「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」
でのアイデンティティベースのポリシー (IAM ポリシー) の使用Billing and Cost Management
このトピックでは、アイデンティティベースのポリシーの例として、アカウント管理者が IAM ID (ユーザー、グループ、ロール) にアクセス許可ポリシーをアタッチし、これによりアクセス権限を付与して Billing and Cost Management リソースに対するオペレーションの実行を許可する方法を示します。
アカウントと AWS ユーザーの詳細については、IAM の「IAM とは」を参照してください。IAM ユーザーガイド
カスタマー管理ポリシーを更新する方法については、https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console の「カスタマー管理ポリシーの編集 (コンソール)IAM ユーザーガイド」を参照してください。
Billing and Cost Management アクションポリシー
次の表は、IAM ユーザーの請求の情報およびツールへのアクセスを許可または拒否するアクセス許可をまとめたものです。これらのアクセス許可を使用するポリシーの例については、「」を参照してください。Billing and Cost Management ポリシーの例.
アクセス許可名 | 説明 |
---|---|
|
IAM コンソールのページを表示するアクセス権限を Billing and Cost Management ユーザーに許可または拒否します。 |
|
以下の IAM コンソールのページを変更するアクセス権限を Billing and Cost Management ユーザーに許可または拒否します。 ユーザーにこれらのコンソールページの変更を許可するには、IAM と |
|
以下の IAM コンソールのページを表示するアクセス権限を Billing and Cost Management ユーザーに許可または拒否します。 |
aws-portal:ModifyAccount |
IAMアカウント設定を変更するアクセス権限を IAM ユーザーにアカウント設定の変更を許可するには、 コンソールの [IAMアカウント設定] ページへのアクセスを ユーザーに明示的に拒否するポリシーの例については、「アカウント設定へのアクセスを拒否するが、その他すべての請求および使用状況情報へのフルアクセスを許可する」を参照してください。 |
budgets:ViewBudget |
IAM予算を表示するアクセス権限を IAM ユーザーに予算の表示を許可するには、 |
budgets:ModifyBudget |
IAM予算を変更するアクセス権限を IAM ユーザーに予算の表示および変更を許可するには、 |
aws-portal:ViewPaymentMethods |
IAM支払方法を表示するアクセス権限を |
aws-portal:ModifyPaymentMethods |
IAM支払方法を変更するアクセス権限を ユーザーに支払い方法の変更を許可するには、 |
cur:DescribeReportDefinitions |
IAM を表示するアクセス許可を AWS Cost and Usage Reports. ユーザーに許可するかまたは拒否します。 AWS Cost and Usage Reports アクセス許可は、AWS Cost and Usage Reports サービス API と Billing and Cost Management コンソールを使用して作成されたすべてのレポートに適用されます。Billing and Cost Management コンソールを使用してレポートを作成する場合、IAM ユーザーのアクセス権限を更新することをお勧めします。アクセス権限を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権限を失うことになります。 ポリシーの例については、「」を参照してください。[Reports] コンソールページへのアクセスを IAM ユーザーに許可する. |
cur:PutReportDefinition |
IAM を作成するアクセス許可を AWS Cost and Usage Reports. ユーザーに許可または拒否します。 AWS Cost and Usage Reports アクセス許可は、AWS Cost and Usage Reports サービス API と Billing and Cost Management コンソールを使用して作成されたすべてのレポートに適用されます。Billing and Cost Management コンソールを使用してレポートを作成する場合、IAM ユーザーのアクセス権限を更新することをお勧めします。アクセス権限を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権限を失うことになります。 ポリシーの例については、「」を参照してください。[Reports] コンソールページへのアクセスを IAM ユーザーに許可する. |
cur:DeleteReportDefinition |
IAM を削除するアクセス許可を AWS Cost and Usage Reports. ユーザーに許可または拒否します。 AWS Cost and Usage Reports アクセス許可は、AWS Cost and Usage Reports サービス API と Billing and Cost Management コンソールを使用して作成されたすべてのレポートに適用されます。Billing and Cost Management コンソールを使用してレポートを作成する場合、IAM ユーザーのアクセス権限を更新することをお勧めします。アクセス権限を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権限を失うことになります。 ポリシーの例については、「」を参照してください。を作成、表示、編集、または削除するAWS Cost and Usage Reports. |
cur:ModifyReportDefinition |
IAM を変更するアクセス許可を AWS Cost and Usage Reports. ユーザーに許可するかまたは拒否します。 AWS Cost and Usage Reports アクセス許可は、AWS Cost and Usage Reports サービス API と Billing and Cost Management コンソールを使用して作成されたすべてのレポートに適用されます。Billing and Cost Management コンソールを使用してレポートを作成する場合、IAM ユーザーのアクセス権限を更新することをお勧めします。アクセス権限を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権限を失うことになります。 ポリシーの例については、「」を参照してください。を作成、表示、編集、または削除するAWS Cost and Usage Reports. |
ce:GetPreferences |
設定ページを表示するアクセス権限を IAM ユーザーに許可または拒否します。Cost Explorer ポリシーの例については、「」を参照してください。設定ページの表示と更新Cost Explorer. |
ce:UpdatePreferences |
設定ページを更新するアクセス権限を IAM ユーザーに許可または拒否します。Cost Explorer ポリシーの例については、「」を参照してください。設定ページの表示と更新Cost Explorer. |
ce:DescribeReport |
レポートページを表示するアクセス許可を IAM ユーザーに許可または拒否します。Cost Explorer ポリシーの例については、「」を参照してください。レポートページを使用しての表示、作成、更新、削除Cost Explorer. |
ce:CreateReport |
レポートページを使用してレポートを作成するアクセス許可を IAM ユーザーに許可または拒否します。Cost Explorer ポリシーの例については、「」を参照してください。レポートページを使用しての表示、作成、更新、削除Cost Explorer. |
ce:UpdateReport |
レポートページを使用して IAM ユーザーを更新するアクセス許可を許可または拒否します。Cost Explorer ポリシーの例については、「」を参照してください。レポートページを使用しての表示、作成、更新、削除Cost Explorer. |
ce:DeleteReport |
レポートページを使用してレポートを削除するアクセス許可を IAM ユーザーに許可または拒否します。Cost Explorer ポリシーの例については、「」を参照してください。レポートページを使用しての表示、作成、更新、削除Cost Explorer. |
ce:DescribeNotificationSubscription |
予約の概要ページで IAM 予約の有効期限アラートを表示するアクセス許可を Cost Explorer ユーザーに許可または拒否します。 ポリシーの例については、「」を参照してください。予約と Savings Plans アラートの表示、作成、更新、削除. |
ce:CreateNotificationSubscription |
予約の概要ページで IAM 予約の有効期限アラートを作成するアクセス許可を Cost Explorer ユーザーに許可または拒否します。 ポリシーの例については、「」を参照してください。予約と Savings Plans アラートの表示、作成、更新、削除. |
ce:UpdateNotificationSubscription |
予約の概要ページで IAM 予約の有効期限アラートを更新するアクセス権限を Cost Explorer ユーザーに許可または拒否します。 ポリシーの例については、「」を参照してください。予約と Savings Plans アラートの表示、作成、更新、削除. |
ce:DeleteNotificationSubscription |
予約の概要ページで IAM 予約の有効期限アラートを削除するアクセス許可を Cost Explorer ユーザーに許可または拒否します。 ポリシーの例については、「」を参照してください。予約と Savings Plans アラートの表示、作成、更新、削除. |
ce:CreateCostCategoryDefinition |
コストカテゴリを作成するアクセス許可を IAM ユーザーに許可または拒否します。 ポリシーの例については、「」を参照してください。コストカテゴリCost Categories. |
ce:DeleteCostCategoryDefinition |
コストカテゴリを削除するアクセス許可を IAM ユーザーに許可または拒否します。 ポリシーの例については、「」を参照してください。コストカテゴリCost Categories. |
ce:DescribeCostCategoryDefinition |
コストカテゴリを表示するアクセス許可を IAM ユーザーに許可または拒否します。 ポリシーの例については、「」を参照してください。コストカテゴリCost Categories. |
ce:ListCostCategoryDefinitions |
コストカテゴリを一覧表示するアクセス許可を IAM ユーザーに許可または拒否します。 ポリシーの例については、「」を参照してください。コストカテゴリCost Categories. |
ce:UpdateCostCategoryDefinition |
コストカテゴリを更新するアクセス許可を IAM ユーザーに許可または拒否します。 ポリシーの例については、「」を参照してください。コストカテゴリCost Categories. |
ce:CreateAnomalyMonitor |
AWS のコストの異常検出IAMモニタリングを 1 つ作成するアクセス許可を ユーザーに許可または拒否します。 |
ce:GetAnomalyMonitors |
すべての [IAMAWS Cost Anomaly Detection] モニターを表示するアクセス権限を ユーザーに許可または拒否します。 |
ce:UpdateAnomalyMonitor |
[IAMAWS Cost Anomaly Detection] モニターを更新するアクセス許可を ユーザーに許可または拒否します。 |
ce:DeleteAnomalyMonitor |
[IAMAWS Cost Anomaly Detection] モニターを削除するアクセス許可を ユーザーに許可または拒否します。 |
ce:CreateAnomalySubscription |
[IAMAWS Cost Anomaly Detection] のサブスクリプションを 1 つだけ作成するアクセス許可を ユーザーに許可または拒否します。 |
ce:GetAnomalySubscriptions |
[IAMAWS Cost Anomaly Detection] のすべてのサブスクリプションを表示するアクセス権限を ユーザーに許可または拒否します。 |
ce:UpdateAnomalySubscription |
[IAMAWS のコストの異常検出] サブスクリプションを更新するアクセス許可を ユーザーに許可または拒否します。 |
ce:DeleteAnomalySubscription |
AWS のコストの異常検出IAMサブスクリプションを削除するアクセス許可を ユーザーに許可または拒否します。 |
ce:GetAnomalies |
[IAMAWS Cost Anomaly Detection] のすべての異常を表示するアクセス権限を ユーザーに許可または拒否します。 |
ce:ProvideAnomalyFeedback |
検出された IAMAWS のコストの異常検出に関するフィードバックを提供するアクセス許可を ユーザーに許可または拒否します。 |
aws-portal:ViewUsage |
IAM 使用状況AWSレポートを表示するアクセス権限を 使用状況レポートの表示を IAM ユーザーに許可するには、 ポリシーの例については、「」を参照してください。[Reports] コンソールページへのアクセスを IAM ユーザーに許可する. |
pricing:DescribeServices |
IAM サービスの製品と価格を AWS で表示するアクセス権限を AWS Price List Service API. ユーザーに許可または拒否します。 ユーザーが IAM を使用できるようにするには、AWS Price List Service API、 ポリシーの例については、「」を参照してください。製品と価格の検索. |
pricing:GetAttributeValues |
IAM サービスの製品と価格を AWS で表示するアクセス権限を AWS Price List Service API. ユーザーに許可または拒否します。 ユーザーが IAM を使用できるようにするには、AWS Price List Service API、 ポリシーの例については、「」を参照してください。製品と価格の検索. |
pricing:GetProducts |
IAM サービスの製品と価格を AWS で表示するアクセス権限を AWS Price List Service API. ユーザーに許可または拒否します。 ユーザーが IAM を使用できるようにするには、AWS Price List Service API、 ポリシーの例については、「」を参照してください。製品と価格の検索. |
purchase-orders:ViewPurchaseOrders |
Purchase OrdersIAM を表示するアクセス権限を ユーザーに許可または拒否します。 ポリシーの例については、「」を参照してください。発注書の表示と管理. |
purchase-orders:ModifyPurchaseOrders |
Purchase OrdersIAM を変更するアクセス権限を ユーザーに許可または拒否します。 ポリシーの例については、「」を参照してください。発注書の表示と管理. |
管理ポリシー
管理ポリシーは、AWS アカウント内の複数のユーザー、グループ、およびロールにアタッチできるスタンドアロンアイデンティティベースのポリシーです。でアクセスを制御するには、AWS 管理ポリシーを使用します。Billing and Cost Management
管理ポリシーは、AWS によって作成および管理されるスタンドアロンのポリシーです。AWS 管理ポリシーは、多くの一般的ユースケースでアクセス許可を提供できるように設計されています。AWS 管理ポリシーでは、ポリシーを自身で記述する場合よりも簡単に、適切なアクセス許可をユーザー、グループ、およびロールに割り当てることができます。AWS
管理ポリシーで定義されているアクセス許可は変更できません。AWS は、AWS 管理ポリシーで定義されているアクセス許可を不定期に更新します。AWS行われた更新は、ポリシーがアタッチされているすべてのプリンシパルエンティティ (ユーザー、グループ、ロール) に影響します。
Billing and Cost Management には、一般的ユースケースに対して複数の AWS 管理ポリシーが用意されています。
予算アクションを含む AWS Budgets へのフルアクセスを許可します
管理ポリシー名: AWSBudgetsActionsWithAWSResourceControlAccess
この管理ポリシーはユーザーに集中することで、定義したアクションを実行するためのアクセス許可を AWS Budgets に付与する適切なアクセス許可を確実にユーザーに与えます。このポリシーは、予算アクションを含む AWS Budgets へのフルアクセスを提供し、ポリシーのステータスを取得して、AWS を使用して AWS マネジメントコンソール リソースを実行します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "budgets:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "budgets.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "aws-portal:ModifyBilling", "ec2:DescribeInstances", "iam:ListGroups", "iam:ListPolicies", "iam:ListRoles", "iam:ListUsers", "organizations:ListAccounts", "organizations:ListOrganizationalUnitsForParent", "organizations:ListPolicies", "organizations:ListRoots", "rds:DescribeDBInstances", "sns:ListTopics" ], "Resource": "*" } ] }
リソースを制御する広範なアクセス許可を AWS Budgets に許可します。AWS
管理ポリシー名: AWSBudgetsActionsRolePolicyForResourceAdministrationWithSSM
この管理ポリシーは、特定のアクションを完了するときに AWS Budgets がユーザーに代わって実行する特定のアクションに焦点を当てています。このポリシーは、AWS Budgets リソースを制御する広範なアクセス許可を AWS に付与します。たとえば、Amazon EC2 Systems Manager (SSM) スクリプトを実行して、Amazon RDS または AWS インスタンスを起動および停止します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "ssm.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ssm:StartAutomationExecution" ], "Resource": "*" } ] }