本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
控制成本異常偵測的存取權
您可以使用資源層級存取控制和屬性型存取控制 (ABAC) 標籤來監控成本異常和異常訂閱。每個異常監控和異常訂閱資源都有唯一的 Amazon Resource Name (ARN)。您也可以將標籤 (鍵值對) 連接至每個功能。資源ARNs和ABAC標籤都可以用來對 中的使用者角色或群組提供精細的存取控制 AWS 帳戶。
如需資源層級存取控制和ABAC標籤的詳細資訊,請參閱 AWS 成本管理如何搭配 使用 IAM。
注意
成本異常偵測不支援資源型政策。資源型政策會直接連接到 AWS 資源。如需政策與許可之間差異的詳細資訊,請參閱 IAM 使用者指南 中的身分型政策和資源型政策。
使用資源層級政策控制存取權
您可以使用資源層級許可來允許或拒絕存取IAM政策中的一或多個成本異常偵測資源。或者,使用資源層級許可來允許或拒絕存取所有成本異常偵測資源。
當您建立 時IAM,請使用下列 Amazon Resource Name (ARN) 格式:
-
AnomalyMonitor
資源 ARNarn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}
-
AnomalySubscription
資源 ARNarn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}
若要允許IAM實體取得和建立異常監控或異常訂閱,請使用類似此範例政策的政策。
注意
-
對於
ce:GetAnomalyMonitor
和ce:GetAnomalySubscription
,使用者具有所有或沒有資源層級存取控制。這需要政策使用arn:${partition}:ce::${account-id}:anomalymonitor/*
、arn:${partition}:ce::${account-id}:anomalysubscription/*
或 ARN形式的一般。*
-
對於
ce:CreateAnomalyMonitor
和ce:CreateAnomalySubscription
,我們沒有此資源ARN的資源。因此,該政策一律使用上一個項目中提到ARN的學名藥。 -
對於
ce:GetAnomalies
,請使用選用monitorArn
參數。搭配此參數使用時,我們會確認使用者是否可以存取monitorArn
傳遞的 。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ce:GetAnomalyMonitors", "ce:CreateAnomalyMonitor" ], "Effect": "Allow", "Resource": "arn:aws:ce::999999999999:anomalymonitor/*" }, { "Action": [ "ce:GetAnomalySubscriptions", "ce:CreateAnomalySubscription" ], "Effect": "Allow", "Resource": "arn:aws:ce::999999999999:anomalysubscription/*" } ] }
若要允許IAM實體更新或刪除異常監控,請使用類似此範例政策的政策。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:UpdateAnomalyMonitor", "ce:DeleteAnomalyMonitor" ], "Resource": [ "arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000", "arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001" ] } ] }
使用標籤控制存取 (ABAC)
您可以使用標籤 (ABAC) 來控制對支援標記之成本異常偵測資源的存取。若要使用標籤控制存取,請在政策的 Condition
元素中提供標籤資訊。然後,您可以建立允許或拒絕根據資源標籤存取資源IAM的政策。您可以使用標籤條件金鑰來控制對資源、請求或授權程序任何部分的存取。如需使用標籤IAM角色的詳細資訊,請參閱 IAM 使用者指南 中的使用標籤控制對 和 使用者的存取和角色。
建立允許更新異常監控的身分型政策。如果監視器標籤Owner
具有使用者名稱的值,請使用與此範例政策類似的政策。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:UpdateAnomalyMonitor" ], "Resource": "arn:aws:ce::*:anomalymonitor/*", "Condition": { "StringEquals": { "aws:ResourceTag/Owner": "${aws:username}" } } }, { "Effect": "Allow", "Action": "ce:GetAnomalyMonitors", "Resource": "*" } ] }