기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS 비용 관리 정책 예제
참고
다음 AWS Identity and Access Management (IAM) 작업은 2023년 7월 표준 지원 종료에 도달했습니다.
-
aws-portal네임스페이스 -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
를 사용하는 경우 대량 정책 마이그레이션 스크립트를 사용하여 지불자 계정에서 정책을 업데이트할 AWS Organizations수 있습니다. 이전부터 세분화된 작업 매핑 참조를 사용하여 추가해야 하는 IAM 작업을 확인할 수도 있습니다.
자세한 내용은 AWS 결제, AWS 비용 관리 및 계정 콘솔 권한 변경
가 있거나 AWS 계정 2023년 3월 6일 오전 11시(PDT) 이후에 AWS Organizations 생성된의 일부인 경우 세분화된 작업이 조직에 이미 적용됩니다.
이 주제에는 IAM 역할 또는 그룹에 연결하여 계정의 결제 정보 및 도구에 대한 액세스를 제어할 수 있는 정책 예제가 포함되어 있습니다. 결제 및 비용 관리에 대한 IAM 정책에는 다음과 같은 기본 규칙이 적용됩니다.
-
Version은(는) 항상2012-10-17입니다. -
Effect는 항상Allow또는Deny입니다. -
Action은 작업의 이름 또는 와일드카드(*)입니다.작업 접두사는
budgetsAWS Budgets,curAWS Cost and Usage Reports,aws-portalAWS Billing 또는 Cost Explorerce용입니다. -
Resource는 항상 AWS 결제*용입니다.budget리소스에 대해 수행된 작업의 경우 예산 Amazon 리소스 이름(ARN)을 지정합니다. -
정책 하나에 문 여러 개를 포함할 수 있습니다.
Billing 콘솔의 정책 예제 목록은 Billing 사용 안내서의 결제 정책 예제를 참조하십시오.
참고
이러한 정책은 Account Settings
주제
- Billing and Cost Management 콘솔에 대한 IAM 사용자 액세스 거부
- 멤버 계정에 대한 AWS 콘솔 비용 및 사용 위젯 액세스 거부
- 특정 사용자 및 역할에 대한 AWS 콘솔 비용 및 사용 위젯 액세스 거부
- AWS 서비스에 대한 전체 액세스를 허용하지만 결제 및 비용 관리 콘솔에 대한 사용자 액세스 거부
- 계정 설정을 제외하고 IAM 사용자가 Billing and Cost Management 콘솔을 볼 수 있도록 허용
- IAM 사용자가 결제 정보를 수정할 수 있도록 허용
- IAM 사용자가 예산을 생성할 수 있도록 허용
- 계정 설정에 대한 액세스는 거부하되 다른 모든 결제 및 사용 정보에 대해서는 전체 액세스 허용
- Amazon S3 버킷에 보고서 보관
- 비용 및 사용량 보기
- AWS 리전 활성화 및 비활성화
- Cost Explorer 기본 설정 페이지 보기 및 업데이트
- Cost Explorer 보고서 페이지를 사용하여 조회, 생성, 업데이트 및 삭제
- 예약 및 Savings Plans 알림 보기, 생성, 업데이트, 삭제
- AWS 비용 이상 탐지에 대한 읽기 전용 액세스 허용
- AWS Budgets가 IAM 정책 및 SCPs를 적용하도록 허용
- AWS Budgets가 IAM 정책, SCPs 및 대상 EC2 및 RDS 인스턴스를 적용하도록 허용
- 사용자가 요금 계산기(미리 보기)에서 워크로드 추정치에 사용량을 생성, 나열 및 추가할 수 있도록 허용
- 사용자가 요금 계산기(미리 보기)에서 사용량 및 커밋을 생성, 나열 및 추가하여 sceanrios에 청구할 수 있도록 허용
- 사용자가 요금 계산기에서 청구서 견적을 생성할 수 있도록 허용(미리 보기)
- 사용자가 요금 계산기에서 기본 설정을 생성하도록 허용(미리 보기)
Billing and Cost Management 콘솔에 대한 IAM 사용자 액세스 거부
모든 Billing and Cost Management 콘솔 페이지에 대한 IAM 사용자의 액세스를 명시적으로 거부하려면, 이 예와 비슷한 정책을 사용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "aws-portal:*", "Resource": "*" } ] }
멤버 계정에 대한 AWS 콘솔 비용 및 사용 위젯 액세스 거부
연결된 멤버 계정의 비용 및 사용 데이터에 대한 액세스를 제한하려면 관리(지급인) 계정을 사용하여 Cost Explorer 기본 설정 탭에 액세스하고 연결 계정 액세스(Linked Account Access)를 선택 취소합니다. 이렇게 하면 멤버 계정의 사용자 또는 역할이 수행하는 IAM 작업에 관계없이 Cost Explorer(AWS 비용 관리) 콘솔, Cost Explorer API 및 AWS 콘솔 홈 페이지의 비용 및 사용 위젯에서 비용 및 사용 데이터에 대한 액세스가 거부됩니다.
특정 사용자 및 역할에 대한 AWS 콘솔 비용 및 사용 위젯 액세스 거부
특정 사용자 및 역할에 대한 AWS 콘솔 비용 및 사용 위젯 액세스를 거부하려면 아래 권한 정책을 사용합니다.
참고
사용자 또는 역할에이 정책을 추가하면 Cost Explorer(AWS 비용 관리) 콘솔 및 Cost Explorer APIs에 대한 사용자 액세스도 거부됩니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ce:*", "Resource": "*" } ] }
AWS 서비스에 대한 전체 액세스를 허용하지만 결제 및 비용 관리 콘솔에 대한 사용자 액세스 거부
Billing and Cost Management 콘솔의 모든 항목에 대한 IAM 사용자의 액세스를 거부하려면 다음 정책을 사용합니다. 이 경우 사용자가 결제 정보 및 도구에 대한 액세스를 제어하는 정책에 액세스할 수 없도록 AWS Identity and Access Management (IAM)에 대한 사용자 액세스도 거부해야 합니다.
중요
이 정책은 어떤 작업도 허용하지 않습니다. 이 정책을 특정 작업을 허용하는 다른 정책과 함께 사용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "aws-portal:*", "iam:*" ], "Resource": "*" } ] }
계정 설정을 제외하고 IAM 사용자가 Billing and Cost Management 콘솔을 볼 수 있도록 허용
이 정책은 Payments Method 및 Reports 콘솔 페이지를 비롯한 모든 Billing 및 Cost Management 콘솔에 대한 읽기 전용 액세스를 허용하지만 Account Settings 페이지에 대한 액세스는 거부하므로 계정 비밀번호, 연락처 정보 및 보안 질문이 보호됩니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:View*", "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
IAM 사용자가 결제 정보를 수정할 수 있도록 허용
IAM 사용자가 Billing and Cost Management 콘솔에서 계정 결제 정보를 수정할 수 있도록 허용하려면 IAM 사용자가 결제 정보를 볼 수 있도록 허용해야 합니다. 다음 정책 예시는 IAM 사용자가 Consolidated Billing, Preferences, Credits 콘솔 페이지를 수정할 수 있도록 허용합니다. 또한 IAM 사용자가 다음 Billing and Cost Management 콘솔 페이지를 보는 것도 허용합니다.
-
대시보드
-
Cost Explorer
-
청구서
-
Orders and invoices(주문 및 인보이스)
-
선지급
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "aws-portal:*Billing", "Resource": "*" } ] }
IAM 사용자가 예산을 생성할 수 있도록 허용
사용자가 결제 및 비용 관리 콘솔에서 예산을 생성할 수 있도록 하려면 사용자가 결제 정보를 보고 CloudWatch 경보를 생성하고, Amazon SNS 알림을 생성하도록 허용해야 합니다. 다음 정책 예에서는 사용자가 예산 콘솔 페이지를 수정하도록 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1435216493000", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "aws-portal:ModifyBilling", "budgets:ViewBudget", "budgets:ModifyBudget" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216514000", "Effect": "Allow", "Action": [ "cloudwatch:*" ], "Resource": [ "*" ] }, { "Sid": "Stmt1435216552000", "Effect": "Allow", "Action": [ "sns:*" ], "Resource": [ "arn:aws:sns:us-east-1::" ] } ] }
계정 설정에 대한 액세스는 거부하되 다른 모든 결제 및 사용 정보에 대해서는 전체 액세스 허용
계정 암호, 연락처 정보, 보안 질문을 보호하려면 계정 설정에 대한 IAM 사용자 액세스를 거부하는 한편 Billing and Cost Management 콘솔의 나머지 기능에 대한 전체 액세스 권한을 활성화합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:*Billing", "aws-portal:*Usage", "aws-portal:*PaymentMethods" ], "Resource": "*" }, { "Effect": "Deny", "Action": "aws-portal:*Account", "Resource": "*" } ] }
Amazon S3 버킷에 보고서 보관
다음 정책은 AWS 계정과 Amazon S3 버킷을 모두 소유하는 한 Billing and Cost Management가 세부 AWS 청구서를 Amazon S3 버킷에 저장할 수 있도록 허용합니다. 단, 이 정책은 사용자가 아니라 Amazon S3 버킷에 적용되어야 합니다. 즉 사용자 기반 정책이 아니라 리소스 기반 정책입니다. 청구서에 액세스할 필요가 없는 사용자에게는 버킷에 대한 사용자 액세스를 거부해야 합니다.
Replace bucketname 버킷의 이름을 사용합니다.
자세한 내용은 Amazon Simple Storage Service 사용 설명서의 버킷 정책 및 사용자 정책 사용을 참조하세요.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": [ "s3:GetBucketAcl", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::bucketname" }, { "Effect": "Allow", "Principal": { "Service": "billingreports.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucketname/*" } ] }
비용 및 사용량 보기
사용자가 AWS Cost Explorer API를 사용하도록 허용하려면 다음 정책을 사용하여 액세스 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:*" ], "Resource": [ "*" ] } ] }
AWS 리전 활성화 및 비활성화
사용자가 리전을 활성화 및 비활성화할 수 있도록 허용하는 예제 IAM 정책은 IAM 사용 설명서의 AWS: AWS 리전 활성화 및 비활성화 허용을 참조하세요.
Cost Explorer 기본 설정 페이지 보기 및 업데이트
이 정책은 IAM 사용자가 Cost Explorer 기본 설정 페이지를 보고 업데이트할 수 있도록 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:UpdatePreferences" ], "Resource": "*" } ] }
다음 정책은 IAM 사용자가 Cost Explorer를 볼 수 있도록 허용하되 기본 설정 페이지를 보거나 편집할 수 있는 권한은 거부합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:GetPreferences", "ce:UpdatePreferences" ], "Resource": "*" } ] }
다음 정책은 IAM 사용자가 Cost Explorer를 볼 수 있도록 허용하되 기본 설정 페이지를 편집할 수 있는 권한은 거부합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:UpdatePreferences" ], "Resource": "*" } ] }
Cost Explorer 보고서 페이지를 사용하여 조회, 생성, 업데이트 및 삭제
이 정책은 IAM 사용자가 Cost Explorer 보고서 페이지를 보고, 생성하고, 업데이트하고, 삭제할 수 있도록 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
다음 정책은 IAM 사용자가 Cost Explorer를 볼 수 있도록 허용하되 보고서 페이지를 보거나 편집할 수 있는 권한은 거부합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeReport", "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
다음 정책은 IAM 사용자가 Cost Explorer를 볼 수 있도록 허용하되 보고서 페이지를 편집할 수 있는 권한은 거부합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": "ce:CreateReport", "ce:UpdateReport", "ce:DeleteReport" ], "Resource": "*" } ] }
예약 및 Savings Plans 알림 보기, 생성, 업데이트, 삭제
이 정책은 IAM 사용자가 예약 만료 알림 및 절감형 플랜 알림을 확인, 생성, 업데이트 및 삭제할 수 있도록 허용합니다. 예약 만료 알림 또는 Savings Plans 알림을 편집하려면 세 가지 세부 작업(ce:CreateNotificationSubscription, ce:UpdateNotificationSubscription, ce:DeleteNotificationSubscription)이 모두 필요합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
다음 정책은 IAM 사용자가 Cost Explorer 볼 수 있도록 허용하되 예약 만료 알림(Reservation Expiration Alerts) 및 절감형 플랜 알림 페이지를 보거나 편집할 수 있는 권한을 거부합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:DescribeNotificationSubscription", "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
다음 정책은 IAM 사용자가 Cost Explorer 볼 수 있도록 허용하되 예약 만료 알림 및 절감형 플랜 알림 페이지를 편집할 수 있는 권한을 거부합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "aws-portal:ViewBilling" ], "Resource": "*" }, { "Sid": "VisualEditor1", "Effect": "Deny", "Action": [ "ce:CreateNotificationSubscription", "ce:UpdateNotificationSubscription", "ce:DeleteNotificationSubscription" ], "Resource": "*" } ] }
AWS 비용 이상 탐지에 대한 읽기 전용 액세스 허용
사용자에게 AWS 비용 이상 탐지에 대한 읽기 전용 액세스를 허용하려면 다음 정책을 사용하여 액세스 권한을 부여합니다. ce:ProvideAnomalyFeedback는 읽기 전용 액세스의 일부로 선택 사항입니다.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ce:Get*" ], "Effect": "Allow", "Resource": "*" } ] }
AWS Budgets가 IAM 정책 및 SCPs를 적용하도록 허용
이 정책은 AWS Budgets가 사용자를 대신하여 IAM 정책 및 서비스 제어 정책(SCPs)을 적용할 수 있도록 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy" ], "Resource": "*" } ] }
AWS Budgets가 IAM 정책, SCPs 및 대상 EC2 및 RDS 인스턴스를 적용하도록 허용
이 정책은 AWS Budgets가 IAM 정책 및 서비스 제어 정책(SCPs)을 적용하고 사용자를 대신하여 Amazon EC2 및 Amazon RDS 인스턴스를 대상으로 지정할 수 있도록 허용합니다.
신뢰 정책
참고
이 신뢰 정책은 AWS Budgets가 사용자를 대신하여 다른 서비스를 호출할 수 있는 역할을 수임하도록 허용합니다. 이와 같은 서비스 간 권한의 모범 사례에 대한 자세한 내용은 교차 서비스 혼동된 대리인 방지을 참조하십시오.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "budgets.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:budgets::123456789012:budget/*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } ] }
권한 정책
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances", "iam:AttachGroupPolicy", "iam:AttachRolePolicy", "iam:AttachUserPolicy", "iam:DetachGroupPolicy", "iam:DetachRolePolicy", "iam:DetachUserPolicy", "organizations:AttachPolicy", "organizations:DetachPolicy", "rds:DescribeDBInstances", "rds:StartDBInstance", "rds:StopDBInstance", "ssm:StartAutomationExecution" ], "Resource": "*" } ] }
사용자가 요금 계산기(미리 보기)에서 워크로드 추정치에 사용량을 생성, 나열 및 추가할 수 있도록 허용
이 정책을 통해 IAM 사용자는 Cost Explorer 데이터를 쿼리하여 과거 비용 및 사용량 데이터를 가져올 수 있는 권한과 함께 워크로드 추정치에 사용량을 생성, 나열 및 추가할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "WorkloadEstimate", "Effect": "Allow", "Action": [ "ce:GetCostCategories", "ce:GetDimensionValues", "ce:GetCostAndUsage", "ce:GetTags", "bcm-pricing-calculator:GetWorkloadEstimate", "bcm-pricing-calculator:ListWorkloadEstimateUsage", "bcm-pricing-calculator:CreateWorkloadEstimate", "bcm-pricing-calculator:ListWorkloadEstimates", "bcm-pricing-calculator:CreateWorkloadEstimateUsage", "bcm-pricing-calculator:UpdateWorkloadEstimateUsage" ], "Resource": "*" } ] }
사용자가 요금 계산기(미리 보기)에서 사용량 및 커밋을 생성, 나열 및 추가하여 sceanrios에 청구할 수 있도록 허용
이 정책을 통해 IAM 사용자는 사용량 및 커밋을 생성, 나열 및 추가하여 시안리오에 청구할 수 있습니다. Cost Explorer 권한은 추가되지 않으므로 기록 데이터를 로드할 수 없습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "BillScenario", "Effect": "Allow", "Action": [ "bcm-pricing-calculator:CreateBillScenario", "bcm-pricing-calculator:GetBillScenario", "bcm-pricing-calculator:ListBillScenarios", "bcm-pricing-calculator:CreateBillScenarioUsageModification", "bcm-pricing-calculator:UpdateBillScenarioUsageModification", "bcm-pricing-calculator:ListBillScenarioUsageModifications", "bcm-pricing-calculator:ListBillScenarioCommitmentModifications" ], "Resource": "*" } ] }
사용자가 요금 계산기에서 청구서 견적을 생성할 수 있도록 허용(미리 보기)
이 정책을 통해 IAM 사용자는 청구서 견적을 생성하고 청구서 견적 개별 항목을 나열할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "BillEstimate", "Effect": "Allow", "Action": [ "bcm-pricing-calculator:CreateBillEstimate", "bcm-pricing-calculator:GetBillEstimate", "bcm-pricing-calculator:UpdateBillEstimate", "bcm-pricing-calculator:ListBillEstimates", "bcm-pricing-calculator:ListBillEstimateLineItems", "bcm-pricing-calculator:ListBillEstimateCommitments", "bcm-pricing-calculator:ListBillEstimateInputUsageModifications", "bcm-pricing-calculator:ListBillEstimateInputCommitmentModifications" ], "Resource": "*" } ] }
사용자가 요금 계산기에서 기본 설정을 생성하도록 허용(미리 보기)
이 정책은 IAM 사용자가 요금 기본 설정을 생성하고 가져올 수 있도록 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RatePreferences", "Effect": "Allow", "Action": [ "bcm-pricing-calculator:GetPreferences", "bcm-pricing-calculator:UpdatePreferences" ], "Resource": "*" } ] }
