AWSでは、Defaultの状態ではIAMユーザーが請求情報を閲覧することはできません。rootアカウントのみが変更・閲覧できるようになっています。
しかし、AWSの管理上、請求情報は経理部門や部門長などが常に確認できるようにしておかなければならないことは会社組織上よくある話ですが、AWSを統括管理している部門・担当者以外の経理部門担当者などにAWSのrootアカウントを解放することはシステム管理上リスク以外の何物でもありません。そこで今回は、経理部門の担当者等が請求情報のみを閲覧できるように、billing専用のグループを作成し、専用のIAMユーザーを所属させ、適切な管理権限を割り当てます。
AWSウェブコンソールにログイン後、画面上のメニューバーからアカウント名をクリックし、「アカウント設定」をクリックします。
「アカウント設定」が表示されましたら、画面を下にスクロールしていきますと、「IAMユーザー/ロールによる請求情報へのアクセス」が表示されますので、タイトル右側の「編集」ボタンをクリックします。
「IAMアクセスのアクティブ化」にチェックを入れ、「更新」ボタンをクリックします。
IAMユーザー/ロールによる請求情報へのアクセスは有効になっています。と表示されたことを確認します。
次に、IAM設定画面を表示する為に、サービスページの検索ボックスから”IAM”と入力し、検索ボックス下に表示されたIAMページ(検索結果)をクリックします。
「アクセス管理」-「ポリシー」をクリックし、画面を表示させたら、青色の「ポリシーの作成」ボタンをクリックします。
サービスの選択画面から「サービス」下の検索ボックスに”bill” (※biでも検索結果がでてきます。)と入力し、出てきた”billing”をクリックし選択します。
ViewBillingにのみチェックを入れます。 この時、ViewAccountやViewPaymentMethodsにチェックマークをしてしまうと、アカウント情報や支払情報までIAMユーザーが閲覧できる状態になってしまいますので、必要最低限の権限だけを付与するようにしてください。
権限の付与が完了したら、「ポリシーの確認」ボタンをクリックします。
IAM 「アクセス管理 」-「グループ」画面から、ポリシーを割り当てたいグループを選択します。もしこの時に割り当てたいグループを作成していない場合には、「新しいグループの作成」ボタンをクリックしグループを作成します。
先ほど作成したポリシーを割り当てたいグループにアタッチします。ここでは、先ほど作成したポリシー「View_Billing」にチェックを入れています。
これで、請求情報を閲覧させたユーザー(グループ)に、適切な権限を与えることができました。
念の為、ポリシーが適切に作成されているか、最後の最後ですが確認しておきます。
問題がないようでしたら、これで作業は終了です。
お疲れ様でした。