスは許可するが、Billing and Cost Management コンソールへの IAM ユーザーのアクセスは拒否する

このポリシーは、すべての AWS サービスへのフルアクセスを有効にしますが、Billing and Cost Management コンソール上のすべてに対する IAM ユーザーアクセスを拒否します。この場合、 AWS Identity and Access Management (IAM) へのユーザーアクセスを拒否して、請求の情報とツールに対するアクセスを制御するポリシーにユーザーがアクセスできないようにする必要もあります。

Copy
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "aws-portal:*",
                "iam:*"
            ],
            "Resource": "*"
        }
    ]
}

例 5: Billing and Cost Management コンソールの表示 (アカウント設定は除く) を IAM ユーザーに許可する

アカウントのパスワード、連絡先情報、および秘密の質問を保護するために、[Account Settings] へのユーザーアクセスを拒否する一方で、Billing and Cost Management コンソールのその他の機能に対する読み取り専用アクセスを付与できます。このポリシーを適用すると、IAM ユーザーは、[Payments Method] コンソールページと [Reports] コンソールページを含むすべての Billing and Cost Management コンソールページを表示できますが、[Account Settings] への IAM ユーザーのアクセスは拒否されます。

Copy
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:View*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "aws-portal:*Account",
            "Resource": "*"
        }
    ]
}

例 6: 請求情報の変更を IAM ユーザーに許可する

Billing and Cost Management コンソールのアカウント請求情報の変更を IAM ユーザーに許可するには、請求情報を表示する許可も IAM ユーザーに与える必要があります。次のポリシーの例は、[Consolidated Billing]、[Preferences]、および [Credits] の各コンソールページを変更する許可を IAM ユーザーに付与します。さらに、次の Billing and Cost Management コンソールページを表示する許可を IAM ユーザーに与えます。

ダッシュボード
コストエクスプローラー
請求書
支払履歴
前払い

Copy
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:*Billing",
            "Resource": "*"
        }
    ]
}

例 7: IAM ユーザーに予算の作成を許可する

このポリシーを適用するには、ユーザーが請求コンソールを表示する IAM アクセス権限を持っている必要があります。

組織で一括請求を使用している場合は、マスターアカウントのみが予算を作成および更新できます。個々のメンバーアカウントでは、予算の作成および管理をすることはできません。連結アカウントには、IAM ポリシーを使用して、予算への読み取り専用アクセスを許可できます。詳細については、「Controlling Access」を参照してください。

IAM ユーザーに Billing and Cost Management コンソールでの予算の作成を許可するには、IAM ユーザーに請求情報の表示、CloudWatch アラームの作成、Amazon SNS 通知の作成も許可する必要があります。次のポリシー例では、IAM ユーザーに [Budget] コンソールページの変更を許可します。

Copy
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1435216493000",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling",
                "aws-portal:ModifyBilling",
                "budgets:ViewBudget",
                "budgets:ModifyBudget"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "Stmt1435216514000",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "Stmt1435216552000",
            "Effect": "Allow",
            "Action": [
                "sns:*"
            ],
            "Resource": [
                "arn:aws:sns:us-east-1"
            ]
        }
    ]
}

例 8: アカウント設定へのアクセスは拒否し、その他の請求および使用状況の情報へのフルアクセスは許可する

アカウントのパスワード、連絡先情報、秘密の質問を保護するには、[Account Settings] への IAM ユーザーのアクセスを拒否しますが、Billing and Cost Management コンソールのその他の機能に対するフルアクセスは引き続き付与できます。

Copy
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:*Billing",
                "aws-portal:*Usage",
                "aws-portal:*PaymentMethods"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "aws-portal:*Account",
            "Resource": "*"
        }
    ]
}

例 9: レポートを Amazon S3 バケットにデポジットする

このポリシーは、Billing and Cost Management が詳細な AWS 請求を Amazon S3 バケットに保存することを許可します。これは、ユーザーが AWS アカウントと Amazon S3 バケットの両方を持っている場合にのみ許可されます。このポリシーは、IAM ユーザーではなく Amazon S3 バケットに適用する必要があります。つまり、これはリソースベースのポリシーであり、ユーザーベースのポリシーではありません。請求書にアクセスする必要がない IAM ユーザーのバケットへの IAM ユーザーアクセスは拒否する必要があります。

[bucketname] を実際のバケット名に置き換えます。

詳細については、「バケットポリシーとユーザーポリシーの使用」を参照してください。

Copy
{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Principal": {
      "AWS": "386209384616"
    },
    "Action": [
      "s3:GetBucketAcl",
      "s3:GetBucketPolicy"
    ],
    "Resource": "arn:aws:s3:::bucketname"
  },
  {
    "Effect": "Allow",
    "Principal": {
      "AWS": "386209384616"
    },
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::bucketname/*"
  }
  ]
}

例 10: AWS のコストと使用状況レポートを作成、表示、または削除する

このポリシーにより、IAM ユーザーは API を使用して AWS のコストと使用状況レポートを作成、表示、または削除することが許可されます。

Copy
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cur:PutReportDefinitions",
                "cur:DescribeReportDefinition",
                "cur:DeleteReportDefinition"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

ドキュメントの表記規則

« 前次 »