Controle do acesso para detecção de anomalias de custo - AWS Gestão de custos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controle do acesso para detecção de anomalias de custo

Você pode usar controles de acesso em nível de recursos e tags de controle de acesso (ABAC) com base em atributos para monitores de anomalias de custo e assinaturas de anomalias. Cada monitor de anomalias e recurso de assinatura de anomalias tem um nome de recurso exclusivo da Amazon ()ARN. Você também pode associar tags (pares de chave/valor) a cada recurso. Tanto o recurso ARNs quanto as ABAC tags podem ser usados para fornecer controle de acesso granular às funções ou grupos de usuários dentro do seu Contas da AWS.

Para obter mais informações sobre ABAC tags e controles de acesso em nível de recurso, consulte. Como o gerenciamento de AWS custos funciona com IAM

nota

A detecção de anomalias de custo não é compatível com políticas baseadas em recursos. As políticas baseadas em recursos estão diretamente vinculadas aos AWS recursos. Para obter mais informações sobre a diferença entre políticas e permissões, consulte Políticas baseadas em identidade e políticas baseadas em recursos no Guia do usuário. IAM

Controle de acesso usando políticas de nível de recurso

Você pode usar permissões em nível de recurso para permitir ou negar acesso a um ou mais recursos de Detecção de Anomalias de Custo em uma política. IAM Como alternativa, use permissões em nível de recurso para permitir ou negar acesso a todos os recursos de detecção de anomalias de custo.

Ao criar umIAM, use os seguintes formatos de Amazon Resource Name (ARN):

  • AnomalyMonitorrecurso ARN

    arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}

  • AnomalySubscriptionrecurso ARN

    arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}

Para permitir que a IAM entidade obtenha e crie um monitor de anomalias ou uma assinatura de anomalias, use uma política semelhante a este exemplo de política.

nota
  • Para ce:GetAnomalyMonitor e ce:GetAnomalySubscription, os usuários têm todo ou nenhum controle de acesso em nível de recurso. Isso exige que a política use um genérico ARN na forma de arn:${partition}:ce::${account-id}:anomalymonitor/*arn:${partition}:ce::${account-id}:anomalysubscription/*, ou*.

  • Para ce:CreateAnomalyMonitor ece:CreateAnomalySubscription, não temos um recurso ARN para esse recurso. Portanto, a política sempre usa ARN o genérico mencionado no bullet anterior.

  • Para ce:GetAnomalies, use o parâmetro opcional monitorArn. Quando usado com esse parâmetro, confirmamos se o usuário tem acesso ao monitorArn passado.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ce:GetAnomalyMonitors", "ce:CreateAnomalyMonitor" ], "Effect": "Allow", "Resource": "arn:aws:ce::999999999999:anomalymonitor/*" }, { "Action": [ "ce:GetAnomalySubscriptions", "ce:CreateAnomalySubscription" ], "Effect": "Allow", "Resource": "arn:aws:ce::999999999999:anomalysubscription/*" } ] }

Para permitir que a IAM entidade atualize ou exclua monitores de anomalias, use uma política semelhante a este exemplo de política.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:UpdateAnomalyMonitor", "ce:DeleteAnomalyMonitor" ], "Resource": [ "arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000", "arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001" ] } ] }

Controlando o acesso usando tags (ABAC)

Você pode usar tags (ABAC) para controlar o acesso aos recursos de detecção de anomalias de custo que oferecem suporte à marcação. Para controlar o acesso com usando tags, forneça informações da tag no elemento de condição Condition de uma política. Em seguida, você pode criar uma IAM política que permita ou negue acesso a um recurso com base nas tags do recurso. É possível usar as chaves de condição de tag para controlar o acesso a recursos, solicitações ou qualquer parte do processo de autorização. Para obter mais informações sobre IAM funções usando tags, consulte Controle de acesso a e para usuários e funções usando tags no Guia do IAM usuário.

Crie uma política baseada em identidade que permita a atualização de monitores de anomalia. Se a tag do monitor de Owner tiver o valor do nome de usuário, use uma política semelhante a esta política de exemplo.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:UpdateAnomalyMonitor" ], "Resource": "arn:aws:ce::*:anomalymonitor/*", "Condition": { "StringEquals": { "aws:ResourceTag/Owner": "${aws:username}" } } }, { "Effect": "Allow", "Action": "ce:GetAnomalyMonitors", "Resource": "*" } ] }