Cost Explorer アクセスを制御する - AWS コスト管理
Cost Explorer へのアクセス権を付与するCost Explorer 設定を使用してアクセスを制御するCost Explorer と IAM ユーザー

Cost Explorer アクセスを制御する

Cost Explorer へのアクセスは、次の方法で管理できます。

  • 管理アカウントは、ルートレベルで Cost Explorer を有効にし、すべてのメンバーアカウントを自動的に有効にすることができます。

  • メンバーアカウントを有効にしたら、管理アカウントは Cost Explorer 設定を使用して、Cost Explorer で公開する情報のレベルを制御することができます。情報レベルには、コスト、返金またはクレジット、割引 (予約従量制割引やバンドル割引など)、リザーブドインスタンス (RI) の推奨事項を含めることができます。

  • 管理アカウントレベルで Cost Explorer を有効にしたら、Cost Explorer へのアクセスをアカウントレベルで制限できるように、IAM ユーザーの IAM ポリシーを制御することができます。ユーザーは、このオプションですべてのアクセス権を取得するか、アクセス権を一切取得しません。

このトピックでは、Cost Explorer でアクセス権を制御する方法について詳しく説明します。

請求情報とコスト管理ページへのアクセス権の管理の詳細については、「アクセス許可の管理の概要」を参照してください。

Cost Explorer の IAM ポリシーを参照するには、「AWS コスト管理での ID ベースのポリシー (IAM ポリシー) の使用」を参照してください。

一括請求 (コンソリデーティッドビリング)の詳細については、「AWS Organizations の一括請求 (コンソリデーティッドビリング)」を参照してください。

Cost Explorer へのアクセス権を付与する

請求情報とコスト管理コンソールを介して、ルート認証情報を用いて管理アカウントにサインインしている場合は、Cost Explorer へのアクセス権を有効にできます。管理アカウントレベルで Cost Explorer を有効にすると、すべての組織アカウントの Cost Explorer が有効になります。組織のすべてのアカウントにアクセス権が付与されるため、アクセス権を個別に許可または拒否することはできません。

Cost Explorer 設定を使用してアクセスを制御する

管理アカウントは、Cost Explorer へのアクセス権をすべてのメンバーアカウントに付与するか、一切付与しないのどちらかを選択できます。個々のメンバーアカウントごとにアクセス権をカスタマイズすることはできません。

AWS Organizations の管理アカウントには、管理アカウントとメンバーアカウントの両方で発生したコストに関するすべての請求情報とコスト管理情報へのフルアクセスが付与されます。メンバーアカウントは、自分の Cost Explorer のコストと使用状況のデータにのみアクセスできます。

管理アカウントの所有者は、以下の操作を行うことができます。

  • Cost Explorer のすべてのコストを表示します。

  • 自分のメンバーアカウントのコスト、返金、クレジット、および RI 推奨事項を表示する許可をすべてのメンバーアカウントに付与します。

メンバーアカウントの所有者は、組織の他のアカウントのコスト、返金、および RI 推奨事項を確認できません。一括請求 (コンソリデーティッドビリング)の詳細については、「AWS Organizations の一括請求 (コンソリデーティッドビリング)」を参照してください。

AWS アカウントの所有者だが、一括請求を使用していない場合は、Cost Explorer を含め、すべての請求情報とコスト管理情報へのフルアクセスが付与されています。

組織アカウントステータスのユースケース

組織に対するアカウントのステータスは、次のように、表示できるコストと使用状況のデータに影響します。

  • スタンドアロンアカウントが組織に参加すると、そのアカウントは、そのアカウントがスタンドアロンアカウントだったときのコストと使用状況データにアクセスできなくなります。

  • メンバーアカウントが組織を離れてスタンドアロンアカウントになると、そのアカウントは以前の組織のメンバーだったときのコストと使用状況のデータにアクセスできなくなります。アカウントがアクセスできるのは、スタンドアロンアカウントとして生成されたデータのみです。

  • メンバーアカウントが組織 A を離れ組織 B に参加すると、そのアカウントは組織 A のコストと使用状況のデータにアクセスできなくなります。アカウントがアクセスできるのは、組織 B のメンバーとして生成されたデータのみです。

  • アカウントが以前に属していた組織に再参加すると、そのアカウントはコストと使用状況データの履歴へのアクセスを再び許可されます。

Cost Explorer 設定を使用したメンバーアカウントのアクセスコントロール

組織のすべてのメンバーアカウントへのアクセス権を許可または制限できます。管理アカウントレベルでアカウントを有効にすると、デフォルトですべてのメンバーアカウントにコストと使用状況データへのアクセスが許可されます。

Cost Explorer データへのメンバーアカウントのアクセス権を制御するには

  1. AWS Management Console にサインインして AWS コスト管理コンソール (https://console.aws.amazon.com/cost-management/home) を開きます。

  2. ナビゲーションペインで [設定] を選択します。

  3. [Preferences (設定)] ページで、[Linked Account Access (リンクされたアカウントのアクセス)] チェックボックスをオンまたはオフにします。

  4. [Save] を選択します。

Cost Explorer と IAM ユーザー

管理アカウントレベルで Cost Explorer を有効にしたら、IAM を使用して個々の IAM ユーザーの請求データへのアクセスを管理できます。これにより、すべてのメンバーアカウントへのアクセスを許可するのではなく、アカウントごとに個別のレベルでアクセスを許可または取り消すことができます。

IAM ユーザーは、請求情報とコスト管理コンソールからページを閲覧するための明示的な許可を与えられていることが必要です。適切なアクセス許可が付与されていれば、IAM ユーザーは IAM ユーザーが属する AWS アカウントのコストを表示できます。IAM ユーザーに必要な許可を付与するポリシーについては、「アクセス許可の管理の概要」を参照してください。