SRE部 佐竹です。
コスト最適化の分析フェーズでも、結果確認フェーズでも大活躍する AWS Cost Explorer の権限について記載します。
はじめに
Cost Explorer をご利用中のお客様には、以下の件名のメールが届いていると思われます。
[ACTION REQUIRED] Upcoming change to AWS Cost Explorer Access Control Policies
本ブログは、同件名のメールの補足記事です。
メールの内容
以下に和訳したものを掲載します。
AWS Cost Explorer の IAM ポリシーを強化予定です。この変更により、IAMポリシーの変更が必要になります。
2020年10月5日、AWS は Cost Explorer Preferences [1]、Cost Management Reports [2]、Reservation Expiration Alerts [3] のIAMアクションを変更し、きめ細かいアクセス制御(作成、更新、削除)を提供する予定です。
このお知らせからポリシーの変更適用まで30日です。詳細とIAMポリシーの例については、AWS Billing and CostManagement ドキュメント[4] を参照してください。2020年11月5日までに必要な対応:
「Cost Explorer のプリファレンス、SP/RI に関するレポート、およびRIの有効期限アラート」を引き続き設定変更可能としておくには、(場合によっては)IAMポリシーを変更する必要があります。変更を加えない場合、2020年11月5日以降、Cost Explorer における作成、更新、削除の機能がそれぞれ失われます。
- https://console.aws.amazon.com/cost-management/home?region=us-east-1#/settings
- https://console.aws.amazon.com/cost-management/home?region=us-east-1#/reports/overview
- https://console.aws.amazon.com/cost-management/home?region=us-east-1#/ri/dashboard
- https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html
2020年11月5日 に起きること
以下の権限が追加されます。また、追加されることで、 aws-portal:ViewBilling から以下の7つの機能が失われます。
現在は aws-portal:ViewBilling の権限下で利用が可能な以下の3つの機能が引き続き実行できる必要がある場合は、IAMポリシーを見直してください。
ce:UpdatePreferences
ce:UpdatePreferences は Cost Explorer のプリファレンスページの設定が変更できるかどうかの制御です。
マネジメントコンソールでは、コストマネジメントの左下にリンクがある、上画像の画面です。
普段の運用でこの画面を使うことはなかなかないとは考えられますが、「突然変更できなくなった」となる可能性もあるかと存じます。ご留意ください。
ce:CreateReport, ce:UpdateReport, ce:DeleteReport
ce:*Report の3つが追加されます。文字通り、レポート関係の権限です。これらの権限のコントロール対象となるレポートは以下の3つです。
- Cost and usage report
- Savings Plans reports (Savings Plans utilization, Savings Plans coverage)
- Reservation reports (Reservation utilization, Reservation coverage)
これらの機能を利用するマネジメントコンソールのリンクは「こちら」になります。
リンクをクリックして頂くと、上の画像のレポート管理画面に遷移します。この画面右上にある「Create new report」が利用できなくなります。
これらの権限設定に「実行」はないため、既存のレポートは影響を受けません。補足ですが ce:DescribeReport は既に存在しています。
ce:CreateNotificationSubscription, ce:UpdateNotificationSubscription, ce:DeleteNotificationSubscription
ce:*NotificationSubscription の3つが追加されます。これは、現在 Savings Plan にはなく、Reserved Instance だけに存在する「期限切れアラート」の送信機能の設定権限です。
この設定はマネジメントコンソールでは「こちら」から可能です。
リンクをクリックして頂くと、上の画像の通り RI のOverviewに遷移します。この画面右上にある「Manage alerts」から設定を行います。
この設定画面が利用できなくなります。これらの権限設定にも「実行」はないため、設定済の期限切れアラートは影響を受けません。
影響を受けないIAMポリシーの記載
既にIAMポリシーで ce:* を記載されている場合、今回追加される全ての権限がこの中に包含されていますため、そのままご利用頂けます。
Cost Explorerに関するIAMポリシー全権限
以下に、参考までに ce: に関する全権限設定を記載します。
ce:CreateAnomalyMonitor ce:CreateAnomalySubscription ce:CreateCostCategoryDefinition ce:CreateNotificationSubscription ce:CreateReport ce:DeleteAnomalyMonitor ce:DeleteAnomalySubscription ce:DeleteCostCategoryDefinition ce:DeleteNotificationSubscription ce:DeleteReport ce:DescribeCostCategoryDefinition ce:DescribeNotificationSubscription ce:DescribeReport ce:GetAnomalies ce:GetAnomalyMonitors ce:GetAnomalySubscriptions ce:GetCostAndUsage ce:GetCostAndUsageWithResources ce:GetCostForecast ce:GetDimensionValues ce:GetPreferences ce:GetReservationCoverage ce:GetReservationPurchaseRecommendation ce:GetReservationUtilization ce:GetRightsizingRecommendation ce:GetSavingsPlansCoverage ce:GetSavingsPlansPurchaseRecommendation ce:GetSavingsPlansUtilization ce:GetSavingsPlansUtilizationDetails ce:GetTags ce:GetUsageForecast ce:ListCostCategoryDefinitions ce:ProvideAnomalyFeedback ce:UpdateAnomalyMonitor ce:UpdateAnomalySubscription ce:UpdateCostCategoryDefinition ce:UpdateNotificationSubscription ce:UpdatePreferences ce:UpdateReport
まとめ
本ブログでは [ACTION REQUIRED] Upcoming change to AWS Cost Explorer Access Control Policies という件名のメールについての説明を記載しました。
2020年11月5日に aws-portal:ViewBilling から紹介しました7つの権限が ce: へと移動&分離し、より詳細に権限設定が可能となる反面、既存のオペレーションに影響が出る可能性があります。ただし、作成済のレポート及び、設定済のRI期限切れアラートに影響はありません。AWS Cost Explorer をご利用されている方は、念のため IAM の権限設定を確認されることをお勧めします。
では、またお会いしましょう。
佐竹 陽一 (Yoichi Satake) エンジニアブログの記事一覧はコチラ
マネージドサービス部所属。AWS資格全冠。2010年1月からAWSを利用してきています。2021-2022 AWS Ambassadors/2023 Japan AWS Top Engineers/2020-2023 All Certifications Engineers。AWSのコスト削減、最適化を得意としています。
