翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# コスト異常検出のアクセス制御
コスト異常モニターと異常サブスクリプションには、リソースレベルのアクセス制御と属性ベースのアクセス制御 (ABAC) タグを使用できます。異常モニターと異常サブスクリプションリソースには、それぞれ一意の Amazon リソースネーム (ARN) があります。各機能にタグ (キーバリューペア) をアタッチすることもできます。 AWS アカウント内のユーザーロール、またはグループにきめ細かなアクセス制御を提供するために、リソース ARN と ABAC タグの両方を使用することができます。
リソースレベルのアクセス制御とABAC (属性ベースのアクセス制御) タグの詳細については、「[AWS コスト管理と IAM の連携方法](security_iam_service-with-iam.md)」を参照してください。
**注記**
コスト異常検出では、リソースベースのポリシーはサポートされていません。リソースベースのポリシーは、 AWS リソースに直接アタッチされます。ポリシーと許可の違いに関する詳細については、「*IAM ユーザーガイド*」の「[アイデンティティベースおよびリソースベースのポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)」を参照してください。
## リソースレベルのポリシーを使用したアクセスの制御
リソースレベルのアクセス許可を使用して、IAM ポリシーで 1 つ、もしくは複数のコスト異常検出リソースへのアクセスを許可または拒否できます。または、リソースレベルのアクセス許可を使用して、すべてのコスト異常検出リソースへのアクセスを許可または拒否します。
IAM を作成する際は、次の Amazon リソースネーム (ARN) 形式を使用します。
+ `AnomalyMonitor` リソース ARN
`arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}`
+ `AnomalySubscription` リソース ARN
`arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}`
IAM エンティティが異常モニターまたは異常サブスクリプションを取得および作成できるようにするには、このサンプルポリシーと同様のポリシーを使用します。
**注記**
`ce:GetAnomalyMonitor` と `ce:GetAnomalySubscription` の場合、ユーザーにはリソースレベルのアクセス制御のすべてがあるか、まったくないかのどちらかになります。これには、ポリシーが汎用 ARN を `arn:${partition}:ce::${account-id}:anomalymonitor/*`、`arn:${partition}:ce::${account-id}:anomalysubscription/*`、または `*` の形式で使用することが必要になります。
`ce:CreateAnomalyMonitor` と `ce:CreateAnomalySubscription` の場合、このリソースのリソース ARN はありません。そのため、ポリシーは常に前の箇条書きで示した汎用 ARN を使用します。
`ce:GetAnomalies` の場合、オプションの `monitorArn` パラメータを使用します。これをこのパラメータとともに使用するときは、渡された `monitorArn` にユーザーがアクセスできるかどうかを確認します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ce:GetAnomalyMonitors",
"ce:CreateAnomalyMonitor"
],
"Effect": "Allow",
"Resource": "arn:aws:ce::999999999999:anomalymonitor/*"
},
{
"Action": [
"ce:GetAnomalySubscriptions",
"ce:CreateAnomalySubscription"
],
"Effect": "Allow",
"Resource": "arn:aws:ce::999999999999:anomalysubscription/*"
}
]
}
```
------
IAM エンティティが異常モニターを更新または削除できるようにするには、このサンプルポリシーと同様のポリシーを使用します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ce:UpdateAnomalyMonitor",
"ce:DeleteAnomalyMonitor"
],
"Resource": [
"arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000",
"arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001"
]
}
]
}
```
------
## タグ (ABAC) を使用したアクセスの制御
タグ (ABAC) を使用して、タグ付けをサポートするコスト異常検出リソースへのアクセスを制御できます。タグを使用してアクセスを制御するには、ポリシーの `Condition` 要素でタグ情報を提供します。その後、リソースのタグに基づいて、そのリソースへのアクセスを許可または拒否する IAM ポリシーを作成できます。タグ条件キーを使用して、リソース、リクエスト、または認可プロセスの任意の部分へのアクセスを制御できます。タグを使用する IAM ロールの詳細については、**IAM ユーザーガイドの[タグを使用したユーザーおよびロールへのアクセスとそのユーザーおよびロールのアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html)を参照してください。
異常モニターの更新を許可する ID ベースのポリシーを作成します。モニタータグ `Owner` にユーザー名の値がある場合、このポリシーの例と同様のポリシーを使用してください。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ce:UpdateAnomalyMonitor"
],
"Resource": "arn:aws:ce::*:anomalymonitor/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
},
{
"Effect": "Allow",
"Action": "ce:GetAnomalyMonitors",
"Resource": "*"
}
]
}
```
------