AWS 請求ポリシーの例
注記
次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートを終了しました。
-
aws-portal名前空間 -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
AWS Organizations を使用している場合は、一括ポリシーマイグレータースクリプトまたは一括ポリシーマイグレーターを使用して、支払者アカウントでポリシーを更新できます。また、従来のアクションから詳細なアクションへのマッピングのリファレンスを使用して、追加する必要のある IAM アクションを検証することもできます。
2023 年 3 月 6 日午前 11 時 (太平洋夏時間) 以降に AWS アカウントを持っている場合、または AWS Organizations の一部として作成してある場合、詳細なアクションは組織で既に有効です。
重要
-
これらのポリシーを使用するには、コンソールの [Account Settings (アカウント設定)
] ページで請求情報とコスト管理コンソールへの IAM アクセスをアクティベートする必要があります。詳細については、「請求情報とコスト管理コンソールへのアクセスをアクティベートする」を参照してください。 -
AWS 管理ポリシーを使用するには、「AWS マネージドポリシー」を参照してください。
このトピックには、アカウントの請求の情報とツールへのアクセスを制御するために IAM ユーザーまたはグループに適用できるポリシーの例が含まれています。以下の基本ルールは、請求情報とコスト管理の IAM ポリシーに適用されます。
-
Versionは常に です。2012-10-17 -
Effectは常にAllowまたはDenyです。 -
Actionはアクションまたはワイルドカード () の名前です。*アクションプレフィックスは、AWS Budgetsでは
budgets、AWS コストと使用状況レポートではcur、AWS 請求ではaws-portal、または Cost Explorer ではceです。 -
Resourceは、*の請求に対して常に AWS になります。budgetリソースで実行されるアクションの場合、予算の Amazon リソースネーム (ARN) を指定します。 -
1 つのポリシーで複数のステートメントを使用できます。
AWS コストマネジメントコンソールのアクションポリシーの一覧については、AWS コスト管理ユーザーガイドの「AWS コスト管理アクションポリシーの例」を参照してください。
請求情報の表示を IAM ユーザーに許可する
アカウントの機密扱い情報に対する IAM ユーザーアクセスを与えずに IAM ユーザーが請求情報を表示できるようにするには、次のサンプルポリシーのようなポリシーを使用します。このようなポリシーにより、ユーザーはパスワードおよびアカウントアクティビティレポートにアクセスできなくなります。このポリシーでは、次の請求情報とコスト管理コンソールページを表示する許可を IAM ユーザーに与えますが、アカウント設定コンソールページとレポートコンソールページに対するアクセス権は与えません。
-
ダ ッシュボード
-
Cost Explorer:
-
請求書
-
注文と請求書
-
一括請求 ()
-
詳細設定
-
クレジット
-
前払い
IAM ユーザーが請求情報とカーボンフットプリントレポートを表示できるようにする
IAM ユーザーが請求情報とカーボンフットプリントレポートを表示することを許可するには、次の例のようなポリシーを使用します。このポリシーにより、ユーザーはパスワードおよびアカウントアクティビティレポートにアクセスできなくなります。このポリシーでは、次の請求情報とコスト管理コンソールページを表示する許可を IAM ユーザーに与えますが、アカウント設定コンソールページとレポートコンソールページに対するアクセス権は与えません。
-
ダ ッシュボード
-
Cost Explorer:
-
請求書
-
注文と請求書
-
一括請求 ()
-
詳細設定
-
クレジット
-
前払い
-
AWS コストと使用状況レポートページの AWS Customer Carbon Footprint Tool セクション
レポートコンソールページへのアクセスを IAM ユーザーに許可する
コンソールの [Reports (レポート)] ページにアクセスして、アカウントアクティビティ情報が含まれている使用状況レポートを表示することを IAM ユーザーに許可するには、次の例のようなポリシーを使用します。
各アクションの定義については、「AWS Billing コンソールアクション」を参照してください。
請求とコスト管理コンソールへの IAM ユーザーアクセスを拒否する
すべての請求情報とコスト管理コンソールページへの IAM ユーザーアクセスを明示的に拒否するには、次の例のようなポリシーを使用します。
AWS コンソールのコストと使用状況ウィジェットへのメンバーアカウントのアクセスを拒否する
コストと使用状況のデータへのメンバーアカウント (連結アカウント) のアクセスを制限するには、管理アカウント (支払いアカウント) を使用して Cost Explorer の設定タブにアクセスし、[Linked Account Access] (連結アカウントのアクセス) のチェックを外します。これにより、Cost Explorer (AWS コスト管理) コンソール、Cost Explorer API、および AWS コンソールのホームページ上のコストと使用状況ウィジェットからの、コストおよび使用状況データへのアクセスが拒否されます。これは、メンバーアカウントの IAM ユーザーまたはロールが持つ IAM アクションに影響されません。
AWS コンソールのコストと使用状況ウィジェットへの特定の IAM ユーザーおよびロールのアクセスを拒否する
AWS コンソールのコストと使用状況ウィジェットへの特定の IAM ユーザーおよびロールのアクセスを拒否するには、次のようなアクセス許可ポリシーを使用します。
注記
このポリシーを IAM ユーザーまたはロールに追加すると、Cost Explorer (AWS コスト管理) コンソールおよび Cost Explorer API へのユーザーのアクセスが拒否されます。
IAM ユーザーが請求情報を表示することを許可するが、カーボンフットプリントレポートへのアクセスは拒否する
IAM ユーザーが Billing and Cost Management コンソールで両方の請求情報を利用することを許可しても、AWS Customer Carbon Footprint Tool へのアクセスは許可しません。このツールは、[AWS コストと使用状況レポート] ページにあります。
IAM ユーザーがカーボンフットプリントレポートにアクセスすることを許可するが、請求情報へのアクセスは拒否する
IAM ユーザーが AWS のコストと使用状況レポートページにある AWS Customer Carbon Footprint Tool にアクセスすることを許可しても、Billing and Cost Management コンソール内の請求情報を表示するためのアクセスは拒否します。
AWS サービスへのフルアクセスを許可するが、請求とコスト管理コンソールへの IAM ユーザーアクセスは拒否する
コンソールのすべてへの IAM ユーザーアクセスを拒否するには、次のポリシーを使用します。請求情報とツールへのアクセス権を制御するポリシーへのユーザーアクセスを AWS Identity and Access Management (IAM) に拒否します。
重要
このポリシーは、一切のアクションを許可しません。特定のアクションを許可する他のポリシーと組み合わせてこのポリシーを使用します。
アカウント設定を除き、請求とコスト管理コンソールの表示を IAM ユーザーに許可する
このポリシーでは、すべての請求情報とコスト管理コンソールへの読み取り専用アクセスを許可します。これには、支払い方法およびレポートコンソールページが含まれます。ただし、このポリシーは、アカウント設定ページへのアクセスを拒否します。これは、このポリシーがアカウントのパスワード、連絡先情報、およびセキュリティの質問を保護することを意味します。
請求情報の変更を IAM ユーザーに許可する
請求情報とコスト管理コンソールのアカウント請求情報の変更を IAM ユーザーに許可するには、請求情報を表示する許可も IAM ユーザーに与える必要があります。次のポリシー例では、一括請求、設定、およびクレジットコンソールページの変更を IAM ユーザーに許可します。さらに、次の請求情報とコスト管理コンソールページを表示する許可も IAM ユーザーに与えます。
-
ダ ッシュボード
-
Cost Explorer:
-
請求書
-
注文と請求書
-
前払い
アカウント設定へのアクセスは拒否するが、その他の請求および使用情報へのフルアクセスは許可する
アカウントのパスワード、連絡先情報、セキュリティの質問を保護するには、アカウント設定への IAM ユーザーのアクセスを拒否しますが、&AB; コンソールのその他の機能に対するフルアクセスは引き続き有効にできます。以下は、ポリシーの例です。
レポートを Amazon S3 バケットにデポジットする
次のポリシーでは、ユーザーが AWS アカウントと Amazon S3 バケットの両方を持っている場合、請求情報とコスト管理により詳細な AWS 請求を Amazon S3 バケットに保存することを許可します。このポリシーは、IAM ユーザーではなく Amazon S3 バケットに適用する必要があります。つまり、これはリソースベースのポリシーであり、ユーザーベースのポリシーではないからです。請求書にアクセスする必要がない IAM ユーザーに対しては、バケットへの IAM ユーザーアクセスを拒否することをお勧めします。
amzn-s3-demo-bucket1 をバケットの名前に置き換えます。
詳細については、Amazon Simple Storage Service ユーザーガイドの「バケットポリシーとユーザーポリシーの使用」を参照してください。
製品と価格の検索
AWS Price Listサービス APIの使用を IAM ユーザーに許可するには、次のポリシーを使用してアクセス権を付与します。
このポリシーは、AWS Price List Bulk API と AWS Price List Query API の両方を使用するアクセス許可を付与します。
コストと使用状況の表示
AWS Cost Explorer API の使用を IAM ユーザーに許可するには、次のポリシーを使用してアクセス権を付与します。
AWS リージョンの有効化または無効化
リージョンの有効化と無効化をユーザーに許可する IAM ポリシーの例については、「IAM ユーザーガイド」の「AWS: AWS リージョンの有効化と無効化を許可する」を参照してください。
Cost Categories の表示と管理
Cost Categories の使用、表示、および管理を IAM ユーザーに許可するには、次のポリシーを使用してアクセス権を付与します。
AWS コストと使用状況レポートの作成、表示、編集、または削除
このポリシーでは、API を使用した sample-report の作成、表示、編集、または削除を IAM ユーザーに許可します。
発注書の表示と管理
このポリシーでは、発注書の表示と管理を IAM ユーザーに許可し、以下のポリシーを使用してアクセス権を付与します。
Cost Explorer 設定ページの表示と更新
このポリシーでは、Cost Explorer 設定ページの表示と更新を IAM ユーザーに許可します。
次のポリシーでは、Cost Explorer の表示を IAM ユーザーに許可しますが、設定ページを表示または編集する許可は拒否します。
次のポリシーでは、Cost Explorer の表示を IAM ユーザーに許可しますが、設定ページを編集する許可は拒否します。
Cost Explorer レポートページを使用した表示、作成、更新、および削除
このポリシーでは、Cost Explorer レポートページを使用した表示、作成、更新、および削除を IAM ユーザーに許可します。
次のポリシーでは、Cost Explorer の表示を IAM ユーザーに許可しますが、レポートページを表示または編集する許可は拒否します。
次のポリシーでは、Cost Explorer の表示を IAM ユーザーに許可しますが、レポートページを編集する許可は拒否します。
予約およびSavings Plans アラートの表示、作成、更新、および削除
このポリシーでは、予約の失効アラートおよびSavings Plansアラートの表示、作成、更新、および削除を IAM ユーザーに許可します。予約の失効アラートまたは Savings Plans アラートを編集するには、次の 3 つのきめ細かなアクションすべてが必要です: ce:CreateNotificationSubscription、ce:UpdateNotificationSubscription、および ce:DeleteNotificationSubscription。
次のポリシーでは、Cost Explorer の表示を IAM ユーザーに許可しますが、予約の失効アラートおよびSavings Plansページを表示または編集する許可は拒否します。
次のポリシーでは、Cost Explorer の表示を IAM ユーザーに許可しますが、予約の失効アラートおよび Savings Plans ページを編集する許可は拒否します。
AWS コスト異常検出への読み取り専用アクセスを許可する
AWS コスト異常検出への読み取り専用アクセスを IAM ユーザーに許可するには、次のポリシーを使用してアクセス権を付与します。ce:ProvideAnomalyFeedback は読み取り専用アクセスの一部としてのオプションです。
AWS IAM ポリシーと SCP の適用を Budgets に許可する
このポリシーでは、AWSユーザーの代わっての IAM ポリシーとサービスコントロールポリシー (SCP) の適用を Budgets に許可します。
IAM ポリシーと SCP の適用、および EC2 と RDS インスタンスの目標化を AWS Budgets に許可する
このポリシーでは、IAM ポリシーとサービスコントロールポリシー (SCP) の適用、およびユーザーに代わっての Amazon EC2 および Amazon RDS インスタンスの目標化を AWS Budgets に許可します。
信頼ポリシー
アクセス権限ポリシー
IAM ユーザーに、米国の免税の表示と サポート ケースの作成を許可します
このポリシーでは、IAM ユーザーに対し、免税コンソールで免除証明書をアップロードするために米国の免税の表示と サポート ケースの作成を許可します。
(請求先住所または連絡先住所がインドにあるお客様向け) 顧客確認情報への読み取り専用アクセスを許可する
このポリシーでは、IAM ユーザーに顧客検証情報への読み取り専用アクセスを許可します。
各アクションの定義については、「AWS Billing コンソールアクション」を参照してください。
(請求先住所または連絡先住所がインドにあるお客様向け) 顧客確認情報の表示、作成、更新を許可する
このポリシーでは、IAM ユーザーに顧客検証情報の管理を許可します。
各アクションの定義については、「AWS Billing コンソールアクション」を参照してください。
Billing コンソールで AWS Migration Acceleration Program 情報を表示する
このポリシーにより、IAM ユーザーは Billing コンソールで支払者アカウントの Migration Acceleration Program 契約、クレジット、および対象となる支出を表示できます。
各アクションの定義については、「AWS Billing コンソールアクション」を参照してください。
Billing コンソールの AWS 請求書設定へのアクセスを許可する
このポリシーは、IAM ユーザーが Billing コンソールの AWS 請求書設定にアクセスできるようにします。
各アクションの定義については、「AWS Billing コンソールアクション」を参照してください。
