AWS コスト管理にアイデンティティベースのポリシー (IAM ポリシー) を使用する - AWS コスト管理
請求情報とコスト管理アクションポリシーマネージドポリシーポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS コスト管理にアイデンティティベースのポリシー (IAM ポリシー) を使用する

注記

次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。

  • aws-portal 名前空間

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

を使用している場合は AWS Organizations、一括ポリシー移行スクリプトを使用して、支払者アカウントからポリシーを更新できます。また、従来のアクションから詳細なアクションへのマッピングのリファレンスを使用して、追加する必要のある IAM アクションを検証することもできます。

詳細については、AWS 「請求、 AWS コスト管理、アカウントコンソールのアクセス許可の変更」ブログを参照してください。

2023 年 3 月 6 日午前 11 時 (PDT) 以降に AWS Organizations 作成された を持っている AWS アカウントか、 の一部である場合、きめ細かなアクションは組織で既に有効になっています。

このトピックでは、ID ベースのポリシーの例として、アカウント管理者が IAM アイデンティティ (ロールとグループ) に許可ポリシーをアタッチし、これにより許可を付与して請求情報とコスト管理のリソースに対するオペレーションの実行を許可する方法を示します。

AWS アカウントとユーザーの詳細については、「IAM ユーザーガイド」の「IAM とは」を参照してください。

カスタマー管理ポリシーを更新する方法の詳細については「IAM ユーザーガイド」の「カスタマー管理ポリシーの編集 (コンソール)」を参照してください。

請求情報とコスト管理アクションポリシー

次の表は、 ユーザーの請求の情報およびツールへのアクセスを許可または拒否するアクセス許可をまとめたものです。これらのアクセス許可を使用するポリシーの例については、「AWS コスト管理ポリシーの例」を参照してください。

請求コンソールのアクションポリシーの一覧については、請求ユーザーガイドの「請求情報とコスト管理アクションポリシー」を参照してください。

アクセス許可名 説明

aws-portal:ViewBilling

請求情報とコスト管理コンソールページを表示する許可をユーザーに与えるまたは拒否します。ポリシーの例については、「請求情報ユーザーガイド」の「請求情報の表示を IAM ユーザーに許可する」を参照してください。
aws-portal:ViewUsage

AWS 使用状況レポートを表示するアクセス許可をユーザーに許可または拒否します。

使用状況レポートの表示をユーザーに許可するには、ViewUsageViewBilling の両方を許可する必要があります。

ポリシーの例については、「Billing User Guide」の「Allow IAM users to access the reports console page」を参照してください。

aws-portal:ModifyBilling

次の [Billing and Cost Management] コンソールページを変更する権限をユーザーに与えるか拒否します。

ユーザーにこれらのコンソールページの変更を許可するには、ModifyBillingViewBilling の両方を許可する必要があります。ポリシーの例については請求情報の変更をユーザーに許可するを参照してください。

aws-portal:ViewAccount

次の [Billing and Cost Management] コンソールページを表示する権限をユーザーに与えるか拒否します。
aws-portal:ModifyAccount

アカウント設定を変更するアクセス権限をユーザーに許可または拒否します。

ユーザーにアカウント設定の変更を許可するには、ModifyAccountViewAccount の両方を許可する必要があります。

[アカウント設定] コンソールページへのアクセスをユーザーに明示的に拒否するポリシーの例については、「アカウント設定へのアクセスは拒否するが、その他の請求および使用情報へのフルアクセスは許可する」を参照してください。
budgets:ViewBudget

予算を表示するアクセス権限をユーザーに与えるまたは拒否します。

ユーザーに予算の表示を許可するには、ViewBilling も許可する必要があります。
budgets:ModifyBudget

予算を変更するアクセス権限をユーザーに与えるまたは拒否します。

ユーザーに予算の表示および変更を許可するには、ViewBilling も許可する必要があります。
ce:GetPreferences

Cost Explorer の設定ページを表示する許可をユーザーに与えるまたは拒否します。

ポリシーの例についてはCost Explorer 設定ページの表示と更新を参照してください。
ce:UpdatePreferences

Cost Explorer の設定ページを更新する許可をユーザーに与えるまたは拒否します。

ポリシーの例についてはCost Explorer 設定ページの表示と更新を参照してください。
ce:DescribeReport

Cost Explorer レポートページを表示する許可をユーザーに与えるまたは拒否します。

ポリシーの例についてはCost Explorer レポートページを使用した表示、作成、更新、および削除を参照してください。
ce:CreateReport

Cost Explorer レポートページを使用してレポートを作成する許可をユーザーに与えるまたは拒否します。

ポリシーの例についてはCost Explorer レポートページを使用した表示、作成、更新、および削除を参照してください。
ce:UpdateReport

Cost Explorer レポートページを使用して更新する許可をユーザーに与えるまたは拒否します。

ポリシーの例についてはCost Explorer レポートページを使用した表示、作成、更新、および削除を参照してください。
ce:DeleteReport

Cost Explorer レポートページを使用してレポートを削除する許可をユーザーに与えるまたは拒否します。

ポリシーの例についてはCost Explorer レポートページを使用した表示、作成、更新、および削除を参照してください。
ce:DescribeNotificationSubscription

予約概要ページで Cost Explorer の予約の失効アラートを表示する許可をユーザーに与えるまたは拒否します。

ポリシーの例については予約および Savings Plans アラートの表示、作成、更新、および削除を参照してください。
ce:CreateNotificationSubscription

予約概要ページで Cost Explorer 予約の失効アラートを作成する許可をユーザーに与えるまたは拒否します。

ポリシーの例については予約および Savings Plans アラートの表示、作成、更新、および削除を参照してください。
ce:UpdateNotificationSubscription

予約概要ページで Cost Explorer 予約の失効アラートを更新する許可をユーザーに与えるまたは拒否します。

ポリシーの例については予約および Savings Plans アラートの表示、作成、更新、および削除を参照してください。
ce:DeleteNotificationSubscription

予約概要ページで Cost Explorer 予約の失効アラートを削除する許可をユーザーに与えるまたは拒否します。

ポリシーの例については予約および Savings Plans アラートの表示、作成、更新、および削除を参照してください。
ce:CreateCostCategoryDefinition

コストカテゴリを作成するアクセス許可をユーザーに許可または拒否します。

ポリシーの例については、「Billing User Guide」の「View and manage cost categories」を参照してください。

リソースタグは、Create 中にモニターに追加できます。リソースタグでモニターを作成するには、ce:TagResource 許可が必要です。
ce:DeleteCostCategoryDefinition

コストカテゴリを削除するアクセス許可をユーザーに許可または拒否します。

ポリシーの例については、「Billing User Guide」の「View and manage cost categories」を参照してください。
ce:DescribeCostCategoryDefinition

コストカテゴリを表示するアクセス許可をユーザーに許可または拒否します。

ポリシーの例については、「Billing User Guide」の「View and manage cost categories」を参照してください。
ce:ListCostCategoryDefinitions

コストカテゴリを一覧表示するアクセス許可をユーザーに許可または拒否します。

ポリシーの例については、「Billing User Guide」の「View and manage cost categories」を参照してください。
ce:ListTagsForResource

所定のリソースに関するすべてのリソースタグをリストする許可をユーザーに与えるまたは拒否します。サポートされているリソースのリストについては、「AWS Billing and Cost Management API Reference」の「ResourceTag」を参照してください。
ce:UpdateCostCategoryDefinition

コストカテゴリを更新するアクセス許可をユーザーに許可または拒否します。

ポリシーの例については、「Billing User Guide」の「View and manage cost categories」を参照してください。
ce:CreateAnomalyMonitor

単一の AWS コスト異常検出モニターを作成する許可をユーザーに与えるまたは拒否します。リソースタグは、Create 中にモニターに追加できます。リソースタグでモニターを作成するには、ce:TagResource 許可が必要です。
ce:GetAnomalyMonitors

すべての AWS コスト異常検出モニターを表示する許可をユーザーに与えるまたは拒否します。
ce:UpdateAnomalyMonitor

AWS コスト異常検出モニターを更新する許可をユーザーに与えるまたは拒否します。
ce:DeleteAnomalyMonitor

AWS コスト異常検出モニターを削除する許可をユーザーに与えるまたは拒否します。
ce:CreateAnomalySubscription

AWS コスト異常検出の単一のサブスクリプションを作成する許可をユーザーに与えるまたは拒否します。リソースタグは、Create 中にサブスクリプションに追加できます。リソースタグでサブスクリプションを作成するには、ce:TagResource 許可が必要です。
ce:GetAnomalySubscriptions

AWS コスト異常検出のすべてのサブスクリプションを表示する許可をユーザーに与えるまたは拒否します。
ce:UpdateAnomalySubscription

AWS コスト異常検出のサブスクリプションを更新する許可をユーザーに与えるまたは拒否します。
ce:DeleteAnomalySubscription

AWS コスト異常検出のサブスクリプションを削除する許可をユーザーに与えるまたは拒否します。
ce:GetAnomalies

AWS コスト異常検出のすべての異常を表示する許可をユーザーに与えるまたは拒否します。
ce:ProvideAnomalyFeedback

AWS コスト異常検出で検出されたフィードバックを提供する許可をユーザーに与えるまたは拒否します。
ce:TagResource

リソースにリソースタグのキーバリューペアを追加する許可をユーザーに与えるまたは拒否します。サポートされているリソースのリストについては、「AWS Billing and Cost Management API Reference」の「ResourceTag」を参照してください。
ce:UntagResource

リソースからリソースタグを削除する許可をユーザーに与えるまたは拒否します。サポートされているリソースのリストについては、「AWS Billing and Cost Management API Reference」の「ResourceTag」を参照してください。

マネージドポリシー

注記

次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。

  • aws-portal 名前空間

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

を使用している場合は AWS Organizations、一括ポリシー移行スクリプトを使用して、支払者アカウントからポリシーを更新できます。また、従来のアクションから詳細なアクションへのマッピングのリファレンスを使用して、追加する必要のある IAM アクションを検証することもできます。

詳細については、AWS 「請求、 AWS コスト管理、アカウントコンソールのアクセス許可の変更」ブログを参照してください。

2023 年 3 月 6 日午前 11 時 (PDT) 以降に AWS Organizations 作成された を持っている AWS アカウントか、 の一部である場合、きめ細かなアクションは組織で既に有効になっています。

管理ポリシーは、 AWS アカウントの複数のユーザー、グループ、ロールにアタッチできるスタンドアロンのアイデンティティベースのポリシーです。 AWS マネージドポリシーを使用して、請求情報とコスト管理でアクセスを制御できます。

AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されています。 AWS 管理ポリシーを使用すると、ポリシーを自分で記述する必要があったよりも、ユーザー、グループ、ロールに適切なアクセス許可を簡単に割り当てることができます。

AWS 管理ポリシーで定義されているアクセス許可を変更することはできません。 AWS は、 AWS 管理ポリシーで定義されているアクセス許可をときどき更新します。行われた更新は、ポリシーがアタッチされているすべてのプリンシパルエンティティ (ユーザー、グループ、ロール) に影響します。

請求情報とコスト管理には、一般的なユースケース向けの AWS 管理ポリシーがいくつか用意されています。

予算アクションを含む AWS Budgets へのフルアクセスを許可する

マネージドポリシー名: AWSBudgetsActionsWithAWSResourceControlAccess

この管理ポリシーは ユーザーに焦点を当てており、定義されたアクションを実行するためのアクセス許可を AWS Budgets に付与するための適切なアクセス許可があることを確認します。このポリシーは、 AWS Budgets アクションを含む Budgets へのフルアクセスを提供し、 を使用してポリシーのステータスを取得し、 AWS リソースを実行します AWS Management Console。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "budgets:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "budgets.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ModifyBilling",
                "ec2:DescribeInstances",
                "iam:ListGroups",
                "iam:ListPolicies",
                "iam:ListRoles",
                "iam:ListUsers",
                "organizations:ListAccounts",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListPolicies",
                "organizations:ListRoots",
                "rds:DescribeDBInstances",
                "sns:ListTopics"
            ],
            "Resource": "*"
        }
    ]
}

AWS Budgets への読み取り専用アクセスを許可します。

マネージドポリシー名: AWSBudgetsReadOnlyAccess

この管理ポリシーは、 を通じて AWS Budgets への読み取り専用アクセスを許可します AWS Management Console。ユーザー、グループおよびロールにポリシーをアタッチできます。

{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid": "AWSBudgetsReadOnlyAccess",
      "Effect" : "Allow",
      "Action" : [
        "aws-portal:ViewBilling",
        "budgets:ViewBudget",
        "budgets:Describe*"
        "budgets:ListTagsForResource"
      ],
      "Resource" : "*"
    }
  ]
}

AWS リソースをコントロールする許可を付与する

マネージドポリシー名: AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM

この管理ポリシーは、特定のアクションを完了するときに AWS Budgets がユーザーに代わって実行する特定のアクションに焦点を当てています。このポリシーは、 AWS リソースを制御するアクセス許可を に付与します。例えば、 は AWS Systems Manager (SSM) スクリプトを実行して Amazon EC2 または Amazon RDS インスタンスを起動および停止します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstanceStatus",
                "ec2:StartInstances",
                "ec2:StopInstances",
                "rds:DescribeDBInstances",
                "rds:StartDBInstance",
                "rds:StopDBInstance"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "ssm.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartAutomationExecution"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:automation-definition/AWS-StartEC2Instance:*",
                "arn:aws:ssm:*:*:automation-definition/AWS-StopEC2Instance:*",
                "arn:aws:ssm:*:*:automation-definition/AWS-StartRdsInstance:*",
                "arn:aws:ssm:*:*:automation-definition/AWS-StopRdsInstance:*"
            ]
        }
    ]
}

Cost Optimization Hub がサービスの動作に必要なサービスを呼び出せるよう許可する

マネージドポリシー名: CostOptimizationHubServiceRolePolicy

Cost Optimization Hub が組織情報を取得し、最適化関連のデータとメタデータを収集できるよう許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AwsOrgsAccess",
            "Effect": "Allow",
            "Action":  [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListParents",
                "organizations:DescribeOrganizationalUnit"
            ],
            "Resource":  [
                "*" 
            ]
        },
        {
            "Sid": "AwsOrgsScopedAccess",
            "Effect": "Allow",
            "Action":  [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*",
            "Condition": { 
                "StringLikeIfExists": {
                    "organizations:ServicePrincipal": [ "cost-optimization-hub.bcm.amazonaws.com" ]
                }
            }
        },
        {
            "Sid": "CostExplorerAccess",
            "Effect": "Allow",
            "Action": [
                "ce:ListCostAllocationTags",
                "ce:GetCostAndUsage"
            ],
            "Resource":  [
                "*" 
            ]
        }
    ]
}

詳細については、「Cost Optimization Hub のサービスにリンクされたロール」を参照してください。

Cost Optimization Hub への読み取り専用アクセスを許可します。

マネージドポリシー名: CostOptimizationHubReadOnlyAccess

このマネージドポリシーは、Cost Optimization Hub への読み取り専用アクセスを提供します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CostOptimizationHubReadOnlyAccess",
            "Effect": "Allow",
            "Action": [
                "cost-optimization-hub:ListEnrollmentStatuses",
                "cost-optimization-hub:GetPreferences",
                "cost-optimization-hub:GetRecommendation",
                "cost-optimization-hub:ListRecommendations",
                "cost-optimization-hub:ListRecommendationSummaries"
            ],
            "Resource": "*"
        }
    ]
}

Cost Optimization Hub への管理者アクセスを許可します。

マネージドポリシー名: CostOptimizationHubAdminAccess

このマネージドポリシーは、Cost Optimization Hub への管理者アクセスを提供します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CostOptimizationHubAdminAccess",
            "Effect": "Allow",
            "Action": [
                "cost-optimization-hub:ListEnrollmentStatuses",
                "cost-optimization-hub:UpdateEnrollmentStatus",
                "cost-optimization-hub:GetPreferences",
                "cost-optimization-hub:UpdatePreferences",
                "cost-optimization-hub:GetRecommendation",
                "cost-optimization-hub:ListRecommendations",
                "cost-optimization-hub:ListRecommendationSummaries",
                "organizations:EnableAWSServiceAccess"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowCreationOfServiceLinkedRoleForCostOptimizationHub",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/cost-optimization-hub.bcm.amazonaws.com/AWSServiceRoleForCostOptimizationHub"
            ],
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "cost-optimization-hub.bcm.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AllowAWSServiceAccessForCostOptimizationHub",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "organizations:ServicePrincipal": [
                        "cost-optimization-hub.bcm.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

分割コスト配分データからサービスの動作に必要なサービスを呼び出せるよう許可する

マネージドポリシー名: SplitCostAllocationDataServiceRolePolicy

該当する場合は、分割コスト配分データで AWS Organizations 情報を取得し、顧客がオプトインした分割コスト配分データサービスのテレメトリデータを収集できるようにします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AwsOrganizationsAccess",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListParents"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonManagedServiceForPrometheusAccess",
            "Effect": "Allow",
            "Action": [
                "aps:ListWorkspaces",
                "aps:QueryMetrics"
            ],
            "Resource": "*"
        }
    ]
}

詳細については、「分割コスト配分データのサービスにリンクされたロール」を参照してください。

データエクスポートが他の AWS サービスにアクセスできるように許可する

マネージドポリシー名: AWSBCMDataExportsServiceRolePolicy

データエクスポートがユーザーに代わって Cost Optimization Hub などの他の AWS サービスにアクセスできるようにします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CostOptimizationRecommendationAccess",
            "Effect": "Allow",
            "Action":  [
                "cost-optimization-hub:ListEnrollmentStatuses",
                "cost-optimization-hub:ListRecommendations"
            ],
            "Resource": "*" 
        }
    ]
}

詳細については、「データエクスポートのサービスにリンクされたロール」を参照してください。

AWSAWS マネージドポリシーに対するコスト管理の更新

AWS コスト管理の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動通知については、 AWS コスト管理ドキュメントの履歴ページの RSS フィードにサブスクライブしてください。

変更 説明 日付

既存のポリシーの更新

CostOptimizationHubServiceRolePolicy

 ポリシーを更新して、organizations:ListDelegatedAdministrators および ce:GetCostAndUsage アクションを追加しました。 07/05/2024

既存のポリシーの更新

AWSBudgetsReadOnlyAccess

 ポリシーを更新して、budgets:ListTagsForResource アクションを追加しました。 06/17/2024

新しいポリシーの追加

AWSBCMDataExportsServiceRolePolicy

 データエクスポートでは、サービスにリンクされたロールで使用する新しいポリシーが追加されました。これにより、Cost Optimization Hub などの他の AWS サービスにアクセスできます。 06/10/2024

新しいポリシーの追加

SplitCostAllocationDataServiceRolePolicy

 分割コスト配分データには、サービスにリンクされたロールで使用する新しいポリシーが追加されました。これにより、分割コスト配分データによって使用または管理される AWS サービスやリソースにアクセスできます。 04/16/2024

既存のポリシーの更新

AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM

 制限されたアクセス許可に関するポリシーを更新しました。ssm:StartAutomationExecution アクションは、予算アクションで使用される特定のリソースに対してのみ許可されます。 12/14/2023

既存のポリシーに対する更新

CostOptimizationHubReadOnlyAccess

CostOptimizationHubAdminAccess

 Cost Optimization Hub では、次の 2 つのマネージドポリシーが更新されました。

  • CostOptimizationHubReadOnlyAccess: 「GetRecommendation」の誤字を修正し、SLR ポリシーの対象となるアクセス許可を削除しました。

  • CostOptimizationHubAdminAccess: 「GetRecommendation」の誤字を修正しました。SLR ポリシーの対象となるアクセス許可を削除しました。サービスアクセスを有効にして SLR を作成するためのアクセス許可を追加し、Cost Optimization Hub をオプトインして使用するために必要なすべてのアクセス許可をポリシーで提供するようになりました。

 12/14/2023

新しいポリシーの追加

CostOptimizationHubServiceRolePolicy

 Cost Optimization Hub は、サービスにリンクされたロールで使用する新しいポリシーを追加しました。これにより、Cost Optimization Hub が使用または管理する AWS のサービスやリソースにアクセスできます。 11/02/2023
AWS コスト管理が変更の追跡を開始 AWS コスト管理が AWS 管理ポリシーの変更の追跡を開始 11/02/2023