Cómo controlar el acceso a la característica de Detección de anomalías en los costos - AWS Gestión de costes
Controlar el acceso a las políticas a nivel de recursosControlar el acceso mediante etiquetas () ABAC

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo controlar el acceso a la característica de Detección de anomalías en los costos

Puede utilizar controles de acceso a nivel de recursos y etiquetas de control de acceso basado en atributos (ABAC) para los monitores de anomalías de costes y las suscripciones de anomalías. Cada recurso de monitorización de anomalías y suscripción a anomalías tiene un nombre de recurso de Amazon único ()ARN. También puede adjuntar etiquetas (pares clave-valor) a cada característica. Tanto el recurso como ARNs las ABAC etiquetas se pueden utilizar para proporcionar un control de acceso detallado a los roles o grupos de usuarios de su empresa. Cuentas de AWS

Para obtener más información sobre las ABAC etiquetas y los controles de acceso a nivel de recursos, consulte. Cómo funciona la administración de AWS costos con IAM

nota

La Detección de anomalías en los costos no es compatible con políticas basadas en recursos. Las políticas basadas en recursos se adjuntan directamente a los recursos. AWS Para obtener más información sobre la diferencia entre políticas y permisos, consulte Políticas basadas en la identidad y políticas basadas en recursos en la Guía del usuario. IAM

Controlar el acceso a las políticas a nivel de recursos

Puede utilizar los permisos a nivel de recurso para permitir o denegar el acceso a uno o más recursos de detección de anomalías de costes de una política. IAM Si lo prefiere, puede utilizar permisos a nivel de recursos para conceder o denegar el acceso a todos los recursos de Detección de anomalías en los costos.

Al crear unaIAM, utilice los siguientes formatos de nombre de recurso de Amazon (ARN):

  • AnomalyMonitorrecurso ARN

    arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}

  • AnomalySubscriptionrecurso ARN

    arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}

Para permitir que la IAM entidad obtenga y cree un monitor de anomalías o una suscripción de anomalías, utilice una política similar a esta política de ejemplo.

nota

  • Para ce:GetAnomalyMonitor y ce:GetAnomalySubscription, los usuarios tienen todos los controles de acceso a nivel de recursos o ninguno de ellos. Esto requiere que la política utilice un genérico ARN en forma de arn:${partition}:ce::${account-id}:anomalymonitor/*arn:${partition}:ce::${account-id}:anomalysubscription/*, o. *

  • Para ce:CreateAnomalyMonitor yce:CreateAnomalySubscription, no tenemos un recurso ARN para este recurso. Por lo tanto, la política siempre usa el genérico ARN que se mencionó en el bullet anterior.

  • En el caso de ce:GetAnomalies, utilice el parámetro opcional monitorArn. Al usarlo con este parámetro, confirmamos si el usuario tiene acceso al monitorArn aprobado.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ce:GetAnomalyMonitors",
                "ce:CreateAnomalyMonitor"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalymonitor/*"
        }, 
        {
            "Action": [
                "ce:GetAnomalySubscriptions",
                "ce:CreateAnomalySubscription"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalysubscription/*"
        }
    ]
}

Para permitir que la IAM entidad actualice o elimine los monitores de anomalías, utilice una política similar a esta política de ejemplo.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor",
                "ce:DeleteAnomalyMonitor"
                ],
            "Resource": [
              "arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000",
              "arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001"
		]
         }
    ]
}

Controlar el acceso mediante etiquetas () ABAC

Puede usar tags (ABAC) para controlar el acceso a los recursos de detección de anomalías de costes que admiten el etiquetado. Para controlar el acceso al uso de etiquetas, debe proporcionar información de las etiquetas en el elemento de Condition de una política. A continuación, puede crear una IAM política que permita o deniegue el acceso a un recurso en función de las etiquetas del recurso. Puede utilizar las claves de condición de etiqueta para controlar el acceso a recursos, solicitudes o cualquier parte del proceso de autorización. Para obtener más información sobre IAM los roles que utilizan etiquetas, consulte Controlar el acceso a y para los usuarios y los roles mediante etiquetas en la Guía del IAM usuario.

Cree una política basada en la identidad que permita actualizar los monitores de anomalías. Si el Owner de la etiqueta del monitor tiene el valor del nombre de usuario, utilice una política similar a esta política de ejemplo.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor"
            ],
            "Resource": "arn:aws:ce::*:anomalymonitor/*",
            "Condition": {
                "StringEquals": {
			"aws:ResourceTag/Owner": "${aws:username}"
		   }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ce:GetAnomalyMonitors",
            "Resource": "*"
        }
    ]
}