コスト異常検出のアクセスコントロールと例 - AWS コスト管理
リソースレベルのポリシーを使用したアクセスの制御タグ (ABAC) を使用したアクセスの制御

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コスト異常検出のアクセスコントロールと例

コスト異常モニターと異常サブスクリプションには、リソースレベルのアクセスコントロールと属性ベースのアクセスコントロール (ABAC) タグを使用できます。異常モニターと異常サブスクリプションリソースには、それぞれ一意の Amazon リソースネーム (ARN) があります。各機能にタグ (キーバリューペア) をアタッチすることもできます。 AWS アカウント内のユーザーロール、またはグループにきめ細かなアクセスコントロールを提供するために、リソース ARN と ABAC タグの両方を使用することができます。

リソースレベルのアクセスコントロールとABAC (属性ベースのアクセスコントロール) タグの詳細については、「AWS コスト管理と の連携方法 IAM」を参照してください。

注記

コスト異常検出では、リソースベースのポリシーはサポートされていません。リソースベースのポリシーは、 AWS リソースに直接アタッチされます。ポリシーと許可の違いに関する詳細については、「IAM ユーザーガイド」の「アイデンティティベースおよびリソースベースのポリシー」を参照してください。

リソースレベルのポリシーを使用したアクセスの制御

リソースレベルのアクセス許可を使用して、IAM ポリシーで 1 つ、もしくは複数のコスト異常検出リソースへのアクセスを許可または拒否できます。または、リソースレベルのアクセス許可を使用して、すべてのコスト異常検出リソースへのアクセスを許可または拒否します。

IAM を作成する際は、次の Amazon リソースネーム (ARN) 形式を使用します。

  • AnomalyMonitor リソース ARN

    arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}

  • AnomalySubscription リソース ARN

    arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}

IAM エンティティが異常モニターまたは異常サブスクリプションを取得および作成できるようにするには、このサンプルポリシーと同様のポリシーを使用します。

注記

  • ce:GetAnomalyMonitorce:GetAnomalySubscription の場合、ユーザーにはリソースレベルのアクセスコントロールのすべてがあるか、まったくないかのどちらかになります。これには、ポリシーが汎用 ARN を arn:${partition}:ce::${account-id}:anomalymonitor/*arn:${partition}:ce::${account-id}:anomalysubscription/*、または * の形式で使用することが必要になります。

  • ce:CreateAnomalyMonitorce:CreateAnomalySubscription の場合、このリソースのリソース ARN はありません。そのため、ポリシーは常に前の箇条書きで示した汎用 ARN を使用します。

  • ce:GetAnomalies の場合、オプションの monitorArn パラメータを使用します。これをこのパラメータとともに使用するときは、渡された monitorArn にユーザーがアクセスできるかどうかを確認します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ce:GetAnomalyMonitors",
                "ce:CreateAnomalyMonitor"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalymonitor/*"
        }, 
        {
            "Action": [
                "ce:GetAnomalySubscriptions",
                "ce:CreateAnomalySubscription"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalysubscription/*"
        }
    ]
}

IAM エンティティが異常モニターを更新または削除できるようにするには、このサンプルポリシーと同様のポリシーを使用します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor",
                "ce:DeleteAnomalyMonitor"
                ],
            "Resource": [
              "arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000",
              "arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001"
		]
         }
    ]
}

タグ (ABAC) を使用したアクセスの制御

タグ (ABAC) を使用して、タグ付けをサポートするコスト異常検出リソースへのアクセスを制御できます。タグを使用してアクセスを制御するには、ポリシーの Condition 要素でタグ情報を提供します。その後、リソースのタグに基づいて、そのリソースへのアクセスを許可または拒否する IAM ポリシーを作成できます。タグ条件キーを使用して、リソース、リクエスト、または認可プロセスの任意の部分へのアクセスを制御できます。タグを使用する IAM ロールの詳細については、「IAM ユーザーガイド」の「タグを使用したユーザーおよびロールへのアクセスとそのユーザーおよびロールのアクセスの制御」を参照してください。

異常モニターの更新を許可する ID ベースのポリシーを作成します。モニタータグ Owner にユーザー名の値がある場合、このポリシーの例と同様のポリシーを使用してください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor"
            ],
            "Resource": "arn:aws:ce::*:anomalymonitor/*",
            "Condition": {
                "StringEquals": {
			"aws:ResourceTag/Owner": "${aws:username}"
		   }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ce:GetAnomalyMonitors",
            "Resource": "*"
        }
    ]
}