Steuerung des Zugriffs für die Erkennung von Kostenanomalien - AWS Kostenmanagement
Steuern des Zugriffs mithilfe von Richtlinien auf RessourcenebeneSteuern des Zugriffs mithilfe von Tags () ABAC

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Steuerung des Zugriffs für die Erkennung von Kostenanomalien

Sie können Zugriffskontrollen auf Ressourcenebene und attributebasierte Zugriffskontrolltags (ABAC) für die Überwachung von Kostenanomalien und Abonnements für Anomalien verwenden. Jede Anomaliemonitor- und Anomalie-Abonnementressource hat einen eindeutigen Amazon-Ressourcennamen ()ARN. Sie können jeder Funktion auch Tags (Schlüssel-Wert-Paare) zuordnen. ARNsSowohl Ressourcen als auch ABAC Tags können verwendet werden, um Benutzerrollen oder Gruppen innerhalb Ihres Unternehmens eine detaillierte Zugriffskontrolle zu ermöglichen. AWS-Konten

Weitere Informationen zu Zugriffskontrollen und ABAC Tags auf Ressourcenebene finden Sie unter. Wie funktioniert AWS Cost Management mit IAM

Anmerkung

Die Erkennung von Kostenanomalien unterstützt keine ressourcenbasierten Richtlinien. Ressourcenbasierte Richtlinien sind direkt mit Ressourcen verknüpft. AWS Weitere Informationen zum Unterschied zwischen Richtlinien und Berechtigungen finden Sie im Benutzerhandbuch unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien. IAM

Steuern des Zugriffs mithilfe von Richtlinien auf Ressourcenebene

Sie können Berechtigungen auf Ressourcenebene verwenden, um den Zugriff auf eine oder mehrere Ressourcen zur Erkennung von Kostenanomalien in einer Richtlinie zuzulassen oder zu verweigern. IAM Alternativ können Sie Berechtigungen auf Ressourcenebene verwenden, um den Zugriff auf alle Ressourcen zur Erkennung von Kostenanomalien zu gewähren oder zu verweigern.

Verwenden Sie bei der Erstellung eines IAM die folgenden Amazon Resource Name (ARN) -Formate:

  • AnomalyMonitorRessource ARN

    arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}

  • AnomalySubscriptionRessource ARN

    arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}

Verwenden Sie eine Richtlinie, die dieser Beispielrichtlinie ähnelt, damit die IAM Entität einen Anomaliemonitor oder ein Anomalieabonnement abrufen und erstellen kann.

Anmerkung

  • Bei ce:GetAnomalyMonitor und ce:GetAnomalySubscription haben Benutzer die vollständige oder keine Zugriffskontrolle auf Ressourcenebene. Dies setzt voraus, dass die Richtlinie ein generisches Mittel ARN in der Form von arn:${partition}:ce::${account-id}:anomalymonitor/*arn:${partition}:ce::${account-id}:anomalysubscription/*, oder verwendet. *

  • Für ce:CreateAnomalyMonitor ce:CreateAnomalySubscription und haben wir keine Ressource ARN für diese Ressource. Die Richtlinie verwendet also immer das GenerikumARN, das im vorherigen Punkt erwähnt bullet.

  • Verwenden ce:GetAnomalies Sie für den optionalen monitorArn Parameter. Bei Verwendung dieses Parameters bestätigen wir, ob der Benutzer Zugriff auf das monitorArn übergebene Objekt hat.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ce:GetAnomalyMonitors",
                "ce:CreateAnomalyMonitor"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalymonitor/*"
        }, 
        {
            "Action": [
                "ce:GetAnomalySubscriptions",
                "ce:CreateAnomalySubscription"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalysubscription/*"
        }
    ]
}

Verwenden Sie eine Richtlinie, die dieser Beispielrichtlinie ähnelt, damit die IAM Entität Anomaliemonitore aktualisieren oder löschen kann.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor",
                "ce:DeleteAnomalyMonitor"
                ],
            "Resource": [
              "arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000",
              "arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001"
		]
         }
    ]
}

Steuern des Zugriffs mithilfe von Tags () ABAC

Sie können Tags (ABAC) verwenden, um den Zugriff auf Ressourcen zur Erkennung von Kostenanomalien zu steuern, die Tagging unterstützen. Um den Zugriff mithilfe von Tags zu steuern, geben Sie die Tag-Informationen im Condition Element einer Richtlinie an. Anschließend können Sie eine IAM Richtlinie erstellen, die den Zugriff auf eine Ressource auf der Grundlage der Tags der Ressource gewährt oder verweigert. Sie können Tag-Bedingungsschlüssel verwenden, um den Zugriff auf Ressourcen, Anfragen oder einen beliebigen Teil des Autorisierungsprozesses zu kontrollieren. Weitere Informationen zu IAM Rollen mithilfe von Tags finden Sie unter Steuern des Zugriffs auf und für Benutzer und Rollen mithilfe von Tags im IAMBenutzerhandbuch.

Erstellen Sie eine identitätsbasierte Richtlinie, die die Aktualisierung von Anomaliemonitoren ermöglicht. Wenn das Monitor-Tag den Wert des Benutzernamens Owner hat, verwenden Sie eine Richtlinie, die dieser Beispielrichtlinie ähnelt.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor"
            ],
            "Resource": "arn:aws:ce::*:anomalymonitor/*",
            "Condition": {
                "StringEquals": {
			"aws:ResourceTag/Owner": "${aws:username}"
		   }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ce:GetAnomalyMonitors",
            "Resource": "*"
        }
    ]
}