Billing and Cost Management 콘솔에 대한 IAM 사용자 액세스 거부 멤버 계정의 AWS콘솔 비용 및 사용 위젯 액세스 거부 특정 IAM 사용자 및 역할의 AWS콘솔 비용 및 사용 위젯 액세스 거부 AWS 서비스에 대한 모든 액세스 권한을 허용하되 Billing and Cost Management 콘솔에 대한 IAM 사용자 액세스는 거부 계정 설정을 제외하고 IAM 사용자가 Billing and Cost Management 콘솔을 볼 수 있도록 허용 IAM 사용자가 결제 정보를 수정할 수 있도록 허용 IAM 사용자가 예산을 생성할 수 있도록 허용 계정 설정에 대한 액세스는 거부하되 다른 모든 결제 및 사용 정보에 대해서는 전체 액세스 허용 Amazon S3 버킷에 보고서 보관 비용 및 사용량 보기 AWS 리전 활성화 및 비활성화 Cost Explorer 기본 설정 페이지 보기 및 업데이트 Cost Explorer 보고서 페이지를 사용하여 조회, 생성, 업데이트 및 삭제 예약 및 Savings Plans 알림 보기, 생성, 업데이트, 삭제 AWS 비용 이상 탐지에 대한 읽기 전용 액세스 허용 AWS Budgets가 IAM 정책과 SCP를 적용하도록 허용 AWS Budgets가 IAM 정책과 SCP를 적용하고 EC2 및 RDS 인스턴스를 대상으로 설정하도록 허용 사용자가 요금 계산기에서 워크로드 견적에 사용량을 생성, 나열 및 추가할 수 있도록 허용 사용자가 요금 계산기에서 사용량 및 약정을 생성, 나열 및 추가할 수 있도록 허용 사용자가 요금 계산기에서 청구서 견적을 생성하도록 허용 사용자가 요금 계산기에서 기본 설정을 생성하도록 허용 사용자가 사용자 지정 빌링 보기를 생성, 관리 및 공유하도록 허용 사용자가 특정 사용자 지정 빌링 보기에 액세스할 때 비용 탐색기에 액세스하도록 허용

AWS Cost Management 정책 예시

참고

다음과 같은 AWS Identity and Access Management(IAM) 작업은 2023년 7월에 표준 지원이 종료되었습니다.

aws-portal 네임스페이스
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

AWS Organizations를 사용하는 경우 대량 정책 마이그레이터 스크립트를 사용하여 지불자 계정의 정책을 업데이트할 수 있습니다. 또한 기존 작업-세분화 작업 매핑 참조를 사용하여 추가해야 하는 IAM 작업을 확인할 수 있습니다.

자세한 내용은 AWS빌링, AWS비용 관리, 그리고 계정 콘솔 권한에 대한 변경 사항들 블로그를 참조하세요.

2023년 3월 6일 오전 11시(PDT) 또는 그 이후에 AWS 계정을 만들었거나 그 이후에 생성된 AWS Organizations에 속한 경우, 세분화된 작업이 이미 조직에 적용되어 있습니다.

이 항목에서는 계정의 결제 정보와 도구에 대한 액세스를 제어하기 위해 IAM 사용자 또는 그룹에 연결할 수 있는 정책의 예를 보여 줍니다. Billing and Cost Management에 대한 IAM 정책에는 다음 기본 규칙이 적용됩니다.

Version은(는) 항상 입니다.2012-10-17
Effect는 항상 Allow또는 Deny입니다.
Action은 작업의 이름 또는 와일드카드()입니다.*

작업 접두사는 AWSBudgets의 경우 budgets, AWSCost and Usage Reports의 경우 cur, AWSBilling의 경우 aws-portal또는 Cost Explorer의 경우 ce입니다.
Resource 결제의 *는 항상 AWS입니다.

budget 리소스에서 수행한 작업에 대해 예산의 Amazon 리소스 이름(ARN)을 지정합니다.
정책 하나에 문 여러 개를 포함할 수 있습니다.

Billing 콘솔의 정책 예제 목록은 Billing 사용 안내서의 결제 정책 예제를 참조하십시오.

참고

이러한 정책은 Account Settings 콘솔 페이지에서 Billing and Cost Management 콘솔에 대해 IAM 사용자 액세스를 활성화하는 과정이 필요합니다. 자세한 내용은 Billing and Cost Management 콘솔에 대한 액세스 권한 활성화섹션을 참조하세요.

주제

Billing and Cost Management 콘솔에 대한 IAM 사용자 액세스 거부
멤버 계정의 AWS콘솔 비용 및 사용 위젯 액세스 거부
특정 IAM 사용자 및 역할의 AWS콘솔 비용 및 사용 위젯 액세스 거부
AWS 서비스에 대한 모든 액세스 권한을 허용하되 Billing and Cost Management 콘솔에 대한 IAM 사용자 액세스는 거부
계정 설정을 제외하고 IAM 사용자가 Billing and Cost Management 콘솔을 볼 수 있도록 허용
IAM 사용자가 결제 정보를 수정할 수 있도록 허용
IAM 사용자가 예산을 생성할 수 있도록 허용
계정 설정에 대한 액세스는 거부하되 다른 모든 결제 및 사용 정보에 대해서는 전체 액세스 허용
Amazon S3 버킷에 보고서 보관
비용 및 사용량 보기
AWS 리전 활성화 및 비활성화
Cost Explorer 기본 설정 페이지 보기 및 업데이트
Cost Explorer 보고서 페이지를 사용하여 조회, 생성, 업데이트 및 삭제
예약 및 Savings Plans 알림 보기, 생성, 업데이트, 삭제
AWS 비용 이상 탐지에 대한 읽기 전용 액세스 허용
AWS Budgets가 IAM 정책과 SCP를 적용하도록 허용
AWS Budgets가 IAM 정책과 SCP를 적용하고 EC2 및 RDS 인스턴스를 대상으로 설정하도록 허용
사용자가 요금 계산기에서 워크로드 견적에 사용량을 생성, 나열 및 추가할 수 있도록 허용
사용자가 요금 계산기에서 사용량 및 약정을 생성, 나열 및 추가할 수 있도록 허용
사용자가 요금 계산기에서 청구서 견적을 생성하도록 허용
사용자가 요금 계산기에서 기본 설정을 생성하도록 허용
사용자가 사용자 지정 빌링 보기를 생성, 관리 및 공유하도록 허용
사용자가 특정 사용자 지정 빌링 보기에 액세스할 때 비용 탐색기에 액세스하도록 허용

Billing and Cost Management 콘솔에 대한 IAM 사용자 액세스 거부

모든 Billing and Cost Management 콘솔 페이지에 대한 IAM 사용자의 액세스를 명시적으로 거부하려면, 이 예와 비슷한 정책을 사용합니다.

연결된 멤버 계정의 비용 및 사용 데이터에 대한 액세스를 제한하려면 관리(지급인) 계정을 사용하여 Cost Explorer 기본 설정 탭에 액세스하고 연결 계정 액세스(Linked Account Access)를 선택 취소합니다. 이렇게 하면 멤버 계정의 IAM 사용자 또는 역할에 할당된 IAM 작업에 관계없이 Cost Explorer(AWS Cost Management) 콘솔, Cost Explorer API 및 AWS콘솔 홈 페이지의 비용 및 사용 위젯에서 비용 및 사용 데이터에 대한 액세스가 거부됩니다.

특정 IAM 사용자 및 역할의 AWS콘솔 비용 및 사용 위젯 액세스 거부

특정 IAM 사용자 및 역할의 AWS콘솔 비용 및 사용 위젯 액세스를 거부하려면 아래의 권한 정책을 사용합니다.

참고

IAM 사용자 또는 역할에 이 정책을 추가하면 Cost Explorer(AWS Cost Management) 콘솔 및 Cost Explorer API에 대한 사용자 액세스도 거부됩니다.

AWS 서비스에 대한 모든 액세스 권한을 허용하되 Billing and Cost Management 콘솔에 대한 IAM 사용자 액세스는 거부

Billing and Cost Management 콘솔의 모든 항목에 대한 IAM 사용자의 액세스를 거부하려면 다음 정책을 사용합니다. 이 경우 사용자가 결제 정보 및 도구에 대한 액세스 제어 정책에 접근하지 못하도록 AWS Identity and Access Management(IAM)에 대한 사용자 액세스도 거부해야 합니다.

중요

이 정책은 어떤 작업도 허용하지 않습니다. 이 정책을 특정 작업을 허용하는 다른 정책과 함께 사용합니다.

계정 설정을 제외하고 IAM 사용자가 Billing and Cost Management 콘솔을 볼 수 있도록 허용

이 정책은 Payments Method 및 Reports 콘솔 페이지를 비롯한 모든 Billing 및 Cost Management 콘솔에 대한 읽기 전용 액세스를 허용하지만 Account Settings 페이지에 대한 액세스는 거부하므로 계정 비밀번호, 연락처 정보 및 보안 질문이 보호됩니다.

IAM 사용자가 결제 정보를 수정할 수 있도록 허용

IAM 사용자가 Billing and Cost Management 콘솔에서 계정 결제 정보를 수정할 수 있도록 허용하려면 IAM 사용자가 결제 정보를 볼 수 있도록 허용해야 합니다. 다음 정책 예시는 IAM 사용자가 Consolidated Billing, Preferences, Credits 콘솔 페이지를 수정할 수 있도록 허용합니다. 또한 IAM 사용자가 다음 Billing and Cost Management 콘솔 페이지를 보는 것도 허용합니다.

Dashboard
Cost Explorer
청구서
Orders and invoices(주문 및 인보이스
선지급

IAM 사용자가 예산을 생성할 수 있도록 허용

IAM 사용자가 Billing and Cost Management 콘솔에서 예산을 생성할 수 있도록 허용하려면 IAM 사용자가 결제 정보를 보고, CloudWatch 경보를 생성하고, Amazon SNS 알림을 생성할 수 있도록 허용합니다. 다음 정책 예에서는 사용자가 예산 콘솔 페이지를 수정하도록 허용합니다.

계정 설정에 대한 액세스는 거부하되 다른 모든 결제 및 사용 정보에 대해서는 전체 액세스 허용

계정 암호, 연락처 정보, 보안 질문을 보호하려면 계정 설정에 대한 IAM 사용자 액세스를 거부하는 한편 Billing and Cost Management 콘솔의 나머지 기능에 대한 전체 액세스 권한을 활성화합니다.

Amazon S3 버킷에 보고서 보관

다음 정책은 AWS계정과 Amazon S3 버킷을 모두 소유한 경우에 Billing and Cost Management가 상세 AWS청구서를 Amazon S3 버킷에 저장할 수 있도록 허용합니다. 단, 이 정책은 사용자가 아니라 Amazon S3 버킷에 적용되어야 합니다. 즉 사용자 기반 정책이 아니라 리소스 기반 정책입니다. 청구서에 액세스할 필요가 없는 사용자에게는 버킷에 대한 사용자 액세스를 거부해야 합니다.

bucketname을 버킷 이름으로 바꿉니다.

자세한 내용은 Amazon Simple Storage Service 사용 설명서의 버킷 정책 및 사용자 정책 사용을 참조하세요.

비용 및 사용량 보기

IAM 사용자가 AWSCost Explorer API를 사용할 수 있도록 허용하려면 다음 정책을 사용하여 액세스 권한을 부여합니다.

AWS 리전 활성화 및 비활성화

사용자가 리전을 활성화하고 비활성화할 수 있도록 허용하는 IAM 정책의 예는 IAM 사용 설명서의 AWS: AWS리전 활성화 및 비활성화 허용을 참조하세요.

Cost Explorer 기본 설정 페이지 보기 및 업데이트

이 정책은 IAM 사용자가 Cost Explorer 기본 설정 페이지를 보고 업데이트할 수 있도록 허용합니다.

다음 정책은 IAM 사용자가 Cost Explorer를 볼 수 있도록 허용하되 기본 설정 페이지를 보거나 편집할 수 있는 권한은 거부합니다.

다음 정책은 IAM 사용자가 Cost Explorer를 볼 수 있도록 허용하되 기본 설정 페이지를 편집할 수 있는 권한은 거부합니다.

Cost Explorer 보고서 페이지를 사용하여 조회, 생성, 업데이트 및 삭제

이 정책은 IAM 사용자가 Cost Explorer 보고서 페이지를 보고, 생성하고, 업데이트하고, 삭제할 수 있도록 허용합니다.

다음 정책은 IAM 사용자가 Cost Explorer를 볼 수 있도록 허용하되 보고서 페이지를 보거나 편집할 수 있는 권한은 거부합니다.

다음 정책은 IAM 사용자가 Cost Explorer를 볼 수 있도록 허용하되 보고서 페이지를 편집할 수 있는 권한은 거부합니다.

예약 및 Savings Plans 알림 보기, 생성, 업데이트, 삭제

이 정책은 IAM 사용자가 예약 만료 알림 및 절감형 플랜 알림을 확인, 생성, 업데이트 및 삭제할 수 있도록 허용합니다. 예약 만료 알림 또는 Savings Plans 알림을 편집하려면 세 가지 세부 작업(ce:CreateNotificationSubscription, ce:UpdateNotificationSubscription, ce:DeleteNotificationSubscription)이 모두 필요합니다.

다음 정책은 IAM 사용자가 Cost Explorer 볼 수 있도록 허용하되 예약 만료 알림(Reservation Expiration Alerts) 및 절감형 플랜 알림 페이지를 보거나 편집할 수 있는 권한을 거부합니다.

다음 정책은 IAM 사용자가 Cost Explorer 볼 수 있도록 허용하되 예약 만료 알림 및 절감형 플랜 알림 페이지를 편집할 수 있는 권한을 거부합니다.

AWS 비용 이상 탐지에 대한 읽기 전용 액세스 허용

IAM 사용자에게 AWS비용 이상 탐지에 대한 읽기 전용 액세스를 허용하려면 다음 정책을 사용하여 액세스 권한을 부여합니다. ce:ProvideAnomalyFeedback은 읽기 전용 액세스의 일부로서, 선택 사항입니다.

AWS Budgets가 IAM 정책과 SCP를 적용하도록 허용

이 정책은 사용자를 대신하여 AWSBudgets가 IAM 정책 및 서비스 제어 정책(SCP)를 적용하도록 허용합니다.

AWS Budgets가 IAM 정책과 SCP를 적용하고 EC2 및 RDS 인스턴스를 대상으로 설정하도록 허용

이 정책은 사용자를 대신하여 AWSBudgets가 IAM 정책 및 서비스 제어 정책(SCP)를 적용하고 Amazon EC2 및Amazon RDS 인스턴스를 대상으로 설정하도록 허용합니다.

신뢰 정책

참고

이 신뢰 정책은 AWSBudgetsts가 사용자를 대신하여 다른 서비스를 호출할 수 있는 역할을 맡을 수 있도록 합니다. 이와 같은 서비스 간 권한의 모범 사례에 대한 자세한 내용은 교차 서비스 혼동된 대리인 방지을 참조하십시오.

권한 정책

사용자가 요금 계산기에서 워크로드 견적에 사용량을 생성, 나열 및 추가할 수 있도록 허용

이 정책을 통해 IAM 사용자는 비용 탐색기 데이터를 쿼리하여 과거 비용 및 사용량 데이터를 가져올 수 있는 권한과 함께 워크로드 견적에 사용량을 생성, 나열 및 추가할 수 있습니다.

사용자가 요금 계산기에서 사용량 및 약정을 생성, 나열 및 추가할 수 있도록 허용

이 정책을 통해 IAM 사용자는 사용량 및 약정을 생성, 나열 및 추가하여 시나리오를 청구할 수 있습니다. 비용 탐색기 권한은 추가되지 않으므로 기록 데이터를 로드할 수 없습니다.

사용자가 요금 계산기에서 청구서 견적을 생성하도록 허용

이 정책을 통해 IAM 사용자는 청구서 견적을 생성하고 청구서 견적 행 항목을 나열할 수 있습니다.

사용자가 요금 계산기에서 기본 설정을 생성하도록 허용

이 정책은 IAM 사용자가 속도 기본 설정을 생성하고 가져올 수 있도록 허용합니다.

사용자가 사용자 지정 빌링 보기를 생성, 관리 및 공유하도록 허용

이 정책을 통해 IAM 사용자는 사용자 지정 빌링 보기를 생성, 관리 및 공유할 수 있습니다. 빌링 보기를 사용하여 사용자 지정 빌링 보기를 생성하고 관리할 수 있는 기능과 AWS Resource Access Manager(AWS RAM)를 사용하여 리소스 공유를 생성하고 연결할 수 있는 기능이 필요합니다.

사용자가 특정 사용자 지정 빌링 보기에 액세스할 때 비용 탐색기에 액세스하도록 허용

이 정책은 IAM 사용자가 특정 사용자 지정 빌링 보기(custom-1a2b3c4d)에 액세스할 때 비용 탐색기에 액세스할 수 있도록 허용합니다. 123456789012를 12자리 AWS계정 ID와 1a2b3c4d로 바꾸고 사용자 지정 빌링 보기의 고유 식별자로 바꿉니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

AWS Cost Management에 IAM 정책 사용

액세스 제어 마이그레이션하기