nmtysh.log

Tech系のネタや日々の独り言などを書いています。

IAMで請求情報は表示できるが請求先は表示できないようにする

※この記事はQiitaにも投稿しています。

IAMユーザーにも請求情報の表示を許可する

請求の情報およびツールへのアクセス許可 - AWS 請求情報とコスト管理 を参考にルートアカウント認証情報でログインしてアカウントの"IAM User Access to Billing Information"を有効にします。

支払先情報を隠す

IAMユーザーで請求情報を見られるようにした場合、AdministratorAccessポリシーが適用されていると支払先情報までアクセスできてしまいます。
請求金額などは見せたいが支払先情報の表示や変更を許可したくない場合はインラインポリシーで個別にブロックします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1474516683000",
            "Effect": "Deny",
            "Action": [
                "aws-portal:ModifyAccount",
                "aws-portal:ModifyBilling",
                "aws-portal:ModifyPaymentMethods",
                "aws-portal:ViewAccount",
                "aws-portal:ViewBudget",
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

AdministratorAccessポリシーだったらポリシールールをIAMユーザーが自分で変更できちゃうよね。というツッコミは無しでお願いします。
それは別途ポリシーでブロックしてください。

参考

広告を非表示にする