Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengontrol akses untuk Deteksi Anomali Biaya
Anda dapat menggunakan kontrol akses tingkat sumber daya dan tag kontrol akses berbasis atribut (ABAC) untuk monitor anomali biaya dan langganan anomali. Setiap monitor anomali dan sumber daya langganan anomali memiliki Nama Sumber Daya Amazon (ARN) yang unik. Anda juga dapat melampirkan tag (pasangan kunci-nilai) ke setiap fitur. Baik tag sumber daya ARNs dan ABAC dapat digunakan untuk memberikan kontrol akses terperinci ke peran atau grup pengguna di dalam Anda. Akun AWS
Untuk informasi selengkapnya tentang kontrol akses tingkat sumber daya dan tag ABAC, lihat. Bagaimana Manajemen AWS Biaya bekerja dengan IAM
catatan
Deteksi Anomali Biaya tidak mendukung kebijakan berbasis sumber daya. Kebijakan berbasis sumber daya secara langsung melekat pada sumber daya. AWS Untuk informasi selengkapnya tentang perbedaan antara kebijakan dan izin, lihat Kebijakan berbasis identitas dan kebijakan berbasis sumber daya di Panduan Pengguna IAM.
Mengontrol akses menggunakan kebijakan tingkat sumber daya
Anda dapat menggunakan izin tingkat sumber daya untuk mengizinkan atau menolak akses ke satu atau beberapa sumber daya Deteksi Anomali Biaya dalam kebijakan IAM. Atau, gunakan izin tingkat sumber daya untuk mengizinkan atau menolak akses ke semua sumber daya Deteksi Anomali Biaya.
Saat Anda membuat IAM, gunakan format Amazon Resource Name (ARN) berikut:
-
AnomalyMonitor
sumber daya ARNarn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}
-
AnomalySubscription
sumber daya ARNarn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}
Untuk memungkinkan entitas IAM mendapatkan dan membuat monitor anomali atau langganan anomali, gunakan kebijakan yang mirip dengan kebijakan contoh ini.
catatan
-
Untuk
ce:GetAnomalyMonitor
dance:GetAnomalySubscription
, pengguna memiliki semua atau tidak ada kontrol akses tingkat sumber daya. Ini mensyaratkan kebijakan untuk menggunakan ARN generik dalam bentukarn:${partition}:ce::${account-id}:anomalymonitor/*
arn:${partition}:ce::${account-id}:anomalysubscription/*
,, atau.*
-
Untuk
ce:CreateAnomalyMonitor
dance:CreateAnomalySubscription
, kami tidak memiliki ARN sumber daya untuk sumber daya ini. Jadi, kebijakan selalu menggunakan ARN generik yang disebutkan dalam bullet sebelumnya. -
Untuk
ce:GetAnomalies
, gunakanmonitorArn
parameter opsional. Saat digunakan dengan parameter ini, kami mengonfirmasi apakah pengguna memiliki akses ke yangmonitorArn
diteruskan.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ce:GetAnomalyMonitors", "ce:CreateAnomalyMonitor" ], "Effect": "Allow", "Resource": "arn:aws:ce::999999999999:anomalymonitor/*" }, { "Action": [ "ce:GetAnomalySubscriptions", "ce:CreateAnomalySubscription" ], "Effect": "Allow", "Resource": "arn:aws:ce::999999999999:anomalysubscription/*" } ] }
Untuk mengizinkan entitas IAM memperbarui atau menghapus monitor anomali, gunakan kebijakan yang mirip dengan kebijakan contoh ini.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:UpdateAnomalyMonitor", "ce:DeleteAnomalyMonitor" ], "Resource": [ "arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000", "arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001" ] } ] }
Mengontrol akses menggunakan tag (ABAC)
Anda dapat menggunakan tag (ABAC) untuk mengontrol akses ke sumber daya Deteksi Anomali Biaya yang mendukung penandaan. Untuk mengontrol akses menggunakan tag, berikan informasi tag dalam Condition
elemen kebijakan. Anda kemudian dapat membuat kebijakan IAM yang mengizinkan atau menolak akses ke sumber daya berdasarkan tag sumber daya. Anda dapat menggunakan tombol kondisi tag untuk mengontrol akses ke sumber daya, permintaan, atau bagian apa pun dari proses otorisasi. Untuk informasi selengkapnya tentang peran IAM menggunakan tag, lihat Mengontrol akses ke dan untuk pengguna dan peran yang menggunakan tag di Panduan Pengguna IAM.
Buat kebijakan berbasis identitas yang memungkinkan memperbarui monitor anomali. Jika tag monitor Owner
memiliki nilai nama pengguna, gunakan kebijakan yang mirip dengan kebijakan contoh ini.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:UpdateAnomalyMonitor" ], "Resource": "arn:aws:ce::*:anomalymonitor/*", "Condition": { "StringEquals": { "aws:ResourceTag/Owner": "${aws:username}" } } }, { "Effect": "Allow", "Action": "ce:GetAnomalyMonitors", "Resource": "*" } ] }