Contrôle d'accès et exemples de détection des anomalies de coûts - AWS Gestion des coûts
Contrôle de l'accès à l'aide de politiques au niveau des ressourcesContrôle de l'accès à l'aide de balises (ABAC)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôle d'accès et exemples de détection des anomalies de coûts

Vous pouvez utiliser des contrôles d'accès au niveau des ressources et des balises de contrôle d'accès basé sur les attributs (ABAC) pour surveiller les anomalies de coûts et les abonnements aux anomalies. Chaque ressource de surveillance des anomalies et d'abonnement aux anomalies possède un Amazon Resource Name (ARN) unique. Vous pouvez également associer des balises (paires clé-valeur) à chaque entité. Les ARN de ressources et les balises ABAC peuvent être utilisés pour donner un contrôle d'accès granulaire aux rôles ou aux groupes d'utilisateurs au sein de votre entreprise. Comptes AWS

Pour plus d'informations sur les contrôles d'accès au niveau des ressources et les balises ABAC, consultez. Comment fonctionne la gestion des AWS coûts avec IAM

Note

La détection des anomalies de coûts ne prend pas en charge les politiques basées sur les ressources. Les politiques basées sur les ressources sont directement associées aux AWS ressources. Pour plus d'informations sur la différence entre les politiques et les autorisations, consultez les sections Politiques basées sur l'identité et politiques basées sur les ressources dans le Guide de l'utilisateur IAM.

Contrôle de l'accès à l'aide de politiques au niveau des ressources

Vous pouvez utiliser les autorisations au niveau des ressources pour autoriser ou refuser l'accès à une ou plusieurs ressources de détection des anomalies de coût dans une politique IAM. Vous pouvez également utiliser des autorisations au niveau des ressources pour autoriser ou refuser l'accès à toutes les ressources de détection des anomalies de coûts.

Lorsque vous créez un IAM, utilisez les formats Amazon Resource Name (ARN) suivants :

  • AnomalyMonitorARN de la ressource

    arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}

  • AnomalySubscriptionARN de la ressource

    arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}

Pour permettre à l'entité IAM d'obtenir et de créer un moniteur d'anomalies ou un abonnement aux anomalies, utilisez une politique similaire à cet exemple de stratégie.

Note

  • Pour ce:GetAnomalyMonitor etce:GetAnomalySubscription, les utilisateurs disposent de tout ou d'aucun contrôle d'accès au niveau des ressources. Cela nécessite que la politique utilise un ARN générique sous la forme de arn:${partition}:ce::${account-id}:anomalymonitor/*arn:${partition}:ce::${account-id}:anomalysubscription/*, ou*.

  • Pour ce:CreateAnomalyMonitor etce:CreateAnomalySubscription, nous n'avons pas d'ARN de ressource pour cette ressource. La politique utilise donc toujours l'ARN générique mentionné dans le point précédent.

  • Pource:GetAnomalies, utilisez le monitorArn paramètre optionnel. Lorsqu'il est utilisé avec ce paramètre, nous confirmons si l'utilisateur a accès au monitorArn pass.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ce:GetAnomalyMonitors",
                "ce:CreateAnomalyMonitor"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalymonitor/*"
        }, 
        {
            "Action": [
                "ce:GetAnomalySubscriptions",
                "ce:CreateAnomalySubscription"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalysubscription/*"
        }
    ]
}

Pour permettre à l'entité IAM de mettre à jour ou de supprimer les moniteurs d'anomalies, utilisez une politique similaire à cet exemple de stratégie.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor",
                "ce:DeleteAnomalyMonitor"
                ],
            "Resource": [
              "arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000",
              "arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001"
		]
         }
    ]
}

Contrôle de l'accès à l'aide de balises (ABAC)

Vous pouvez utiliser des balises (ABAC) pour contrôler l'accès aux ressources de détection des anomalies de coûts qui prennent en charge le balisage. Pour contrôler l'accès à l'aide de balises, fournissez les informations relatives aux balises dans l'Conditionélément d'une politique. Vous pouvez ensuite créer une politique IAM qui autorise ou refuse l'accès à une ressource en fonction des balises de la ressource. Vous pouvez utiliser les clés de condition des balises pour contrôler l'accès aux ressources, aux demandes ou à toute partie du processus d'autorisation. Pour plus d'informations sur les rôles IAM utilisant des balises, consultez la section Contrôle de l'accès pour et pour les utilisateurs et les rôles à l'aide de balises dans le Guide de l'utilisateur IAM.

Créez une politique basée sur l'identité qui permet de mettre à jour les moniteurs d'anomalies. Si la balise monitor Owner a la valeur du nom d'utilisateur, utilisez une politique similaire à cet exemple de politique.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor"
            ],
            "Resource": "arn:aws:ce::*:anomalymonitor/*",
            "Condition": {
                "StringEquals": {
			"aws:ResourceTag/Owner": "${aws:username}"
		   }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ce:GetAnomalyMonitors",
            "Resource": "*"
        }
    ]
}