Control de acceso y ejemplos de Detección de anomalías en los costos - AWS Gestión de costes
Controlar el acceso a las políticas a nivel de recursosControl del acceso mediante etiquetas (ABAC)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Control de acceso y ejemplos de Detección de anomalías en los costos

Puede utilizar controles de acceso a nivel de recursos y etiquetas de control de acceso basado en atributos (ABAC) para los monitores de anomalías en los costos y las suscripciones a anomalías. Cada monitor de anomalías y recurso de suscripción a anomalías tiene un nombre de recurso de Amazon (ARN) único. También puede adjuntar etiquetas (pares clave-valor) a cada característica. Se pueden utilizar tanto los ARN de los recursos como las etiquetas ABAC para proporcionar un control de acceso pormenorizado a los roles de usuario o a los grupos de sus Cuentas de AWS.

Para obtener más información sobre los controles de acceso a nivel de recursos y las etiquetas ABAC, consulte Cómo funciona la administración de AWS costos con IAM.

nota

La Detección de anomalías en los costos no es compatible con políticas basadas en recursos. Las políticas basadas en recursos se adjuntan directamente a los AWS recursos. Para obtener más información sobre las diferencias entre las políticas y los permisos, consulte Políticas basadas en identidades y políticas basadas en recursos en la Guía del usuario de IAM.

Controlar el acceso a las políticas a nivel de recursos

Puede utilizar permisos a nivel de recursos para conceder o denegar el acceso a uno o más recursos de Detección de anomalías en los costos en una política de IAM. Si lo prefiere, puede utilizar permisos a nivel de recursos para conceder o denegar el acceso a todos los recursos de Detección de anomalías en los costos.

Al crear un IAM, utilice los siguientes formatos de nombre de recurso de Amazon (ARN):

  • AnomalyMonitor: ARN de recurso

    arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}

  • AnomalySubscription: ARN de recurso

    arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}

Para permitir que la entidad de IAM obtenga y cree un monitor de anomalías o una suscripción de anomalías, utilice una política similar a esta política de ejemplo.

nota

  • Para ce:GetAnomalyMonitor y ce:GetAnomalySubscription, los usuarios tienen todos los controles de acceso a nivel de recursos o ninguno de ellos. Esto requiere que la política utilice un ARN genérico en forma de arn:${partition}:ce::${account-id}:anomalymonitor/*, arn:${partition}:ce::${account-id}:anomalysubscription/* o *.

  • Para ce:CreateAnomalyMonitor y ce:CreateAnomalySubscription, no tenemos un ARN para este recurso. Por lo tanto, la política siempre usa el ARN genérico que se mencionó en el punto anterior.

  • En el caso de ce:GetAnomalies, utilice el parámetro opcional monitorArn. Al usarlo con este parámetro, confirmamos si el usuario tiene acceso al monitorArn aprobado.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ce:GetAnomalyMonitors",
                "ce:CreateAnomalyMonitor"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalymonitor/*"
        }, 
        {
            "Action": [
                "ce:GetAnomalySubscriptions",
                "ce:CreateAnomalySubscription"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalysubscription/*"
        }
    ]
}

Para permitir que la entidad de IAM actualice o elimine los monitores de anomalías, utilice una política similar a esta política de ejemplo.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor",
                "ce:DeleteAnomalyMonitor"
                ],
            "Resource": [
              "arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000",
              "arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001"
		]
         }
    ]
}

Control del acceso mediante etiquetas (ABAC)

Puede utilizar etiquetas (ABAC) para controlar el acceso a los recursos de Detección de anomalías en los costos que admiten etiquetado. Para controlar el acceso al uso de etiquetas, debe proporcionar información de las etiquetas en el elemento de Condition de una política. A continuación, puede crear una política de IAM que permita o deniegue el acceso a un recurso en función de las etiquetas de dicho recurso. Puede utilizar las claves de condición de etiqueta para controlar el acceso a recursos, solicitudes o cualquier parte del proceso de autorización. Para obtener más información sobre el uso de etiquetas por parte de los roles de IAM, consulte Control del acceso a y para los usuarios y roles mediante etiquetas en la Guía del usuario de IAM.

Cree una política basada en la identidad que permita actualizar los monitores de anomalías. Si el Owner de la etiqueta del monitor tiene el valor del nombre de usuario, utilice una política similar a esta política de ejemplo.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor"
            ],
            "Resource": "arn:aws:ce::*:anomalymonitor/*",
            "Condition": {
                "StringEquals": {
			"aws:ResourceTag/Owner": "${aws:username}"
		   }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ce:GetAnomalyMonitors",
            "Resource": "*"
        }
    ]
}