メニュー
AWS 請求情報とコスト管理
ユーザーガイド (Version 2.0)

Billing and Cost Management の権限リファレンス

このリファレンスは、Billing and Cost Management で請求ユーザーの種類ごとに許可されるデフォルトのアクション、および IAM ユーザーに適用できる請求アクセス権限をまとめたものです。また、IAM ユーザーによる請求情報およびツールへのアクセスを許可または拒否するために使用できるポリシーの例を提供します。

AWS アカウントと IAM ユーザーの詳細については、「IAM とは」(『IAM ユーザーガイド』)を参照してください。

ユーザーの種類と請求アクセス許可

この表は、Billing and Cost Management で請求ユーザーの種類ごとに許可されるデフォルトのアクションをまとめたものです。

ユーザータイプ 説明 請求に対する権限
アカウント所有者

AWS アカウントをセットアップした人物 (名義人) またはエンティティ。

  • すべての Billing and Cost Management リソースを完全に制御できます。

  • AWS 料金の毎月の請求書を受け取ります。

IAM ユーザー

アカウント所有者または管理ユーザーによって、AWS アカウントのユーザーとして定義された人物またはアプリケーション。アカウントには、複数の IAM ユーザーを含めることができます。

  • ユーザー単位またはユーザーグループ単位で明示的に付与された権限を有します。

  • Billing and Cost Management コンソールページを表示するアクセス許可が付与されます。詳細については、「Controlling Access」を参照してください。

  • AWS アカウントを解約することはできません。

組織のマスターアカウント所有者

AWS Organizations のマスターアカウントに関連付けられている個人または団体。マスターアカウントが、組織内のメンバーアカウントによる AWS 使用に対する支払いを行います。

  • マスターアカウントのみに対してすべての Billing and Cost Management リソースを完全に制御できます。

  • マスターアカウントとメンバーアカウントの両方に対する AWS 料金の毎月の請求を受け取ります。

  • マスターアカウントの請求レポートで、メンバーアカウントのアクティビティを参照できます。

組織のメンバーアカウント所有者

AWS Organizations のメンバーアカウントに関連付けられている個人または団体。マスターアカウントが、組織内のメンバーアカウントによる AWS 使用に対する支払いを行います。

  • 使用状況レポートまたはアクティビティは、当のアカウントに関するもののみ参照できます。組織内の他のメンバーアカウントまたはマスターアカウントの使用状況レポートやアカウントアクティビティにはアクセスできません。

  • 請求レポートを表示する権限はありません。

  • 自分のアカウントに関する情報のみ更新できます。その他のメンバーアカウントまたはマスターアカウントにはアクセスできません。

注記

組織のマスターアカウントおよびメンバーアカウントの詳細については、AWS Organizations ユーザーガイドを参照してください。

請求アクセス許可の説明

次の表は、IAM ユーザーの請求の情報およびツールへのアクセスを許可または拒否するために使用するアクセス許可をまとめたものです。これらのアクセス許可を使用するポリシーの例については、「Billing and Cost Management ポリシーの例」を参照してください。

アクセス許可名 説明

ViewBilling

以下の Billing and Cost Management コンソールのページを表示するアクセス権限を IAM ユーザーに許可または拒否します。

ModifyBilling

以下の Billing and Cost Management コンソールのページを変更するアクセス権限を IAM ユーザーに許可または拒否します。

IAM ユーザーにこれらのコンソールページの変更を許可するには、ModifyBillingViewBilling の両方を許可する必要があります。ポリシーの例については、「例 6: 請求情報の変更を IAM ユーザーに許可する」を参照してください。

ViewAccount

以下の Billing and Cost Management コンソールのページを表示するアクセス権限を IAM ユーザーに許可または拒否します。

ModifyAccount

アカウント設定を変更するアクセス権限を IAM ユーザーに与えるか拒否します。

IAM ユーザーにアカウント設定の変更を許可するには、ModifyAccountViewAccount の両方を許可する必要があります。

コンソールの [アカウント設定] ページへのアクセスを IAM ユーザーに明示的に拒否するポリシーの例については、「例 8: アカウント設定へのアクセスは拒否し、その他の請求および使用状況の情報へのフルアクセスは許可する」を参照してください。

ViewBudget

予算を表示するアクセス権限を IAM ユーザーに与えるか拒否します。

IAM ユーザーに予算の表示を許可するには、ViewBilling も許可する必要があります。

ModifyBudget

予算を変更するアクセス権限を IAM ユーザーに許可または拒否します。

IAM ユーザーに予算の表示および変更を許可するには、ViewBilling も許可する必要があります。

ViewPaymentMethods

支払方法を表示するアクセス権限を IAM ユーザーに与えるか拒否します。

ModifyPaymentMethods

支払方法を変更するアクセス権限を IAM ユーザーに与えるか拒否します。

ユーザーに支払い方法の変更を許可するには、ModifyPaymentMethodsViewPaymentMethods の両方を許可する必要があります。

DescribeReportDefinition

API を使用して AWS Cost and Usage Report を表示するアクセス権限を IAM ユーザーに許可または拒否します。

ポリシーの例については、「例 10: AWS Cost and Usage report を作成、表示、または削除する」を参照してください。

PutReportDefinitions

API を使用して AWS Cost and Usage Report を作成するアクセス権限を IAM ユーザーに許可または拒否します。

ポリシーの例については、「例 10: AWS Cost and Usage report を作成、表示、または削除する」を参照してください。

DeleteReportDefinition

API を使用して AWS Cost and Usage Report を削除するアクセス権限を IAM ユーザーに許可または拒否します。

ポリシーの例については、「例 10: AWS Cost and Usage report を作成、表示、または削除する」を参照してください。

ViewUsage

AWS 使用状況レポートを表示するアクセス権限を IAM ユーザーに許可または拒否します。

使用状況レポートの表示を IAM ユーザーに許可するには、ViewUsageViewBilling の両方を許可する必要があります。

ポリシーの例については、「例 2: [Reports] コンソールページへの IAM ユーザーのアクセスを許可する」を参照してください。

DescribeServices

AWS サービスの製品と価格を AWS Price List のサービス API で表示するアクセス権限を IAM ユーザーに許可または拒否します。

IAM ユーザーが AWS Price List のサービス API を使用できるようにするには、DescribeServicesGetAttributeValues、および GetProducts を許可する必要があります。

ポリシーの例については、「例 11: 製品と価格を検索する」を参照してください。

GetAttributeValues

AWS サービスの製品と価格を AWS Price List のサービス API で表示するアクセス権限を IAM ユーザーに許可または拒否します。

IAM ユーザーが AWS Price List のサービス API を使用できるようにするには、DescribeServicesGetAttributeValues、および GetProducts を許可する必要があります。

ポリシーの例については、「例 11: 製品と価格を検索する」を参照してください。

GetProducts

AWS サービスの製品と価格を AWS Price List のサービス API で表示するアクセス権限を IAM ユーザーに許可または拒否します。

IAM ユーザーが AWS Price List のサービス API を使用できるようにするには、DescribeServicesGetAttributeValues、および GetProducts を許可する必要があります。

ポリシーの例については、「例 11: 製品と価格を検索する」を参照してください。

Billing and Cost Management ポリシーの例

このトピックには、アカウントの請求の情報とツールへのアクセスを制御するために IAM ユーザーまたはグループに適用できるポリシーの例が含まれています。以下の基本ルールは IAM ポリシーに適用されます。

  • Version は常に 2012-10-17 です。

  • Effect は常に Allow または Deny です。

  • Action はアクセス権を示し、ワイルドカード (*) を使用できます。

    コンソールの場合、中国ではアクションのプレフィックスは awsbillingconsole です。それ以外の場所では、aws-portal です。

    API の場合、アクションのプレフィックスは予算の budgets、または AWS Cost and Usage report の cur です。

  • コンソールの場合、Resource は常に * です。

    予算 API の場合、リソースは予算の ARN です。

  • 1 つのポリシーで複数のステートメントを使用できます.

注記

これらのポリシーを使用するには、コンソールの [Account Settings (アカウント設定)] ページで Billing and Cost Management コンソールへの IAM アクセスを有効化する必要があります。IAM ユーザーアクセスの有効化の詳細については、「Billing and Cost Management コンソールへのアクセスのアクティベート」を参照してください。

例 1: 請求情報の表示を IAM ユーザーに許可する

アカウントの機密扱い情報 (パスワードやアカウントのアクティビティレポートなど) に対する IAM ユーザーアクセスを与えずに IAM ユーザーが請求情報を表示できるようにするには、次のサンプルポリシーのようなポリシーを使用します。このポリシーは、次の Billing and Cost Management コンソールページを表示する許可を IAM ユーザーに与えますが、[Account Settings] コンソールページと [Reports] コンソールページに対するアクセス権は与えません。

  • ダッシュボード

  • Cost Explorer

  • 請求書

  • 支払履歴

  • 一括請求

  • 設定

  • Credits

  • 前払い

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:ViewBilling", "Resource": "*" } ] }

例 2: [Reports] コンソールページへの IAM ユーザーのアクセスを許可する

コンソールの [Reports (レポート)] ページにアクセスして、アカウントアクティビティ情報が含まれている使用状況レポートを表示することを IAM ユーザーに許可するには、次の例のようなポリシーを使用します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:ViewUsage", "aws-portal:ViewBilling" ], "Resource": "*" } ] }

例 3: Billing and Cost Management コンソールへの IAM ユーザーのアクセスを拒否する

すべての Billing and Cost Management コンソールページへのアクセスを IAM ユーザーに明示的に拒否するには、次の例のようなポリシーを使用します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "aws-portal:*", "Resource": "*" } ] }

例 4: AWS サービスへのフルアクセスは許可するが、Billing and Cost Management コンソールへの IAM ユーザーのアクセスは拒否する

すべての AWS サービスへのフルアクセスを有効にするが、Billing and Cost Management コンソール上のすべてに対する IAM ユーザーアクセスを拒否するには、次のポリシーを使用します。この場合、AWS Identity and Access Management (IAM) へのアクセスをユーザーに拒否して、請求情報とツールへのアクセスを制御するポリシーにユーザーがアクセスできないようにします。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*" }, { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } ] }

例 5: Billing and Cost Management コンソールの表示 (アカウント設定は除く) を IAM ユーザーに許可する

アカウントのパスワード、連絡先情報、および秘密の質問を保護するには、[Account Settings (アカウント設定)] へのアクセスをユーザーに拒否する一方で、Billing and Cost Management コンソールのその他の機能に対する読み取り専用アクセスを許可します。このポリシーを IAM ユーザーに適用すると、ユーザーは、コンソールの [Payments Method (支払い方法)] ページと [Reports (レポート)] ページを含むすべての Billing and Cost Management コンソールページを表示できますが、[Account Settings (アカウント設定)] へのアクセスは拒否されます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:View*", "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }

例 6: 請求情報の変更を IAM ユーザーに許可する

Billing and Cost Management コンソールのアカウント請求情報の変更を IAM ユーザーに許可するには、請求情報を表示する許可も IAM ユーザーに与える必要があります。次のポリシーの例は、[Consolidated Billing]、[Preferences]、および [Credits] の各コンソールページを変更する許可を IAM ユーザーに付与します。さらに、次の Billing and Cost Management コンソールページを表示する許可を IAM ユーザーに与えます。

  • ダッシュボード

  • Cost Explorer

  • 請求書

  • 支払履歴

  • 前払い

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:*Billing", "Resource": "*" } ] }

例 7: IAM ユーザーに予算の作成を許可する

このポリシーを適用するには、Billing and Cost Management コンソールを表示する IAM アクセス許可がユーザーに必要です。

組織に所属している場合は、マスターアカウントのみが予算を作成および更新できます。個々のメンバーアカウントでは、予算の作成および管理をすることはできません。メンバーアカウントには、IAM ポリシーを使用して、予算への読み取り専用アクセスを許可できます。詳細については、「Controlling Access」を参照してください。

IAM ユーザーに Billing and Cost Management コンソールでの予算の作成を許可するには、IAM ユーザーに請求情報の表示、CloudWatch アラームの作成、Amazon SNS 通知の作成も許可する必要があります。次のポリシー例では、IAM ユーザーに [Budget] コンソールページの変更を許可します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1435216493000", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "aws-portal:ModifyBilling", "budgets:ViewBudget", "budgets:ModifyBudget" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216514000", "Effect": "Allow", "Action": [ "cloudwatch:*" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216552000", "Effect": "Allow", "Action": [ "sns:*" ], "Resource": [ "arn:aws:sns:us-east-1" ] } ] }

例 8: アカウント設定へのアクセスは拒否し、その他の請求および使用状況の情報へのフルアクセスは許可する

アカウントのパスワード、連絡先情報、秘密の質問を保護するには、IAM ユーザーに対して [Account Settings (アカウント設定)] へのアクセスを 拒否する一方で、Billing and Cost Management コンソールのその他の機能に対するフルアクセスを許可します。次に例を示します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:*Billing", "aws-portal:*Usage", "aws-portal:*PaymentMethods" ], "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }

例 9: レポートを Amazon S3 バケットにデポジットする

次のポリシーは、Billing and Cost Management が詳細な AWS 請求を Amazon S3 バケットに保存することを許可します。これは、ユーザーが AWS アカウントと Amazon S3 バケットの両方を持っている場合にのみ許可されます。このポリシーは、IAM ユーザーではなく Amazon S3 バケットに適用する必要があります。つまり、これはリソースベースのポリシーであり、ユーザーベースのポリシーではありません。請求書にアクセスする必要がない IAM ユーザーに対しては、バケットへの IAM ユーザーアクセスを拒否する必要があります。

[bucketname] を実際のバケット名に置き換えます。

詳細については、「バケットポリシーとユーザーポリシーの使用」を参照してください。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "386209384616" }, "Action": [ "s3:GetBucketAcl", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::bucketname" }, { "Effect": "Allow", "Principal": { "AWS": "386209384616" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucketname/*" } ] }

例 10: AWS Cost and Usage report を作成、表示、または削除する

このポリシーでは、API を使用した AWS Cost and Usage report の作成、表示、または削除を IAM ユーザーに許可します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cur:PutReportDefinitions", "cur:DescribeReportDefinition", "cur:DeleteReportDefinition" ], "Resource": [ "*" ] } ] }

例 11: 製品と価格を検索する

AWS Price List のサービス API の使用を IAM ユーザーに許可するには、次のポリシーを使用してアクセス権限を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "pricing:DescribeServices", "pricing:GetAttributeValues", "pricing:GetProducts" ], "Resource": [ "*" ] } ] }

例 12: コストと使用状況の表示

AWS Cost Explorer API の使用を IAM ユーザーに許可するには、次のポリシーを使用してアクセス権限を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:*" ], "Resource": [ "*" ] } ] }