翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS 請求用の Identity and Access Management
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰を*認証* (サインイン) し、誰に課金リソースの使用を*許可* (許可を持たせる) するかを制御します。IAM は、追加料金なしで使用できる AWS のサービス です。
Billing コンソールに対するアクセス権のアクティブ化を開始するには、「*IAM ユーザーガイド*」の「[IAM チュートリアル: Billing コンソールへのアクセス権の付与](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html)」を参照してください。
## ユーザータイプと請求に対するアクセス許可
この表は、 請求で請求ユーザーの種類ごとに許可されるデフォルトのアクションをまとめたものです。
**ユーザータイプと請求に対するアクセス許可**
| ユーザーのタイプ | 説明 | 請求に対するアクセス許可 |
| --- | --- | --- |
| アカウント所有者 | アカウント名として設定した名前を持つ人またはエンティティ。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/security-iam.html) |
| ユーザー | アカウント所有者または管理ユーザーによって、アカウントのユーザーとして定義された人物またはアプリケーション。アカウントには、複数のユーザーを含めることができます。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/security-iam.html) |
| 組織管理アカウント所有者 | AWS Organizations 管理アカウントに関連付けられている個人またはエンティティ。管理アカウントは、組織のメンバーアカウントによって発生した AWS 使用量に対して支払います。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/security-iam.html) |
| 組織のメンバーアカウント所有者 | AWS Organizations メンバーアカウントに関連付けられている個人またはエンティティ。管理アカウントは、組織のメンバーアカウントによって発生した AWS 使用量に対して支払います。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/security-iam.html) |
# アクセス許可の管理の概要
## 請求の情報およびツールへのアクセス許可
デフォルトでは、IAM ユーザーには [AWS Billing and Cost Management コンソール](https://console.aws.amazon.com/billing/)へのアクセス権がありません。
を作成するときは AWS アカウント、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント *root ユーザー*と呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。
管理者は、ユーザーが引き受けることができる AWS アカウントでロールを作成できます。ロールを作成したら、必要なアクセス権に基づいて IAM ポリシーをロールにアタッチできます。例えば、請求の情報とツールの一部にアクセスできる制限されたアクセス許可を一部のユーザーに与え、すべての情報とツールに対する完全なアクセス許可を他のユーザーに与えることができます。
IAM エンティティに Billing and Cost Management コンソールへのアクセス権を付与するには、以下を行ってください。
+ [IAM アクセスをルートユーザーとしてアクティブ化](#ControllingAccessWebsite-Activate)します。 AWS アカウント アカウントでこのアクションを実行する必要があるのは 1 回だけです。
+ ユーザー、グループ、ロールなどの IAM ID を作成します。
+ AWS 管理ポリシーを使用するか、請求情報とコスト管理コンソールで特定のアクションにアクセス許可を付与するカスタマー管理ポリシーを作成します。詳細については、「[Billing のアイデンティティベースのポリシーの使用](security_iam_id-based-policy-examples.md#billing-permissions-ref)」を参照してください。
詳細については、「*IAM ユーザーガイド*」の「[IAM tutorial: Grant access to the Billing console](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html)」を参照してください。
**注記**
Cost Explorer の許可は、IAM ポリシーに関係なくすべてのアカウントとメンバーアカウントに適用されます。詳細については、[AWS Cost Explorer へのアクセスの制御](https://docs.aws.amazon.com/cost-management/latest/userguide/ce-access.html)」を参照してください。
## 請求情報とコスト管理コンソールへのアクセスをアクティベートする
の IAM ユーザーとロール AWS アカウント は、デフォルトで請求情報とコスト管理コンソールにアクセスできません。これは、IAM ユーザーまたはロールに、特定の請求機能へのアクセス権を付与する IAM ポリシーがある場合でも当てはまります。アクセスを付与するために、 AWS アカウント ルートユーザーは **IAM アクセスのアクティブ化**設定を使用できます。
を使用する場合は AWS Organizations、IAM ユーザーとロールに Billing and Cost Management コンソールへのアクセスを許可する各管理アカウントまたはメンバーアカウントで、この設定を有効にします。作成されたメンバーアカウントの場合、このオプションはデフォルトで有効になります。詳細については、「[AWS Billing and Cost Management コンソールへの IAM アクセスのアクティブ化](billing-getting-started.md#activating-iam-access-to-billing-console)」を参照してください。
請求コンソールで、**[IAM アクセスのアクティブ化]** 設定により、以下のページへのアクセスを制御します。
+ ホーム
+ 予算
+ Budgets レポート
+ AWS コストと使用状況レポート
+ コストカテゴリ
+ コスト配分タグ
+ 請求書
+ 支払い
+ Credits
+ 発注書
+ 請求設定
+ 支払い方法
+ 税金設定
+ Cost Explorer
+ レポート
+ 適切なサイジングに関する推奨事項
+ Savings Plans に関する推奨事項
+ Savings Plans 使用率レポート
+ Savings Plans カバレッジレポート
+ 予約の概要
+ 予約の推奨事項
+ 予約使用率レポート
+ 予約カバレッジレポート
+ 詳細設定
**重要**
IAM アクセスをアクティベートするだけでは、これらの請求情報と予算管理コンソールページに必要な許可は、IAM ロールに付与されません。IAM アクセスのアクティベートに加えて、必要な IAM ポリシーをこれらのロールにアタッチする必要があります。詳細については、「[Billing のアイデンティティベースのポリシーの使用](security_iam_id-based-policy-examples.md#billing-permissions-ref)」を参照してください。
[**IAM アクセスをアクティベートする**] 設定では、次のページおよびリソースへのアクセスを制御しません。
+ AWS コスト異常検出、Savings Plans の概要、Savings Plans インベントリ、Savings Plans の購入、Savings Plans カートのコンソールページ
+ のコスト管理ビュー AWS Console Mobile Application
+ Billing and Cost Management SDK APIs (AWS Cost Explorer、 AWS Budgets、および AWS Cost and Usage Reports APIs)
+ AWS Systems Manager Application Manager
+ コンソール内 AWS 料金見積りツール
+ Amazon Q のコスト分析機能
+ AWS Activate Console「��
## オーディエンス
AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。
+ **サービスユーザー** - 機能にアクセスできない場合は、管理者にアクセス許可をリクエストします (「[AWS 請求 ID とアクセスのトラブルシューティング](security_iam_troubleshoot.md)」を参照)。
+ **サービス管理者** - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「[Billing と IAM の AWS 連携方法](security_iam_service-with-iam.md)」を参照)
+ **IAM 管理者** - アクセスを管理するためのポリシーを作成します (「[AWS Billing を使用したアイデンティティベースのポリシー](security_iam_id-based-policy-examples.md)」を参照)
## アイデンティティを使用した認証
認証とは、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。
AWS IAM アイデンティティセンター (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「*AWS サインイン ユーザーガイド*」の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。
プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「*IAM ユーザーガイド*」の「[API リクエストに対するAWS 署名バージョン 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。
### AWS アカウント ルートユーザー
を作成するときは AWS アカウント、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント *ルートユーザー*と呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。
### フェデレーテッドアイデンティティ
ベストプラクティスとして、人間のユーザーが一時的な認証情報 AWS のサービス を使用して にアクセスするには、ID プロバイダーとのフェデレーションを使用する必要があります。
フェ*デレーティッド ID* は、エンタープライズディレクトリ、ウェブ ID プロバイダー、または ID Directory Service ソースの認証情報 AWS のサービス を使用して にアクセスするユーザーです。フェデレーテッドアイデンティティは、一時的な認証情報を提供するロールを引き受けます。
アクセスを一元管理する場合は、 AWS IAM アイデンティティセンターをお勧めします。詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[IAM アイデンティティセンターとは](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」を参照してください。
### IAM ユーザーとグループ
*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*は、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、*IAM ユーザーガイド*の[「ID プロバイダーとのフェデレーションを使用して にアクセスする必要がある AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)」を参照してください。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。
### IAM ロール
*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。ユーザー[から IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)を引き受けることができます。 AWS CLI AWS 詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。
IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、*IAM ユーザーガイド* の [IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
## ポリシーを使用したアクセスの管理
でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、アイデンティティまたはリソースに関連付けられたときにアクセス許可を定義します。 は、プリンシパルがリクエストを行うときにこれらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。
管理者は、ポリシーを使用して、どの**プリンシパル**がどの**リソース**に対して、どのような**条件**で**アクション**を実行できるかを定義することで、誰が何にアクセスできるかを指定します。
デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。
### アイデンティティベースのポリシー
アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、*IAM ユーザーガイド* の [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を参照してください。
アイデンティティベースのポリシーは、*インラインポリシー* (単一の ID に直接埋め込む) または*管理ポリシー* (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーとインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。
### リソースベースのポリシー
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。例としては、IAM *ロール信頼ポリシー*や Amazon S3 *バケットポリシー*などがあります。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。リソースベースのポリシーでは、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。
リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーでは、IAM の AWS マネージドポリシーを使用できません。
### その他のポリシータイプ
AWS は、より一般的なポリシータイプによって付与されるアクセス許可の上限を設定できる追加のポリシータイプをサポートしています。
+ **アクセス許可の境界** – アイデンティティベースのポリシーで IAM エンティティに付与することのできるアクセス許可の数の上限を設定します。詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCP)** - AWS Organizations内の組織または組織単位の最大のアクセス許可を指定します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **リソースコントロールポリシー (RCP)** – は、アカウント内のリソースで利用できる最大数のアクセス許可を定義します。詳細については、「*AWS Organizations ユーザーガイド*」の「[リソースコントロールポリシー (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」を参照してください。
+ **セッションポリシー** – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡される高度なポリシーです。詳細については、「*IAM ユーザーガイド*」の「[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。
### 複数のポリシータイプ
1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、*「IAM ユーザーガイド*」の[「ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。
# Billing と IAM の AWS 連携方法
請求は AWS Identity and Access Management (IAM) サービスと統合されるため、組織内の誰が[請求コンソール](https://console.aws.amazon.com/cost-management/home)の特定のページにアクセスできるかを制御できます。請求書、および料金、アカウントアクティビティ、予算、支払い方法、クレジットに関する詳細情報へのアクセスを制御できます。
Billing and Cost Management コンソールへのアクセスをアクティベートする方法の詳細については、「*IAM ユーザーガイド*」の「[Tutorial: Delegate Access to the Billing Console](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html)」を参照してください。
IAM を使用して Billing へのアクセスを管理するときは、事前に、Billing で使用できる IAM の機能について理解しておきます。
**AWS Billing で使用できる IAM 機能**
| IAM 機能 | Billing レポート |
| --- | --- |
| [アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies) | あり |
| [リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies) | なし |
| [ポリシーアクション](#security_iam_service-with-iam-id-based-policies-actions) | あり |
| [ポリシーリソース](#security_iam_service-with-iam-id-based-policies-resources) | 部分的 |
| [ポリシー条件キー](#security_iam_service-with-iam-id-based-policies-conditionkeys) | あり |
| [ACL](#security_iam_service-with-iam-acls) | なし |
| [ABAC (ポリシー内のタグ)](#security_iam_service-with-iam-tags) | 部分的 |
| [一時認証情報](#security_iam_service-with-iam-roles-tempcreds) | あり |
| [転送アクセスセッション (FAS)](#security_iam_service-with-iam-principal-permissions) | あり |
| [サービスロール](#security_iam_service-with-iam-roles-service) | あり |
| [サービスリンクロール](#security_iam_service-with-iam-roles-service-linked) | いいえ |
請求およびその他の AWS のサービスがほとんどの IAM 機能と連携する方法の概要については、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## Billing のアイデンティティベースのポリシー
**アイデンティティベースのポリシーのサポート:** あり
アイデンティティベースポリシーは、IAM ユーザー、ユーザーグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションを許可または拒否する条件を指定できます。JSON ポリシーで使用できるすべての要素について学ぶには、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
### Billing のアイデンティティベースのポリシーの例
Billing のアイデンティティベースのポリシー例を確認するには、「[AWS Billing を使用したアイデンティティベースのポリシー](security_iam_id-based-policy-examples.md)」を参照してください。
## Billing 内のリソースベースのポリシー
**リソースベースのポリシーのサポート:** なし
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM *ロールの信頼ポリシー*や Amazon S3 *バケットポリシー*があげられます。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスをコントロールできます。ポリシーがアタッチされているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーで、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。プリンシパルには、アカウント、ユーザー、ロール、フェデレーティッドユーザー、または を含めることができます AWS のサービス。
クロスアカウントアクセスを有効にするには、全体のアカウント、または別のアカウントの IAM エンティティを、リソースベースのポリシーのプリンシパルとして指定します。詳細については、IAM ユーザーガイド**の[IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)を参照してください。
## Billing のポリシーアクション
**ポリシーアクションのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
請求アクションのリストを確認するには、*「サービス認可リファレンス*」の[AWS 「請求で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html)」を参照してください。
Billing のポリシーアクションは、アクションの前に次のプレフィックスを使用します。
```
billing
```
単一のステートメントで複数のアクションを指定するには、アクションをカンマで区切ります。
```
"Action": [
"billing:action1",
"billing:action2"
]
```
Billing のアイデンティティベースのポリシー例を確認するには、「[AWS Billing を使用したアイデンティティベースのポリシー](security_iam_id-based-policy-examples.md)」を参照してください。
## Billing のポリシーリソース
**ポリシーリソースのサポート:** 一部
ポリシーリソースがサポートされるのは、モニター、サブスクリプション、およびコストカテゴリのみです。
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
AWS Cost Explorer リソースタイプのリストを確認するには、*「サービス認可リファレンス*」の[AWS Cost Explorer のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscostexplorerservice.html)」を参照してください。
Billing のアイデンティティベースのポリシー例を確認するには、「[AWS Billing を使用したアイデンティティベースのポリシー](security_iam_id-based-policy-examples.md)」を参照してください。
## Billing のポリシー条件キー
**サービス固有のポリシー条件キーのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
請求条件キー、アクション、リソースのリストを確認するには、*「サービス認可リファレンス*[」の AWS 「請求の条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html)」を参照してください。
Billing のアイデンティティベースのポリシー例を確認するには、「[AWS Billing を使用したアイデンティティベースのポリシー](security_iam_id-based-policy-examples.md)」を参照してください。
## Billing のアクセスコントロールリスト (ACL)
**ACL のサポート:** なし
アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。
## Billing での属性ベースのアクセス制御 (ABAC)
**ABAC (ポリシー内のタグ) のサポート:** 一部
ABAC (ポリシー内のタグ) がサポートされるのは、モニター、サブスクリプション、およびコストカテゴリのみです。
属性ベースのアクセス制御 (ABAC) は、タグと呼ばれる属性に基づいてアクセス許可を定義する認可戦略です。IAM エンティティと AWS リソースにタグをアタッチし、プリンシパルのタグがリソースのタグと一致するときにオペレーションを許可するように ABAC ポリシーを設計できます。
タグに基づいてアクセスを管理するには、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。
サービスがすべてのリソースタイプに対して 3 つの条件キーすべてをサポートする場合、そのサービスの値は**あり**です。サービスが一部のリソースタイプに対してのみ 3 つの条件キーのすべてをサポートする場合、値は「**部分的**」になります。
ABAC の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可でアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。ABAC をセットアップする手順を説明するチュートリアルについては、「*IAM ユーザーガイド*」の「[属性ベースのアクセスコントロール (ABAC) を使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)」を参照してください。
## Billing での一時的な認証情報の使用
**一時的な認証情報のサポート:** あり
一時的な認証情報は、 AWS リソースへの短期的なアクセスを提供し、フェデレーションまたは切り替えロールを使用する場合に自動的に作成されます。 AWS では、長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成することをお勧めします。詳細については、「*IAM ユーザーガイド*」の「[IAM の一時的な認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」および「[AWS のサービス と IAM との連携](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## Billing の転送アクセスセッション
**転送アクセスセッション (FAS) のサポート:** あり
転送アクセスセッション (FAS) は、 を呼び出すプリンシパルのアクセス許可と AWS のサービス、ダウンストリームサービス AWS のサービス へのリクエストをリクエストする を使用します。FAS リクエストを行う際のポリシーの詳細については、「[転送アクセスセッション](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)」を参照してください。
## Billing のサービスロール
**サービスロールのサポート:** あり
サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、IAM ユーザーガイド**の [AWS のサービスに許可を委任するロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)を参照してください。
**警告**
サービスロールのアクセス許可を変更すると、Billing の機能が破損する可能性があります。Billing で指示される場合以外は、サービスロールを編集しないでください。
## Billing のサービスにリンクされたロール
**サービスにリンクされたロールのサポート:** なし
サービスにリンクされたロールは、 にリンクされたサービスロールの一種です AWS のサービス。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは に表示され AWS アカウント 、サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。
サービスにリンクされたロールの作成または管理の詳細については、「[IAM と提携するAWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。表の「**サービスリンクロール**」列に `Yes` と記載されたサービスを見つけます。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、**[はい]** リンクを選択します。
# AWS Billing を使用したアイデンティティベースのポリシー
デフォルトでは、ユーザーおよびロールには、Billing リソースを作成または変更するアクセス許可はありません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。
これらのサンプルの JSON ポリシードキュメントを使用して IAM アイデンティティベースのポリシーを作成する方法については、「*IAM ユーザーガイド*」の「[IAM ポリシーを作成する (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」を参照してください。
各リソースタイプの ARNs[AWS 「請求のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbilling.html)」を参照してください。 **
**Contents**
+ [ポリシーに関するベストプラクティス](#security_iam_service-with-iam-policy-best-practices)
+ [Billing コンソールの使用](#security_iam_id-based-policy-examples-console)
+ [自分の権限の表示をユーザーに許可する](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Billing のアイデンティティベースのポリシーの使用](#billing-permissions-ref)
+ [AWS 請求コンソールアクション](#user-permissions)
## ポリシーに関するベストプラクティス
アイデンティティベースのポリシーは、あるユーザーがアカウントの Billing リソースを作成、アクセス、削除できるどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
## Billing コンソールの使用
AWS 請求コンソールにアクセスするには、最小限のアクセス許可のセットが必要です。これらのアクセス許可により、 の請求リソースの詳細を一覧表示および表示できます AWS アカウント。最小限必要な許可よりも制限が厳しいアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ (ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。
AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。
AWS 請求コンソールの有効化に必要なアクセス許可、管理者アクセス、読み取り専用アクセスなどのアクセスの詳細については、 [AWS マネージドポリシー](managed-policies.md)セクションを参照してください。
## 自分の権限の表示をユーザーに許可する
この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Billing のアイデンティティベースのポリシーの使用
**注記**
次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。
`aws-portal` 名前空間
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
を使用している場合は AWS Organizations、[一括ポリシー移行スクリプト](migrate-iam-permissions.md)または一括ポリシー移行を使用して、支払者アカウントからポリシーを更新できます。また、[従来のアクションから詳細なアクションへのマッピングのリファレンス](migrate-granularaccess-iam-mapping-reference.md)を使用して、追加する必要のある IAM アクションを検証することもできます。
2023 年 3 月 6 日午前 11 時 (PDT) 以降に AWS Organizations 作成された がある場合、 AWS アカウントまたは の一部である場合、きめ細かなアクションは組織で既に有効です。
**重要**
IAM ポリシーに加えて、[[アカウント設定]](https://console.aws.amazon.com/billing/home#/account) コンソールページで請求情報とコスト管理コンソールへの IAM アクセスを付与する必要があります。
詳細については、以下の各トピックを参照してください。
[請求情報とコスト管理コンソールへのアクセスをアクティベートする](control-access-billing.md#ControllingAccessWebsite-Activate)
「*IAM ユーザーガイド*」の「[IAM チュートリアル: Billing コンソールへのアクセス権の付与](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_billing.html)」
このセクションを使用して、アイデンティティベースのポリシーのアカウント管理者が、アクセス許可ポリシーを IAM アイデンティティ (ロールおよびグループ) にアタッチし、Billing リソースに対して操作を実行するアクセス許可を付与する方法を確認します。
AWS アカウント および ユーザーの詳細については、[IAM ユーザーガイドの「IAM とは](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_Introduction.html)」を参照してください。 **
カスタマー管理ポリシーを更新する方法の詳細については「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーの編集 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-managed-policy-console)」を参照してください。
### AWS 請求コンソールアクション
この表は、Billing コンソールの情報とツールへのアクセスを付与するアクセス許可をまとめたものです。これらのアクセス許可を使用するポリシーの例については、[AWS 請求ポリシーの例](billing-example-policies.md) を参照してください。
AWS コスト管理コンソールのアクションポリシーのリストについては、[AWS 「コスト管理ユーザーガイド」の「コスト管理アクションポリシー](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#user-permissions)」を参照してください。 *AWS *
| アクセス許可名 | 説明 |
| --- | --- |
| aws-portal:ViewBilling | Billing and Cost Management コンソールページを表示するアクセス許可を付与します。 |
| aws-portal:ModifyBilling | 次の Billing and Cost Management コンソールページを変更するアクセス許可を付与します。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/security_iam_id-based-policy-examples.html) IAM ユーザーにこれらのコンソールページの変更を許可するには、`ModifyBilling` と `ViewBilling` の両方を許可する必要があります。ポリシーの例については「[請求情報の変更を IAM ユーザーに許可する](billing-example-policies.md#example-billing-deny-modifybilling)」を参照してください。 |
| aws-portal:ViewAccount | [[アカウント設定]](https://console.aws.amazon.com/billing/home#/account) を表示するアクセス許可を付与します。 |
| aws-portal:ModifyAccount | [[アカウント設定]](https://console.aws.amazon.com/billing/home#/account) を変更するアクセス許可を付与します。 IAM ユーザーにアカウント設定の変更を許可するには、`ModifyAccount` と `ViewAccount` の両方を許可する必要があります。 [**アカウント設定**] コンソールページへのアクセスを IAM ユーザーに明示的に拒否するポリシーの例については、「[アカウント設定へのアクセスは拒否するが、その他の請求および使用情報へのフルアクセスは許可する](billing-example-policies.md#example-billing-deny-modifyaccount)」を参照してください。 |
| aws-portal:ViewPaymentMethods | [[支払い方法]](https://console.aws.amazon.com/billing/home#/paymentmethods) を表示するアクセス許可を付与します。 |
| aws-portal:ModifyPaymentMethods | [[支払い方法]](https://console.aws.amazon.com/billing/home#/paymentmethods) を変更するアクセス許可を付与します。 ユーザーに支払い方法の変更を許可するには、`ModifyPaymentMethods` と `ViewPaymentMethods` の両方を許可する必要があります。 |
| billing:ListBillingViews | 利用可能な請求ビューのリストを取得する許可を付与します。これには、カスタム請求ビューと、見積もり請求グループに対応する請求ビューが含まれます。 カスタム請求ビューの詳細については、「[Controlling cost management data access with Billing View](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-view.html)」を参照してください。 請求グループ詳細の表示に関する詳細については、「*AWS Billing Conductor User Guide*」の「[Viewing your billing group details](https://docs.aws.amazon.com/billingconductor/latest/userguide/viewing-abc.html)」を参照してください。 |
| billing:CreateBillingView | カスタム請求ビューを作成する許可を付与します。 ポリシーの例については、「[Allow users to create, manage, and share custom billing views](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view)」を参照してください。 |
| billing:UpdateBillingView | カスタム請求ビューを更新する許可を付与します。 ポリシーの例については、「[Allow users to create, manage, and share custom billing views](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view)」を参照してください。 |
| billing:DeleteBillingView | カスタム請求ビューを削除する許可を付与します。 ポリシーの例については、「[Allow users to create, manage, and share custom billing views](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view)」を参照してください。 |
| billing:GetBillingView | 請求ビューの定義を取得する許可を付与します。 ポリシーの例については、「[Allow users to create, manage, and share custom billing views](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html#example-billing-view)」を参照してください。 |
| sustainability:GetCarbonFootprintSummary | AWS Customer Carbon Footprint Tool とデータを表示するアクセス許可を付与します。これは、請求情報と AWS コスト管理コンソールのコストと使用状況レポートページからアクセスできます。 ポリシーの例については、「[IAM ユーザーが請求情報とカーボンフットプリントレポートを表示できるようにする](billing-example-policies.md#example-ccft-policy)」を参照してください。 |
| cur:DescribeReportDefinitions | AWS コストと使用状況レポートを表示するアクセス許可を付与します。 AWS コストと使用状況レポートのアクセス許可は、[AWS コストと使用状況レポートサービス API と請求情報とコスト管理コンソールを使用して作成されたすべてのレポート](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html)に適用されます。請求情報とコスト管理コンソールを使用してレポートを作成する場合、IAM ユーザーの許可を更新することをお勧めします。許可を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権を失うことになります。 ポリシーの例については、「[レポートコンソールページへのアクセスを IAM ユーザーに許可する](billing-example-policies.md#example-billing-view-reports)」を参照してください。 |
| cur:PutReportDefinition | AWS コストと使用状況レポートを作成するアクセス許可を付与します。 AWS コストと使用状況レポートのアクセス許可は、[AWS コストと使用状況レポートサービス API と請求情報とコスト管理コンソールを使用して作成されたすべてのレポート](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html)に適用されます。請求情報とコスト管理コンソールを使用してレポートを作成する場合、IAM ユーザーの許可を更新することをお勧めします。許可を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権を失うことになります。 ポリシーの例については、「[レポートコンソールページへのアクセスを IAM ユーザーに許可する](billing-example-policies.md#example-billing-view-reports)」を参照してください。 |
| cur:DeleteReportDefinition | AWS コストと使用状況レポートを削除するアクセス許可を付与します。 AWS コストと使用状況レポートのアクセス許可は、[AWS コストと使用状況レポートサービス API と請求情報とコスト管理コンソールを使用して作成されたすべてのレポート](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html)に適用されます。請求情報とコスト管理コンソールを使用してレポートを作成する場合、IAM ユーザーの許可を更新することをお勧めします。許可を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権を失うことになります。 ポリシーの例については、「[AWS コストと使用状況レポートの作成、表示、編集、または削除](billing-example-policies.md#example-policy-report-definition)」を参照してください。 |
| cur:ModifyReportDefinition | AWS コストと使用状況レポートを変更するアクセス許可を付与します。 AWS コストと使用状況レポートのアクセス許可は、[AWS コストと使用状況レポートサービス API と請求情報とコスト管理コンソールを使用して作成されたすべてのレポート](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/API_Operations_AWS_Cost_and_Usage_Report_Service.html)に適用されます。請求情報とコスト管理コンソールを使用してレポートを作成する場合、IAM ユーザーの許可を更新することをお勧めします。許可を更新しないと、ユーザーがコンソールのレポートページでレポートの表示、編集、削除を行うアクセス権を失うことになります。 ポリシーの例については、「[AWS コストと使用状況レポートの作成、表示、編集、または削除](billing-example-policies.md#example-policy-report-definition)」を参照してください。 |
| ce:CreateCostCategoryDefinition | コストカテゴリを作成するアクセス許可を付与します。 ポリシーの例については「[Cost Categories の表示と管理](billing-example-policies.md#example-policy-cc-api)」を参照してください。 |
| ce:DeleteCostCategoryDefinition | コストカテゴリを削除するアクセス許可を付与します。 ポリシーの例については「[Cost Categories の表示と管理](billing-example-policies.md#example-policy-cc-api)」を参照してください。 |
| ce:DescribeCostCategoryDefinition | コストカテゴリを表示するアクセス許可を付与します。 ポリシーの例については「[Cost Categories の表示と管理](billing-example-policies.md#example-policy-cc-api)」を参照してください。 |
| ce:ListCostCategoryDefinitions | コストカテゴリを一覧表示するアクセス許可を付与します。 ポリシーの例については「[Cost Categories の表示と管理](billing-example-policies.md#example-policy-cc-api)」を参照してください。 |
| ce:UpdateCostCategoryDefinition | コストカテゴリを更新するアクセス許可を付与します。 ポリシーの例については「[Cost Categories の表示と管理](billing-example-policies.md#example-policy-cc-api)」を参照してください。 |
| aws-portal:ViewUsage | AWS 使用状況[レポート](https://console.aws.amazon.com/billing/home#/reports)を表示するアクセス許可を付与します。 使用状況レポートの表示を IAM ユーザーに許可するには、`ViewUsage` と `ViewBilling` の両方を許可する必要があります。 ポリシーの例については「[レポートコンソールページへのアクセスを IAM ユーザーに許可する](billing-example-policies.md#example-billing-view-reports)」を参照してください。 |
| payments:AcceptFinancingApplicationTerms | IAM ユーザーが融資者から提示される諸条件に同意できるようにします。ユーザーは、返済のための銀行口座の詳細情報を提供し、融資者から提示された法的文書に署名する必要があります。 |
| payments:CreateFinancingApplication | IAM ユーザーが新しいファイナンスローンを申請し、選択した融資オプションを参照できるようにします。 |
| payments:GetFinancingApplication | IAM ユーザーが融資申請の詳細を取得できるようにします。例えば、ステータス、制限、条件、融資者情報などです。 |
| payments:GetFinancingLine | IAM ユーザーがファイナンスローンの詳細を取得できるようにします。例えば、ステータスや残高などです。 |
| payments:GetFinancingLineWithdrawal | IAM ユーザーが引出しの詳細を取得できるようにします。例えば、残高や返済などです。 |
| payments:GetFinancingOption | IAM ユーザーが特定の融資オプションの詳細を取得できるようにします。 |
| payments:ListFinancingApplications | IAM ユーザーがすべての融資者全体ですべての申請の識別子を取得できるようにします。 |
| payments:ListFinancingLines | IAM ユーザーがすべての融資者全体ですべてのファイナンスローンの識別子を取得できるようにします。 |
| payments:ListFinancingLineWithdrawals | IAM ユーザーが所定のローンに関する既存の引出しのすべてを取得できるようにします。 |
| payments:ListTagsForResource | 支払い方法のタグを表示するアクセス許可を IAM ユーザーに付与するか拒否します。 |
| payments:TagResource | 支払い方法のタグを追加するアクセス許可を IAM ユーザーに許可または拒否します。 |
| payments:UntagResource | 支払い方法からタグを削除するアクセス許可を IAM ユーザーに許可または拒否します。 |
| payments:UpdateFinancingApplication | IAM ユーザーが融資申請を変更し、融資者から要求された追加情報を送信できるようにします。 |
| payments:ListPaymentInstruments | 登録済みの支払い方法を一覧表示するアクセス許可を IAM ユーザーに許可または拒否します。 |
| payments:UpdatePaymentInstrument | 支払い方法を更新するアクセス許可を IAM ユーザーに許可または拒否します。 |
| pricing:DescribeServices | AWS Price List Service API を介して AWS サービス製品と料金を表示するアクセス許可を付与します。 IAM ユーザーが AWS Price List Service API を使用できるようにするには、`DescribeServices`、`GetAttributeValues`、および を許可する必要があります`GetProducts`。 ポリシーの例については「[製品と価格の検索](billing-example-policies.md#example-policy-pe-api)」を参照してください。 |
| pricing:GetAttributeValues | AWS Price List Service API を介して AWS サービス製品と料金を表示するアクセス許可を付与します。 IAM ユーザーが AWS Price List Service API を使用できるようにするには、`DescribeServices`、`GetAttributeValues`、および を許可する必要があります`GetProducts`。 ポリシーの例については「[製品と価格の検索](billing-example-policies.md#example-policy-pe-api)」を参照してください。 |
| pricing:GetProducts | AWS Price List Service API を介して AWS サービス製品と料金を表示するアクセス許可を付与します。 IAM ユーザーが AWS Price List Service API を使用できるようにするには、`DescribeServices`、`GetAttributeValues`、および を許可する必要があります`GetProducts`。 ポリシーの例については「[製品と価格の検索](billing-example-policies.md#example-policy-pe-api)」を参照してください。 |
| purchase-orders:ViewPurchaseOrders | [[発注書]](manage-purchaseorders.md) を表示するアクセス許可を付与します。 ポリシーの例については「[発注書の表示と管理](billing-example-policies.md#example-view-manage-purchaseorders)」を参照してください。 |
| purchase-orders:ModifyPurchaseOrders | [[発注書]](manage-purchaseorders.md) を変更するアクセス許可を付与します。 ポリシーの例については「[発注書の表示と管理](billing-example-policies.md#example-view-manage-purchaseorders)」を参照してください。 |
| tax:GetExemptions | 税金コンソールごとに免除と免除タイプを表示するための読み取り専用アクセス許可を付与します。 ポリシーの例については「[IAM ユーザーに米国の免税の表示と サポート ケースの作成を許可する](billing-example-policies.md#example-awstaxexemption)」を参照してください。 |
| tax:UpdateExemptions | 米国の免税コンソールに免税申請をアップロードするアクセス許可を付与します。 ポリシーの例については「[IAM ユーザーに米国の免税の表示と サポート ケースの作成を許可する](billing-example-policies.md#example-awstaxexemption)」を参照してください。 |
| support:CreateCase | 免税コンソールから免税申請をアップロードするために必要な、サポートケースを提出するアクセス許可を付与します。 ポリシーの例については「[IAM ユーザーに米国の免税の表示と サポート ケースの作成を許可する](billing-example-policies.md#example-awstaxexemption)」を参照してください。 |
| support:AddAttachmentsToSet | 免税コンソールに免税証明書をアップロードするために必要なサポートケースにドキュメントをアタッチするアクセス許可を付与します。 ポリシーの例については「[IAM ユーザーに米国の免税の表示と サポート ケースの作成を許可する](billing-example-policies.md#example-awstaxexemption)」を参照してください。 |
| customer-verification:GetCustomerVerificationEligibility | (請求先住所または連絡先住所がインドのお客様のみ) 顧客検証資格を取得するアクセス許可を付与します。 |
| customer-verification:GetCustomerVerificationDetails | (請求先住所または連絡先住所がインドのお客様のみ) 顧客検証データを取得するアクセス許可を付与します。 |
| customer-verification:CreateCustomerVerificationDetails | (請求先住所または連絡先住所がインドのお客様のみ) 顧客検証データを作成するアクセス許可を付与します。 |
| customer-verification:UpdateCustomerVerificationDetails | (請求先住所または連絡先住所がインドのお客様のみ) 顧客検証データを更新するアクセス許可を付与します。 |
| mapcredit:ListAssociatedPrograms | 支払者アカウントの関連する Migration Acceleration Program 契約とダッシュボードを表示するアクセス許可を付与します。 |
| mapcredit:ListQuarterSpend | 支払者アカウントの Migration Acceleration Program の対象となる支出を表示するアクセス許可を付与します。 |
| mapcredit:ListQuarterCredits | 支払者アカウントの Migration Acceleration Program クレジットを表示するアクセス許可を付与します。 |
| invoicing:BatchGetInvoiceProfile | 請求書設定の AWS 請求書プロファイルを表示する読み取り専用アクセス許可を付与します。 |
| invoicing:CreateInvoiceUnit | 請求書設定の AWS 請求書単位を作成するアクセス許可を付与します。 |
| invoicing:DeleteInvoiceUnit | 請求書設定の AWS 請求書単位を削除するアクセス許可を付与します。 |
| invoicing:GetInvoiceUnit | 請求書 AWS 設定の請求書単位を表示する読み取り専用アクセス許可を付与します。 |
| invoicing:ListInvoiceUnits | 請求書設定のすべての AWS 請求書単位を一覧表示するアクセス許可を付与します。 |
| invoicing:ListTagsForResource | 請求書設定の請求書単位のタグを表示するアクセス許可を IAM ユーザーに付与または拒否 AWS します。 |
| invoicing:TagResource | 請求書設定の請求書ユニットのタグを追加するアクセス許可を IAM ユーザーに付与または拒否 AWS します。 |
| invoicing:UntagResource | 請求書設定のために請求書ユニットからタグを削除するアクセス許可を IAM ユーザーに付与または拒否 AWS します。 |
| invoicing:UpdateInvoiceUnit | 請求書設定の AWS 請求書単位を更新する編集アクセス許可を付与します。 |
# AWS 請求ポリシーの例
**注記**
次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。
`aws-portal` 名前空間
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
を使用している場合は AWS Organizations、[一括ポリシー移行スクリプト](migrate-iam-permissions.md)または一括ポリシー移行スクリプトを使用して、支払者アカウントからポリシーを更新できます。また、[従来のアクションから詳細なアクションへのマッピングのリファレンス](migrate-granularaccess-iam-mapping-reference.md)を使用して、追加する必要のある IAM アクションを検証することもできます。
2023 年 3 月 6 日午前 11 時 (PDT) 以降に AWS Organizations 作成された がある場合、 AWS アカウントまたは の一部である場合、きめ細かなアクションは組織で既に有効です。
**重要**
これらのポリシーを使用するには、コンソールの [[Account Settings (アカウント設定)](https://console.aws.amazon.com/billing/home#/account)] ページで請求情報とコスト管理コンソールへの IAM アクセスをアクティベートする必要があります。詳細については、「[請求情報とコスト管理コンソールへのアクセスをアクティベートする](control-access-billing.md#ControllingAccessWebsite-Activate)」を参照してください。
AWS 管理ポリシーを使用するには、「」を参照してください[AWS マネージドポリシー](managed-policies.md)。
このトピックには、アカウントの請求の情報とツールへのアクセスを制御するために IAM ユーザーまたはグループに適用できるポリシーの例が含まれています。以下の基本ルールは、請求情報とコスト管理の IAM ポリシーに適用されます。
+ `Version` は常に `2012-10-17 ` です。
+ `Effect` は常に `Allow` または `Deny` です。
+ `Action` はアクションまたはワイルドカード (`*`) の名前です。
アクションプレフィックスは、 AWS 予算`budgets`、`cur` AWS コストと使用状況レポート、`aws-portal` AWS 請求、または Cost Explorer `ce`用です。
+ `Resource` は常に AWS 請求`*`用です。
`budget` リソースで実行されるアクションの場合、予算の Amazon リソースネーム (ARN) を指定します。
+ 1 つのポリシーで複数のステートメントを使用できます。
AWS コスト管理コンソールのアクションポリシーのリストについては、[AWS 「コスト管理ユーザーガイド」の「コスト管理ポリシーの例](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-example-policies.html)」を参照してください。 *AWS *
**Topics**
+ [請求情報の表示を IAM ユーザーに許可する](#example-billing-view-billing-only)
+ [IAM ユーザーが請求情報とカーボンフットプリントレポートを表示できるようにする](#example-ccft-policy)
+ [レポートコンソールページへのアクセスを IAM ユーザーに許可する](#example-billing-view-reports)
+ [請求とコスト管理コンソールへの IAM ユーザーアクセスを拒否する](#example-billing-deny-all)
+ [メンバーアカウントの AWS コンソールのコストと使用状況ウィジェットへのアクセスを拒否する](#example-billing-deny-widget)
+ [特定の IAM ユーザーとロールに対する AWS コンソールのコストと使用状況ウィジェットへのアクセスを拒否する](#example-billing-deny-ce)
+ [IAM ユーザーが請求情報を表示することを許可するが、カーボンフットプリントレポートへのアクセスは拒否する](#example-ccft-policy-deny)
+ [IAM ユーザーがカーボンフットプリントレポートにアクセスすることを許可するが、請求情報へのアクセスは拒否する](#example-ccft-policy-allow)
+ [AWS サービスへのフルアクセスを許可するが、請求情報とコスト管理コンソールへの IAM ユーザーアクセスを拒否する](#ExampleAllowAllDenyBilling)
+ [アカウント設定を除き、請求とコスト管理コンソールの表示を IAM ユーザーに許可する](#example-billing-read-only)
+ [請求情報の変更を IAM ユーザーに許可する](#example-billing-deny-modifybilling)
+ [アカウント設定へのアクセスは拒否するが、その他の請求および使用情報へのフルアクセスは許可する](#example-billing-deny-modifyaccount)
+ [レポートを Amazon S3 バケットにデポジットする](#example-billing-s3-bucket)
+ [製品と価格の検索](#example-policy-pe-api)
+ [コストと使用状況の表示](#example-policy-ce-api)
+ [AWS リージョンの有効化と無効化](#enable-disable-regions)
+ [Cost Categories の表示と管理](#example-policy-cc-api)
+ [AWS コストと使用状況レポートの作成、表示、編集、または削除](#example-policy-report-definition)
+ [発注書の表示と管理](#example-view-manage-purchaseorders)
+ [Cost Explorer 設定ページの表示と更新](#example-view-update-ce)
+ [Cost Explorer レポートページを使用した表示、作成、更新、および削除](#example-view-ce-reports)
+ [予約およびSavings Plans アラートの表示、作成、更新、および削除](#example-view-ce-expiration)
+ [AWS コスト異常検出への読み取り専用アクセスを許可する](#example-policy-ce-ad)
+ [AWS Budgets に IAM ポリシーと SCPs の適用を許可する](#example-budgets-IAM-SCP)
+ [AWS Budgets が IAM ポリシーと SCPsし、ターゲット EC2 インスタンスと RDS インスタンスを適用できるようにする](#example-budgets-applySCP)
+ [IAM ユーザーに米国の免税の表示と サポート ケースの作成を許可する](#example-awstaxexemption)
+ [(請求先住所または連絡先住所がインドにあるお客様向け) 顧客確認情報への読み取り専用アクセスを許可する](#example-aispl-verification)
+ [(請求先住所または連絡先住所がインドにあるお客様向け) 顧客確認情報の表示、作成、更新を許可する](#example-aispl-verification-view)
+ [Billing コンソールで AWS Migration Acceleration Program 情報を表示する](#read-only-migration-acceleration-program-policy)
+ [請求コンソールで AWS 請求書設定へのアクセスを許可する](#invoice-config-policy)
## 請求情報の表示を IAM ユーザーに許可する
アカウントの機密扱い情報に対する IAM ユーザーアクセスを与えずに IAM ユーザーが請求情報を表示できるようにするには、次のサンプルポリシーのようなポリシーを使用します。このようなポリシーにより、ユーザーはパスワードおよびアカウントアクティビティレポートにアクセスできなくなります。このポリシーでは、次の請求情報とコスト管理コンソールページを表示する許可を IAM ユーザーに与えますが、**アカウント設定**コンソールページと**レポート**コンソールページに対するアクセス権は与えません。
+ **ダッシュボード**
+ **Cost Explorer**
+ **請求書**
+ **注文と請求書**
+ **一括請求**
+ **詳細設定**
+ **クレジット**
+ **前払い**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
}
]
}
```
------
## IAM ユーザーが請求情報とカーボンフットプリントレポートを表示できるようにする
IAM ユーザーが請求情報とカーボンフットプリントレポートを表示することを許可するには、次の例のようなポリシーを使用します。このポリシーにより、ユーザーはパスワードおよびアカウントアクティビティレポートにアクセスできなくなります。このポリシーでは、次の請求情報とコスト管理コンソールページを表示する許可を IAM ユーザーに与えますが、**アカウント設定**コンソールページと**レポート**コンソールページに対するアクセス権は与えません。
+ **ダッシュボード**
+ **Cost Explorer**
+ **請求書**
+ **注文と請求書**
+ **一括請求**
+ **詳細設定**
+ **クレジット**
+ **前払い**
+ ** AWS コストと使用状況レポートページの AWS Customer Carbon Footprint Tool セクション**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Allow",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## レポートコンソールページへのアクセスを IAM ユーザーに許可する
コンソールの [**Reports (レポート)**] ページにアクセスして、アカウントアクティビティ情報が含まれている使用状況レポートを表示することを IAM ユーザーに許可するには、次の例のようなポリシーを使用します。
各アクションの定義については、「[AWS 請求コンソールアクション](security_iam_id-based-policy-examples.md#user-permissions)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewUsage",
"aws-portal:ViewBilling",
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*"
}
]
}
```
------
## 請求とコスト管理コンソールへの IAM ユーザーアクセスを拒否する
すべての請求情報とコスト管理コンソールページへの IAM ユーザーアクセスを明示的に拒否するには、次の例のようなポリシーを使用します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "aws-portal:*",
"Resource": "*"
}
]
}
```
------
## メンバーアカウントの AWS コンソールのコストと使用状況ウィジェットへのアクセスを拒否する
コストと使用状況のデータへのメンバーアカウント (連結アカウント) のアクセスを制限するには、管理アカウント (支払いアカウント) を使用して Cost Explorer の設定タブにアクセスし、**[連結アカウントのアクセス]** のチェックを外します。これにより、メンバーアカウントの IAM ユーザーまたはロールが持つ IAM アクションに関係なく、Cost Explorer (AWS Cost Management) コンソール、Cost Explorer API、およびコンソールホームページのコストと AWS 使用状況ウィジェットからのコストと使用状況データへのアクセスが拒否されます。
## 特定の IAM ユーザーとロールに対する AWS コンソールのコストと使用状況ウィジェットへのアクセスを拒否する
特定の IAM ユーザーとロールの AWS コンソールのコストと使用状況ウィジェットへのアクセスを拒否するには、以下のアクセス許可ポリシーを使用します。
**注記**
このポリシーを IAM ユーザーまたはロールに追加すると、Cost Explorer (AWS コスト管理) コンソールと Cost Explorer APIsも拒否されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ce:*",
"Resource": "*"
}
]
}
```
------
## IAM ユーザーが請求情報を表示することを許可するが、カーボンフットプリントレポートへのアクセスは拒否する
Billing and Cost Management コンソールで請求情報の両方を IAM ユーザーに許可しますが、 AWS Customer Carbon Footprint Tool へのアクセスは許可しません。このツールは、 AWS コストと使用状況レポートページにあります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Deny",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## IAM ユーザーがカーボンフットプリントレポートにアクセスすることを許可するが、請求情報へのアクセスは拒否する
IAM ユーザーが AWS コストと使用状況レポートページの AWS Customer Carbon Footprint Tool にアクセスできるようにするには、 は請求情報とコスト管理コンソールで請求情報を表示するためのアクセスを拒否します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Deny",
"Action": "aws-portal:ViewBilling",
"Resource": "*"
},
{"Effect": "Allow",
"Action": "sustainability:GetCarbonFootprintSummary",
"Resource": "*"
}
]
}
```
------
## AWS サービスへのフルアクセスを許可するが、請求情報とコスト管理コンソールへの IAM ユーザーアクセスを拒否する
コンソールのすべてへの IAM ユーザーアクセスを拒否するには、次のポリシーを使用します。 AWS Identity and Access Management (IAM) へのユーザーアクセスを拒否して、請求情報とツールへのアクセスを制御するポリシーへのアクセスを防止します。
**重要**
このポリシーは、一切のアクションを許可しません。特定のアクションを許可する他のポリシーと組み合わせてこのポリシーを使用します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aws-portal:*",
"iam:*"
],
"Resource": "*"
}
]
}
```
------
## アカウント設定を除き、請求とコスト管理コンソールの表示を IAM ユーザーに許可する
このポリシーでは、すべての請求情報とコスト管理コンソールへの読み取り専用アクセスを許可します。これには、**支払い方法**および**レポート**コンソールページが含まれます。ただし、このポリシーは、**アカウント設定**ページへのアクセスを拒否します。これは、このポリシーがアカウントのパスワード、連絡先情報、およびセキュリティの質問を保護することを意味します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:View*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## 請求情報の変更を IAM ユーザーに許可する
請求情報とコスト管理コンソールのアカウント請求情報の変更を IAM ユーザーに許可するには、請求情報を表示する許可も IAM ユーザーに与える必要があります。次のポリシー例では、**一括請求**、**設定**、および**クレジット**コンソールページの変更を IAM ユーザーに許可します。さらに、次の請求情報とコスト管理コンソールページを表示する許可も IAM ユーザーに与えます。
+ **ダッシュボード**
+ **Cost Explorer**
+ **請求書**
+ **注文と請求書**
+ **前払い**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:*Billing",
"Resource": "*"
}
]
}
```
------
## アカウント設定へのアクセスは拒否するが、その他の請求および使用情報へのフルアクセスは許可する
アカウントのパスワード、連絡先情報、セキュリティの質問を保護するには、**アカウント設定**への IAM ユーザーのアクセスを拒否しますが、&AB; コンソールのその他の機能に対するフルアクセスは引き続き有効にできます。以下は、ポリシーの例です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:*Billing",
"aws-portal:*Usage",
"aws-portal:*PaymentMethods"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
```
------
## レポートを Amazon S3 バケットにデポジットする
次のポリシーでは、 AWS アカウントと Amazon S3 バケットの両方を所有している場合、Billing and Cost Management が詳細な AWS 請求書を Amazon S3 バケットに保存することを許可します。このポリシーは、IAM ユーザーではなく Amazon S3 バケットに適用する必要があります。つまり、これはリソースベースのポリシーであり、ユーザーベースのポリシーではないからです。請求書にアクセスする必要がない IAM ユーザーに対しては、バケットへの IAM ユーザーアクセスを拒否することをお勧めします。
*amzn-s3-demo-bucket1* をバケットの名前に置き換えます。
詳細については、*Amazon Simple Storage Service ユーザーガイド*の「[バケットポリシーとユーザーポリシーの使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-iam-policies.html)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": [
"s3:GetBucketAcl",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1"
},
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*"
}
]
}
```
------
## 製品と価格の検索
IAM ユーザーが AWS Price List Service API を使用できるようにするには、次のポリシーを使用してアクセスを許可します。
このポリシーは、 AWS 両方の Price List Bulk API AWS Price List Query API を使用するアクセス許可を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts",
"pricing:GetPriceListFileUrl",
"pricing:ListPriceLists"
],
"Resource": [
"*"
]
}
]
}
```
------
## コストと使用状況の表示
IAM ユーザーが AWS Cost Explorer API を使用できるようにするには、次のポリシーを使用してアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ce:*"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS リージョンの有効化と無効化
リージョンの有効化と無効化をユーザーに許可する IAM ポリシーの例については、*IAM ユーザーガイド*の[AWS「: AWS リージョンの有効化と無効化の許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws-enable-disable-regions.html)」を参照してください。
## Cost Categories の表示と管理
Cost Categories の使用、表示、および管理を IAM ユーザーに許可するには、次のポリシーを使用してアクセス権を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:GetCostAndUsage",
"ce:DescribeCostCategoryDefinition",
"ce:UpdateCostCategoryDefinition",
"ce:CreateCostCategoryDefinition",
"ce:DeleteCostCategoryDefinition",
"ce:ListCostCategoryDefinitions",
"ce:TagResource",
"ce:UntagResource",
"ce:ListTagsForResource",
"pricing:DescribeServices"
],
"Resource": "*"
}
]
}
```
------
## AWS コストと使用状況レポートの作成、表示、編集、または削除
このポリシーでは、API を使用した `sample-report` の作成、表示、編集、または削除を IAM ユーザーに許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageSampleReport",
"Effect": "Allow",
"Action": [
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "arn:aws:cur:*:123456789012:definition/sample-report"
},
{
"Sid": "DescribeReportDefs",
"Effect": "Allow",
"Action": "cur:DescribeReportDefinitions",
"Resource": "*"
}
]
}
```
------
## 発注書の表示と管理
このポリシーでは、発注書の表示と管理を IAM ユーザーに許可し、以下のポリシーを使用してアクセス権を付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"purchase-orders:*"
],
"Resource": "*"
}
]
}
```
------
## Cost Explorer 設定ページの表示と更新
このポリシーでは、**Cost Explorer 設定ページ**の表示と更新を IAM ユーザーに許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
次のポリシーでは、Cost Explorer の表示を IAM ユーザーに許可しますが、**設定**ページを表示または編集する許可は拒否します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:GetPreferences",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
次のポリシーでは、Cost Explorer の表示を IAM ユーザーに許可しますが、**設定**ページを編集する許可は拒否します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
```
------
## Cost Explorer レポートページを使用した表示、作成、更新、および削除
このポリシーでは、**Cost Explorer レポートページ**を使用した表示、作成、更新、および削除を IAM ユーザーに許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
次のポリシーでは、Cost Explorer の表示を IAM ユーザーに許可しますが、**レポート**ページを表示または編集する許可は拒否します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeReport",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
次のポリシーでは、Cost Explorer の表示を IAM ユーザーに許可しますが、**レポート**ページを編集する許可は拒否します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
```
------
## 予約およびSavings Plans アラートの表示、作成、更新、および削除
このポリシーでは、[予約の失効アラート](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ce-ris.html)および[Savings Plansアラート](https://docs.aws.amazon.com/savingsplans/latest/userguide/sp-overview.html#sp-alert)の表示、作成、更新、および削除を IAM ユーザーに許可します。予約の失効アラートまたは Savings Plans アラートを編集するには、次の 3 つのきめ細かなアクションすべてが必要です: `ce:CreateNotificationSubscription`、`ce:UpdateNotificationSubscription`、および `ce:DeleteNotificationSubscription`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
次のポリシーでは、Cost Explorer の表示を IAM ユーザーに許可しますが、**予約の失効アラート**および**Savings Plans**ページを表示または編集する許可は拒否します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeNotificationSubscription",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
次のポリシーでは、Cost Explorer の表示を IAM ユーザーに許可しますが、**予約の失効アラート**および **Savings Plans** ページを編集する許可は拒否します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
```
------
## AWS コスト異常検出への読み取り専用アクセスを許可する
IAM ユーザーに AWS コスト異常検出への読み取り専用アクセスを許可するには、次のポリシーを使用してアクセスを許可します。 `ce:ProvideAnomalyFeedback`は読み取り専用アクセスの一部としてオプションです。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ce:Get*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS Budgets に IAM ポリシーと SCPs の適用を許可する
このポリシーにより、 AWS Budgets はユーザーに代わって IAM ポリシーとサービスコントロールポリシー (SCPs) を適用できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": "*"
}
]
}
```
------
## AWS Budgets が IAM ポリシーと SCPsし、ターゲット EC2 インスタンスと RDS インスタンスを適用できるようにする
このポリシーにより、 AWS Budgets は IAM ポリシーとサービスコントロールポリシー (SCPs) を適用し、ユーザーに代わって Amazon EC2 および Amazon RDS インスタンスをターゲットにすることができます。
信頼ポリシー
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "budgets.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
アクセス権限ポリシー
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceStatus",
"ec2:StartInstances",
"ec2:StopInstances",
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"rds:DescribeDBInstances",
"rds:StartDBInstance",
"rds:StopDBInstance",
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
```
------
## IAM ユーザーに米国の免税の表示と サポート ケースの作成を許可する
このポリシーにより、IAM ユーザーは米国の免税を表示し、免税コンソールで免税証明書をアップロードする サポート ケースを作成できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:*",
"tax:GetExemptions",
"tax:UpdateExemptions",
"support:CreateCase",
"support:AddAttachmentsToSet"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
## (請求先住所または連絡先住所がインドにあるお客様向け) 顧客確認情報への読み取り専用アクセスを許可する
このポリシーでは、IAM ユーザーに顧客検証情報への読み取り専用アクセスを許可します。
各アクションの定義については、「[AWS 請求コンソールアクション](security_iam_id-based-policy-examples.md#user-permissions)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"customer-verification:GetCustomerVerificationEligibility",
"customer-verification:GetCustomerVerificationDetails"
],
"Resource": "*"
}]
}
```
------
## (請求先住所または連絡先住所がインドにあるお客様向け) 顧客確認情報の表示、作成、更新を許可する
このポリシーでは、IAM ユーザーに顧客検証情報の管理を許可します。
各アクションの定義については、「[AWS 請求コンソールアクション](security_iam_id-based-policy-examples.md#user-permissions)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"customer-verification:CreateCustomerVerificationDetails",
"customer-verification:UpdateCustomerVerificationDetails",
"customer-verification:GetCustomerVerificationEligibility",
"customer-verification:GetCustomerVerificationDetails"
],
"Resource": "*"
}]
}
```
------
## Billing コンソールで AWS Migration Acceleration Program 情報を表示する
このポリシーにより、IAM ユーザーは Billing コンソールで支払者アカウントの Migration Acceleration Program 契約、クレジット、および対象となる支出を表示できます。
各アクションの定義については、「[AWS 請求コンソールアクション](security_iam_id-based-policy-examples.md#user-permissions)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"mapcredits:ListQuarterSpend",
"mapcredits:ListQuarterCredits",
"mapcredits:ListAssociatedPrograms"
],
"Resource": "*"
}]
}
```
------
## 請求コンソールで AWS 請求書設定へのアクセスを許可する
このポリシーは、請求コンソールで IAM ユーザーに AWS 請求設定へのアクセスを許可します。
各アクションの定義については、「[AWS 請求コンソールアクション](security_iam_id-based-policy-examples.md#user-permissions)」を参照してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"invoicing:ListInvoiceUnits",
"invoicing:GetInvoiceUnit",
"invoicing:CreateInvoiceUnit",
"invoicing:UpdateInvoiceUnit",
"invoicing:DeleteInvoiceUnit",
"invoicing:BatchGetInvoiceProfile"
],
"Resource": [
"*"
]
}
]
}
```
------
# のアクセスコントロールの移行 AWS Billing
**注記**
次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。
`aws-portal` 名前空間
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
を使用している場合は AWS Organizations、[一括ポリシー移行スクリプト](migrate-iam-permissions.md)または一括ポリシー移行スクリプトを使用して、支払者アカウントからポリシーを更新できます。また、[従来のアクションから詳細なアクションへのマッピングのリファレンス](migrate-granularaccess-iam-mapping-reference.md)を使用して、追加する必要のある IAM アクションを検証することもできます。
2023 年 3 月 6 日午前 11 時 (PDT) 以降に AWS Organizations 作成された がある場合、 AWS アカウントまたは の一部である場合、きめ細かなアクションは組織で既に有効です。
きめ細かなアクセスコントロールを使用して、組織内の個人に AWS Billing and Cost Management サービスへのアクセスを提供できます。例えば、Billing and Cost Management コンソールへのアクセスを提供せずに Cost Explorer へのアクセスを提供できます。
きめ細かなアクセス制御を使用するには、ポリシーを `aws-portal` から新しい IAM アクションに移行する必要があります。
アクセス許可ポリシーまたはサービスコントロールポリシー (SCP) の次の IAM アクションは、この移行で更新する必要があります。
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
**[影響を受けたポリシー]** ツールを使用して影響を受ける IAM ポリシーを特定する方法については、「[影響を受けたポリシーツールの使用方法](migrate-security-iam-tool.md)」を参照してください。
**注記**
API アクセス AWS Cost Explorer、 AWS コストと使用状況レポート、および AWS Budgets は影響を受けません。
[請求情報とコスト管理コンソールへのアクセスをアクティベートする](control-access-billing.md#ControllingAccessWebsite-Activate) は変更しないでください。
**Topics**
+ [アクセス許可の管理](#migrate-control-access-billing)
+ [コンソールを使用してポリシーを一括移行する](migrate-granularaccess-console.md)
+ [影響を受けたポリシーツールの使用方法](migrate-security-iam-tool.md)
+ [スクリプトを使用して詳細な IAM の アクションを使用するポリシーを一括移行する](migrate-iam-permissions.md)
+ [詳細な IAM アクションのリファレンスのマッピング](migrate-granularaccess-iam-mapping-reference.md)
## アクセス許可の管理
AWS Billing は AWS Identity and Access Management (IAM) サービスと統合されるため、組織内の誰が[請求情報とコスト管理コンソール](https://console.aws.amazon.com/billing/)の特定のページにアクセスできるかを制御できます。この対象としては、支払い、請求、クレジット、無料利用枠、支払いの詳細設定、一括請求、税金設定、アカウントページなど各機能のページが含まれます。
Billing and Cost Management コンソールをきめ細かく制御するには、以下の IAM アクセス許可を使用してください。
アクセス許可を詳細に設定するには、`aws-portal` ポリシーを `account`、`billing`、`payments`、`freetier`、`invoicing`、`tax`、`consolidatedbilling` に置き換えて使用します。
加えて、`purchase-orders:ViewPurchaseOrders` および`purchase-orders:ModifyPurchaseOrders` は、`purchase-orders`、`account`、および `payments` での、きめ細かなアクションで置き換えます。
### きめ細かな AWS Billing アクションの使用
次の表では、請求の情報へのアクセスを、IAM ユーザーおよびロールに対し付与する (あるいは拒否する) ための許可をまとめています。これらのアクセス許可を使用するポリシーの例については、[AWS 請求ポリシーの例](billing-example-policies.md) を参照してください。
AWS Cost Management コンソールのアクションのリストについては、*AWS Cost Management 「 ユーザーガイド*」の[AWS Cost Management 「 アクションポリシー](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#user-permissions)」を参照してください。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html)
# コンソールを使用してポリシーを一括移行する
**注記**
次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。
`aws-portal` 名前空間
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
を使用している場合は AWS Organizations、[一括ポリシー移行スクリプト](migrate-iam-permissions.md)または一括ポリシー移行スクリプトを使用して、支払者アカウントからポリシーを更新できます。また、[従来のアクションから詳細なアクションへのマッピングのリファレンス](migrate-granularaccess-iam-mapping-reference.md)を使用して、追加する必要のある IAM アクションを検証することもできます。
2023 年 3 月 6 日午前 11 時 (PDT) 以降に AWS Organizations 作成された がある場合、 AWS アカウントまたは の一部である場合、きめ細かなアクションは組織で既に有効です。
このセクションでは、[AWS Billing and Cost Management コンソール](https://console.aws.amazon.com/billing/)を使用してレガシーポリシーを Organizations アカウントまたは標準アカウントから詳細なアクションに一括で移行する方法について説明します。コンソールを使用してレガシーポリシーの移行を完了するには、次の 2 つの方法があります。
**AWS が推奨する移行プロセスの使用**
これは、 AWSによってマッピングされた詳細なアクションにレガシーアクションを移行する、合理化された単一アクションプロセスです。詳細については、「[推奨されるアクションを使用してレガシーポリシーを一括移行する](migrate-console-streamlined.md)」を参照してください。
**カスタマイズされた移行プロセスの使用**
このプロセスにより、一括移行 AWS 前に が推奨するアクションを確認および変更したり、組織内のどのアカウントを移行するかをカスタマイズしたりできます。詳細については、「[レガシーポリシーを一括移行するためのアクションのカスタマイズ](migrate-console-customized.md)」を参照してください。
## コンソールを使用した一括移行の前提条件
どちらの移行オプションでも、 が割り当てたレガシー IAM アクションにきめ細かなアクション AWS を推奨できるように、コンソールで同意する必要があります。これを行うには、ポリシーの更新を続行するには、次の [IAM アクションを使用して IAM プリンシパル](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)として AWS アカウントにログインする必要があります。
------
#### [ Management account ]
```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced",
"aws-portal:UpdateConsoleActionSetEnforced",
"purchase-orders:UpdateConsoleActionSetEnforced",
"iam:GetAccountAuthorizationDetails",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:CreateFunction",
"lambda:InvokeFunction",
"lambda:RemovePermission",
"scheduler:GetSchedule",
"scheduler:DeleteSchedule",
"scheduler:CreateSchedule",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:CreateStackSet",
"cloudformation:CreateStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStackSets",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:ListStacks",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:CreateStack",
"cloudformation:UpdateStackInstances",
"cloudformation:UpdateStackSet",
"cloudformation:DescribeStacks",
"ec2:DescribeRegions",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"iam:GenerateOrganizationsAccessReport",
"iam:GetOrganizationsAccessReport",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"organizations:ListAccountsForParent",
"organizations:ListRoots",
"sts:AssumeRole",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:GetInlinePolicyForPermissionSet",
"sso:DescribePermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sso:ProvisionPermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```
------
#### [ Member account or standard account ]
```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced", // Not needed for member account
"aws-portal:UpdateConsoleActionSetEnforced", // Not needed for member account
"purchase-orders:UpdateConsoleActionSetEnforced", // Not needed for member account
"iam:GetAccountAuthorizationDetails",
"ec2:DescribeRegions",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```
------
**Topics**
+ [コンソールを使用した一括移行の前提条件](#migrate-granularaccess-console-prereq)
+ [推奨されるアクションを使用してレガシーポリシーを一括移行する](migrate-console-streamlined.md)
+ [レガシーポリシーを一括移行するためのアクションのカスタマイズ](migrate-console-customized.md)
+ [一括移行ポリシーの変更をロールバックする](migrate-console-rollback.md)
+ [移行の確認](#migrate-console-complete)
# 推奨されるアクションを使用してレガシーポリシーを一括移行する
AWSによってマッピングされた詳細なアクションを使用して、すべてのレガシーポリシーを移行できます。の場合 AWS Organizations、これはすべてのアカウントのすべてのレガシーポリシーに適用されます。移行プロセスを完了すると、詳細なアクションが有効になります。組織全体をコミットする前に、テストアカウントを使用して一括移行プロセスをテストすることもできます。詳細については、以下のセクションを参照してください。
**によってマッピングされたきめ細かなアクションを使用してすべてのポリシーを移行するには AWS**
1. [AWS マネジメントコンソール](https://console.aws.amazon.com/) にサインインします。
1. ページ上部の検索バーに「**Bulk Policy Migrator**」と入力します。
1. **[新しい IAM アクションの管理]** ページで、**[確認と移行]** を選択します。
1. 移行が完了するまで、**[移行中]** ページを表示したままにします。進行状況については、ステータスバーを参照してください。
1. **[移行中]** セクションが **[移行成功]** に更新されると、**[新しい IAM アクションの管理]** ページにリダイレクトされます。
## 一括移行のテスト
組織全体の移行をコミットする前に、テストアカウントを使用して、レガシーポリシーから AWS 推奨されるきめ細かなアクションへの一括移行をテストできます。テストアカウントで移行プロセスを完了すると、詳細なアクションがテストアカウントに適用されます。
**テストアカウントを一括移行に使用するには**
1. [AWS マネジメントコンソール](https://console.aws.amazon.com/) にサインインします。
1. ページ上部の検索バーに「**Bulk Policy Migrator**」と入力します。
1. **[新しい IAM アクションの管理]** ページで、**[カスタマイズ]** を選択します。
1. アカウントとポリシーが**移行アカウント**テーブルにロードされたら、アカウントのリストから 1 つ以上のテスト AWS アカウントを選択します。
1. (オプション) レガシーポリシーと AWS 推奨されるきめ細かなアクション間のマッピングを変更するには、**「デフォルトのマッピングを表示する**」を選択します。マッピングを変更し、**[保存]** を選択します。
1. **[確認と移行]** を選択します。
1. 移行が完了するまでコンソールページを表示したままにします。
# レガシーポリシーを一括移行するためのアクションのカスタマイズ
すべてのアカウントに AWS 推奨されるアクションを使用する代わりに、さまざまな方法で一括移行をカスタマイズできます。移行前にレガシーポリシーに必要な変更を確認し、一度に移行する Organizations 内の特定のアカウントを選択し、マッピングされた詳細なアクションを更新してアクセス範囲を変更するオプションがあります。
**一括移行前に影響を受けるポリシーを確認するには**
1. [AWS マネジメントコンソール](https://console.aws.amazon.com/) にサインインします。
1. ページ上部の検索バーに「**Bulk Policy Migrator**」と入力します。
1. **[新しい IAM アクションの管理]** ページで、**[カスタマイズ]** を選択します。
1. アカウントとポリシーが **[アカウントの移行]** テーブルにロードされたら、**[影響を受ける IAM ポリシーの数]** 列の番号を選択して、影響を受けるポリシーを確認します。また、そのポリシーが Billing and Cost Management コンソールへのアクセスに最後に使用された日時も表示されます。
1. ポリシー名を選択して IAM コンソールで開き、定義を表示してポリシーを手動で更新します。
**注意事項**
この操作を行うと、ポリシーが別のメンバーアカウントからのものである場合、現在のアカウントからログアウトされる可能性があります。
現在のアカウントに一括移行が進行中の場合、対応する IAM ページにリダイレクトされません。
1. (オプション) **[デフォルトのマッピングを表示する]** を選択すると、レガシーポリシーが表示され、 AWSによってマッピングされた詳細なポリシーを理解できます。
**選択したアカウントのグループを組織から移行するには**
1. [AWS マネジメントコンソール](https://console.aws.amazon.com/) にサインインします。
1. ページ上部の検索バーに「**Bulk Policy Migrator**」と入力します。
1. **[新しい IAM アクションの管理]** ページで、**[カスタマイズ]** を選択します。
1. アカウントとポリシーが **[アカウントの移行]** テーブルにロードされたら、移行する 1 つ以上のアカウントを選択します。
1. **[確認と移行]** を選択します。
1. 移行が完了するまでコンソールページを表示したままにします。
**マッピングされた詳細なアクションを更新してアクセス範囲を変更するには**
1. [AWS マネジメントコンソール](https://console.aws.amazon.com/) にサインインします。
1. ページ上部の検索バーに「**Bulk Policy Migrator**」と入力します。
1. **[新しい IAM アクションの管理]** ページで、**[カスタマイズ]** を選択します。
1. **[デフォルトのマッピングを表示する]** を選択します。
1. **[編集]** を選択します。
1. アクセスを制御する Billing and Cost Management サービスの IAM アクションを追加または削除します。詳細なアクションとそのアクションが制御するアクセスの詳細については、「[詳細な IAM アクションのリファレンスのマッピング](migrate-granularaccess-iam-mapping-reference.md)」を参照してください。
1. **[Save changes]** (変更の保存) をクリックします。
更新されたマッピングは、ログインしているアカウントからの今後すべての移行に使用されます。これはいつでも変更できます。
# 一括移行ポリシーの変更をロールバックする
一括移行ツールで提供されているステップを使用して、一括移行プロセス中に行ったすべてのポリシー変更を安全にロールバックできます。ロールバック機能はアカウントレベルで機能します。すべてのアカウント、または移行されたアカウントの特定のグループのポリシー更新をロールバックできます。ただし、アカウント内の特定のポリシーの変更をロールバックすることはできません。
**一括移行の変更をロールバックするには**
1. [AWS マネジメントコンソール](https://console.aws.amazon.com/) にサインインします。
1. ページ上部の検索バーに「**Bulk Policy Migrator**」と入力します。
1. **[新しい IAM アクションの管理]** ページで、**[変更のロールバック]** タブを選択します。
1. ロールバックするアカウントを選択します。アカウントの **[ロールバックステータス]** 列には `Migrated` と表示されている必要があります。
1. **[変更のロールバック]** ボタンを選択します。
1. ロールバックが完了するまでコンソールページを表示したままにします。
## 移行の確認
移行ツールを使用して、まだ移行する必要がある AWS Organizations アカウントがあるかどうかを確認できます。
**すべてのアカウントが移行されたかどうかを確認するには**
1. [AWS マネジメントコンソール](https://console.aws.amazon.com/) にサインインします。
1. ページ上部の検索バーに「**Bulk Policy Migrator**」と入力します。
1. **[新しい IAM アクションの管理]** ページで、**[アカウントの移行]** タブを選択します。
テーブルに移行されていないアカウントが表示されない場合、すべてのアカウントが正常に移行されました。
# 影響を受けたポリシーツールの使用方法
**注記**
次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。
`aws-portal` 名前空間
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
を使用している場合は AWS Organizations、[一括ポリシー移行スクリプト](migrate-iam-permissions.md)または一括ポリシー移行スクリプトを使用して、支払者アカウントからポリシーを更新できます。また、[従来のアクションから詳細なアクションへのマッピングのリファレンス](migrate-granularaccess-iam-mapping-reference.md)を使用して、追加する必要のある IAM アクションを検証することもできます。
2023 年 3 月 6 日午前 11 時 (PDT) 以降に AWS Organizations 作成された がある場合、 AWS アカウントまたは の一部である場合、きめ細かなアクションは組織で既に有効です。
請求コンソールの [**影響を受けたポリシー**] ツールを使用して IAM ポリシー (SCP を除く) を特定し、この移行によって影響を受ける IAM アクションを参照します。[**影響を受けたポリシー**] ツールを使用して、以下のタスクを実行します。
+ IAM ポリシーを特定し、この移行によって影響を受ける IAM アクションを参照します。
+ 更新したポリシーをクリップボードにコピーします。
+ 影響を受けたポリシーを IAM ポリシーエディターで開きます。
+ アカウントの更新したポリシーを保存します。
+ 詳細な権限を有効にして、古いアクションを無効にします。
このツールは、サインインしている AWS アカウントの境界内で動作し、他の AWS Organizations アカウントに関する情報は公開されません。
**[影響を受けたポリシー] ツールを使用するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/) で AWS Billing and Cost Management コンソールを開きます。
1. **[影響を受けたポリシー]** ツールにアクセスするには、URL ([https://console.aws.amazon.com/poliden/home?region=us-east-1#/](https://console.aws.amazon.com/poliden/home?region=us-east-1#/)) をブラウザに貼り付けます。
**注記**
`iam:GetAccountAuthorizationDetails` アクセス許可は、このページを表示するために必要です。
1. 影響を受ける IAM ポリシーが記載されている表を確認します。ポリシーで参照されている特定の IAM アクションを確認するには、**[非推奨の IAM アクション]** 列を使用してください。
1. [**更新したポリシーをコピー**] 列で [**コピー**] を選択し、更新したポリシーをクリップボードにコピーします。更新したポリシーには、既存のポリシーと、それに追加された詳細な推奨アクションが個別の `Sid` ブロックとして含まれます。このブロックには、ポリシーの末尾にプレフィックス `AffectedPoliciesMigrator` が付きます。
1. [**IAM コンソールでポリシーを編集**] 列で、[**編集**] を選択して IAM ポリシーエディターに移動します。既存のポリシーの JSON が表示されます。
1. 既存のポリシー全体を、ステップ 4 でコピーした更新済みのポリシーに置き換えます。必要に応じて他の変更を加えることができます。
1. [**次へ**]、[**変更を保存**] の順に選択します。
1. 影響を受けるすべてのポリシーについて、ステップ 3 ~ 7 を繰り返します。
1. ポリシーを更新したら、[**影響を受けたポリシー**] ツールを更新して、影響を受けたポリシーがリストにないことを確認します。すべてのポリシーの [**新しい IAM アクションが見つかりました**] 列に [**はい**] が表示され、[**コピー**] ボタンと [**編集**] ボタンは無効になります。影響を受けたポリシーが更新されます。
**アカウントで詳細なアクションを有効にするには**
ポリシーを更新したら、次の手順に従ってアカウントで詳細なアクションを有効にします。
[**新しい IAM アクションを管理**] セクションを使用できるのは、組織の管理アカウント (支払人) または個人アカウントだけです。個人アカウントは、新しいアクションを自分で有効にできます。管理アカウントは、組織全体または一部のメンバーアカウントに対して新しいアクションを有効にできます。管理アカウントの場合は、すべてのメンバーアカウントの影響を受けたポリシーを更新し、組織で新しいアクションを有効にします。詳細については、 AWS ブログ記事の「How [to toggle accounts between new fine-grained actions or existing IAM actions?](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/#How-to-toggle-accounts-between-new-fine-grained-actions-or-existing-IAM-Actions)」セクションを参照してください。
**注記**
これを実行するには、次のアクセス許可が必要です。
`aws-portal:GetConsoleActionSetEnforced`
`aws-portal:UpdateConsoleActionSetEnforced`
`ce:GetConsoleActionSetEnforced`
`ce:UpdateConsoleActionSetEnforced`
`purchase-orders:GetConsoleActionSetEnforced`
`purchase-orders:UpdateConsoleActionSetEnforced`
[**新しい IAM アクションを管理**] セクションが表示されない場合は、アカウントで詳細な IAM アクションがすでに有効になっていることを意味します。
1. [**新しい IAM アクションを管理**] では、[**強制される現在のアクションセット**] 設定は [**既存**] ステータスになります。
[**新しいアクションを有効にする (詳細)**] を選択し、[**変更を適用**] を選択します。
1. ダイアログボックスで、**[はい]** を選択します。「**強制される現在のアクションセット**] ステータスが [**詳細**] に変わります。つまり、新しいアクションがユーザーの AWS アカウント または組織に強制されます。
1. (オプション) その後、既存のポリシーを更新して、古いアクションをすべて削除できます。
**Example 例: IAM ポリシーの前と後**
次の IAM ポリシーには古い `aws-portal:ViewPaymentMethods` アクションが含まれています。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
}
]
}
```
更新したポリシーをコピーすると、次の例では詳細なアクションを含む新しい `Sid` ブロックが作成されます。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
},
{
"Sid": "AffectedPoliciesMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"invoicing:GetInvoicePDF",
"payments:GetPaymentInstrument",
"payments:GetPaymentStatus",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}
]
}
```
## 関連リソース
詳細については、「IAM ユーザーガイド」の「[Sid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html)」を参照してください。
新しい詳細アクションの詳細については、「[詳細な IAM アクションのリファレンスのマッピング](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html)」と「[きめ細かな請求アクションの使用](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html#migrate-user-permissions)」を参照してください。
# スクリプトを使用して詳細な IAM の アクションを使用するポリシーを一括移行する
**注記**
次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。
`aws-portal` 名前空間
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
を使用している場合は AWS Organizations、[一括ポリシー移行スクリプト](#migrate-iam-permissions)または一括ポリシー移行スクリプトを使用して、支払者アカウントからポリシーを更新できます。また、[従来のアクションから詳細なアクションへのマッピングのリファレンス](migrate-granularaccess-iam-mapping-reference.md)を使用して、追加する必要のある IAM アクションを検証することもできます。
2023 年 3 月 6 日午前 11 時 (PDT) 以降に AWS Organizations 作成された がある場合、 AWS アカウントまたは の一部である場合、きめ細かなアクションは組織で既に有効です。
IAM ポリシーを移行して詳細なアクションとして知られる新しいアクションを使用するために、[AWS サンプル](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles)のウェブサイトのスクリプトを使用できます。
これらのスクリプトを組織の支払いアカウントから実行して、組織内で古い IAM アクションを使用し、影響を受ける以下のポリシーを特定します。
+ カスタマーマネージド IAM ポリシー
+ ロール、グループ、ユーザーの IAM インラインポリシー
+ サービスコントロールポリシー (支払人のアカウントのみに適用)
+ 権限セット
スクリプトは、ポリシーで使用されている既存のアクションに対応する の新しいアクションの提案を生成します。提案を確認し、スクリプトを使用して組織内の影響を受けるすべてのポリシーに新しいアクションを追加します。管理ポリシーや AWS 管理 SCPs ( AWS Control Tower や AWS Organizations SCPs など) を更新 AWS する必要はありません。
これらのスクリプトは以下の目的で使用します。
+ ポリシーの更新が効率化され、影響を受けるポリシーを支払いアカウントから簡単に管理できます。
+ ポリシーの更新に必要な時間が短縮されます。各メンバーアカウントにサインインしてポリシーを手動で更新する必要はありません。
+ 複数の異なるメンバーアカウントの同一のポリシーをグループにまとめることができます。その場合、1 つずつ確認しなくても、すべての同じポリシーで同じ更新を確認することや適用することができます。
+ が 2023 年 7 月 AWS 6 日に古い IAM アクションを廃止した後も、ユーザーアクセスが影響を受けないようにしてください。
ポリシーとサービスコントロールポリシーの詳細については、 以下のトピックを参照してください。
+ 「IAM ユーザーガイド」の「[IAM ポリシーを管理する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)」
+ 「*AWS Organizations User Guide*」の「[Service control policies (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」
+ 「*IAM Identity Center User Guide*」の「[Custom permissions](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetcustom.html)」
## 概要:
このトピックに従って、次のステップを完了します。
**Topics**
+ [概要:](#overview-bulk-migrate-policies)
+ [前提条件](#prerequisites-running-the-scripts)
+ [ステップ1: 環境の構築](#set-up-your-environment-and-download-the-scripts)
+ [ステップ 2: CloudFormation スタックセットを作成する](#create-the-cloudformation-stack)
+ [ステップ 3: 影響を受けるポリシーを特定する](#identify-the-affected-policies)
+ [ステップ 4: 推奨された変更を確認する](#review-the-affected-policies)
+ [ステップ 5: 影響を受けるポリシーを更新する](#update-the-affected-policies)
+ [ステップ 6: 変更を元に戻す (オプション)](#revert-changes)
+ [IAM ポリシーの例](#examples-of-similar-policies)
## 前提条件
開始するには、以下を実行する必要があります。
+ [Python 3](https://www.python.org/downloads/) をダウンロードしてインストールします。
+ 支払いアカウントへのサインイン、および次の IAM 権限を持つ IAM プリンシパルがあることを確認します。
```
"iam:GetAccountAuthorizationDetails",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"sso:DescribePermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"sso:GetInlinePolicyForPermissionSet",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:ProvisionPermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sts:AssumeRole"
```
**ヒント**
最初に、テストアカウントなどのアカウントのサブセットを使用して、提案された変更が予期された通りに行われることを確認することをお勧めします。
その後、組織内の残りのアカウントに対してスクリプトを再度実行できます。
## ステップ1: 環境の構築
開始するには、[AWS Samples](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles) Web サイトから必要なファイルをダウンロードします。次に、コマンドを実行して環境をセットアップします。
**使用する環境をセットアップするには**
1. [AWS Samples](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles) ウェブサイトからリポジトリを複製します。コマンドラインウィンドウで、次のコマンドを実行できます。
```
git clone https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles.git
```
1. ファイルをダウンロードしたディレクトリに移動します。以下のコマンドを使用できます。
```
cd bulk-policy-migrator-scripts-for-account-cost-billing-consoles
```
リポジトリには、以下のスクリプトとリソースがあります。
+ `billing_console_policy_migrator_role.json` – `BillingConsolePolicyMigratorRole` IAM ロールを組織のメンバーアカウントに作成する CloudFormation テンプレート。スクリプトはこのロールを継承し、影響を受けるポリシーを読み取って更新することができます。
+ `action_mapping_config.json` — 古いアクションと新しいアクションの 1 対多のマッピングが含まれます。スクリプトはこのファイルを使用して、古いアクションを含み、影響を受ける各ポリシーの新しいアクションを提案します。
それぞれの古いアクションは、複数の詳細なアクションに対応しています。ファイルで提案された新しいアクションにより、ユーザーは移行 AWS のサービス 前に同じ にアクセスできます。
+ `identify_affected_policies.py` – 組織内の影響を受けるポリシーをスキャンして特定します。このスクリプトは、影響を受けるポリシーと提案された新しいアクションをリストする `affected_policies_and_suggestions.json` ファイルを生成します。
古いアクションの同じセットを使用し、影響を受けるポリシーは JSON ファイルにグループ化されるため、提案された新しいアクションを確認または更新できます。
+ `update_affected_policies.py` – 組織内の影響を受けるポリシーを更新します。スクリプトは `affected_policies_and_suggestions.json` ファイルを入力し、提案された新しいアクションをポリシーに追加します。
+ `rollback_affected_policies.py` – (オプション) 影響を受けるポリシーに加えられた変更を元に戻します。このスクリプトは、影響を受けるポリシーから新しい詳細アクションを削除します。
1. 仮想環境をセットアップして有効化するには、次のコマンドを実行します。
```
python3 -m venv venv
```
```
source venv/bin/activate
```
1. AWS SDK for Python (Boto3) 依存関係をインストールするには、次のコマンドを実行します。
```
pip install -r requirements.txt
```
**注記**
AWS Command Line Interface () を使用するように AWS 認証情報を設定する必要がありますAWS CLI。詳細については、「[AWS SDK for Python (Boto3)](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/credentials.html)」を参照してください。
詳細については、[README.md](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles#readme) ファイルを参照してください。
## ステップ 2: CloudFormation スタックセットを作成する
次の手順に従って CloudFormation *スタックセット*を作成します。このスタックセットは、組織内のすべてのメンバーアカウントの `BillingConsolePolicyMigratorRole` IAM ロールを作成します。
**注記**
このステップを完了する必要があるのは、管理アカウント (支払いアカウント) から 1 回だけです。
**CloudFormation スタックセットを作成するには**
1. テキストエディタで `billing_console_policy_migrator_role.json` ファイルを開き、*``* の各インスタンスを支払いアカウントのアカウント ID (*123456789012* など) に置き換えます。
1. ファイルを保存します。
1. 支払者アカウント AWS マネジメントコンソール として にサインインします。
1. CloudFormation コンソールで、更新した `billing_console_policy_migrator_role.json` ファイルでスタックセットを作成します。
詳細については、「 *AWS CloudFormation ユーザーガイド*[」の「 AWS CloudFormation コンソールでのスタックセットの作成](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html)」を参照してください。
CloudFormation がスタックセットを作成した後、組織内の各メンバーアカウントに `BillingConsolePolicyMigratorRole` IAM ロールが割り当てられます。
IAM ロールには以下のアクセス許可が含まれます。
```
"iam:GetAccountAuthorizationDetails",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion"
```
**注意事項**
各メンバーアカウントに対して、スクリプトは [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) API オペレーションを呼び出して、`BillingConsolePolicyMigratorRole` IAM ロールを継承するための一時的な認証情報を取得します。
スクリプトは [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html) API オペレーションを呼び出して、すべてのメンバーアカウントを取得します。
また、スクリプトは IAM API オペレーションを呼び出して、ポリシーへの読み取りアクセス許可と書き込みアクセス許可を実行します。
## ステップ 3: 影響を受けるポリシーを特定する
スタックセットを作成してファイルをダウンロードしたら、`identify_affected_policies.py` スクリプトを実行します。このスクリプトは、各メンバーアカウントの `BillingConsolePolicyMigratorRole` IAM ロールを継承し、影響を受けるポリシーを特定します。
**影響を受けるポリシーを特定するには**
1. スクリプトをダウンロードしたディレクトリに移動します。
```
cd policy_migration_scripts/scripts
```
1. `identify_affected_policies.py` スクリプトを実行します。
次の入力パラメータを使用できます。
+ AWS アカウント スクリプトでスキャンする 。アカウントを指定するには、次の入力パラメータを使用します。
+ `--all` – 組織内のすべてのメンバーアカウントをスキャンします。
```
python3 identify_affected_policies.py --all
```
+ `--accounts` – 組織内のメンバーアカウントのサブセットをスキャンします。
```
python3 identify_affected_policies.py --accounts 111122223333, 444455556666, 777788889999
```
+ `--exclude-accounts` – 組織内の特定のメンバーアカウントを除外します。
```
python3 identify_affected_policies.py --all --exclude-accounts 111111111111, 222222222222, 333333333333
```
+ ` –-action-mapping-config-file` – (オプション) `action_mapping_config.json` ファイルへのパスを指定します。スクリプトは、このファイルを使用して影響を受けるポリシーの推奨される更新を生成します。パスを指定しない場合、スクリプトはフォルダー内の `action_mapping_config.json` ファイルを使用します。
```
python3 identify_affected_policies.py –-action-mapping-config-file c:\Users\username\Desktop\Scripts\action_mapping_config.json –-all
```
**注記**
このスクリプトで組織単位 (OU) を指定することはできません。
スクリプトを実行すると、`Affected_Policies_` フォルダーに 2 つの JSON ファイルが作成されます。
+ `affected_policies_and_suggestions.json`
+ `detailed_affected_policies.json`
**`affected_policies_and_suggestions.json`**
影響を受けるポリシーと推奨される新しいアクションを一覧表示します。古いアクションの同じセットを使用し、影響を受けるポリシーは、ファイルにグループ化されます。
このファイルには次のセクションが含まれます。
+ スクリプトで指定したアカウントの概要を提供するメタデータ。これには以下が含まれます。
+ スキャンされたアカウントと `identify_affected_policies.py` スクリプトで使用された入力パラメータ
+ 影響を受けるアカウントの数
+ 影響を受けるポリシーの数
+ 類似ポリシーグループの数
+ 類似ポリシーグループ — アカウントのリストとポリシーの詳細 (次のセクションを含む) が含まれます。
+ `ImpactedPolicies` – 影響を受けるポリシーとグループに含めるポリシーを指定します
+ `ImpactedPolicyStatements` – 影響を受けるポリシー内で古いアクションを現在使用している `Sid` ブロックに関する情報を提供します。このセクションには古いアクションと IAM 要素 (`Effect`、`Principal`、`NotPrincipal`、`NotAction`、`Condition` など) が含まれます。
+ `SuggestedPolicyStatementsToAppend` – 新しい `SID` ブロックとして追加される新しい推奨アクションを提供します。
ポリシーを更新すると、このブロックがポリシーの最後に追加されます。
**Example `affected_policies_and_suggestions.json` ファイルの例**
このファイルには、以下の基準に基づいて類似するポリシーがグループ化されています。
+ 同じ古いアクションが使用されている — すべての `SID` ブロックに同じ古いアクションがあるポリシー。
+ マッチングの詳細 — 影響を受けるアクションに加えて、ポリシーには次のような同一の IAM 要素があります。
+ `Effect` (`Allow`/`Deny`)
+ `Principal` (アクセスを許可または拒否されるユーザー)
+ `NotAction` (許可されていないアクション)
+ `NotPrincipal` (アクセスが明示的に拒否されるユーザー)
+ `Resource` (ポリシーが適用される AWS リソース)
+ `Condition` (ポリシーが適用される特定の条件)
詳細については、「[IAM ポリシーの例](#examples-of-similar-policies)」を参照してください。
**Example `affected_policies_and_suggestions.json` の例**
```
[{
"AccountsScanned": [
"111111111111",
"222222222222"
],
"TotalAffectedAccounts": 2,
"TotalAffectedPolicies": 2,
"TotalSimilarPolicyGroups": 2
},
{
"GroupName": "Group1",
"ImpactedPolicies": [{
"Account": "111111111111",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-Allow",
"PolicyIdentifier": "1111111_1-user:Inline-Test-Policy-Allow"
},
{
"Account": "222222222222",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-Allow",
"PolicyIdentifier": "222222_1-group:Inline-Test-Policy-Allow"
}
],
"ImpactedPolicyStatements": [
[{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccounts"
],
"Resource": "*"
}]
],
"SuggestedPolicyStatementsToAppend": [{
"Sid": "BillingConsolePolicyMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"account:GetAlternateContact",
"account:GetChallengeQuestions",
"account:GetContactInformation",
"billing:GetContractInformation",
"billing:GetIAMAccessPreference",
"billing:GetSellerOfRecord",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}]
},
{
"GroupName": "Group2",
"ImpactedPolicies": [{
"Account": "111111111111",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-deny",
"PolicyIdentifier": "1111111_2-user:Inline-Test-Policy-deny"
},
{
"Account": "222222222222",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-deny",
"PolicyIdentifier": "222222_2-group:Inline-Test-Policy-deny"
}
],
"ImpactedPolicyStatements": [
[{
"Sid": "VisualEditor0",
"Effect": "deny",
"Action": [
"aws-portal:ModifyAccount"
],
"Resource": "*"
}]
],
"SuggestedPolicyStatementsToAppend": [{
"Sid": "BillingConsolePolicyMigrator1",
"Effect": "Deny",
"Action": [
"account:CloseAccount",
"account:DeleteAlternateContact",
"account:PutAlternateContact",
"account:PutChallengeQuestions",
"account:PutContactInformation",
"billing:PutContractInformation",
"billing:UpdateIAMAccessPreference",
"payments:UpdatePaymentPreferences"
],
"Resource": "*"
}]
}
]
```
**`detailed_affected_policies.json`**
メンバーアカウントに対して `identify_affected_policies.py` スクリプトが識別した影響を受けるすべてのアカウントの定義が含まれます。
ファイルには類似するポリシーがグループ化されています。このファイルを参照として使用すると、各メンバーアカウントにサインインして各ポリシーとアカウントの更新をここに確認する必要なく、ポリシーの変更を確認および管理できます。
ファイルでポリシー名 (`YourCustomerManagedReadOnlyAccessBillingUser` など) を検索して、影響を受けるポリシー定義を確認できます。
**Example 例: `detailed_affected_policies.json`**
## ステップ 4: 推奨された変更を確認する
スクリプトによって作成された `affected_policies_and_suggestions.json` ファイルを確認して変更を加えます。
**影響を受けるポリシーを確認するには**
1. テキストエディタで、`affected_policies_and_suggestions.json` ファイルを開きます。
1. `AccountsScanned` セクションで、スキャンされたアカウント全体で識別された類似グループの数が予期されることを確認します。
1. 影響を受けるポリシーに追加される推奨詳細アクションを確認します。
1. 必要に応じてファイルを更新して保存します。
### 例 1: `action_mapping_config.json` ファイルを更新する
`action_mapping_config.json` の推奨マッピングは更新できます。ファイルを更新した後、`identify_affected_policies.py` スクリプトを再実行します。このスクリプトは、絵協を受けるポリシーの更新された候補を生成します。
`action_mapping_config.json` ファイルの複数のバージョンを作成して、さまざまなアクセス許可を持つさまざまなアカウントのポリシーを変更できます。例えば、テストアカウントのアクセス許可を移行する `action_mapping_config_testing.json` という名前のファイルを作成し、本番稼働用アカウント用の `action_mapping_config_production.json` を作成します。
### 例 2: `affected_policies_and_suggestions.json` ファイルを更新する
`affected_policies_and_suggestions.json` ファイル内の推奨される変更セクションを直接編集して、影響を受ける特定のポリシーグループの推奨される変更を変更できます。
このセクションで行った変更は、影響を受ける特定のポリシーグループ内のすべてのポリシーに適用されます。
### 例 3: 特定のポリシーをカスタマイズする
影響を受けるポリシーグループ内のポリシーで、推奨される更新とは異なる変更が必要であることがわかった場合は、次のことを行うことができます。
+ `identify_affected_policies.py` スクリプトから特定のアカウントを除外します。その後、除外されたアカウントを個別に確認できます。
+ 別のアクセス許可が必要な影響を受けるポリシーとアカウントを削除することによって、影響を受ける `Sid` ブロックを更新します。特定のアカウントのみを含む JSON ブロック、または現在の更新の影響を受けるポリシー実行から除外する JSON ブロックを作成します。
`identify_affected_policies.py` スクリプトを再実行すると、更新されたブロックに関連アカウントのみが表示されます。その後、その特定の `Sid` ブロックに推奨される変更を絞り込むことができます。
## ステップ 5: 影響を受けるポリシーを更新する
推奨される変更を確認して修正した後、`update_affected_policies.py` スクリプトを実行します。スクリプトは入力として `affected_policies_and_suggestions.json` ファイルを取ります。このスクリプトは、`affected_policies_and_suggestions.json` ファイルにリストされている影響を受けるポリシーを更新する `BillingConsolePolicyMigratorRole` IAM ロールを継承します。
**影響を受けるポリシーを更新するには**
1. まだ開いていない場合は、 AWS CLI のコマンドラインウィンドウを開きます。
1. 次のコマンドを入力して `update_affected_policies.py` スクリプトを実行します。次の入力パラメータを入力できます。
+ 更新対象となる影響を受けるポリシーのリストを含む `affected_policies_and_suggestions.json` ファイルのディレクトリパス。このファイルは前のステップの出力です。
```
python3 update_affected_policies.py --affected-policies-directory Affected_Policies_
```
`update_affected_policies.py` スクリプトは、`affected_policies_and_suggestions.json` ファイル内の影響を受けるポリシーを推奨される新しいアクションで更新します。スクリプトは `BillingConsolePolicyMigrator#` として識別されるポリシーに `Sid` ブロックを追加します。ここで、*\$1* は増分カウンタ (1、2、3 など) に対応します。
例えば、古いアクションを使用し、影響を受けるポリシー内に複数の `Sid` ブロックがある場合、スクリプトは、各 `Sid` ブロックに対応する複数の `Sid` ブロック (`BillingConsolePolicyMigrator#` として表示) を追加します。
**重要**
このスクリプトは、ポリシーから古い IAM アクションを削除することや、ポリシー内の既存の `Sid` ブロックを変更することはありません。代わりに、`Sid` ブロックを作成してポリシーの最後に追加します。これらの新しい `Sid` ブロックには、JSON ファイルの推奨される新しいアクションが含まれています。元のポリシーのアクセス許可は変更されません。
変更を元に戻す必要がある場合に備えて、`BillingConsolePolicyMigrator#` `Sid` ブロックの名前を変更しないことを推奨します。
**Example 例: `Sid` ブロックが追加されたポリシー**
`BillingConsolePolicyMigrator1` ブロックと `BillingConsolePolicyMigrator2` ブロックに追加された `Sid` ブロックを確認します。
スクリプトは、失敗したオペレーションを含むステータスレポートを生成し、JSON ファイルをローカルに出力します。
**Example 例: ステータスレポート**
```
[{
"Account": "111111111111",
"PolicyType": "Customer Managed Policy"
"PolicyName": "AwsPortalViewPaymentMethods",
"PolicyIdentifier": "identifier",
"Status": "FAILURE", // FAILURE or SKIPPED
"ErrorMessage": "Error message details"
}]
```
**重要**
`identify_affected_policies.py` スクリプトと `update_affected_policies.py` スクリプトを再実行すると、`BillingConsolePolicyMigratorRole#``Sid` ブロックを含むすべてのポリシーがスキップされます。スクリプトでは、これらのポリシーが以前にスキャンおよび更新されていること、および追加の更新は必要ないことが想定されています。これにより、スクリプトがポリシー内の同じアクションを複製することが防止されます。
影響を受けるポリシーを更新した後、影響を受けるポリシーツールを使用して新しい IAM を使用できます。問題が見つかった場合は、ツールを使用して前のアクションに戻すことができます。スクリプトを使用してポリシーの更新を元に戻すこともできます。
詳細については、[影響を受けたポリシーツールの使用方法](migrate-security-iam-tool.md)「」および[AWS 「請求、コスト管理、アカウントコンソールのアクセス許可の変更](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/)」ブログ記事を参照してください。
更新を管理するには、次の方法があります。
各アカウントにスクリプトを個別に実行します。
類似アカウント (テストアカウント、QA アカウント、本番稼働用アカウントなど) にスクリプトをバッチで実行します。
すべてのアカウントにスクリプトを実行します。
一部のアカウントをバッチで更新し、その他のアカウントを個々に更新します。
## ステップ 6: 変更を元に戻す (オプション)
`rollback_affected_policies.py` スクリプトは、指定されたアカウントに関して影響を受ける各ポリシーに適用された変更を元に戻します。スクリプトは、`update_affected_policies.py` スクリプトが追加したすべての `Sid` ブロックを削除します。これらの `Sid` ブロックは `BillingConsolePolicyMigratorRole#` の形式です。
**変更を元に戻すには**
1. まだ開いていない場合は、 AWS CLI のコマンドラインウィンドウを開きます。
1. 次のコマンドを入力して `rollback_affected_policies.py` スクリプトを実行します。次の入力パラメータを入力できます。
+ `--accounts`
+ ロールバックに含める AWS アカウント IDs のカンマ区切りリストを指定します。
+ 次の の例では、指定された のポリシーをスキャンし AWS アカウント、 `BillingConsolePolicyMigrator#``Sid`ブロックを含むステートメントを削除します。
```
python3 rollback_affected_policies.py –-accounts 111122223333, 555555555555, 666666666666
```
+ `--all`
+ 組織内の AWS アカウント IDsが含まれます。
+ 次の例では、組織内のすべてのポリシーがスキャンされ、`BillingConsolePolicyMigratorRole#` `Sid` ブロックを含むすべてのステートメントが削除されます。
```
python3 rollback_affected_policies.py –-all
```
+ `--exclude-accounts`
+ ロールバックから除外する AWS アカウント IDs のカンマ区切りリストを指定します。
このパラメータは、`--all` パラメータも指定する場合にのみ使用できます。
+ 次の の例では、指定されたアカウントを除き、組織 AWS アカウント 内のすべての のポリシーをスキャンします。
```
python3 rollback_affected_policies.py --all --exclude-accounts 777777777777, 888888888888, 999999999999
```
## IAM ポリシーの例
ポリシーは、以下が同一の場合に類似しているとみなされます。
+ すべての `Sid` ブロックで影響を受けるアクション。
+ 以下の IAM 要素の詳細:
+ `Effect` (`Allow`/`Deny`)
+ `Principal` (アクセスを許可または拒否されるユーザー)
+ `NotAction` (許可されていないアクション)
+ `NotPrincipal` (アクセスが明示的に拒否されるユーザー)
+ `Resource` (ポリシーが適用される AWS リソース)
+ `Condition` (ポリシーが適用される特定の条件)
以下の例は、IAM が相違点に基づいて類似していると見なす可能性があるポリシー、またはそうでないポリシーを示しています。
**Example 例 1: ポリシーが類似していると見なされる場合**
各ポリシータイプは異なりますが、どちらのポリシーにも影響を受ける同じ`Action` を含む 1 つの `Sid` ブロックがあります。
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
**Example 例 2: ポリシーが類似していると見なされる場合**
どちらのポリシーにも、影響を受ける同じ `Action` を含む 1 つの `Sid` ブロックが含まれます。ポリシー 2 には追加のアクションが含まれていますが、これらのアクションは影響を受けません。
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing",
"athena:*"
],
"Resource": "*"
}]
}
```
**Example 例 3: ポリシーが類似していると見なされない場合**
どちらのポリシーにも、影響を受ける同じ `Action` を含む 1 つの `Sid` ブロックが含まれます。ただし、Policy 2 には Policy 1 に存在しない `Condition` 要素が含まれています。
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing",
"athena:*"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "true"
}
}
}]
}
```
**Example 例 4: ポリシーが類似していると見なされる場合**
Policy 1 には、影響を受ける `Sid` を含む 1 つの `Action` ブロックがあります。Policy 2 には複数の `Sid` ブロックがありますが、影響を受ける `Action` は 1 つのブロックにしかありません。
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"cloudtrail:Get*"
],
"Resource": "*"
}
]
}
```
**Example 例 5: ポリシーが類似していると見なされない場合**
Policy 1 には、影響を受ける `Sid` を含む 1 つの `Action` ブロックがあります。Policy 2 には複数の `Sid` ブロックがあり、影響を受ける `Action` は複数のブロックにあります。
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*"
],
"Resource": "*"
}
]
}
```
**Example 例 6: ポリシーが類似していると見なされる場合**
どちらのポリシーにも複数の `Sid` ブロックがあり、各 `Sid` ブロックに影響を受ける同じ `Action` があります。
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"iam:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"iam:Update*"
],
"Resource": "*"
}
]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"athena:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"athena:Update*"
],
"Resource": "*"
}
]
}
```
**Example 例 7**
次の 2 つのポリシーは、類似していると見なされません。
Policy 1 には、影響を受ける `Sid` を含む 1 つの `Action` ブロックがあります。Policy 2 には、影響を受ける同じ `Action` を含む 1 つの `Sid` ブロックがあります。ただし、Policy 2 にはアクションが異なる別の `Sid` ブロックも含まれます。
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"iam:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"iam:Update*"
],
"Resource": "*"
}
]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"athena:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:*Billing",
"athena:Update*"
],
"Resource": "*"
}
]
}
```
# 詳細な IAM アクションのリファレンスのマッピング
**注記**
次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。
`aws-portal` 名前空間
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
を使用している場合は AWS Organizations、[一括ポリシー移行スクリプト](migrate-iam-permissions.md)または一括ポリシー移行スクリプトを使用して、支払者アカウントからポリシーを更新できます。また、[従来のアクションから詳細なアクションへのマッピングのリファレンス](#migrate-granularaccess-iam-mapping-reference)を使用して、追加する必要のある IAM アクションを検証することもできます。
2023 年 3 月 6 日午前 11 時 (PDT) 以降に AWS Organizations 作成された がある場合、 AWS アカウントまたは の一部である場合、きめ細かなアクションは組織で既に有効です。
アクセス許可ポリシーまたはサービスコントロールポリシー (SCP) で次の IAM アクションを移行する必要があります。
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
このトピックを使用して、廃止される各 IAM アクションの古いアクションと新しいアクションのマッピングを詳細に表示できます。
**概要:**
1. 該当する IAM ポリシーを AWS アカウントで確認してください。そのためには、影響を受ける IAM ポリシーを特定する **[影響を受けるポリシー]** ツールの手順に従ってください。「[影響を受けたポリシーツールの使用方法](migrate-security-iam-tool.md)」を参照してください。
1. IAM コンソールを使用して、新しい詳細なアクセス許可をポリシーに追加します。例えば、ポリシーで `purchase-orders:ModifyPurchaseOrders` アクセス許可が付与されている場合は、[purchase-orders:ModifyPurchaseOrders のマッピング](#mapping-for-purchase-ordersmodifypurchaseorders) テーブルに各アクションを追加する必要があります。
**古いポリシー**
以下のポリシーでは、ユーザーはアカウント内の発注書を追加、削除、または変更できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "purchase-orders:ModifyPurchaseOrders",
"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
}
]
}
```
------
**新しいポリシー**
以下のポリシーでも、ユーザーはアカウント内の発注書を追加、削除、または変更できます。詳細なアクセス許可はそれぞれ、古い `purchase-orders:ModifyPurchaseOrders` アクセス許可の後に表示されます。これらのアクセス許可により、許可または拒否するアクションをより細かく制御できます。
**ヒント**
移行が完了するまではアクセス許可を失わないように、古いアクセス許可をそのままにしておくことをお勧めします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"purchase-orders:ModifyPurchaseOrders",
"purchase-orders:AddPurchaseOrder",
"purchase-orders:DeletePurchaseOrder",
"purchase-orders:UpdatePurchaseOrder",
"purchase-orders:UpdatePurchaseOrderStatus"
],
"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
}
]
}
```
------
1. 変更内容を保存します。
**注意事項**
IAM コンソールでポリシーを手動で編集するには、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーを編集する (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console)」を参照してください。
詳細なアクション (新しいアクション) を使用するように IAM ポリシーを一括移行する場合は、「[スクリプトを使用して詳細な IAM の アクションを使用するポリシーを一括移行する](migrate-iam-permissions.md)」を参照してください。
**Contents**
+ [aws-portal:ViewAccount のマッピング](#mapping-for-aws-portalviewaccount)
+ [aws-portal:ViewBilling のマッピング](#mapping-for-aws-portalviewbilling)
+ [aws-portal:ViewPaymentMethods のマッピング](#mapping-for-aws-portalviewpaymentmethods)
+ [aws-portal:ViewUsage のマッピング](#mapping-for-aws-portalviewusage)
+ [aws-portal:ModifyAccount のマッピング](#mapping-for-aws-portalmodifyaccount)
+ [aws-portal:ModifyBilling のマッピング](#mapping-for-aws-portalmodifybilling)
+ [aws-portal:ModifyPaymentMethods のマッピング](#mapping-for-aws-portalmodifypaymentmethods)
+ [purchase-orders:ViewPurchaseOrders のマッピング](#mapping-for-purchase-ordersviewpurchaseorders)
+ [purchase-orders:ModifyPurchaseOrders のマッピング](#mapping-for-purchase-ordersmodifypurchaseorders)
## aws-portal:ViewAccount のマッピング
| 新しい アクション | 説明 | アクセスレベル |
| --- | --- | --- |
| account:GetAccountInformation | アカウントのアカウント情報を取得するアクセス許可を付与 | 読み取り |
| account:GetAlternateContact | アカウントの代替連絡先を取得するためのアクセス許可を付与する | 読み取り |
| account:GetContactInformation | アカウントの主な連絡先情報を取得する許可を付与 | 読み取り |
| billing:GetContractInformation | 契約番号、エンドユーザーの組織名、発注書番号、アカウントが公共機関の顧客へのサービスに使用されているかどうかなど、アカウントの契約情報を表示するアクセス許可を付与する | 読み取り |
| billing:GetIAMAccessPreference | 請求設定の [IAM アクセス許可を付与する] 状態を取得するアクセス許可を付与する | 読み取り |
| billing:GetSellerOfRecord | アカウントのデフォルトの登録販売者を取得するアクセス許可を付与する | 読み取り |
| payments:ListPaymentPreferences | 支払い設定 (優先支払い通貨、優先支払い方法など) を取得するアクセス許可を付与する | 読み取り |
## aws-portal:ViewBilling のマッピング
| 新しい アクション | 説明 | アクセスレベル |
| --- | --- | --- |
| account:GetAccountInformation | アカウントのアカウント情報を取得するアクセス許可を付与 | 読み取り |
| billing:GetBillingData | 請求情報に関するクエリを実行するアクセス許可を付与 | 読み取り |
| billing:GetBillingDetails | 詳細な項目の請求情報を表示するアクセス許可を付与 | 読み取り |
| billing:GetBillingNotifications | アカウントの請求情報 AWS に関連して によって送信された通知を表示するアクセス許可を付与します | 読み取り |
| billing:GetBillingPreferences | リザーブドインスタンス、Savings Plans、クレジット共有などの請求設定を表示するアクセス許可を付与する | 読み取り |
| billing:GetContractInformation | 契約番号、エンドユーザーの組織名、発注書番号、アカウントが公共機関の顧客へのサービスに使用されているかどうかなど、アカウントの契約情報を表示するアクセス許可を付与する | 読み取り |
| billing:GetCredits | 引き換えられたクレジットを表示するアクセス許可を付与 | 読み取り |
| billing:GetIAMAccessPreference | 請求設定の [IAM アクセス許可を付与する] 状態を取得するアクセス許可を付与する | 読み取り |
| billing:GetSellerOfRecord | アカウントのデフォルトの登録販売者を取得するアクセス許可を付与する | 読み取り |
| billing:ListBillingViews | プロフォーマ請求グループの請求情報を取得するアクセス許可を付与 | リスト |
| ce:DescribeNotificationSubscription | 予約の有効期限アラートを表示する許可を付与する | 読み取り |
| ce:DescribeReport | Cost Explorer の [レポート] ページを表示する許可を付与する | 読み取り |
| ce:GetAnomalies | 異常を取得する許可を付与 | 読み取り |
| ce:GetAnomalyMonitors | 異常モニターをクエリする許可を付与する | 読み取り |
| ce:GetAnomalySubscriptions | 異常サブスクリプションをクエリする許可を付与する | 読み取り |
| ce:GetCostAndUsage | アカウントのコストと利用状況のメトリクスを取得する許可を付与 | 読み取り |
| ce:GetCostAndUsageWithResources | アカウントのリソースを使用してコストと利用状況のメトリクスを取得する許可を付与 | 読み取り |
| ce:GetCostCategories | 指定した期間のコストカテゴリーの名前と値をクエリする許可を付与する | 読み取り |
| ce:GetCostForecast | 予測期間のコスト予測を取得する許可を付与 | 読み取り |
| ce:GetDimensionValues | 一定期間にわたってフィルタに使用可能なすべてのフィルタの値を取得する許可を付与 | 読み取り |
| ce:GetPreferences | Cost Explorer の設定ページを表示する許可を付与する | 読み取り |
| ce:GetReservationCoverage | アカウントの予約のカバレッジを取得する許可を付与 | 読み取り |
| ce:GetReservationPurchaseRecommendation | アカウントの予約の推奨事項を取得する許可を付与 | 読み取り |
| ce:GetReservationUtilization | アカウントの予約率を取得する許可を付与 | 読み取り |
| ce:GetRightsizingRecommendation | アカウントの適切なサイズ設定に関する推奨事項を取得する許可を付与 | 読み取り |
| ce:GetSavingsPlansCoverage | アカウントの Savings Plans のカバレッジを取得する許可を付与 | 読み取り |
| ce:GetSavingsPlansPurchaseRecommendation | アカウントの Savings Plans に関する推奨事項を取得する許可を付与 | 読み取り |
| ce:GetSavingsPlansUtilization | アカウントの Savings Plans 使用率を取得する許可を付与 | 読み取り |
| ce:GetSavingsPlansUtilizationDetails | アカウントの Savings Plans 使用率の詳細を取得する許可を付与 | 読み取り |
| ce:GetTags | 指定された期間のタグを照会する許可を付与 | 読み取り |
| ce:GetUsageForecast | 予測期間の使用状況予測を取得する許可を付与 | 読み取り |
| ce:ListCostAllocationTags | コスト配分タグを一覧表示する許可を付与する | リスト |
| ce:ListSavingsPlansPurchaseRecommendationGeneration | 過去のレコメンデーション生成のリストを取得する許可を付与 | 読み取り |
| consolidatedbilling:GetAccountBillingRole | アカウントロール (支払人、リンク付け、レギュラー) を取得するアクセス許可を付与する | 読み取り |
| consolidatedbilling:ListLinkedAccounts | メンバーおよび連結アカウントのリストを取得するアクセス許可を付与する | リスト |
| cur:GetClassicReport | 請求書の CSV レポートを取得するアクセス許可を付与する | 読み取り |
| cur:GetClassicReportPreferences | 使用状況レポートのクラシックレポート有効化ステータスを取得するアクセス許可を付与する | 読み取り |
| cur:ValidateReportDestination | CUR 配信の適切なアクセス許可を持つ Amazon S3 AWS バケットが存在するかどうかを検証するアクセス許可を付与します | 読み取り |
| freetier:GetFreeTierAlertPreference | (E メールアドレスで) AWS 無料利用枠 アラート設定を取得するアクセス許可を付与します | 読み取り |
| freetier:GetFreeTierUsage | AWS 無料利用枠 使用制限とmonth-to-date (MTD) 使用状況を取得するアクセス許可を付与します | 読み取り |
| invoicing:GetInvoiceEmailDeliveryPreferences | 請求書の E メール配信設定を取得するアクセス許可を付与する | 読み取り |
| invoicing:GetInvoicePDF | 請求書 PDF を取得するアクセス許可を付与する | 読み取り |
| invoicing:ListInvoiceSummaries | アカウントまたは連結アカウントの請求書概要情報を取得するアクセス許可を付与する | リスト |
| payments:GetPaymentInstrument | 支払い方法に関する情報を取得するアクセス許可を付与 | 読み取り |
| payments:GetPaymentStatus | 請求書の支払い状況を取得するアクセス許可を付与 | 読み取り |
| payments:ListPaymentPreferences | 支払い設定 (優先支払い通貨、優先支払い方法など) を取得するアクセス許可を付与する | 読み取り |
| tax:GetTaxInheritance | 税継承ステータスを表示するアクセス許可を付与 | 読み取り |
| tax:GetTaxRegistrationDocument | 税登録ドキュメントをダウンロードするアクセス許可を付与 | 読み取り |
| tax:ListTaxRegistrations | 納税登録を表示するアクセス許可を付与する | 読み取り |
## aws-portal:ViewPaymentMethods のマッピング
| 新しい アクション | 説明 | アクセスレベル |
| --- | --- | --- |
| account:GetAccountInformation | アカウントのアカウント情報を取得するアクセス許可を付与 | 読み取り |
| invoicing:GetInvoicePDF | 請求書 PDF を取得するアクセス許可を付与する | 読み取り |
| payments:GetPaymentInstrument | 支払い方法に関する情報を取得するアクセス許可を付与 | 読み取り |
| payments:GetPaymentStatus | 請求書の支払い状況を取得するアクセス許可を付与 | 読み取り |
| payments:ListPaymentPreferences | 支払い設定 (優先支払い通貨、優先支払い方法など) を取得するアクセス許可を付与する | リスト |
## aws-portal:ViewUsage のマッピング
| 新しい アクション | 説明 | アクセスレベル |
| --- | --- | --- |
| cur:GetUsageReport | 使用状況レポートワークフローのリスト AWS のサービス、使用タイプ、およびオペレーションを取得し、使用状況レポートをダウンロードするアクセス許可を付与します | 読み取り |
## aws-portal:ModifyAccount のマッピング
| 新しい アクション | 説明 | アクセスレベル |
| --- | --- | --- |
| account:CloseAccount | アカウント情報を閉じるアクセス許可を付与 | 書き込み |
| account:DeleteAlternateContact | アカウントの代替連絡先を削除するためのアクセス許可を付与する | 書き込み |
| account:PutAlternateContact | アカウントの代替連絡先を変更するためのアクセス許可を付与する | 書き込み |
| account:PutChallengeQuestions | アカウントのチャレンジ質問を取変更するアクセス許可を付与 | 書き込み |
| account:PutContactInformation | アカウントの主な連絡先情報を更新する許可を付与 | 書き込み |
| billing:PutContractInformation | アカウントの契約情報、エンドユーザーの組織名、およびアカウントが公共部門の顧客にサービスを提供するために使用されるかどうかを設定するアクセス許可を付与 | 書き込み |
| billing:UpdateIAMAccessPreference | 請求設定の [IAM アクセス許可を付与する] 状態を更新するアクセス許可を付与する | 書き込み |
| payments:UpdatePaymentPreferences | 支払い設定 (優先支払い通貨、優先支払い方法など) を取得するアクセス許可を付与 | 書き込み |
## aws-portal:ModifyBilling のマッピング
| 新しい アクション | 説明 | アクセスレベル |
| --- | --- | --- |
| billing:PutContractInformation | アカウントの契約情報、エンドユーザーの組織名、およびアカウントが公共部門の顧客にサービスを提供するために使用されるかどうかを設定するアクセス許可を付与 | 書き込み |
| billing:RedeemCredits | AWS クレジットを引き換える許可を付与 | 書き込み |
| billing:UpdateBillingPreferences | リザーブドインスタンス、Savings Plans、クレジット共有などの請求設定を更新するアクセス許可を付与する | 書き込み |
| ce:CreateAnomalyMonitor | 新しい異常モニターを作成する許可を付与する | 書き込み |
| ce:CreateAnomalySubscription | 新しい異常サブスクリプションを作成する許可を付与する | 書き込み |
| ce:CreateNotificationSubscription | 予約期限切れのアラートを作成する許可を付与する | 書き込み |
| ce:CreateReport | Cost Explorer レポートを作成する許可を付与する | 書き込み |
| ce:DeleteAnomalyMonitor | 異常モニターを削除する許可を付与する | 書き込み |
| ce:DeleteAnomalySubscription | 異常サブスクリプションを削除する許可を付与する | 書き込み |
| ce:DeleteNotificationSubscription | 予約の有効期限アラートを削除する許可を付与する | 書き込み |
| ce:DeleteReport | Cost Explorer レポートを削除する許可を付与する | 書き込み |
| ce:ProvideAnomalyFeedback | 検出された異常に関するフィードバックを提供する許可を付与 | 書き込み |
| ce:StartSavingsPlansPurchaseRecommendationGeneration | Savings Plans のレコメンデーション生成をリクエストする許可を付与 | 書き込み |
| ce:UpdateAnomalyMonitor | 既存の異常モニターを更新する許可を付与する | 書き込み |
| ce:UpdateAnomalySubscription | 既存の異常サブスクリプションを更新する許可を付与する | 書き込み |
| ce:UpdateCostAllocationTagsStatus | 既存のコスト配分タグのステータスを更新する許可を付与する | 書き込み |
| ce:UpdateNotificationSubscription | 予約の有効期限アラートを更新する許可を付与する | 書き込み |
| ce:UpdatePreferences | Cost Explorer の設定ページを編集する許可を付与する | 書き込み |
| cur:PutClassicReportPreferences | クラシックレポートを有効にするアクセス許可を付与 | 書き込み |
| freetier:PutFreeTierAlertPreference | (E メールアドレスで) AWS 無料利用枠 アラート設定を設定するアクセス許可を付与します | 書き込み |
| invoicing:PutInvoiceEmailDeliveryPreferences | 請求書の E メール配信設定を取得するアクセス許可を付与する | 書き込み |
| payments:CreatePaymentInstrument | 支払い方法を作成するアクセス許可を付与 | 書き込み |
| payments:DeletePaymentInstrument | 支払い方法を削除するアクセス許可を付与 | 書き込み |
| payments:MakePayment | 支払い、支払いの認証、支払い方法の検証、および Advance Pay の資金請求書類の作成を行うアクセス許可を付与 | 書き込み |
| payments:UpdatePaymentPreferences | 支払い設定 (優先支払い通貨、優先支払い方法など) を取得するアクセス許可を付与 | 書き込み |
| tax:BatchPutTaxRegistration | 税登録をバッチ更新するアクセス許可を付与 | 書き込み |
| tax:DeleteTaxRegistration | 税登録データを削除するアクセス許可を付与 | 書き込み |
| tax:PutTaxInheritance | 税継承を設定するアクセス許可を付与 | 書き込み |
## aws-portal:ModifyPaymentMethods のマッピング
| 新しい アクション | 説明 | アクセスレベル |
| --- | --- | --- |
| account:GetAccountInformation | アカウントのアカウント情報を取得するアクセス許可を付与 | 読み取り |
| payments:DeletePaymentInstrument | 支払い方法を削除するアクセス許可を付与 | 書き込み |
| payments:CreatePaymentInstrument | 支払い方法を作成するアクセス許可を付与 | 書き込み |
| payments:MakePayment | 支払い、支払いの認証、支払い方法の検証、および Advance Pay の資金請求書類の作成を行うアクセス許可を付与 | 書き込み |
| payments:UpdatePaymentPreferences | 支払い設定 (優先支払い通貨、優先支払い方法など) を取得するアクセス許可を付与 | 書き込み |
## purchase-orders:ViewPurchaseOrders のマッピング
| 新しい アクション | 説明 | アクセスレベル |
| --- | --- | --- |
| invoicing:GetInvoicePDF | 請求書 PDF を取得するアクセス許可を付与する | Get |
| payments:ListPaymentPreferences | 支払い設定 (優先支払い通貨、優先支払い方法など) を取得するアクセス許可を付与する | リスト |
| purchase-orders:GetPurchaseOrder | 発注書を取得する許可を付与 | 読み取り |
| purchase-orders:ListPurchaseOrderInvoices | 発詳細および詳細を表示するアクセス許可を付与 | リスト |
| purchase-orders:ListPurchaseOrders | すべての使用可能な発注書を取得する許可を付与 | リスト |
## purchase-orders:ModifyPurchaseOrders のマッピング
| 新しい アクション | 説明 | アクセスレベル |
| --- | --- | --- |
| purchase-orders:AddPurchaseOrder | 発注書を追加する許可を付与する | 書き込み |
| purchase-orders:DeletePurchaseOrder | 発注書を削除する許可を付与する | 書き込み |
| purchase-orders:UpdatePurchaseOrder | 既存の発注書を更新する許可を付与 | 書き込み |
| purchase-orders:UpdatePurchaseOrderStatus | 発注書のステータスを設定する許可を付与 | 書き込み |
# AWS マネージドポリシー
管理ポリシーは、 AWS アカウントの複数のユーザー、グループ、ロールにアタッチできるスタンドアロンのアイデンティティベースのポリシーです。 AWS マネージドポリシーを使用して、請求でのアクセスを制御できます。
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されています。 AWS 管理ポリシーを使用すると、ポリシーを自分で記述する必要があったよりも、ユーザー、グループ、ロールに適切なアクセス許可を簡単に割り当てることができます。
AWS 管理ポリシーで定義されているアクセス許可を変更することはできません。 AWS は、 AWS 管理ポリシーで定義されているアクセス許可を更新することがあります。行われた更新は、ポリシーがアタッチされているすべてのプリンシパルエンティティ (ユーザー、グループ、ロール) に影響します。
請求では、一般的なユースケース向けに複数の AWS 管理ポリシーが用意されています。
**Topics**
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html)](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html)](#security-iam-awsmanpol-AWSBillingReadOnlyAccess)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html)](#security-iam-awsmanpol-Billing)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html)](#security-iam-awsmanpol-AWSAccountActivityAccess)
+ [[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html)](#security-iam-awsmanpol-AWSPriceListServiceFullAccess)
+ [Billing の AWS マネージドポリシーの更新 AWS](#security-iam-awsmanpol-updates)
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html)
このマネージドポリシーは、Billing and Cost Management コンソールと発注書コンソールへのフルアクセスを許可します。このポリシーにより、ユーザーはアカウントの発注書を表示、作成、更新、削除できます。
このポリシーの許可を確認するには、「*AWS Managed Policy Reference*」の「[AWSPurchaseOrdersServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPurchaseOrdersServiceRolePolicy.html)」を参照してください。
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html)
このマネージドポリシーは、 AWS Billing and Cost Management コンソールの機能に対する読み取り専用アクセスをユーザーに付与します。
### アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
+ `account` – AWS アカウントに関する情報を取得します。
+ `aws-portal` – Billing and Cost Management コンソールページに対する全体的な閲覧許可をユーザーに付与します。
+ `billing` – AWS 請求設定、アクティブな契約、適用されるクレジットまたは割引、IAM 設定、登録販売者、請求レポートのリストなど、請求情報への包括的なアクセスを取得します。
+ `budgets` – AWS Budgets 機能に設定されたアクションに関する情報を取得します。
+ `ce` – コストと使用状況の情報、タグ、ディメンション値を取得して AWS Cost Explorer 機能を表示します。
+ `consolidatedbilling` – 一括請求 (コンソリデーティッドビリング) 機能を使用して設定された AWS アカウント に関するロールと詳細情報を取得します。
+ `cur` – AWS Cost and Usage Report データに関する情報を取得します。
+ `freetier` – AWS 無料利用枠 アラートと使用状況の設定に関する情報を取得します。
+ `invoicing` – 請求書設定に関する情報を取得します。
+ `mapcredits` – Migration Acceleration Program (MAP) 2.0 契約に関連する支出とクレジットを取得します。
+ `payments` – 融資、支払いステータス、支払い方法情報を取得します。
+ `purchase-orders` – 発注書に関連付けられた請求書に関する情報を取得します。
+ `sustainability` – AWS 使用状況に基づいてカーボンフットプリント情報を取得します。
+ `tax` – 税金設定から登録済みの税金情報を取得します。
このポリシーの許可を確認するには、「*AWS Managed Policy Reference*」の「[AWSBillingReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBillingReadOnlyAccess.html)」を参照してください。
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html)
この管理ポリシーは、 AWS Billing and Cost Management コンソールを表示および編集するアクセス許可をユーザーに付与します。これには、アカウントの使用状況の閲覧、予算および支払い方法の修正が含まれます。
このポリシーの許可を確認するには、「*AWS Managed Policy Reference*」の「[Billing](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Billing.html)」を参照してください。
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html)
このマネージドポリシーは、**[アカウントアクティビティ]** を閲覧するアクセス許可をユーザーに付与します。
このポリシーの許可を確認するには、「*AWS Managed Policy Reference*」の「[AWSAccountActivityAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAccountActivityAccess.html)」を参照してください。
## [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html)
この管理ポリシーは、ユーザーに AWS Price List Service へのフルアクセスを付与します。
このポリシーの許可を確認するには、「*AWS Managed Policy Reference*」の「[AWSPriceListServiceFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPriceListServiceFullAccess.html)」を参照してください。
## Billing の AWS マネージドポリシーの更新 AWS
このサービスがこれらの変更の追跡を開始してからの AWS Billing の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、 AWS 請求ドキュメント履歴ページの RSS フィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [Billing](#security-iam-awsmanpol-Billing) および [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – 既存ポリシーの更新 | 次の請求許可を `Billing` に追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/managed-policies.html) 次の請求許可を `AWSBillingReadOnlyAccess` に追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2025 年 11 月 19 日 |
| [Billing](#security-iam-awsmanpol-Billing) および [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – 既存ポリシーの更新 | 次の請求許可を `Billing` に追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/managed-policies.html) 次の請求許可を `AWSBillingReadOnlyAccess` に追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2025 年 10 月 1 日 |
| [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – 既存ポリシーの更新 | 次のアクセス許可を`AWSBillingReadOnlyAccess`に追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2025 年 8 月 21 日 |
| [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – 既存ポリシーの更新 | に次の AWS 無料利用枠 アクセス許可を追加しました`AWSBillingReadOnlyAccess`。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2025 年 7 月 9 日 |
| [Billing](#security-iam-awsmanpol-Billing) および [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – 既存ポリシーの更新 | 次のMAP 2.0 許可を `Billing` と `AWSBillingReadOnlyAccess` に追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2025 年 3 月 27 日 |
| [Billing](#security-iam-awsmanpol-Billing) - 既存ポリシーの更新 | 次の請求許可を `Billing` に追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2025 年 1 月 17 日 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy)、[Billing](#security-iam-awsmanpol-Billing)、[AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – 既存のポリシーの更新 | 次の請求許可を `AWSPurchaseOrdersServiceRolePolicy` に追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/managed-policies.html) 次の請求許可を `AWSBillingReadOnlyAccess` に追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/managed-policies.html) 次の請求許可を `Billing` に追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2024 年 12 月 1 日 |
| [Billing](#security-iam-awsmanpol-Billing) および [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – 既存ポリシーの更新 | 次の支払い許可を `Billing` に追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/managed-policies.html) 次の支払い許可を `AWSBillingReadOnlyAccess` に追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2024 年 11 月 12 日 |
| [AWSPriceListServiceFullAccess](#security-iam-awsmanpol-AWSPriceListServiceFullAccess) – ポリシーの更新 | AWS Price List Service の `AWSPriceListServiceFullAccess` ポリシーに関するドキュメントを追加しました。このポリシーは、2017 年に初めて導入されました。既存のポリシーに対して `Sid": "AWSPriceListServiceFullAccess` を更新しました。 | 2024 年 7 月 2 日 |
| [Billing](#security-iam-awsmanpol-Billing) および [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – 既存ポリシーの更新 | 次のコスト配分タグ関連の権限を `Billing` に追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/managed-policies.html) 次のタグ関連の権限を `AWSBillingReadOnlyAccess` に追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2024 年 5 月 31 日 |
| [Billing](#security-iam-awsmanpol-Billing) および [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – 既存ポリシーの更新 | 次のコスト配分タグ関連の権限を `Billing` に追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/managed-policies.html) 次のコスト配分タグ関連の権限 `AWSBillingReadOnlyAccess` に追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2024 年 3 月 25 日 |
| [Billing](#security-iam-awsmanpol-Billing) および [AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – 既存ポリシーの更新 | 次のコスト配分タグ関連の権限を `Billing` に追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/managed-policies.html) 次のコスト配分タグ関連の権限 `AWSBillingReadOnlyAccess` に追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2023 年 7 月 26 日 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy)、[Billing](#security-iam-awsmanpol-Billing)、[AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – 既存のポリシーの更新 | 次の発注書タグ関連の権限を `Billing` および `AWSPurchaseOrdersServiceRolePolicy` に追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/managed-policies.html) 次のタグ関連の権限を `AWSBillingReadOnlyAccess` に追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/managed-policies.html) | 2023 年 7 月 17 日 |
| [AWSPurchaseOrdersServiceRolePolicy](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy)、[Billing](#security-iam-awsmanpol-Billing)、[AWSBillingReadOnlyAccess](#security-iam-awsmanpol-AWSBillingReadOnlyAccess) – 既存のポリシーの更新 [AWSAccountActivityAccess](#security-iam-awsmanpol-AWSAccountActivityAccess) – AWS Billing 用に文書化された新しい AWS 管理ポリシー | 更新済みのアクションセットをすべてのポリシーに追加 | 2023 年 3 月 6 日 |
| [AWSPurchaseOrdersServiceRolePolicy - 既存のポリシーの更新](#security-iam-awsmanpol-AWSPurchaseOrdersServiceRolePolicy) | AWS 請求で不要なアクセス許可が削除されました。 | 2021 年 11 月 18 日 |
| AWS 請求が変更の追跡を開始しました | AWS 請求は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2021 年 11 月 18 日 |
# AWS 請求 ID とアクセスのトラブルシューティング
次の情報は、Billing と IAM の使用に伴って発生する可能性がある一般的な問題の診断や修復に役立ちます。
**Topics**
+ [Billing でアクションを実行する権限がない](#security_iam_troubleshoot-no-permissions)
+ [iam:PassRole を実行する権限がない](#security_iam_troubleshoot-passrole)
+ [アクセスキーを表示したい](#security_iam_troubleshoot-access-keys)
+ [管理者として Billing へのアクセスを他のユーザーに許可する](#security_iam_troubleshoot-admin-delegate)
+ [自分の 以外のユーザーに請求リソース AWS アカウント へのアクセスを許可したい](#security_iam_troubleshoot-cross-account-access)
## Billing でアクションを実行する権限がない
にアクションを実行する権限がないと AWS マネジメントコンソール 通知された場合は、管理者に連絡してサポートを依頼する必要があります。サインイン資格情報を提供した担当者が管理者です。
以下のエラー例は、`mateojackson` ユーザーがコンソールを使用して架空の `my-example-widget` リソースに関する詳細情報を表示しようとしているが、架空の `billing:GetWidget` 許可がないという場合に発生します。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: billing:GetWidget on resource: my-example-widget
```
この場合、Mateo は、`billing:GetWidget` アクションを使用して `my-example-widget` リソースにアクセスできるように、管理者にポリシーの更新を依頼します。
## iam:PassRole を実行する権限がない
`iam:PassRole` アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して Billing にロールを渡すことができるようにする必要があります。
一部の AWS のサービス では、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、そのサービスに既存のロールを渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。
以下の例のエラーは、`marymajor` という IAM ユーザーがコンソールを使用して Billing でアクションを実行しようする場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与されたアクセス許可が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
この場合、Mary のポリシーを更新してメアリーに `iam:PassRole` アクションの実行を許可する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。
## アクセスキーを表示したい
IAM ユーザーアクセスキーを作成した後は、いつでもアクセスキー ID を表示できます。ただし、シークレットアクセスキーを再表示することはできません。シークレットアクセスキーを紛失した場合は、新しいアクセスキーペアを作成する必要があります。
アクセスキーは、アクセスキー ID (例: `AKIAIOSFODNN7EXAMPLE`) とシークレットアクセスキー (例: `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`) の 2 つで構成されています。ユーザー名とパスワードと同様に、リクエストを認証するために、アクセスキー ID とシークレットアクセスキーの両方を使用する必要があります。ユーザー名とパスワードと同様に、アクセスキーは安全に管理してください。
**重要**
[正規のユーザー ID を確認する](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId)ためであっても、アクセスキーを第三者に提供しないでください。これにより、 への永続的なアクセス権をユーザーに付与できます AWS アカウント。
アクセスキーペアを作成する場合、アクセスキー ID とシークレットアクセスキーを安全な場所に保存するように求めるプロンプトが表示されます。このシークレットアクセスキーは、作成時にのみ使用できます。シークレットアクセスキーを紛失した場合、IAM ユーザーに新規アクセスキーを追加する必要があります。アクセスキーは最大 2 つまで持つことができます。既に 2 つある場合は、新規キーペアを作成する前に、いずれかを削除する必要があります。手順を表示するには、IAM ユーザーガイドの「[アクセスキーの管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey)」を参照してください。
## 管理者として Billing へのアクセスを他のユーザーに許可する
Billing へのアクセスを他のユーザーに許可するには、アクセスが必要なユーザーまたはアプリケーションにアクセス許可を付与する必要があります。 AWS IAM アイデンティティセンター を使用してユーザーとアプリケーションの管理を行う場合は、アクセスレベルを定義するアクセス許可セットをユーザーまたはグループに割り当てます。アクセス許可セットは、ユーザーまたはアプリケーションに関連付けられている IAM ロールに自動的に IAM ポリシーを作成して割り当てます。詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セット](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)」を参照してください。
IAM Identity Center を使用していない場合は、アクセスを必要としているユーザーまたはアプリケーションの IAM エンティティ (ユーザーまたはロール) を作成する必要があります。次に、そのエンティティに Billing での適切なアクセス許可を付与するポリシーをアタッチする必要があります。アクセス許可が付与されたら、ユーザーまたはアプリケーション開発者に認証情報を提供します。これらの認証情報を使用して AWSにアクセスします。IAM ユーザー、グループ、ポリシー、アクセス許可の作成の詳細については、「*IAM ユーザーガイド*」の「[IAM アイデンティティ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)」と「[IAM のポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)」を参照してください。
## 自分の 以外のユーザーに請求リソース AWS アカウント へのアクセスを許可したい
他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください:
+ Billing がこれらの機能をサポートするかどうかについては、「[Billing と IAM の AWS 連携方法](security_iam_service-with-iam.md)」を参照してください。
+ 所有 AWS アカウント している のリソースへのアクセスを提供する方法については、IAM *ユーザーガイド*の[「所有 AWS アカウント している別の の IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。
+ リソースへのアクセスをサードパーティーに提供する方法については AWS アカウント、*IAM ユーザーガイド*の[「サードパーティーが所有する へのアクセスを提供する AWS アカウント](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド* の [外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、*IAM ユーザーガイド* の [IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。