本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 控制成本異常偵測的存取
<a name="accesscontrol-ad"></a>

您可以使用資源層級存取控制和屬性型存取控制 (ABAC) 標籤進行成本異常監控和異常訂閱。每個異常監控和異常訂閱資源都有唯一的 Amazon Resource Name (ARN)。您也可以將標籤 （鍵/值對） 連接至每個功能。資源 ARNs 和 ABAC 標籤都可用來為 中的使用者角色或群組提供精細的存取控制 AWS 帳戶。

如需資源層級存取控制和 ABAC 標籤的詳細資訊，請參閱[AWS 成本管理如何與 IAM 搭配使用](security_iam_service-with-iam.md)。

**注意**  
成本異常偵測不支援以資源為基礎的政策。以資源為基礎的政策會直接連接到 AWS 資源。如需政策和許可之間差異的詳細資訊，請參閱《*IAM 使用者指南*》中的[以身分為基礎的政策和以資源為基礎的政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)。

## 使用資源層級政策控制存取
<a name="accesscontrol-ad-resource-level"></a>

您可以使用資源層級許可來允許或拒絕存取 IAM 政策中的一或多個成本異常偵測資源。或者，使用資源層級許可來允許或拒絕存取所有成本異常偵測資源。

當您建立 IAM 時，請使用下列 Amazon Resource Name (ARN) 格式：
+ `AnomalyMonitor` 資源 ARN

  `arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}`
+ `AnomalySubscription` 資源 ARN

  `arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}`

若要允許 IAM 實體取得並建立異常監控或異常訂閱，請使用類似此範例政策的政策。

**注意**  
對於 `ce:GetAnomalyMonitor`和 `ce:GetAnomalySubscription`，使用者具有所有或沒有資源層級存取控制。這需要政策以 `arn:${partition}:ce::${account-id}:anomalymonitor/*`、 `arn:${partition}:ce::${account-id}:anomalysubscription/*`或 的形式使用一般 ARN`*`。
對於 `ce:CreateAnomalyMonitor`和 `ce:CreateAnomalySubscription`，我們沒有此資源的資源 ARN。因此，政策一律使用上一個項目符號中提到的一般 ARN。
對於 `ce:GetAnomalies`，請使用選用`monitorArn`參數。與此參數搭配使用時，我們會確認使用者是否可以存取`monitorArn`傳遞的 。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ce:GetAnomalyMonitors",
                "ce:CreateAnomalyMonitor"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalymonitor/*"
        }, 
        {
            "Action": [
                "ce:GetAnomalySubscriptions",
                "ce:CreateAnomalySubscription"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalysubscription/*"
        }
    ]
}
```

------

若要允許 IAM 實體更新或刪除異常監控，請使用類似此範例政策的政策。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor",
                "ce:DeleteAnomalyMonitor"
                ],
            "Resource": [
              "arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000",
              "arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001"
		]
         }
    ]
}
```

------

## 使用標籤控制存取 (ABAC)
<a name="accesscontrol-ad-tags"></a>

您可以使用標籤 (ABAC) 來控制對支援標記之成本異常偵測資源的存取。若要使用標籤控制存取，請在政策的 `Condition`元素中提供標籤資訊。然後，您可以建立允許或拒絕根據資源標籤存取資源的 IAM 政策。您可以使用標籤條件金鑰來控制對資源、請求或授權程序任何部分的存取。如需使用標籤之 IAM 角色的詳細資訊，請參閱《*IAM 使用者指南*》中的[使用標籤控制使用者和角色的存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html)。

建立允許更新異常監控的身分型政策。如果監視器標籤`Owner`具有使用者名稱的值，請使用與此範例政策類似的政策。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor"
            ],
            "Resource": "arn:aws:ce::*:anomalymonitor/*",
            "Condition": {
                "StringEquals": {
			"aws:ResourceTag/Owner": "${aws:username}"
		   }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ce:GetAnomalyMonitors",
            "Resource": "*"
        }
    ]
}
```

------