기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
비용 이상 탐지에 대한 액세스 제어
비용 이상 모니터 및 이상 구독에 리소스 수준 액세스 제어 및 속성 기반 액세스 제어(ABAC) 태그를 사용할 수 있습니다. 각 이상 모니터 및 이상 구독 리소스에는 고유한 Amazon 리소스 이름()이 있습니다ARN. 각 기능에 태그(키-값 페어) 를 추가할 수도 있습니다. 리소스ARNs와 ABAC 태그를 모두 사용하여 내 사용자 역할 또는 그룹에 대한 세분화된 액세스 제어를 제공할 수 있습니다 AWS 계정.
리소스 수준 액세스 제어 및 ABAC 태그에 대한 자세한 내용은 섹션을 참조하세요AWS Cost Management의 작동 방식 IAM.
참고
Cost Anomaly Detection은 리소스 기반 정책을 지원하지 않습니다. 리소스 기반 정책은 AWS 리소스에 직접 연결됩니다. 정책과 권한의 차이점에 대한 자세한 내용은 IAM 사용 설명서의 자격 증명 기반 정책 및 리소스 기반 정책을 참조하세요.
정책을 사용한 리소스 액세스 제어
리소스 수준 권한을 사용하여 IAM 정책의 하나 이상의 비용 이상 탐지 리소스에 대한 액세스를 허용하거나 거부할 수 있습니다. 또는 리소스 수준 권한을 사용하여 모든 Cost Anomaly Detection 리소스에 대한 액세스를 허용하거나 거부할 수 있습니다.
를 생성할 때 다음 Amazon 리소스 이름(ARN) 형식을 IAM사용합니다.
-
AnomalyMonitor
리소스 ARNarn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}
-
AnomalySubscription
리소스 ARNarn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}
IAM 엔터티가 이상 모니터 또는 이상 구독을 가져오고 생성하도록 허용하려면 이 예제 정책과 유사한 정책을 사용합니다.
참고
-
ce:GetAnomalyMonitor
및ce:GetAnomalySubscription
의 경우 사용자는 리소스 수준 액세스 제어를 전부 또는 전혀 갖지 못합니다. 이렇게 하려면 정책이arn:${partition}:ce::${account-id}:anomalymonitor/*
,arn:${partition}:ce::${account-id}:anomalysubscription/*
또는 ARN 형식의 일반 를 사용해야 합니다*
. -
ce:CreateAnomalyMonitor
및 의 경우 이 리소스에 ARN 대한 리소스가ce:CreateAnomalySubscription
없습니다. 따라서 정책은 항상 이전 글머리 기호에 ARN 언급된 일반 글머리 기호를 사용합니다. -
ce:GetAnomalies
의 경우 선택적monitorArn
파라미터를 사용하십시오. 이 파라미터를 함께 사용하면 사용자가monitorArn
전달된 항목에 액세스할 수 있는지 확인합니다.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ce:GetAnomalyMonitors", "ce:CreateAnomalyMonitor" ], "Effect": "Allow", "Resource": "arn:aws:ce::999999999999:anomalymonitor/*" }, { "Action": [ "ce:GetAnomalySubscriptions", "ce:CreateAnomalySubscription" ], "Effect": "Allow", "Resource": "arn:aws:ce::999999999999:anomalysubscription/*" } ] }
IAM 엔터티가 이상 모니터를 업데이트하거나 삭제하도록 허용하려면 이 예제 정책과 유사한 정책을 사용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:UpdateAnomalyMonitor", "ce:DeleteAnomalyMonitor" ], "Resource": [ "arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000", "arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001" ] } ] }
태그를 사용하여 액세스 제어(ABAC)
태그(ABAC)를 사용하여 태그 지정을 지원하는 Cost Anomaly Detection 리소스에 대한 액세스를 제어할 수 있습니다. 태그를 기반으로 액세스를 제어하려면 정책의 Condition
요소에 태그 정보를 제공하세요. 그런 다음 리소스의 태그를 기반으로 리소스에 대한 액세스를 허용하거나 거부하는 IAM 정책을 생성할 수 있습니다. 태그 조건 키를 사용하여 리소스, 요청 또는 권한 부여 프로세스의 일부에 대한 액세스를 제어할 수 있습니다. 태그를 사용하는 IAM 역할에 대한 자세한 내용은 IAM 사용 설명서의 태그를 사용하는 사용자 및 역할에 대한 및 액세스 제어를 참조하세요.
이상 모니터 업데이트를 허용하는 자격 증명 기반 정책을 생성합니다. 모니터 태그 Owner
에 사용자 이름 값이 있는 경우 이 정책 예제와 유사한 정책을 사용하십시오.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:UpdateAnomalyMonitor" ], "Resource": "arn:aws:ce::*:anomalymonitor/*", "Condition": { "StringEquals": { "aws:ResourceTag/Owner": "${aws:username}" } } }, { "Effect": "Allow", "Action": "ce:GetAnomalyMonitors", "Resource": "*" } ] }