AWS ドキュメント » AWS Billing and Cost Management » ユーザーガイド » Controlling Access » Billing and Cost Management の権限リファレンス

Billing and Cost Management の権限リファレンス

このリファレンスは、Billing and Cost Management で請求ユーザーの種類ごとに許可されるデフォルトのアクション、および IAM ユーザーに適用できる請求アクセス権限をまとめたものです。また、IAM ユーザーによる請求情報およびツールへのアクセスを許可または拒否するために使用できるポリシーの例を提供します。

AWS アカウントと IAM ユーザーの詳細については、IAM ユーザーガイドの「IAM とは」を参照してください。

ユーザーの種類と請求アクセス許可

この表は、Billing and Cost Management で請求ユーザーの種類ごとに許可されるデフォルトのアクションをまとめたものです。

ユーザータイプ	説明	請求に対する権限
アカウント所有者	アカウントをセットアップした人物 (名義人) またはエンティティ。	すべての Billing and Cost Management リソースを完全に制御できます。 AWS 料金の毎月の請求書を受け取ります。
IAM ユーザー	アカウント所有者または管理ユーザーによって、アカウントのユーザーとして定義された人物またはアプリケーション。アカウントには、複数の IAM ユーザーを含めることができます。	ユーザー単位またはユーザーグループ単位で明示的に付与された権限を有します。 Billing and Cost Management コンソールページを表示するアクセス許可が付与されます。詳細については、「Controlling Access」を参照してください。 アカウントを解約することはできません。
組織のマスターアカウント所有者	AWS Organizations のマスターアカウントに関連付けられている個人または団体。マスターアカウントが、組織内のメンバーアカウントによる AWS 使用に対する支払いを行います。	マスターアカウントのみに対してすべての Billing and Cost Management リソースを完全に制御できます。 マスターアカウントとメンバーアカウントの両方に対する AWS 料金の毎月の請求を受け取ります。 マスターアカウントの請求レポートで、メンバーアカウントのアクティビティを参照できます。
組織のメンバーアカウント所有者	AWS Organizations のメンバーアカウントに関連付けられている個人または団体。マスターアカウントが、組織内のメンバーアカウントによる AWS 使用に対する支払いを行います。	使用状況レポートまたはアクティビティは、当のアカウントに関するもののみ参照できます。組織内の他のメンバーアカウントまたはマスターアカウントの使用状況レポートやアカウントアクティビティにはアクセスできません。 請求レポートを表示する権限はありません。 当のアカウントに関する情報のみ更新できます。他のメンバーアカウントまたはマスターアカウントにはアクセスできません。

注記

組織のマスターアカウントおよびメンバーアカウントの詳細については、AWS Organizations ユーザーガイドを参照してください。

請求アクション

次の表は、IAM ユーザーの請求の情報およびツールへのアクセスを許可または拒否するアクセス許可をまとめたものです。これらのアクセス許可を使用するポリシーの例については、「Billing and Cost Management ポリシーの例」を参照してください。

重要

2019 年 8 月 19 日から、cur:DescribeReportDefinitions、cur:PutReportDefinition、cur:DeleteReportDefinition という許可は AWS Cost and Usage Report API および Billing and Cost Management コンソールのどちらを使用しても、作成されたすべてのレポートに適用されます。Billing and Cost Management コンソールを使用してレポートを作成する場合、IAM ユーザーのアクセス権限を更新することをお勧めします。アクセス権限を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権限を失うことになります。

アクセス許可名	説明
aws-portal:ViewBilling	Billing and Cost Management コンソールのページを表示するアクセス権限を IAM ユーザーに許可または拒否します。
aws-portal:ModifyBilling	以下の Billing and Cost Management コンソールのページを変更するアクセス権限を IAM ユーザーに許可または拒否します。 予算 一括請求 設定 Credits IAM ユーザーにこれらのコンソールページの変更を許可するには、ModifyBilling と ViewBilling の両方を許可する必要があります。ポリシーの例については、「例 6: 請求情報の変更を IAM ユーザーに許可する」を参照してください。
aws-portal:ViewAccount	以下の Billing and Cost Management コンソールのページを表示するアクセス権限を IAM ユーザーに許可または拒否します。 請求ダッシュボード アカウント設定
aws-portal:ModifyAccount	アカウント設定を変更するアクセス許可を IAM ユーザーに許可するかまたは拒否します。 IAM ユーザーにアカウント設定の変更を許可するには、ModifyAccount と ViewAccount の両方を許可する必要があります。 コンソールの [アカウント設定] ページへのアクセスを IAM ユーザーに明示的に拒否するポリシーの例については、「例 8: アカウント設定へのアクセスは拒否し、その他の請求および使用状況の情報へのフルアクセスは許可する」を参照してください。
budgets:ViewBudget	予算を表示するアクセス権限を IAM ユーザーに許可するかまたは拒否します。 IAM ユーザーに予算の表示を許可するには、ViewBilling も許可する必要があります。
budgets:ModifyBudget	予算を変更するアクセス権限を IAM ユーザーに許可するかまたは拒否します。 IAM ユーザーに予算の表示および変更を許可するには、ViewBilling も許可する必要があります。
aws-portal:ViewPaymentMethods	支払方法を表示するアクセス権限を IAM ユーザーに許可するかまたは拒否します。
aws-portal:ModifyPaymentMethods	支払方法を変更するアクセス許可を IAM ユーザーに許可するかまたは拒否します。 ユーザーに支払い方法の変更を許可するには、ModifyPaymentMethods と ViewPaymentMethods の両方を許可する必要があります。
cur:DescribeReportDefinitions	API を使用して AWS Cost and Usage Report を表示するアクセス権限を IAM ユーザーに許可または拒否します。 2019 年 8 月 19 日から、このアクセス許可は API と Billing and Cost Management コンソールの両方に適用されます。 ポリシーの例については、「例 10: AWS Cost and Usage report を作成、表示、編集、または削除する」を参照してください。
cur:PutReportDefinition	AWS Cost and Usage Report を作成するアクセス権限を IAM ユーザーに許可または拒否します。 2019 年 8 月 19 日から、このアクセス許可は API と Billing and Cost Management コンソールの両方に適用されます。 ポリシーの例については、「例 10: AWS Cost and Usage report を作成、表示、編集、または削除する」を参照してください。
cur:DeleteReportDefinition	API を使用して AWS Cost and Usage Report を削除するアクセス権限を IAM ユーザーに許可または拒否します。 2019 年 8 月 19 日から、このアクセス許可は API と Billing and Cost Management コンソールの両方に適用されます。 ポリシーの例については、「例 10: AWS Cost and Usage report を作成、表示、編集、または削除する」を参照してください。
cur:ModifyReportDefinition	API を使用して AWS Cost and Usage Report を変更するアクセス権限を IAM ユーザーに許可または拒否します。 このアクセス許可は API と Billing and Cost Management コンソールの両方に適用されます。 ポリシーの例については、「例 10: AWS Cost and Usage report を作成、表示、編集、または削除する」を参照してください。
aws-portal:ViewUsage	AWS 使用状況レポートを表示するアクセス権限を IAM ユーザーに許可するかまたは拒否します。 使用状況レポートの表示を IAM ユーザーに許可するには、ViewUsage と ViewBilling の両方を許可する必要があります。 ポリシーの例については、「例 2: [Reports] コンソールページへの IAM ユーザーのアクセスを許可する」を参照してください。
pricing:DescribeServices	AWS サービスの製品と価格を AWS Price List のサービス API で表示するアクセス権限を IAM ユーザーに許可または拒否します。 IAM ユーザーが AWS Price List のサービス API を使用できるようにするには、DescribeServices、GetAttributeValues、および GetProducts を許可する必要があります。 ポリシーの例については、「例 11: 製品と価格を検索する」を参照してください。
pricing:GetAttributeValues	AWS サービスの製品と価格を AWS Price List のサービス API で表示するアクセス権限を IAM ユーザーに許可または拒否します。 IAM ユーザーが AWS Price List のサービス API を使用できるようにするには、DescribeServices、GetAttributeValues、および GetProducts を許可する必要があります。 ポリシーの例については、「例 11: 製品と価格を検索する」を参照してください。
pricing:GetProducts	AWS サービスの製品と価格を AWS Price List のサービス API で表示するアクセス権限を IAM ユーザーに許可または拒否します。 IAM ユーザーが AWS Price List のサービス API を使用できるようにするには、DescribeServices、GetAttributeValues、および GetProducts を許可する必要があります。 ポリシーの例については、「例 11: 製品と価格を検索する」を参照してください。

請求リージョンのアクション

次の表は、AWS リージョンを有効または無効する機能や、リージョンの一覧と現在のステータスを表示する機能を IAM ユーザーに許可または拒否するアクセス許可をまとめたものです。これらのアクセス許可を使用するポリシーの例については、「AWS アカウントの管理」を参照してください。

アクセス許可名	説明
account:EnableRegion	リージョンを有効にするアクセス許可をユーザーに許可または拒否します。
account:DisableRegion	リージョンを無効にするアクセス許可を許可または拒否します。
account:ListRegions	すべてのリージョンと現在のステータス (有効または無効) を表示することをユーザーに許可します。

Billing and Cost Management ポリシーの例

このトピックには、アカウントの請求の情報とツールへのアクセスを制御するために IAM ユーザーまたはグループに適用できるポリシーの例が含まれています。以下の基本ルールは、Billing and Cost Management の IAM ポリシーに適用されます。

• Version は常に 2012-10-17 です。

• Effect は常に Allow または Deny です。

• Action はアクションまたはワイルドカード (*) の名前です。

  コンソールの場合、中国ではアクションのプレフィックスは awsbillingconsole です。それ以外の場所では、aws-portal です。

  アクションのプレフィックスは、AWS Budgets の場合は budgets、AWS のコストと使用状況レポート の場合は cur、AWS の請求の場合は aws-portal、Cost Explorer の場合は ce です。

• Resource は、AWS の請求に対して常に * になります。

  budget リソースで実行されるアクションの場合、予算の Amazon リソースネーム (ARN) を指定します。

• 1 つのポリシーで複数のステートメントを使用できます.

注記

これらのポリシーを使用するには、コンソールの [Account Settings (アカウント設定)] ページで Billing and Cost Management コンソールへの IAM アクセスを有効化する必要があります。詳細については、「Billing and Cost Management コンソールへのアクセスのアクティベート」を参照してください。

サンプルトピック

• 例 1: 請求情報の表示を IAM ユーザーに許可する

• 例 2: [Reports] コンソールページへの IAM ユーザーのアクセスを許可する

• 例 3: Billing and Cost Management コンソールへの IAM ユーザーのアクセスを拒否する

• 例 4: AWS サービスへのフルアクセスは許可するが、Billing and Cost Management コンソールへの IAM ユーザーのアクセスは拒否する

• 例 5: Billing and Cost Management コンソールの表示 (アカウント設定は除く) を IAM ユーザーに許可する

• 例 6: 請求情報の変更を IAM ユーザーに許可する

• 例 7: IAM ユーザーに予算の作成を許可する

• 例 8: アカウント設定へのアクセスは拒否し、その他の請求および使用状況の情報へのフルアクセスは許可する

• 例 9: レポートを Amazon S3 バケットにデポジットする

• 例 10: AWS Cost and Usage report を作成、表示、編集、または削除する

• 例 11: 製品と価格を検索する

• 例 12: コストと使用状況の表示

• 例 13: リージョンの有効化と無効化

例 1: 請求情報の表示を IAM ユーザーに許可する

アカウントの機密扱い情報 (パスワードやアカウントのアクティビティレポートなど) に対する IAM ユーザーアクセスを与えずに IAM ユーザーが請求情報を表示できるようにするには、次のサンプルポリシーのようなポリシーを使用します。このポリシーは、次の Billing and Cost Management コンソールページを表示する許可を IAM ユーザーに与えますが、[Account Settings] コンソールページと [Reports] コンソールページに対するアクセス権は与えません。

• ダッシュボード

• Cost Explorer

• 請求書

• 注文と請求書

• 一括請求

• 設定

• クレジット

• 前払い

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:ViewBilling",
            "Resource": "*"
        }
    ]
}

例 2: [Reports] コンソールページへの IAM ユーザーのアクセスを許可する

[Reports] コンソールページにアクセスし、アカウントアクティビティ情報を含む使用状況レポートを表示する許可を IAM ユーザーに与えるには、次のサンプルポリシーのようなポリシーを使用します。

各アクションの定義については、「請求アクション」を参照してください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewUsage",
                "aws-portal:ViewBilling",
                "cur:DescribeReportDefinitions",
                "cur:PutReportDefinition",
                "cur:DeleteReportDefinition",
                "cur:ModifyReportDefinition"
            ],
            "Resource": "*"
        }
    ]
}

例 3: Billing and Cost Management コンソールへの IAM ユーザーのアクセスを拒否する

すべての Billing and Cost Management コンソールページへのアクセスを IAM ユーザーに明示的に拒否するには、次の例のようなポリシーを使用します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "aws-portal:*",
            "Resource": "*"
        }
    ]
}

例 4: AWS サービスへのフルアクセスは許可するが、Billing and Cost Management コンソールへの IAM ユーザーのアクセスは拒否する

Billing and Cost Management コンソールのすべてに対するアクセスを IAM ユーザーに拒否するには、次のポリシーを使用します。この場合、AWS Identity and Access Management (IAM) へのアクセスをユーザーに拒否して、請求情報とツールへのアクセスを制御するポリシーにユーザーがアクセスできないようにします。

重要

このポリシーは、一切のアクションを許可しません。特定のアクションを許可する他のポリシーと組み合わせてこのポリシーを使用します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "aws-portal:*",
                "iam:*"
            ],
            "Resource": "*"
        }
    ]
}

例 5: Billing and Cost Management コンソールの表示 (アカウント設定は除く) を IAM ユーザーに許可する

このポリシーは、すべての Billing and Cost Management コンソールへの読み取り専用アクセスを許可します。これには、[支払い方法] と [レポート] コンソールページが含まれますが、[アカウント設定] ページへのアクセスは拒否され、アカウントのパスワード、連絡先情報、およびセキュリティに関する質問が保護されます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:View*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "aws-portal:*Account",
            "Resource": "*"
        }
    ]
}

例 6: 請求情報の変更を IAM ユーザーに許可する

Billing and Cost Management コンソールのアカウント請求情報の変更を IAM ユーザーに許可するには、請求情報を表示する許可も IAM ユーザーに与える必要があります。次のポリシーの例は、[Consolidated Billing]、[Preferences]、および [Credits] の各コンソールページを変更する許可を IAM ユーザーに付与します。さらに、次の Billing and Cost Management コンソールページを表示する許可を IAM ユーザーに与えます。

• ダッシュボード

• Cost Explorer

• 請求書

• 注文と請求書

• 前払い

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:*Billing",
            "Resource": "*"
        }
    ]
}

例 7: IAM ユーザーに予算の作成を許可する

IAM ユーザーに Billing and Cost Management コンソールでの予算の作成を許可するには、IAM ユーザーに請求情報の表示、CloudWatch アラームの作成、Amazon SNS 通知の作成も許可する必要があります。次のポリシー例では、IAM ユーザーに [予算] コンソールページの変更を許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1435216493000",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling",
                "aws-portal:ModifyBilling",
                "budgets:ViewBudget",
                "budgets:ModifyBudget"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "Stmt1435216514000",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "Stmt1435216552000",
            "Effect": "Allow",
            "Action": [
                "sns:*"
            ],
            "Resource": [
                "arn:aws:sns:us-east-1"
            ]
        }
    ]
}

例 8: アカウント設定へのアクセスは拒否し、その他の請求および使用状況の情報へのフルアクセスは許可する

アカウントのパスワード、連絡先情報、秘密の質問を保護するには、IAM ユーザーに対して [Account Settings (アカウント設定)] へのアクセスを 拒否する一方で、Billing and Cost Management コンソールのその他の機能に対するフルアクセスを許可します。次に例を示します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:*Billing",
                "aws-portal:*Usage",
                "aws-portal:*PaymentMethods"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "aws-portal:*Account",
            "Resource": "*"
        }
    ]
}

例 9: レポートを Amazon S3 バケットにデポジットする

次のポリシーは、Billing and Cost Management が詳細な AWS 請求を Amazon S3 バケットに保存することを許可します。これは、ユーザーが AWS アカウントと Amazon S3 バケットの両方を持っている場合にのみ許可されます。このポリシーは、IAM ユーザーではなく Amazon S3 バケットに適用する必要があります。つまり、これはリソースベースのポリシーであり、ユーザーベースのポリシーではありません。請求書にアクセスする必要がない IAM ユーザーに対しては、バケットへの IAM ユーザーアクセスを拒否する必要があります。

[bucketname] を実際のバケット名に置き換えます。

詳細については、「バケットポリシーとユーザーポリシーの使用」を参照してください。

{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Principal": {
      "Service": "billingreports.amazonaws.com"
    },
    "Action": [
      "s3:GetBucketAcl",
      "s3:GetBucketPolicy"
    ],
    "Resource": "arn:aws:s3:::bucketname"
  },
  {
    "Effect": "Allow",
    "Principal": {
      "Service": "billingreports.amazonaws.com"
    },
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::bucketname/*"
  }
  ]
}

例 10: AWS Cost and Usage report を作成、表示、編集、または削除する

このポリシーでは、API を使用した sample-report の作成、表示、編集、または削除を IAM ユーザーに許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ManageSampleReport",
            "Action": [
                "cur:PutReportDefinition", 
                "cur:DeleteReportDefinition"
                "cur:ModifyReportDefinition"
            ],
            "Resource": "arn:aws:cur:*:123456789012:definition/sample-report"
        },
        {
            "Sid": "DescribeReportDefs",
            "Effect": "Allow",
            "Action": "cur:DescribeReportDefinitions",
            "Resource": "*"
        }
    ]
}

例 11: 製品と価格を検索する

AWS Price List のサービス API の使用を IAM ユーザーに許可するには、次のポリシーを使用してアクセス権限を付与します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "pricing:DescribeServices",
                "pricing:GetAttributeValues",
                "pricing:GetProducts"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

例 12: コストと使用状況の表示

AWS Cost Explorer API の使用を IAM ユーザーに許可するには、次のポリシーを使用してアクセス権限を付与します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ce:*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

例 13: リージョンの有効化と無効化

リージョンの有効化と無効化をユーザーに許可する IAM ポリシーの例については、IAM ユーザーガイドの「AWS: Allows Enabling and Disabling AWS Regions」を参照してください。