기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 비용 이상 탐지 액세스 제어
비용 이상 모니터 및 이상 탐지 구독에 리소스 수준 액세스 제어 및 ABAC(속성 기반 액세스 제어) 태그를 사용할 수 있습니다. 각 이상 모니터 및 이상 탐지 구독 리소스에는 고유한 Amazon 리소스 이름(ARN)이 있습니다. 각 기능에 태그(키-값 페어) 를 추가할 수도 있습니다. 리소스 Amazon 리소스 이름(ARN) 및 ABAC 태그 모두 AWS 계정내 사용자 역할 또는 그룹에 세분화된 액세스 제어를 제공하는 데 사용할 수 있습니다.
리소스 수준 액세스 제어 및 ABAC 태그에 대한 자세한 내용은 [AWS Cost Management가 IAM과 작동하는 방식](security_iam_service-with-iam.md)을 참조하십시오.
**참고**
Cost Anomaly Detection은 리소스 기반 정책을 지원하지 않습니다. 리소스 기반 정책은 AWS 리소스에 직접 연결됩니다. 차이점에 대한 자세한 내용은 *IAM 사용 설명서*의 [자격 증명 기반 정책 및 리소스 기반 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)을 참조하세요.
## 정책을 사용한 리소스 액세스 제어
리소스 수준 권한을 사용하여 IAM 정책에서 하나 이상의 Cost Anomaly Detection 리소스에 대한 액세스를 허용하거나 거부할 수 있습니다. 또는 리소스 수준 권한을 사용하여 모든 Cost Anomaly Detection 리소스에 대한 액세스를 허용하거나 거부할 수 있습니다.
IAM을 생성할 때 다음 Amazon 리소스 이름(ARN) 형식을 사용합니다.
+ `AnomalyMonitor` 리소스 Amazon 리소스 이름(ARN)
`arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}`
+ `AnomalySubscription` 리소스 Amazon 리소스 이름(ARN)
`arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}`
IAM 엔터티가 이상 모니터 또는 이상 탐지 구독을 가져오고 생성할 수 있도록 허용하려면 이 정책 예제와 유사한 정책을 사용하십시오.
**참고**
`ce:GetAnomalyMonitor` 및 `ce:GetAnomalySubscription`의 경우 사용자는 리소스 수준 액세스 제어를 전부 또는 전혀 갖지 못합니다. 이를 위해서는 `arn:${partition}:ce::${account-id}:anomalymonitor/*`, `arn:${partition}:ce::${account-id}:anomalysubscription/*`또는 `*`형식의 일반 Amazon 리소스 이름(ARN)을 사용하는 정책이 필요합니다.
`ce:CreateAnomalyMonitor` 및 `ce:CreateAnomalySubscription`의 경우 이 리소스에 대한 리소스 Amazon 리소스 이름(ARN)이 없습니다. 따라서 정책은 항상 이전 항목에서 언급한 일반 Amazon 리소스 이름(ARN)을 사용합니다.
`ce:GetAnomalies`의 경우 선택적 `monitorArn`파라미터를 사용하십시오. 이 파라미터를 함께 사용하면 사용자가 `monitorArn`전달된 항목에 액세스할 수 있는지 확인합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ce:GetAnomalyMonitors",
"ce:CreateAnomalyMonitor"
],
"Effect": "Allow",
"Resource": "arn:aws:ce::999999999999:anomalymonitor/*"
},
{
"Action": [
"ce:GetAnomalySubscriptions",
"ce:CreateAnomalySubscription"
],
"Effect": "Allow",
"Resource": "arn:aws:ce::999999999999:anomalysubscription/*"
}
]
}
```
------
IAM 엔터티가 이상 모니터를 업데이트하거나 삭제하도록 허용하려면 이 정책 예제와 비슷한 정책을 사용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ce:UpdateAnomalyMonitor",
"ce:DeleteAnomalyMonitor"
],
"Resource": [
"arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000",
"arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001"
]
}
]
}
```
------
## 태그를 사용한 액세스 제어(ABAC)
태그를 사용하여 태그 지정을 지원하는 리소스에 대한 액세스를 제어할 수 있습니다. 태그를 기반으로 액세스를 제어하려면 정책의 `Condition`요소에 태그 정보를 제공하세요. 그러면 리소스의 태그를 기반으로 리소스에 대한 액세스를 허용하거나 거부하는 IAM 정책을 생성할 수 있습니다. 태그 조건 키를 사용하여 리소스, 요청 또는 권한 부여 프로세스의 일부에 대한 액세스를 제어할 수 있습니다. 태그를 사용하는 IAM 역할에 대한 자세한 내용은 *IAM 사용 설명서*의 [태그를 사용하여 사용자 및 역할에 대한 액세스 제어](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html)를 참조하십시오.
이상 모니터 업데이트를 허용하는 자격 증명 기반 정책을 생성합니다. 모니터 태그 `Owner`에 사용자 이름 값이 있는 경우 이 정책 예제와 유사한 정책을 사용하십시오.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ce:UpdateAnomalyMonitor"
],
"Resource": "arn:aws:ce::*:anomalymonitor/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
},
{
"Effect": "Allow",
"Action": "ce:GetAnomalyMonitors",
"Resource": "*"
}
]
}
```
------