新しい IAM アクションで AWS Cost Explorer を表示するために必要な権限

こんにちは、テクニカルサポート課の荒川です。

AWS Cost Explorer で表示するために必要な権限について、過去に記事があります。 blog.serverworks.co.jp 今回、新しい IAM アクションが有効となり、上記記事内のポリシーでは AWS Cost Explorer で表示することが出来なくなったため、検証を行いました。

背景

新しい IAM アクションとは

2023 年 7 月 6 日以降、請求、コスト管理、およびアカウントサービスへのアクセスをより詳細に制御できるように仕様変更がありました。その中で以下 3 つは廃止となっております。

aws-portal
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

詳細は以下をご確認願います。 aws.amazon.com

「aws-portal」の廃止が、aws-portal:ViewBilling を使用したポリシーで AWS Cost Explorer で表示されない原因であることを確認出来ました。

必要な権限について

IAM ポリシー

先に結論として、新しい IAM アクションで AWS Cost Explorer で表示するために必要な権限を記載します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ce:Get*",
                "ce:DescribeReport"
            ],
            "Resource": "*"
        }
    ]
}

新しい IAM アクションへ移行するための情報

以下公式ドキュメントに詳細が記載されております。 docs.aws.amazon.com

上記 IAM ポリシーもドキュメント内の以下情報を参考に作成しました。

AWS コスト管理コンソールの機能名	IAM アクション	説明
AWS Cost Explorer	ce:GetCostCategories ce:GetDimensionValues ce:GetCostAndUsageWithResources ce:GetCostAndUsage ce:GetCostForecast ce:GetTags ce:GetUsageForecast ce:DescribeReport	[AWS Cost Explorer] (コストエクスプローラー) ページを表示するアクセス許可をユーザーに付与または拒否します。