AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.
Billing and Cost Management で発生する、IAM アクセス許可の問題をトラブルシューティングする方法を教えてください。
AWS Identity and Access Management (IAM) ユーザーまたはグループが、アカウントの請求情報にアクセスする際のアクセス許可に関する問題をトラブルシューティングしたいです。
解決策
IAM ユーザーまたはグループが AWS Billing and Cost Management コンソールにアクセスしようとした際にアクセス許可の問題が発生する場合は、次の手順が完了していることを確認してください。
- アカウントの root ユーザーにより請求情報へのアクセスが委任されている。
- IAM ポリシーシミュレーターを使用してアクセス許可をテスト済みである。
- IAM エンティティに、Billing and Cost Management コンソールへのアクセスを許可するのに必要な IAM ポリシーがある。
- AWS Organizations メンバーアカウントには、IAM エンティティまたは root ユーザーのアクセスをブロックするサービスコントロールポリシー (SCP) が存在しない。
- 多要素認証 (MFA) デバイスは、常に認証を許可するように設定されている。
- Billing and Cost Management コンソールへのアクセスを許可する IAM エンティティには、アクセス許可境界がアタッチされている。
Billing and Cost Management コンソールへのアクセス許可を IAM エンティティに付与する
次の手順を実行します。
- アカウントの root ユーザー認証情報を使用して AWS マネジメントコンソールにサインインします。
重要: root ユーザーの認証情報を必要とするタスクには、root ユーザーのみを使用することをおすすめします。 - ナビゲーションペインでアカウント名を選択し、[アカウント] を選択します。
- [IAM ユーザーとロールの請求情報へのアクセス許可] の横にある [編集] を選択します。
- [IAM アクセスを有効にする] を選択します。
注: この設定は、デフォルトでは無効になっています。詳細については、「請求情報とツールへのアクセス許可を付与する」を参照してください。 - [更新] を選択します。
- IAM コンソールを開き、AWS マネージドアクセス許可を IAM エンティティにアタッチします。
注: IAM エンティティには、少なくとも 1 つの IAM ポリシーがアタッチされている必要があります。Billing and Cost Management コンソールのポリシー例については、「AWS Billing での ID ベースのポリシー」を参照してください。AWSBillingReadOnlyAccess や Billing などの AWS マネージドポリシーも使用できます。
IAM エンティティが Billing and Cost Management コンソールにアクセスできることを確認する
アクセス許可の問題が解消されない場合は、Billing and Cost Management コンソールへのアクセスを拒否するポリシーが IAM エンティティにアタッチされている可能性があります。
IAM ポリシーシミュレーターを使用して、Billing and Cost Management コンソールへのアクセスを妨げているポリシーを特定します。該当するポリシーをすべて確認して、Billing and Cost Management コンソールへのアクセスが拒否されているかどうかを確認します。
特定の AWS リージョンへのアクセスを制限する IAM ポリシーまたは SCP が IAM エンティティにアタッチされている
請求サービスはグローバルサービスであり、Billing and Cost Management コンソールで実行したすべてのアクションは、us-east-1 リージョンのログに記録されます。IAM ポリシーまたは SCP が特定のリージョンへのアクセスを拒否している場合は、ポリシーを変更し、必要な特定の請求アクセス許可を免除してください。詳細については、「AWS: リクエストされたリージョンに基づいて、AWS へのアクセスを拒否する」を参照してください。
IAM ポリシーまたは SCP に Deny 効果があり、IAM エンティティが MFA 認証されている場合にのみサービスへのアクセスが許可される
MFA を使用する場合、Billing and Cost Management コンソールにアクセスするには追加の設定が必要です。MFA デバイスは常に、MFA トークンで認証されるように設定する必要があります。
IAM エンティティに、Billing and Cost Management コンソールへのアクセスを許可しないアクセス許可の境界が設定されている
アクセス許可の境界の設定により、このアクセス許可が制限される場合は、IAM エンティティは Billing and Cost Management コンソールにアクセスできません。アクセス許可の境界には、必要な Billing and Cost Management コンソールのアクセス許可に対する Allow 効果を持つポリシーステートメントが必要です。
関連情報
関連するコンテンツ
- 質問済み 4ヶ月前
