访问控制和成本异常检测示例 - Amazon Cost Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

访问控制和成本异常检测示例

您可以将资源级访问控制和基于属性的访问控制 (ABAC) 标签用于成本异常监控和异常订阅。每种异常监控和异常订阅资源均有唯一的 Amazon Resource Name (ARN)。您还可以为每个功能附加标签(键值对)。资源 ARN 和 ABAC 标签均可用于对您的 IAM 用户、群组或角色进行精细的访问控制Amazon Web Services 账户.

有关资源级访问控制和 ABAC 标签的更多信息,请参阅如何Amazon成本管理与 IAM 结合使用.

注意

Cost Anomy Detection 不支持基于资源的策略。基于资源的策略直接附加到Amazon资源。有关策略与权限之间的差别的更多信息,请参阅基于身份的策略和基于资源的策略在里面IAM 用户指南.

使用资源级策略控制访问权限

您可以使用资源级权限来允许或拒绝访问 IAM 策略中的一个或多个成本异常检测资源。或者,使用资源级权限来允许或拒绝访问所有成本异常检测资源。

当您创建 IAM 时,请使用以下 Amazon Resource Name (ARN) 格式:

  • AnomalyMonitor资源 ARN

    arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}

  • AnomalySubscription资源 ARN

    arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}

要允许 IAM 实体获取和创建异常监控器或异常订阅,请使用与此示例策略类似的策略。

注意
  • 对于ce:GetAnomalyMonitorce:GetAnomalySubscription,用户拥有或完全没有资源级访问控制。这要求策略使用以下形式的通用 ARNarn:${partition}:ce::${account-id}:anomalymonitor/*,arn:${partition}:ce::${account-id}:anomalysubscription/*,或*.

  • 对于ce:CreateAnomalyMonitorce:CreateAnomalySubscription,我们没有这个资源的资源 ARN。因此,该策略始终使用前一bullet 中提到的通用 ARN。

  • 对于ce:GetAnomalies,使用可选的monitorArn参数。与该参数一起使用时,我们会确认用户是否有权访问monitorArn通过。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ce:GetAnomalyMonitors", "ce:CreateAnomalyMonitor" ], "Effect": "Allow", "Resource": "arn:aws-cn:ce::999999999999:anomalymonitor/*" }, { "Action": [ "ce:GetAnomalySubscriptions", "ce:CreateAnomalySubscription" ], "Effect": "Allow", "Resource": "arn:aws-cn:ce::999999999999:anomalysubscription/*" } ] }

要允许 IAM 实体更新或删除异常监控程序,请使用类似于此示例策略的策略。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:UpdateAnomalyMonitor", "ce:DeleteAnomalyMonitor" ], "Resource": [ "arn:aws-cn:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000", "arn:aws-cn:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001" ] } ] }

使用标签控制访问 (ABAC)

您可以使用标签 (ABAC) 以控制对支持标记的成本异常检测资源的访问。要使用标签控制访问权限,请在中提供标签信息Condition策略的元素。然后,您可以创建一个 IAM policy,以根据资源的标签允许或拒绝访问资源。您可以使用标签条件键以控制对资源、请求或授权过程任何部分的访问。有关使用标签的 IAM 角色的更多信息,请参阅使用标签控制对 IAM 用户和角色的访问以及他们进行的访问在里面IAM 用户指南.

创建允许更新异常监控的基于身份的策略。如果显示器标签Owner的值为用户名,请使用与此示例策略相似的策略。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ce:UpdateAnomalyMonitor" ], "Resource": "arn:aws-cn:ce::*:anomalymonitor/*", "Condition": { "StringEquals": { "aws:ResourceTag/Owner": "${aws:username}" } } }, { "Effect": "Allow", "Action": "ce:GetAnomalyMonitors", "Resource": "*" } ] }