ポリシーのベストプラクティスコンソールを使用する場合自分の権限の表示をユーザーに許可する請求IAMポリシーの使用

AWS 請求を含むアイデンティティベースのポリシー

デフォルトでは、ユーザーおよびロールには、Billing リソースを作成または変更するアクセス許可はありません。また、、 AWS Command Line Interface （AWS CLI） AWS Management Console、またはを使用してタスクを実行することはできません AWS API。必要なリソースに対してアクションを実行するアクセス許可をユーザーに付与するには、IAM管理者はIAMポリシーを作成できます。その後、管理者はIAMポリシーをロールに追加し、ユーザーはロールを引き受けることができます。

これらのポリシードキュメント例を使用して IAM ID ベースのJSONポリシーを作成する方法については、IAM「ユーザーガイド」のIAM「ポリシーの作成 (コンソール）」を参照してください。

ARNs 各リソースタイプのの形式など、請求によって定義されるアクションとリソースタイプの詳細については、「サービス認可リファレンス」のAWS 「請求のアクション、リソース、および条件キー」を参照してください。

ポリシーのベストプラクティス

アイデンティティベースのポリシーは、あるユーザーがアカウントの Billing リソースを作成、アクセス、削除できるどうかを決定します。これらのアクションを実行すると、 AWS アカウントに料金が発生する可能性があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:

AWS マネージドポリシーを開始し、最小権限のアクセス許可に移行 – ユーザーとワークロードにアクセス許可を付与するには、多くの一般的なユースケースにアクセス許可を付与するAWS マネージドポリシーを使用します。これらはで利用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、IAM「ユーザーガイド」の「 AWS 管理ポリシー」または AWS ジョブ機能の管理ポリシーを参照してください。
最小権限のアクセス許可を適用する – IAMポリシーでアクセス許可を設定する場合、タスクの実行に必要なアクセス許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用してアクセス許可を適用する方法の詳細については、ユーザーガイドの「」の「ポリシーとアクセス許可IAM」を参照してください。 IAM
IAM ポリシーの条件を使用してアクセスをさらに制限する – ポリシーに条件を追加して、アクションとリソースへのアクセスを制限できます。例えば、ポリシー条件を記述して、すべてのリクエストをを使用して送信する必要があることを指定できますSSL。また、などの特定のを通じてサービスアクションが使用されている場合 AWS のサービス、条件を使用してサービスアクションへのアクセスを許可することもできます AWS CloudFormation。詳細については、「ユーザーガイド」のIAMJSON「ポリシー要素: 条件」を参照してください。 IAM
IAM Access Analyzer を使用してIAMポリシーを検証し、安全で機能的なアクセス許可を確保します。IAMAccess Analyzer は、ポリシーがポリシー言語 (JSON) とIAMベストプラクティスに準拠するように、新規および既存のIAMポリシーを検証します。IAM Access Analyzer には、安全で機能的なポリシーの作成に役立つ 100 を超えるポリシーチェックと実用的な推奨事項が用意されています。詳細については、IAM「ユーザーガイド」のIAM「Access Analyzer を使用したポリシーの検証」を参照してください。
多要素認証が必要 (MFA） – でIAMユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、をオンにMFAしてセキュリティを強化します。API オペレーションが呼び出されるMFAタイミングを要求するには、ポリシーにMFA条件を追加します。詳細については、「ユーザーガイド」の「によるセキュアAPIアクセスMFA」を参照してください。 IAM

のベストプラクティスの詳細についてはIAM、「ユーザーガイド」の「セキュリティのベストプラクティスIAM」を参照してください。 IAM

Billing コンソールの使用

AWS 請求コンソールにアクセスするには、最小限のアクセス許可のセットが必要です。これらのアクセス許可により、の請求リソースの詳細を一覧表示および表示できます AWS アカウント。最小限必要な許可よりも制限が厳しいアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ (ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。

AWS CLI またはのみに呼び出しを行うユーザーに対して、最小限のコンソールアクセス許可を付与する必要はありません AWS API。代わりに、実行しようとしているAPIオペレーションに一致するアクションにのみアクセスを許可します。

AWS 請求コンソール、管理者アクセス、読み取り専用アクセスを有効にするために必要なアクセス許可などのアクセスの詳細は、 AWS マネージドポリシーセクションで確認できます。

自分の権限の表示をユーザーに許可する

この例では、IAMユーザーがユーザー ID にアタッチされているインラインポリシーとマネージドポリシーを表示できるようにするポリシーを作成する方法を示します。このポリシーには、コンソールで、または AWS CLI またはを使用してプログラムでこのアクションを実行するアクセス許可が含まれています AWS API。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Billing のアイデンティティベースのポリシーの使用

注記

次の AWS Identity and Access Management （IAM) アクションは、2023 年 7 月に標準サポートが終了しました。

aws-portal 名前空間
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

を使用している場合は AWS Organizations、一括ポリシー移行スクリプトまたは一括ポリシー移行スクリプトを使用して、支払者アカウントからポリシーを更新できます。古いアクションマッピングリファレンスからきめ細かなアクションマッピングリファレンスを使用して、追加する必要があるIAMアクションを検証することもできます。

をお持ちの場合 AWS アカウント、またはが 2023 年 3 月 6 日 11:00 AM (PDT) 以降に AWS Organizations 作成されたの一部である場合、きめ細かなアクションは組織で既に有効です。

重要

IAM ポリシーに加えて、アカウント設定コンソールページの請求とコスト管理コンソールIAMへのアクセスを許可する必要があります。

詳細については、以下の各トピックを参照してください。

このセクションでは、ID ベースのポリシーアカウント管理者が ID (ロールとグループ) IAM にアクセス許可ポリシーをアタッチし、請求リソースでオペレーションを実行するアクセス許可を付与する方法を確認します。

AWS アカウントおよびユーザーの詳細については、 IAM ユーザーガイドの「とはIAM」を参照してください。

カスタマー管理ポリシーを更新する方法については、 IAM ユーザーガイドの「カスタマー管理ポリシーの編集 (コンソール）」を参照してください。

AWS 請求コンソールアクション

この表は、Billing コンソールの情報とツールへのアクセスを付与するアクセス許可をまとめたものです。これらのアクセス許可を使用するポリシーの例については、「AWS 請求ポリシーの例」を参照してください。

AWS コスト管理コンソールのアクションポリシーのリストについては、AWS 「コスト管理ユーザーガイド」の「コスト管理アクションポリシーAWS 」を参照してください。

アクセス許可名	説明
`aws-portal:ViewBilling`	Billing and Cost Management コンソールページを表示するアクセス許可を付与します。
`aws-portal:ModifyBilling`	次の Billing and Cost Management コンソールページを変更するアクセス許可を付与します。予算一括請求請求設定クレジット税金設定支払い方法発注書 Cost Allocation Tags IAM ユーザーがこれらのコンソールページを変更できるようにするには、 `ModifyBilling`との両方を許可する必要があります`ViewBilling`。ポリシーの例については、「IAM ユーザーに請求情報の変更を許可する」を参照してください。
`aws-portal:ViewAccount`	[アカウント設定] を表示するアクセス許可を付与します。
`aws-portal:ModifyAccount`	[アカウント設定] を変更するアクセス許可を付与します。 IAM ユーザーがアカウント設定を変更できるようにするには、 `ModifyAccount`との両方を許可する必要があります`ViewAccount`。アカウント設定コンソールページへのIAMユーザーアクセスを明示的に拒否するポリシーの例については、「」を参照してくださいアカウント設定へのアクセスは拒否するが、その他の請求および使用情報へのフルアクセスは許可する。
`aws-portal:ViewPaymentMethods`	[支払い方法] を表示するアクセス許可を付与します。
`aws-portal:ModifyPaymentMethods`	[支払い方法] を変更するアクセス許可を付与します。ユーザーに支払い方法の変更を許可するには、`ModifyPaymentMethods` と `ViewPaymentMethods` の両方を許可する必要があります。
`billing:ListBillingViews`	プロフォーマ請求グループの請求情報を取得するアクセス許可を付与します。これは、請求ページの AWS Billing Conductor またはAWS コストと使用状況レポートを使用して行われます。請求グループに関する詳細な情報は、「AWS Billing Conductor ユーザーガイド」の「請求グループの詳細の表示」を参照してください。
`sustainability:GetCarbonFootprintSummary`	AWS 顧客のカーボンフットプリントツールとデータを表示するアクセス許可を付与します。これは、請求とコスト管理コンソールの AWS コストと使用状況レポートページからアクセスできます。ポリシーの例については、「IAM ユーザーに請求情報とカーボンフットプリントレポートの表示を許可する」を参照してください。
`cur:DescribeReportDefinitions`	AWS コストと使用状況レポートを表示するアクセス許可を付与します。 AWS コストと使用状況レポートのアクセス許可は、AWS コストと使用状況レポートサービスAPIおよび請求とコスト管理コンソールを使用して作成されたすべてのレポートに適用されます。Billing and Cost Management コンソールを使用してレポートを作成する場合は、IAMユーザーのアクセス許可を更新することをお勧めします。許可を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権を失うことになります。ポリシーの例については、「IAM ユーザーにレポートコンソールページへのアクセスを許可する」を参照してください。
`cur:PutReportDefinition`	AWS コストと使用状況レポートを作成するアクセス許可を付与します。 AWS コストと使用状況レポートのアクセス許可は、AWS コストと使用状況レポートサービスAPIおよび請求とコスト管理コンソールを使用して作成されたすべてのレポートに適用されます。Billing and Cost Management コンソールを使用してレポートを作成する場合は、IAMユーザーのアクセス許可を更新することをお勧めします。許可を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権を失うことになります。ポリシーの例については、「IAM ユーザーにレポートコンソールページへのアクセスを許可する」を参照してください。
`cur:DeleteReportDefinition`	AWS コストと使用状況レポートを削除するアクセス許可を付与します。 AWS コストと使用状況レポートのアクセス許可は、AWS コストと使用状況レポートサービスAPIおよび請求とコスト管理コンソールを使用して作成されたすべてのレポートに適用されます。Billing and Cost Management コンソールを使用してレポートを作成する場合は、IAMユーザーのアクセス許可を更新することをお勧めします。許可を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権を失うことになります。ポリシーの例については、「AWS コストと使用状況レポートの作成、表示、編集、または削除」を参照してください。
`cur:ModifyReportDefinition`	AWS コストと使用状況レポートを変更するアクセス許可を付与します。 AWS コストと使用状況レポートのアクセス許可は、AWS コストと使用状況レポートサービスAPIおよび請求とコスト管理コンソールを使用して作成されたすべてのレポートに適用されます。Billing and Cost Management コンソールを使用してレポートを作成する場合は、IAMユーザーのアクセス許可を更新することをお勧めします。許可を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権を失うことになります。ポリシーの例については、「AWS コストと使用状況レポートの作成、表示、編集、または削除」を参照してください。
`ce:CreateCostCategoryDefinition`	コストカテゴリを作成するアクセス許可を付与します。ポリシーの例については、「Cost Categories の表示と管理」を参照してください。
`ce:DeleteCostCategoryDefinition`	コストカテゴリを削除するアクセス許可を付与します。ポリシーの例については、「Cost Categories の表示と管理」を参照してください。
`ce:DescribeCostCategoryDefinition`	コストカテゴリを表示するアクセス許可を付与します。ポリシーの例については、「Cost Categories の表示と管理」を参照してください。
`ce:ListCostCategoryDefinitions`	コストカテゴリを一覧表示するアクセス許可を付与します。ポリシーの例については、「Cost Categories の表示と管理」を参照してください。
`ce:UpdateCostCategoryDefinition`	コストカテゴリを更新するアクセス許可を付与します。ポリシーの例については、「Cost Categories の表示と管理」を参照してください。
`aws-portal:ViewUsage`	AWS 使用状況レポートを表示するアクセス許可を付与します。 IAM ユーザーに使用状況レポートの表示を許可するには、 `ViewUsage`との両方を許可する必要があります`ViewBilling`。ポリシーの例については、「IAM ユーザーにレポートコンソールページへのアクセスを許可する」を参照してください。
`payments:AcceptFinancingApplicationTerms`	融資レンダーが提供する条件にIAMユーザーが同意できるようにします。ユーザーは、返済のために銀行口座の詳細を提供し、レンダーから提供された法的文書に署名する必要があります。
`payments:CreateFinancingApplication`	IAM ユーザーが新しいファイナンスローンを申請し、選択したファイナンスオプションを参照できるようにします。
`payments:GetFinancingApplication`	IAM ユーザーがファイナンスアプリケーションの詳細を取得できるようにします。例えば、ステータス、制限、条件、レンダー情報などです。
`payments:GetFinancingLine`	IAM ユーザーが融資の詳細を取得できるようにします。例えば、ステータスと残高。
`payments:GetFinancingLineWithdrawal`	IAM ユーザーが引き出しの詳細を取得できるようにします。例えば、残高と返済。
`payments:GetFinancingOption`	IAM ユーザーが特定の融資オプションの詳細を取得できるようにします。
`payments:ListFinancingApplications`	IAM ユーザーは、すべてのレンダーで、すべての融資アプリケーションの識別子を取得できます。
`payments:ListFinancingLines`	IAM ユーザーは、すべてのレンダーで、すべての融資ローンの識別子を取得できます。
`payments:ListFinancingLineWithdrawals`	IAM ユーザーが特定のローンの既存の引き出しをすべて取得できるようにします。
`payments:ListTagsForResource`	支払い方法のタグを表示するアクセス許可をIAMユーザーに許可または拒否します。
`payments:TagResource`	支払い方法のタグを追加するアクセス許可をIAMユーザーに許可または拒否します。
`payments:UntagResource`	支払い方法からタグを削除するアクセス許可をIAMユーザーに許可または拒否します。
`payments:UpdateFinancingApplication`	IAM ユーザーに融資アプリケーションの変更と、レンダーによってリクエストされた追加情報の送信を許可します。
`payments:ListPaymentInstruments`	登録済みの支払い方法を一覧表示するアクセス許可をIAMユーザーに許可または拒否します。
`payments:UpdatePaymentInstrument`	支払い方法を更新するアクセス許可をIAMユーザーに許可または拒否します。
`pricing:DescribeServices`	AWS Price List Service を介して AWS サービス製品と料金を表示するアクセス許可を付与しますAPI。 IAM ユーザーに AWS Price List Service の使用を許可するにはAPI、`DescribeServices`、`GetAttributeValues`、およびを許可する必要があります`GetProducts`。ポリシーの例については、「製品と価格の検索」を参照してください。
`pricing:GetAttributeValues`	AWS Price List Service を介して AWS サービス製品と料金を表示するアクセス許可を付与しますAPI。 IAM ユーザーに AWS Price List Service の使用を許可するにはAPI、`DescribeServices`、`GetAttributeValues`、およびを許可する必要があります`GetProducts`。ポリシーの例については、「製品と価格の検索」を参照してください。
`pricing:GetProducts`	AWS Price List Service を介して AWS サービス製品と料金を表示するアクセス許可を付与しますAPI。 IAM ユーザーに AWS Price List Service の使用を許可するにはAPI、`DescribeServices`、`GetAttributeValues`、およびを許可する必要があります`GetProducts`。ポリシーの例については、「製品と価格の検索」を参照してください。
`purchase-orders:ViewPurchaseOrders`	[発注書] を表示するアクセス許可を付与します。ポリシーの例については、「発注書の表示と管理」を参照してください。
`purchase-orders:ModifyPurchaseOrders`	[発注書] を変更するアクセス許可を付与します。ポリシーの例については、「発注書の表示と管理」を参照してください。
`tax:GetExemptions`	税金コンソールごとに免除と免除タイプを表示するための読み取り専用アクセス許可を付与します。ポリシーの例については、「IAM ユーザーに米国の免税の表示と AWS Support ケースの作成を許可する」を参照してください。
`tax:UpdateExemptions`	米国の免税コンソールに免税申請をアップロードするアクセス許可を付与します。ポリシーの例については、「IAM ユーザーに米国の免税の表示と AWS Support ケースの作成を許可する」を参照してください。
`support:CreateCase`	免税コンソールから免税申請をアップロードするために必要な、サポートケースを提出するアクセス許可を付与します。ポリシーの例については、「IAM ユーザーに米国の免税の表示と AWS Support ケースの作成を許可する」を参照してください。
`support:AddAttachmentsToSet`	免税コンソールに免税証明書をアップロードするために必要なサポートケースにドキュメントをアタッチするアクセス許可を付与します。ポリシーの例については、「IAM ユーザーに米国の免税の表示と AWS Support ケースの作成を許可する」を参照してください。
`customer-verification:GetCustomerVerificationEligibility`	(請求先住所または連絡先住所がインドのお客様のみ) 顧客検証資格を取得するアクセス許可を付与します。
`customer-verification:GetCustomerVerificationDetails`	(請求先住所または連絡先住所がインドのお客様のみ) 顧客検証データを取得するアクセス許可を付与します。
`customer-verification:CreateCustomerVerificationDetails`	(請求先住所または連絡先住所がインドのお客様のみ) 顧客検証データを作成するアクセス許可を付与します。
`customer-verification:UpdateCustomerVerificationDetails`	(請求先住所または連絡先住所がインドのお客様のみ) 顧客検証データを更新するアクセス許可を付与します。
`mapcredit:ListAssociatedPrograms`	関連付けられたを表示するアクセス許可を付与します Migration Acceleration Program 支払者アカウントのアグリーメントとダッシュボード。
`mapcredit:ListQuarterSpend`	を表示するアクセス許可を付与 Migration Acceleration Program 支払者アカウントの対象となる支出。
`mapcredit:ListQuarterCredits`	を表示するアクセス許可を付与 Migration Acceleration Program 支払者のアカウントのクレジット。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS Billing の仕組み IAM

AWS 請求ポリシーの例