控制成本異常偵測的存取 - AWS 成本管理
使用資源層級政策控制存取權使用標籤 (ABAC) 控制存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

控制成本異常偵測的存取

您可以使用資源層級存取控制和屬性型存取控制 (ABAC) 標籤來監控成本異常和異常訂閱。每個異常監控和異常訂閱資源都有唯一的 Amazon Resource Name (ARN)。您也可以將標籤 (鍵值對) 連接至每個功能。資源 ARNs 和 ABAC 標籤都可用來為 中的使用者角色或群組提供精細的存取控制 AWS 帳戶。

如需資源層級存取控制和 ABAC 標籤的詳細資訊,請參閱 AWS 成本管理如何與 IAM 搭配使用

注意

成本異常偵測不支援資源型政策。資源型政策會直接連接至 AWS 資源。如需政策和許可之間差異的詳細資訊,請參閱 IAM 使用者指南中的身分型政策和資源型政策

使用資源層級政策控制存取權

您可以使用資源層級許可來允許或拒絕存取 IAM 政策中的一或多個成本異常偵測資源。或者,使用資源層級許可來允許或拒絕存取所有成本異常偵測資源。

建立 IAM 時,請使用下列 Amazon Resource Name (ARN) 格式:

  • AnomalyMonitor 資源單ARN

    arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}

  • AnomalySubscription 資源單ARN

    arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}

若要允許 IAM 實體取得並建立異常監控或異常訂閱,請使用類似此範例政策的政策。

注意

  • 對於 ce:GetAnomalyMonitorce:GetAnomalySubscription,使用者具有所有或沒有資源層級存取控制。這需要政策以 arn:${partition}:ce::${account-id}:anomalymonitor/*arn:${partition}:ce::${account-id}:anomalysubscription/*或 的形式使用一般 ARN*

  • 對於 ce:CreateAnomalyMonitorce:CreateAnomalySubscription,我們沒有此資源的資源 ARN。因此,該政策一律使用上一小點中提到的一般 ARN。

  • 對於 ce:GetAnomalies,請使用選用monitorArn參數。搭配此參數使用時,我們會確認使用者是否可以存取monitorArn傳遞的 。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ce:GetAnomalyMonitors",
                "ce:CreateAnomalyMonitor"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalymonitor/*"
        }, 
        {
            "Action": [
                "ce:GetAnomalySubscriptions",
                "ce:CreateAnomalySubscription"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalysubscription/*"
        }
    ]
}

若要允許 IAM 實體更新或刪除異常監控,請使用類似此範例政策的政策。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor",
                "ce:DeleteAnomalyMonitor"
                ],
            "Resource": [
              "arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000",
              "arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001"
		]
         }
    ]
}

使用標籤 (ABAC) 控制存取

您可以使用標籤 (ABAC) 來控制對支援標記之成本異常偵測資源的存取。若要使用標籤控制存取,請在政策的 Condition元素中提供標籤資訊。然後,您可以建立允許或拒絕根據資源標籤存取資源的 IAM 政策。您可以使用標籤條件金鑰來控制對資源、請求或授權程序任何部分的存取。如需使用標籤的 IAM 角色詳細資訊,請參閱 IAM 使用者指南中的控制使用者和角色使用標籤的存取

建立允許更新異常監控的身分型政策。如果監視器標籤Owner具有使用者名稱的值,請使用與此範例政策類似的政策。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor"
            ],
            "Resource": "arn:aws:ce::*:anomalymonitor/*",
            "Condition": {
                "StringEquals": {
			"aws:ResourceTag/Owner": "${aws:username}"
		   }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ce:GetAnomalyMonitors",
            "Resource": "*"
        }
    ]
}