でのアイデンティティベースのポリシー (IAM ポリシー) の使用Billing and Cost Management - AWS Billing and Cost Management

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

でのアイデンティティベースのポリシー (IAM ポリシー) の使用Billing and Cost Management

このトピックでは、アイデンティティベースのポリシーの例として、アカウント管理者が IAM ID (ユーザー、グループ、ロール) にアクセス許可ポリシーをアタッチし、これによりアクセス権限を付与して Billing and Cost Management リソースに対するオペレーションの実行を許可する方法を示します。

アカウントと AWS ユーザーの詳細については、IAM の「IAM とは」を参照してください。IAM ユーザーガイド

カスタマー管理ポリシーを更新する方法については、https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console の「カスタマー管理ポリシーの編集 (コンソール)IAM ユーザーガイド」を参照してください。

Billing and Cost Management アクションポリシー

次の表は、IAM ユーザーの請求の情報およびツールへのアクセスを許可または拒否するアクセス許可をまとめたものです。これらのアクセス許可を使用するポリシーの例については、「」を参照してください。Billing and Cost Management ポリシーの例.

アクセス許可名 説明

aws-portal:ViewBilling

IAM コンソールのページを表示するアクセス権限を Billing and Cost Management ユーザーに許可または拒否します。

aws-portal:ModifyBilling

以下の IAM コンソールのページを変更するアクセス権限を Billing and Cost Management ユーザーに許可または拒否します。

ユーザーにこれらのコンソールページの変更を許可するには、IAM と ModifyBilling の両方を許可する必要があります。ViewBilling ポリシーの例については、「請求情報の変更を IAM ユーザーに許可する」を参照してください。

aws-portal:ViewAccount

以下の IAM コンソールのページを表示するアクセス権限を Billing and Cost Management ユーザーに許可または拒否します。

aws-portal:ModifyAccount

IAMアカウント設定を変更するアクセス権限を . ユーザーに与えるか拒否します。

IAM ユーザーにアカウント設定の変更を許可するには、ModifyAccountViewAccount. の両方を許可する必要があります。

コンソールの [IAMアカウント設定] ページへのアクセスを ユーザーに明示的に拒否するポリシーの例については、「アカウント設定へのアクセスを拒否するが、その他すべての請求および使用状況情報へのフルアクセスを許可する」を参照してください。

budgets:ViewBudget

IAM予算を表示するアクセス権限を . ユーザーに与えるか拒否します。

IAM ユーザーに予算の表示を許可するには、ViewBilling. も許可する必要があります。

budgets:ModifyBudget

IAM予算を変更するアクセス権限を . ユーザーに許可または拒否します。

IAM ユーザーに予算の表示および変更を許可するには、ViewBilling. も許可する必要があります。

aws-portal:ViewPaymentMethods

IAM支払方法を表示するアクセス権限を . ユーザーに与えるか拒否します。

aws-portal:ModifyPaymentMethods

IAM支払方法を変更するアクセス権限を . ユーザーに与えるか拒否します。

ユーザーに支払い方法の変更を許可するには、ModifyPaymentMethodsViewPaymentMethods. の両方を許可する必要があります。

cur:DescribeReportDefinitions

IAM を表示するアクセス許可を AWS Cost and Usage Reports. ユーザーに許可するかまたは拒否します。

AWS Cost and Usage Reports アクセス許可は、AWS Cost and Usage Reports サービス API と Billing and Cost Management コンソールを使用して作成されたすべてのレポートに適用されます。Billing and Cost Management コンソールを使用してレポートを作成する場合、IAM ユーザーのアクセス権限を更新することをお勧めします。アクセス権限を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権限を失うことになります。

ポリシーの例については、「」を参照してください。[Reports] コンソールページへのアクセスを IAM ユーザーに許可する.

cur:PutReportDefinition

IAM を作成するアクセス許可を AWS Cost and Usage Reports. ユーザーに許可または拒否します。

AWS Cost and Usage Reports アクセス許可は、AWS Cost and Usage Reports サービス API と Billing and Cost Management コンソールを使用して作成されたすべてのレポートに適用されます。Billing and Cost Management コンソールを使用してレポートを作成する場合、IAM ユーザーのアクセス権限を更新することをお勧めします。アクセス権限を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権限を失うことになります。

ポリシーの例については、「」を参照してください。[Reports] コンソールページへのアクセスを IAM ユーザーに許可する.

cur:DeleteReportDefinition

IAM を削除するアクセス許可を AWS Cost and Usage Reports. ユーザーに許可または拒否します。

AWS Cost and Usage Reports アクセス許可は、AWS Cost and Usage Reports サービス API と Billing and Cost Management コンソールを使用して作成されたすべてのレポートに適用されます。Billing and Cost Management コンソールを使用してレポートを作成する場合、IAM ユーザーのアクセス権限を更新することをお勧めします。アクセス権限を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権限を失うことになります。

ポリシーの例については、「」を参照してください。を作成、表示、編集、または削除するAWS Cost and Usage Reports.

cur:ModifyReportDefinition

IAM を変更するアクセス許可を AWS Cost and Usage Reports. ユーザーに許可するかまたは拒否します。

AWS Cost and Usage Reports アクセス許可は、AWS Cost and Usage Reports サービス API と Billing and Cost Management コンソールを使用して作成されたすべてのレポートに適用されます。Billing and Cost Management コンソールを使用してレポートを作成する場合、IAM ユーザーのアクセス権限を更新することをお勧めします。アクセス権限を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権限を失うことになります。

ポリシーの例については、「」を参照してください。を作成、表示、編集、または削除するAWS Cost and Usage Reports.

ce:GetPreferences

設定ページを表示するアクセス権限を IAM ユーザーに許可または拒否します。Cost Explorer

ポリシーの例については、「」を参照してください。設定ページの表示と更新Cost Explorer.

ce:UpdatePreferences

設定ページを更新するアクセス権限を IAM ユーザーに許可または拒否します。Cost Explorer

ポリシーの例については、「」を参照してください。設定ページの表示と更新Cost Explorer.

ce:DescribeReport

レポートページを表示するアクセス許可を IAM ユーザーに許可または拒否します。Cost Explorer

ポリシーの例については、「」を参照してください。レポートページを使用しての表示、作成、更新、削除Cost Explorer.

ce:CreateReport

レポートページを使用してレポートを作成するアクセス許可を IAM ユーザーに許可または拒否します。Cost Explorer

ポリシーの例については、「」を参照してください。レポートページを使用しての表示、作成、更新、削除Cost Explorer.

ce:UpdateReport

レポートページを使用して IAM ユーザーを更新するアクセス許可を許可または拒否します。Cost Explorer

ポリシーの例については、「」を参照してください。レポートページを使用しての表示、作成、更新、削除Cost Explorer.

ce:DeleteReport

レポートページを使用してレポートを削除するアクセス許可を IAM ユーザーに許可または拒否します。Cost Explorer

ポリシーの例については、「」を参照してください。レポートページを使用しての表示、作成、更新、削除Cost Explorer.

ce:DescribeNotificationSubscription

予約の概要ページで IAM 予約の有効期限アラートを表示するアクセス許可を Cost Explorer ユーザーに許可または拒否します。

ポリシーの例については、「」を参照してください。予約と Savings Plans アラートの表示、作成、更新、削除.

ce:CreateNotificationSubscription

予約の概要ページで IAM 予約の有効期限アラートを作成するアクセス許可を Cost Explorer ユーザーに許可または拒否します。

ポリシーの例については、「」を参照してください。予約と Savings Plans アラートの表示、作成、更新、削除.

ce:UpdateNotificationSubscription

予約の概要ページで IAM 予約の有効期限アラートを更新するアクセス権限を Cost Explorer ユーザーに許可または拒否します。

ポリシーの例については、「」を参照してください。予約と Savings Plans アラートの表示、作成、更新、削除.

ce:DeleteNotificationSubscription

予約の概要ページで IAM 予約の有効期限アラートを削除するアクセス許可を Cost Explorer ユーザーに許可または拒否します。

ポリシーの例については、「」を参照してください。予約と Savings Plans アラートの表示、作成、更新、削除.

ce:CreateCostCategoryDefinition

コストカテゴリを作成するアクセス許可を IAM ユーザーに許可または拒否します。

ポリシーの例については、「」を参照してください。コストカテゴリCost Categories.

ce:DeleteCostCategoryDefinition

コストカテゴリを削除するアクセス許可を IAM ユーザーに許可または拒否します。

ポリシーの例については、「」を参照してください。コストカテゴリCost Categories.

ce:DescribeCostCategoryDefinition

コストカテゴリを表示するアクセス許可を IAM ユーザーに許可または拒否します。

ポリシーの例については、「」を参照してください。コストカテゴリCost Categories.

ce:ListCostCategoryDefinitions

コストカテゴリを一覧表示するアクセス許可を IAM ユーザーに許可または拒否します。

ポリシーの例については、「」を参照してください。コストカテゴリCost Categories.

ce:UpdateCostCategoryDefinition

コストカテゴリを更新するアクセス許可を IAM ユーザーに許可または拒否します。

ポリシーの例については、「」を参照してください。コストカテゴリCost Categories.

ce:CreateAnomalyMonitor AWS のコストの異常検出IAMモニタリングを 1 つ作成するアクセス許可を ユーザーに許可または拒否します。
ce:GetAnomalyMonitors すべての [IAMAWS Cost Anomaly Detection] モニターを表示するアクセス権限を ユーザーに許可または拒否します。
ce:UpdateAnomalyMonitor [IAMAWS Cost Anomaly Detection] モニターを更新するアクセス許可を ユーザーに許可または拒否します。
ce:DeleteAnomalyMonitor [IAMAWS Cost Anomaly Detection] モニターを削除するアクセス許可を ユーザーに許可または拒否します。
ce:CreateAnomalySubscription [IAMAWS Cost Anomaly Detection] のサブスクリプションを 1 つだけ作成するアクセス許可を ユーザーに許可または拒否します。
ce:GetAnomalySubscriptions [IAMAWS Cost Anomaly Detection] のすべてのサブスクリプションを表示するアクセス権限を ユーザーに許可または拒否します。
ce:UpdateAnomalySubscription [IAMAWS のコストの異常検出] サブスクリプションを更新するアクセス許可を ユーザーに許可または拒否します。
ce:DeleteAnomalySubscription AWS のコストの異常検出IAMサブスクリプションを削除するアクセス許可を ユーザーに許可または拒否します。
ce:GetAnomalies [IAMAWS Cost Anomaly Detection] のすべての異常を表示するアクセス権限を ユーザーに許可または拒否します。
ce:ProvideAnomalyFeedback

検出された IAMAWS のコストの異常検出に関するフィードバックを提供するアクセス許可を ユーザーに許可または拒否します。

aws-portal:ViewUsage

IAM 使用状況AWSレポートを表示するアクセス権限を . ユーザーに許可または拒否します。

使用状況レポートの表示を IAM ユーザーに許可するには、ViewUsageViewBilling. の両方を許可する必要があります。

ポリシーの例については、「」を参照してください。[Reports] コンソールページへのアクセスを IAM ユーザーに許可する.

pricing:DescribeServices

IAM サービスの製品と価格を AWS で表示するアクセス権限を AWS Price List Service API. ユーザーに許可または拒否します。

ユーザーが IAM を使用できるようにするには、AWS Price List Service API、DescribeServices、および GetAttributeValues を許可する必要があります。GetProducts

ポリシーの例については、「」を参照してください。製品と価格の検索.

pricing:GetAttributeValues

IAM サービスの製品と価格を AWS で表示するアクセス権限を AWS Price List Service API. ユーザーに許可または拒否します。

ユーザーが IAM を使用できるようにするには、AWS Price List Service API、DescribeServices、および GetAttributeValues を許可する必要があります。GetProducts

ポリシーの例については、「」を参照してください。製品と価格の検索.

pricing:GetProducts

IAM サービスの製品と価格を AWS で表示するアクセス権限を AWS Price List Service API. ユーザーに許可または拒否します。

ユーザーが IAM を使用できるようにするには、AWS Price List Service API、DescribeServices、および GetAttributeValues を許可する必要があります。GetProducts

ポリシーの例については、「」を参照してください。製品と価格の検索.

purchase-orders:ViewPurchaseOrders

Purchase OrdersIAM を表示するアクセス権限を ユーザーに許可または拒否します。

ポリシーの例については、「」を参照してください。発注書の表示と管理.

purchase-orders:ModifyPurchaseOrders

Purchase OrdersIAM を変更するアクセス権限を ユーザーに許可または拒否します。

ポリシーの例については、「」を参照してください。発注書の表示と管理.

管理ポリシー

管理ポリシーは、AWS アカウント内の複数のユーザー、グループ、およびロールにアタッチできるスタンドアロンアイデンティティベースのポリシーです。でアクセスを制御するには、AWS 管理ポリシーを使用します。Billing and Cost Management

管理ポリシーは、AWS によって作成および管理されるスタンドアロンのポリシーです。AWS 管理ポリシーは、多くの一般的ユースケースでアクセス許可を提供できるように設計されています。AWS 管理ポリシーでは、ポリシーを自身で記述する場合よりも簡単に、適切なアクセス許可をユーザー、グループ、およびロールに割り当てることができます。AWS

管理ポリシーで定義されているアクセス許可は変更できません。AWS は、AWS 管理ポリシーで定義されているアクセス許可を不定期に更新します。AWS行われた更新は、ポリシーがアタッチされているすべてのプリンシパルエンティティ (ユーザー、グループ、ロール) に影響します。

Billing and Cost Management には、一般的ユースケースに対して複数の AWS 管理ポリシーが用意されています。

予算アクションを含む AWS Budgets へのフルアクセスを許可します

管理ポリシー名: AWSBudgetsActionsWithAWSResourceControlAccess

この管理ポリシーはユーザーに集中することで、定義したアクションを実行するためのアクセス許可を AWS Budgets に付与する適切なアクセス許可を確実にユーザーに与えます。このポリシーは、予算アクションを含む AWS Budgets へのフルアクセスを提供し、ポリシーのステータスを取得して、AWS を使用して AWS マネジメントコンソール リソースを実行します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "budgets:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "budgets.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "aws-portal:ModifyBilling", "ec2:DescribeInstances", "iam:ListGroups", "iam:ListPolicies", "iam:ListRoles", "iam:ListUsers", "organizations:ListAccounts", "organizations:ListOrganizationalUnitsForParent", "organizations:ListPolicies", "organizations:ListRoots", "rds:DescribeDBInstances", "sns:ListTopics" ], "Resource": "*" } ] }

リソースを制御する広範なアクセス許可を AWS Budgets に許可します。AWS

管理ポリシー名: AWSBudgetsActionsRolePolicyForResourceAdministrationWithSSM

この管理ポリシーは、特定のアクションを完了するときに AWS Budgets がユーザーに代わって実行する特定のアクションに焦点を当てています。このポリシーは、AWS Budgets リソースを制御する広範なアクセス許可を AWS に付与します。たとえば、Amazon EC2 Systems Manager (SSM) スクリプトを実行して、Amazon RDS または AWS インスタンスを起動および停止します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "ssm.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ssm:StartAutomationExecution" ], "Resource": "*" } ] }