翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS コスト管理にアイデンティティベースのポリシー (IAM ポリシー) を使用する
注記
次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。
-
aws-portal
名前空間 -
purchase-orders:ViewPurchaseOrders
-
purchase-orders:ModifyPurchaseOrders
を使用している場合は AWS Organizations、一括ポリシー移行スクリプトを使用して、支払者アカウントからポリシーを更新できます。また、従来のアクションから詳細なアクションへのマッピングのリファレンスを使用して、追加する必要のある IAM アクションを検証することもできます。
詳細については、AWS 「請求、 AWS コスト管理、アカウントコンソールのアクセス許可の変更
2023 年 3 月 6 日午前 11 時 (PDT) 以降に AWS Organizations 作成された を持っている AWS アカウントか、 の一部である場合、きめ細かなアクションは組織で既に有効になっています。
このトピックでは、ID ベースのポリシーの例として、アカウント管理者が IAM アイデンティティ (ロールとグループ) に許可ポリシーをアタッチし、これにより許可を付与して請求情報とコスト管理のリソースに対するオペレーションの実行を許可する方法を示します。
AWS アカウントとユーザーの詳細については、「IAM ユーザーガイド」の「IAM とは」を参照してください。
カスタマー管理ポリシーを更新する方法の詳細については「IAM ユーザーガイド」の「カスタマー管理ポリシーの編集 (コンソール)」を参照してください。
請求情報とコスト管理アクションポリシー
次の表は、 ユーザーの請求の情報およびツールへのアクセスを許可または拒否するアクセス許可をまとめたものです。これらのアクセス許可を使用するポリシーの例については、「AWS コスト管理ポリシーの例」を参照してください。
請求コンソールのアクションポリシーの一覧については、請求ユーザーガイドの「請求情報とコスト管理アクションポリシー」を参照してください。
アクセス許可名 | 説明 |
---|---|
|
請求情報とコスト管理コンソールページを表示する許可をユーザーに与えるまたは拒否します。ポリシーの例については、「請求情報ユーザーガイド」の「請求情報の表示を IAM ユーザーに許可する」を参照してください。 |
aws-portal:ViewUsage |
AWS 使用状況レポート 使用状況レポートの表示をユーザーに許可するには、 ポリシーの例については、「Billing User Guide」の「Allow IAM users to access the reports console page」を参照してください。 |
|
次の [Billing and Cost Management] コンソールページを変更する権限をユーザーに与えるか拒否します。 ユーザーにこれらのコンソールページの変更を許可するには、 |
|
次の [Billing and Cost Management] コンソールページを表示する権限をユーザーに与えるか拒否します。 |
aws-portal:ModifyAccount |
アカウント設定 ユーザーにアカウント設定の変更を許可するには、 [アカウント設定] コンソールページへのアクセスをユーザーに明示的に拒否するポリシーの例については、「アカウント設定へのアクセスは拒否するが、その他の請求および使用情報へのフルアクセスは許可する」を参照してください。 |
budgets:ViewBudget |
予算 ユーザーに予算の表示を許可するには、 |
budgets:ModifyBudget |
予算 ユーザーに予算の表示および変更を許可するには、 |
ce:GetPreferences |
Cost Explorer の設定ページを表示する許可をユーザーに与えるまたは拒否します。 ポリシーの例についてはCost Explorer 設定ページの表示と更新を参照してください。 |
ce:UpdatePreferences |
Cost Explorer の設定ページを更新する許可をユーザーに与えるまたは拒否します。 ポリシーの例についてはCost Explorer 設定ページの表示と更新を参照してください。 |
ce:DescribeReport |
Cost Explorer レポートページを表示する許可をユーザーに与えるまたは拒否します。 ポリシーの例についてはCost Explorer レポートページを使用した表示、作成、更新、および削除を参照してください。 |
ce:CreateReport |
Cost Explorer レポートページを使用してレポートを作成する許可をユーザーに与えるまたは拒否します。 ポリシーの例についてはCost Explorer レポートページを使用した表示、作成、更新、および削除を参照してください。 |
ce:UpdateReport |
Cost Explorer レポートページを使用して更新する許可をユーザーに与えるまたは拒否します。 ポリシーの例についてはCost Explorer レポートページを使用した表示、作成、更新、および削除を参照してください。 |
ce:DeleteReport |
Cost Explorer レポートページを使用してレポートを削除する許可をユーザーに与えるまたは拒否します。 ポリシーの例についてはCost Explorer レポートページを使用した表示、作成、更新、および削除を参照してください。 |
ce:DescribeNotificationSubscription |
予約概要ページで Cost Explorer の予約の失効アラートを表示する許可をユーザーに与えるまたは拒否します。 ポリシーの例については予約および Savings Plans アラートの表示、作成、更新、および削除を参照してください。 |
ce:CreateNotificationSubscription |
予約概要ページで Cost Explorer 予約の失効アラートを作成する許可をユーザーに与えるまたは拒否します。 ポリシーの例については予約および Savings Plans アラートの表示、作成、更新、および削除を参照してください。 |
ce:UpdateNotificationSubscription |
予約概要ページで Cost Explorer 予約の失効アラートを更新する許可をユーザーに与えるまたは拒否します。 ポリシーの例については予約および Savings Plans アラートの表示、作成、更新、および削除を参照してください。 |
ce:DeleteNotificationSubscription |
予約概要ページで Cost Explorer 予約の失効アラートを削除する許可をユーザーに与えるまたは拒否します。 ポリシーの例については予約および Savings Plans アラートの表示、作成、更新、および削除を参照してください。 |
ce:CreateCostCategoryDefinition |
コストカテゴリを作成するアクセス許可をユーザーに許可または拒否します。 ポリシーの例については、「Billing User Guide」の「View and manage cost categories」を参照してください。 リソースタグは、 |
ce:DeleteCostCategoryDefinition |
コストカテゴリを削除するアクセス許可をユーザーに許可または拒否します。 ポリシーの例については、「Billing User Guide」の「View and manage cost categories」を参照してください。 |
ce:DescribeCostCategoryDefinition |
コストカテゴリを表示するアクセス許可をユーザーに許可または拒否します。 ポリシーの例については、「Billing User Guide」の「View and manage cost categories」を参照してください。 |
ce:ListCostCategoryDefinitions |
コストカテゴリを一覧表示するアクセス許可をユーザーに許可または拒否します。 ポリシーの例については、「Billing User Guide」の「View and manage cost categories」を参照してください。 |
ce:ListTagsForResource |
所定のリソースに関するすべてのリソースタグをリストする許可をユーザーに与えるまたは拒否します。サポートされているリソースのリストについては、「AWS Billing and Cost Management API Reference」の「ResourceTag」を参照してください。 |
ce:UpdateCostCategoryDefinition |
コストカテゴリを更新するアクセス許可をユーザーに許可または拒否します。 ポリシーの例については、「Billing User Guide」の「View and manage cost categories」を参照してください。 |
ce:CreateAnomalyMonitor |
単一の AWS コスト異常検出モニターを作成する許可をユーザーに与えるまたは拒否します。リソースタグは、 |
ce:GetAnomalyMonitors |
すべての AWS コスト異常検出モニターを表示する許可をユーザーに与えるまたは拒否します。 |
ce:UpdateAnomalyMonitor |
AWS コスト異常検出モニターを更新する許可をユーザーに与えるまたは拒否します。 |
ce:DeleteAnomalyMonitor |
AWS コスト異常検出モニターを削除する許可をユーザーに与えるまたは拒否します。 |
ce:CreateAnomalySubscription |
AWS コスト異常検出の単一のサブスクリプションを作成する許可をユーザーに与えるまたは拒否します。リソースタグは、 |
ce:GetAnomalySubscriptions |
AWS コスト異常検出のすべてのサブスクリプションを表示する許可をユーザーに与えるまたは拒否します。 |
ce:UpdateAnomalySubscription |
AWS コスト異常検出のサブスクリプションを更新する許可をユーザーに与えるまたは拒否します。 |
ce:DeleteAnomalySubscription |
AWS コスト異常検出のサブスクリプションを削除する許可をユーザーに与えるまたは拒否します。 |
ce:GetAnomalies |
AWS コスト異常検出のすべての異常を表示する許可をユーザーに与えるまたは拒否します。 |
ce:ProvideAnomalyFeedback |
AWS コスト異常検出で検出されたフィードバックを提供する許可をユーザーに与えるまたは拒否します。 |
ce:TagResource |
リソースにリソースタグのキーバリューペアを追加する許可をユーザーに与えるまたは拒否します。サポートされているリソースのリストについては、「AWS Billing and Cost Management API Reference」の「ResourceTag」を参照してください。 |
ce:UntagResource |
リソースからリソースタグを削除する許可をユーザーに与えるまたは拒否します。サポートされているリソースのリストについては、「AWS Billing and Cost Management API Reference」の「ResourceTag」を参照してください。 |
マネージドポリシー
注記
次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。
-
aws-portal
名前空間 -
purchase-orders:ViewPurchaseOrders
-
purchase-orders:ModifyPurchaseOrders
を使用している場合は AWS Organizations、一括ポリシー移行スクリプトを使用して、支払者アカウントからポリシーを更新できます。また、従来のアクションから詳細なアクションへのマッピングのリファレンスを使用して、追加する必要のある IAM アクションを検証することもできます。
詳細については、AWS 「請求、 AWS コスト管理、アカウントコンソールのアクセス許可の変更
2023 年 3 月 6 日午前 11 時 (PDT) 以降に AWS Organizations 作成された を持っている AWS アカウントか、 の一部である場合、きめ細かなアクションは組織で既に有効になっています。
管理ポリシーは、 AWS アカウントの複数のユーザー、グループ、ロールにアタッチできるスタンドアロンのアイデンティティベースのポリシーです。 AWS マネージドポリシーを使用して、請求情報とコスト管理でアクセスを制御できます。
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されています。 AWS 管理ポリシーを使用すると、ポリシーを自分で記述する必要があったよりも、ユーザー、グループ、ロールに適切なアクセス許可を簡単に割り当てることができます。
AWS 管理ポリシーで定義されているアクセス許可を変更することはできません。 AWS は、 AWS 管理ポリシーで定義されているアクセス許可をときどき更新します。行われた更新は、ポリシーがアタッチされているすべてのプリンシパルエンティティ (ユーザー、グループ、ロール) に影響します。
請求情報とコスト管理には、一般的なユースケース向けの AWS 管理ポリシーがいくつか用意されています。
トピック
予算アクションを含む AWS Budgets へのフルアクセスを許可する
マネージドポリシー名: AWSBudgetsActionsWithAWSResourceControlAccess
この管理ポリシーは ユーザーに焦点を当てており、定義されたアクションを実行するためのアクセス許可を AWS Budgets に付与するための適切なアクセス許可があることを確認します。このポリシーは、 AWS Budgets アクションを含む Budgets へのフルアクセスを提供し、 を使用してポリシーのステータスを取得し、 AWS リソースを実行します AWS Management Console。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "budgets:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "budgets.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "aws-portal:ModifyBilling", "ec2:DescribeInstances", "iam:ListGroups", "iam:ListPolicies", "iam:ListRoles", "iam:ListUsers", "organizations:ListAccounts", "organizations:ListOrganizationalUnitsForParent", "organizations:ListPolicies", "organizations:ListRoots", "rds:DescribeDBInstances", "sns:ListTopics" ], "Resource": "*" } ] }
AWS Budgets への読み取り専用アクセスを許可します。
マネージドポリシー名: AWSBudgetsReadOnlyAccess
この管理ポリシーは、 を通じて AWS Budgets への読み取り専用アクセスを許可します AWS Management Console。ユーザー、グループおよびロールにポリシーをアタッチできます。
{ "Version" : "2012-10-17", "Statement" : [ { "Sid": "AWSBudgetsReadOnlyAccess", "Effect" : "Allow", "Action" : [ "aws-portal:ViewBilling", "budgets:ViewBudget", "budgets:Describe*" "budgets:ListTagsForResource" ], "Resource" : "*" } ] }
AWS リソースをコントロールする許可を付与する
マネージドポリシー名: AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM
この管理ポリシーは、特定のアクションを完了するときに AWS Budgets がユーザーに代わって実行する特定のアクションに焦点を当てています。このポリシーは、 AWS リソースを制御するアクセス許可を に付与します。例えば、 は AWS Systems Manager (SSM) スクリプトを実行して Amazon EC2 または Amazon RDS インスタンスを起動および停止します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "ssm.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ssm:StartAutomationExecution" ], "Resource": [ "arn:aws:ssm:*:*:automation-definition/AWS-StartEC2Instance:*", "arn:aws:ssm:*:*:automation-definition/AWS-StopEC2Instance:*", "arn:aws:ssm:*:*:automation-definition/AWS-StartRdsInstance:*", "arn:aws:ssm:*:*:automation-definition/AWS-StopRdsInstance:*" ] } ] }
Cost Optimization Hub がサービスの動作に必要なサービスを呼び出せるよう許可する
マネージドポリシー名: CostOptimizationHubServiceRolePolicy
Cost Optimization Hub が組織情報を取得し、最適化関連のデータとメタデータを収集できるよう許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AwsOrgsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListParents", "organizations:DescribeOrganizationalUnit" ], "Resource": [ "*" ] }, { "Sid": "AwsOrgsScopedAccess", "Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators" ], "Resource": "*", "Condition": { "StringLikeIfExists": { "organizations:ServicePrincipal": [ "cost-optimization-hub.bcm.amazonaws.com" ] } } }, { "Sid": "CostExplorerAccess", "Effect": "Allow", "Action": [ "ce:ListCostAllocationTags", "ce:GetCostAndUsage" ], "Resource": [ "*" ] } ] }
詳細については、「Cost Optimization Hub のサービスにリンクされたロール」を参照してください。
Cost Optimization Hub への読み取り専用アクセスを許可します。
マネージドポリシー名: CostOptimizationHubReadOnlyAccess
このマネージドポリシーは、Cost Optimization Hub への読み取り専用アクセスを提供します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CostOptimizationHubReadOnlyAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:ListEnrollmentStatuses", "cost-optimization-hub:GetPreferences", "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries" ], "Resource": "*" } ] }
Cost Optimization Hub への管理者アクセスを許可します。
マネージドポリシー名: CostOptimizationHubAdminAccess
このマネージドポリシーは、Cost Optimization Hub への管理者アクセスを提供します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CostOptimizationHubAdminAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:ListEnrollmentStatuses", "cost-optimization-hub:UpdateEnrollmentStatus", "cost-optimization-hub:GetPreferences", "cost-optimization-hub:UpdatePreferences", "cost-optimization-hub:GetRecommendation", "cost-optimization-hub:ListRecommendations", "cost-optimization-hub:ListRecommendationSummaries", "organizations:EnableAWSServiceAccess" ], "Resource": "*" }, { "Sid": "AllowCreationOfServiceLinkedRoleForCostOptimizationHub", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/cost-optimization-hub.bcm.amazonaws.com/AWSServiceRoleForCostOptimizationHub" ], "Condition": { "StringLike": { "iam:AWSServiceName": "cost-optimization-hub.bcm.amazonaws.com" } } }, { "Sid": "AllowAWSServiceAccessForCostOptimizationHub", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringLike": { "organizations:ServicePrincipal": [ "cost-optimization-hub.bcm.amazonaws.com" ] } } } ] }
分割コスト配分データからサービスの動作に必要なサービスを呼び出せるよう許可する
マネージドポリシー名: SplitCostAllocationDataServiceRolePolicy
該当する場合は、分割コスト配分データで AWS Organizations 情報を取得し、顧客がオプトインした分割コスト配分データサービスのテレメトリデータを収集できるようにします。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AwsOrganizationsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListParents" ], "Resource": "*" }, { "Sid": "AmazonManagedServiceForPrometheusAccess", "Effect": "Allow", "Action": [ "aps:ListWorkspaces", "aps:QueryMetrics" ], "Resource": "*" } ] }
詳細については、「分割コスト配分データのサービスにリンクされたロール」を参照してください。
データエクスポートが他の AWS サービスにアクセスできるように許可する
マネージドポリシー名: AWSBCMDataExportsServiceRolePolicy
データエクスポートがユーザーに代わって Cost Optimization Hub などの他の AWS サービスにアクセスできるようにします。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CostOptimizationRecommendationAccess", "Effect": "Allow", "Action": [ "cost-optimization-hub:ListEnrollmentStatuses", "cost-optimization-hub:ListRecommendations" ], "Resource": "*" } ] }
詳細については、「データエクスポートのサービスにリンクされたロール」を参照してください。
AWSAWS マネージドポリシーに対するコスト管理の更新
AWS コスト管理の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動通知については、 AWS コスト管理ドキュメントの履歴ページの RSS フィードにサブスクライブしてください。
変更 | 説明 | 日付 |
---|---|---|
既存のポリシーの更新 |
ポリシーを更新して、organizations:ListDelegatedAdministrators および ce:GetCostAndUsage アクションを追加しました。 |
07/05/2024 |
既存のポリシーの更新 |
ポリシーを更新して、budgets:ListTagsForResource アクションを追加しました。 |
06/17/2024 |
新しいポリシーの追加 |
データエクスポートでは、サービスにリンクされたロールで使用する新しいポリシーが追加されました。これにより、Cost Optimization Hub などの他の AWS サービスにアクセスできます。 | 06/10/2024 |
新しいポリシーの追加 |
分割コスト配分データには、サービスにリンクされたロールで使用する新しいポリシーが追加されました。これにより、分割コスト配分データによって使用または管理される AWS サービスやリソースにアクセスできます。 | 04/16/2024 |
既存のポリシーの更新 AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM |
制限されたアクセス許可に関するポリシーを更新しました。ssm:StartAutomationExecution アクションは、予算アクションで使用される特定のリソースに対してのみ許可されます。 |
12/14/2023 |
既存のポリシーに対する更新 |
Cost Optimization Hub では、次の 2 つのマネージドポリシーが更新されました。
|
12/14/2023 |
新しいポリシーの追加 |
Cost Optimization Hub は、サービスにリンクされたロールで使用する新しいポリシーを追加しました。これにより、Cost Optimization Hub が使用または管理する AWS のサービスやリソースにアクセスできます。 | 11/02/2023 |
AWS コスト管理が変更の追跡を開始 | AWS コスト管理が AWS 管理ポリシーの変更の追跡を開始 | 11/02/2023 |