AWS Billing向けのアクセスコントロールの移行

注記

次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。

• aws-portal 名前空間

• purchase-orders:ViewPurchaseOrders

• purchase-orders:ModifyPurchaseOrders

を使用している場合は AWS Organizations、一括ポリシー移行スクリプトを使用して支払いアカウントからポリシーを更新できます。また、従来のアクションから詳細なアクションへのマッピングのリファレンスを使用して、追加する必要のある IAM アクションを検証することもできます。

詳細については、、、AWS Billingアカウントコンソール権限の変更に関するブログをご覧ください。 AWS Cost Management

2023 年 3 月 6 日午前 11 時 (PDT) AWS Organizations 以降に作成された、または CREATED に参加している場合、詳細なアクションはすでに組織内で実施されています。 AWS アカウント

きめ細かいアクセス制御を使用して、組織内の個人にサービスへのアクセスを提供できます。 AWS Billing and Cost Management 例えば、Billing and Cost Management コンソールへのアクセスを提供せずに Cost Explorer へのアクセスを提供できます。

きめ細かなアクセス制御を使用するには、ポリシーを aws-portal から新しい IAM アクションに移行する必要があります。

アクセス許可ポリシーまたはサービスコントロールポリシー (SCP) の次の IAM アクションは、この移行で更新する必要があります。

• aws-portal:ViewAccount

• aws-portal:ViewBilling

• aws-portal:ViewPaymentMethods

• aws-portal:ViewUsage

• aws-portal:ModifyAccount

• aws-portal:ModifyBilling

• aws-portal:ModifyPaymentMethods

• purchase-orders:ViewPurchaseOrders

• purchase-orders:ModifyPurchaseOrders

[Affected policies] (影響を受けるポリシー) ツールを使用して影響を受ける IAM ポリシーを特定する方法については、「影響を受けるポリシーツールの使用方法」を参照してください。

注記

コストレポート、使用状況レポート AWS Cost Explorer、 AWS AWS 予算への API アクセスは影響を受けません。

請求情報とコスト管理コンソールへのアクセスをアクティベートする 変更しないでください。

トピック

• アクセス許可の管理
• 影響を受けるポリシーツールの使用方法
• スクリプトを使用して詳細な IAM の  アクションを使用するポリシーを一括移行する
• 詳細な IAM アクションのリファレンスのマッピング

アクセス許可の管理

AWS Billing は AWS Identity and Access Management (IAM) サービスと統合されているため、組織内の誰がBilling and Cost Management コンソールの特定のページにアクセスできるかを制御できます。この対象としては、支払い、請求、クレジット、無料利用枠、支払いの詳細設定、一括請求、税金設定、アカウントページなど各機能のページが含まれます。

Billing and Cost Management コンソールをきめ細かく制御するには、以下の IAM アクセス許可を使用してください。

アクセス許可を詳細に設定するには、aws-portal ポリシーを account、billing、payments、freetier、invoicing、tax、consolidatedbilling に置き換えて使用します。

加えて、purchase-orders:ViewPurchaseOrders およびpurchase-orders:ModifyPurchaseOrders は、purchase-orders、account、および payments での、きめ細かなアクションで置き換えます。

きめ細かいアクションを使用する AWS Billing

次の表では、請求の情報へのアクセスを、IAM ユーザーおよびロールに対し付与する (あるいは拒否する) ための許可をまとめています。これらのアクセス許可を使用するポリシーの例については、「AWS 請求ポリシーの例」を参照してください。

AWS Cost Management コンソールのアクションのリストについては、『ユーザーガイド』の「AWS Cost Management アクションポリシー」を参照してください。AWS Cost Management

Billing and Cost Management コンソールの機能名	IAM アクション	説明
請求ホーム	account:GetAccountInformation billing:Get* payments:List* tax:List*	[ホーム] ページを閲覧するアクセス許可を付与します。これらは読み取り専用のアクセス許可です。 注記 これらはコンソール専用のアクセス許可です。これらのアクセス許可に対しては、API によりアクセスすることはできません。
請求書	account:GetAccountInformation billing:Get* consolidatedbilling:Get* consolidatedbilling:List* invoicing:List* payments:List*	[請求] ページを閲覧するアクセス許可を付与します。これらは読み取り専用のアクセス許可です。 注記 これらはコンソール専用のアクセス許可です。これらのアクセス許可に対しては、API によりアクセスすることはできません。
	invoicing:Get*	[請求] ページから請求書をダウンロードするアクセス許可を付与します。 注記 これはコンソール専用のアクセス許可です。このアクセス許可に対しては、API によりアクセスすることはできません。
	cur:Get*	[請求] ページから CSV レポートをダウンロードするアクセス許可を付与します。 注記 これはコンソール専用のアクセス許可です。このアクセス許可に対しては、API によりアクセスすることはできません。
	billing:ListBillingViews	ARN AWS Billing Conductor 作成された各請求グループの説明を閲覧する権限を付与します。これは、特定のグループ向けのレポート設定を作成する際に必要です。 注記 これはコンソール専用のアクセス許可です。このアクセス許可に対しては、API によりアクセスすることはできません。
支払い	account:GetAccountInformation billing:Get* payments:Get* payments:List*	[支払い] ページを閲覧するアクセス許可を付与します。これらは、[支払期限]、[未適用資金]、[トランザクション]、および [前払い] タブに対する読み取り専用のアクセス許可です。 注記 これらはコンソール専用のアクセス許可です。これらのアクセス許可に対しては、API によりアクセスすることはできません。
	invoicing:Get*	[トランザクション] タブから請求書をダウンロードするアクセス許可 を付与します。 注記 これはコンソール専用のアクセス許可です。このアクセス許可に対しては、API によりアクセスすることはできません。
	payments:Update*	前払いの使用、および支払いの詳細設定を行うアクションに必要なアクセス許可を付与します。
	payments:Make* invoicing:Get*	前払いでの資金請求書類の作成、および支払いを行うためのアクセス許可を付与します。
クレジット	billing:Get* account:GetAccountInformation	[クレジット] ページを閲覧するアクセス許可を付与します。
	billing:RedeemCredits	クレジットを引き換えるアクセス許可を付与します。
発注書	account:GetAccountInformation account:GetContactInformation payments:Get* payments:List* purchase-orders:ListPurchaseOrders purchase-orders:ListPurchaseOrderInvoices tax:ListTaxRegistrations consolidatedbilling:GetAccountBillingRole	[発注書] ページを閲覧するアクセス許可を付与します。
	purchase-orders:GetPurchaseOrder	発注書の詳細を閲覧するアクセス許可を付与します。
	purchase-orders:AddPurchaseOrder	発注書を追加するアクセス許可を付与します。
	purchase-orders:DeletePurchaseOrder	発注書を削除するアクセス許可を付与します。
	purchase-orders:UpdatePurchaseOrder purchase-orders:UpdatePurchaseOrderStatus	発注書と発注状況を更新するためのアクセス許可を付与します。
AWS コストと使用状況レポート	cur:GetClassic* cur:DescribeReportDefinitions	AWS コストと使用状況レポートページの AWS CUR レポートのリストを表示する権限を付与します。 注記 cur:GetClassic* はコンソール専用のアクセス許可です。このアクセス許可に対しては、API によりアクセスすることはできません。
	billing:ListBillingViews	Billing Conductor AWS で作成された各請求グループの説明を閲覧する権限を付与します。ARNこれは、特定のグループ向けのレポート設定を作成する際に必要です。 注記 これはコンソール専用のアクセス許可です。このアクセス許可に対しては、API によりアクセスすることはできません。
	s3:ListAllMyBuckets s3:CreateBucket s3:PutBucketPolicy s3:GetBucketLocation cur:Validate* cur:PutReportDefinition	新しい AWS CUR レポートの作成に必要な権限アクションを付与します。 注記 cur:Validate* はコンソール専用のアクセス許可です。これらのアクセス許可に対しては、API によりアクセスすることはできません。
	cur:Validate* s3:CreateBucket s3:ListAllMyBuckets s3:PutBucketPolicy s3:GetBucketLocation cur:ModifyReportDefinition	AWS CUR 定義を編集する権限を付与します。 注記 cur:Validate* はコンソール専用のアクセス許可です。これらのアクセス許可に対しては、API によりアクセスすることはできません。
	cur:DeleteReportDefinition	AWS CUR レポートを削除する権限を付与します。
	cur:GetUsage*	使用状況レポートをダウンロードするアクセス許可を付与します。
	sustainability:GetCarbonFootprintSummary	AWS アカウントのサステナビリティデータを閲覧するアクセス許可を付与します。
コストカテゴリ	account:GetAccountInformation ce:ListCostCategoryDefinitions ce:DescribeCostCategoryDefinition ce:GetCostAndUsage ce:ListTagsForResource consolidatedbilling:GetAccountBillingRole	コストカテゴリを閲覧するアクセス許可を付与します。 注記 account:GetAccountInformation はコンソール専用のアクセス許可です。これらのアクセス許可に対しては、API によりアクセスすることはできません。
	billing:Get* ce:TagResource ce:ListCostAllocationTags consolidatedbilling:List* ce:CreateCostCategoryDefinition pricing:DescribeServices ce:GetDimensionValues ce:GetTags	コストカテゴリを作成するアクセス許可を付与します。 注記 billing:Get* および consolidatedbilling:List* は、コンソール専用のアクセス許可です。これらのアクセス許可に対しては、API によりアクセスすることはできません。
	ce:UpdateCostCategoryDefinition ce:UntagResource	コストカテゴリを変更するアクセス許可を付与します。
	ce:DeleteCostCategoryDefinition	コストカテゴリを削除するアクセス許可を付与します。
コスト配分タグ	account:GetAccountInformation ce:ListCostAllocationTags consolidatedbilling:GetAccountBillingRole	コスト配分タグを表示するアクセス許可を付与します。
	ce:UpdateCostAllocationTagsStatus	コスト配分タグを有効または無効にするアクセス許可を付与します。
AWS Budgets	budgets:ViewBudget budgets:DescribeBudgetActionsForBudget budgets:DescribeBudgetAction budgets:DescribeBudgetActionsForAccount budgets:DescribeBudgetActionHistories	[予算] ページを閲覧するアクセス許可を付与します。
	budgets:CreateBudgetAction budgets:ExecuteBudgetAction budgets:DeleteBudgetAction budgets:UpdateBudgetAction budgets:ModifyBudget	予算および予算アクションを作成、削除、変更するアクセス許可を付与します。
無料利用枠	billing:Get* freetier:Get*	無料利用枠の使用制限と過去 1 か月の使用状況を閲覧するアクセス許可を付与します。
請求設定	account:GetAccountInformation billing:Get* consolidatedbilling:Get* consolidatedbilling:List* cur:GetClassic* cur:Validate* freetier:Get* invoicing:Get*	[請求の詳細設定] ページのすべてのセクションを表示するためのアクションに必要なアクセス許可を付与します。 注記 これらはコンソール専用のアクセス許可です。これらのアクセス許可に対しては、API によりアクセスすることはできません。
	billing:Update* freetier:Put* cur:PutClassic* s3:ListAllMyBuckets s3:CreateBucket s3:PutBucketPolicy s3:GetBucketLocation invoicing:Put*	[請求の詳細設定] ページで次の変更を行うためのアクセス許可を付与します。 RI または Savings Plans へのクレジット共有の有効化と無効化 [Free Tier Usage Alert] (無料利用枠の使用アラート) の設定 [detailed billing reports] (請求明細レポート) での配信および詳細の設定 [PDF invoice by email] (PDF 請求書のメール送信) の設定または更新 注記 billing:Update*、freetier:Put*、cur:PutClassic* はコンソール専用のアクセス許可です。これらのアクセス許可に対しては、API によりアクセスすることはできません。
支払いの詳細設定	account:GetAccountInformation billing:Get* payments:GetPaymentInstrument payments:List* payments:GetPaymentStatus	[支払いの詳細設定] ページを表示するアクセス許可を付与します。 注記 これらはコンソール専用のアクセス許可です。これらのアクセス許可に対しては、API によりアクセスすることはできません。
	payments:Update* payments:Make* payments:CreatePaymentInstrument payments:DeletePaymentInstrument	支払い方法を作成または更新するアクセス許可を付与します。 注記 payments:Make* は、支払い用のカードで多要素認証 (MFA) が要求される場合にのみ必要です。
	tax:PutTaxRegistration tax:Delete* payments:UpdatePaymentPreferences payments:CreatePaymentInstrument	税登録番号を更新または削除するアクセス許可を付与します。
	payments:Update*	支払いプロファイルを更新するアクセス許可を付与します 注記 これはコンソール専用のアクセス許可です。このアクセス許可に対しては、API によりアクセスすることはできません。
税金設定	tax:List* tax:Get*	税金設定を表示するアクセス許可を付与します。
	tax:BatchPut*	税金設定を更新するアクションに必要なアクセス許可を付与します。
	tax:Put*	税継承を設定するアクセス許可を付与します。
	tax:UpdateExemptions support:CreateCase support:AddAttachmentsToSet	免税を更新するアクセス許可を付与します。
アカウント	account:Get* account:List* billing:Get* payments:List*	[アカウント設定] を表示するアクセス許可を付与します。 注記 billing:Get* はコンソール専用のアクセス許可です。このアクセス許可に対しては、API によりアクセスすることはできません。
	account:CloseAccount	AWS アカウント閉じる権限を付与します。 注記 これはコンソール専用のアクセス許可です。このアクセス許可に対しては、API によりアクセスすることはできません。
	account:DisableRegion	AWS アカウントページでリージョンをオフにする権限を付与します。
	account:EnableRegion	AWS アカウントページでリージョンを有効にする権限を付与します。
	account:PutAlternateContact	アカウントの代替連絡先を登録するアクセス許可を付与します。
	account:PutChallengeQuestions	アカウントの秘密の質問を設定するアクセス許可を付与します。 注記 このアクセス許可はコンソール専用です。このアクセス許可に対しては、API によりアクセスすることはできません。
	account:PutContactInformation	アカウント用に、住所など主な連絡先情報を設定または登録するためのアクションに必要なアクセス許可を付与します。
	billing:PutContractInformation	アカウントが公共機関の顧客へのサービスに使用される場合に、アカウント契約情報を設定するためのアクセス許可を付与します。取得可能な情報としては、エンドユーザーの組織名、契約番号、発注書番号などがあります。 注記 このアクセス許可はコンソール専用です。このアクセス許可に対しては、API によりアクセスすることはできません。
	billing:Update*	[アカウント] ページの [IAM アクセスのアクティブ化] 設定で、有効化または無効化を行うアクションに必要なアクセス許可を付与します。
	payments:Update*	前払い、通貨設定、請求先の詳細と住所、支払い条件を設定するためのアクセス許可を付与します。