コストと使用状況レポート用に Amazon S3 バケットをセットアップする - AWS Data Exports

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コストと使用状況レポート用に Amazon S3 バケットをセットアップする

請求レポートを受信するには、レポートを受信して保存するための Amazon S3 バケットが AWS アカウントに必要です。請求コンソールでコストと使用状況レポートを作成するときに、所有している既存の Amazon S3 バケットを選択することも、新しいバケットを作成することもできます。いずれの場合でも、以下のデフォルトバケットポリシーの適用を確認して確定するように求められます。Amazon S3 コンソールでこのポリシーを編集したり、コストと使用状況レポートを作成した後にバケット所有者を変更したりすると、 AWS はレポートを配信できなくなります。Amazon S3 バケットに保存されている請求レポートデータは、標準の Amazon S3 レートで課金されます。詳細については、「クォータと制限」を参照してください。

コストと使用状況レポートの作成時に、次のポリシーがすべてのバケットに適用されます。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "billingreports.amazonaws.com"
            },
            "Action": [
                "s3:GetBucketAcl",
                "s3:GetBucketPolicy"
            ],
            "Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cur:us-east-1:${AccountId}:definition/*",
                    "aws:SourceAccount": "${AccountId}"
                }
            }
        },
        {
            "Sid": "Stmt1335892526596",
            "Effect": "Allow",
            "Principal": {
                "Service": "billingreports.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cur:us-east-1:${AccountId}:definition/*",
                    "aws:SourceAccount": "${AccountId}"
                }
            }
        }
    ]
}

このデフォルトポリシーは、バケット所有者がコストと使用状況レポートのデータを読み取ることができるようにし、コストと使用状況レポートを作成したアカウントによってバケットが所有されるようにするのに役立ちます。具体的には次のとおりです。

  • コストと使用状況レポートが配信されるたびに、 AWS はまず、バケットがまだレポートを設定するアカウントによって所有されているかどうかを確認します。バケットの所有権が変更されていた場合、レポートは配信されません。これにより、アカウントの請求データの安全が確保されます。このバケットポリシーにより、 AWS ("Effect": "Allow") はバケットを所有するアカウント () を確認できます"Action": ["s3:GetBucketAcl", "s3:GetBucketPolicy"

  • レポートを Amazon S3 バケットに配信するには、そのバケットに対する書き込みアクセス許可 AWS が必要です。これを行うために、バケットポリシーは、所有するバケット ("Effect": "Allow") に ("Service": "billingreports.amazonaws.com") レポートを配信する () アクセス許可を AWS コストと使用状況レポートサービス ("Action": "s3:PutObject") に付与します"Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"

    このバケットポリシーは、配信後のコストと使用状況レポートなど、バケット内のオブジェクトを読み取る、または削除するための AWS アクセス許可を付与しません。

  • ACL が有効になっている Amazon S3 バケットの場合、 は配信時に ACL BucketOwnerFullControl をレポート AWS に適用します。デフォルトでは、これらのレポートなどの Amazon S3 オブジェクトは、それらを作成したユーザーまたはサービスプリンシパルのみが読み取ることができます。ユーザーまたはバケット所有者にレポートを読み取るためのアクセス許可を付与するには、 AWS は BucketOwnerFullControl ACL を適用する必要があります。ACL はこれらのレポートに対する Permission.FullControl をバケット所有者に付与します。ただし、ACL を無効にし、Amazon S3 バケットポリシーを使用してアクセスを制御することをお勧めします。Amazon S3 はデフォルト設定を変更しており、新しく作成されたバケットでは、ACL はデフォルトで無効になっていることに注意してください。詳細については、「バケットのオブジェクト所有権のコントロールと ACL の無効化」を参照してください。

コストと使用状況レポートの請求コンソールで 無効なバケット エラーが生じた場合、レポートのセットアップ後にこのポリシーとバケット所有権が変更されていないことを確認する必要があります。