翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS コスト管理ポリシーの例
注記
次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。
-
aws-portal
名前空間 -
purchase-orders:ViewPurchaseOrders
-
purchase-orders:ModifyPurchaseOrders
を使用している場合は AWS Organizations、一括ポリシー移行スクリプトを使用して、支払いアカウントからポリシーを更新できます。古いアクションからきめ細かなアクションマッピングリファレンスを使用して、追加する必要があるIAMアクションを確認することもできます。
詳細については、AWS 「請求、 AWS コスト管理、アカウントコンソールのアクセス許可の変更
をお持ちの場合 AWS アカウント、または が 2023 年 3 月 6 日午前 11:00 (PDT) 以降に AWS Organizations 作成された の一部である場合、きめ細かなアクションは組織内で既に有効になっています。
このトピックには、アカウントの請求情報とツールへのアクセスを制御するためにIAMロールまたはグループにアタッチできるポリシーの例が含まれています。請求情報とコスト管理のIAMポリシーには、次の基本ルールが適用されます。
-
Version
は常に2012-10-17
です。 -
Effect
は常にAllow
またはDeny
です。 -
Action
はアクションまたはワイルドカード (*
) の名前です。アクションプレフィックスは、 AWS Budgets
budgets
の場合は 、 AWS コストと使用状況レポートcur
の場合は 、 AWS 請求aws-portal
の場合は 、Cost Explorerce
の場合は です。 Cost Explorer -
Resource
は常に AWS 請求*
用です。budget
リソースで実行されるアクションには、予算の Amazon リソースネーム () を指定しますARN。 -
1 つのポリシーで複数のステートメントを使用できます。
請求コンソールのポリシー例の一覧については、請求ユーザーガイドの「請求情報とコスト管理ポリシーの例」を参照してください。
注記
これらのポリシーを使用するには、[Account Settings]
トピック
- 請求情報とコスト管理コンソールへのユーザーアクセスを拒否する
- メンバーアカウントの AWS コンソールコストと使用状況ウィジェットへのアクセスを拒否する
- 特定のユーザーおよびロールに対する AWS コンソールのコストと使用状況ウィジェットへのアクセスを拒否する
- AWS サービスへのフルアクセスを許可しますが、請求情報とコスト管理コンソールへのユーザーアクセスは拒否します。
- アカウント設定を除き、請求情報とコスト管理コンソールの表示をユーザーに許可する
- 請求情報の変更をユーザーに許可する
- ユーザーに予算の作成を許可する
- アカウント設定へのアクセスは拒否するが、その他の請求および使用情報へのフルアクセスは許可する
- レポートを Amazon S3 バケットにデポジットする
- コストと使用状況の表示
- AWS リージョンの有効化と無効化
- Cost Explorer 設定ページの表示と更新
- Cost Explorer レポートページを使用した表示、作成、更新、および削除
- 予約およびSavings Plans アラートの表示、作成、更新、および削除
- AWS コスト異常検出への読み取り専用アクセスを許可する
- AWS Budgets にIAMポリシーと の適用を許可する SCPs
- AWS Budgets がIAMポリシーとターゲットSCPsおよびRDSインスタンスを適用することを許可EC2する
請求情報とコスト管理コンソールへのユーザーアクセスを拒否する
すべての請求情報とコスト管理コンソールページへのユーザーアクセスを明示的に拒否するには、次の例のようなポリシーを使用します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "aws-portal:*", "Resource": "*" } ] }
メンバーアカウントの AWS コンソールコストと使用状況ウィジェットへのアクセスを拒否する
コストと使用状況のデータへのメンバーアカウント (連結アカウント) のアクセスを制限するには、管理アカウント (支払いアカウント) を使用して Cost Explorer の設定タブにアクセスし、[Linked Account Access] (連結アカウントのアクセス) のチェックを外します。これにより、Cost Explorer (コスト管理) コンソール、Cost Explorer API、および AWS コンソールホームページのコストと使用状況ウィジェットからのコストと使用状況データへのアクセスが、メンバーアカウントのユーザーまたはロールが持つIAMアクションに関係なく拒否されます。AWS
特定のユーザーおよびロールに対する AWS コンソールのコストと使用状況ウィジェットへのアクセスを拒否する
特定のユーザーおよびロールに対する AWS コンソールのコストと使用状況ウィジェットへのアクセスを拒否するには、以下のアクセス許可ポリシーを使用します。
注記
このポリシーをユーザーまたはロールに追加すると、Cost Explorer (AWS Cost Management) コンソールと Cost Explorer へのアクセスAPIsも拒否されます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ce:*", "Resource": "*" } ] }
AWS サービスへのフルアクセスを許可しますが、請求情報とコスト管理コンソールへのユーザーアクセスは拒否します。
請求情報とコスト管理コンソールのすべてへのユーザーアクセスを拒否するには、次のポリシーを使用します。この場合、ユーザーが請求情報とツールへのアクセスを制御するポリシーにアクセスできないように、 AWS Identity and Access Management (IAM) へのユーザーアクセスも拒否する必要があります。
重要
このポリシーは、一切のアクションを許可しません。特定のアクションを許可する他のポリシーと組み合わせてこのポリシーを使用します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } ] }
アカウント設定を除き、請求情報とコスト管理コンソールの表示をユーザーに許可する
このポリシーは、請求およびコスト管理コンソールへの読み取り専用アクセスを許可します。これには、[支払い方法] と [レポート] コンソールページが含まれますが、[アカウント設定] ページへのアクセスは拒否され、アカウントのパスワード、連絡先情報、およびセキュリティに関する質問が保護されます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:View*", "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
請求情報の変更をユーザーに許可する
請求情報とコスト管理コンソールのアカウント請求情報の変更をユーザーに許可するには、請求情報を表示する許可もユーザーに与える必要があります。次のポリシー例では、一括請求、設定、およびクレジットコンソールページの変更をユーザーに許可します。さらに、次の請求情報とコスト管理コンソールページを表示する許可もユーザーに与えます。
-
ダッシュボード
-
Cost Explorer
-
請求書
-
注文と請求書
-
前払い
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:*Billing", "Resource": "*" } ] }
ユーザーに予算の作成を許可する
ユーザーが Billing and Cost Management コンソールで予算を作成できるようにするには、請求情報の表示、 CloudWatch アラームの作成、Amazon SNS通知の作成もユーザーに許可する必要があります。次のポリシー例では、ユーザーに [予算] コンソールページの変更を許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1435216493000", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "aws-portal:ModifyBilling", "budgets:ViewBudget", "budgets:ModifyBudget" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216514000", "Effect": "Allow", "Action": [ "cloudwatch:*" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216552000", "Effect": "Allow", "Action": [ "sns:*" ], "Resource": [ "arn:aws:sns:us-east-1::" ] } ] }
アカウント設定へのアクセスは拒否するが、その他の請求および使用情報へのフルアクセスは許可する
アカウントのパスワード、連絡先情報、秘密の質問を保護するには、ユーザーに対して [アカウント設定] へのアクセスを拒否する一方で、請求情報およびコスト管理コンソールの残りの機能に対するフルアクセスを許可します。次に例を示します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:*Billing", "aws-portal:*Usage", "aws-portal:*PaymentMethods" ], "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
レポートを Amazon S3 バケットにデポジットする
次のポリシーでは、 AWS アカウントと Amazon S3 バケットの両方を所有している限り、請求情報とコスト管理が詳細な AWS 請求書を Amazon S3 バケットに保存することを許可します。このポリシーは、ユーザーではなく Amazon S3 バケットに適用する必要があります。つまり、これはリソースベースのポリシーであり、ユーザーベースのポリシーではありません。請求書にアクセスする必要がないユーザーに対しては、バケットへのユーザーアクセスを拒否する必要があります。
置換 bucketname
をバケットの名前に置き換えます。
詳細については、Amazon Simple Storage Service ユーザーガイドの「バケットポリシーとユーザーポリシーの使用」を参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": [ "s3:GetBucketAcl", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::
bucketname
" }, { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucketname
/*" } ] }
コストと使用状況の表示
AWS Cost Explorer の使用をユーザーに許可するにはAPI、次のポリシーを使用してアクセスを許可します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:*" ], "Resource": [ "*" ] } ] }
AWS リージョンの有効化と無効化
リージョンの有効化と無効化をユーザーに許可するIAMポリシーの例については、「 IAMユーザーガイド」のAWS「: AWS リージョンの有効化と無効化を許可する」を参照してください。
Cost Explorer 設定ページの表示と更新
このポリシーでは、Cost Explorer 設定ページの表示と更新をユーザーに許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:UpdatePreferences" ], "Resource": "*" } ] }
次のポリシーでは、Cost Explorer の表示をユーザーに許可しますが、設定ページを表示または編集する許可は拒否します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:GetPreferences", "ce:UpdatePreferences" ], "Resource": "*" } ] }
次のポリシーでは、Cost Explorer の表示をユーザーに許可しますが、設定ページを編集する許可は拒否します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:UpdatePreferences" ], "Resource": "*" } ] }
Cost Explorer レポートページを使用した表示、作成、更新、および削除
このポリシーでは、Cost Explorer レポートページを使用した表示、作成、更新、および削除をユーザーに許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
次のポリシーでは、Cost Explorer の表示をユーザーに許可しますが、レポートページを表示または編集する許可は拒否します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeReport", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
次のポリシーでは、Cost Explorer の表示をユーザーに許可しますが、レポートページを編集する許可は拒否します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
予約およびSavings Plans アラートの表示、作成、更新、および削除
このポリシーでは、予約の失効アラートおよびSavings Plansアラートの表示、作成、更新、および削除をユーザーに許可します。予約の失効アラートまたは Savings Plans アラートを編集するには、次の 3 つのきめ細かなアクションすべてが必要です: ce:CreateNotificationSubscription
、ce:UpdateNotificationSubscription
、および ce:DeleteNotificationSubscription
。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
次のポリシーでは、Cost Explorer の表示をユーザーに許可しますが、予約の失効アラートおよびSavings Plans アラートページを表示または編集する許可は拒否します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeNotificationSubscription", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
次のポリシーでは、Cost Explorer の表示をユーザーに許可しますが、予約の失効アラートおよび Savings Plans アラートページを編集する許可は拒否します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
AWS コスト異常検出への読み取り専用アクセスを許可する
AWS コスト異常検出への読み取り専用アクセスをユーザーに許可するには、次のポリシーを使用してアクセス権を付与します。 ce:ProvideAnomalyFeedback
は読み取り専用アクセスの一部としてオプションです。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ce:Get*" ], "Effect": "Allow", "Resource": "*" } ] }
AWS Budgets にIAMポリシーと の適用を許可する SCPs
このポリシーにより、 AWS Budgets はユーザーに代わってIAMポリシーとサービスコントロールポリシー (SCPs) を適用できます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy" ], "Resource": "*" } ] }
AWS Budgets がIAMポリシーとターゲットSCPsおよびRDSインスタンスを適用することを許可EC2する
このポリシーにより、 AWS Budgets はユーザーに代わってIAMポリシーとサービスコントロールポリシー (SCPs) を適用しEC2、Amazon および Amazon RDSインスタンスをターゲットにすることができます。
信頼ポリシー
注記
この信頼ポリシーにより、 AWS Budgets はユーザーに代わって他の サービスを呼び出すことができるロールを引き受けることができます。このようなクロスサービス許可のベストプラクティスの詳細については、「サービス間での不分別な代理処理の防止」を参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "budgets.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:budgets::123456789012:budget/*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } ] }
アクセス権限ポリシー
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance", "ssm:StartAutomationExecution" ], "Resource": "*" } ] }