成本異常偵測的存取控制和範例 - AWS 成本管理
使用資源層級政策控制存取使用標籤控制存取 (ABAC)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

成本異常偵測的存取控制和範例

您可以使用資源層級存取控制和以屬性為基礎的存取控制 (ABAC) 標籤來進行成本異常監控和異常訂閱。每個異常監視器和異常訂閱資源都有一個唯一的 Amazon 資源名稱 (ARN)。您還可以將標籤(鍵值對)附加到每個圖徵。資源 ARN 和 ABAC 標籤都可以用來對. AWS 帳戶

如需有關資源層級存取控制和 ABAC 標籤的詳細資訊,請參閱。AWS 成本管理如何搭配使用 IAM

注意

成本異常偵測不支援以資源為基礎的政策。以資源為基礎的政策會直接附加至 AWS 資源。如需政策和許可之間差異的詳細資訊,請參閱 IAM 使用者指南中的以身分識別為基礎的政策和以資源為基礎的政策。

使用資源層級政策控制存取

您可以使用資源層級許可來允許或拒絕存取 IAM 政策中的一或多個「成本異常偵測」資源。或者,您也可以使用資源層級權限來允許或拒絕存取所有「成本異常偵測」資源。

建立 IAM 時,請使用下列 Amazon 資源名稱 (ARN) 格式:

  • AnomalyMonitor資源庫

    arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}

  • AnomalySubscription資源庫

    arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}

若要允許 IAM 實體取得並建立異常監視器或異常訂閱,請使用類似於此範例政策的政策。

注意

  • 對於ce:GetAnomalyMonitor和而言ce:GetAnomalySubscription,使用者擁有全部或沒有資源層級存取控制。這需要政策以arn:${partition}:ce::${account-id}:anomalymonitor/*arn:${partition}:ce::${account-id}:anomalysubscription/**的形式使用通用 ARN。

  • 對於ce:CreateAnomalyMonitorce:CreateAnomalySubscription,我們沒有這個資源的資源 ARN。因此,該策略始終使用上一個 bullet 中提到的通用 ARN。

  • 對於ce:GetAnomalies,請使用可選monitorArn參數。與此參數搭配使用時,我們會確認使用者是否可以存取monitorArn傳遞的。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ce:GetAnomalyMonitors",
                "ce:CreateAnomalyMonitor"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalymonitor/*"
        }, 
        {
            "Action": [
                "ce:GetAnomalySubscriptions",
                "ce:CreateAnomalySubscription"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalysubscription/*"
        }
    ]
}

若要允許 IAM 實體更新或刪除異常監視器,請使用類似於此範例政策的政策。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor",
                "ce:DeleteAnomalyMonitor"
                ],
            "Resource": [
              "arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000",
              "arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001"
		]
         }
    ]
}

使用標籤控制存取 (ABAC)

您可以使用標籤 (ABAC) 控制對支援標記之成本異常偵測資源的存取。若要使用標籤控制存取,請在策略的Condition元素中提供標籤資訊。然後,您可以建立 IAM 政策,根據資源的標籤允許或拒絕存取資源。您可以使用標籤條件鍵來控制對資源、請求或授權程序任何部分的存取。如需有關使用標籤的 IAM 角色的詳細資訊,請參閱 IAM 使用者指南中的使用標籤控制使用者和角色的存取權限。

建立以身分識別為基礎的原則,以便更新異常監視器。如果監視器標籤Owner具有使用者名稱的值,請使用類似於此範例原則的原則。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor"
            ],
            "Resource": "arn:aws:ce::*:anomalymonitor/*",
            "Condition": {
                "StringEquals": {
			"aws:ResourceTag/Owner": "${aws:username}"
		   }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ce:GetAnomalyMonitors",
            "Resource": "*"
        }
    ]
}