Controle de acesso à Detecção de Anomalias em Custos - AWS Gestão de custos
Controle de acesso usando políticas de nível de recursoControlar o acesso usando tags (ABAC)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controle de acesso à Detecção de Anomalias em Custos

É possível usar controles de acesso em nível de recurso e tags de controle de acesso por atributo (ABAC) para monitores de anomalias de custo e assinaturas de anomalias. Cada monitor de anomalias e recurso de assinatura de anomalias tem um nome do recurso da Amazon (ARN) exclusivo. Você também pode associar tags (pares de chave/valor) a cada recurso. Tanto as tags de recursos ARNs quanto as ABAC podem ser usadas para fornecer controle de acesso granular às funções ou grupos de usuários dentro do seu. Contas da AWS

Para obter mais informações sobre controles de acesso em nível de recurso e tags de ABAC, consulte Como o gerenciamento de AWS custos funciona com o IAM.

nota

A Detecção de Anomalias em Custos não é compatível com políticas baseadas em recursos. As políticas baseadas em recursos estão diretamente vinculadas aos AWS recursos. Para obter mais informações sobre a diferença entre políticas e permissões, consulte Políticas baseadas em identidade e em recurso no Guia do usuário do IAM.

Controle de acesso usando políticas de nível de recurso

Você pode usar permissões em nível de recurso para permitir ou negar acesso a um ou mais recursos da Detecção de Anomalias em Custos em uma política do IAM. Como alternativa, use permissões em nível de recurso para permitir ou negar acesso a todos os recursos da Detecção de Anomalias em Custos.

Ao criar um IAM, use os seguintes formatos de nome do recurso da Amazon (ARN):

  • Recurso ARN AnomalyMonitor

    arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}

  • Recurso ARN AnomalySubscription

    arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}

Para permitir que a entidade do IAM obtenha e crie um monitor de anomalias ou uma assinatura de anomalias, use uma política semelhante a esta política de exemplo.

nota

  • Para ce:GetAnomalyMonitor e ce:GetAnomalySubscription, os usuários têm todo ou nenhum controle de acesso em nível de recurso. Isso exige que a política use um ARN genérico na forma de arn:${partition}:ce::${account-id}:anomalymonitor/*, arn:${partition}:ce::${account-id}:anomalysubscription/* ou *.

  • Para ce:CreateAnomalyMonitor e ce:CreateAnomalySubscription, não temos um ARN de recurso para esse recurso. Portanto, a política sempre usa o ARN genérico mencionado no marcador anterior.

  • Para ce:GetAnomalies, use o parâmetro opcional monitorArn. Quando usado com esse parâmetro, confirmamos se o usuário tem acesso ao monitorArn passado.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ce:GetAnomalyMonitors",
                "ce:CreateAnomalyMonitor"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalymonitor/*"
        }, 
        {
            "Action": [
                "ce:GetAnomalySubscriptions",
                "ce:CreateAnomalySubscription"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalysubscription/*"
        }
    ]
}

Para permitir que a entidade do IAM atualize ou exclua monitores de anomalias, use uma política semelhante a esta política de exemplo.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor",
                "ce:DeleteAnomalyMonitor"
                ],
            "Resource": [
              "arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000",
              "arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001"
		]
         }
    ]
}

Controlar o acesso usando tags (ABAC)

É possível usar tags (ABAC) para controlar o acesso aos recursos da Detecção de anomalia de custo que oferecem suporte à atribuição de tags. Para controlar o acesso usando tags, forneça informações da tag no elemento Condition de uma política. Depois, é possível criar uma política do IAM que permite ou nega o acesso a um recurso com base na tag desse recurso. É possível usar as chaves de condição de tag para controlar o acesso a recursos, solicitações ou qualquer parte do processo de autorização. Para obter mais informações sobre perfis do IAM usando tags, consulte Controle de acesso para usuários e perfis do IAM usando tags no Guia do usuário do IAM.

Crie uma política baseada em identidade que permita a atualização de monitores de anomalia. Se a tag do monitor de Owner tiver o valor do nome de usuário, use uma política semelhante a esta política de exemplo.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor"
            ],
            "Resource": "arn:aws:ce::*:anomalymonitor/*",
            "Condition": {
                "StringEquals": {
			"aws:ResourceTag/Owner": "${aws:username}"
		   }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ce:GetAnomalyMonitors",
            "Resource": "*"
        }
    ]
}