翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS コスト管理ポリシーの例
注記
次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。
-
aws-portal名前空間 -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
を使用している場合は AWS Organizations、一括ポリシー移行スクリプトを使用して、支払者アカウントからポリシーを更新できます。また、従来のアクションから詳細なアクションへのマッピングのリファレンスを使用して、追加する必要のある IAM アクションを検証することもできます。
詳細については、AWS 「請求、 AWS コスト管理、アカウントコンソールのアクセス許可の変更
2023 年 3 月 6 日午前 11 時 (PDT) 以降に AWS Organizations 作成された を持っている AWS アカウントか、 の一部である場合、きめ細かなアクションは組織で既に有効になっています。
このトピックには、アカウントの請求情報とツールへのアクセスを制御するために IAM ロールまたはグループに適用できるポリシーの例が含まれています。以下の基本ルールは、請求情報とコスト管理の IAM ポリシーに適用されます。
-
Versionは常に2012-10-17です。 -
Effectは常にAllowまたはDenyです。 -
Actionはアクションまたはワイルドカード (*) の名前です。アクションプレフィックスは、 AWS Budgets
budgetsの場合は 、 AWS コストと使用状況レポートcurの場合は 、 AWS 請求aws-portalの場合は 、Cost Explorerceの場合は です。 -
Resourceは常に AWS 請求*用です。budgetリソースで実行されるアクションの場合、予算の Amazon リソースネーム (ARN) を指定します。 -
1 つのポリシーで複数のステートメントを使用できます。
請求コンソールのポリシー例の一覧については、「Billing User Guide」の「Billing policy examples」を参照してください。
注記
これらのポリシーを使用するには、[Account Settings]
トピック
- 請求情報とコスト管理コンソールへのユーザーアクセスを拒否する
- メンバーアカウントの AWS コンソールコストと使用状況ウィジェットへのアクセスを拒否する
- 特定のユーザーとロールに対する AWS コンソールのコストと使用状況ウィジェットへのアクセスを拒否する
- AWS サービスへのフルアクセスを許可するが、請求情報とコスト管理コンソールへのユーザーアクセスは拒否する
- アカウント設定を除き、請求情報とコスト管理コンソールの表示をユーザーに許可する
- 請求情報の変更をユーザーに許可する
- ユーザーに予算の作成を許可する
- アカウント設定へのアクセスは拒否するが、その他の請求および使用情報へのフルアクセスは許可する
- レポートを Amazon S3 バケットにデポジットする
- コストと使用状況の表示
- AWS リージョンの有効化と無効化
- Cost Explorer 設定ページの表示と更新
- Cost Explorer レポートページを使用した表示、作成、更新、および削除
- 予約および Savings Plans アラートの表示、作成、更新、および削除
- AWS コスト異常検出への読み取り専用アクセスを許可する
- AWS Budgets に IAM ポリシーと SCPs
- AWS Budgets が IAM ポリシーと SCPsし、EC2 および RDS インスタンスをターゲットにするのを許可する
- 料金計算ツール (プレビュー) でワークロードの見積りを作成、一覧表示、使用を追加することを許可する
- 料金計算ツール (プレビュー) で、使用量とコミットの作成、一覧表示、追加をユーザーに許可して、シナリオを請求する
- 料金計算ツールで請求見積りを作成することを許可する (プレビュー)
- 料金計算ツールで設定を作成することを許可する (プレビュー)
- ユーザーにカスタム請求ビューの作成、管理、共有を許可する
- 特定のカスタム請求ビューにアクセスするときに Cost Explorer へのアクセスをユーザーに許可する
請求情報とコスト管理コンソールへのユーザーアクセスを拒否する
すべての請求情報とコスト管理コンソールページへのユーザーアクセスを明示的に拒否するには、次の例のようなポリシーを使用します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "aws-portal:*", "Resource": "*" } ] }
メンバーアカウントの AWS コンソールコストと使用状況ウィジェットへのアクセスを拒否する
コストと使用状況のデータへのメンバーアカウント (連結アカウント) のアクセスを制限するには、管理アカウント (支払いアカウント) を使用して Cost Explorer の設定タブにアクセスし、[連結アカウントのアクセス] のチェックを外します。これにより、メンバーアカウントのユーザーまたはロールが持つ IAM アクションに関係なく、Cost Explorer (AWS コスト管理) コンソール、Cost Explorer API、および AWS コンソールホームページのコストと使用状況ウィジェットからのコストと使用状況データへのアクセスが拒否されます。
特定のユーザーとロールに対する AWS コンソールのコストと使用状況ウィジェットへのアクセスを拒否する
特定のユーザーとロールの AWS コンソールコストと使用状況ウィジェットへのアクセスを拒否するには、以下のアクセス許可ポリシーを使用します。
注記
このポリシーをユーザーまたはロールに追加すると、Cost Explorer (AWS Cost Management) コンソールと Cost Explorer API APIsも拒否されます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ce:*", "Resource": "*" } ] }
AWS サービスへのフルアクセスを許可するが、請求情報とコスト管理コンソールへのユーザーアクセスは拒否する
請求情報とコスト管理コンソールのすべてへのユーザーアクセスを拒否するには、次のポリシーを使用します。この場合、ユーザーが請求情報とツールへのアクセスを制御するポリシーにアクセスできないように、 AWS Identity and Access Management (IAM) へのユーザーアクセスも拒否する必要があります。
重要
このポリシーは、一切のアクションを許可しません。特定のアクションを許可する他のポリシーと組み合わせてこのポリシーを使用します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } ] }
アカウント設定を除き、請求情報とコスト管理コンソールの表示をユーザーに許可する
このポリシーは、Billing and Cost Management コンソールへの読み取り専用アクセスを許可します。これには、[支払い方法] と [レポート] コンソールページが含まれますが、[アカウント設定] ページへのアクセスは拒否され、アカウントのパスワード、連絡先情報、およびセキュリティに関する質問が保護されます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:View*", "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
請求情報の変更をユーザーに許可する
請求情報とコスト管理コンソールのアカウント請求情報の変更をユーザーに許可するには、請求情報を表示する許可もユーザーに与える必要があります。次のポリシー例では、一括請求、設定、およびクレジットコンソールページの変更をユーザーに許可します。さらに、次の請求情報とコスト管理コンソールページを表示する許可もユーザーに与えます。
-
ダッシュボード
-
Cost Explorer
-
請求書
-
注文と請求書
-
前払い
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:*Billing", "Resource": "*" } ] }
ユーザーに予算の作成を許可する
請求情報とコスト管理コンソールでの予算の作成をユーザーに許可するには、請求情報の表示、CloudWatch アラームの作成、および Amazon SNS 通知の作成をユーザーに許可する必要があります。次のポリシー例では、ユーザーに [予算] コンソールページの変更を許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1435216493000", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "aws-portal:ModifyBilling", "budgets:ViewBudget", "budgets:ModifyBudget" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216514000", "Effect": "Allow", "Action": [ "cloudwatch:*" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216552000", "Effect": "Allow", "Action": [ "sns:*" ], "Resource": [ "arn:aws:sns:us-east-1::" ] } ] }
アカウント設定へのアクセスは拒否するが、その他の請求および使用情報へのフルアクセスは許可する
アカウントのパスワード、連絡先情報、秘密の質問を保護するには、ユーザーに対して [アカウント設定] へのアクセスを拒否する一方で、請求情報およびコスト管理コンソールの残りの機能に対するフルアクセスを許可します。次に例を示します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:*Billing", "aws-portal:*Usage", "aws-portal:*PaymentMethods" ], "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
レポートを Amazon S3 バケットにデポジットする
次のポリシーでは、 AWS アカウントと Amazon S3 バケットの両方を所有している限り、Billing and Cost Management が詳細な AWS 請求書を Amazon S3 バケットに保存することを許可します。このポリシーは、ユーザーではなく Amazon S3 バケットに適用する必要があります。つまり、これはリソースベースのポリシーであり、ユーザーベースのポリシーではありません。請求書にアクセスする必要がないユーザーに対しては、バケットへのユーザーアクセスを拒否する必要があります。
bucketname を実際のバケット名に置き換えます。
詳細については、「Amazon Simple Storage Service ユーザーガイド」のバケットポリシーとユーザーポリシーの使用についてのページを参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": [ "s3:GetBucketAcl", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::bucketname" }, { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucketname/*" } ] }
コストと使用状況の表示
ユーザーに AWS Cost Explorer API の使用を許可するには、次のポリシーを使用してアクセスを許可します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:*" ], "Resource": [ "*" ] } ] }
AWS リージョンの有効化と無効化
リージョンの有効化と無効化をユーザーに許可する IAM ポリシーの例については、IAM ユーザーガイドのAWS「: AWS リージョンの有効化と無効化を許可する」を参照してください。
Cost Explorer 設定ページの表示と更新
このポリシーでは、Cost Explorer 設定ページの表示と更新をユーザーに許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:UpdatePreferences" ], "Resource": "*" } ] }
次のポリシーでは、Cost Explorer の表示をユーザーに許可しますが、設定ページを表示または編集する許可は拒否します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:GetPreferences", "ce:UpdatePreferences" ], "Resource": "*" } ] }
次のポリシーでは、Cost Explorer の表示をユーザーに許可しますが、設定ページを編集する許可は拒否します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:UpdatePreferences" ], "Resource": "*" } ] }
Cost Explorer レポートページを使用した表示、作成、更新、および削除
このポリシーでは、Cost Explorer レポートページを使用した表示、作成、更新、および削除をユーザーに許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
次のポリシーでは、Cost Explorer の表示をユーザーに許可しますが、レポートページを表示または編集する許可は拒否します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeReport", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
次のポリシーでは、Cost Explorer の表示をユーザーに許可しますが、レポートページを編集する許可は拒否します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
予約および Savings Plans アラートの表示、作成、更新、および削除
このポリシーでは、予約の失効アラートおよびSavings Plansアラートの表示、作成、更新、および削除をユーザーに許可します。予約の失効アラートまたは Savings Plans アラートを編集するには、次の 3 つのきめ細かなアクションすべてが必要です: ce:CreateNotificationSubscription、ce:UpdateNotificationSubscription、および ce:DeleteNotificationSubscription。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
次のポリシーでは、Cost Explorer の表示をユーザーに許可しますが、予約の失効アラートおよびSavings Plans アラートページを表示または編集する許可は拒否します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeNotificationSubscription", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
次のポリシーでは、Cost Explorer の表示をユーザーに許可しますが、予約の失効アラートおよび Savings Plans アラートページを編集する許可は拒否します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
AWS コスト異常検出への読み取り専用アクセスを許可する
AWS コスト異常検出への読み取り専用アクセスをユーザーに許可するには、次のポリシーを使用してアクセスを許可します。 ce:ProvideAnomalyFeedbackは読み取り専用アクセスの一部としてオプションです。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ce:Get*" ], "Effect": "Allow", "Resource": "*" } ] }
AWS Budgets に IAM ポリシーと SCPs
このポリシーにより、 AWS Budgets はユーザーに代わって IAM ポリシーとサービスコントロールポリシー (SCPsを適用できます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy" ], "Resource": "*" } ] }
AWS Budgets が IAM ポリシーと SCPsし、EC2 および RDS インスタンスをターゲットにするのを許可する
このポリシーにより、 AWS Budgets は IAM ポリシーとサービスコントロールポリシー (SCPs) を適用し、ユーザーに代わって Amazon EC2 および Amazon RDS インスタンスをターゲットにすることができます。
信頼ポリシー
注記
この信頼ポリシーにより、 AWS Budgets はユーザーに代わって他の サービスを呼び出すことができるロールを引き受けることができます。このようなクロスサービス許可のベストプラクティスの詳細については、「サービス間での不分別な代理処理の防止」を参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "budgets.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:budgets::123456789012:budget/*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } ] }
アクセス許可ポリシー
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance", "ssm:StartAutomationExecution" ], "Resource": "*" } ] }
料金計算ツール (プレビュー) でワークロードの見積りを作成、一覧表示、使用を追加することを許可する
このポリシーにより、IAM ユーザーは、Cost Explorer データをクエリしてコストと使用状況の履歴データを取得するためのアクセス許可とともに、ワークロードの見積りを作成、一覧表示、および使用量を追加することができます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "WorkloadEstimate", "Effect": "Allow", "Action": [ "ce:GetCostCategories", "ce:GetDimensionValues", "ce:GetCostAndUsage", "ce:GetTags", "bcm-pricing-calculator:GetWorkloadEstimate", "bcm-pricing-calculator:ListWorkloadEstimateUsage", "bcm-pricing-calculator:CreateWorkloadEstimate", "bcm-pricing-calculator:ListWorkloadEstimates", "bcm-pricing-calculator:CreateWorkloadEstimateUsage", "bcm-pricing-calculator:UpdateWorkloadEstimateUsage" ], "Resource": "*" } ] }
料金計算ツール (プレビュー) で、使用量とコミットの作成、一覧表示、追加をユーザーに許可して、シナリオを請求する
このポリシーにより、IAM ユーザーは使用量とコミットを作成、一覧表示、追加して、シナリオを請求できます。Cost Explorer のアクセス許可は追加されないため、履歴データをロードすることはできません。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "BillScenario", "Effect": "Allow", "Action": [ "bcm-pricing-calculator:CreateBillScenario", "bcm-pricing-calculator:GetBillScenario", "bcm-pricing-calculator:ListBillScenarios", "bcm-pricing-calculator:CreateBillScenarioUsageModification", "bcm-pricing-calculator:UpdateBillScenarioUsageModification", "bcm-pricing-calculator:ListBillScenarioUsageModifications", "bcm-pricing-calculator:ListBillScenarioCommitmentModifications" ], "Resource": "*" } ] }
料金計算ツールで請求見積りを作成することを許可する (プレビュー)
このポリシーにより、IAM ユーザーは請求見積りを作成し、請求見積り明細項目を一覧表示できます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "BillEstimate", "Effect": "Allow", "Action": [ "bcm-pricing-calculator:CreateBillEstimate", "bcm-pricing-calculator:GetBillEstimate", "bcm-pricing-calculator:UpdateBillEstimate", "bcm-pricing-calculator:ListBillEstimates", "bcm-pricing-calculator:ListBillEstimateLineItems", "bcm-pricing-calculator:ListBillEstimateCommitments", "bcm-pricing-calculator:ListBillEstimateInputUsageModifications", "bcm-pricing-calculator:ListBillEstimateInputCommitmentModifications" ], "Resource": "*" } ] }
料金計算ツールで設定を作成することを許可する (プレビュー)
このポリシーにより、IAM ユーザーはレート設定を作成および取得できます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RatePreferences", "Effect": "Allow", "Action": [ "bcm-pricing-calculator:GetPreferences", "bcm-pricing-calculator:UpdatePreferences" ], "Resource": "*" } ] }
ユーザーにカスタム請求ビューの作成、管理、共有を許可する
このポリシーにより、IAM ユーザーはカスタム請求ビューを作成、管理、共有できます。Billing View を使用してカスタム請求ビューを作成および管理したり、 AWS Resource Access Manager (AWS RAM) を使用してリソース共有を作成および関連付けたりできる必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "billing:CreateBillingView", "billing:UpdateBillingView", "billing:DeleteBillingView", "billing:GetBillingView", "billing:ListBillingViews", "billing:ListTagsForResource", "billing:PutResourcePolicy", "ce:GetCostAndUsage", "ce:GetTags", "organizations:ListAccounts", "ram:ListResources", "ram:ListPermissions", "ram:CreateResourceShare", "ram:AssociateResourceShare", "ram:GetResourceShares", "ram:GetResourceShareAssociations", "ram:ListResourceSharePermissions", "ram:ListResourceTypes", "ram:ListPrincipals", "ram:DisassociateResourceShare" ], "Resource": "*" } ] }
特定のカスタム請求ビューにアクセスするときに Cost Explorer へのアクセスをユーザーに許可する
このポリシーにより、IAM ユーザーは特定のカスタム請求ビュー () にアクセスするときに Cost Explorer にアクセスできますcustom-1a2b3c4d。を 12 桁の AWS アカウント ID 123456789012に、 をカスタム請求ビューの一意の識別子1a2b3c4dに置き換えます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:GetDimensionValues", "ce:GetCostAndUsageWithResources", "ce:GetCostAndUsage", "ce:GetCostForecast", "ce:GetTags", "ce:GetUsageForecast", "ce:GetCostCategories" ], "Resource": [ "arn:aws:billing::123456789012:billingview/custom-1a2b3c4d" ] }, { "Effect": "Allow", "Action": [ "billing:ListBillingViews", "billing:GetBillingView" ], "Resource": "*" } ] }
