Mengontrol akses menggunakan kebijakan tingkat sumber daya Mengontrol akses menggunakan tag (ABAC)

Mengontrol akses untuk Deteksi Anomali Biaya

Anda dapat menggunakan kontrol akses tingkat sumber daya dan tag kontrol akses berbasis atribut (ABAC) untuk monitor anomali biaya dan langganan anomali. Setiap monitor anomali dan sumber daya langganan anomali memiliki Nama Sumber Daya Amazon (ARN) yang unik. Anda juga dapat melampirkan tag (pasangan kunci-nilai) ke setiap fitur. Baik tag sumber daya ARNs dan ABAC dapat digunakan untuk memberikan kontrol akses terperinci ke peran atau grup pengguna di dalam Anda. Akun AWS

Untuk informasi selengkapnya tentang kontrol akses tingkat sumber daya dan tag ABAC, lihat. Bagaimana Manajemen AWS Biaya bekerja dengan IAM

catatan

Deteksi Anomali Biaya tidak mendukung kebijakan berbasis sumber daya. Kebijakan berbasis sumber daya secara langsung melekat pada sumber daya. AWS Untuk informasi selengkapnya tentang perbedaan antara kebijakan dan izin, lihat Kebijakan berbasis identitas dan kebijakan berbasis sumber daya di Panduan Pengguna IAM.

Mengontrol akses menggunakan kebijakan tingkat sumber daya

Anda dapat menggunakan izin tingkat sumber daya untuk mengizinkan atau menolak akses ke satu atau beberapa sumber daya Deteksi Anomali Biaya dalam kebijakan IAM. Atau, gunakan izin tingkat sumber daya untuk mengizinkan atau menolak akses ke semua sumber daya Deteksi Anomali Biaya.

Saat Anda membuat IAM, gunakan format Amazon Resource Name (ARN) berikut:

AnomalyMonitorsumber daya ARN

arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}
AnomalySubscriptionsumber daya ARN

arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}

Untuk memungkinkan entitas IAM mendapatkan dan membuat monitor anomali atau langganan anomali, gunakan kebijakan yang mirip dengan kebijakan contoh ini.

catatan

Untuk ce:GetAnomalyMonitor dance:GetAnomalySubscription, pengguna memiliki semua atau tidak ada kontrol akses tingkat sumber daya. Ini mensyaratkan kebijakan untuk menggunakan ARN generik dalam bentuk arn:${partition}:ce::${account-id}:anomalymonitor/*arn:${partition}:ce::${account-id}:anomalysubscription/*,, atau. *
Untuk ce:CreateAnomalyMonitor dance:CreateAnomalySubscription, kami tidak memiliki ARN sumber daya untuk sumber daya ini. Jadi, kebijakan selalu menggunakan ARN generik yang disebutkan dalam bullet sebelumnya.
Untukce:GetAnomalies, gunakan monitorArn parameter opsional. Saat digunakan dengan parameter ini, kami mengonfirmasi apakah pengguna memiliki akses ke yang monitorArn diteruskan.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ce:GetAnomalyMonitors",
                "ce:CreateAnomalyMonitor"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalymonitor/*"
        }, 
        {
            "Action": [
                "ce:GetAnomalySubscriptions",
                "ce:CreateAnomalySubscription"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalysubscription/*"
        }
    ]
}

Untuk mengizinkan entitas IAM memperbarui atau menghapus monitor anomali, gunakan kebijakan yang mirip dengan kebijakan contoh ini.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor",
                "ce:DeleteAnomalyMonitor"
                ],
            "Resource": [
              "arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000",
              "arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001"
		]
         }
    ]
}

Mengontrol akses menggunakan tag (ABAC)

Anda dapat menggunakan tag (ABAC) untuk mengontrol akses ke sumber daya Deteksi Anomali Biaya yang mendukung penandaan. Untuk mengontrol akses menggunakan tag, berikan informasi tag dalam Condition elemen kebijakan. Anda kemudian dapat membuat kebijakan IAM yang mengizinkan atau menolak akses ke sumber daya berdasarkan tag sumber daya. Anda dapat menggunakan tombol kondisi tag untuk mengontrol akses ke sumber daya, permintaan, atau bagian apa pun dari proses otorisasi. Untuk informasi selengkapnya tentang peran IAM menggunakan tag, lihat Mengontrol akses ke dan untuk pengguna dan peran yang menggunakan tag di Panduan Pengguna IAM.

Buat kebijakan berbasis identitas yang memungkinkan memperbarui monitor anomali. Jika tag monitor Owner memiliki nilai nama pengguna, gunakan kebijakan yang mirip dengan kebijakan contoh ini.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor"
            ],
            "Resource": "arn:aws:ce::*:anomalymonitor/*",
            "Condition": {
                "StringEquals": {
			"aws:ResourceTag/Owner": "${aws:username}"
		   }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ce:GetAnomalyMonitors",
            "Resource": "*"
        }
    ]
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menyiapkan deteksi anomali Anda

Memulai Deteksi Anomali AWS Biaya