Zugriffskontrolle und Beispiele für die Erkennung von Kostenanomalien - AWS Kostenmanagement
Steuern des Zugriffs mithilfe von Richtlinien auf RessourcenebeneSteuern des Zugriffs mithilfe von Tags (ABAC)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugriffskontrolle und Beispiele für die Erkennung von Kostenanomalien

Sie können Zugriffskontrollen auf Ressourcenebene und attributbasierte Zugriffskontroll-Tags (ABAC) für Kostenanomalie-Monitore und Anomalieabonnements verwenden. Jede Ressource für Anomalieüberwachung und Anomalieabonnement hat einen eindeutigen Amazon-Ressourcennamen (ARN). Sie können auch Tags (Schlüssel-Wert-Paare) an jedes Feature anfügen. Sowohl Ressourcen-ARNs als auch ABAC-Tags können verwendet werden, um eine detaillierte Zugriffskontrolle für Benutzerrollen oder Gruppen in Ihrem zu ermöglichen AWS-Konten.

Weitere Informationen zu Zugriffskontrollen auf Ressourcenebene und ABAC-Tags finden Sie unter Wie funktioniert AWS Cost Management mit IAM.

Anmerkung

Die -Kostenanomalie-Erkennung unterstützt keine ressourcenbasierten Richtlinien. Ressourcenbasierte Richtlinien werden direkt an AWS Ressourcen angefügt. Weitere Informationen zum Unterschied zwischen Richtlinien und Berechtigungen finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien im IAM-Benutzerhandbuch.

Steuern des Zugriffs mithilfe von Richtlinien auf Ressourcenebene

Sie können Berechtigungen auf Ressourcenebene verwenden, um den Zugriff auf eine oder mehrere Ressourcen zur Erkennung von Kostenanomalien in einer IAM-Richtlinie zu erlauben oder zu verweigern. Alternativ können Sie auch Berechtigungen auf Ressourcenebene verwenden, um den Zugriff auf alle Ressourcen der -Kostenanomalie-Erkennung zu erlauben oder zu verweigern.

Verwenden Sie beim Erstellen eines IAM die folgenden Formate für den Amazon-Ressourcennamen (ARN):

  • AnomalyMonitor Ressourcen-ARN

    arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}

  • AnomalySubscription Ressourcen-ARN

    arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}

Um der IAM-Entität zu erlauben, einen Anomaliemonitor oder ein Anomalieabonnement abzurufen und zu erstellen, verwenden Sie eine Richtlinie ähnlich dieser Beispielrichtlinie.

Anmerkung

  • Für ce:GetAnomalyMonitor und haben ce:GetAnomalySubscriptionBenutzer die Zugriffssteuerung auf Ressourcenebene ganz oder gar nicht. Dazu muss die Richtlinie einen generischen ARN in der Form von arn:${partition}:ce::${account-id}:anomalymonitor/*, arn:${partition}:ce::${account-id}:anomalysubscription/*oder verwenden*.

  • Für ce:CreateAnomalyMonitor und haben ce:CreateAnomalySubscriptionwir keinen Ressourcen-ARN für diese Ressource. Daher verwendet die Richtlinie immer den generischen ARN, der im vorherigen Aufzählungspunkt erwähnt wurde.

  • ce:GetAnomaliesVerwenden Sie für den optionalen monitorArn Parameter . Bei Verwendung mit diesem Parameter bestätigen wir, ob der Benutzer Zugriff auf den monitorArn übergebenen hat.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ce:GetAnomalyMonitors",
                "ce:CreateAnomalyMonitor"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalymonitor/*"
        }, 
        {
            "Action": [
                "ce:GetAnomalySubscriptions",
                "ce:CreateAnomalySubscription"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalysubscription/*"
        }
    ]
}

Um der IAM-Entität das Aktualisieren oder Löschen von Anomalie-Monitoren zu ermöglichen, verwenden Sie eine Richtlinie ähnlich dieser Beispielrichtlinie.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor",
                "ce:DeleteAnomalyMonitor"
                ],
            "Resource": [
              "arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000",
              "arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001"
		]
         }
    ]
}

Steuern des Zugriffs mithilfe von Tags (ABAC)

Sie können Tags (ABAC) verwenden, um den Zugriff auf Ressourcen zur -Kostenanomalieerkennung zu steuern, die das Markieren unterstützen. Um den Zugriff mithilfe von Tags zu steuern, geben Sie die Tag-Informationen im -ConditionElement einer Richtlinie an. Anschließend können Sie eine IAM-Richtlinie erstellen, die den Zugriff auf eine Ressource basierend auf den Tags der Ressource erlaubt oder verweigert. Sie können Tag-Bedingungsschlüssel verwenden, um den Zugriff auf Ressourcen, Anforderungen oder einen beliebigen Teil des Autorisierungsprozesses zu steuern. Weitere Informationen zu IAM-Rollen mithilfe von Tags finden Sie unter Steuern des Zugriffs auf und für Benutzer und Rollen mithilfe von Tags im IAM-Benutzerhandbuch.

Erstellen Sie eine identitätsbasierte Richtlinie, die das Aktualisieren von Anomalieüberwachungen ermöglicht. Wenn das Monitor-Tag den Wert des Benutzernamens Owner hat, verwenden Sie eine Richtlinie, die dieser Beispielrichtlinie ähnelt.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor"
            ],
            "Resource": "arn:aws:ce::*:anomalymonitor/*",
            "Condition": {
                "StringEquals": {
			"aws:ResourceTag/Owner": "${aws:username}"
		   }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ce:GetAnomalyMonitors",
            "Resource": "*"
        }
    ]
}