AWS Documentation » AWS Billing and Cost Management » ユーザーガイド » Controlling Access » Billing and Cost Management の権限リファレンス

Billing and Cost Management の権限リファレンス

このリファレンスは、Billing and Cost Management で請求ユーザーの種類ごとに許可されるデフォルトのアクション、および IAM ユーザーに適用できる請求アクセス権限をまとめたものです。また、IAM ユーザーによる請求情報およびツールへのアクセスを許可または拒否するために使用できるポリシーの例を提供します。

トピック

• ユーザーの種類と請求アクセス許可
• 請求アクセス許可の説明
• 請求およびコスト管理ポリシーの例

AWS アカウントと IAM ユーザーの詳細については、「IAM とは」（『IAM ユーザーガイド』）を参照してください。

ユーザーの種類と請求アクセス許可

この表は、Billing and Cost Management で請求ユーザーの種類ごとに許可されるデフォルトのアクションをまとめたものです。

ユーザータイプ	説明	請求に対する権限
アカウント所有者	AWS アカウントをセットアップした人物 (名義人) またはエンティティ。	すべての Billing and Cost Management リソースを完全に制御できます。 AWS 料金の毎月の請求書を受け取ります。
IAM ユーザー	アカウント所有者または管理ユーザーによって、AWS アカウントのユーザーとして定義された人物またはアプリケーション。アカウントには、複数の IAM ユーザーを含めることができます。	ユーザー単位またはユーザーグループ単位で明示的に付与された権限を有します。 Billing and Cost Management コンソールページを表示するアクセス許可が付与されます。詳細については、「Controlling Access」を参照してください。 AWS アカウントを解約することはできません。
組織のマスターアカウント所有者	マスターアカウントをセットアップした人物 (名義人) またはエンティティ。マスターアカウントが、 AWS Organizations の組織内の AWS 使用に対する支払いを行います。	マスターアカウントのみに対してすべての Billing and Cost Management リソースを完全に制御できます。 マスターアカウントとメンバーアカウントの両方に対する AWS 料金の毎月の請求を受け取ります。 マスターアカウントの請求レポートで、メンバーアカウントのアクティビティを参照できます。
組織のメンバーアカウント所有者	AWS Organizations で組織内のマスターアカウントがその使用に対して支払いを行う AWS アカウント。	使用状況レポートまたはアクティビティは、当のアカウントに関するもののみ参照できます。組織内の他のメンバーアカウントまたはマスターアカウントの使用状況レポートやアカウントアクティビティにはアクセスできません。 請求レポートを表示する権限はありません。 当のアカウントに関する情報のみ更新できます。その他のメンバーアカウントまたはマスターアカウントにはアクセスできません。

注記

組織のマスターアカウントおよびメンバーアカウントの詳細については、「AWS Organizations ユーザーガイド」を参照してください。

請求アクセス許可の説明

次の表は、IAM ユーザーの請求の情報およびツールへのアクセスを許可または拒否するために使用するアクセス許可をまとめたものです。これらのアクセス許可を使用するポリシーの例については、「請求およびコスト管理ポリシーの例」を参照してください。

アクセス許可名	説明
ViewBilling	次の [Billing and Cost Management] コンソールページを表示する権限を IAM ユーザーに与えるか拒否します。 請求ダッシュボード 請求書 コストエクスプローラー 予算 支払履歴 一括請求 設定 Credits 前払い (前払いの詳細については、「組織の一括請求」を参照してください)。
ModifyBilling	次の [Billing and Cost Management] コンソールページを変更する権限を IAM ユーザーに与えるか拒否します。 予算 一括請求 設定 Credits IAM ユーザーがこれらのコンソールページを変更できるようにするには、ModifyBilling と ViewBilling の両方を許可する必要があります。ポリシーの例については、例 6: 請求情報の変更を IAM ユーザーに許可する を参照してください。
ViewAccount	アカウント設定を表示するアクセス権限を IAM ユーザーに与えるか拒否します。
ModifyAccount	アカウント設定を変更するアクセス権限を IAM ユーザーに与えるか拒否します。 IAM ユーザーがアカウント設定を変更できるようにするには、ModifyAccount と ViewAccount の両方を許可する必要があります。 [Account Settings] コンソールページに対する IAM ユーザーアクセスを明示的に拒否するポリシーの例については、例 8: アカウント設定へのアクセスは拒否し、その他の請求および使用状況の情報へのフルアクセスは許可する を参照してください。
ViewBudget	予算を表示するアクセス権限を IAM ユーザーに与えるか拒否します。 IAM ユーザーに予算の表示を許可するには、ViewBilling も許可する必要があります。
ModifyBudget	予算を変更するアクセス権限を IAM ユーザーに許可または拒否します。 IAM ユーザーに予算の表示と変更を許可するには、ViewBilling も許可する必要があります。
ViewPaymentMethods	支払方法を表示するアクセス権限を IAM ユーザーに与えるか拒否します。
ModifyPaymentMethods	支払方法を変更するアクセス権限を IAM ユーザーに与えるか拒否します。 ユーザーが支払方法を変更できるようにするには、ModifyPaymentMethods と ViewPaymentMethods の両方を許可する必要があります。
DescribeReportDefinition	API を使用して のコストと使用状況レポート を表示するアクセス権限を IAM ユーザーに許可または拒否します。 ポリシーの例については、例 10: AWS のコストと使用状況レポートを作成、表示、または削除します。 を参照してください。
PutReportDefinitions	API を使用して のコストと使用状況レポート を作成するアクセス権限を IAM ユーザーに許可または拒否します。 ポリシーの例については、例 10: AWS のコストと使用状況レポートを作成、表示、または削除します。 を参照してください。
DeleteReportDefinition	API を使用して のコストと使用状況レポート を削除するアクセス権限を IAM ユーザーに許可または拒否します。 ポリシーの例については、例 10: AWS のコストと使用状況レポートを作成、表示、または削除します。 を参照してください。
ViewUsage	AWS 使用状況レポートを表示するアクセス権限を IAM ユーザーに許可または拒否します。 IAM ユーザーが使用状況レポートを表示できるようにするには、ViewUsage と ViewBilling の両方を許可する必要があります。 ポリシーの例については、例 2: [Reports] コンソールページへの IAM ユーザーアクセスを許可する を参照してください。

請求およびコスト管理ポリシーの例

このトピックには、アカウントの請求の情報とツールへのアクセスを制御するために IAM ユーザーまたはグループに適用できるポリシーの例が含まれています。次の基本ルールは IAM ポリシーに適用されます。

• Version は常に 2012-10-17 です。

• Effect は常に Allow または Deny です。

• Action はアクセス権を示し、ワイルドカード（*）を使用できます。

  コンソールの場合、中国ではアクションのプレフィックスは awsbillingconsole です。それ以外の場所では、aws-portal です。

  API の場合、アクションのプレフィックスは予算に対する budgets、または AWS のコストと使用状況レポートに対する cur です。

• コンソールの場合、Resource は常に * です。

  予算 API の場合、リソースは予算の ARN です。

• 1 つのポリシーで複数のステートメントを使用できます.

注記

これらのポリシーを使用するには、[Account Settings] コンソールページで AWS 請求およびコスト管理コンソールへの IAM ユーザーアクセスをアクティブ化する必要があります。IAM ユーザーアクセスのアクティブ化の詳細については、「Billing and Cost Management コンソールへのアクセスのアクティベート」を参照してください。

サンプルトピック

• 例 1: 請求情報の表示を IAM ユーザーに許可する

• 例 2: [Reports] コンソールページへの IAM ユーザーアクセスを許可する

• 例 3: Billing and Cost Management コンソールへの IAM ユーザーアクセスを拒否する

• 例 4: AWS サービスへのフルアクセスは許可するが、Billing and Cost Management コンソールへの IAM ユーザーアクセスは拒否する

• 例 5: アカウント設定以外の Billing and Cost Management コンソールの表示を IAM ユーザーに許可する

• 例 6: 請求情報の変更を IAM ユーザーに許可する

• 例 7: IAM ユーザーに予算の作成を許可する

• 例 8: アカウント設定へのアクセスは拒否し、その他の請求および使用状況の情報へのフルアクセスは許可する

• 例 9: レポートを Amazon S3 バケットにデポジットする

• 例 10: AWS のコストと使用状況レポートを作成、表示、または削除します。

例 1: 請求情報の表示を IAM ユーザーに許可する

アカウントの機密扱い情報 (パスワードやアカウントのアクティビティレポートなど) に対する IAM ユーザーアクセスを与えずに IAM ユーザーが請求情報を表示できるようにするには、次のサンプルポリシーのようなポリシーを使用します。このポリシーは、次の Billing and Cost Management コンソールページを表示する許可を IAM ユーザーに与えますが、[Account Settings] コンソールページと [Reports] コンソールページに対するアクセス権は与えません。

• Dashboard

• コストエクスプローラー

• Bills

• Payment History

• Consolidated Billing

• Preferences

• Credits

• Advance Payment

Copy
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:ViewBilling",
            "Resource": "*"
        }
    ]
}

例 2: [Reports] コンソールページへの IAM ユーザーアクセスを許可する

[Reports] コンソールページにアクセスし、アカウントアクティビティ情報を含む使用状況レポートを表示する許可を IAM ユーザーに与えるには、次のサンプルポリシーのようなポリシーを使用します。

Copy
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewUsage",
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        }
    ]
}

例 3: Billing and Cost Management コンソールへの IAM ユーザーアクセスを拒否する

すべての Billing and Cost Management コンソールページへの IAM ユーザーアクセスを明示的に拒否する場合は、このサンプルポリシーのようなポリシーを使用できます。

Copy
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "aws-portal:*",
            "Resource": "*"
        }
    ]
}

例 4: AWS サービスへのフルアクセスは許可するが、Billing and Cost Management コンソールへの IAM ユーザーアクセスは拒否する

このポリシーは、すべての AWS サービスへのフルアクセスを有効にしますが、Billing and Cost Management コンソール上のすべてに対する IAM ユーザーアクセスを拒否します。この場合、 AWS Identity and Access Management (IAM) へのユーザーアクセスを拒否して、請求の情報とツールに対するアクセスを制御するポリシーにユーザーがアクセスできないようにする必要もあります。

Copy
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "aws-portal:*",
                "iam:*"
            ],
            "Resource": "*"
        }
    ]
}

例 5: アカウント設定以外の Billing and Cost Management コンソールの表示を IAM ユーザーに許可する

アカウントのパスワード、連絡先情報、および秘密の質問を保護するために、[Account Settings] へのユーザーアクセスを拒否する一方で、Billing and Cost Management コンソールのその他の機能に対する読み取り専用アクセスを付与できます。このポリシーを IAM ユーザーに適用すると、ユーザーは、[Payments Method] コンソールページと [Reports] コンソールページを含むすべての Billing and Cost Management コンソールページを表示できますが、[Account Settings] への IAM ユーザーアクセスは拒否されます。

Copy
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:View*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "aws-portal:*Account",
            "Resource": "*"
        }
    ]
}

例 6: 請求情報の変更を IAM ユーザーに許可する

Billing and Cost Management コンソールのアカウント請求情報の変更を IAM ユーザーに許可するには、請求情報を表示する許可も IAM ユーザーに与える必要があります。次のポリシー例では、IAM ユーザーに[Consolidated Billing]、[Preferences] および [Credits] コンソールページの変更を許可します。さらに、次の Billing and Cost Management コンソールページを表示する許可を IAM ユーザーに与えます。

• Dashboard

• コストエクスプローラー

• Bills

• Payment History

• Advance Payment

Copy
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "aws-portal:*Billing",
            "Resource": "*"
        }
    ]
}

例 7: IAM ユーザーに予算の作成を許可する

このポリシーを適用するには、ユーザーが請求コンソールを表示する IAM アクセス権限を持っている必要があります。

組織で一括請求を使用している場合は、マスターアカウントのみが予算を作成および更新できます。個々のメンバーアカウントでは、予算の作成および管理をすることはできません。連結アカウントには、IAM ポリシーを使用して、予算への読み取り専用アクセスを許可できます。詳細については、「Controlling Access」を参照してください。

IAM ユーザーに Billing and Cost Management コンソールでの予算の作成を許可するには、IAM ユーザーに請求情報の表示、CloudWatch アラームの作成、Amazon SNS 通知の作成も許可する必要があります。次のポリシー例では、IAM ユーザーに [Budget] コンソールページの変更を許可します。

Copy
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1435216493000",
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling",
                "aws-portal:ModifyBilling",
                "budgets:ViewBudget",
                "budgets:ModifyBudget"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "Stmt1435216514000",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "Stmt1435216552000",
            "Effect": "Allow",
            "Action": [
                "sns:*"
            ],
            "Resource": [
                "arn:aws:sns:us-east-1"
            ]
        }
    ]
}

例 8: アカウント設定へのアクセスは拒否し、その他の請求および使用状況の情報へのフルアクセスは許可する

アカウントのパスワード、連絡先情報、および秘密の質問を保護するために、[Account Settings] への IAM ユーザーアクセスを拒否する一方で、Billing and Cost Management コンソールのその他の機能に対するフルアクセスを付与できます。

Copy
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:*Billing",
                "aws-portal:*Usage",
                "aws-portal:*PaymentMethods"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "aws-portal:*Account",
            "Resource": "*"
        }
    ]
}

例 9: レポートを Amazon S3 バケットにデポジットする

このポリシーは、Billing and Cost Management が詳細な AWS 請求を Amazon S3 バケットに保存することを許可します。これは、ユーザーが AWS アカウントと Amazon S3 バケットの両方を持っている場合にのみ許可されます。このポリシーは、IAM ユーザーではなく Amazon S3 バケットに適用する必要があります。つまり、これはリソースベースのポリシーであり、ユーザーベースのポリシーではありません。請求書にアクセスする必要がない IAM ユーザーのバケットへの IAM ユーザーアクセスは拒否する必要があります。

[bucketname] を実際のバケット名に置き換えます。

詳細については、「バケットポリシーとユーザーポリシーの使用」を参照してください。

Copy
{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Effect": "Allow",
    "Principal": {
      "AWS": "386209384616"
    },
    "Action": [
      "s3:GetBucketAcl",
      "s3:GetBucketPolicy"
    ],
    "Resource": "arn:aws:s3:::bucketname"
  },
  {
    "Effect": "Allow",
    "Principal": {
      "AWS": "386209384616"
    },
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::bucketname/*"
  }
  ]
}

例 10: AWS のコストと使用状況レポートを作成、表示、または削除します。

このポリシーにより、IAM ユーザーは API を使用して AWS のコストと使用状況レポートを作成、表示、または削除することが許可されます。

Copy
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cur:PutReportDefinitions",
                "cur:DescribeReportDefinition",
                "cur:DeleteReportDefinition"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}