翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS コスト管理ポリシーの例
注記
次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。
-
aws-portal名前空間 -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
を使用している場合は AWS Organizations、一括ポリシー移行スクリプトを使用して支払いアカウントからポリシーを更新できます。また、従来のアクションから詳細なアクションへのマッピングのリファレンスを使用して、追加する必要のある IAM アクションを検証することもできます。
詳細については、「AWS 請求、 AWS コスト管理、アカウントコンソールの権限の変更」ブログをご覧ください
2023 年 3 月 6 日午前 11 時 (PDT) AWS Organizations 以降に作成された、または作成に参加している場合、詳細なアクションは組織ですでに実施されています。 AWS アカウント
このトピックには、アカウントの請求情報とツールへのアクセスを制御するために IAM ロールまたはグループに適用できるポリシーの例が含まれています。以下の基本ルールは、請求情報とコスト管理の IAM ポリシーに適用されます。
-
Versionは常に2012-10-17です。 -
Effectは常にAllowまたはDenyです。 -
Actionはアクションまたはワイルドカード (*) の名前です。アクションプレフィックスは
budgets、 AWS 予算、curAWS コストおよび使用状況レポート、 AWS 請求、aws-portalまたはCost Explorerce用です。 -
Resource*AWS 常に課金用です。budgetリソースで実行されるアクションの場合、予算の Amazon リソースネーム (ARN) を指定します。 -
1 つのポリシーで複数のステートメントを使用できます。
請求コンソールのポリシー例の一覧については、請求ユーザーガイドの「請求情報とコスト管理ポリシーの例」を参照してください。
注記
これらのポリシーを使用するには、[Account Settings]
トピック
- 請求情報とコスト管理コンソールへのユーザーアクセスを拒否する
- AWS メンバーアカウントのコンソールの費用と使用状況ウィジェットへのアクセスを拒否します。
- AWS 特定のユーザーとロールによるコンソールのコストと使用状況ウィジェットへのアクセスを拒否します。
- AWS サービスへのフルアクセスを許可するが、Billing and Cost Management コンソールへのユーザーアクセスは拒否する
- アカウント設定を除き、請求情報とコスト管理コンソールの表示をユーザーに許可する
- 請求情報の変更をユーザーに許可する
- ユーザーに予算の作成を許可する
- アカウント設定へのアクセスは拒否するが、その他の請求および使用情報へのフルアクセスは許可する
- レポートを Amazon S3 バケットにデポジットする
- コストと使用状況の表示
- AWS リージョンを有効または無効にする
- Cost Explorer 設定ページの表示と更新
- Cost Explorer レポートページを使用した表示、作成、更新、および削除
- 予約およびSavings Plans アラートの表示、作成、更新、および削除
- コスト異常検知への読み取り専用アクセスを許可する AWS
- AWS Budgets に IAM ポリシーと SCP の適用を許可します。
- AWS Budgets が IAM ポリシーと SCP を適用し、EC2 インスタンスと RDS インスタンスを対象とすることを許可します。
請求情報とコスト管理コンソールへのユーザーアクセスを拒否する
すべての請求情報とコスト管理コンソールページへのユーザーアクセスを明示的に拒否するには、次の例のようなポリシーを使用します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "aws-portal:*", "Resource": "*" } ] }
AWS メンバーアカウントのコンソールの費用と使用状況ウィジェットへのアクセスを拒否します。
コストと使用状況のデータへのメンバーアカウント (連結アカウント) のアクセスを制限するには、管理アカウント (支払いアカウント) を使用して Cost Explorer の設定タブにアクセスし、[Linked Account Access] (連結アカウントのアクセス) のチェックを外します。これにより、メンバーアカウントのユーザーまたはロールが行う IAM アクションに関係なく、Cost Explorer (AWS Cost Management) コンソール、Cost Explorer API、 AWS およびコンソールホームページのコストと使用状況ウィジェットからのコストと使用状況のデータへのアクセスが拒否されます。
AWS 特定のユーザーとロールによるコンソールのコストと使用状況ウィジェットへのアクセスを拒否します。
AWS 特定のユーザーやロールによるコンソールのコストと使用状況ウィジェットへのアクセスを拒否するには、以下の権限ポリシーを使用してください。
注記
このポリシーをユーザーまたはロールに追加すると、Cost Explorer (AWS コスト管理) コンソールと Cost Explorer API へのユーザーアクセスも拒否されます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ce:*", "Resource": "*" } ] }
AWS サービスへのフルアクセスを許可するが、Billing and Cost Management コンソールへのユーザーアクセスは拒否する
請求情報とコスト管理コンソールのすべてへのユーザーアクセスを拒否するには、次のポリシーを使用します。この場合、 AWS Identity and Access Management (IAM) へのユーザーアクセスも拒否して、請求情報やツールへのアクセスを制御するポリシーにユーザーがアクセスできないようにする必要があります。
重要
このポリシーは、一切のアクションを許可しません。特定のアクションを許可する他のポリシーと組み合わせてこのポリシーを使用します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } ] }
アカウント設定を除き、請求情報とコスト管理コンソールの表示をユーザーに許可する
このポリシーは、請求およびコスト管理コンソールへの読み取り専用アクセスを許可します。これには、[支払い方法] と [レポート] コンソールページが含まれますが、[アカウント設定] ページへのアクセスは拒否され、アカウントのパスワード、連絡先情報、およびセキュリティに関する質問が保護されます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:View*", "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
請求情報の変更をユーザーに許可する
請求情報とコスト管理コンソールのアカウント請求情報の変更をユーザーに許可するには、請求情報を表示する許可もユーザーに与える必要があります。次のポリシー例では、一括請求、設定、およびクレジットコンソールページの変更をユーザーに許可します。さらに、次の請求情報とコスト管理コンソールページを表示する許可もユーザーに与えます。
-
ダッシュボード
-
Cost Explorer
-
請求書
-
注文と請求書
-
前払い
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:*Billing", "Resource": "*" } ] }
ユーザーに予算の作成を許可する
ユーザーがBilling and Cost Management コンソールで予算を作成できるようにするには、ユーザーが請求情報を表示したり、 CloudWatch アラームを作成したり、Amazon SNS 通知を作成したりできるようにする必要があります。次のポリシー例では、ユーザーに [予算] コンソールページの変更を許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1435216493000", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "aws-portal:ModifyBilling", "budgets:ViewBudget", "budgets:ModifyBudget" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216514000", "Effect": "Allow", "Action": [ "cloudwatch:*" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216552000", "Effect": "Allow", "Action": [ "sns:*" ], "Resource": [ "arn:aws:sns:us-east-1::" ] } ] }
アカウント設定へのアクセスは拒否するが、その他の請求および使用情報へのフルアクセスは許可する
アカウントのパスワード、連絡先情報、秘密の質問を保護するには、ユーザーに対して [アカウント設定] へのアクセスを拒否する一方で、請求情報およびコスト管理コンソールの残りの機能に対するフルアクセスを許可します。次に例を示します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:*Billing", "aws-portal:*Usage", "aws-portal:*PaymentMethods" ], "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
レポートを Amazon S3 バケットにデポジットする
以下のポリシーでは、 AWS アカウントと Amazon S3 バケットの両方を所有している限り、Billing and Cost Management AWS 部門が詳細な請求書を Amazon S3 バケットに保存することを許可します。このポリシーは、ユーザーではなく Amazon S3 バケットに適用する必要があります。つまり、これはリソースベースのポリシーであり、ユーザーベースのポリシーではありません。請求書にアクセスする必要がないユーザーに対しては、バケットへのユーザーアクセスを拒否する必要があります。
バケット名をユーザーのバケットの名前に置き換えます。
詳細については、Amazon Simple Storage Service ユーザーガイドの「バケットポリシーとユーザーポリシーの使用」を参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": [ "s3:GetBucketAcl", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::bucketname" }, { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucketname/*" } ] }
コストと使用状況の表示
ユーザーが AWS Cost Explorer API を使用できるようにするには、次のポリシーを使用してアクセス権を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:*" ], "Resource": [ "*" ] } ] }
AWS リージョンを有効または無効にする
ユーザーがリージョンを有効または無効にできるようにする IAM AWSポリシーの例については、『IAM ユーザーガイド』の「 AWS リージョンの有効化と無効化の許可」を参照してください。
Cost Explorer 設定ページの表示と更新
このポリシーでは、Cost Explorer 設定ページの表示と更新をユーザーに許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:UpdatePreferences" ], "Resource": "*" } ] }
次のポリシーでは、Cost Explorer の表示をユーザーに許可しますが、設定ページを表示または編集する許可は拒否します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:GetPreferences", "ce:UpdatePreferences" ], "Resource": "*" } ] }
次のポリシーでは、Cost Explorer の表示をユーザーに許可しますが、設定ページを編集する許可は拒否します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:UpdatePreferences" ], "Resource": "*" } ] }
Cost Explorer レポートページを使用した表示、作成、更新、および削除
このポリシーでは、Cost Explorer レポートページを使用した表示、作成、更新、および削除をユーザーに許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
次のポリシーでは、Cost Explorer の表示をユーザーに許可しますが、レポートページを表示または編集する許可は拒否します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeReport", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
次のポリシーでは、Cost Explorer の表示をユーザーに許可しますが、レポートページを編集する許可は拒否します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
予約およびSavings Plans アラートの表示、作成、更新、および削除
このポリシーでは、予約の失効アラートおよびSavings Plansアラートの表示、作成、更新、および削除をユーザーに許可します。予約の失効アラートまたは Savings Plans アラートを編集するには、次の 3 つのきめ細かなアクションすべてが必要です: ce:CreateNotificationSubscription、ce:UpdateNotificationSubscription、および ce:DeleteNotificationSubscription。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
次のポリシーでは、Cost Explorer の表示をユーザーに許可しますが、予約の失効アラートおよびSavings Plans アラートページを表示または編集する許可は拒否します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeNotificationSubscription", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
次のポリシーでは、Cost Explorer の表示をユーザーに許可しますが、予約の失効アラートおよび Savings Plans アラートページを編集する許可は拒否します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
コスト異常検知への読み取り専用アクセスを許可する AWS
AWS コスト異常検知への読み取り専用アクセスをユーザーに許可するには、以下のポリシーを使用してアクセス権を付与します。 ce:ProvideAnomalyFeedback読み取り専用アクセスの一部としては省略可能です。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ce:Get*" ], "Effect": "Allow", "Resource": "*" } ] }
AWS Budgets に IAM ポリシーと SCP の適用を許可します。
このポリシーにより、 AWS Budgets がユーザーに代わって IAM ポリシーとサービスコントロールポリシー (SCP) を適用できるようになります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy" ], "Resource": "*" } ] }
AWS Budgets が IAM ポリシーと SCP を適用し、EC2 インスタンスと RDS インスタンスを対象とすることを許可します。
このポリシーにより、 AWS Budgets は IAM ポリシーとサービスコントロールポリシー (SCP) を適用し、ユーザーに代わって Amazon EC2 インスタンスと Amazon RDS インスタンスをターゲットにすることができます。
信頼ポリシー
注記
この信頼ポリシーにより、 AWS Budgets はユーザーに代わって他のサービスを呼び出すことができる役割を引き受けることができます。このようなクロスサービス許可のベストプラクティスの詳細については、「サービス間での不分別な代理処理の防止」を参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "budgets.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:budgets::123456789012:budget/*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } ] }
アクセス権限ポリシー
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance", "ssm:StartAutomationExecution" ], "Resource": "*" } ] }
