アクセス許可の管理の概要 - AWS Billing and Cost Management

アクセス許可の管理の概要

AWS Billing and Cost Management は AWS Identity and Access Management (IAM) サービスと連携することで、組織内の誰が AWS Billing and Cost Management コンソールの特定のページにアクセスできるかを制御できるようにします。請求書、および料金、アカウントアクティビティ、予算、支払方法、クレジットに関する詳細情報へのアクセスを制御できます。

請求情報とコスト管理コンソールへのアクセスをアクティベートする手順については、IAM ユーザーガイドの「チュートリアル: 請求コンソールへのアクセス権の委任」を参照してください。

請求の情報およびツールへのアクセス許可

AWS アカウントの所有者は、アカウントのパスワードを使用して AWS Management Console にサインインすることで、請求情報とツールにアクセスできます。アカウントへの日常的なアクセスにアカウントのパスワードを使用したり、アカウントの認証情報を他のユーザーと共有したりすることはお勧めしません。

代わりに、アカウントにアクセスする必要があるすべてのユーザーに対して IAM ユーザーと呼ばれる特別なユーザー ID を作成してください。これにより、ユーザー別のサインイン情報は異なるため、必要な許可のみをユーザー別に付与できます。具体的には、請求の情報とツールの一部への制限されたアクセス権を一部のユーザーに付与できます。次に、すべての情報とツールへの完全なアクセス権を他のユーザーに付与できます。(アカウントの所有者も IAM ユーザー ID を使用してアカウントにアクセスすることもお勧めします。)

デフォルトでは、IAM ユーザーには AWS Billing and Cost Management コンソールへのアクセス権がありません。所有者またはアカウント管理者がユーザーにアクセスを許可する必要があります。これを行うには、請求情報とコスト管理コンソールへの IAM ユーザーアクセスをアクティベートし、IAM ポリシーをユーザーにアタッチします。管理ポリシーまたはカスタムポリシーのどちらでも使用できます。その後、IAM ポリシーを有効にするには、IAM ユーザーアクセスをアクティベートする必要があります。IAM ユーザーアクセスのアクティベートは一度のみ必要です。

注記

IAM は AWS アカウントの機能です。IAM と統合された製品にサインアップ済みである場合は、IAM にサインアップするために、他に何もする必要はありません。また、IAM の使用に対して料金が請求されることもありません。

Cost Explorer の許可は、IAM ポリシーに関係なくすべてのアカウントとメンバーアカウントに適用されます。Cost Explorer へのアクセスの詳細については、「Cost Explorer アクセスを制御する」を参照してください。

請求情報とコスト管理コンソールへのアクセスをアクティベートする

デフォルトでは、AWS アカウント内の IAM ユーザーおよびロールは、請求情報とコスト管理コンソールページにアクセスできません。これは、IAM ユーザーまたはロールに、特定の請求情報とコスト管理機能へのアクセス権を付与する IAM ポリシーがある場合でも当てはまります。AWS アカウントのルートユーザーは、[IAM アクセスをアクティベートする] 設定を使用して、IAM ユーザーおよびロールに、請求情報とコスト管理コンソールページへのアクセスを許可できます。

請求コンソールで、[IAM アクセスをアクティベートする] 設定により、以下のページへの IAM ユーザーとロールのアクセスを制御します。

  • ホーム

  • Cost Explorer

  • 予算

  • Budgets レポート

  • AWS コストと使用状況レポート

  • Cost Categories

  • コスト配分タグ

  • 請求書

  • 支払い

  • クレジット

  • 発注書

  • 請求設定

  • 支払い方法

  • 税金設定

コスト管理コンソールで、[IAM アクセスをアクティベートする] 設定により、以下のページへの IAM ユーザーとロールのアクセスを制御します。

  • ホーム

  • Cost Explorer

  • レポート

  • 適切なサイズ設定に関する推奨事項

  • Savings Plans に関する推奨事項

  • Savings Plans 使用率レポート

  • Savings Plans カバレッジレポート

  • 予約の概要

  • 予約の推奨事項

  • 予約使用率レポート

  • 予約カバレッジレポート

  • 設定

重要

IAM アクセスをアクティベートするだけでは、これらの請求情報と予算管理コンソールページに必要な許可は IAM ユーザーとロールに付与されません。IAM アクセスのアクティベートに加えて、必要な IAM ポリシーをこれらのユーザーまたはロールにアタッチする必要があります。詳細については、「請求情報とコスト管理での ID ベースのポリシー (IAM ポリシー) の使用」を参照してください。

[IAM アクセスをアクティベートする] 設定では、次のページおよびリソースへのアクセスを制御しません。

  • AWS コスト異常検出、Savings Plans 概要、Savings Plans 在庫、Savings Plans 購入および Savings Plans カートのコンソールページ

  • AWS Console Mobile Applicationの [コスト管理] ビュー

  • 請求情報とコスト管理 SDK API (AWS Cost Explorer、AWS Budgets、および AWS コストと使用状況レポート API)

[IAM アクセスをアクティベートする] 設定をアクティベートするには、ルートユーザーの認証情報を使用して AWS アカウントにログインしてから、マイアカウントページで設定を選択する必要があります。請求情報とコスト管理コンソールページへの IAM ユーザーおよびロールのアクセスを許可する各アカウントで、この設定をアクティベートします。AWS Organizations を使用する場合は、コンソールページへの IAM ユーザーとロールのアクセスを許可する各管理アカウントまたはメンバーアカウントでこの設定をアクティベートします。

注記

[IAM アクセスをアクティベートする] 設定は、管理者アクセス権を持つ IAM ユーザーでは使用できません。この設定は、アカウントのルートユーザーのみが使用できます。

[IAM アクセスをアクティベートする] 設定がアクティベートされていない場合、アカウントの IAM ユーザーおよびロールは請求情報とコスト管理コンソールページにアクセスできません。これは、管理者アクセス権または必要な IAM ポリシーがある場合でも当てはまります。

請求情報とコスト管理コンソールへの IAM ユーザーおよびロールのアクセスをアクティベートするには

  1. ルートアカウント認証情報 (具体的には、AWS アカウントの作成に使用した E メールアドレスとパスワード) で AWS マネジメントコンソール にサインインします。

  2. ナビゲーションバーでアカウント名を選択してから、[マイアカウント] を選択します。

  3. [IAM User and Role Access to Billing Information] の横で、[Edit] を選択します。

  4. [IAM アクセスをアクティベート] チェックボックスをオンにして、請求情報とコスト管理コンソールページへのアクセスをアクティベートします。

  5. [Update (更新)] を選択します。

IAM アクセスをアクティベートした後は、必要な IAM ポリシーを IAM ユーザーまたはロールにアタッチする必要もあります。IAM ポリシーでは、特定の請求情報とコスト管理機能へのアクセス権を付与または拒否できます。詳細については、「請求情報とコスト管理での ID ベースのポリシー (IAM ポリシー) の使用」を参照してください。