翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS コスト管理ポリシーの例
このトピックには、アカウントの請求情報とツールへのアクセスを制御するために IAM ロールまたはグループに適用できるポリシーの例が含まれています。以下の基本ルールは、請求情報とコスト管理の IAM ポリシーに適用されます。
-
Version は常に 2012-10-17 です。
-
Effect は常に Allow または Deny です。
-
Action はアクションまたはワイルドカード (*) の名前です。
アクションプレフィックスは、 AWS 予算budgets、cur AWS コストと使用状況レポート、aws-portal AWS 請求、または Cost Explorer ce用です。
-
Resource は常に AWS 請求*用です。
budget リソースで実行されるアクションの場合、予算の Amazon リソースネーム (ARN) を指定します。
-
1 つのポリシーで複数のステートメントを使用できます。
請求コンソールのポリシー例の一覧については、「Billing User Guide」の「Billing policy examples」を参照してください。
請求情報とコスト管理コンソールへのユーザーアクセスを拒否する
すべての請求情報とコスト管理コンソールページへのユーザーアクセスを明示的に拒否するには、次の例のようなポリシーを使用します。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "aws-portal:*",
"Resource": "*"
}
]
}
コストと使用状況のデータへのメンバーアカウント (連結アカウント) のアクセスを制限するには、管理アカウント (支払いアカウント) を使用して Cost Explorer の設定タブにアクセスし、[連結アカウントのアクセス] のチェックを外します。これにより、メンバーアカウントのユーザーまたはロールが持つ IAM アクションに関係なく、Cost Explorer (AWS コスト管理) コンソール、Cost Explorer API、コンソールホームページのコストと AWS 使用状況ウィジェットからのコストと使用状況データへのアクセスが拒否されます。
特定のユーザーとロールに対する AWS コンソールのコストと使用状況ウィジェットへのアクセスを拒否する
特定のユーザーとロールの AWS コンソールのコストと使用状況ウィジェットへのアクセスを拒否するには、以下のアクセス許可ポリシーを使用します。
このポリシーをユーザーまたはロールに追加すると、Cost Explorer (AWS コスト管理) コンソールと Cost Explorer APIsも拒否されます。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ce:*",
"Resource": "*"
}
]
}
AWS サービスへのフルアクセスを許可するが、請求情報とコスト管理コンソールへのユーザーのアクセスを拒否する
請求情報とコスト管理コンソールのすべてへのユーザーアクセスを拒否するには、次のポリシーを使用します。この場合、ユーザーが請求情報とツールへのアクセスを制御するポリシーにアクセスできないように、 AWS Identity and Access Management (IAM) へのユーザーアクセスも拒否する必要があります。
このポリシーは、一切のアクションを許可しません。特定のアクションを許可する他のポリシーと組み合わせてこのポリシーを使用します。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aws-portal:*",
"iam:*"
],
"Resource": "*"
}
]
}
アカウント設定を除き、請求情報とコスト管理コンソールの表示をユーザーに許可する
このポリシーは、Billing and Cost Management コンソールへの読み取り専用アクセスを許可します。これには、[支払い方法] と [レポート] コンソールページが含まれますが、[アカウント設定] ページへのアクセスは拒否され、アカウントのパスワード、連絡先情報、およびセキュリティに関する質問が保護されます。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:View*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
請求情報の変更をユーザーに許可する
請求情報とコスト管理コンソールのアカウント請求情報の変更をユーザーに許可するには、請求情報を表示する許可もユーザーに与える必要があります。次のポリシー例では、一括請求、設定、およびクレジットコンソールページの変更をユーザーに許可します。さらに、次の請求情報とコスト管理コンソールページを表示する許可もユーザーに与えます。
-
ダッシュボード
-
Cost Explorer
-
請求書
-
注文と請求書
-
前払い
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "aws-portal:*Billing",
"Resource": "*"
}
]
}
ユーザーに予算の作成を許可する
請求情報とコスト管理コンソールでの予算の作成をユーザーに許可するには、請求情報の表示、CloudWatch アラームの作成、および Amazon SNS 通知の作成をユーザーに許可する必要があります。次のポリシー例では、ユーザーに [予算] コンソールページの変更を許可します。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1435216493000",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"aws-portal:ModifyBilling",
"budgets:ViewBudget",
"budgets:ModifyBudget"
],
"Resource": [
"*"
]
},
{
"Sid": "Stmt1435216514000",
"Effect": "Allow",
"Action": [
"cloudwatch:*"
],
"Resource": [
"*"
]
},
{
"Sid": "Stmt1435216552000",
"Effect": "Allow",
"Action": [
"sns:*"
],
"Resource": [
"arn:aws:sns:us-east-1::"
]
}
]
}
アカウント設定へのアクセスは拒否するが、その他の請求および使用情報へのフルアクセスは許可する
アカウントのパスワード、連絡先情報、秘密の質問を保護するには、ユーザーに対して [アカウント設定] へのアクセスを拒否する一方で、請求情報およびコスト管理コンソールの残りの機能に対するフルアクセスを許可します。次に例を示します。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:*Billing",
"aws-portal:*Usage",
"aws-portal:*PaymentMethods"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
レポートを Amazon S3 バケットにデポジットする
次のポリシーでは、 AWS アカウントと Amazon S3 バケットの両方を所有している限り、Billing and Cost Management が詳細な AWS 請求書を Amazon S3 バケットに保存することを許可します。このポリシーは、ユーザーではなく Amazon S3 バケットに適用する必要があります。つまり、これはリソースベースのポリシーであり、ユーザーベースのポリシーではありません。請求書にアクセスする必要がないユーザーに対しては、バケットへのユーザーアクセスを拒否する必要があります。
bucketname を実際のバケット名に置き換えます。
詳細については、「Amazon Simple Storage Service ユーザーガイド」のバケットポリシーとユーザーポリシーの使用についてのページを参照してください。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": [
"s3:GetBucketAcl",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::bucketname"
},
{
"Effect": "Allow",
"Principal": {
"Service": "billingreports.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::bucketname/*"
}
]
}
コストと使用状況の表示
ユーザーに AWS Cost Explorer API の使用を許可するには、次のポリシーを使用してアクセスを許可します。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ce:*"
],
"Resource": [
"*"
]
}
]
}
AWS リージョンの有効化と無効化
ユーザーにリージョンの有効化と無効化を許可する IAM ポリシーの例については、IAM ユーザーガイドのAWS「: AWS リージョンの有効化と無効化を許可する」を参照してください。
Cost Explorer 設定ページの表示と更新
このポリシーでは、Cost Explorer 設定ページの表示と更新をユーザーに許可します。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
次のポリシーでは、Cost Explorer の表示をユーザーに許可しますが、設定ページを表示または編集する許可は拒否します。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:GetPreferences",
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
次のポリシーでは、Cost Explorer の表示をユーザーに許可しますが、設定ページを編集する許可は拒否します。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:UpdatePreferences"
],
"Resource": "*"
}
]
}
Cost Explorer レポートページを使用した表示、作成、更新、および削除
このポリシーでは、Cost Explorer レポートページを使用した表示、作成、更新、および削除をユーザーに許可します。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
次のポリシーでは、Cost Explorer の表示をユーザーに許可しますが、レポートページを表示または編集する許可は拒否します。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeReport",
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
次のポリシーでは、Cost Explorer の表示をユーザーに許可しますが、レポートページを編集する許可は拒否します。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action":
"ce:CreateReport",
"ce:UpdateReport",
"ce:DeleteReport"
],
"Resource": "*"
}
]
}
予約および Savings Plans アラートの表示、作成、更新、および削除
このポリシーでは、予約の失効アラートおよびSavings Plansアラートの表示、作成、更新、および削除をユーザーに許可します。予約の失効アラートまたは Savings Plans アラートを編集するには、次の 3 つのきめ細かなアクションすべてが必要です: ce:CreateNotificationSubscription、ce:UpdateNotificationSubscription、および ce:DeleteNotificationSubscription。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
次のポリシーでは、Cost Explorer の表示をユーザーに許可しますが、予約の失効アラートおよびSavings Plans アラートページを表示または編集する許可は拒否します。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:DescribeNotificationSubscription",
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
次のポリシーでは、Cost Explorer の表示をユーザーに許可しますが、予約の失効アラートおよび Savings Plans アラートページを編集する許可は拒否します。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewBilling"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"ce:CreateNotificationSubscription",
"ce:UpdateNotificationSubscription",
"ce:DeleteNotificationSubscription"
],
"Resource": "*"
}
]
}
AWS コスト異常検出への読み取り専用アクセスを許可する
AWS コスト異常検出への読み取り専用アクセスをユーザーに許可するには、次のポリシーを使用してアクセスを許可します。 ce:ProvideAnomalyFeedbackは読み取り専用アクセスの一部としてオプションです。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ce:Get*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
AWS Budgets に IAM ポリシーと SCPs の適用を許可する
このポリシーにより、 AWS Budgets はユーザーに代わって IAM ポリシーとサービスコントロールポリシー (SCPs) を適用できます。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": "*"
}
]
}
AWS Budgets が IAM ポリシーと SCPsし、ターゲット EC2 インスタンスと RDS インスタンスを適用できるようにする
このポリシーにより、 AWS Budgets は IAM ポリシーとサービスコントロールポリシー (SCPs) を適用し、ユーザーに代わって Amazon EC2 および Amazon RDS インスタンスをターゲットにすることができます。
信頼ポリシー
この信頼ポリシーにより、 AWS Budgets はユーザーに代わって他の サービスを呼び出すことができるロールを引き受けることができます。このようなクロスサービス許可のベストプラクティスの詳細については、「サービス間での不分別な代理処理の防止」を参照してください。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "budgets.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:budgets::123456789012:budget/*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
]
}
アクセス許可ポリシー
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceStatus",
"ec2:StartInstances",
"ec2:StopInstances",
"iam:AttachGroupPolicy",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DetachGroupPolicy",
"iam:DetachRolePolicy",
"iam:DetachUserPolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"rds:DescribeDBInstances",
"rds:StartDBInstance",
"rds:StopDBInstance",
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
料金計算ツールでワークロード見積もりの作成、一覧表示、使用状況の追加をユーザーに許可する
このポリシーにより、IAM ユーザーは、Cost Explorer データをクエリしてコストと使用状況の履歴データを取得するためのアクセス許可とともに、ワークロードの見積もりの作成、一覧表示、使用状況の追加を行うことができます。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "WorkloadEstimate",
"Effect": "Allow",
"Action": [
"ce:GetCostCategories",
"ce:GetDimensionValues",
"ce:GetCostAndUsage",
"ce:GetTags",
"bcm-pricing-calculator:GetWorkloadEstimate",
"bcm-pricing-calculator:ListWorkloadEstimateUsage",
"bcm-pricing-calculator:CreateWorkloadEstimate",
"bcm-pricing-calculator:ListWorkloadEstimates",
"bcm-pricing-calculator:CreateWorkloadEstimateUsage",
"bcm-pricing-calculator:UpdateWorkloadEstimateUsage"
],
"Resource": "*"
}
]
}
料金計算ツールで請求シナリオの作成、一覧表示、使用量とコミットメントの追加をユーザーに許可する
このポリシーにより、IAM ユーザーは請求シナリオに対して使用量とコミットメントを作成、一覧表示、追加できます。Cost Explorer のアクセス許可は追加されないため、履歴データをロードすることはできません。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "BillScenario",
"Effect": "Allow",
"Action": [
"bcm-pricing-calculator:CreateBillScenario",
"bcm-pricing-calculator:GetBillScenario",
"bcm-pricing-calculator:ListBillScenarios",
"bcm-pricing-calculator:CreateBillScenarioUsageModification",
"bcm-pricing-calculator:UpdateBillScenarioUsageModification",
"bcm-pricing-calculator:ListBillScenarioUsageModifications",
"bcm-pricing-calculator:ListBillScenarioCommitmentModifications"
],
"Resource": "*"
}
]
}
料金計算ツールで請求見積りの作成をユーザーに許可する
このポリシーにより、IAM ユーザーは請求見積りを作成し、請求見積り明細項目を一覧表示できます。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "BillEstimate",
"Effect": "Allow",
"Action": [
"bcm-pricing-calculator:CreateBillEstimate",
"bcm-pricing-calculator:GetBillEstimate",
"bcm-pricing-calculator:UpdateBillEstimate",
"bcm-pricing-calculator:ListBillEstimates",
"bcm-pricing-calculator:ListBillEstimateLineItems",
"bcm-pricing-calculator:ListBillEstimateCommitments",
"bcm-pricing-calculator:ListBillEstimateInputUsageModifications",
"bcm-pricing-calculator:ListBillEstimateInputCommitmentModifications"
],
"Resource": "*"
}
]
}
料金計算ツールで設定の作成をユーザーに許可する
このポリシーにより、IAM ユーザーはレート設定を作成して取得できます。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "RatePreferences",
"Effect": "Allow",
"Action": [
"bcm-pricing-calculator:GetPreferences",
"bcm-pricing-calculator:UpdatePreferences"
],
"Resource": "*"
}
]
}
カスタム請求ビューの作成、管理、共有をユーザーに許可する
このポリシーにより、IAM ユーザーはカスタム請求ビューを作成、管理、共有できます。Billing View を使用してカスタム請求ビューを作成および管理し、Resource Access Manager (AWS RAM) を使用して AWS リソース共有を作成および関連付ける機能が必要です。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"billing:CreateBillingView",
"billing:UpdateBillingView",
"billing:DeleteBillingView",
"billing:GetBillingView",
"billing:ListBillingViews",
"billing:ListTagsForResource",
"billing:PutResourcePolicy",
"ce:GetCostAndUsage",
"ce:GetTags",
"organizations:ListAccounts",
"ram:ListResources",
"ram:ListPermissions",
"ram:CreateResourceShare",
"ram:AssociateResourceShare",
"ram:GetResourceShares",
"ram:GetResourceShareAssociations",
"ram:ListResourceSharePermissions",
"ram:ListResourceTypes",
"ram:ListPrincipals",
"ram:DisassociateResourceShare"
],
"Resource": "*"
}
]
}
特定のカスタム請求ビューにアクセスするときに Cost Explorer へのアクセスをユーザーに許可する
このポリシーにより、IAM ユーザーは特定のカスタム請求ビュー () にアクセスするときに Cost Explorer にアクセスできますcustom-1a2b3c4d。を 12 桁の AWS アカウント ID 123456789012に置き換え、 をカスタム請求ビューの一意の識別子1a2b3c4dに置き換えます。
- JSON
-
-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ce:GetDimensionValues",
"ce:GetCostAndUsageWithResources",
"ce:GetCostAndUsage",
"ce:GetCostForecast",
"ce:GetTags",
"ce:GetUsageForecast",
"ce:GetCostCategories"
],
"Resource": [
"arn:aws:billing::123456789012:billingview/custom-1a2b3c4d"
]
},
{
"Effect": "Allow",
"Action": [
"billing:ListBillingViews",
"billing:GetBillingView"
],
"Resource": "*"
}
]
}
