翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS 請求ポリシーの例
**注記**
次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。
`aws-portal` 名前空間
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
を使用している場合は AWS Organizations、[一括ポリシー移行スクリプト](migrate-iam-permissions.md)または一括ポリシー移行スクリプトを使用して、支払者アカウントからポリシーを更新できます。また、[従来のアクションから詳細なアクションへのマッピングのリファレンス](migrate-granularaccess-iam-mapping-reference.md)を使用して、追加する必要のある IAM アクションを検証することもできます。
2023 年 3 月 6 日午前 11:00 (PDT) 以降に AWS Organizations 作成された がある場合、 AWS アカウントまたは の一部である場合、きめ細かなアクションはすでに組織で有効です。
**重要**
これらのポリシーを使用するには、コンソールの [[Account Settings (アカウント設定)](https://console.aws.amazon.com/billing/home#/account)] ページで請求情報とコスト管理コンソールへの IAM アクセスをアクティベートする必要があります。詳細については、「[請求情報とコスト管理コンソールへのアクセスをアクティベートする](control-access-billing.md#ControllingAccessWebsite-Activate)」を参照してください。
AWS 管理ポリシーを使用するには、「」を参照してください[AWS マネージドポリシー](managed-policies.md)。
このトピックには、アカウントの請求の情報とツールへのアクセスを制御するために IAM ユーザーまたはグループに適用できるポリシーの例が含まれています。以下の基本ルールは、請求情報とコスト管理の IAM ポリシーに適用されます。
+ `Version` は常に `2012-10-17 ` です。
+ `Effect` は常に `Allow` または `Deny` です。
+ `Action` はアクションまたはワイルドカード (`*`) の名前です。
アクションプレフィックスは、 AWS 予算`budgets`、`cur` AWS コストと使用状況レポート、`aws-portal` AWS 請求、または Cost Explorer `ce`用です。
+ `Resource` は常に AWS 請求`*`用です。
`budget` リソースで実行されるアクションの場合、予算の Amazon リソースネーム (ARN) を指定します。
+ 1 つのポリシーで複数のステートメントを使用できます。
AWS コスト管理コンソールのアクションポリシーのリストについては、[AWS 「コスト管理ユーザーガイド」の「コスト管理ポリシーの例](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html)」を参照してください。 *AWS *
**Topics**
+ [請求情報の表示を IAM ユーザーに許可する](#example-billing-view-billing-only)
+ [IAM ユーザーが請求情報とカーボンフットプリントレポートを表示できるようにする](#example-ccft-policy)
+ [レポートコンソールページへのアクセスを IAM ユーザーに許可する](#example-billing-view-reports)
+ [請求とコスト管理コンソールへの IAM ユーザーアクセスを拒否する](#example-billing-deny-all)
+ [メンバーアカウントの AWS コンソールのコストと使用状況ウィジェットへのアクセスを拒否する](#example-billing-deny-widget)
+ [特定の IAM ユーザーとロールに対する AWS コンソールのコストと使用状況ウィジェットへのアクセスを拒否する](#example-billing-deny-ce)
+ [IAM ユーザーが請求情報を表示することを許可するが、カーボンフットプリントレポートへのアクセスは拒否する](#example-ccft-policy-deny)
+ [IAM ユーザーがカーボンフットプリントレポートにアクセスすることを許可するが、請求情報へのアクセスは拒否する](#example-ccft-policy-allow)
+ [AWS サービスへのフルアクセスを許可するが、請求情報とコスト管理コンソールへの IAM ユーザーアクセスを拒否する](#ExampleAllowAllDenyBilling)
+ [アカウント設定を除き、請求とコスト管理コンソールの表示を IAM ユーザーに許可する](#example-billing-read-only)
+ [請求情報の変更を IAM ユーザーに許可する](#example-billing-deny-modifybilling)
+ [アカウント設定へのアクセスは拒否するが、その他の請求および使用情報へのフルアクセスは許可する](#example-billing-deny-modifyaccount)
+ [レポートを Amazon S3 バケットにデポジットする](#example-billing-s3-bucket)
+ [製品と価格の検索](#example-policy-pe-api)
+ [コストと使用状況の表示](#example-policy-ce-api)
+ [AWS リージョンの有効化と無効化](#enable-disable-regions)
+ [Cost Categories の表示と管理](#example-policy-cc-api)
+ [AWS コストと使用状況レポートの作成、表示、編集、または削除](#example-policy-report-definition)
+ [発注書の表示と管理](#example-view-manage-purchaseorders)
+ [Cost Explorer 設定ページの表示と更新](#example-view-update-ce)
+ [Cost Explorer レポートページを使用した表示、作成、更新、および削除](#example-view-ce-reports)
+ [予約およびSavings Plans アラートの表示、作成、更新、および削除](#example-view-ce-expiration)
+ [AWS コスト異常検出への読み取り専用アクセスを許可する](#example-policy-ce-ad)
+ [AWS Budgets に IAM ポリシーと SCPs の適用を許可する](#example-budgets-IAM-SCP)
+ [AWS Budgets に IAM ポリシーと SCPs、ターゲット EC2 インスタンスと RDS インスタンスの適用を許可する](#example-budgets-applySCP)
+ [IAM ユーザーに米国の免税の表示と サポート ケースの作成を許可する](#example-awstaxexemption)
+ [(請求先住所または連絡先住所がインドにあるお客様向け) 顧客確認情報への読み取り専用アクセスを許可する](#example-aispl-verification)
+ [(請求先住所または連絡先住所がインドにあるお客様向け) 顧客確認情報の表示、作成、更新を許可する](#example-aispl-verification-view)
+ [Billing コンソールで AWS Migration Acceleration Program 情報を表示する](#read-only-migration-acceleration-program-policy)
+ [請求コンソールで AWS 請求書設定へのアクセスを許可する](#invoice-config-policy)
## 請求情報の表示を IAM ユーザーに許可する
アカウントの機密扱い情報に対する IAM ユーザーアクセスを与えずに IAM ユーザーが請求情報を表示できるようにするには、次のサンプルポリシーのようなポリシーを使用します。このようなポリシーにより、ユーザーはパスワードおよびアカウントアクティビティレポートにアクセスできなくなります。このポリシーでは、次の請求情報とコスト管理コンソールページを表示する許可を IAM ユーザーに与えますが、**アカウント設定**コンソールページと**レポート**コンソールページに対するアクセス権は与えません。
+ **ダッシュボード**
+ **Cost Explorer**
+ **請求書**
+ **注文と請求書**
+ **一括請求**
+ **詳細設定**
+ **クレジット**
+ **前払い**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
}
]
}
```
------
## IAM ユーザーが請求情報とカーボンフットプリントレポートを表示できるようにする
IAM ユーザーが請求情報とカーボンフットプリントレポートを表示することを許可するには、次の例のようなポリシーを使用します。このポリシーにより、ユーザーはパスワードおよびアカウントアクティビティレポートにアクセスできなくなります。このポリシーでは、次の請求情報とコスト管理コンソールページを表示する許可を IAM ユーザーに与えますが、**アカウント設定**コンソールページと**レポート**コンソールページに対するアクセス権は与えません。
+ **ダッシュボード**
+ **Cost Explorer**
+ **請求書**
+ **注文と請求書**
+ **一括請求**
+ **詳細設定**
+ **クレジット**
+ **前払い**
+ ** AWS コストと使用状況レポートページの AWS Customer Carbon Footprint Tool セクション**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Allow",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## レポートコンソールページへのアクセスを IAM ユーザーに許可する
コンソールの [**Reports (レポート)**] ページにアクセスして、アカウントアクティビティ情報が含まれている使用状況レポートを表示することを IAM ユーザーに許可するには、次の例のようなポリシーを使用します。
各アクションの定義については、「[AWS 請求コンソールアクション](security_iam_id-based-policy-examples.md#user-permissions)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewUsage",
"aws-portal:ViewBilling",
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*"
}
]
}
```
------
## 請求とコスト管理コンソールへの IAM ユーザーアクセスを拒否する
すべての請求情報とコスト管理コンソールページへの IAM ユーザーアクセスを明示的に拒否するには、次の例のようなポリシーを使用します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "aws-portal:*",
"Resource": "*"
}
]
}
```
------
## メンバーアカウントの AWS コンソールのコストと使用状況ウィジェットへのアクセスを拒否する
コストと使用状況のデータへのメンバーアカウント (連結アカウント) のアクセスを制限するには、管理アカウント (支払いアカウント) を使用して Cost Explorer の設定タブにアクセスし、**[連結アカウントのアクセス]** のチェックを外します。これにより、メンバーアカウントの IAM ユーザーまたはロールが持つ IAM アクションに関係なく、Cost Explorer (AWS Cost Management) コンソール、Cost Explorer API、コンソールホームページのコストと AWS 使用状況ウィジェットからのコストと使用状況データへのアクセスが拒否されます。
## 特定の IAM ユーザーとロールに対する AWS コンソールのコストと使用状況ウィジェットへのアクセスを拒否する
特定の IAM ユーザーとロールの AWS コンソールのコストと使用状況ウィジェットへのアクセスを拒否するには、以下のアクセス許可ポリシーを使用します。
**注記**
このポリシーを IAM ユーザーまたはロールに追加すると、Cost Explorer (AWS コスト管理) コンソールと Cost Explorer APIsも拒否されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ce:*",
"Resource": "*"
}
]
}
```
------
## IAM ユーザーが請求情報を表示することを許可するが、カーボンフットプリントレポートへのアクセスは拒否する
請求情報とコスト管理コンソールで請求情報の両方を IAM ユーザーに許可しますが、 AWS Customer Carbon Footprint Tool へのアクセスは許可しません。このツールは、 AWS コストと使用状況レポートページにあります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Deny",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## IAM ユーザーがカーボンフットプリントレポートにアクセスすることを許可するが、請求情報へのアクセスは拒否する
IAM ユーザーが AWS コストと使用状況レポートページの AWS Customer Carbon Footprint Tool にアクセスすることを許可しますが、請求情報とコスト管理コンソールで請求情報を表示するためのアクセスは拒否します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Deny",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Allow",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## AWS サービスへのフルアクセスを許可するが、請求情報とコスト管理コンソールへの IAM ユーザーアクセスを拒否する
コンソールのすべてへの IAM ユーザーアクセスを拒否するには、次のポリシーを使用します。 AWS Identity and Access Management (IAM) へのユーザーアクセスを拒否して、請求情報とツールへのアクセスを制御するポリシーへのアクセスを防止します。
**重要**
このポリシーは、一切のアクションを許可しません。特定のアクションを許可する他のポリシーと組み合わせてこのポリシーを使用します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aws-portal:*",
"iam:*"
],
"Resource": "*"
}
]
}
```
------
## アカウント設定を除き、請求とコスト管理コンソールの表示を IAM ユーザーに許可する
このポリシーでは、すべての請求情報とコスト管理コンソールへの読み取り専用アクセスを許可します。これには、**支払い方法**および**レポート**コンソールページが含まれます。ただし、このポリシーは、**アカウント設定**ページへのアクセスを拒否します。これは、このポリシーがアカウントのパスワード、連絡先情報、およびセキュリティの質問を保護することを意味します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:View*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## 請求情報の変更を IAM ユーザーに許可する
請求情報とコスト管理コンソールのアカウント請求情報の変更を IAM ユーザーに許可するには、請求情報を表示する許可も IAM ユーザーに与える必要があります。次のポリシー例では、**一括請求**、**設定**、および**クレジット**コンソールページの変更を IAM ユーザーに許可します。さらに、次の請求情報とコスト管理コンソールページを表示する許可も IAM ユーザーに与えます。
+ **ダッシュボード**
+ **Cost Explorer**
+ **請求書**
+ **注文と請求書**
+ **前払い**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:*Billing",
"Resource": "*"
}
]
}
```
------
## アカウント設定へのアクセスは拒否するが、その他の請求および使用情報へのフルアクセスは許可する
アカウントのパスワード、連絡先情報、セキュリティの質問を保護するには、**アカウント設定**への IAM ユーザーのアクセスを拒否しますが、&AB; コンソールのその他の機能に対するフルアクセスは引き続き有効にできます。以下は、ポリシーの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:*Billing",
"aws-portal:*Usage",
"aws-portal:*PaymentMethods"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## レポートを Amazon S3 バケットにデポジットする
次のポリシーでは、 AWS アカウントと Amazon S3 バケットの両方を所有している場合、Billing and Cost Management が詳細な AWS 請求書を Amazon S3 バケットに保存することを許可します。このポリシーは、IAM ユーザーではなく Amazon S3 バケットに適用する必要があります。つまり、これはリソースベースのポリシーであり、ユーザーベースのポリシーではないからです。請求書にアクセスする必要がない IAM ユーザーに対しては、バケットへの IAM ユーザーアクセスを拒否することをお勧めします。
{{amzn-s3-demo-bucket1}} をバケットの名前に置き換えます。
詳細については、*Amazon Simple Storage Service ユーザーガイド*の「[バケットポリシーとユーザーポリシーの使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-iam-policies.html)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": [
"s3:GetBucketAcl",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket1}}"
},
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket1}}/*"
}
]
}
```
------
## 製品と価格の検索
IAM ユーザーが AWS Price List Service API を使用できるようにするには、次のポリシーを使用してアクセスを許可します。
このポリシーは、両方の AWS Price List Bulk API AWS Price List Query API を使用するアクセス許可を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts",
"pricing:GetPriceListFileUrl",
"pricing:ListPriceLists"
],
"Resource": [
"*"
]
}
]
}
```
------
## コストと使用状況の表示
IAM ユーザーが AWS Cost Explorer API を使用できるようにするには、次のポリシーを使用してアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ce:*"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS リージョンの有効化と無効化
リージョンの有効化と無効化をユーザーに許可する IAM ポリシーの例については、*IAM ユーザーガイド*の[AWS「: AWS リージョンの有効化と無効化を許可する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws-enable-disable-regions.html)」を参照してください。
## Cost Categories の表示と管理
Cost Categories の使用、表示、および管理を IAM ユーザーに許可するには、次のポリシーを使用してアクセス権を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:GetCostAndUsage",
"ce:DescribeCostCategoryDefinition",
"ce:UpdateCostCategoryDefinition",
"ce:CreateCostCategoryDefinition",
"ce:DeleteCostCategoryDefinition",
"ce:ListCostCategoryDefinitions",
"ce:TagResource",
"ce:UntagResource",
"ce:ListTagsForResource",
"pricing:DescribeServices"
],
"Resource": "*"
}
]
}
```
------
## AWS コストと使用状況レポートの作成、表示、編集、または削除
このポリシーでは、API を使用した `sample-report` の作成、表示、編集、または削除を IAM ユーザーに許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageSampleReport",
"Effect": "Allow",
"Action": [
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "arn:aws:cur:*:123456789012:definition/sample-report"
},
{
"Sid": "DescribeReportDefs",
"Effect": "Allow",
"Action": "cur:DescribeReportDefinitions",
"Resource": "*"
}
]
}
```
------
## 発注書の表示と管理
このポリシーでは、発注書の表示と管理を IAM ユーザーに許可し、以下のポリシーを使用してアクセス権を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"purchase-orders:*"
],
"Resource": "*"
}
]
}
```
------
## Cost Explorer 設定ページの表示と更新
このポリシーでは、**Cost Explorer 設定ページ**の表示と更新を IAM ユーザーに許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
次のポリシーでは、Cost Explorer の表示を IAM ユーザーに許可しますが、**設定**ページを表示または編集する許可は拒否します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:GetPreferences",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
次のポリシーでは、Cost Explorer の表示を IAM ユーザーに許可しますが、**設定**ページを編集する許可は拒否します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
## Cost Explorer レポートページを使用した表示、作成、更新、および削除
このポリシーでは、**Cost Explorer レポートページ**を使用した表示、作成、更新、および削除を IAM ユーザーに許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
次のポリシーでは、Cost Explorer の表示を IAM ユーザーに許可しますが、**レポート**ページを表示または編集する許可は拒否します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeReport",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
次のポリシーでは、Cost Explorer の表示を IAM ユーザーに許可しますが、**レポート**ページを編集する許可は拒否します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
## 予約およびSavings Plans アラートの表示、作成、更新、および削除
このポリシーでは、[予約の失効アラート](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ce-ris.html)および[Savings Plansアラート](https://docs.aws.amazon.com/savingsplans/latest/userguide/sp-overview.html#sp-alert)の表示、作成、更新、および削除を IAM ユーザーに許可します。予約の失効アラートまたは Savings Plans アラートを編集するには、次の 3 つのきめ細かなアクションすべてが必要です: `ce:CreateNotificationSubscription`、`ce:UpdateNotificationSubscription`、および `ce:DeleteNotificationSubscription`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
次のポリシーでは、Cost Explorer の表示を IAM ユーザーに許可しますが、**予約の失効アラート**および**Savings Plans**ページを表示または編集する許可は拒否します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeNotificationSubscription",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
次のポリシーでは、Cost Explorer の表示を IAM ユーザーに許可しますが、**予約の失効アラート**および **Savings Plans** ページを編集する許可は拒否します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
## AWS コスト異常検出への読み取り専用アクセスを許可する
IAM ユーザーに AWS コスト異常検出への読み取り専用アクセスを許可するには、次のポリシーを使用してアクセスを許可します。 `ce:ProvideAnomalyFeedback`は読み取り専用アクセスの一部としてオプションです。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ce:Get*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS Budgets に IAM ポリシーと SCPs の適用を許可する
このポリシーにより、 AWS Budgets はユーザーに代わって IAM ポリシーとサービスコントロールポリシー (SCPs) を適用できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": "*"
}
]
}
```
------
## AWS Budgets に IAM ポリシーと SCPs、ターゲット EC2 インスタンスと RDS インスタンスの適用を許可する
このポリシーにより、 AWS Budgets は IAM ポリシーとサービスコントロールポリシー (SCPs) を適用し、ユーザーに代わって Amazon EC2 および Amazon RDS インスタンスをターゲットにすることができます。
信頼ポリシー
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "budgets.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
アクセス権限ポリシー
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceStatus",
"ec2:StartInstances",
"ec2:StopInstances",
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"rds:DescribeDBInstances",
"rds:StartDBInstance",
"rds:StopDBInstance",
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
```
------
## IAM ユーザーに米国の免税の表示と サポート ケースの作成を許可する
このポリシーにより、IAM ユーザーは米国の免税を表示し、免税コンソールで免税証明書をアップロードする サポート ケースを作成できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:*",
"tax:GetExemptions",
"tax:UpdateExemptions",
"support:CreateCase",
"support:AddAttachmentsToSet"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
## (請求先住所または連絡先住所がインドにあるお客様向け) 顧客確認情報への読み取り専用アクセスを許可する
このポリシーでは、IAM ユーザーに顧客検証情報への読み取り専用アクセスを許可します。
各アクションの定義については、「[AWS 請求コンソールアクション](security_iam_id-based-policy-examples.md#user-permissions)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"customer-verification:GetCustomerVerificationEligibility",
"customer-verification:GetCustomerVerificationDetails"
],
"Resource": "*"
}]
}
```
------
## (請求先住所または連絡先住所がインドにあるお客様向け) 顧客確認情報の表示、作成、更新を許可する
このポリシーでは、IAM ユーザーに顧客検証情報の管理を許可します。
各アクションの定義については、「[AWS 請求コンソールアクション](security_iam_id-based-policy-examples.md#user-permissions)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"customer-verification:CreateCustomerVerificationDetails",
"customer-verification:UpdateCustomerVerificationDetails",
"customer-verification:GetCustomerVerificationEligibility",
"customer-verification:GetCustomerVerificationDetails"
],
"Resource": "*"
}]
}
```
------
## Billing コンソールで AWS Migration Acceleration Program 情報を表示する
このポリシーにより、IAM ユーザーは Billing コンソールで支払者アカウントの Migration Acceleration Program 契約、クレジット、および対象となる支出を表示できます。
各アクションの定義については、「[AWS 請求コンソールアクション](security_iam_id-based-policy-examples.md#user-permissions)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"mapcredits:ListQuarterSpend",
"mapcredits:ListQuarterCredits",
"mapcredits:ListAssociatedPrograms"
],
"Resource": "*"
}]
}
```
------
## 請求コンソールで AWS 請求書設定へのアクセスを許可する
このポリシーは、請求コンソールで IAM ユーザーに AWS 請求設定へのアクセスを許可します。
各アクションの定義については、「[AWS 請求コンソールアクション](security_iam_id-based-policy-examples.md#user-permissions)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"invoicing:ListInvoiceUnits",
"invoicing:GetInvoiceUnit",
"invoicing:CreateInvoiceUnit",
"invoicing:UpdateInvoiceUnit",
"invoicing:DeleteInvoiceUnit",
"invoicing:BatchGetInvoiceProfile"
],
"Resource": [
"*"
]
}
]
}
```
------