AWS コスト管理でのアイデンティティベースのポリシー (IAM ポリシー) の使用 - AWS コスト管理
請求情報とコスト管理アクションポリシーマネージドポリシーポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS コスト管理でのアイデンティティベースのポリシー (IAM ポリシー) の使用

注記

次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。

  • aws-portal 名前空間

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

を使用している場合は AWS Organizations、一括ポリシー移行スクリプトを使用して、支払いアカウントからポリシーを更新できます。また、従来のアクションから詳細なアクションへのマッピングのリファレンスを使用して、追加する必要のある IAM アクションを検証することもできます。

詳細については、AWS 「請求、 AWS コスト管理、アカウントコンソールのアクセス許可の変更」ブログを参照してください。

をお持ちの場合 AWS アカウント、または が 2023 年 3 月 6 日午前 11:00 (PDT) 以降に AWS Organizations 作成された の一部である場合、詳細なアクションは組織内で既に有効になっています。

このトピックでは、ID ベースのポリシーの例として、アカウント管理者が IAM アイデンティティ (ロールとグループ) に許可ポリシーをアタッチし、これにより許可を付与して請求情報とコスト管理のリソースに対するオペレーションの実行を許可する方法を示します。

AWS アカウントとユーザーの詳細については、「IAM ユーザーガイド」の「IAM とは」を参照してください。

カスタマーマネージドポリシーを更新する方法の詳細については、IAM ユーザーガイドの「カスタマーマネージドポリシーの編集 (コンソール)」を参照してください。

請求情報とコスト管理アクションポリシー

次の表は、 ユーザーの請求の情報およびツールへのアクセスを許可または拒否するアクセス許可をまとめたものです。これらのアクセス許可を使用するポリシーの例については、「AWS コスト管理ポリシーの例」を参照してください。

請求コンソールのアクションポリシーの一覧については、請求ユーザーガイドの「請求情報とコスト管理アクションポリシー」を参照してください。

アクセス許可名 説明

aws-portal:ViewBilling

請求情報とコスト管理コンソールページを表示する許可をユーザーに与えるまたは拒否します。ポリシーの例については、「請求情報ユーザーガイド」の「請求情報の表示を IAM ユーザーに許可する」を参照してください。
aws-portal:ViewUsage

AWS 使用状況レポートを表示するアクセス許可をユーザーに付与または拒否します

使用状況レポートの表示をユーザーに許可するには、ViewUsageViewBilling の両方を許可する必要があります。

ポリシーの例については、請求情報ユーザーガイドの「レポートコンソールページへのアクセスを IAM ユーザーに許可する」を参照してください。

aws-portal:ModifyBilling

次の [Billing and Cost Management] コンソールページを変更する権限をユーザーに与えるか拒否します。

ユーザーにこれらのコンソールページの変更を許可するには、ModifyBillingViewBilling の両方を許可する必要があります。ポリシーの例については、「請求情報の変更をユーザーに許可する」を参照してください。

aws-portal:ViewAccount

次の [Billing and Cost Management] コンソールページを表示する権限をユーザーに与えるか拒否します。
aws-portal:ModifyAccount

アカウント設定を変更するアクセス権限をユーザーに許可または拒否します。

ユーザーにアカウント設定の変更を許可するには、ModifyAccountViewAccount の両方を許可する必要があります。

[アカウント設定] コンソールページへのアクセスをユーザーに明示的に拒否するポリシーの例については、「アカウント設定へのアクセスは拒否するが、その他の請求および使用情報へのフルアクセスは許可する」を参照してください。
budgets:ViewBudget

予算を表示するアクセス権限をユーザーに与えるまたは拒否します。

ユーザーに予算の表示を許可するには、ViewBilling も許可する必要があります。
budgets:ModifyBudget

予算を変更するアクセス権限をユーザーに与えるまたは拒否します。

ユーザーに予算の表示および変更を許可するには、ViewBilling も許可する必要があります。
ce:GetPreferences

Cost Explorer の設定ページを表示する許可をユーザーに与えるまたは拒否します。

ポリシーの例については、「Cost Explorer 設定ページの表示と更新」を参照してください。
ce:UpdatePreferences

Cost Explorer の設定ページを更新する許可をユーザーに与えるまたは拒否します。

ポリシーの例については、「Cost Explorer 設定ページの表示と更新」を参照してください。
ce:DescribeReport

Cost Explorer レポートページを表示する許可をユーザーに与えるまたは拒否します。

ポリシーの例については、「Cost Explorer レポートページを使用した表示、作成、更新、および削除」を参照してください。
ce:CreateReport

Cost Explorer レポートページを使用してレポートを作成する許可をユーザーに与えるまたは拒否します。

ポリシーの例については、「Cost Explorer レポートページを使用した表示、作成、更新、および削除」を参照してください。
ce:UpdateReport

Cost Explorer レポートページを使用して更新する許可をユーザーに与えるまたは拒否します。

ポリシーの例については、「Cost Explorer レポートページを使用した表示、作成、更新、および削除」を参照してください。
ce:DeleteReport

Cost Explorer レポートページを使用してレポートを削除する許可をユーザーに与えるまたは拒否します。

ポリシーの例については、「Cost Explorer レポートページを使用した表示、作成、更新、および削除」を参照してください。
ce:DescribeNotificationSubscription

予約概要ページで Cost Explorer の予約の失効アラートを表示する許可をユーザーに与えるまたは拒否します。

ポリシーの例については、「予約およびSavings Plans アラートの表示、作成、更新、および削除」を参照してください。
ce:CreateNotificationSubscription

予約概要ページで Cost Explorer 予約の失効アラートを作成する許可をユーザーに与えるまたは拒否します。

ポリシーの例については、「予約およびSavings Plans アラートの表示、作成、更新、および削除」を参照してください。
ce:UpdateNotificationSubscription

予約概要ページで Cost Explorer 予約の失効アラートを更新する許可をユーザーに与えるまたは拒否します。

ポリシーの例については、「予約およびSavings Plans アラートの表示、作成、更新、および削除」を参照してください。
ce:DeleteNotificationSubscription

予約概要ページで Cost Explorer 予約の失効アラートを削除する許可をユーザーに与えるまたは拒否します。

ポリシーの例については、「予約およびSavings Plans アラートの表示、作成、更新、および削除」を参照してください。
ce:CreateCostCategoryDefinition

コストカテゴリを作成するアクセス許可をユーザーに許可または拒否します。

ポリシーの例については、請求情報ユーザーガイドCost Categories の表示と管理」を参照してください。

リソースタグは、Create 中にモニターに追加できます。リソースタグでモニターを作成するには、ce:TagResource 許可が必要です。
ce:DeleteCostCategoryDefinition

コストカテゴリを削除するアクセス許可をユーザーに許可または拒否します。

ポリシーの例については、請求情報ユーザーガイドCost Categories の表示と管理」を参照してください。
ce:DescribeCostCategoryDefinition

コストカテゴリを表示するアクセス許可をユーザーに許可または拒否します。

ポリシーの例については、請求情報ユーザーガイドCost Categories の表示と管理」を参照してください。
ce:ListCostCategoryDefinitions

コストカテゴリを一覧表示するアクセス許可をユーザーに許可または拒否します。

ポリシーの例については、請求情報ユーザーガイドCost Categories の表示と管理」を参照してください。
ce:ListTagsForResource

所定のリソースに関するすべてのリソースタグをリストする許可をユーザーに与えるまたは拒否します。サポートされているリソースのリストについては、AWS Billing and Cost Management 「 API リファレンスResourceTag」の「」を参照してください。
ce:UpdateCostCategoryDefinition

コストカテゴリを更新するアクセス許可をユーザーに許可または拒否します。

ポリシーの例については、請求情報ユーザーガイドCost Categories の表示と管理」を参照してください。
ce:CreateAnomalyMonitor

単一の AWS コスト異常検出モニターを作成する許可をユーザーに与えるまたは拒否します。リソースタグは、Create 中にモニターに追加できます。リソースタグでモニターを作成するには、ce:TagResource 許可が必要です。
ce:GetAnomalyMonitors

すべての AWS コスト異常検出モニターを表示する許可をユーザーに与えるまたは拒否します。
ce:UpdateAnomalyMonitor

AWS コスト異常検出モニターを更新する許可をユーザーに与えるまたは拒否します。
ce:DeleteAnomalyMonitor

AWS コスト異常検出モニターを削除する許可をユーザーに与えるまたは拒否します。
ce:CreateAnomalySubscription

AWS コスト異常検出の単一のサブスクリプションを作成する許可をユーザーに与えるまたは拒否します。リソースタグは、Create 中にサブスクリプションに追加できます。リソースタグでサブスクリプションを作成するには、ce:TagResource 許可が必要です。
ce:GetAnomalySubscriptions

AWS コスト異常検出のすべてのサブスクリプションを表示する許可をユーザーに与えるまたは拒否します。
ce:UpdateAnomalySubscription

AWS コスト異常検出のサブスクリプションを更新する許可をユーザーに与えるまたは拒否します。
ce:DeleteAnomalySubscription

AWS コスト異常検出のサブスクリプションを削除する許可をユーザーに与えるまたは拒否します。
ce:GetAnomalies

AWS コスト異常検出のすべての異常を表示する許可をユーザーに与えるまたは拒否します。
ce:ProvideAnomalyFeedback

AWS コスト異常検出で検出されたフィードバックを提供する許可をユーザーに与えるまたは拒否します。
ce:TagResource

リソースにリソースタグのキーバリューペアを追加する許可をユーザーに与えるまたは拒否します。サポートされているリソースのリストについては、AWS Billing and Cost Management 「 API リファレンスResourceTag」の「」を参照してください。
ce:UntagResource

リソースからリソースタグを削除する許可をユーザーに与えるまたは拒否します。サポートされているリソースのリストについては、AWS Billing and Cost Management 「 API リファレンスResourceTag」の「」を参照してください。

マネージドポリシー

注記

次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。

  • aws-portal 名前空間

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

を使用している場合は AWS Organizations、一括ポリシー移行スクリプトを使用して、支払いアカウントからポリシーを更新できます。また、従来のアクションから詳細なアクションへのマッピングのリファレンスを使用して、追加する必要のある IAM アクションを検証することもできます。

詳細については、AWS 「請求、 AWS コスト管理、アカウントコンソールのアクセス許可の変更」ブログを参照してください。

をお持ちの場合 AWS アカウント、または が 2023 年 3 月 6 日午前 11:00 (PDT) 以降に AWS Organizations 作成された の一部である場合、詳細なアクションは組織内で既に有効になっています。

管理ポリシーは、 AWS アカウントの複数のユーザー、グループ、ロールにアタッチできるスタンドアロンのアイデンティティベースのポリシーです。 AWS マネージドポリシーを使用して、請求情報とコスト管理でアクセスを制御できます。

AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されています。 AWS 管理ポリシーを使用すると、ポリシーを自分で記述するよりも、ユーザー、グループ、ロールに適切なアクセス許可を簡単に割り当てることができます。

AWS 管理ポリシーで定義されているアクセス許可は変更できません。 AWS は、 AWS 管理ポリシーで定義されているアクセス許可を更新することがあります。行われた更新は、ポリシーがアタッチされているすべてのプリンシパルエンティティ (ユーザー、グループ、ロール) に影響します。

請求情報とコスト管理には、一般的なユースケース向けの AWS 管理ポリシーがいくつか用意されています。

Budgets アクションを含む AWS Budgets へのフルアクセスを許可する

マネージドポリシー名: AWSBudgetsActionsWithAWSResourceControlAccess

この管理ポリシーはユーザーに焦点を当てており、定義されたアクションを実行するためのアクセス許可を AWS Budgets に付与するための適切なアクセス許可があることを確認します。このポリシーは、 AWS Budgets アクションを含む Budgets へのフルアクセスを提供し、 を使用してポリシーのステータスを取得し、 AWS リソースを実行します AWS Management Console。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "budgets:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "budgets.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ModifyBilling",
                "ec2:DescribeInstances",
                "iam:ListGroups",
                "iam:ListPolicies",
                "iam:ListRoles",
                "iam:ListUsers",
                "organizations:ListAccounts",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListPolicies",
                "organizations:ListRoots",
                "rds:DescribeDBInstances",
                "sns:ListTopics"
            ],
            "Resource": "*"
        }
    ]
}

AWS リソースをコントロールする許可を付与する

マネージドポリシー名: AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM

この管理ポリシーは、特定のアクションを完了するときに AWS Budgets がユーザーに代わって実行する特定のアクションに焦点を当てています。このポリシーは、 AWS リソースを制御するアクセス許可を付与します。例えば、 は Systems Manager (SSM) スクリプトを実行して Amazon EC2 または Amazon RDS AWS インスタンスを起動および停止します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstanceStatus",
                "ec2:StartInstances",
                "ec2:StopInstances",
                "rds:DescribeDBInstances",
                "rds:StartDBInstance",
                "rds:StopDBInstance"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "ssm.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartAutomationExecution"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:automation-definition/AWS-StartEC2Instance:*",
                "arn:aws:ssm:*:*:automation-definition/AWS-StopEC2Instance:*",
                "arn:aws:ssm:*:*:automation-definition/AWS-StartRdsInstance:*",
                "arn:aws:ssm:*:*:automation-definition/AWS-StopRdsInstance:*"
            ]
        }
    ]
}

Cost Optimization Hub がサービスの動作に必要なサービスを呼び出すことを許可します

マネージドポリシー名: CostOptimizationHubServiceRolePolicy

Cost Optimization Hub が組織情報を取得し、最適化関連のデータとメタデータを収集できるようにします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AwsOrgsAccess",
            "Effect": "Allow",
            "Action":  [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListParents",
                "organizations:DescribeOrganizationalUnit"
            ],
            "Resource":  [
                "*" 
            ]
        },
        {
            "Sid": "CostExplorerAccess",
            "Effect": "Allow",
            "Action": [
                "ce:ListCostAllocationTags"
            ],
            "Resource":  [
                "*" 
            ]
        }
    ]
}

詳細については、「Cost Optimization Hub のサービスにリンクされたロール」を参照してください。

Cost Optimization Hub への読み取り専用アクセスを許可する

マネージドポリシー名: CostOptimizationHubReadOnlyAccess

この管理ポリシーは、Cost Optimization Hub への読み取り専用アクセスを提供します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CostOptimizationHubReadOnlyAccess",
            "Effect": "Allow",
            "Action": [
                "cost-optimization-hub:ListEnrollmentStatuses",
                "cost-optimization-hub:GetPreferences",
                "cost-optimization-hub:GetRecommendation",
                "cost-optimization-hub:ListRecommendations",
                "cost-optimization-hub:ListRecommendationSummaries"
            ],
            "Resource": "*"
        }
    ]
}

Cost Optimization Hub への管理者アクセスを許可する

マネージドポリシー名: CostOptimizationHubAdminAccess

この管理ポリシーは、Cost Optimization Hub への管理者アクセスを提供します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CostOptimizationHubAdminAccess",
            "Effect": "Allow",
            "Action": [
                "cost-optimization-hub:ListEnrollmentStatuses",
                "cost-optimization-hub:UpdateEnrollmentStatus",
                "cost-optimization-hub:GetPreferences",
                "cost-optimization-hub:UpdatePreferences",
                "cost-optimization-hub:GetRecommendation",
                "cost-optimization-hub:ListRecommendations",
                "cost-optimization-hub:ListRecommendationSummaries",
                "organizations:EnableAWSServiceAccess"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowCreationOfServiceLinkedRoleForCostOptimizationHub",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/cost-optimization-hub.bcm.amazonaws.com/AWSServiceRoleForCostOptimizationHub"
            ],
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "cost-optimization-hub.bcm.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AllowAWSServiceAccessForCostOptimizationHub",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "organizations:ServicePrincipal": [
                        "cost-optimization-hub.bcm.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

分割コスト配分データに、サービスの機能に必要なサービスを呼び出すことを許可する

マネージドポリシー名: SplitCostAllocationDataServiceRolePolicy

該当する場合は、分割コスト配分データで AWS Organizations 情報を取得し、顧客がオプトインした分割コスト配分データサービスのテレメトリデータを収集できるようにします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AwsOrganizationsAccess",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListParents"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonManagedServiceForPrometheusAccess",
            "Effect": "Allow",
            "Action": [
                "aps:ListWorkspaces",
                "aps:QueryMetrics"
            ],
            "Resource": "*"
        }
    ]
}

詳細については、「分割コスト配分データのサービスにリンクされたロール」を参照してください。

データエクスポートが他の AWS サービスにアクセスすることを許可する

マネージドポリシー名: AWSBCMDataExportsServiceRolePolicy

データエクスポートがユーザーに代わって Cost Optimization Hub などの他の AWS サービスにアクセスできるようにします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CostOptimizationRecommendationAccess",
            "Effect": "Allow",
            "Action":  [
                "cost-optimization-hub:ListEnrollmentStatuses",
                "cost-optimization-hub:ListRecommendations"
            ],
            "Resource": "*" 
        }
    ]
}

詳細については、「データエクスポートのサービスにリンクされたロール」を参照してください。

AWS 管理 AWS ポリシーに対するコスト管理の更新

AWS コスト管理の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動通知を受け取るには、 AWS コスト管理ドキュメントの履歴ページの RSS フィードにサブスクライブしてください。

変更 説明 日付

新しいポリシーの追加

AWSBCMDataExportsServiceRolePolicy

 Data Exports は、サービスにリンクされたロールで使用する新しいポリシーを追加しました。これにより、Cost Optimization Hub などの他の AWS のサービスにアクセスできます。 06/10/2024

新しいポリシーの追加

SplitCostAllocationDataServiceRoleポリシー

 分割コスト配分データに、サービスにリンクされたロールで使用する新しいポリシーが追加されました。これにより、分割コスト配分データによって使用または管理される AWS のサービスやリソースにアクセスできます。 04/16/2024

既存のポリシーの更新

AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM

 スコープダウンされたアクセス許可でポリシーを更新しました。ssm:StartAutomationExecution アクションは、 Budget アクションで使用される特定のリソースに対してのみ許可されます。 12/14/2023

既存のポリシーに対する更新

CostOptimizationHubReadOnlyAccess

CostOptimizationHubAdminアクセス

 Cost Optimization Hub では、次の 2 つの管理ポリシーが更新されました。

  • CostOptimizationHubReadOnlyAccess: 「」の入力ミスを修正GetRecommendationしました。SLR ポリシーの対象となるアクセス許可を削除しました。

  • CostOptimizationHubAdminAccess: 「」の誤字を修正GetRecommendationしました。SLR ポリシーの対象となるアクセス許可を削除しました。サービスアクセスを有効にして SLR を作成するためのアクセス許可を追加しました。これにより、ポリシーは Cost Optimization Hub をオプトインして使用するために必要なすべてのアクセス許可を提供します。

 12/14/2023

新しいポリシーの追加

CostOptimizationHubServiceRolePolicy

 Cost Optimization Hub は、サービスにリンクされたロールで使用する新しいポリシーを追加しました。これにより、Cost Optimization Hub が使用または管理する AWS のサービスやリソースにアクセスできるようになります。 11/02/2023
AWS コスト管理が変更の追跡を開始しました AWS コスト管理が AWS マネージドポリシーの変更の追跡を開始しました 11/02/2023