アクセス許可の管理の概要 - AWS 請求情報とコスト管理

アクセス許可の管理の概要

AWS Billing and Cost Management は AWS Identity and Access Management (IAM) サービスと連携することで、組織内の誰が AWS 請求およびコスト管理コンソールの特定のページにアクセスできるかを制御できるようにします。請求書、および料金、アカウントアクティビティ、予算、支払方法、クレジットに関する詳細情報へのアクセスを制御できます。

請求コンソールへのアクセスを有効にする方法の詳細については、IAM ユーザーガイドの「チュートリアル: 請求コンソールへのアクセス権の委任」を参照してください。

請求の情報およびツールへのアクセス許可

AWS アカウントの所有者は、アカウントのパスワードを使用して AWS マネジメントコンソール にサインインすることで、請求情報とツールにアクセスできます。アカウントへの日常的なアクセスにアカウントのパスワードを使用したり、特にアカウントの認証情報を他のユーザーと共有してアカウントへのアクセスを許可したりしないことをお勧めします。

代わりに、アカウントにアクセスする必要があるすべてのユーザーに対して IAM ユーザーと呼ばれる特別なユーザー ID を作成してください。これにより、ユーザー別のサインイン情報は異なるため、アカウントを使用するために必要なアクセス許可のみをユーザー別に付与できます。たとえば、請求の情報とツールの一部にアクセスできる制限されたアクセス許可を一部のユーザーに与え、すべての情報とツールに対する完全なアクセス許可を他のユーザーに与えることができます。(アカウント所有者も IAM ユーザー ID を使用してアカウントにアクセスすることをお勧めします。)

デフォルトでは、IAM ユーザーは AWS 請求およびコスト管理コンソールにアクセスできません。所有者またはアカウント管理者がユーザーにアクセスを許可する必要があります。これを行うには、Billing and Cost Management コンソールへの IAM ユーザーアクセスをアクティブにし、ユーザーに IAM ポリシーをアタッチします。管理ポリシーまたはカスタムポリシーのどちらでも使用できます。次に、IAM ポリシーを有効にするために IAM ユーザーアクセスをアクティブにします。IAM ユーザーアクセスを有効にする必要があるのは 1 回だけです。

注記

IAM は AWS アカウントの機能です。IAM と統合された製品にサインアップ済みである場合は、IAM にサインアップする必要はなく、料金が請求されることもありません。

Cost Explorerへのアクセス権限は、IAM ポリシーに関係なくすべてのアカウントと連結アカウントに適用されます。Cost Explorerへのアクセスの詳細については、「Cost Explorer へのアクセスの制御」を参照してください。

Billing and Cost Management コンソールへのアクセスのアクティブ化

アカウントの Billing and Cost Management コンソールへのアクセスを IAM ユーザーおよびロールに許可するには、その機能をアクティブにする必要があります。

重要

Billing and Cost Management コンソールへの IAM ユーザーアクセスをアクティベートするとき、既に AWS API にフルアクセスできるすべてのユーザーに対してフルアクセスを許可します。それらのユーザーのアクセスを制限するには、それらのアクセス権限を制限する IAM ポリシーを適用します。例を参照してください例 4: AWS サービスへのフルアクセスは許可するが、Billing and Cost Management コンソールへの IAM ユーザーのアクセスは拒否する

Billing and Cost Management コンソールへの IAM ユーザーおよびロールのアクセスをアクティブにするには

  1. ルートアカウント認証情報 (AWS アカウントの作成に使用した E メールアドレスとパスワード) で AWS マネジメントコンソール にサインインします。

  2. ナビゲーションバーでアカウント名を選択してから、[マイ アカウント] を選択します。

  3. [IAM ユーザー/ロールによる請求情報へのアクセス] の横で、[編集] を選択します。

  4. [Activate IAM Access] チェックボックスをオンにして、Billing and Cost Management ページへのアクセスをアクティブ化します。

  5. [Update (更新)] を選択します。

これで、IAM ポリシーを使用して、ユーザーがアクセスできるページを制御できるようになります。

IAM ユーザーアクセスをアクティブ化したら、特定の請求機能へのアクセスを許可または拒否する IAM ポリシーをアタッチできます。IAM ユーザーに請求およびコスト管理機能へのアクセスを許可するポリシーの使用については、「Billing and Cost Management でのアイデンティティベースのポリシー (IAM ポリシー) の使用」を参照してください。