AWS Identity and Access Management (IAM) ユーザーまたはグループが、アカウントの請求情報にアクセスする際のアクセス許可に関する問題をトラブルシューティングしたいです。
解決策
IAM ユーザーまたはグループが AWS Billing and Cost Management コンソールにアクセスしようとしたときにアクセス許可の問題が発生した場合は、以下を確認してください。
- AWS アカウントのルートユーザーにより請求情報へのアクセスが委任されている。
- IAM エンティティに、Billing and Cost Management コンソールへのアクセスを許可する必要な IAM ポリシーがある。
- AWS Organizations メンバーアカウントに、IAM エンティティまたはルートユーザーのアクセスをブロックするサービスコントロールポリシー (SCP) がない。
- 多要素認証 (MFA) デバイスは、常に認証を許可するように設定されている。
- IAM エンティティにアタッチされたアクセス許可の境界により、請求およびコスト管理コンソールへのアクセスが許可されている。
Billing and Cost Management コンソールにアクセスするためのアクセス許可を IAM エンティティに付与する
次の手順を実行します。
- AWS アカウントのルートユーザー認証情報を使って AWS マネジメントコンソールにサインインします。
重要: root ユーザーの認証情報を必要とするタスクには、root ユーザーのみを使用するのがベストプラクティスです。
- ナビゲーションペインでアカウント名を選択し、[アカウント ID] を選択します。
- [IAM ユーザーとロールの請求情報へのアクセス許可] の横にある [編集] を選択します。
- [IAM アクセスを有効にする] を選択します。
注: この設定はデフォルトでは無効になっています。詳細については、「請求情報とツールへのアクセス許可を付与する」を参照してください。
- [更新] を選択します。
- IAM コンソールを開き、AWS マネージドアクセス許可を IAM エンティティにアタッチします。
注: IAM エンティティには、少なくとも 1 つの IAM ポリシーがアタッチされている必要があります。Billing and Cost Management コンソールのポリシーの例については、「AWS Billing を使用した ID ベースのポリシー」を参照してください。AWSBillingReadOnlyAccess や Billing などの AWS マネージドポリシーも使用できます。
IAM エンティティが Billing and Cost Management コンソールへのアクセスを拒否されていないことを確認する
アクセス許可の問題が解消されない場合は、Billing and Cost Management コンソールへのアクセスを拒否するポリシーが IAM エンティティにアタッチされている可能性があります。
IAM ポリシーシミュレーターを使用して、Billing and Cost Management コンソールへのアクセスを妨げているポリシーを特定します。該当するポリシーをすべて確認して、Billing and Cost Management コンソールへのアクセスが拒否されているかどうかを確認します。
特定の AWS リージョンへのアクセスを制限する IAM ポリシーまたは SCP が IAM エンティティにアタッチされている
請求サービスはグローバルであり、Billing and Cost Management コンソールで実行したすべてのアクションは、us-east-1 リージョンのログに記録されます。IAM ポリシーまたは SCP が特定のリージョンへのアクセスを拒否している場合は、必要な特定の請求アクセス許可を免除するようにポリシーを変更してください。詳細については、「AWS: リクエストされたリージョンに基づいて、AWS へのアクセスを拒否する」を参照してください。
IAM ポリシーまたは SCP に Deny 効果があり、IAM エンティティが MFA 認証されている場合にのみサービスへのアクセスが許可される
AWS 多要素認証 (MFA) を使用する場合、Billing and Cost Management コンソールにアクセスするには追加の設定が必要です。常に MFA トークンで認証されるように MFA デバイスを設定する必要があります。
IAM エンティティに、Billing and Cost Management コンソールへのアクセスを許可しないアクセス許可の境界が設定されている
このアクセス許可を制限するようにアクセス許可の境界が設定されている場合、IAM エンティティは Billing and Cost Management コンソールにアクセスできません。アクセス許可の境界には、必要な Billing and Cost Management コンソールのアクセス許可に対する Allow 効果を持つポリシーステートメントが必要です。
関連情報
アクセス権限の管理の概要
IAM チュートリアル: AWS アカウント間の IAM ロールを使用したアクセスの委任
AWS Billing、Cost Management、Account コンソールのアクセス許可を変更する