AWS コスト管理ポリシーの例 - AWS コスト管理
請求情報とコスト管理コンソールへの IAM ユーザーアクセスを拒否するAWS コンソールのコストと使用状況ウィジェットへのメンバーアカウントのアクセスを拒否するAWS コンソールのコストと使用状況ウィジェットへの特定の IAM ユーザーおよびロールのアクセスを拒否するAWS サービスへのフルアクセスを許可するが、請求情報とコスト管理コンソールへのIAM ユーザーアクセスは拒否するアカウント設定を除き、請求情報とコスト管理コンソールの表示を IAM ユーザーに許可する請求情報の変更を IAM ユーザーに許可する予算の作成を IAM ユーザーに許可するアカウント設定へのアクセスは拒否するが、その他の請求および使用情報へのフルアクセスは許可するレポートを Amazon S3 バケットにデポジットするコストと使用状況の表示AWS リージョンの有効化または無効化Cost Explorer 設定ページの表示と更新Cost Explorer レポートページを使用した表示、作成、更新、および削除予約およびSavings Plans アラートの表示、作成、更新、および削除AWS コスト異常検出への読み取り専用アクセスを許可するAWS IAM ポリシーと SCP の適用を Budgets に許可するIAM ポリシーと SCP の適用、および EC2 と RDS インスタンスの目標化を AWS Budgets に許可する

AWS コスト管理ポリシーの例

このトピックには、アカウントの請求の情報とツールへのアクセスを制御するために IAM ユーザーまたはグループに適用できるポリシーの例が含まれています。以下の基本ルールは、請求情報とコスト管理の IAM ポリシーに適用されます。

  • Version は常に 2012-10-17 です。

  • Effect は常に Allow または Deny です。

  • Action はアクションまたはワイルドカード (*) の名前です。

    アクションプレフィックスは、AWS Budgetsでは budgets、AWS コストと使用状況レポートでは cur、AWS 請求では aws-portal、または Cost Explorer では ce です。

  • Resource は、AWS の請求に対して常に * になります。

    budget リソースで実行されるアクションの場合、予算の Amazon リソースネーム (ARN) を指定します。

  • 1 つのポリシーで複数のステートメントを使用できます.

請求コンソールのポリシー例の一覧については、請求ユーザーガイドの「請求情報とコスト管理ポリシーの例」を参照してください。

注記

これらのポリシーを使用するには、コンソールの [Account Settings (アカウント設定)] ページで請求情報とコスト管理コンソールへの IAM アクセスをアクティベートする必要があります。詳細については、「請求情報とコスト管理コンソールへのアクセスをアクティベートする」を参照してください。

トピック

請求情報とコスト管理コンソールへの IAM ユーザーアクセスを拒否する

すべての請求情報とコスト管理コンソールページへの IAM ユーザーアクセスを明示的に拒否するには、次の例のようなポリシーを使用します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "aws-portal:*", "Resource": "*" } ] }

AWS コンソールのコストと使用状況ウィジェットへのメンバーアカウントのアクセスを拒否する

コストと使用状況のデータへのメンバーアカウント (連結アカウント) のアクセスを制限するには、管理アカウント (支払いアカウント) を使用して Cost Explorer の設定タブにアクセスし、[Linked Account Access] (連結アカウントのアクセス) のチェックを外します。これにより、Cost Explorer (AWS コスト管理) コンソール、Cost Explorer API、および AWS コンソールのホームページ上のコストと使用状況ウィジェットからの、コストおよび使用状況データへのアクセスが拒否されます。これは、メンバーアカウントの IAM ユーザーまたはロールが持つ IAM アクションに影響されません。

AWS コンソールのコストと使用状況ウィジェットへの特定の IAM ユーザーおよびロールのアクセスを拒否する

AWS コンソールのコストと使用状況ウィジェットへの特定の IAM ユーザーおよびロールのアクセスを拒否するには、次のようなアクセス許可ポリシーを使用します。

注記

このポリシーを IAM ユーザーまたはロールに追加すると、Cost Explorer (AWS コスト管理) コンソールおよび Cost Explorer API へのユーザーのアクセスが拒否されます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ce:*", "Resource": "*" } ] }

AWS サービスへのフルアクセスを許可するが、請求情報とコスト管理コンソールへのIAM ユーザーアクセスは拒否する

コンソールのすべてへの IAM ユーザーアクセスを拒否するには、次のポリシーを使用します。この場合、AWS Identity and Access Management (IAM) へのアクセスをユーザーに拒否して、請求情報とツールへのアクセスを制御するポリシーにユーザーがアクセスできないようにします。

重要

このポリシーは、一切のアクションを許可しません。特定のアクションを許可する他のポリシーと組み合わせてこのポリシーを使用します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } ] }

アカウント設定を除き、請求情報とコスト管理コンソールの表示を IAM ユーザーに許可する

このポリシーは、請求およびコスト管理コンソールへの読み取り専用アクセスを許可します。これには、[支払い方法] と [レポート] コンソールページが含まれますが、[アカウント設定] ページへのアクセスは拒否され、アカウントのパスワード、連絡先情報、およびセキュリティに関する質問が保護されます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:View*", "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }

請求情報の変更を IAM ユーザーに許可する

請求情報とコスト管理コンソールのアカウント請求情報の変更を IAM ユーザーに許可するには、請求情報を表示する許可も IAM ユーザーに与える必要があります。次のポリシー例では、一括請求設定、およびクレジットコンソールページの変更を IAM ユーザーに許可します。さらに、次の請求情報とコスト管理コンソールページを表示する許可も IAM ユーザーに与えます。

  • ダッシュボード

  • Cost Explorer

  • 請求書

  • 注文と請求書

  • 前払い

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:*Billing", "Resource": "*" } ] }

予算の作成を IAM ユーザーに許可する

請求情報とコスト管理コンソールでの予算の作成を IAM ユーザーに許可するには、請求情報の表示、CloudWatch アラームの作成、および Amazon SNS 通知の作成を IAM ユーザーに許可する必要があります。次のポリシー例では、Budget コンソールページの変更を IAM ユーザーに 許可します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1435216493000", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "aws-portal:ModifyBilling", "budgets:ViewBudget", "budgets:ModifyBudget" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216514000", "Effect": "Allow", "Action": [ "cloudwatch:*" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216552000", "Effect": "Allow", "Action": [ "sns:*" ], "Resource": [ "arn:aws:sns:us-east-1" ] } ] }

アカウント設定へのアクセスは拒否するが、その他の請求および使用情報へのフルアクセスは許可する

アカウントのパスワード、連絡先情報、秘密の質問を保護するには、IAM ユーザーに対して [アカウント設定] へのアクセスを拒否する一方で、請求およびコスト管理コンソールの残りの機能に対するフルアクセスを許可します。次に例を示します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:*Billing", "aws-portal:*Usage", "aws-portal:*PaymentMethods" ], "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }

レポートを Amazon S3 バケットにデポジットする

次のポリシーでは、ユーザーが AWS アカウントと Amazon S3 バケットの両方を持っている限り、請求情報とコスト管理により詳細な AWS 請求情報を Amazon S3 バケットに保存することを許可します。このポリシーは、IAM ユーザーではなく Amazon S3 バケットに適用する必要があります。つまり、これはリソースベースのポリシーであり、ユーザーベースのポリシーではありません。請求書にアクセスする必要がない IAM ユーザーに対しては、バケットへの IAM ユーザーアクセスを拒否する必要があります。

バケット名をユーザーのバケットの名前に置き換えます。

詳細については、Amazon Simple Storage Service ユーザーガイドの「バケットポリシーとユーザーポリシーの使用」を参照してください。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": [ "s3:GetBucketAcl", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::bucketname" }, { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucketname/*" } ] }

コストと使用状況の表示

AWS Cost Explorer API の使用を IAM ユーザーに許可するには、次のポリシーを使用してアクセス権を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:*" ], "Resource": [ "*" ] } ] }

AWS リージョンの有効化または無効化

リージョンの有効化と無効化をユーザーに許可する IAM ポリシーの例については、IAM ユーザーガイドの「AWS: AWS リージョンの有効化と無効化を許可する」を参照してください。

Cost Explorer 設定ページの表示と更新

このポリシーでは、Cost Explorer 設定ページの表示と更新を IAM ユーザーに許可します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:UpdatePreferences" ], "Resource": "*" } ] }

次のポリシーでは、Cost Explorer の表示を IAM ユーザーに許可しますが、設定ページを表示または編集する許可は拒否します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:GetPreferences", "ce:UpdatePreferences" ], "Resource": "*" } ] }

次のポリシーでは、Cost Explorer の表示を IAM ユーザーに許可しますが、設定ページを編集する許可は拒否します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:UpdatePreferences" ], "Resource": "*" } ] }

Cost Explorer レポートページを使用した表示、作成、更新、および削除

このポリシーでは、Cost Explorer レポートページを使用した表示、作成、更新、および削除を IAM ユーザーに許可します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }

次のポリシーでは、Cost Explorer の表示を IAM ユーザーに許可しますが、レポートページを表示または編集する許可は拒否します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeReport", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }

次のポリシーでは、Cost Explorer の表示を IAM ユーザーに許可しますが、レポートページを編集する許可は拒否します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }

予約およびSavings Plans アラートの表示、作成、更新、および削除

このポリシーでは、予約の失効アラートおよびSavings Plansアラートの表示、作成、更新、および削除を IAM ユーザーに許可します。予約の失効アラートまたは Savings Plans アラートを編集するには、次の 3 つのきめ細かなアクションすべてが必要です: ce:CreateNotificationSubscriptionce:UpdateNotificationSubscription、および ce:DeleteNotificationSubscription

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }

次のポリシーでは、Cost Explorer の表示を IAM ユーザーに許可しますが、予約の失効アラートおよびSavings Plansページを表示または編集する許可は拒否します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeNotificationSubscription", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }

次のポリシーでは、Cost Explorer の表示を IAM ユーザーに許可しますが、予約の失効アラートおよび Savings Plans ページを編集する許可は拒否します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }

AWS コスト異常検出への読み取り専用アクセスを許可する

AWS コスト異常検出への読み取り専用アクセスを IAM ユーザーに許可するには、次のポリシーを使用してアクセス権を付与します。ce:ProvideAnomalyFeedback は読み取り専用アクセスの一部としてのオプションです。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ce:Get*" ], "Effect": "Allow", "Resource": "*" } ] }

AWS IAM ポリシーと SCP の適用を Budgets に許可する

このポリシーでは、AWSユーザーの代わっての IAM ポリシーとサービスコントロールポリシー (SCP) の適用を Budgets に許可します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy" ], "Resource": "*" } ] }

IAM ポリシーと SCP の適用、および EC2 と RDS インスタンスの目標化を AWS Budgets に許可する

このポリシーでは、IAM ポリシーとサービスコントロールポリシー (SCP) の適用、およびユーザーに代わっての Amazon EC2 および Amazon RDS インスタンスの目標化を AWS Budgets に許可します。

信頼ポリシー

注記

この信頼ポリシーでは、ユーザーに代わってその他のサービスを呼び出すロールを継承することを AWS Budgets に許可します。このようなクロスサービス許可のベストプラクティスの詳細については、「サービス間の混乱した代理の防止」を参照してください。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "budgets.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:budgets::123456789012:budget/*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } ] }

許可ポリシー

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance", "ssm:StartAutomationExecution" ], "Resource": "*" } ] }