Billing and Cost Management の権限リファレンス
このリファレンスは、Billing and Cost Management で請求ユーザーの種類ごとに許可されるデフォルトのアクション、および IAM ユーザーに適用できる請求アクセス権限をまとめたものです。また、IAM ユーザーによる請求情報およびツールへのアクセスを許可または拒否するために使用できるポリシーの例を提供します。
AWS アカウントと IAM ユーザーの詳細については、IAM ユーザーガイドの「IAM とは」を参照してください。
ユーザーの種類と請求アクセス許可
この表は、Billing and Cost Management で請求ユーザーの種類ごとに許可されるデフォルトのアクションをまとめたものです。
| ユーザータイプ | 説明 | 請求に対する権限 |
|---|---|---|
| アカウント所有者 |
アカウントをセットアップした人物 (名義人) またはエンティティ。 |
|
| IAM ユーザー |
アカウント所有者または管理ユーザーによって、アカウントのユーザーとして定義された人物またはアプリケーション。アカウントには、複数の IAM ユーザーを含めることができます。 |
|
| 組織のマスターアカウント所有者 |
AWS Organizations のマスターアカウントに関連付けられている個人または団体。マスターアカウントが、組織内のメンバーアカウントによる AWS 使用に対する支払いを行います。 |
|
| 組織のメンバーアカウント所有者 |
AWS Organizations のメンバーアカウントに関連付けられている個人または団体。マスターアカウントが、組織内のメンバーアカウントによる AWS 使用に対する支払いを行います。 |
|
注記
組織のマスターアカウントおよびメンバーアカウントの詳細については、AWS Organizations ユーザーガイドを参照してください。
請求アクション
次の表は、IAM ユーザーの請求の情報およびツールへのアクセスを許可または拒否するアクセス許可をまとめたものです。これらのアクセス許可を使用するポリシーの例については、「Billing and Cost Management ポリシーの例」を参照してください。
| アクセス許可名 | 説明 |
|---|---|
|
|
以下の Billing and Cost Management コンソールのページを表示するアクセス権限を IAM ユーザーに許可または拒否します。
|
|
|
以下の Billing and Cost Management コンソールのページを変更するアクセス権限を IAM ユーザーに許可または拒否します。 IAM ユーザーにこれらのコンソールページの変更を許可するには、 |
|
|
以下の Billing and Cost Management コンソールのページを表示するアクセス権限を IAM ユーザーに許可または拒否します。 |
aws-portal:ModifyAccount |
アカウント設定を変更するアクセス許可を IAM ユーザーに許可するかまたは拒否します。 IAM ユーザーにアカウント設定の変更を許可するには、 コンソールの [アカウント設定] ページへのアクセスを IAM ユーザーに明示的に拒否するポリシーの例については、「例 8: アカウント設定へのアクセスは拒否し、その他の請求および使用状況の情報へのフルアクセスは許可する」を参照してください。 |
budgets:ViewBudget |
予算を表示するアクセス権限を IAM ユーザーに許可するかまたは拒否します。 IAM ユーザーに予算の表示を許可するには、 |
budgets:ModifyBudget |
予算を変更するアクセス権限を IAM ユーザーに許可するかまたは拒否します。 IAM ユーザーに予算の表示および変更を許可するには、 |
aws-portal:ViewPaymentMethods |
支払方法を表示するアクセス権限を IAM ユーザーに許可するかまたは拒否します。 |
aws-portal:ModifyPaymentMethods |
支払方法を変更するアクセス許可を IAM ユーザーに許可するかまたは拒否します。 ユーザーに支払い方法の変更を許可するには、 |
|
|
API を使用して AWS Cost and Usage Report を表示するアクセス権限を IAM ユーザーに許可または拒否します。 ポリシーの例については、「例 10: AWS Cost and Usage report を作成、表示、または削除する」を参照してください。 |
|
|
API を使用して AWS Cost and Usage Report を作成するアクセス権限を IAM ユーザーに許可または拒否します。 ポリシーの例については、「例 10: AWS Cost and Usage report を作成、表示、または削除する」を参照してください。 |
|
|
API を使用して AWS Cost and Usage Report を削除するアクセス権限を IAM ユーザーに許可または拒否します。 ポリシーの例については、「例 10: AWS Cost and Usage report を作成、表示、または削除する」を参照してください。 |
aws-portal:ViewUsage |
AWS 使用状況レポートを表示するアクセス権限を IAM ユーザーに許可するかまたは拒否します。 使用状況レポートの表示を IAM ユーザーに許可するには、 ポリシーの例については、「例 2: [Reports] コンソールページへの IAM ユーザーのアクセスを許可する」を参照してください。 |
pricing:DescribeServices |
AWS サービスの製品と価格を AWS Price List のサービス API で表示するアクセス権限を IAM ユーザーに許可または拒否します。 IAM ユーザーが AWS Price List のサービス API を使用できるようにするには、 ポリシーの例については、「例 11: 製品と価格を検索する」を参照してください。 |
pricing:GetAttributeValues |
AWS サービスの製品と価格を AWS Price List のサービス API で表示するアクセス権限を IAM ユーザーに許可または拒否します。 IAM ユーザーが AWS Price List のサービス API を使用できるようにするには、 ポリシーの例については、「例 11: 製品と価格を検索する」を参照してください。 |
pricing:GetProducts |
AWS サービスの製品と価格を AWS Price List のサービス API で表示するアクセス権限を IAM ユーザーに許可または拒否します。 IAM ユーザーが AWS Price List のサービス API を使用できるようにするには、 ポリシーの例については、「例 11: 製品と価格を検索する」を参照してください。 |
請求リージョンのアクション
次の表は、AWS リージョンを有効または無効する機能や、リージョンの一覧と現在のステータスを表示する機能を IAM ユーザーに許可または拒否するアクセス許可をまとめたものです。これらのアクセス許可を使用するポリシーの例については、「AWS アカウントの管理」を参照してください。
| アクセス許可名 | 説明 |
|---|---|
account:EnableRegion |
リージョンを有効にするアクセス許可をユーザーに許可または拒否します。 |
account:DisableRegion |
リージョンを無効にするアクセス許可を許可または拒否します。 |
account:ListRegions |
すべてのリージョンと現在のステータス (有効または無効) を表示することをユーザーに許可します。 |
Billing and Cost Management ポリシーの例
このトピックには、アカウントの請求の情報とツールへのアクセスを制御するために IAM ユーザーまたはグループに適用できるポリシーの例が含まれています。以下の基本ルールは、Billing and Cost Management の IAM ポリシーに適用されます。
-
Versionは常に2012-10-17です。 -
Effectは常にAllowまたはDenyです。 -
Actionはアクションまたはワイルドカード (*) の名前です。コンソールの場合、中国ではアクションのプレフィックスは
awsbillingconsoleです。それ以外の場所では、aws-portalです。アクションのプレフィックスは、AWS Budgets の場合は
budgets、AWS のコストと使用状況レポート の場合はcur、AWS の請求の場合はaws-portal、Cost Explorer の場合はceです。 -
Resourceは、AWS の請求に対して常に*になります。budgetリソースで実行されるアクションの場合、予算の Amazon リソースネーム (ARN) を指定します。 -
1 つのポリシーで複数のステートメントを使用できます.
注記
これらのポリシーを使用するには、コンソールの [Account Settings (アカウント設定)] ページで Billing and Cost Management コンソールへの IAM アクセスを有効化する必要があります。詳細については、「Billing and Cost Management コンソールへのアクセスのアクティベート」を参照してください。
サンプルトピック
例 1: 請求情報の表示を IAM ユーザーに許可する
アカウントの機密扱い情報 (パスワードやアカウントのアクティビティレポートなど) に対する IAM ユーザーアクセスを与えずに IAM ユーザーが請求情報を表示できるようにするには、次のサンプルポリシーのようなポリシーを使用します。このポリシーは、次の Billing and Cost Management コンソールページを表示する許可を IAM ユーザーに与えますが、[Account Settings] コンソールページと [Reports] コンソールページに対するアクセス権は与えません。
-
ダッシュボード
-
Cost Explorer
-
請求書
-
支払履歴
-
一括請求
-
設定
-
クレジット
-
前払い
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:ViewBilling", "Resource": "*" } ] }
例 2: [Reports] コンソールページへの IAM ユーザーのアクセスを許可する
[Reports] コンソールページにアクセスし、アカウントアクティビティ情報を含む使用状況レポートを表示する許可を IAM ユーザーに与えるには、次のサンプルポリシーのようなポリシーを使用します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:ViewUsage", "aws-portal:ViewBilling" ], "Resource": "*" } ] }
例 3: Billing and Cost Management コンソールへの IAM ユーザーのアクセスを拒否する
すべての Billing and Cost Management コンソールページへのアクセスを IAM ユーザーに明示的に拒否するには、次の例のようなポリシーを使用します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "aws-portal:*", "Resource": "*" } ] }
例 4: AWS サービスへのフルアクセスは許可するが、Billing and Cost Management コンソールへの IAM ユーザーのアクセスは拒否する
Billing and Cost Management コンソールのすべてに対するアクセスを IAM ユーザーに拒否するには、次のポリシーを使用します。この場合、AWS Identity and Access Management (IAM) へのアクセスをユーザーに拒否して、請求情報とツールへのアクセスを制御するポリシーにユーザーがアクセスできないようにします。
重要
このポリシーは、一切のアクションを許可しません。特定のアクションを許可する他のポリシーと組み合わせてこのポリシーを使用します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } ] }
例 5: Billing and Cost Management コンソールの表示 (アカウント設定は除く) を IAM ユーザーに許可する
このポリシーは、すべての Billing and Cost Management コンソールへの読み取り専用アクセスを許可します。これには、[支払い方法] と [レポート] コンソールページが含まれますが、[アカウント設定] ページへのアクセスは拒否され、アカウントのパスワード、連絡先情報、およびセキュリティに関する質問が保護されます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:View*", "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
例 6: 請求情報の変更を IAM ユーザーに許可する
Billing and Cost Management コンソールのアカウント請求情報の変更を IAM ユーザーに許可するには、請求情報を表示する許可も IAM ユーザーに与える必要があります。次のポリシーの例は、[Consolidated Billing]、[Preferences]、および [Credits] の各コンソールページを変更する許可を IAM ユーザーに付与します。さらに、次の Billing and Cost Management コンソールページを表示する許可を IAM ユーザーに与えます。
-
ダッシュボード
-
Cost Explorer
-
請求書
-
支払履歴
-
前払い
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:*Billing", "Resource": "*" } ] }
例 7: IAM ユーザーに予算の作成を許可する
IAM ユーザーに Billing and Cost Management コンソールでの予算の作成を許可するには、IAM ユーザーに請求情報の表示、CloudWatch アラームの作成、Amazon SNS 通知の作成も許可する必要があります。次のポリシー例では、IAM ユーザーに [予算] コンソールページの変更を許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1435216493000", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "aws-portal:ModifyBilling", "budgets:ViewBudget", "budgets:ModifyBudget" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216514000", "Effect": "Allow", "Action": [ "cloudwatch:*" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216552000", "Effect": "Allow", "Action": [ "sns:*" ], "Resource": [ "arn:aws:sns:us-east-1" ] } ] }
例 8: アカウント設定へのアクセスは拒否し、その他の請求および使用状況の情報へのフルアクセスは許可する
アカウントのパスワード、連絡先情報、秘密の質問を保護するには、IAM ユーザーに対して [Account Settings (アカウント設定)] へのアクセスを 拒否する一方で、Billing and Cost Management コンソールのその他の機能に対するフルアクセスを許可します。次に例を示します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:*Billing", "aws-portal:*Usage", "aws-portal:*PaymentMethods" ], "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
例 9: レポートを Amazon S3 バケットにデポジットする
次のポリシーは、Billing and Cost Management が詳細な AWS 請求を Amazon S3 バケットに保存することを許可します。これは、ユーザーが AWS アカウントと Amazon S3 バケットの両方を持っている場合にのみ許可されます。このポリシーは、IAM ユーザーではなく Amazon S3 バケットに適用する必要があります。つまり、これはリソースベースのポリシーであり、ユーザーベースのポリシーではありません。請求書にアクセスする必要がない IAM ユーザーに対しては、バケットへの IAM ユーザーアクセスを拒否する必要があります。
[bucketname] を実際のバケット名に置き換えます。
詳細については、「バケットポリシーとユーザーポリシーの使用」を参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": [ "s3:GetBucketAcl", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::bucketname" }, { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucketname/*" } ] }
例 10: AWS Cost and Usage report を作成、表示、または削除する
このポリシーは、API を使用した sample-report の作成、表示、または削除を IAM ユーザーに許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageSampleReport", "Action": [ "cur:PutReportDefinition", "cur:DeleteReportDefinition" ], "Resource": "arn:aws:cur:*:123456789012:definition/sample-report" }, { "Sid": "DescribeReportDefs", "Effect": "Allow", "Action": "cur:DescribeReportDefinitions", "Resource": "*" } ] }
例 11: 製品と価格を検索する
AWS Price List のサービス API の使用を IAM ユーザーに許可するには、次のポリシーを使用してアクセス権限を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "pricing:DescribeServices", "pricing:GetAttributeValues", "pricing:GetProducts" ], "Resource": [ "*" ] } ] }
例 12: コストと使用状況の表示
AWS Cost Explorer API の使用を IAM ユーザーに許可するには、次のポリシーを使用してアクセス権限を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:*" ], "Resource": [ "*" ] } ] }
例 13: リージョンの有効化と無効化
リージョンの有効化と無効化をユーザーに許可する IAM ポリシーの例については、IAM ユーザーガイドの「AWS: Allows Enabling and Disabling AWS Regions」を参照してください。
