データエクスポートの Identity and Access Management - AWS Data Exports
ポリシーの例

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

データエクスポートの Identity and Access Management

AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御するのに役立つ AWS サービスです。IAM 管理者は、誰を認証 (サインイン) し、誰に課金リソースの使用を許可 (許可を持たせる) するかを制御します。IAM は、追加料金なしで使用できる AWS サービスです。

データエクスポートを使用するには、IAM の bcm-data-exports namespace のアクションに対するアクセス権を IAM ユーザーに付与する必要があります。使用可能なアクションについては、次の表を参照してください。

データエクスポートアクション 説明 アクセスレベル リソースタイプ 条件キー
CreateExport ユーザーがエクスポートを作成できるようにし、クエリ、配信設定、スケジュール設定、コンテンツ設定を指定します。 書き込み

エクスポート

テーブル

aws:RequestTag/${TagKey}

aws:TagKeys
UpdateExport ユーザーが既存のエクスポートを更新できるようにします。 書き込み

エクスポート

テーブル

aws:ResourceTag/${TagKey}
DeleteExport ユーザーが既存のエクスポートを削除できるようにします。 書き込み

エクスポート

aws:ResourceTag/${TagKey}
GetExport ユーザーが既存のエクスポートを表示できるようにします。 読み取り

エクスポート

aws:ResourceTag/${TagKey}
ListExports ユーザーが既存のエクスポートをすべて一覧表示できるようにします。 読み取り
GetExecution エクスポートされたデータのメタデータやスキーマなど、指定された実行の詳細をユーザーが確認できるようにします。 読み取り

エクスポート

aws:ResourceTag/${TagKey}
ListExecutions ユーザーが、提供されたエクスポート識別子の実行をすべて一覧表示できるようにします。 読み取り

エクスポート

aws:ResourceTag/${TagKey}
GetTable ユーザーが指定されたテーブルのスキーマを取得できるようにします。 読み取り

テーブル
ListTables 使用可能なすべてのテーブルをユーザーが一覧表示できるようにします。 読み取り
TagResource ユーザーが既存のエクスポートにタグ付けできるようにします。 書き込み

エクスポート

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys
UntagResource ユーザーが既存のエクスポートのタグを解除できるようにします。 書き込み

エクスポート

aws:ResourceTag/${TagKey}

aws:TagKeys
ListTagsForResource ユーザーが既存のエクスポートに関連付けられているタグを一覧表示できるようにします。 読み取り

エクスポート

aws:ResourceTag/${TagKey}

これらのコンテキストキーの使用方法についての詳細は、「IAM ユーザーガイド」の「タグを使用した AWS リソースへのアクセスの制御」を参照してください。

次の表は、データエクスポートで利用可能なリソースタイプを示しています。

リソースタイプ 説明 ARN
エクスポート エクスポートは CreateExport API によって作成されたリソースです。エクスポートにより、請求情報とコスト管理のクエリ出力が定期的に生成されます。 arn:${Partition}:bcm-data-exports:${Region}:${Account}:export/${exportName}-{UUID}
テーブル テーブルは、ユーザーがエクスポートを使用してクエリを実行する、行と列形式のデータです。テーブルは、お客様の AWS ために によって作成および管理されます。お客様はテーブルを削除することができません。 arn:${Partition}:bcm-data-exports:${Region}:${Account}:table/${TableName}

COST_AND_USAGE_REPORT または COST_AND_USAGE_DASHBOARD テーブルリソースのエクスポートをデータエクスポートで作成するには、IAM ユーザーが IAM 内のそれぞれの cur アクションに対するアクセス許可も持っている必要があります。つまり、cur での明示的な許可がないことや、cur に対する明示的な拒否を提供するサービスコントロールポリシー (SCP) がないなど、何らかの理由で IAM ユーザーが cur アクションの使用をブロックされた場合、その IAM ユーザーは、これら 2 つのテーブルのエクスポートの作成または更新をブロックされます。

次の表は、これら 2 つのテーブルのデータエクスポートで、どの cur アクションに対してどの bcm-data-exports アクションが必要かを示しています。

データエクスポートアクション テーブルリソース IAM で必要なその他のアクション
bcm-data-exports:CreateExport

COST_AND_USAGE_REPORT

COST_AND_USAGE_DASHBOARD

 cur:PutReportDefinition

ポリシーの例

IAM ユーザーがデータエクスポートの CUR 2.0 エクスポートにフルアクセスできるようにします。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewDataExportsTablesAndExports",
            "Effect": "Allow",
            "Action": [
                "bcm-data-exports:ListTables",
                "bcm-data-exports:ListExports",
                "bcm-data-exports:GetExport"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateCurExports",
            "Effect": "Allow",
            "Action": "bcm-data-exports:*",
            "Resource": [
                "arn:aws:bcm-data-exports:*:*:table/COST_AND_USAGE_REPORT",
                "arn:aws:bcm-data-exports:*:*:export/*"
                ]
        },
        {
            "Sid": "CurDataAccess",
            "Effect": "Allow",
            "Action":  "cur:PutReportDefinition",
            "Resource": "*"
         }
    ]
}

請求情報とコスト管理のデータエクスポートを使用するためのアクセスコントロールと IAM アクセス許可の詳細については、「アクセス許可の管理の概要」を参照してください。