AWS ドキュメント » AWS Billing and Cost Management » ユーザーガイド » Controlling Access » Billing and Cost Management の権限リファレンス

Billing and Cost Management の権限リファレンス

このリファレンスは、Billing and Cost Management で請求ユーザーの種類ごとに許可されるデフォルトのアクション、および IAM ユーザーに適用できる請求アクセス権限をまとめたものです。また、IAM ユーザーによる請求情報およびツールへのアクセスを許可または拒否するために使用できるポリシーの例を提供します。

AWS アカウントと IAM ユーザーの詳細については、『IAM ユーザーガイド』の「IAM とは」を参照してください。

ユーザーの種類と請求アクセス許可

この表は、Billing and Cost Management で請求ユーザーの種類ごとに許可されるデフォルトのアクションをまとめたものです。

ユーザータイプ	説明	請求に対する権限
アカウント所有者	AWS アカウントをセットアップした人物 (名義人) またはエンティティ。	すべての Billing and Cost Management リソースを完全に制御できます。 AWS 料金の毎月の請求書を受け取ります。
IAM ユーザー	アカウント所有者または管理ユーザーによって、AWS アカウントのユーザーとして定義された人物またはアプリケーション。アカウントには、複数の IAM ユーザーを含めることができます。	ユーザー単位またはユーザーグループ単位で明示的に付与された権限を有します。 Billing and Cost Management コンソールページを表示するアクセス許可が付与されます。詳細については、「Controlling Access」を参照してください。 AWS アカウントを解約することはできません。
組織のマスターアカウント所有者	AWS Organizations のマスターアカウントに関連付けられている個人または団体。マスターアカウントが、組織内のメンバーアカウントによる AWS 使用に対する支払いを行います。	マスターアカウントのみに対してすべての Billing and Cost Management リソースを完全に制御できます。 マスターアカウントとメンバーアカウントの両方に対する AWS 料金の毎月の請求を受け取ります。 マスターアカウントの請求レポートで、メンバーアカウントのアクティビティを参照できます。
組織のメンバーアカウント所有者	AWS Organizations のメンバーアカウントに関連付けられている個人または団体。マスターアカウントが、組織内のメンバーアカウントによる AWS 使用に対する支払いを行います。	使用状況レポートまたはアクティビティは、当のアカウントに関するもののみ参照できます。組織内の他のメンバーアカウントまたはマスターアカウントの使用状況レポートやアカウントアクティビティにはアクセスできません。 請求レポートを表示する権限はありません。 自分のアカウントに関する情報のみ更新できます。その他のメンバーアカウントまたはマスターアカウントにはアクセスできません。

注記

組織のマスターアカウントおよびメンバーアカウントの詳細については、AWS Organizations ユーザーガイドを参照してください。

請求アクセス許可の説明

次の表は、IAM ユーザーの請求の情報およびツールへのアクセスを許可または拒否するために使用するアクセス許可をまとめたものです。これらのアクセス許可を使用するポリシーの例については、「Billing and Cost Management ポリシーの例」を参照してください。

アクセス許可名	説明
ViewBilling	以下の コンソールのページを表示するアクセス権限を ユーザーに許可または拒否します。 請求ダッシュボード 請求書 Cost Explorer Cost Explorer にはリザーブドインスタンスの推奨へのアクセスが含まれています。詳細については、「リザーブドインスタンスの推奨事項へのアクセス」を参照してください。 予算 支払履歴 一括請求 設定 Credits 前払い (前払いの詳細については、「組織の一括請求」を参照してください)。
ModifyBilling	以下の コンソールのページを変更するアクセス権限を ユーザーに許可または拒否します。 予算 一括請求 設定 Credits IAM ユーザーにこれらのコンソールページの変更を許可するには、ModifyBilling と ViewBilling の両方を許可する必要があります。ポリシーの例については、「例 6: 請求情報の変更を IAM ユーザーに許可する」を参照してください。
ViewAccount	以下の コンソールのページを表示するアクセス権限を ユーザーに許可または拒否します。 請求ダッシュボード アカウント設定
ModifyAccount	アカウント設定を変更するアクセス許可を IAM ユーザーに与えるか拒否します。 IAM ユーザーにアカウント設定の変更を許可するには、ModifyAccount と ViewAccount の両方を許可する必要があります。 コンソールの [アカウント設定] ページへのアクセスを IAM ユーザーに明示的に拒否するポリシーの例については、「例 8: アカウント設定へのアクセスは拒否し、その他の請求および使用状況の情報へのフルアクセスは許可する」を参照してください。
ViewBudget	予算を表示するアクセス権限を IAM ユーザーに与えるか拒否します。 IAM ユーザーに予算の表示を許可するには、ViewBilling も許可する必要があります。
ModifyBudget	予算を変更するアクセス権限を IAM ユーザーに許可または拒否します。 IAM ユーザーに予算の表示および変更を許可するには、ViewBilling も許可する必要があります。
ViewPaymentMethods	支払方法を表示するアクセス権限を IAM ユーザーに与えるか拒否します。
ModifyPaymentMethods	支払方法を変更するアクセス許可を IAM ユーザーに与えるか拒否します。 ユーザーに支払い方法の変更を許可するには、ModifyPaymentMethods と ViewPaymentMethods の両方を許可する必要があります。
DescribeReportDefinition	API を使用して を表示するアクセス権限を ユーザーに許可または拒否します。 ポリシーの例については、「例 10: AWS Cost and Usage report を作成、表示、または削除する」を参照してください。
PutReportDefinitions	API を使用して を作成するアクセス権限を ユーザーに許可または拒否します。 ポリシーの例については、「例 10: AWS Cost and Usage report を作成、表示、または削除する」を参照してください。
DeleteReportDefinition	API を使用して を削除するアクセス権限を ユーザーに許可または拒否します。 ポリシーの例については、「例 10: AWS Cost and Usage report を作成、表示、または削除する」を参照してください。
ViewUsage	使用状況レポートを表示するアクセス権限を ユーザーに与えるか拒否します。 使用状況レポートの表示を IAM ユーザーに許可するには、ViewUsage と ViewBilling の両方を許可する必要があります。 ポリシーの例については、「例 2: [Reports] コンソールページへの IAM ユーザーのアクセスを許可する」を参照してください。
DescribeServices	サービスの製品と価格を で表示するアクセス権限を ユーザーに許可または拒否します。 IAM ユーザーが AWS Price List のサービス API を使用できるようにするには、DescribeServices、GetAttributeValues、および GetProducts を許可する必要があります。 ポリシーの例については、「例 11: 製品と価格を検索する」を参照してください。
GetAttributeValues	サービスの製品と価格を で表示するアクセス権限を ユーザーに許可または拒否します。 IAM ユーザーが AWS Price List のサービス API を使用できるようにするには、DescribeServices、GetAttributeValues、および GetProducts を許可する必要があります。 ポリシーの例については、「例 11: 製品と価格を検索する」を参照してください。
GetProducts	サービスの製品と価格を で表示するアクセス権限を ユーザーに許可または拒否します。 IAM ユーザーが AWS Price List のサービス API を使用できるようにするには、DescribeServices、GetAttributeValues、および GetProducts を許可する必要があります。 ポリシーの例については、「例 11: 製品と価格を検索する」を参照してください。

Billing and Cost Management ポリシーの例

このトピックには、アカウントの請求の情報とツールへのアクセスを制御するために IAM ユーザーまたはグループに適用できるポリシーの例が含まれています。以下の基本ルールは IAM ポリシーに適用されます。

• Version は常に 2012-10-17 です。

• Effect は常に Allow または Deny です。

• Action はアクセス権を示し、ワイルドカード (*) を使用できます。

  コンソールの場合、中国ではアクションのプレフィックスは awsbillingconsole です。それ以外の場所では、aws-portal です。

  API の場合、アクションのプレフィックスは予算の budgets、または の です。

• コンソールの場合、Resource は常に * です。

  予算 API の場合、リソースは予算の ARN です。

• 1 つのポリシーで複数のステートメントを使用できます.

注記

これらのポリシーを使用するには、コンソールの [Account Settings (アカウント設定)] ページで コンソールへの アクセスを有効化する必要があります。IAM ユーザーアクセスのアクティブ化の詳細については、「Billing and Cost Management コンソールへのアクセスのアクティベート」を参照してください。

サンプルトピック

• 例 1: 請求情報の表示を IAM ユーザーに許可する

• 例 2: [Reports] コンソールページへの IAM ユーザーのアクセスを許可する

• 例 3: コンソールへの ユーザーのアクセスを拒否する

• 例 4: AWS サービスへのフルアクセスは許可するが、 コンソールへの ユーザーのアクセスは拒否する

• 例 5: コンソールの表示 (アカウント設定は除く) を ユーザーに許可する

• 例 6: 請求情報の変更を IAM ユーザーに許可する

• 例 7: IAM ユーザーに予算の作成を許可する

• 例 8: アカウント設定へのアクセスは拒否し、その他の請求および使用状況の情報へのフルアクセスは許可する

• 例 9: レポートを Amazon S3 バケットにデポジットする

• 例 10: AWS Cost and Usage report を作成、表示、または削除する

• 例 11: 製品と価格を検索する

• 例 12: コストと使用状況の表示

例 1: 請求情報の表示を IAM ユーザーに許可する

アカウントの機密扱い情報 (パスワードやアカウントのアクティビティレポートなど) に対する IAM ユーザーアクセスを与えずに IAM ユーザーが請求情報を表示できるようにするには、次のサンプルポリシーのようなポリシーを使用します。このポリシーは、次の コンソールページを表示する許可を ユーザーに与えますが、[Account Settings] コンソールページと [Reports] コンソールページに対するアクセス権は与えません。

• ダッシュボード

• Cost Explorer

• 請求書

• 支払履歴

• 一括請求

• 設定

• Credits

• 前払い

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:ViewBilling",
            "Resource": "*"
        }
    ]
}

例 2: [Reports] コンソールページへの IAM ユーザーのアクセスを許可する

[Reports] コンソールページにアクセスし、アカウントアクティビティ情報を含む使用状況レポートを表示する許可を IAM ユーザーに与えるには、次のサンプルポリシーのようなポリシーを使用します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewUsage",
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        }
    ]
}

例 3: コンソールへの ユーザーのアクセスを拒否する

すべての コンソールページへのアクセスを ユーザーに明示的に拒否するには、次の例のようなポリシーを使用します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "aws-portal:*",
            "Resource": "*"
        }
    ]
}

例 4: AWS サービスへのフルアクセスは許可するが、 コンソールへの ユーザーのアクセスは拒否する

すべての AWS サービスへのフルアクセスを有効にするが、 コンソール上のすべてに対する ユーザーアクセスを拒否するには、次のポリシーを使用します。この場合、AWS Identity and Access Management (IAM) へのアクセスをユーザーに拒否して、請求情報とツールへのアクセスを制御するポリシーにユーザーがアクセスできないようにします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "aws-portal:*",
                "iam:*"
            ],
            "Resource": "*"
        }
    ]
}

例 5: コンソールの表示 (アカウント設定は除く) を ユーザーに許可する

アカウントのパスワード、連絡先情報、および秘密の質問を保護するために、[Account Settings] へのユーザーアクセスを拒否する一方で、Billing and Cost Management コンソールのその他の機能に対する読み取り専用アクセスを付与できます。このポリシーを IAM ユーザーに適用すると、ユーザーは、[Payments Method] コンソールページと [Reports] コンソールページを含むすべての Billing and Cost Management コンソールページを表示できますが、[Account Settings] へのユーザーアクセスは拒否されます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:View*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "aws-portal:*Account",
            "Resource": "*"
        }
    ]
}

例 6: 請求情報の変更を IAM ユーザーに許可する

コンソールのアカウント請求情報の変更を ユーザーに許可するには、請求情報を表示する許可も IAM ユーザーに与える必要があります。次のポリシーの例は、[Consolidated Billing]、[Preferences]、および [Credits] の各コンソールページを変更する許可を IAM ユーザーに付与します。さらに、次の コンソールページを表示する許可を ユーザーに与えます。

• ダッシュボード

• Cost Explorer

• 請求書

• 支払履歴

• 前払い

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:*Billing",
            "Resource": "*"
        }
    ]
}

例 7: IAM ユーザーに予算の作成を許可する

このポリシーを適用するには、 コンソールを表示する アクセス許可がユーザーに必要です。

組織に所属している場合は、マスターアカウントのみが予算を作成および更新できます。個々のメンバーアカウントでは、予算の作成および管理をすることはできません。メンバーアカウントには、IAM ポリシーを使用して、予算への読み取り専用アクセスを許可できます。詳細については、「Controlling Access」を参照してください。

IAM ユーザーに Billing and Cost Management コンソールでの予算の作成を許可するには、IAM ユーザーに請求情報の表示、CloudWatch アラームの作成、Amazon SNS 通知の作成も許可する必要があります。次のポリシー例では、IAM ユーザーに [Budget] コンソールページの変更を許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1435216493000",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling",
                "aws-portal:ModifyBilling",
                "budgets:ViewBudget",
                "budgets:ModifyBudget"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "Stmt1435216514000",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "Stmt1435216552000",
            "Effect": "Allow",
            "Action": [
                "sns:*"
            ],
            "Resource": [
                "arn:aws:sns:us-east-1"
            ]
        }
    ]
}

例 8: アカウント設定へのアクセスは拒否し、その他の請求および使用状況の情報へのフルアクセスは許可する

アカウントのパスワード、連絡先情報、秘密の質問を保護するには、IAM ユーザーに対して [Account Settings (アカウント設定)] へのアクセスを 拒否する一方で、Billing and Cost Management コンソールのその他の機能に対するフルアクセスを許可します。次に例を示します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:*Billing",
                "aws-portal:*Usage",
                "aws-portal:*PaymentMethods"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "aws-portal:*Account",
            "Resource": "*"
        }
    ]
}

例 9: レポートを Amazon S3 バケットにデポジットする

次のポリシーは、Billing and Cost Management が詳細な AWS 請求を Amazon S3 バケットに保存することを許可します。これは、ユーザーが AWS アカウントと Amazon S3 バケットの両方を持っている場合にのみ許可されます。このポリシーは、 ユーザーではなく バケットに適用する必要があります。つまり、これはリソースベースのポリシーであり、ユーザーベースのポリシーではありません。請求書にアクセスする必要がない ユーザーに対しては、バケットへの ユーザーアクセスを拒否する必要があります。

[bucketname] を実際のバケット名に置き換えます。

詳細については、「バケットポリシーとユーザーポリシーの使用」を参照してください。

{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Principal": {
      "AWS": "386209384616"
    },
    "Action": [
      "s3:GetBucketAcl",
      "s3:GetBucketPolicy"
    ],
    "Resource": "arn:aws:s3:::bucketname"
  },
  {
    "Effect": "Allow",
    "Principal": {
      "AWS": "386209384616"
    },
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::bucketname/*"
  }
  ]
}

例 10: AWS Cost and Usage report を作成、表示、または削除する

このポリシーでは、API を使用した の作成、表示、または削除を ユーザーに許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cur:PutReportDefinitions",
                "cur:DescribeReportDefinition",
                "cur:DeleteReportDefinition"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

例 11: 製品と価格を検索する

の使用を ユーザーに許可するには、次のポリシーを使用してアクセス権限を付与します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "pricing:DescribeServices",
                "pricing:GetAttributeValues",
                "pricing:GetProducts"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

例 12: コストと使用状況の表示

の使用を ユーザーに許可するには、次のポリシーを使用してアクセス権限を付与します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ce:*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}