Cost Explorer へのアクセスの管理 - AWS コスト管理
Cost Explorer へのアクセス権を付与するCost Explorer 設定を使用してアクセスを制御するユーザーの Cost Explorer へのアクセス権を管理する

Cost Explorer へのアクセスの管理

Cost Explorer へのアクセスは、次の方法で管理できます。

  • 管理アカウントを使用すると、ルートユーザーとして Cost Explorer を有効化できます。この場合、すべてのメンバーアカウントが自動的に有効化されます。

  • メンバーアカウントが有効化された後は、管理アカウント内から Cost Explorer の設定を変更できます。Cost Explorer 内でアクセス可能な情報を管理できるようになります。これには、費用、返金またはクレジット、割引、リザーブドインスタンス (RI) の推奨事項が含まれます。

  • 管理アカウントレベルで Cost Explorer を有効にしたら、ユーザーの IAM ポリシーを管理できます。例えば、ユーザーに対し Cost Explorer への完全なアクセス権を付与したり、アクセスを拒否したりできます。

このトピックでは、Cost Explorer でのアクセス権管理の方法に関する情報を提供します。

請求情報とコスト管理ページへのアクセス権の管理の詳細については、「アクセス許可の管理の概要」を参照してください。

Cost Explorer の IAM ポリシーを参照するには、「AWS コスト管理での ID ベースのポリシー (IAM ポリシー) の使用」を参照してください。

一括請求 (コンソリデーティッドビリング)の詳細については、「AWS Organizations の一括請求 (コンソリデーティッドビリング)」を参照してください。

Cost Explorer へのアクセス権を付与する

ルートアカウントの認証情報を使用して管理アカウントにサインインしている場合は、Cost Explorer のアクセスを有効化できます。ルートアカウントの認証情報は、Billing and Cost Management コンソールから提供されます。管理アカウントレベルで Cost Explorer を有効にすると、すべての組織アカウントの Cost Explorer が有効になります。組織のすべてのアカウントにアクセス権が付与されるため、アクセス権を個別に許可または拒否することはできません。

Cost Explorer 設定を使用してアクセスを制御する

管理アカウントは、Cost Explorer へのアクセス権をすべてのメンバーアカウントに付与するか、一切付与しないのどちらかを選択できます。個々のメンバーアカウントごとにアクセス権をカスタマイズすることはできません。

AWS Organizations の管理アカウントには、管理アカウントとメンバーアカウントの両方で発生したコストに関するすべての請求情報とコスト管理情報へのフルアクセスが付与されます。メンバーアカウントは、自分の Cost Explorer のコストと使用状況のデータにのみアクセスできます。

デフォルトでは、AWS Organizations の管理アカウントはすべての費用が請求可能なレートで表示されます。組織が Billing Conductor に加入している場合、管理アカウントにも見積レートでのコストが表示されます。メンバーアカウントの Cost Explorer ビューは、Billing Conductor の設定によって異なります。

管理アカウントの所有者は、以下の操作を行うことができます。

  • Cost Explorer のすべてのコストを表示します。

  • 自分のメンバーアカウントのコスト、返金、クレジット、および RI 推奨事項を表示する許可をすべてのメンバーアカウントに付与します。

メンバーアカウントの所有者は、組織の他のアカウントのコスト、返金、および RI 推奨事項を確認できません。一括請求 (コンソリデーティッドビリング)の詳細については、「AWS Organizations の一括請求 (コンソリデーティッドビリング)」を参照してください。

一括請求を使用していない AWS アカウント の所有者に対しては、すべての (Cost Explorer を含む) 請求情報とコスト管理情報への、完全なアクセス権が付与されています。

Billing Conductor に登録している場合、メンバーアカウントの Cost Explorer ビューは、メンバーアカウントが請求グループに属しているかどうかによって異なります。

メンバーアカウントが請求グループに属している場合:

  • メンバーアカウントには、すべての費用が見積レートで表示されます。

  • 連結アカウントアクセス連結アカウントの払い戻しとクレジット連結アカウント割引時間単位およびリソースレベルのデータ、および分割コスト配分データなどの Cost Explorer の設定は、メンバーアカウントには適用されません。

メンバーアカウントが請求グループに属している場合:

  • メンバーアカウントには、請求可能な料金で費用が表示されます。

  • Cost Explorer の設定はメンバーアカウントに適用されます。

詳細については、「Billing Conductor ユーザーガイド」を参照してください。

組織アカウントステータスのユースケース

次のように、アカウントの組織内での状況により、表示できるコストと使用状況のデータが決定します。

  • スタンドアロンアカウントが組織に加わります。これ以降、そのアカウントは、スタンドアロンであった期間のコストと使用状況データにアクセスできなくなります。

  • メンバーアカウントは、この組織からスタンドアロンアカウントに移行されます。これ以降、アカウントでは、以前に組織のメンバーだった期間のコストと使用状況データにアクセスできなくなります。アカウントからアクセスが可能なのは、スタンドアロンアカウントとして生成したデータに対してのみです。

  • メンバーアカウントは、組織 A から組織 B に移行されます。以降、そのアカウントでは、組織 A でのコストと使用状況のデータにアクセスできなくなり、アクセスできるのは、組織 B のメンバーとして生成したデータのみとなります。

  • アカウントは、以前所属していた組織に再び加わります。その後、このアカウントでは、過去のコストと使用状況データに再びアクセスできるようになります。

Cost Explorer 設定を使用したメンバーアカウントのアクセスコントロール

組織のすべてのメンバーアカウントへのアクセス権を許可または制限できます。管理アカウントレベルでアカウントを有効にすると、デフォルトですべてのメンバーアカウントにコストと使用状況データへのアクセスが許可されます。

Cost Explorer データへのメンバーアカウントのアクセス権を制御するには

  1. AWS Management Console にサインインして AWS コスト管理コンソール (https://console.aws.amazon.com/cost-management/home) を開きます。

  2. ナビゲーションペインで [設定] を選択します。

  3. [設定] ページで、[連結アカウントのアクセス] チェックボックスをオンまたはオフにします。

  4. [Save (保存)] を選択します。

ユーザーの Cost Explorer へのアクセス権を管理する

管理アカウントレベルで Cost Explorer を有効にしたら、IAM を使用して個々のユーザーの請求データへのアクセスを管理できます。これで、すべてのメンバーアカウントにアクセス権を付与するのではなく、アカウントごとに個別のレベルでアクセスを付与または取り消すことができます。

ユーザーは、請求情報とコスト管理コンソールからページを閲覧するための明示的な許可を与えられていることが必要です。適切なアクセス許可が付与されていれば、ユーザーはユーザーが属する AWS アカウントのコストを表示できます。ユーザーに必要な許可を付与するポリシーについては、「アクセス許可の管理の概要」を参照してください。