翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS 請求を使用したアイデンティティベースのポリシー
デフォルトでは、ユーザーとロールには請求リソースを作成または変更するアクセス許可はありません。また、、 AWS Command Line Interface (AWS CLI) AWS Management Console、または AWS API を使用してタスクを実行することはできません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。その後、管理者はロールに IAM ポリシーを追加し、ユーザーはロールを引き受けることができます。
これらサンプルの JSON ポリシードキュメントを使用して、IAM アイデンティティベースのポリシーを作成する方法については、『IAM ユーザーガイド』の「IAM ポリシーの作成」を参照してください。
各リソースタイプの ARNs」のAWS 「請求のアクション、リソース、および条件キー」を参照してください。
ポリシーのベストプラクティス
ID ベースのポリシーは、ユーザーのアカウントで誰かが請求リソースを作成、アクセス、または削除できるどうかを決定します。これらのアクションを実行すると、 AWS アカウントに料金が発生する可能性があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
-
AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する – ユーザーとワークロードにアクセス許可を付与するには、多くの一般的なユースケースにアクセス許可を付与する AWS 管理ポリシーを使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義して、アクセス許可をさらに減らすことをお勧めします。詳細については、IAM ユーザーガイドの「AWS マネージドポリシー」または「AWS ジョブ機能の管理ポリシー」を参照してください。
-
最小特権を適用する – IAM ポリシーで権限を設定するときは、タスクの実行に必要な権限のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権権限とも呼ばれています。IAM を使用して権限を適用する方法の詳細については、『IAM ユーザーガイド』の「IAM でのポリシーと権限」を参照してください。
-
IAM ポリシーで条件を使用してアクセスをさらに制限する - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。例えば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、 などの特定の を介してサービスアクションが使用される場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます AWS CloudFormation。詳細については、IAM ユーザーガイドの [IAM JSON policy elements: Condition] (IAM JSON ポリシー要素:条件) を参照してください。
-
IAM Access Analyzer を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する - IAM Access Analyzer は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、「IAM ユーザーガイド」の「IAM Access Analyzer ポリシーの検証」を参照してください。
-
多要素認証 (MFA) を要求する – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、セキュリティを強化するために MFA を有効にします。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、「IAM ユーザーガイド」の「MFA 保護 API アクセスの設定」を参照してください。
IAM でのベストプラクティスの詳細については、『IAM ユーザーガイド』の「IAM でのセキュリティのベストプラクティス」を参照してください。
請求コンソールの使用
AWS 請求コンソールにアクセスするには、最小限のアクセス許可のセットが必要です。これらのアクセス許可により、 の請求リソースの詳細を一覧表示および表示できます AWS アカウント。最小限必要な許可よりも制限が厳しいアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ (ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。
AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。
AWS 請求コンソールの有効化に必要なアクセス許可、管理者アクセス、読み取り専用アクセスなどのアクセスの詳細は、AWS マネージドポリシー「」セクションで確認できます。
自分の権限の表示をユーザーに許可する
この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
請求でのアイデンティティベースのポリシーの使用
注記
次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。
-
aws-portal
名前空間 -
purchase-orders:ViewPurchaseOrders
-
purchase-orders:ModifyPurchaseOrders
を使用している場合は AWS Organizations、一括ポリシー移行スクリプトまたは一括ポリシー移行スクリプトを使用して、支払いアカウントからポリシーを更新できます。また、従来のアクションから詳細なアクションへのマッピングのリファレンスを使用して、追加する必要のある IAM アクションを検証することもできます。
をお持ちの場合 AWS アカウント、または が 2023 年 3 月 6 日午前 11:00 (PDT) 以降に AWS Organizations 作成された の一部である場合、きめ細かなアクションは組織内で既に有効になっています。
重要
IAM ポリシーに加えて、[アカウント設定]
詳細については、次のトピックを参照してください。
-
「IAM ユーザーガイド」の「IAM チュートリアル: 請求コンソールへのアクセス権の付与」
このセクションでは、アイデンティティベースのポリシーアカウント管理者が IAM アイデンティティ (ロールとグループ) にアクセス許可ポリシーをアタッチし、請求リソースでオペレーションを実行するアクセス許可を付与する方法を説明します。
AWS アカウント および ユーザーの詳細については、「IAM ユーザーガイド」の「IAM とは」を参照してください。
カスタマーマネージドポリシーを更新する方法の詳細については、IAM ユーザーガイドの「カスタマーマネージドポリシーの編集 (コンソール)」を参照してください。
AWS 請求コンソールのアクション
この表は、請求コンソールの情報とツールへのアクセスを許可するアクセス許可をまとめたものです。これらのアクセス許可を使用するポリシーの例については、「AWS 請求ポリシーの例」を参照してください。
AWS コスト管理コンソールのアクションポリシーのリストについては、「 AWS コスト管理ユーザーガイド」の「 コスト管理アクションポリシーAWS 」を参照してください。
アクセス許可名 | 説明 |
---|---|
aws-portal:ViewBilling
|
請求情報とコスト管理コンソールページを表示するアクセス許可を付与します。 |
aws-portal:ModifyBilling
|
次の請求情報とコスト管理コンソールページを変更するアクセス許可を付与します。 IAM ユーザーにこれらのコンソールページの変更を許可するには、 |
aws-portal:ViewAccount
|
アカウント設定 |
aws-portal:ModifyAccount |
アカウント設定 IAM ユーザーにアカウント設定の変更を許可するには、 [アカウント設定] コンソールページへのアクセスを IAM ユーザーに明示的に拒否するポリシーの例については、「アカウント設定へのアクセスは拒否するが、その他の請求および使用情報へのフルアクセスは許可する」を参照してください。 |
aws-portal:ViewPaymentMethods |
Payment Methods |
aws-portal:ModifyPaymentMethods |
ユーザーに支払い方法の変更を許可するには、 |
billing:ListBillingViews |
見積り請求グループの請求情報を取得するアクセス許可を付与します。これは、請求ページの AWS Billing Conductor または AWS コストと使用状況レポート を使用して行われます。 請求グループに関する詳細な情報は、「AWS Billing Conductor ユーザーガイド」の「請求グループの詳細の表示」を参照してください。 |
sustainability:GetCarbonFootprintSummary |
Customer AWS Carbon Footprint ツールとデータを表示するアクセス許可を付与します。これは、請求情報と AWS コスト管理コンソールのコストと使用状況レポートページからアクセスできます。 ポリシーの例については、「IAM ユーザーが請求情報とカーボンフットプリントレポートを表示できるようにする」を参照してください。 |
cur:DescribeReportDefinitions |
AWS コストと使用状況レポートを表示するアクセス許可を付与します。 AWS コストと使用状況レポートのアクセス許可は、AWS コストと使用状況レポートサービス API と請求情報とコスト管理コンソールを使用して作成されたすべてのレポートに適用されます。請求情報とコスト管理コンソールを使用してレポートを作成する場合、IAM ユーザーの許可を更新することをお勧めします。許可を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権を失うことになります。 ポリシーの例については、「レポートコンソールページへのアクセスを IAM ユーザーに許可する」を参照してください。 |
cur:PutReportDefinition |
AWS コストと使用状況レポートを作成するアクセス許可を付与します。 AWS コストと使用状況レポートのアクセス許可は、AWS コストと使用状況レポートサービス API と請求情報とコスト管理コンソールを使用して作成されたすべてのレポートに適用されます。請求情報とコスト管理コンソールを使用してレポートを作成する場合、IAM ユーザーの許可を更新することをお勧めします。許可を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権を失うことになります。 ポリシーの例については、「レポートコンソールページへのアクセスを IAM ユーザーに許可する」を参照してください。 |
cur:DeleteReportDefinition |
AWS コストと使用状況レポートを削除するアクセス許可を付与します。 AWS コストと使用状況レポートのアクセス許可は、コストAWS と使用状況レポートサービス API と請求情報とコスト管理コンソールを使用して作成されたすべてのレポートに適用されます。請求情報とコスト管理コンソールを使用してレポートを作成する場合、IAM ユーザーの許可を更新することをお勧めします。許可を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権を失うことになります。 ポリシーの例については、「AWS コストと使用状況レポートの作成、表示、編集、または削除」を参照してください。 |
cur:ModifyReportDefinition |
AWS コストと使用状況レポートを変更するアクセス許可を付与します。 AWS コストと使用状況レポートのアクセス許可は、コストAWS と使用状況レポートサービス API と請求情報とコスト管理コンソールを使用して作成されたすべてのレポートに適用されます。請求情報とコスト管理コンソールを使用してレポートを作成する場合、IAM ユーザーの許可を更新することをお勧めします。許可を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権を失うことになります。 ポリシーの例については、「AWS コストと使用状況レポートの作成、表示、編集、または削除」を参照してください。 |
ce:CreateCostCategoryDefinition |
コストカテゴリを作成するアクセス許可を付与します。 ポリシーの例については、「Cost Categories の表示と管理」を参照してください。 |
ce:DeleteCostCategoryDefinition |
コストカテゴリを削除するアクセス許可を付与します。 ポリシーの例については、「Cost Categories の表示と管理」を参照してください。 |
ce:DescribeCostCategoryDefinition |
コストカテゴリを表示するアクセス許可を付与します。 ポリシーの例については、「Cost Categories の表示と管理」を参照してください。 |
ce:ListCostCategoryDefinitions |
コストカテゴリを一覧表示するアクセス許可を付与します。 ポリシーの例については、「Cost Categories の表示と管理」を参照してください。 |
ce:UpdateCostCategoryDefinition |
コストカテゴリを更新するアクセス許可を付与します。 ポリシーの例については、「Cost Categories の表示と管理」を参照してください。 |
aws-portal:ViewUsage |
AWS 使用状況レポートを表示するアクセス許可を付与します 使用状況レポートの表示を IAM ユーザーに許可するには、 ポリシーの例については、「レポートコンソールページへのアクセスを IAM ユーザーに許可する」を参照してください。 |
payments:ListTagsForResource |
支払い方法のタグを表示するアクセス許可を IAM ユーザーに付与または拒否します。 |
payments:TagResource |
支払い方法にタグを追加するアクセス許可を IAM ユーザーに付与または拒否します。 |
payments:UntagResource |
支払い方法からタグを削除するアクセス許可を IAM ユーザーに付与または拒否します。 |
payments:ListPaymentInstruments |
登録された支払い方法を一覧表示するアクセス許可を IAM ユーザーに付与または拒否します。 |
payments:UpdatePaymentInstrument |
支払い方法を更新するアクセス許可を IAM ユーザーに付与または拒否します。 |
pricing:DescribeServices |
AWS Price List Service API を介して AWS サービス製品と料金を表示するアクセス許可を付与します。 IAM ユーザーが AWS Price List Service API を使用できるようにするには、 ポリシーの例については、「製品と価格の検索」を参照してください。 |
pricing:GetAttributeValues |
AWS Price List Service API を介して AWS サービス製品と料金を表示するアクセス許可を付与します。 IAM ユーザーが AWS Price List Service API を使用できるようにするには、 ポリシーの例については、「製品と価格の検索」を参照してください。 |
pricing:GetProducts |
AWS Price List Service API を介して AWS サービス製品と料金を表示するアクセス許可を付与します。 IAM ユーザーが AWS Price List Service API を使用できるようにするには、 ポリシーの例については、「製品と価格の検索」を参照してください。 |
purchase-orders:ViewPurchaseOrders |
ポリシーの例については、「発注書の表示と管理」を参照してください。 |
purchase-orders:ModifyPurchaseOrders |
発注書 を変更するアクセス許可を付与します。 ポリシーの例については、「発注書の表示と管理」を参照してください。 |
tax:GetExemptions |
免税および免税タイプを税コンソール別に表示するための読み取り専用アクセス許可を付与します。 ポリシーの例については、「IAM ユーザーに米国の免税の表示と AWS Support ケースの作成を許可する」を参照してください。 |
tax:UpdateExemptions |
米国の免税コンソールに免税をアップロードするアクセス許可を付与します。 ポリシーの例については、「IAM ユーザーに米国の免税の表示と AWS Support ケースの作成を許可する」を参照してください。 |
support:CreateCase |
免税コンソールから免除をアップロードするために必要なサポートケースを申請するアクセス許可を付与します。 ポリシーの例については、「IAM ユーザーに米国の免税の表示と AWS Support ケースの作成を許可する」を参照してください。 |
support:AddAttachmentsToSet |
免税コンソールに免税証明書をアップロードするために必要なサポートケースにドキュメントをアタッチするアクセス許可を付与します。 ポリシーの例については、「IAM ユーザーに米国の免税の表示と AWS Support ケースの作成を許可する」を参照してください。 |
customer-verification:GetCustomerVerificationEligibility |
(請求先住所または連絡先住所がインドのお客様のみ) 顧客検証資格を取得するアクセス許可を付与します。 |
customer-verification:GetCustomerVerificationDetails |
(請求先住所または連絡先住所がインドのお客様のみ) 顧客検証データを取得するアクセス許可を付与します。 |
customer-verification:CreateCustomerVerificationDetails |
(請求先住所または連絡先住所がインドのお客様のみ) 顧客検証データを作成するアクセス許可を付与します。 |
customer-verification:UpdateCustomerVerificationDetails |
(請求先住所または連絡先住所がインドのお客様のみ) 顧客検証データを更新するアクセス許可を付与します。 |
mapcredit:ListAssociatedPrograms |
支払者アカウントの関連するMigration Acceleration Program契約とダッシュボードを表示するアクセス許可を付与します。 |
mapcredit:ListQuarterSpend |
支払いアカウントの対象となるMigration Acceleration Program支出を表示するアクセス許可を付与します。 |
mapcredit:ListQuarterCredits |
支払いアカウントのMigration Acceleration Programクレジットを表示するアクセス許可を付与します。 |