こんにちは！ 現在研修中の日高です！！

AWS Cost Explorer（今後はCost Explorerと略します）をマネジメントコンソールで表示するために必要な権限を知らず、唐突に気になったので備忘録がてら本ブログにまとめていきたいと思います。
前提として今回はアクセス許可に焦点を絞った話をするので、ルートユーザー側でのアクティベートについては触れません。

• Cost Explorerの概要
• 検証内容
  • IAMポリシーの作成
  • IAMユーザーを作成してIAMポリシーを紐づける
  • マネジメントコンソールで新規作成のIAMユーザーにログイン
  • 検証結果
• まとめ

Cost Explorerの概要

Cost Explorerとは使用したAWSリソースの使用状況だったり、コストをサービスごとに可視化するなどの分析ができるサービスです。
噛み砕いて書くと、どのサービスにどれくらいコストがかかっているか、どの日にどれくらいコストがかかっているのかなどを分析できます。

AWSの公式ドキュメントにはこのように書いていました。

AWS Cost Explorer は、コストと使用状況を表示および分析するために使用できるツールです。メイングラフ、Cost Explorer コストと使用状況レポート、または Cost Explorer RI レポートを使用して、使用状況とコストを確認できます。

※詳しくは以下をご覧ください

docs.aws.amazon.com

検証内容

IAMポリシーの作成

請求情報とコスト管理コンソールページを表示する権限を IAM ユーザーに与える「aws-portal:ViewBilling」があればいけるのではないかと考えました。

※詳しくはこちらをご覧ください docs.aws.amazon.com

ですので、今回は以下のIAMポリシー（CostExplorerUserPolicy）を作成しました。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCostExplorer",
            "Effect": "Allow",
            "Action": "aws-portal:ViewBilling",
            "Resource": "*"
        }
    ]
}

IAMユーザーを作成してIAMポリシーを紐づける

IAMのマネジメントコンソールにいって左ペインから「ユーザー」を選択します。
ユーザー名を「test-Cost Explorer」にして先ほど作成した、IAMポリシー（Cost ExplorerUserPolicy）をアタッチしました。

本来だったらMFAを設定せず、IAMポリシーを直接ユーザーにアタッチすることは推奨されていないことですが、検証だったため省かせてもらいました。

マネジメントコンソールで新規作成のIAMユーザーにログイン

マネジメントコンソールに先ほど作成したIAMユーザー「test-Cost Explorer」でログインしました。

検証結果

マネジメントコンソールで、無事Cost Explorerを表示することができました。

まとめ

今回はマネジメントコンソールでCost Explorerを表示するために必要なI権限について調べました。
コスト管理の権限は細分化されているので自身が表示したいものの情報へのあたりのつけ方が難しかったです。
本記事が誰かのお力になれれば幸いです。