AWS コスト管理にアイデンティティベースのポリシー (IAM ポリシー) を使用する - AWS コスト管理
請求情報とコスト管理アクションポリシーマネージドポリシーポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS コスト管理にアイデンティティベースのポリシー (IAM ポリシー) を使用する

注記

次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。

  • aws-portal 名前空間

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

を使用している場合は AWS Organizations、一括ポリシー移行スクリプトを使用して、支払者アカウントからポリシーを更新できます。古いアクションマッピングリファレンスからきめ細かなアクションマッピングリファレンスを使用して、追加する必要があるIAMアクションを検証することもできます。

詳細については、AWS 「請求、 AWS コスト管理、アカウントコンソールのアクセス許可の変更」ブログを参照してください。

をお持ちの場合 AWS アカウント、または が 2023 年 3 月 6 日 11:00 AM (PDT) 以降に AWS Organizations 作成された の一部である場合、きめ細かなアクションは組織で既に有効です。

このトピックでは、アカウント管理者が ID (ロールとグループ) IAM にアクセス許可ポリシーをアタッチし、請求リソースとコスト管理リソースでオペレーションを実行するアクセス許可を付与する方法を示す、アイデンティティベースのポリシーの例を示します。

AWS アカウントとユーザーの詳細については、 IAM ユーザーガイド「 とはIAM」を参照してください。

カスタマー管理ポリシーを更新する方法については、 IAM ユーザーガイド「カスタマー管理ポリシーの編集 (コンソール)」を参照してください。

請求情報とコスト管理アクションポリシー

次の表は、 ユーザーの請求の情報およびツールへのアクセスを許可または拒否するアクセス許可をまとめたものです。これらのアクセス許可を使用するポリシーの例については、「AWS コスト管理ポリシーの例」を参照してください。

請求コンソールのアクションポリシーの一覧については、請求ユーザーガイドの「請求情報とコスト管理アクションポリシー」を参照してください。

アクセス許可名 説明

aws-portal:ViewBilling

請求情報とコスト管理コンソールページを表示する許可をユーザーに与えるまたは拒否します。ポリシーの例については、「請求ユーザーガイド」の「請求情報の表示をIAMユーザーに許可する」を参照してください。

aws-portal:ViewUsage

AWS 使用状況レポートを表示するアクセス許可をユーザーに許可または拒否します

使用状況レポートの表示をユーザーに許可するには、ViewUsageViewBilling の両方を許可する必要があります。

ポリシーの例については、請求ユーザーガイドの「レポートコンソールページへのアクセスをIAMユーザーに許可する」を参照してください。

aws-portal:ModifyBilling

次の [Billing and Cost Management] コンソールページを変更する権限をユーザーに与えるか拒否します。

ユーザーにこれらのコンソールページの変更を許可するには、ModifyBillingViewBilling の両方を許可する必要があります。ポリシーの例については、「請求情報の変更をユーザーに許可する」を参照してください。

aws-portal:ViewAccount

次の [Billing and Cost Management] コンソールページを表示する権限をユーザーに与えるか拒否します。
aws-portal:ModifyAccount

アカウント設定を変更するアクセス権限をユーザーに許可または拒否します。

ユーザーにアカウント設定の変更を許可するには、ModifyAccountViewAccount の両方を許可する必要があります。

[アカウント設定] コンソールページへのアクセスをユーザーに明示的に拒否するポリシーの例については、「アカウント設定へのアクセスは拒否するが、その他の請求および使用情報へのフルアクセスは許可する」を参照してください。
budgets:ViewBudget

予算を表示するアクセス権限をユーザーに与えるまたは拒否します。

ユーザーに予算の表示を許可するには、ViewBilling も許可する必要があります。
budgets:ModifyBudget

予算を変更するアクセス権限をユーザーに与えるまたは拒否します。

ユーザーに予算の表示および変更を許可するには、ViewBilling も許可する必要があります。
ce:GetPreferences

Cost Explorer の設定ページを表示する許可をユーザーに与えるまたは拒否します。

ポリシーの例については、「Cost Explorer 設定ページの表示と更新」を参照してください。
ce:UpdatePreferences

Cost Explorer の設定ページを更新する許可をユーザーに与えるまたは拒否します。

ポリシーの例については、「Cost Explorer 設定ページの表示と更新」を参照してください。
ce:DescribeReport

Cost Explorer レポートページを表示する許可をユーザーに与えるまたは拒否します。

ポリシーの例については、「Cost Explorer レポートページを使用した表示、作成、更新、および削除」を参照してください。
ce:CreateReport

Cost Explorer レポートページを使用してレポートを作成する許可をユーザーに与えるまたは拒否します。

ポリシーの例については、「Cost Explorer レポートページを使用した表示、作成、更新、および削除」を参照してください。
ce:UpdateReport

Cost Explorer レポートページを使用して更新する許可をユーザーに与えるまたは拒否します。

ポリシーの例については、「Cost Explorer レポートページを使用した表示、作成、更新、および削除」を参照してください。
ce:DeleteReport

Cost Explorer レポートページを使用してレポートを削除する許可をユーザーに与えるまたは拒否します。

ポリシーの例については、「Cost Explorer レポートページを使用した表示、作成、更新、および削除」を参照してください。
ce:DescribeNotificationSubscription

予約概要ページで Cost Explorer の予約の失効アラートを表示する許可をユーザーに与えるまたは拒否します。

ポリシーの例については、「予約およびSavings Plans アラートの表示、作成、更新、および削除」を参照してください。
ce:CreateNotificationSubscription

予約概要ページで Cost Explorer 予約の失効アラートを作成する許可をユーザーに与えるまたは拒否します。

ポリシーの例については、「予約およびSavings Plans アラートの表示、作成、更新、および削除」を参照してください。
ce:UpdateNotificationSubscription

予約概要ページで Cost Explorer 予約の失効アラートを更新する許可をユーザーに与えるまたは拒否します。

ポリシーの例については、「予約およびSavings Plans アラートの表示、作成、更新、および削除」を参照してください。
ce:DeleteNotificationSubscription

予約概要ページで Cost Explorer 予約の失効アラートを削除する許可をユーザーに与えるまたは拒否します。

ポリシーの例については、「予約およびSavings Plans アラートの表示、作成、更新、および削除」を参照してください。
ce:CreateCostCategoryDefinition

コストカテゴリを作成するアクセス許可をユーザーに許可または拒否します。

ポリシーの例については、請求情報ユーザーガイドCost Categories の表示と管理」を参照してください。

リソースタグは、Create 中にモニターに追加できます。リソースタグでモニターを作成するには、ce:TagResource 許可が必要です。
ce:DeleteCostCategoryDefinition

コストカテゴリを削除するアクセス許可をユーザーに許可または拒否します。

ポリシーの例については、請求情報ユーザーガイドCost Categories の表示と管理」を参照してください。
ce:DescribeCostCategoryDefinition

コストカテゴリを表示するアクセス許可をユーザーに許可または拒否します。

ポリシーの例については、請求情報ユーザーガイドCost Categories の表示と管理」を参照してください。
ce:ListCostCategoryDefinitions

コストカテゴリを一覧表示するアクセス許可をユーザーに許可または拒否します。

ポリシーの例については、請求情報ユーザーガイドCost Categories の表示と管理」を参照してください。
ce:ListTagsForResource

所定のリソースに関するすべてのリソースタグをリストする許可をユーザーに与えるまたは拒否します。サポートされているリソースのリストについては、 リファレンスResourceTagの「」を参照してください。 AWS Billing and Cost Management API

ce:UpdateCostCategoryDefinition

コストカテゴリを更新するアクセス許可をユーザーに許可または拒否します。

ポリシーの例については、請求情報ユーザーガイドCost Categories の表示と管理」を参照してください。
ce:CreateAnomalyMonitor

単一の AWS コスト異常検出モニターを作成する許可をユーザーに与えるまたは拒否します。リソースタグは、Create 中にモニターに追加できます。リソースタグでモニターを作成するには、ce:TagResource 許可が必要です。
ce:GetAnomalyMonitors

すべての AWS コスト異常検出モニターを表示する許可をユーザーに与えるまたは拒否します。
ce:UpdateAnomalyMonitor

AWS コスト異常検出モニターを更新する許可をユーザーに与えるまたは拒否します。
ce:DeleteAnomalyMonitor

AWS コスト異常検出モニターを削除する許可をユーザーに与えるまたは拒否します。
ce:CreateAnomalySubscription

AWS コスト異常検出の単一のサブスクリプションを作成する許可をユーザーに与えるまたは拒否します。リソースタグは、Create 中にサブスクリプションに追加できます。リソースタグでサブスクリプションを作成するには、ce:TagResource 許可が必要です。
ce:GetAnomalySubscriptions

AWS コスト異常検出のすべてのサブスクリプションを表示する許可をユーザーに与えるまたは拒否します。
ce:UpdateAnomalySubscription

AWS コスト異常検出のサブスクリプションを更新する許可をユーザーに与えるまたは拒否します。
ce:DeleteAnomalySubscription

AWS コスト異常検出のサブスクリプションを削除する許可をユーザーに与えるまたは拒否します。
ce:GetAnomalies

AWS コスト異常検出のすべての異常を表示する許可をユーザーに与えるまたは拒否します。
ce:ProvideAnomalyFeedback

AWS コスト異常検出で検出されたフィードバックを提供する許可をユーザーに与えるまたは拒否します。
ce:TagResource

リソースにリソースタグのキーバリューペアを追加する許可をユーザーに与えるまたは拒否します。サポートされているリソースのリストについては、 リファレンスResourceTagの「」を参照してください。 AWS Billing and Cost Management API

ce:UntagResource

リソースからリソースタグを削除する許可をユーザーに与えるまたは拒否します。サポートされているリソースのリストについては、 リファレンスResourceTagの「」を参照してください。 AWS Billing and Cost Management API

マネージドポリシー

注記

次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。

  • aws-portal 名前空間

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

を使用している場合は AWS Organizations、一括ポリシー移行スクリプトを使用して、支払者アカウントからポリシーを更新できます。古いアクションマッピングリファレンスからきめ細かなアクションマッピングリファレンスを使用して、追加する必要があるIAMアクションを検証することもできます。

詳細については、AWS 「請求、 AWS コスト管理、アカウントコンソールのアクセス許可の変更」ブログを参照してください。

をお持ちの場合 AWS アカウント、または が 2023 年 3 月 6 日 11:00 AM (PDT) 以降に AWS Organizations 作成された の一部である場合、きめ細かなアクションは組織で既に有効です。

マネージドポリシーは、 AWS アカウントの複数のユーザー、グループ、ロールにアタッチできるスタンドアロンのアイデンティティベースのポリシーです。 AWS マネージドポリシーを使用して、請求とコスト管理でアクセスを制御できます。

AWS マネージドポリシーは、 によって作成および管理されるスタンドアロンポリシー AWSです。 AWS マネージドポリシーは、多くの一般的なユースケースに対するアクセス許可を提供するように設計されています。 AWS マネージドポリシーを使用すると、ポリシーを自分で記述する必要があったよりも、ユーザー、グループ、ロールに適切なアクセス許可を簡単に割り当てることができます。

AWS マネージドポリシーで定義されたアクセス許可を変更することはできません。 AWS は、 AWS マネージドポリシーで定義されたアクセス許可を更新することがあります。行われた更新は、ポリシーがアタッチされているすべてのプリンシパルエンティティ (ユーザー、グループ、ロール) に影響します。

請求とコスト管理には、一般的なユースケースに関するいくつかの AWS 管理ポリシーが用意されています。

Budgets アクションを含む AWS Budgets へのフルアクセスを許可します

マネージドポリシー名: AWSBudgetsActionsWithAWSResourceControlAccess

この管理ポリシーはユーザーに焦点を当てており、定義されたアクションを実行するためのアクセス許可を AWS Budgets に付与するための適切なアクセス許可が付与されていることを確認します。このポリシーは、 AWS 予算アクションを含む Budgets へのフルアクセスを提供し、 を使用してポリシーのステータスを取得し、 AWS リソースを実行します AWS Management Console。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "budgets:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewBilling"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "budgets.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ModifyBilling",
                "ec2:DescribeInstances",
                "iam:ListGroups",
                "iam:ListPolicies",
                "iam:ListRoles",
                "iam:ListUsers",
                "organizations:ListAccounts",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListPolicies",
                "organizations:ListRoots",
                "rds:DescribeDBInstances",
                "sns:ListTopics"
            ],
            "Resource": "*"
        }
    ]
}

AWS Budgets への読み取り専用アクセスを許可する

マネージドポリシー名: AWSBudgetsReadOnlyAccess

この管理ポリシーは、 を通じて AWS Budgets への読み取り専用アクセスを許可します AWS Management Console。ポリシーは、ユーザー、グループ、ロールにアタッチできます。

{
  "Version" : "2012-10-17",
  "Statement" : [
    {
      "Sid": "AWSBudgetsReadOnlyAccess",
      "Effect" : "Allow",
      "Action" : [
        "aws-portal:ViewBilling",
        "budgets:ViewBudget",
        "budgets:Describe*"
        "budgets:ListTagsForResource"
      ],
      "Resource" : "*"
    }
  ]
}

AWS リソースをコントロールする許可を付与する

マネージドポリシー名: AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM

このマネージドポリシーは、特定のアクションを完了するときに AWS Budgets がユーザーに代わって実行する特定のアクションに焦点を当てています。このポリシーは、 AWS リソースを制御するアクセス許可を付与します。例えば、 は AWS Systems Manager (SSM) スクリプトを実行して Amazon EC2 または Amazon RDSインスタンスを開始および停止します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstanceStatus",
                "ec2:StartInstances",
                "ec2:StopInstances",
                "rds:DescribeDBInstances",
                "rds:StartDBInstance",
                "rds:StopDBInstance"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "ssm.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartAutomationExecution"
            ],
            "Resource": [
                "arn:aws:ssm:*:*:automation-definition/AWS-StartEC2Instance:*",
                "arn:aws:ssm:*:*:automation-definition/AWS-StopEC2Instance:*",
                "arn:aws:ssm:*:*:automation-definition/AWS-StartRdsInstance:*",
                "arn:aws:ssm:*:*:automation-definition/AWS-StopRdsInstance:*"
            ]
        }
    ]
}

Cost Optimization Hub がサービスの動作に必要なサービスを呼び出すことを許可します

マネージドポリシー名: CostOptimizationHubServiceRolePolicy

Cost Optimization Hub が組織情報を取得し、最適化関連のデータとメタデータを収集できるようにします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AwsOrgsAccess",
            "Effect": "Allow",
            "Action":  [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListParents",
                "organizations:DescribeOrganizationalUnit"
            ],
            "Resource":  [
                "*" 
            ]
        },
        {
            "Sid": "AwsOrgsScopedAccess",
            "Effect": "Allow",
            "Action":  [
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*",
            "Condition": { 
                "StringLikeIfExists": {
                    "organizations:ServicePrincipal": [ "cost-optimization-hub.bcm.amazonaws.com" ]
                }
            }
        },
        {
            "Sid": "CostExplorerAccess",
            "Effect": "Allow",
            "Action": [
                "ce:ListCostAllocationTags",
                "ce:GetCostAndUsage"
            ],
            "Resource":  [
                "*" 
            ]
        }
    ]
}

詳細については、「Cost Optimization Hub のサービスにリンクされたロール」を参照してください。

Cost Optimization Hub への読み取り専用アクセスを許可する

マネージドポリシー名: CostOptimizationHubReadOnlyAccess

このマネージドポリシーは、Cost Optimization Hub への読み取り専用アクセスを提供します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CostOptimizationHubReadOnlyAccess",
            "Effect": "Allow",
            "Action": [
                "cost-optimization-hub:ListEnrollmentStatuses",
                "cost-optimization-hub:GetPreferences",
                "cost-optimization-hub:GetRecommendation",
                "cost-optimization-hub:ListRecommendations",
                "cost-optimization-hub:ListRecommendationSummaries"
            ],
            "Resource": "*"
        }
    ]
}

Cost Optimization Hub への管理者アクセスを許可する

マネージドポリシー名: CostOptimizationHubAdminAccess

このマネージドポリシーは、コスト最適化ハブへの管理者アクセスを提供します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CostOptimizationHubAdminAccess",
            "Effect": "Allow",
            "Action": [
                "cost-optimization-hub:ListEnrollmentStatuses",
                "cost-optimization-hub:UpdateEnrollmentStatus",
                "cost-optimization-hub:GetPreferences",
                "cost-optimization-hub:UpdatePreferences",
                "cost-optimization-hub:GetRecommendation",
                "cost-optimization-hub:ListRecommendations",
                "cost-optimization-hub:ListRecommendationSummaries",
                "organizations:EnableAWSServiceAccess"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowCreationOfServiceLinkedRoleForCostOptimizationHub",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/cost-optimization-hub.bcm.amazonaws.com/AWSServiceRoleForCostOptimizationHub"
            ],
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "cost-optimization-hub.bcm.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AllowAWSServiceAccessForCostOptimizationHub",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "organizations:ServicePrincipal": [
                        "cost-optimization-hub.bcm.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

分割コスト配分データで、サービスの作業に必要なサービスを呼び出すことを許可します。

マネージドポリシー名: SplitCostAllocationDataServiceRolePolicy

該当する場合は、分割コスト配分データを使用して AWS Organizations 情報を取得し、顧客がオプトインした分割コスト配分データサービスのテレメトリデータを収集できるようにします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AwsOrganizationsAccess",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListParents"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AmazonManagedServiceForPrometheusAccess",
            "Effect": "Allow",
            "Action": [
                "aps:ListWorkspaces",
                "aps:QueryMetrics"
            ],
            "Resource": "*"
        }
    ]
}

詳細については、「分割コスト配分データ のサービスにリンクされたロール」を参照してください。

Data Exports が他の AWS サービスにアクセスできるようにする

マネージドポリシー名: AWSBCMDataExportsServiceRolePolicy

Data Exports がユーザーに代わって Cost Optimization Hub などの他の AWS サービスにアクセスできるようにします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CostOptimizationRecommendationAccess",
            "Effect": "Allow",
            "Action":  [
                "cost-optimization-hub:ListEnrollmentStatuses",
                "cost-optimization-hub:ListRecommendations"
            ],
            "Resource": "*" 
        }
    ]
}

詳細については、「Data Exports のサービスにリンクされたロール」を参照してください。

AWSAWS マネージドポリシーに対するコスト管理の更新

このサービスがこれらの変更の追跡を開始してからの AWS コスト管理の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、 AWS コスト管理ドキュメントの履歴ページのRSSフィードにサブスクライブします。

変更 説明 日付

既存のポリシーの更新

CostOptimizationHubServiceRolePolicy

 ポリシーを更新して、 organizations:ListDelegatedAdministrators および ce:GetCostAndUsageアクションを追加しました。 07/05/2024

既存のポリシーの更新

AWSBudgetsReadOnlyAccess

 ポリシーを更新して、 budgets:ListTagsForResource アクションを追加しました。 06/17/2024

新しいポリシーの追加

AWSBCMDataExportsServiceRolePolicy

 Data Exports は、サービスにリンクされたロールで使用する新しいポリシーを追加しました。これにより、Cost Optimization Hub などの他の AWS サービスにアクセスできます。 06/10/2024

新しいポリシーの追加

SplitCostAllocationDataServiceRolePolicy

 分割コスト配分データには、サービスにリンクされたロールで使用する新しいポリシーが追加されました。これにより、分割コスト配分データによって使用または管理される AWS サービスやリソースにアクセスできます。 04/16/2024

既存のポリシーの更新

AWSBudgetsActions_RolePolicyForResourceAdministrationWithSSM

 スコープダウンされたアクセス許可でポリシーを更新しました。ssm:StartAutomationExecution アクションは、Budget アクションで使用される特定のリソースに対してのみ許可されます。 12/14/2023

既存のポリシーに対する更新

CostOptimizationHubReadOnlyAccess

CostOptimizationHubAdminAccess

 Cost Optimization Hub では、次の 2 つの管理ポリシーが更新されました。

  • CostOptimizationHubReadOnlyAccess: GetRecommendation「」の誤字を修正し、SLRポリシーの対象となるアクセス許可を削除しました。

  • CostOptimizationHubAdminAccess: GetRecommendation「」の誤字を修正しました。SLRポリシーの対象となるアクセス許可を削除しました。サービスアクセスを有効にし、 を作成するためのアクセス許可を追加しました。これによりSLR、ポリシーは Cost Optimization Hub をオプトインして使用するために必要なすべてのアクセス許可を提供します。

 12/14/2023

新しいポリシーの追加

CostOptimizationHubServiceRolePolicy

 Cost Optimization Hub は、サービスにリンクされたロールで使用する新しいポリシーを追加しました。これにより、Cost Optimization Hub が使用または管理する AWS サービスやリソースにアクセスできます。 11/02/2023
AWS コスト管理が変更の追跡を開始 AWS コスト管理が AWS 管理ポリシーの変更の追跡を開始 11/02/2023