AWS Cost Explorer の IAM ポリシーが2020年11月5日に変更になります

記事タイトルとURLをコピーする

SRE部 佐竹です。
コスト最適化の分析フェーズでも、結果確認フェーズでも大活躍する AWS Cost Explorer の権限について記載します。

はじめに

Cost Explorer をご利用中のお客様には、以下の件名のメールが届いていると思われます。

[ACTION REQUIRED] Upcoming change to AWS Cost Explorer Access Control Policies

本ブログは、同件名のメールの補足記事です。

メールの内容

以下に和訳したものを掲載します。

AWS Cost Explorer の IAM ポリシーを強化予定です。この変更により、IAMポリシーの変更が必要になります。
2020年10月5日、AWS は Cost Explorer Preferences [1]、Cost Management Reports [2]、Reservation Expiration Alerts [3] のIAMアクションを変更し、きめ細かいアクセス制御(作成、更新、削除)を提供する予定です。
このお知らせからポリシーの変更適用まで30日です。詳細とIAMポリシーの例については、AWS Billing and CostManagement ドキュメント[4] を参照してください。

2020年11月5日までに必要な対応
「Cost Explorer のプリファレンス、SP/RI に関するレポート、およびRIの有効期限アラート」を引き続き設定変更可能としておくには、(場合によっては)IAMポリシーを変更する必要があります。変更を加えない場合、2020年11月5日以降、Cost Explorer における作成、更新、削除の機能がそれぞれ失われます。

  1. https://console.aws.amazon.com/cost-management/home?region=us-east-1#/settings
  2. https://console.aws.amazon.com/cost-management/home?region=us-east-1#/reports/overview
  3. https://console.aws.amazon.com/cost-management/home?region=us-east-1#/ri/dashboard
  4. https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html

2020年11月5日 に起きること

以下の権限が追加されます。また、追加されることで、 aws-portal:ViewBilling から以下の7つの機能が失われます。

現在は aws-portal:ViewBilling の権限下で利用が可能な以下の3つの機能が引き続き実行できる必要がある場合は、IAMポリシーを見直してください。

ce:UpdatePreferences

ce:UpdatePreferences は Cost Explorer のプリファレンスページの設定が変更できるかどうかの制御です。

f:id:swx-satake:20201006112757p:plain

マネジメントコンソールでは、コストマネジメントの左下にリンクがある、上画像の画面です。
普段の運用でこの画面を使うことはなかなかないとは考えられますが、「突然変更できなくなった」となる可能性もあるかと存じます。ご留意ください。

ce:CreateReport, ce:UpdateReport, ce:DeleteReport

ce:*Report の3つが追加されます。文字通り、レポート関係の権限です。これらの権限のコントロール対象となるレポートは以下の3つです。

  1. Cost and usage report
  2. Savings Plans reports (Savings Plans utilization, Savings Plans coverage)
  3. Reservation reports (Reservation utilization, Reservation coverage)

これらの機能を利用するマネジメントコンソールのリンクは「こちら」になります。

f:id:swx-satake:20201006113408p:plain

リンクをクリックして頂くと、上の画像のレポート管理画面に遷移します。この画面右上にある「Create new report」が利用できなくなります。

これらの権限設定に「実行」はないため、既存のレポートは影響を受けません。補足ですが ce:DescribeReport は既に存在しています。

ce:CreateNotificationSubscription, ce:UpdateNotificationSubscription, ce:DeleteNotificationSubscription

ce:*NotificationSubscription の3つが追加されます。これは、現在 Savings Plan にはなく、Reserved Instance だけに存在する「期限切れアラート」の送信機能の設定権限です。

この設定はマネジメントコンソールでは「こちら」から可能です。

f:id:swx-satake:20201006115620p:plain

リンクをクリックして頂くと、上の画像の通り RI のOverviewに遷移します。この画面右上にある「Manage alerts」から設定を行います。

f:id:swx-satake:20201006115945p:plain

この設定画面が利用できなくなります。これらの権限設定にも「実行」はないため、設定済の期限切れアラートは影響を受けません

影響を受けないIAMポリシーの記載

既にIAMポリシーで ce:* を記載されている場合、今回追加される全ての権限がこの中に包含されていますため、そのままご利用頂けます。

Cost Explorerに関するIAMポリシー全権限

以下に、参考までに ce: に関する全権限設定を記載します。

ce:CreateAnomalyMonitor
ce:CreateAnomalySubscription
ce:CreateCostCategoryDefinition
ce:CreateNotificationSubscription
ce:CreateReport
ce:DeleteAnomalyMonitor
ce:DeleteAnomalySubscription
ce:DeleteCostCategoryDefinition
ce:DeleteNotificationSubscription
ce:DeleteReport
ce:DescribeCostCategoryDefinition
ce:DescribeNotificationSubscription
ce:DescribeReport
ce:GetAnomalies
ce:GetAnomalyMonitors
ce:GetAnomalySubscriptions
ce:GetCostAndUsage
ce:GetCostAndUsageWithResources
ce:GetCostForecast
ce:GetDimensionValues
ce:GetPreferences
ce:GetReservationCoverage
ce:GetReservationPurchaseRecommendation
ce:GetReservationUtilization
ce:GetRightsizingRecommendation
ce:GetSavingsPlansCoverage
ce:GetSavingsPlansPurchaseRecommendation
ce:GetSavingsPlansUtilization
ce:GetSavingsPlansUtilizationDetails
ce:GetTags
ce:GetUsageForecast
ce:ListCostCategoryDefinitions
ce:ProvideAnomalyFeedback
ce:UpdateAnomalyMonitor
ce:UpdateAnomalySubscription
ce:UpdateCostCategoryDefinition
ce:UpdateNotificationSubscription
ce:UpdatePreferences
ce:UpdateReport

まとめ

f:id:swx-satake:20201006110619p:plain:w150

本ブログでは [ACTION REQUIRED] Upcoming change to AWS Cost Explorer Access Control Policies という件名のメールについての説明を記載しました。

2020年11月5日に aws-portal:ViewBilling から紹介しました7つの権限が ce: へと移動&分離し、より詳細に権限設定が可能となる反面、既存のオペレーションに影響が出る可能性があります。ただし、作成済のレポート及び、設定済のRI期限切れアラートに影響はありません。AWS Cost Explorer をご利用されている方は、念のため IAM の権限設定を確認されることをお勧めします。

では、またお会いしましょう。

佐竹 陽一 (Yoichi Satake) 記事一覧はコチラ

SRE2課所属。AWS資格12冠。2010年1月からAWSを利用してきました。
AWSのコスト削減、最適化を得意としています。