비용 이상 탐지 액세스 제어 - AWS 비용 관리
정책을 사용한 리소스 액세스 제어태그를 사용하여 액세스 제어(ABAC)

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

비용 이상 탐지 액세스 제어

비용 이상 모니터 및 이상 구독에 리소스 수준 액세스 제어 및 속성 기반 액세스 제어(ABAC) 태그를 사용할 수 있습니다. 각 이상 모니터 및 이상 구독 리소스에는 고유한 Amazon 리소스 이름(ARN)이 있습니다. 각 기능에 태그(키-값 페어) 를 추가할 수도 있습니다. 리소스 ARNs 태그와 ABAC 태그를 모두 사용하여 내 사용자 역할 또는 그룹에 대한 세분화된 액세스 제어를 제공할 수 있습니다 AWS 계정.

리소스 수준 액세스 제어 및 ABAC 태그에 대한 자세한 내용은 섹션을 참조하세요AWS 비용 관리가 IAM로 작동하는 방식.

참고

Cost Anomaly Detection은 리소스 기반 정책을 지원하지 않습니다. 리소스 기반 정책은 AWS 리소스에 직접 연결됩니다. 정책과 권한의 차이점에 대한 자세한 내용은 IAM 사용 설명서자격 증명 기반 정책 및 리소스 기반 정책을 참조하세요.

정책을 사용한 리소스 액세스 제어

리소스 수준 권한을 사용하여 IAM 정책에서 하나 이상의 비용 이상 탐지 리소스에 대한 액세스를 허용하거나 거부할 수 있습니다. 또는 리소스 수준 권한을 사용하여 모든 Cost Anomaly Detection 리소스에 대한 액세스를 허용하거나 거부할 수 있습니다.

IAM를 생성할 때 다음 Amazon 리소스 이름(ARN) 형식을 사용합니다.

  • AnomalyMonitor 리소스 ARN

    arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}

  • AnomalySubscription 리소스 ARN

    arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}

IAM 엔터티가 이상 모니터 또는 이상 구독을 가져오고 생성하도록 허용하려면이 예제 정책과 유사한 정책을 사용합니다.

참고

  • ce:GetAnomalyMonitorce:GetAnomalySubscription의 경우 사용자는 리소스 수준 액세스 제어를 전부 또는 전혀 갖지 못합니다. 이렇게 하려면 정책이 arn:${partition}:ce::${account-id}:anomalymonitor/*, arn:${partition}:ce::${account-id}:anomalysubscription/*또는 형식의 일반 ARN를 사용해야 합니다*.

  • ce:CreateAnomalyMonitor 및의 경우이 리소스에 대한 리소스 ARN가 ce:CreateAnomalySubscription없습니다. 따라서 정책은 항상 이전 글머리 기호에 언급된 일반 ARN를 사용합니다.

  • ce:GetAnomalies의 경우 선택적 monitorArn파라미터를 사용하십시오. 이 파라미터를 함께 사용하면 사용자가 monitorArn전달된 항목에 액세스할 수 있는지 확인합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ce:GetAnomalyMonitors",
                "ce:CreateAnomalyMonitor"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalymonitor/*"
        }, 
        {
            "Action": [
                "ce:GetAnomalySubscriptions",
                "ce:CreateAnomalySubscription"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalysubscription/*"
        }
    ]
}

IAM 엔터티가 이상 모니터를 업데이트하거나 삭제하도록 허용하려면이 예제 정책과 유사한 정책을 사용합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor",
                "ce:DeleteAnomalyMonitor"
                ],
            "Resource": [
              "arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000",
              "arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001"
		]
         }
    ]
}

태그를 사용하여 액세스 제어(ABAC)

태그(ABAC)를 사용하여 태그 지정을 지원하는 Cost Anomaly Detection 리소스에 대한 액세스를 제어할 수 있습니다. 태그를 기반으로 액세스를 제어하려면 정책의 Condition요소에 태그 정보를 제공하세요. 그런 다음 리소스의 태그를 기반으로 리소스에 대한 액세스를 허용하거나 거부하는 IAM 정책을 생성할 수 있습니다. 태그 조건 키를 사용하여 리소스, 요청 또는 권한 부여 프로세스의 일부에 대한 액세스를 제어할 수 있습니다. 태그를 사용하는 IAM 역할에 대한 자세한 내용은 IAM 사용 설명서태그를 사용하는 사용자 및 역할에 대한 및 액세스 제어를 참조하세요.

이상 모니터 업데이트를 허용하는 자격 증명 기반 정책을 생성합니다. 모니터 태그 Owner에 사용자 이름 값이 있는 경우 이 정책 예제와 유사한 정책을 사용하십시오.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor"
            ],
            "Resource": "arn:aws:ce::*:anomalymonitor/*",
            "Condition": {
                "StringEquals": {
			"aws:ResourceTag/Owner": "${aws:username}"
		   }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ce:GetAnomalyMonitors",
            "Resource": "*"
        }
    ]
}