AWS Identity and Access Management (IAM) ユーザーもしくはグループがアカウントの請求情報にアクセスする際の問題をトラブルシューティングしたいと考えています。
解決方法
IAM ユーザーが AWS 請求およびコスト管理コンソールにアクセスする際に権限の問題が発生した場合は、以下を確認してください。
- root ユーザーが IAM エンティティ (ユーザーまたはロール) に請求情報へのアクセスを委任しました。
- IAM エンティティには、アクセスを許可するのに必要な IAM ポリシーがあります。
請求およびコスト管理コンソールにアクセスする権限を IAM エンティティに付与します。
まず、ユーザーとロールが請求およびコスト管理コンソールにアクセスできるようにするには、次の操作を行います。
- AWS アカウントのルートユーザー認証情報を使って AWS マネジメントコンソールにサインインします。
- ナビゲーションバーでアカウント名を選択し、次に [アカウント] を選択します。
- IAM ユーザーと請求情報へのロールアクセス権の横にある** [編集]** を選択します。
- 「** IAM アクセスを有効にする**」 チェックボックスを選択して、請求およびコスト管理のコンソールページへのアクセスを有効にします。
**注:**この設定はデフォルトでは無効になっているため、root ユーザーが手動で有効にする必要があります。この設定の有効化について詳しくは、「請求情報とツールへのアクセス権の付与」を参照してください。
- [更新] を選択します。
次に、 IAM エンティティに請求およびコスト管理コンソールにアクセスするのに必要な権限が追加されているかを確認します。
最低限必要な権限は次のとおりです。
- AWS-Portal: 請求を表示-請求およびコスト管理コンソールのページを表示するにはこの権限が必要です。
- AWS Portal: 請求の変更-請求およびコスト管理のコンソールページで変更を行うには、この権限が必要です。
IAM エンティティには、少なくとも 1 つの IAM ポリシーがアタッチされている必要があります。請求およびコスト管理コンソールのポリシーの例については、「 AWS Billing での ID ベースのポリシー (IAM ポリシー) の使用」を参照してください。AWS 請求/読み取り専用アクセスや請求 や請求などの AWS 管理ポリシーも使用可能です。
IAM エンティティが Billing and Cost Management コンソールへのアクセスを拒否されていないことを確認する
依然としてAccessDenied の問題が発生する場合は、 Billing and Cost Management コンソールへのアクセスを拒否するポリシーが添付されている可能性があります。
IAM ポリシーシミュレーターを使用して、請求およびコスト管理コンソールへのアクセスを妨げているポリシーを特定します。Billing and Cost Management コンソールへのアクセスを明確に拒否するポリシーについては、該当するすべてのポリシー (IAM ポリシー、権限境界、SCP) を確認してください。
よくある問題
- **特定の AWS リージョンへのアクセスを制限する SCP/IAM ポリシーが IAM エンティティに適用されます。**請求サービスはグローバルで、Billing and Cost Management コンソールで実行されるすべてのアクションは us-east-1 リージョンに記録されます。特定のリージョンへのアクセスを拒否する IAM/SCP ポリシーがある場合は、これを変更して、必要な特定の請求権限を免除するようにしてください。詳細については、AWS を参照してください: リクエストされたリージョンに基づいて AWS へのアクセスを拒否します。
- 拒否効果のある SCP/IAM ポリシーが適用され、IAM エンティティが MFA 認証されている場合にのみサービスへのアクセスが許可されます。Billing and Cost Management コンソールにアクセスするには、常に MFA トークンで認証されるように MFA デバイスを設定する必要があります。
- IAM エンティティには、Billing and Cost Management コンソールへのアクセスを許可しない権限境界が設定されています。この権限を制限する権限境界が設定されている場合、IAM エンティティは請求コンソールにアクセスすることはできません。権限の境界には、必要な Billing and Cost Management コンソールの権限を許可する効果を含むポリシーステートメントが必要です。
関連情報
アクセス権限の管理の概要
IAM チュートリアル : 請求コンソールへのアクセスを委任