はじめに
基本的にAWS請求情報にアクセスできる権限を持つユーザーは、「ルートユーザー」のみである。
デフォルトでは、IAMユーザーからAWS請求情報にアクセスできない。
これを回避するには、IAMユーザーにAWS請求情報にアクセスできる権限(ポリシー)の割り当てとアカウント画面から「IAMアクセスのアクティブ化」をしなければならない。
今回は、そのやり方を書きたいと思う。
IAMユーザーに請求情報へのアクセス付与する方法
IAMユーザーは、デフォルトでAWS請求コンソールにアクセスできません。
そのための対応方法を記述する。
※「AdministratorAccess」でアクセスできるのは、
この権限はAWS請求コンソールにアクセスできる権限を持っているため。
- AWSコンソール一番右上の自身のユーザー名をクリックし、アカウントを選択する。
遷移したページ内に「IAM ユーザー/ロールによる請求情報へのアクセス」の項目があるので、
そこの「修正」をクリックし「IAMアクセスのアクティブ化」にチェックを入れ更新する。
2. 対象のIAMユーザーに請求情報にアクセスできる権限を割り振る。
今回は試しに、請求情報にアクセスできないIAMユーザー(test_user)に権限を割り振る。
~請求情報にアクセスする権限を付与する前~
権限が無いため、エラーメッセージが出力される。
~請求情報にアクセスする権限を付与する~
赤枠で囲まれている「アクセス権限の追加」をクリック
※ IAMユーザーを修正可能なユーザーで実施すること。
「既存のポリシーを直接アタッチ」をクリックし、
検索欄で「Billing」と検索し「AWSBillingReadOnlyAccess」の権限にチェックを入れる。
「AWSBillingReadOnlyAccess」の権限は、
「Billing and Cost Management コンソール」のページを表示する権限である。
権限の割り当てが完了したら、「次のステップ:確認」をクリックする。
対象IAMユーザー(test_user)に、
「AWSBillingReadOnlyAccess」の権限が割り振られているのを確認する。
問題がなければ、「次のステップ:アクセス権限の追加」をクリックする。
するとIAMコンソール画面から、対象IAMユーザー(test_user)に
「AWSBillingReadOnlyAccess」の権限が付与されていることが確認できる。
AWS請求コンソールに対象IAMユーザー(test_user)でアクセスしてみると、
ちゃんとアクセスすることができる。
~備考~
項番1の「IAM ユーザー/ロールによる請求情報へのアクセス」を無効化した場合、
IAMユーザーに請求情報にアクセスする権限が割り振られていてもアクセスはできない。
下記にAWSが用意したハンズオンがあるので、これを試してみるのもありです。
IAM チュートリアル: 課金コンソールへのアクセスを委任する