Controllo degli accessi ed esempi di rilevamento delle anomalie nei costi - AWS Gestione dei costi
Controllo dell'accesso tramite policy a livello di risorsaControllo dell'accesso tramite tag (ABAC)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo degli accessi ed esempi di rilevamento delle anomalie nei costi

Puoi utilizzare controlli di accesso a livello di risorsa e tag di controllo degli accessi basati sugli attributi (ABAC) per monitorare le anomalie dei costi e gli abbonamenti in caso di anomalie. Ogni risorsa di Anomaly Monitor e Anomaly Subscription ha un Amazon Resource Name (ARN) univoco. Puoi anche allegare tag (coppie chiave-valore) a ciascuna funzionalità. Sia gli ARN delle risorse che i tag ABAC possono essere utilizzati per fornire un controllo granulare degli accessi ai ruoli o ai gruppi di utenti all'interno dell'azienda. Account AWS

Per ulteriori informazioni sui controlli di accesso a livello di risorsa e sui tag ABAC, vedere. Come funziona AWS Cost Management con IAM

Nota

Cost Anomaly Detection non supporta le politiche basate sulle risorse. Le politiche basate sulle risorse sono collegate direttamente alle risorse. AWS Per ulteriori informazioni sulla differenza tra policy e autorizzazioni, consulta Politiche basate sull'identità e politiche basate sulle risorse nella IAM User Guide.

Controllo dell'accesso tramite policy a livello di risorsa

Puoi utilizzare le autorizzazioni a livello di risorsa per consentire o negare l'accesso a una o più risorse di Cost Anomaly Detection in una policy IAM. In alternativa, utilizza le autorizzazioni a livello di risorsa per consentire o negare l'accesso a tutte le risorse di Cost Anomaly Detection.

Quando crei un IAM, utilizza i seguenti formati Amazon Resource Name (ARN):

  • AnomalyMonitorrisorsa ARN

    arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}

  • AnomalySubscriptionrisorsa ARN

    arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}

Per consentire all'entità IAM di ottenere e creare un monitoraggio delle anomalie o un abbonamento alle anomalie, utilizza una policy simile a questa policy di esempio.

Nota

  • Per ce:GetAnomalyMonitor ece:GetAnomalySubscription, gli utenti dispongono del controllo totale o nullo degli accessi a livello di risorsa. Ciò richiede che la policy utilizzi un ARN generico sotto forma di arn:${partition}:ce::${account-id}:anomalymonitor/*arn:${partition}:ce::${account-id}:anomalysubscription/*, o. *

  • Per ce:CreateAnomalyMonitor ece:CreateAnomalySubscription, non abbiamo un ARN di risorsa per questa risorsa. Pertanto, la policy utilizza sempre l'ARN generico menzionato nel precedente bullet.

  • Perce:GetAnomalies, utilizzate il parametro opzionalemonitorArn. Se utilizzato con questo parametro, confermiamo se l'utente ha accesso al monitorArn passato.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ce:GetAnomalyMonitors",
                "ce:CreateAnomalyMonitor"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalymonitor/*"
        }, 
        {
            "Action": [
                "ce:GetAnomalySubscriptions",
                "ce:CreateAnomalySubscription"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalysubscription/*"
        }
    ]
}

Per consentire all'entità IAM di aggiornare o eliminare i monitor delle anomalie, utilizza una policy simile a questa policy di esempio.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor",
                "ce:DeleteAnomalyMonitor"
                ],
            "Resource": [
              "arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000",
              "arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001"
		]
         }
    ]
}

Controllo dell'accesso tramite tag (ABAC)

È possibile utilizzare i tag (ABAC) per controllare l'accesso alle risorse di rilevamento delle anomalie di costo che supportano l'etichettatura. Per controllare l'accesso tramite tag, fornisci le informazioni relative ai tag nell'Conditionelemento di una policy. Puoi quindi creare una policy IAM che consenta o neghi l'accesso a una risorsa in base ai tag della risorsa. Puoi utilizzare i tasti di condizione dei tag per controllare l'accesso alle risorse, alle richieste o a qualsiasi parte del processo di autorizzazione. Per ulteriori informazioni sui ruoli IAM che utilizzano i tag, consulta Controlling access to e for users and roles using tags nella IAM User Guide.

Crea una policy basata sull'identità che consenta di aggiornare i monitor delle anomalie. Se il tag monitor Owner ha il valore del nome utente, utilizza una politica simile a questa politica di esempio.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor"
            ],
            "Resource": "arn:aws:ce::*:anomalymonitor/*",
            "Condition": {
                "StringEquals": {
			"aws:ResourceTag/Owner": "${aws:username}"
		   }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ce:GetAnomalyMonitors",
            "Resource": "*"
        }
    ]
}