翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
データエクスポートの Identity and Access Management
AWS Identity and Access Management (IAM) は、管理者がAWSリソースへのアクセスを安全に制御するのに役立つAWSサービスです。IAM 管理者は、誰を認証 (サインイン) し、誰に課金リソースの使用を許可 (許可を持たせる) するかを制御します。IAM は、追加料金なしで使用できるAWSサービスです。
データエクスポートを使用するには、IAM の bcm-data-exports
namespace のアクションに対するアクセス権を IAM ユーザーに付与する必要があります。使用可能なアクションについては、次の表を参照してください。
| データエクスポートアクション | 説明 | アクセスレベル | リソースタイプ: | 条件キー |
|---|---|---|---|---|
| CreateExport | ユーザーがエクスポートを作成できるようにし、クエリ、配信設定、スケジュール設定、コンテンツ設定を指定します。 | 書き込み |
エクスポート テーブル |
aws:RequestTag/${TagKey} aws:TagKeys |
| UpdateExport | ユーザーが既存のエクスポートを更新できるようにします。 | 書き込み |
エクスポート テーブル |
aws:ResourceTag/${TagKey} |
| DeleteExport | ユーザーが既存のエクスポートを削除できるようにします。 | 書き込み |
エクスポート |
aws:ResourceTag/${TagKey} |
| GetExport | ユーザーが既存のエクスポートを表示できるようにします。 | 読み取り |
エクスポート |
aws:ResourceTag/${TagKey} |
| ListExports | ユーザーが既存のエクスポートをすべて一覧表示できるようにします。 | 読み取り | ||
| GetExecution | エクスポートされたデータのメタデータやスキーマなど、指定された実行の詳細をユーザーが確認できるようにします。 | 読み取り |
エクスポート |
aws:ResourceTag/${TagKey} |
| ListExecutions | ユーザーが、提供されたエクスポート識別子の実行をすべて一覧表示できるようにします。 | 読み取り |
エクスポート |
aws:ResourceTag/${TagKey} |
| GetTable | ユーザーが指定されたテーブルのスキーマを取得できるようにします。 | 読み取り |
テーブル |
|
| ListTables | 使用可能なすべてのテーブルをユーザーが一覧表示できるようにします。 | 読み取り | ||
| TagResource | ユーザーが既存のエクスポートにタグ付けできるようにします。 | 書き込み |
エクスポート |
aws:ResourceTag/${TagKey} aws:RequestTag/${TagKey} aws:TagKeys |
| UntagResource | ユーザーが既存のエクスポートのタグを解除できるようにします。 | 書き込み |
エクスポート |
aws:ResourceTag/${TagKey} aws:TagKeys |
| ListTagsForResource | ユーザーが既存のエクスポートに関連付けられているタグを一覧表示できるようにします。 | 読み取り |
エクスポート |
aws:ResourceTag/${TagKey} |
これらのコンテキストキーの使用方法についての詳細は、「IAM ユーザーガイド」の「タグを使用したAWSリソースへのアクセスの制御」を参照してください。
次の表は、データエクスポートで利用可能なリソースタイプを示しています。
| リソースタイプ | 説明 | ARN |
|---|---|---|
| エクスポート | エクスポートは CreateExport API によって作成されたリソースです。エクスポートにより、請求情報とコスト管理のクエリ出力が定期的に生成されます。 | arn:${Partition}:bcm-data-exports:${Region}:${Account}:export/${exportName}-{UUID} |
| テーブル | テーブルは、ユーザーがエクスポートを使用してクエリを実行する、行と列形式のデータです。テーブルは、お客様のAWSために によって作成および管理されます。お客様はテーブルを削除することができません。 | arn:${Partition}:bcm-data-exports:${Region}:${Account}:table/${TableName} |
COST_AND_USAGE_REPORT または COST_AND_USAGE_DASHBOARD テーブルリソースのエクスポートをデータエクスポートで作成するには、IAM ユーザーが IAM 内のそれぞれの cur アクションに対するアクセス許可も持っている必要があります。つまり、cur での明示的な許可がないことや、cur に対する明示的な拒否を提供するサービスコントロールポリシー (SCP) がないなど、何らかの理由で IAM ユーザーが cur アクションの使用をブロックされた場合、その IAM ユーザーは、これら 2 つのテーブルのエクスポートの作成または更新をブロックされます。
次の表は、これら 2 つのテーブルのデータエクスポートで、どの cur アクションに対してどの bcm-data-exports アクションが必要かを示しています。
| データエクスポートアクション | テーブルリソース | IAM で必要なその他のアクション |
|---|---|---|
| bcm-data-exports:CreateExport |
COST_AND_USAGE_REPORT COST_AND_USAGE_DASHBOARD |
cur:PutReportDefinition |
ポリシーの例
IAM ユーザーがデータエクスポートの CUR 2.0 エクスポートにフルアクセスできるようにします。
請求情報とコスト管理のデータエクスポートを使用するためのアクセスコントロールと IAM アクセス許可の詳細については、「アクセス許可の管理の概要」を参照してください。
見積り CUR 2.0 AWSを作成する
見積り CUR 2.0 を作成するには、次の IAM ポリシーを含める必要があります。
IAM ユーザーに CUR 2.0 および Billing Group Billing View へのフルアクセスを許可します。
IAM ロールが特定の請求グループにアクセスできるようにする場合は、ロールがアクセスできる Billing View ARN を追加できます。
