Billing and Cost Management での Identity Based Policy (IAM ポリシー) の使用 - AWS Billing and Cost Management

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Billing and Cost Management での Identity Based Policy (IAM ポリシー) の使用

このトピックでは、アカウント管理者が IAM アイデンティティ (ユーザー、グループ、ロール) にアクセス権限ポリシーをアタッチして、Billing and Cost Management リソースでオペレーションを実行できるようにするアイデンティティベースのポリシーの例を示します。

AWS アカウントと IAM ユーザーの詳細については、「」を参照してください。IAM とは ()()IAM ユーザーガイド

カスタマー管理ポリシーを更新する方法については、「」を参照してください。カスタマー管理ポリシーの編集 (コンソール)()IAM ユーザーガイド

Billing and Cost Management アクションポリシー

次の表は、IAM ユーザーの請求の情報およびツールへのアクセスを許可または拒否するアクセス許可をまとめたものです。これらのアクセス許可を使用するポリシーの例については、「Billing and Cost Management ポリシーの例」を参照してください。

アクセス許可名 説明

aws-portal:ViewBilling

Billing and Cost Management コンソールページを表示するアクセス許可を IAM ユーザーに与えるか拒否します。

aws-portal:ModifyBilling

次の [Billing and Cost Management] コンソールページを変更する権限を IAM ユーザーに与えるか拒否します。

IAM ユーザーにこれらのコンソールページの変更を許可するには、ModifyBillingおよびViewBilling。ポリシーの例については、「IAM ユーザーに請求情報の変更を許可する」を参照してください。

aws-portal:ViewAccount

次の [Billing and Cost Management] コンソールページを表示する権限を IAM ユーザーに与えるか拒否します。

aws-portal:ModifyAccount

変更するアクセス権限を IAM ユーザーに与えるか拒否します。アカウント設定

アカウント設定の変更を IAM ユーザーに許可するには、両方のModifyAccountおよびViewAccount

IAM ユーザーに与えるアクセス権限を明示的に拒否するポリシーの例については、アカウント設定コンソールページの詳細については、アカウント設定へのアクセスは拒否し、その他の請求および使用状況の情報へのフルアクセスは許可する

budgets:ViewBudget

IAM ユーザーに与えるか拒否します。予算

IAM ユーザーに予算の表示を許可するには、も許可する必要があります。ViewBilling

budgets:ModifyBudget

変更するアクセス権限を IAM ユーザーに与えるか拒否します。予算

IAM ユーザーに予算の表示と変更を許可するには、も許可する必要があります。ViewBilling

aws-portal:ViewPaymentMethods

IAM ユーザーに与えるか拒否します。支払い方法

aws-portal:ModifyPaymentMethods

変更するアクセス権限を IAM ユーザーに与えるか拒否します。支払い方法

ユーザーに支払い方法の変更を許可するには、ModifyPaymentMethodsViewPaymentMethods の両方を許可する必要があります。

cur:DescribeReportDefinitions

AWS コストと使用状況レポートを表示するアクセス許可を IAM ユーザーに与えるか拒否します。

AWS Cost and Usage Reports アクセス許可は、AWS のコストと使用状況レポートサービスAPI と Billing and Cost Management コンソールを使用します。Billing and Cost Management コンソールを使用してレポートを作成する場合、IAM ユーザーのアクセス権限を更新することをお勧めします。アクセス権限を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権限を失うことになります。

ポリシーの例については、「レポートコンソールページへのアクセスを IAM ユーザーに与えるか許可する」を参照してください。

cur:PutReportDefinition

AWS コストと使用状況レポートレポートを作成するアクセス許可を IAM ユーザーに与えるか拒否します。

AWS Cost and Usage Reports アクセス許可は、AWS のコストと使用状況レポートサービスAPI と Billing and Cost Management コンソールを使用します。Billing and Cost Management コンソールを使用してレポートを作成する場合、IAM ユーザーのアクセス権限を更新することをお勧めします。アクセス権限を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権限を失うことになります。

ポリシーの例については、「レポートコンソールページへのアクセスを IAM ユーザーに与えるか許可する」を参照してください。

cur:DeleteReportDefinition

AWS コストと使用状況レポートレポートを削除するアクセス許可を IAM ユーザーに与えるか拒否します。

AWS Cost and Usage Reports アクセス許可は、AWS のコストと使用状況レポートサービスAPI と Billing and Cost Management コンソールを使用します。Billing and Cost Management コンソールを使用してレポートを作成する場合、IAM ユーザーのアクセス権限を更新することをお勧めします。アクセス権限を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権限を失うことになります。

ポリシーの例については、「AWS コストと使用状況レポートを作成、表示、編集、または削除します。」を参照してください。

cur:ModifyReportDefinition

AWS コストと使用状況レポートレポートを変更するアクセス許可を IAM ユーザーに与えるか拒否します。

AWS Cost and Usage Reports アクセス許可は、AWS のコストと使用状況レポートサービスAPI と Billing and Cost Management コンソールを使用します。Billing and Cost Management コンソールを使用してレポートを作成する場合、IAM ユーザーのアクセス権限を更新することをお勧めします。アクセス権限を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権限を失うことになります。

ポリシーの例については、「AWS コストと使用状況レポートを作成、表示、編集、または削除します。」を参照してください。

ce:GetPreferences

Cost Explorer の設定ページを表示するアクセス許可を IAM ユーザーに与えるか拒否します。

ポリシーの例については、「Cost Explorer 環境設定ページを表示および更新する」を参照してください。

ce:UpdatePreferences

IAM ユーザーにCost Explorer の設定ページを更新する権限を許可または拒否します。

ポリシーの例については、「Cost Explorer 環境設定ページを表示および更新する」を参照してください。

ce:DescribeReport

Cost Explorer レポートページを表示するアクセス許可を IAM ユーザーに与えるか拒否します。

ポリシーの例については、「[Cost Explorer] レポートページを使用して、表示、更新、削除を行います。」を参照してください。

ce:CreateReport

Cost Explorer レポートページを使用してレポートを作成する権限を IAM ユーザーに許可または拒否します。

ポリシーの例については、「[Cost Explorer] レポートページを使用して、表示、更新、削除を行います。」を参照してください。

ce:UpdateReport

Cost Explorer レポートページを使用して更新するアクセス許可を IAM ユーザーに許可または拒否します。

ポリシーの例については、「[Cost Explorer] レポートページを使用して、表示、更新、削除を行います。」を参照してください。

ce:DeleteReport

Cost Explorer レポートページを使用して、レポートを削除する権限を IAM ユーザーに許可または拒否します。

ポリシーの例については、「[Cost Explorer] レポートページを使用して、表示、更新、削除を行います。」を参照してください。

ce:DescribeNotificationSubscription

予約概要ページで Cost Explorer の予約有効期限アラートを表示するアクセス許可を IAM ユーザーに許可または拒否します。

ポリシーの例については、「予約およびSavings Plans に関するアラートの表示、作成、更新、削除」を参照してください。

ce:CreateNotificationSubscription

予約概要ページで、Cost Explorer 予約有効期限アラートを作成する権限を IAM ユーザーに許可または拒否します。

ポリシーの例については、「予約およびSavings Plans に関するアラートの表示、作成、更新、削除」を参照してください。

ce:UpdateNotificationSubscription

予約概要ページで、Cost Explorer 予約有効期限アラートを更新する権限を IAM ユーザーに許可または拒否します。

ポリシーの例については、「予約およびSavings Plans に関するアラートの表示、作成、更新、削除」を参照してください。

ce:DeleteNotificationSubscription

予約概要ページで、Cost Explorer 予約有効期限アラートを削除する権限を IAM ユーザーに許可または拒否します。

ポリシーの例については、「予約およびSavings Plans に関するアラートの表示、作成、更新、削除」を参照してください。

ce:CreateCostCategoryDefinition

コストカテゴリを作成するアクセス権限を IAM ユーザーに与えるか拒否します。

ポリシーの例については、「コストカテゴリの表示と管理」を参照してください。

ce:DeleteCostCategoryDefinition

コストカテゴリを削除するアクセス権限を IAM ユーザーに与えるか拒否します。

ポリシーの例については、「コストカテゴリの表示と管理」を参照してください。

ce:DescribeCostCategoryDefinition

コストカテゴリを表示するアクセス権限を IAM ユーザーに与えるか拒否します。

ポリシーの例については、「コストカテゴリの表示と管理」を参照してください。

ce:ListCostCategoryDefinitions

コストカテゴリを一覧表示するアクセス許可を IAM ユーザーに与えるか拒否します。

ポリシーの例については、「コストカテゴリの表示と管理」を参照してください。

ce:UpdateCostCategoryDefinition

コストカテゴリを更新するアクセス権限を IAM ユーザーに与えるか拒否します。

ポリシーの例については、「コストカテゴリの表示と管理」を参照してください。

ce:CreateAnomalyMonitor 単一のAWS Cost Anmary 検出モニタリング。
ce:GetAnomalyMonitors IAM ユーザーにすべてを表示するアクセス許可を IAM ユーザーに与えるか拒否します。AWS Cost Anmary 検出モニタリング。
ce:UpdateAnomalyMonitor IAM ユーザーに更新のアクセス許可を IAM ユーザーに与えるか拒否します。AWS Cost Anmary 検出モニタリング。
ce:DeleteAnomalyMonitor IAM ユーザーに削除のアクセス許可を IAM ユーザーに与えるか拒否します。AWS Cost Anmary 検出モニタリング。
ce:CreateAnomalySubscription の 1 つのサブスクリプションを作成するアクセス許可を IAM ユーザーに与えるか拒否します。AWS Cost Anmary 検出
ce:GetAnomalySubscriptions のすべてののサブスクリプションを表示するアクセス許可を IAM ユーザーに与えるか拒否します。AWS Cost Anmary 検出
ce:UpdateAnomalySubscription IAM ユーザーに更新のアクセス許可を IAM ユーザーに与えるか拒否します。AWS Cost Anmary 検出サブスクリプション。
ce:DeleteAnomalySubscription IAM ユーザーに削除のアクセス許可を IAM ユーザーに与えるか拒否します。AWS Cost Anmary 検出サブスクリプション。
ce:GetAnomalies すべてのの異常を表示するアクセス許可を IAM ユーザーに与えるか拒否します。AWS Cost Anmary 検出
ce:ProvideAnomalyFeedback

IAM ユーザーに検出されたAWS Cost Anmary 検出

aws-portal:ViewUsage

AWS 使用状況を表示するアクセス許可を IAM ユーザーに与えるか拒否します。レポート

使用状況レポートの表示を IAM ユーザーに与えるには、両方のViewUsageおよびViewBilling

ポリシーの例については、「レポートコンソールページへのアクセスを IAM ユーザーに与えるか許可する」を参照してください。

pricing:DescribeServices

AWS 価格表サービス API を使用して AWS サービスの製品と価格をで表示するアクセス権限を IAM ユーザーに許可または拒否します。

IAM ユーザーが AWS 価格表サービス API の使用を許可するには、DescribeServices,GetAttributeValues, およびGetProducts

ポリシーの例については、「製品と価格の検索」を参照してください。

pricing:GetAttributeValues

AWS 価格表サービス API を使用して AWS サービスの製品と価格をで表示するアクセス権限を IAM ユーザーに許可または拒否します。

IAM ユーザーが AWS 価格表サービス API の使用を許可するには、DescribeServices,GetAttributeValues, およびGetProducts

ポリシーの例については、「製品と価格の検索」を参照してください。

pricing:GetProducts

AWS 価格表サービス API を使用して AWS サービスの製品と価格をで表示するアクセス権限を IAM ユーザーに許可または拒否します。

IAM ユーザーが AWS 価格表サービス API の使用を許可するには、DescribeServices,GetAttributeValues, およびGetProducts

ポリシーの例については、「製品と価格の検索」を参照してください。

purchase-orders:ViewPurchaseOrders

IAM ユーザーに与えるか拒否します。発注書

ポリシーの例については、「発注書の表示と管理」を参照してください。

purchase-orders:ModifyPurchaseOrders

変更するアクセス権限を IAM ユーザーに与えるか拒否します。発注書

ポリシーの例については、「発注書の表示と管理」を参照してください。

管理ポリシー

管理ポリシーは、AWS アカウント内の複数のユーザー、グループ、ロールにアタッチできるスタンドアロンアイデンティティベースのポリシーです。AWS 管理ポリシーを使用して、Billing and Cost Management でアクセスを制御できます。

AWS 管理ポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS 管理ポリシーは、多くの一般的ユースケースでアクセス許可を付与できるように設計されています。AWS 管理ポリシーでは、ポリシーを自分で記述する場合よりも簡単に、適切なアクセス許可をユーザー、グループ、ロールに割り当てることができます。

AWS 管理ポリシーに定義されているアクセス許可は変更できません。AWS は、AWS 管理ポリシーに定義されているアクセス許可を不定期に更新します。行われた更新は、ポリシーがアタッチされているすべてのプリンシパルエンティティ (ユーザー、グループ、ロール) に影響します。

Billing and Cost Management では、一般的なユースケースに対していくつかの AWS 管理ポリシーが用意されています。

予算アクションを含む AWS Budgets へのフルアクセスを許可する

管理ポリシー名:AWSBudgetsActionsWithAWSResourceControlAccess

この管理ポリシーはユーザーに焦点を当てており、定義済みのアクションを実行するための AWS Budgets へのアクセス許可を付与する適切なアクセス許可があることを確認します。このポリシーは、AWS Budgets コンソールを使用して、ポリシーのステータスを取得し、AWS リソースを実行するための、予算アクションを含む AWS 予算へのフルアクセスを提供します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "budgets:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "budgets.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "aws-portal:ModifyBilling", "ec2:DescribeInstances", "iam:ListGroups", "iam:ListPolicies", "iam:ListRoles", "iam:ListUsers", "organizations:ListAccounts", "organizations:ListOrganizationalUnitsForParent", "organizations:ListPolicies", "organizations:ListRoots", "rds:DescribeDBInstances", "sns:ListTopics" ], "Resource": "*" } ] }

AWS Budgets に AWS リソースを制御する幅広いアクセス許可を許可する

管理ポリシー名:AWSBudgetsActionsRolePolicyForResourceAdministrationWithSSM

この管理ポリシーは、特定のアクションを完了するときに AWS Budgets がユーザーに代わって実行する特定のアクションに焦点を当てています。このポリシーは、AWS Budgets に AWS リソースを制御するための幅広いアクセス許可を付与します。たとえば、は AWS Systems Manager(SSM)スクリプトを実行して Amazon EC2 または Amazon RDS インスタンスを起動および停止します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "ssm.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ssm:StartAutomationExecution" ], "Resource": "*" } ] }