Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengontrol akses untuk Deteksi Anomali Biaya
<a name="accesscontrol-ad"></a>

Anda dapat menggunakan kontrol akses tingkat sumber daya dan tag kontrol akses berbasis atribut (ABAC) untuk monitor anomali biaya dan langganan anomali. Setiap monitor anomali dan sumber daya langganan anomali memiliki Nama Sumber Daya Amazon (ARN) yang unik. Anda juga dapat melampirkan tag (pasangan nilai kunci) ke setiap fitur. Baik tag sumber daya ARNs dan ABAC dapat digunakan untuk memberikan kontrol akses terperinci ke peran atau grup pengguna di dalam Anda. Akun AWS

Untuk informasi selengkapnya tentang kontrol akses tingkat sumber daya dan tag ABAC, lihat. [Bagaimana Manajemen AWS Biaya bekerja dengan IAM](security_iam_service-with-iam.md)

**catatan**  
Deteksi Anomali Biaya tidak mendukung kebijakan berbasis sumber daya. Kebijakan berbasis sumber daya secara langsung melekat pada sumber daya. AWS *Untuk informasi selengkapnya tentang perbedaan antara kebijakan dan izin, lihat Kebijakan berbasis [identitas dan kebijakan berbasis sumber daya di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html).*

## Mengontrol akses menggunakan kebijakan tingkat sumber daya
<a name="accesscontrol-ad-resource-level"></a>

Anda dapat menggunakan izin tingkat sumber daya untuk mengizinkan atau menolak akses ke satu atau beberapa sumber daya Deteksi Anomali Biaya dalam kebijakan IAM. Atau, gunakan izin tingkat sumber daya untuk mengizinkan atau menolak akses ke semua sumber daya Deteksi Anomali Biaya.

Saat Anda membuat IAM, gunakan format Amazon Resource Name (ARN) berikut:
+ `AnomalyMonitor`sumber daya ARN

  `arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}`
+ `AnomalySubscription`sumber daya ARN

  `arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}`

Untuk memungkinkan entitas IAM mendapatkan dan membuat monitor anomali atau langganan anomali, gunakan kebijakan yang mirip dengan kebijakan contoh ini.

**catatan**  
Untuk `ce:GetAnomalyMonitor` dan`ce:GetAnomalySubscription`, pengguna memiliki semua atau tidak ada kontrol akses tingkat sumber daya. Ini mensyaratkan kebijakan untuk menggunakan ARN generik dalam bentuk `arn:${partition}:ce::${account-id}:anomalymonitor/*``arn:${partition}:ce::${account-id}:anomalysubscription/*`,, atau. `*`
Untuk `ce:CreateAnomalyMonitor` dan`ce:CreateAnomalySubscription`, kami tidak memiliki ARN sumber daya untuk sumber daya ini. Jadi, kebijakan selalu menggunakan ARN generik yang disebutkan dalam bullet sebelumnya.
Untuk`ce:GetAnomalies`, gunakan `monitorArn` parameter opsional. Saat digunakan dengan parameter ini, kami mengonfirmasi apakah pengguna memiliki akses ke yang `monitorArn` diteruskan.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ce:GetAnomalyMonitors",
                "ce:CreateAnomalyMonitor"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalymonitor/*"
        }, 
        {
            "Action": [
                "ce:GetAnomalySubscriptions",
                "ce:CreateAnomalySubscription"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalysubscription/*"
        }
    ]
}
```

------

Untuk mengizinkan entitas IAM memperbarui atau menghapus monitor anomali, gunakan kebijakan yang mirip dengan kebijakan contoh ini.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor",
                "ce:DeleteAnomalyMonitor"
                ],
            "Resource": [
              "arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000",
              "arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001"
		]
         }
    ]
}
```

------

## Mengontrol akses menggunakan tag (ABAC)
<a name="accesscontrol-ad-tags"></a>

Anda dapat menggunakan tag (ABAC) untuk mengontrol akses ke sumber daya Deteksi Anomali Biaya yang mendukung penandaan. Untuk mengontrol akses menggunakan tag, berikan informasi tag dalam `Condition` elemen kebijakan. Anda kemudian dapat membuat kebijakan IAM yang mengizinkan atau menolak akses ke sumber daya berdasarkan tag sumber daya. Anda dapat menggunakan tombol kondisi tag untuk mengontrol akses ke sumber daya, permintaan, atau bagian apa pun dari proses otorisasi. Untuk informasi selengkapnya tentang peran IAM menggunakan tag, lihat [Mengontrol akses ke dan untuk pengguna dan peran yang menggunakan tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html) di *Panduan Pengguna IAM*.

Buat kebijakan berbasis identitas yang memungkinkan memperbarui monitor anomali. Jika tag monitor `Owner` memiliki nilai nama pengguna, gunakan kebijakan yang mirip dengan kebijakan contoh ini.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor"
            ],
            "Resource": "arn:aws:ce::*:anomalymonitor/*",
            "Condition": {
                "StringEquals": {
			"aws:ResourceTag/Owner": "${aws:username}"
		   }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ce:GetAnomalyMonitors",
            "Resource": "*"
        }
    ]
}
```

------