Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Cómo controlar el acceso a la característica de Detección de anomalías en los costos
Puede utilizar controles de acceso a nivel de recursos y etiquetas de control de acceso basado en atributos (ABAC) para los monitores de anomalías en los costos y las suscripciones a anomalías. Cada monitor de anomalías y recurso de suscripción a anomalías tiene un nombre de recurso de Amazon (ARN) único. También puede adjuntar etiquetas (pares clave-valor) a cada característica. Tanto las etiquetas de recursos ARNs como las etiquetas ABAC se pueden utilizar para proporcionar un control de acceso detallado a los roles de usuario o grupos dentro de su Cuentas de AWS empresa.
Para obtener más información sobre los controles de acceso a nivel de recursos y las etiquetas ABAC, consulte [Cómo funciona la gestión de AWS costes con IAM](security_iam_service-with-iam.md).
**nota**
La Detección de anomalías en los costos no es compatible con políticas basadas en recursos. Las políticas basadas en los recursos se asocian directamente a los recursos. AWS Para obtener más información sobre las diferencias entre las políticas y los permisos, consulte [Políticas basadas en identidades y políticas basadas en recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) en la *Guía del usuario de IAM*.
## Control del acceso a las políticas a nivel de recursos
Puede utilizar permisos a nivel de recursos para conceder o denegar el acceso a uno o más recursos de Detección de anomalías en los costos en una política de IAM. Si lo prefiere, puede utilizar permisos a nivel de recursos para conceder o denegar el acceso a todos los recursos de Detección de anomalías en los costos.
Al crear un IAM, utilice los siguientes formatos de nombre de recurso de Amazon (ARN):
+ `AnomalyMonitor`: ARN de recurso
`arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}`
+ `AnomalySubscription`: ARN de recurso
`arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}`
Para permitir que la entidad de IAM obtenga y cree un monitor de anomalías o una suscripción de anomalías, utilice una política similar a esta política de ejemplo.
**nota**
Para `ce:GetAnomalyMonitor` y `ce:GetAnomalySubscription`, los usuarios tienen todos los controles de acceso a nivel de recursos o ninguno de ellos. Esto requiere que la política utilice un ARN genérico en forma de `arn:${partition}:ce::${account-id}:anomalymonitor/*`, `arn:${partition}:ce::${account-id}:anomalysubscription/*` o `*`.
Para `ce:CreateAnomalyMonitor` y `ce:CreateAnomalySubscription`, no tenemos un ARN para este recurso. Por lo tanto, la política siempre usa el ARN genérico que se mencionó en el punto anterior.
En el caso de `ce:GetAnomalies`, utilice el parámetro opcional `monitorArn`. Al usarlo con este parámetro, confirmamos si el usuario tiene acceso al `monitorArn` aprobado.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ce:GetAnomalyMonitors",
"ce:CreateAnomalyMonitor"
],
"Effect": "Allow",
"Resource": "arn:aws:ce::999999999999:anomalymonitor/*"
},
{
"Action": [
"ce:GetAnomalySubscriptions",
"ce:CreateAnomalySubscription"
],
"Effect": "Allow",
"Resource": "arn:aws:ce::999999999999:anomalysubscription/*"
}
]
}
```
------
Para permitir que la entidad de IAM actualice o elimine los monitores de anomalías, utilice una política similar a esta política de ejemplo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ce:UpdateAnomalyMonitor",
"ce:DeleteAnomalyMonitor"
],
"Resource": [
"arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000",
"arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001"
]
}
]
}
```
------
## Control del acceso mediante etiquetas (ABAC)
Puede utilizar etiquetas (ABAC) para controlar el acceso a los recursos de Detección de anomalías en los costos que admiten etiquetado. Para controlar el acceso al uso de etiquetas, debe proporcionar información de las etiquetas en el elemento de `Condition` de una política. A continuación, puede crear una política de IAM que permita o deniegue el acceso a un recurso en función de las etiquetas de dicho recurso. Puede utilizar las claves de condición de etiqueta para controlar el acceso a recursos, solicitudes o cualquier parte del proceso de autorización. Para obtener más información sobre el uso de etiquetas por parte de los roles de IAM, consulte [Control del acceso a y para los usuarios y roles mediante etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html) en la *Guía del usuario de IAM*.
Cree una política basada en la identidad que permita actualizar los monitores de anomalías. Si el `Owner` de la etiqueta del monitor tiene el valor del nombre de usuario, utilice una política similar a esta política de ejemplo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ce:UpdateAnomalyMonitor"
],
"Resource": "arn:aws:ce::*:anomalymonitor/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
},
{
"Effect": "Allow",
"Action": "ce:GetAnomalyMonitors",
"Resource": "*"
}
]
}
```
------