Controle de acesso usando políticas de nível de recurso Controlar o acesso usando tags (ABAC)

Controle de acesso e exemplos para detecção de anomalias de custo

É possível usar controles de acesso em nível de recurso e tags de controle de acesso por atributo (ABAC) para monitores de anomalias de custo e assinaturas de anomalias. Cada monitor de anomalias e recurso de assinatura de anomalias tem um nome do recurso da Amazon (ARN) exclusivo. Você também pode associar tags (pares de chave/valor) a cada recurso. Tanto os ARNs de recursos quanto as tags ABAC podem ser usados para fornecer controle de acesso granular às funções ou grupos de usuários dentro das suas Contas da AWS.

Para obter mais informações sobre controles de acesso em nível de recurso e tags ABAC, consulte Como o gerenciamento de AWS custos funciona com IAM.

nota

A detecção de anomalias de custo não é compatível com políticas baseadas em recursos. As políticas baseadas em recursos estão diretamente vinculadas aos AWS recursos. Para obter mais informações sobre a diferença entre políticas e permissões, consulte Políticas baseadas em identidade e em recurso no Guia do usuário do IAM.

Controle de acesso usando políticas de nível de recurso

Você pode usar permissões em nível de recurso para permitir ou negar acesso a um ou mais recursos de detecção de anomalias de custo em uma política do IAM. Como alternativa, use permissões em nível de recurso para permitir ou negar acesso a todos os recursos de detecção de anomalias de custo.

Ao criar um IAM, use os seguintes formatos de nome do recurso da Amazon (ARN):

Recurso ARN AnomalyMonitor

arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}
Recurso ARN AnomalySubscription

arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}

Para permitir que a entidade do IAM obtenha e crie um monitor de anomalias ou uma assinatura de anomalias, use uma política semelhante a esta política de exemplo.

nota

Para ce:GetAnomalyMonitor e ce:GetAnomalySubscription, os usuários têm todo ou nenhum controle de acesso em nível de recurso. Isso exige que a política use um ARN genérico na forma de arn:${partition}:ce::${account-id}:anomalymonitor/*, arn:${partition}:ce::${account-id}:anomalysubscription/* ou *.
Para ce:CreateAnomalyMonitor e ce:CreateAnomalySubscription, não temos um ARN de recurso para esse recurso. Portanto, a política sempre usa o ARN genérico mencionado no marcador anterior.
Para ce:GetAnomalies, use o parâmetro opcional monitorArn. Quando usado com esse parâmetro, confirmamos se o usuário tem acesso ao monitorArn passado.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ce:GetAnomalyMonitors",
                "ce:CreateAnomalyMonitor"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalymonitor/*"
        }, 
        {
            "Action": [
                "ce:GetAnomalySubscriptions",
                "ce:CreateAnomalySubscription"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalysubscription/*"
        }
    ]
}

Para permitir que a entidade do IAM atualize ou exclua monitores de anomalias, use uma política semelhante a esta política de exemplo.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor",
                "ce:DeleteAnomalyMonitor"
                ],
            "Resource": [
              "arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000",
              "arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001"
		]
         }
    ]
}

Controlar o acesso usando tags (ABAC)

É possível usar tags (ABAC) para controlar o acesso aos recursos de Detecção de anomalia de custo que oferecem suporte à atribuição de tags. Para controlar o acesso com usando tags, forneça informações da tag no elemento de condição Condition de uma política. Depois, é possível criar uma política do IAM que permite ou nega o acesso a um recurso com base na etiqueta desse recurso. É possível usar as chaves de condição de tag para controlar o acesso a recursos, solicitações ou qualquer parte do processo de autorização. Para obter mais informações sobre perfis do IAM usando tags, consulte Controlar o acesso a e para usuários e funções usando tags no Guia do usuário do IAM.

Crie uma política baseada em identidade que permita a atualização de monitores de anomalia. Se a tag do monitor de Owner tiver o valor do nome de usuário, use uma política semelhante a esta política de exemplo.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor"
            ],
            "Resource": "arn:aws:ce::*:anomalymonitor/*",
            "Condition": {
                "StringEquals": {
			"aws:ResourceTag/Owner": "${aws:username}"
		   }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ce:GetAnomalyMonitors",
            "Resource": "*"
        }
    ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Configuração

Conceitos básicos