アカウント設定と請求情報
ルートアカウントは極力使用しないことが望ましいため、AWSのリソースにアクセスする際には、AWS Identity and Access Managementで作成したIAMユーザを使用する。各IAMユーザには、ポリシーと呼ばれる各リソースへのアクセス権限が付与可能で、アカウント管理者向けには、ルートアカウント並みの権限を持つAdministratorAccessと呼ばれるポリシーが用意されている。なお、 PowerUserAccessには、IAM権限とOrganaizations権限が付与されていない。
| 権限 | ルートアカウント | IAMユーザ (AdministratorAccess) | IAMユーザ (BillingFullAccess) | IAMユーザ (Billing) |
|---|---|---|---|---|
| ルートアカウントの設定情報の変更 | ◯ | × | × | × |
| サポートプランの変更 | ◯ | × | × | × |
| アカウントの解約 | ◯ | × | × | × |
| CloudFront のキーペアの作成 | ◯ | × | × | × |
| リソースベースポリシーの見直し | ◯ | × | × | × |
| AWSサービス全般へのアクセス許可 | ◯ | ◯ | × | × |
| AWSアカウント設定(支払い方法等)の参照 | ◯ | △ (※) | △ (※) | × |
| AWSアカウント設定(支払い方法等)の変更 | ◯ | △ (※) | △ (※) | × |
| 請求情報の参照 | ◯ | △ (※) | △ (※) | △ (※) |
- (※) ルートアカウントから明示的に、AWS 請求およびコスト管理コンソールへのIAMユーザーアクセスをアクティベートした場合のみアクセスすることが可能。
BillingFullAccessというポリシーは事前に用意されていないため、各IAMユーザごとに以下のようなカスタムポリシーを付与する必要がある。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "StmtXXXXXXXXXXXXXXXX",
"Effect": "Allow",
"Action": [
"aws-portal:*"
],
"Resource": [
"*"
]
}
]
}