アクセス許可の管理の概要
AWS Identity and Access Management (IAM) を使用すると、アカウント内または組織内の誰が AWS Billing コンソール
請求の情報およびツールへのアクセス許可
AWS アカウント を作成する場合は、このアカウントのすべての AWS のサービス とリソースに対して完全なアクセス権を持つ 1 つのサインインアイデンティティから始めます。この ID は AWS アカウント ルートユーザーと呼ばれ、アカウントの作成に使用した E メールアドレスとパスワードでサインインすることによってアクセスできます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザーの認証情報を保護し、それらを使用してルートユーザーのみが実行できるタスクを実行します。ルートユーザーとしてサインインする必要があるタスクの完全なリストについては、「IAM ユーザーガイド」の「ルートユーザー認証情報が必要なタスク」を参照してください。
代わりに、アカウントにアクセスする必要があるすべてのユーザーに対して IAM ユーザーと呼ばれる特別なユーザー ID を作成してください。これにより、ユーザー別のサインイン情報は異なるため、必要な許可のみをユーザー別に付与できます。
請求の情報とツールにアクセスできる制限付きアクセス許可を一部のユーザーに与え、他のユーザーに完全なアクセス許可を与えることができます。アカウントの所有者も IAM ユーザー ID を使用してアカウントにアクセスすることをお勧めします。
重要
デフォルトでは、IAM ユーザーには AWS Billing コンソール
IAM エンティティ (ユーザーやグループなど) に請求コンソールへのアクセス権を付与するには、以下を完了してください。
-
AWS アカウント ルートユーザーとして IAM アクセスをアクティブ化します。アカウントでこのアクションを実行する必要があるのは 1 回だけです。
-
ユーザー、グループ、ロールなどの IAM ID を作成します。
-
AWS 管理ポリシーを使用するか、請求コンソールでの特定のアクションにアクセス許可を付与するカスタマー管理ポリシーを作成します。詳細については、「AWS Billing でアイデンティティベースのポリシー (IAM ポリシー) を使用する」を参照してください。
ステップバイステップガイドについては、「IAM ユーザーガイド」の「IAM チュートリアル: 請求コンソールへのアクセス権の付与」を参照してください。
注記
Cost Explorer の許可は、IAM ポリシーに関係なくすべてのアカウントとメンバーアカウントに適用されます。詳細については、「AWS Cost Explorer へのアクセスの管理」を参照してください。
AWS Billing コンソールへの IAM アクセスについて
デフォルトでは、AWS アカウント 内の IAM ユーザーおよびロールは、請求コンソールページにアクセスできません。これは、IAM ユーザーまたはロールに、特定の請求機能へのアクセス権を付与する IAM ポリシーがある場合でも当てはまります。AWS アカウント ルートユーザーは [IAM アクセスのアクティブ化] の設定を使用してアクセス権を付与することができます。
請求コンソールへの IAM ユーザーおよびロールのアクセスを許可する各アカウントで、この設定をアクティベートします。AWS Organizations を使用する場合は、請求コンソールへの IAM ユーザーとロールのアクセスを許可する各管理アカウントまたはメンバーアカウントでこの設定をアクティベートします。
詳細については、「AWS 請求コンソールへの IAM アクセスのアクティブ化」を参照してください。
請求コンソールで、[IAM アクセスのアクティブ化] 設定により、以下のページへのアクセスを制御します。
-
ホーム
-
Cost Explorer
-
予算
-
Budgets レポート
-
AWS コストと使用状況レポート
-
Cost Categories
-
コスト配分タグ
-
請求書
-
支払い
-
クレジット
-
発注書
-
請求設定
-
支払い方法
-
税金設定
コスト管理コンソールで、[IAM アクセスのアクティブ化] 設定により、以下のページへのアクセスを制御します。
-
ホーム
-
Cost Explorer
-
レポート
-
適切なサイズ設定に関する推奨事項
-
Savings Plans に関する推奨事項
-
Savings Plans 使用率レポート
-
Savings Plans カバレッジレポート
-
予約の概要
-
予約の推奨事項
-
予約使用率レポート
-
予約カバレッジレポート
-
設定
重要
-
[IAM アクセスのアクティブ化] 設定だけでは、これらのページに必要な許可は IAM ユーザーとロールに付与されません。必要な IAM ポリシーをこれらのユーザーまたはロールにアタッチする必要があります。詳細については、「AWS Billing でアイデンティティベースのポリシー (IAM ポリシー) を使用する」を参照してください。
-
[IAM アクセスをアクティベートする] 設定は、管理者アクセス権を持つ IAM ユーザーでは使用できません。この設定は、AWS アカウント ルートユーザーのみが使用できます。
[IAM アクセスをアクティベートする] 設定では、次のページおよびリソースへのアクセスを制御しません。
-
AWS コスト異常検出、Savings Plans 概要、Savings Plans 在庫、Savings Plans 購入、Savings Plans カート、および顧客の検証のコンソールページ
-
AWS Console Mobile Application の [コスト管理] ビュー
-
請求 SDK API (AWS Cost Explorer、AWS Budgets、および AWS コストと使用状況レポート API)
-
AWS Management Console および AWS Systems Manager Application Manager のコストと使用状況ウィジェット
-
アカウントの SDK API