成本异常检测的访问控制和示例 - Amazon 成本管理
使用资源层面的策略限制访问。使用标签控制访问 (ABAC)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

成本异常检测的访问控制和示例

您可以将资源级访问控制和基于属性的访问权限控制 (ABAC) 标签用于成本异常监控和异常订阅。每个异常监控和异常订阅资源均有唯一的 Amazon 资源名称 (ARN)。您还可以将标签(键值对)添加到每个特征。资源 ARN 和 ABAC 标签都可用于在您的 Amazon Web Services 账户中的用户角色或用户组进行精细的访问控制。

有关资源级访问控制和 ABAC 标签的更多信息,请参阅 Amazon 成本管理如何与 IAM 配合使用

注意

成本异常检测不支持基于资源的策略。基于资源的策略直接与 Amazon 资源挂钩。有关策略和权限差异的更多信息,请参阅 IAM 用户指南中的基于身份的策略与基于资源的策略

使用资源层面的策略限制访问。

您可以使用资源级权限来允许或拒绝访问 IAM policy 中的一个或多个成本异常检测资源。或者,使用资源级权限来允许或拒绝访问所有成本异常检测资源。

创建 IAM 时,请使用以下 Amazon 资源名称 (ARN) 格式:

  • AnomalyMonitor 资源 ARN

    arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}

  • AnomalySubscription 资源 ARN

    arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}

要允许 IAM 实体获取和创建异常监控或异常订阅,请使用与此示例策略类似的策略。

注意

  • 对于 ce:GetAnomalyMonitorce:GetAnomalySubscription,用户拥有全部或完全没有资源级访问控制。这要求策略使用 arn:${partition}:ce::${account-id}:anomalymonitor/*arn:${partition}:ce::${account-id}:anomalysubscription/** 形式的通用 ARN。

  • 对于 ce:CreateAnomalyMonitorce:CreateAnomalySubscription,我们没有该资源的资源 ARN。因此,该策略始终使用上一条中提到的通用 ARN。

  • 对于 ce:GetAnomalies,请使用可选 monitorArn 参数。与该参数一起使用时,我们会确认用户是否有权访问 monitorArn

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ce:GetAnomalyMonitors",
                "ce:CreateAnomalyMonitor"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws-cn:ce::999999999999:anomalymonitor/*"
        }, 
        {
            "Action": [
                "ce:GetAnomalySubscriptions",
                "ce:CreateAnomalySubscription"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws-cn:ce::999999999999:anomalysubscription/*"
        }
    ]
}

要允许 IAM 实体更新或删除异常监控,请使用与此示例策略类似的策略。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor",
                "ce:DeleteAnomalyMonitor"
                ],
            "Resource": [
              "arn:aws-cn:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000",
              "arn:aws-cn:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001"
		]
         }
    ]
}

使用标签控制访问 (ABAC)

您可以使用标签 (ABAC) 以控制对支持标记的成本异常情况检测资源的访问。要根据标签控制访问,您需要在策略的 Condition 元素中提供标签信息。然后,您可以创建一个 IAM policy,以根据资源的标签允许或拒绝访问资源。您可以使用标签条件键以控制对资源、请求或授权过程任何部分的访问。有关使用标签的 IAM 角色的更多信息,请参阅 IAM 用户指南中的使用标签控制对用户和角色的访问

创建允许更新异常监控的基于身份的策略。如果监控标签 Owner 的值为用户名,请使用与此示例策略类似的策略。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor"
            ],
            "Resource": "arn:aws-cn:ce::*:anomalymonitor/*",
            "Condition": {
                "StringEquals": {
			"aws:ResourceTag/Owner": "${aws:username}"
		   }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ce:GetAnomalyMonitors",
            "Resource": "*"
        }
    ]
}