はじめに
SPやRIの購入だけを行う担当者向けのポリシーが必要になったので覚書します。
更新するだけのために強力な管理者権限を付与するのはよろしくない、というのがきっかけです。
SPを購入できるPolicy
SPの操作ポリシーはビルトインで備わっていますので付与しましょう。
| # | ポリシー名 | 説明 |
|---|---|---|
| 1 | AWSSavingsPlansFullAccess | Provides full access to Savings Plans service |
| 2 | AWSSavingsPlansReadOnlyAccess | Provides read only access to Savings Plans service |
RIを購入できるPolicy
RIの購入はビルトインではありませんがそのまま利用できるポリシーが公開されています。
RIを購入できるポリシー
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:DescribeReservedInstances",
"ec2:ModifyReservedInstances",
"ec2:PurchaseReservedInstancesOffering",
"ec2:DescribeInstances",
"ec2:DescribeInstanceTypes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeReservedInstancesOfferings"
],
"Resource": "*"
}
]
}
おわりに
これらのポリシーをRole等にアタッチして必要なIAMユーザーに割り付けることにより、SPやRIを購入できるようになります。このポリシーによってシステム構成に影響を与えることはありませんが、SPやRIを購入することにより財務的なインパクトを引き起こす可能性があるので注意してください。
※m6i.32xlargeを3年分前払いすると82,212 USD
参考資料