ここでは、AWS Billing(請求)に対するIAMポリシーについて紹介します。
2023年3月6日 11:00(太平洋夏時間)以降、AWS Billingへのアクセスに対してきめ細かな制御ができるようになりました(詳細は以下参照)
https://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html#migrate-user-permissions
AWS Billingに対するIAMポリシーを作成することで細かな制御が可能となります。
IAMユーザー に AWS Billing へのアクセスを許可するためには、まず [ IAM ユーザー/ロールによる請求情報へのアクセス ] を有効化する必要があります(有効化されていないと、下記手順が完了していても機能しません)。
[ IAM ユーザー/ロールによる請求情報へのアクセス ] は、root ユーザーで AWS へサインインしてアカウントのページにありますので、有効化されているか事前に確認してください。
Billing ホームの許可ポリシー
ここでは、AWS Billing(請求)ダッシュボードのホームへのアクセス許可(読み取り専用)について紹介します。
アクセスが許可されていないと、請求ダッシュボードのホームと IAM ユーザーのアカウントページの内容を見ることができません。
- Billing ダッシュボードのホーム
- IAM ユーザーのアカウント
AWS Billing(請求)ダッシュボードのホームへのアクセスを許可するためのIAMポリシーを作成していきます。
IAMのポリシー画面で [ポリシーを作成] ボタンを押し、次へ進みます。
[ JSON ]ボタンを押し、次へ進みます。
ポリシーエディタの所に、AWS Billing ダッシュボードのホームへのアクセスを許可するポリシー条件をJSONで記述します。
記述する内容は以下となります。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"billing:Get*",
"payments:List*",
"tax:List*"
],
"Resource": "*"
}
]
}記述したら、[ 次は ]ボタンを押し次へ進みます。
ポリシー名とポリシーの説明(任意)を入力して、[ ポリシーの作成 ] ボタンを押します。
IAMポリシーが新しく作成されていることを確認します。次に、新しく作成したIAMポリシーをIAMユーザーに適用するために、作成したIAMポリシーをクリックします。
[ アタッチされたエンティティ ]タブを選択します。
許可ポリシーとしてアタッチ済みのメニュー下にある [ アタッチ ] ボタンを押し次へ進みます。
IAMポリシーを適用させるエンティティを選択し、[ ポリシーをアタッチ ] ボタンを押します。ここでは、IAMユーザーに対してポリシーをアタッチしています。
許可ポリシーとしてアタッチ済みのメニューでエンティティが追加されていることを確認します。追加されていれば、IAMポリシーのアタッチが完了しています。
この状態で IAMユーザーでAWSにサインインして AWS Billing ダッシュボードのホームまたはアカウントページを開くと、アクセスが許可され内容を確認できるようになります。
- Billing ダッシュボードのホーム
- IAM ユーザーのアカウント
Billing 請求書の許可ポリシー
ここでは、AWS Billing(請求)の請求書へのアクセス許可について紹介します。
前述と同じ方法で AWS Billing 請求書へのアクセスを許可する IAM ポリシーを作成して、IAM ユーザーに適用して下さい。
ここで作成する IAM ポリシーの JSON は以下となります。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"billing:Get*",
"consolidatedbilling:Get*",
"consolidatedbilling:List*",
"invoicing:List*",
"payments:List*",
"invoicing:Get*",
"cur:Get*",
"billing:ListBillingViews"
],
"Resource": "*"
}
]
}上記では以下へのアクセスが許可されます。
・請求書の請求ページへのアクセス(読み取り専用)
・請求ページから請求書をダウンロード
・請求ページからCSV レポートをダウンロード
・AWS Billing Conductor で作成された各請求グループの ARNと詳細表示
作成したIAMポリシーを適用後、以下のようにアクセスできるようになります。
Billing 支払いの許可ポリシー
ここでは、AWS Billing(請求)の支払いへのアクセス許可について紹介します。
前述と同じ方法で AWS Billing 支払いへのアクセスを許可する IAM ポリシーを作成して、IAM ユーザーに適用して下さい。
ここで作成する IAM ポリシーの JSON は以下となります。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"billing:Get*",
"payments:Get*",
"payments:List*",
"invoicing:Get*",
"payments:Update*",
"payments:Make*",
"invoicing:Get*"
],
"Resource": "*"
}
]
}上記では以下へのアクセスが許可されます。
・支払いページへのアクセス(読み取り専用)
・請求書のダウンロード
・前払いの使用、および支払いの詳細設定を行うアクションに必要なアクセス
・前払いでの資金請求書類の作成、および支払いを行うためのアクセス
作成したIAMポリシーを適用後、以下のようにアクセスできるようになります。
Billing クレジットの許可ポリシー
ここでは、AWS Billing(請求)のクレジットへのアクセス許可について紹介します。
前述と同じ方法で AWS Billing クレジットへのアクセスを許可する IAM ポリシーを作成して、IAM ユーザーに適用して下さい。
ここで作成する IAM ポリシーの JSON は以下となります。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"billing:Get*",
"account:GetAccountInformation",
"billing:RedeemCredits"
],
"Resource": "*"
}
]
}上記では以下へのアクセスが許可されます。
・クレジットページへのアクセス
・クレジットの適用へのアクセス
Billing 発注書の許可ポリシー
ここでは、AWS Billing(請求)の発注書へのアクセス許可について紹介します。
前述と同じ方法で AWS Billing 発注書へのアクセスを許可する IAM ポリシーを作成して、IAM ユーザーに適用して下さい。
ここで作成する IAM ポリシーの JSON は以下となります。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"account:GetContactInformation",
"payments:Get*",
"payments:List*",
"purchase-orders:ListPurchaseOrders",
"purchase-orders:ListPurchaseOrderInvoices",
"tax:ListTaxRegistrations",
"consolidatedbilling:GetAccountBillingRole",
"purchase-orders:GetPurchaseOrder",
"purchase-orders:AddPurchaseOrder",
"purchase-orders:DeletePurchaseOrder",
"purchase-orders:UpdatePurchaseOrder",
"purchase-orders:UpdatePurchaseOrderStatus"
],
"Resource": "*"
}
]
}上記では以下へのアクセスが許可されます。
・発注書ページへのアクセス
・発注書の詳細を表示するためのアクセス
・発注書を追加するためのアクセス
・発注書を削除するためのアクセス
・発注書と発注状況を更新するためのアクセス
作成したIAMポリシーを適用後、以下のようにアクセスできるようになります。
Billing コストと使用状況レポートの許可ポリシー
ここでは、AWS Billing(請求)のコストと使用状況レポートへのアクセス許可について紹介します。
前述と同じ方法で AWS Billing コストと使用状況レポートへのアクセスを許可する IAM ポリシーを作成して、IAM ユーザーに適用して下さい。
ここで作成する IAM ポリシーの JSON は以下となります。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"cur:GetClassic*",
"cur:DescribeReportDefinitions",
"billing:ListBillingViews",
"s3:ListAllMyBuckets",
"s3:CreateBucket",
"s3:PutBucketPolicy",
"s3:GetBucketLocation",
"cur:Validate*",
"cur:PutReportDefinition",
"cur:Validate*",
"s3:CreateBucket",
"s3:ListAllMyBuckets",
"s3:PutBucketPolicy",
"s3:GetBucketLocation",
"cur:ModifyReportDefinition",
"cur:DeleteReportDefinition",
"cur:GetUsage*",
"sustainability:GetCarbonFootprintSummary"
],
"Resource": "*"
}
]
}上記では以下へのアクセスが許可されます。
・コストと使用状況レポートページで AWS CUR レポートの一覧を表示するためのアクセス
・AWS Billing Conductor で作成された各請求グループについて、ARNと詳細を表示するためのアクセス
・新しい AWS CUR レポートを作成するためのアクションに必要なアクセス
・AWS CUR の定義を編集するためのアクセス
・AWS CUR レポートを削除するためのアクセス
・使用状況レポートをダウンロードするためのアクセス
・AWS アカウントにおける持続可能性に関するデータを表示するためのアクセス
作成したIAMポリシーを適用後、以下のようにアクセスできるようになります。
Billing コストカテゴリの許可ポリシー
ここでは、AWS Billing(請求)のコストカテゴリへのアクセス許可について紹介します。
前述と同じ方法で AWS Billing コストカテゴリへのアクセスを許可する IAM ポリシーを作成して、IAM ユーザーに適用して下さい。
ここで作成する IAM ポリシーの JSON は以下となります。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"ce:ListCostCategoryDefinitions",
"ce:DescribeCostCategoryDefinition",
"ce:GetCostAndUsage",
"ce:ListTagsForResource",
"consolidatedbilling:GetAccountBillingRole",
"billing:Get*",
"ce:TagResource",
"ce:ListCostAllocationTags",
"consolidatedbilling:List*",
"ce:CreateCostCategoryDefinition",
"pricing:DescribeServices",
"ce:UpdateCostCategoryDefinition",
"ce:UntagResource",
"ce:DeleteCostCategoryDefinition"
],
"Resource": "*"
}
]
}上記では以下へのアクセスが許可されます。
・コストカテゴリを表示するためのアクセス
・コストカテゴリを作成するためのアクセス
・コストカテゴリを変更するためのアクセス
・コストカテゴリを削除するためのアクセス
作成したIAMポリシーを適用後、以下のようにアクセスできるようになります。
Billing コスト配分タグの許可ポリシー
ここでは、AWS Billing(請求)のコスト配分タグへのアクセス許可について紹介します。
前述と同じ方法で AWS Billing コスト配分タグへのアクセスを許可する IAM ポリシーを作成して、IAM ユーザーに適用して下さい。
ここで作成する IAM ポリシーの JSON は以下となります。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"ce:ListCostAllocationTags",
"consolidatedbilling:GetAccountBillingRole",
"ce:UpdateCostAllocationTagsStatus"
],
"Resource": "*"
}
]
}上記では以下へのアクセスが許可されます。
・コスト配分タグを表示するためのアクセス
・コスト配分タグを有効化または無効化するためのアクセス
作成したIAMポリシーを適用後、以下のようにアクセスできるようになります。
Billing 無料枠の許可ポリシー
ここでは、AWS Billing(請求)の無料枠へのアクセス許可について紹介します。
前述と同じ方法で AWS Billing 無料枠へのアクセスを許可する IAM ポリシーを作成して、IAM ユーザーに適用して下さい。
ここで作成する IAM ポリシーの JSON は以下となります。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"billing:Get*",
"freetier:Get*"
],
"Resource": "*"
}
]
}上記では以下へのアクセスが許可されます。
・無料利用枠の使用制限と当月の使用状況を表示するためのアクセス
作成したIAMポリシーを適用後、以下のようにアクセスできるようになります。
Billing Budgetsの許可ポリシー
ここでは、AWS Billing(請求)のBudgets へのアクセス許可について紹介します。
前述と同じ方法で AWS Billing Budgets へのアクセスを許可する IAM ポリシーを作成して、IAM ユーザーに適用して下さい。
ここで作成する IAM ポリシーの JSON は以下となります。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"budgets:ViewBudget",
"budgets:DescribeBudgetActionsForBudget",
"budgets:DescribeBudgetAction",
"budgets:DescribeBudgetActionsForAccount",
"budgets:DescribeBudgetActionHistories",
"budgets:CreateBudgetAction",
"budgets:ExecuteBudgetAction",
"budgets:DeleteBudgetAction",
"budgets:UpdateBudgetAction",
"budgets:ModifyBudget"
],
"Resource": "*"
}
]
}上記では以下へのアクセスが許可されます。
・予算ページを表示するアクセス
・予算および予算アクションを作成、削除、および変更するアクセス
作成したIAMポリシーを適用後、以下のようにアクセスできるようになります。
Billing 請求設定の許可ポリシー
ここでは、AWS Billing(請求)の請求設定へのアクセス許可について紹介します。
前述と同じ方法で AWS Billing 請求設定へのアクセスを許可する IAM ポリシーを作成して、IAM ユーザーに適用して下さい。
ここで作成する IAM ポリシーの JSON は以下となります。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"billing:Get*",
"consolidatedbilling:Get*",
"consolidatedbilling:List*",
"cur:GetClassic*",
"cur:Validate*",
"freetier:Get*",
"invoicing:Get*",
"billing:Update*",
"freetier:Put*",
"cur:PutClassic*",
"s3:ListAllMyBuckets",
"s3:CreateBucket",
"s3:PutBucketPolicy",
"s3:GetBucketLocation",
"invoicing:Put*"
],
"Resource": "*"
}
]
}上記では以下へのアクセスが許可されます。
・請求の詳細設定ページのすべてのセクションを表示するためのアクションに必要なアクセス
・RI または Savings Plans へのクレジット共有の有効化と無効化
・無料利用枠の使用アラートの設定
・請求明細レポートでの配信および詳細の設定
・PDF 請求書のメール送信の設定または更新
作成したIAMポリシーを適用後、以下のようにアクセスできるようになります。
Billing お支払いの詳細設定の許可ポリシー
ここでは、AWS Billing(請求)のお支払いの詳細設定へのアクセス許可について紹介します。
前述と同じ方法で AWS Billing お支払いの詳細設定へのアクセスを許可する IAM ポリシーを作成して、IAM ユーザーに適用して下さい。
ここで作成する IAM ポリシーの JSON は以下となります。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"billing:Get*",
"payments:GetPaymentInstrument",
"payments:List*",
"payments:GetPaymentStatus",
"payments:Update*",
"payments:Make*",
"payments:CreatePaymentInstrument",
"payments:DeletePaymentInstrument",
"tax:PutTaxRegistration",
"tax:Delete*",
"payments:UpdatePaymentPreferences",
"payments:CreatePaymentInstrument",
"payments:Update*"
],
"Resource": "*"
}
]
}上記では以下へのアクセスが許可されます。
・支払いの詳細設定ページを表示するためのアクセス
・支払方法を作成または更新するためのアクセス
・税登録番号を更新または削除するためのアクセス
・支払いプロファイルを更新するためのアクセス
作成したIAMポリシーを適用後、以下のようにアクセスできるようになります。
Billing 税金設定の許可ポリシー
ここでは、AWS Billing(請求)の税金設定へのアクセス許可について紹介します。
前述と同じ方法で AWS Billing お支払いの詳細設定へのアクセスを許可する IAM ポリシーを作成して、IAM ユーザーに適用して下さい。
ここで作成する IAM ポリシーの JSON は以下となります。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"tax:List*",
"tax:Get*",
"tax:BatchPut*",
"tax:Put*",
"tax:UpdateExemptions",
"support:CreateCase",
"support:AddAttachmentsToSet"
],
"Resource": "*"
}
]
}上記では以下へのアクセスが許可されます。
・税金設定を表示するためのアクセス
・税金設定を更新するアクションに必要なアクセス
・税金の継承を設定するためのアクセス
・免税を更新するためのアクセス
作成したIAMポリシーを適用後、以下のようにアクセスできるようになります。
Billing アカウントの許可ポリシー
ここでは、AWS Billing(請求)のアカウントへのアクセス許可について紹介します。
前述と同じ方法で AWS Billing アカウントへのアクセスを許可する IAM ポリシーを作成して、IAM ユーザーに適用して下さい。
ここで作成する IAM ポリシーの JSON は以下となります。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"account:Get*",
"account:List*",
"billing:Get*",
"payments:List*",
"account:CloseAccount",
"account:DisableRegion",
"account:EnableRegion",
"account:PutAlternateContact",
"account:PutChallengeQuestions",
"account:PutContactInformation",
"billing:PutContractInformation",
"billing:Update*",
"payments:Update*"
],
"Resource": "*"
}
]
}上記では以下へのアクセスが許可されます。
・アカウント設定を表示するためのアクセス
・AWS アカウントを閉じるためのアクセス
・アカウントページで、1 つの AWS リージョンを無効にするためのアクセス
・アカウントページで、1 つの AWS リージョンを有効にするためのアクセス
・アカウント用に代替連絡先を登録するためのアクセス
・アカウント用に秘密の質問を設定するためのアクセス
・アカウント用に、住所など主な連絡先情報を設定または登録するためのアクションに必要なアクセス
・アカウントが公共機関の顧客へのサービスに使用される場合に、アカウント契約情報を設定するためのアクセス
・IAM アクセスのアクティブ化 設定で、有効化または無効化を行うアクションに必要なアクセス
・前払い、通貨設定、請求先の詳細と住所、支払い条件を設定するためのアクセス
