【保存版】AWS請求情報のアクセス制御とIAM Identity Centerの実用ポリシー解説
〜AdministratorAccessでも見えない「Billing」の壁を突破する〜
✅ はじめに:AWS請求情報にアクセスできない本当の理由
AWSにおける「課金情報の閲覧」は、セキュリティ上、初期状態ではルートユーザーに限定されています。
そのため、たとえ AdministratorAccess ポリシーを付与しても、IAMユーザーやIAM Identity Center(IAM IC)ユーザーは請求情報を見られません。
この制限を突破し、適切に請求ダッシュボードへアクセスさせるための実務的な設定と、IAM ICで使用可能なAWS事前定義ポリシーの実用解説をまとめました。
🔓 解決ステップ1:ルートユーザーによる「IAMアクセスの有効化」
🔐 初期設定(ルートユーザーで1回だけ)
- AWSアカウント設定ページ にルートユーザーでログイン
- 「IAMユーザーとロールによる請求情報へのアクセス」を有効にする
- 保存ボタンをクリック
これにより、IAM/IAM ICユーザーでも、適切な権限があれば請求情報へアクセス可能となります。
🧭 解決ステップ2:IAM Identity Center ユーザーに適切な「許可セット」を割り当てる
IAM Identity Center(旧AWS SSO)では、事前定義されたAWSマネージドポリシーを用いて、ユーザーごとにアクセス制御が可能です。
以下に、目的別のポリシー一覧と請求情報アクセス可否を示します。
✅ AWS 事前定義済みポリシー(Permission Set)一覧
| ポリシー名 | 用途/特徴 | 請求情報閲覧 |
|---|---|---|
| AdministratorAccess | すべてのAWSサービスとリソースに完全アクセス(ただしBilling除く) | ❌ |
| Billing | 請求情報の閲覧・管理、支払い設定やアカウント情報の変更が可能 | ✅ |
| DatabaseAdministrator | RDS、DynamoDB、RedshiftなどDB関連サービスの管理 | ❌ |
| DataScientist | SageMaker、Athena、Glue等のデータ分析関連サービスにアクセス | ❌ |
| NetworkAdministrator | VPC、Route 53、Transit Gateway等のネットワーク関連サービスに管理アクセス | ❌ |
| PowerUserAccess | ほぼ全てのサービスにアクセス可能(IAMなどのセキュリティ領域は除く) | ❌ |
| ReadOnlyAccess | すべてのサービスを読み取り専用で利用可能。設定変更は不可 | ❌ |
| SecurityAudit | CloudTrail、IAM、ログ等のセキュリティ監査に特化した読み取り専用 | ❌ |
| SupportUser | AWSサポートセンターへのアクセス、サポートケースの作成・参照が可能 | ❌ |
| SystemAdministrator | 主要AWSサービス(EC2/S3/IAMなど)の管理権限 | ❌ |
| ViewOnlyAccess | 最も制限された読み取り専用権限 | ❌ |
🔑 ポイント:請求情報を見たいなら Billing ポリシーが必須
| 条件 | 対応策 |
|---|---|
| IAM ICユーザーで請求情報を見たい | Billing ポリシーを含むPermission Setを割り当てる |
AdministratorAccessでも請求が見えない | ルートユーザーで「IAMアクセスの有効化」を実施しているか確認する |
🛠 実務向けアドバイス:ユースケース別ポリシー選定
| ユースケース | 推奨ポリシー構成 |
|---|---|
| 技術者にフルアクセスを与えるが請求は見せたくない | AdministratorAccess のみ |
| 経理・会計担当に請求ダッシュボードだけを見せたい | Billing のみ |
| 組織全体でのコスト管理・監視を任せたい | Billing + ReadOnlyAccess の併用 |
| セキュリティ監査担当者にインフラ変更はさせたくない | SecurityAudit のみ |
必要に応じて、**独自のPermission Set(カスタムポリシー)**を作成することで、より精緻な制御も可能です。
📦 補足:AWS BudgetsやCost Explorerとの連携
コスト管理の自動化を目指す場合、以下のAWSサービスと連携することでより強固な運用が可能です。
- AWS Budgets:月額上限アラート/実績予算管理
- Cost Explorer:サービス別・アカウント別の利用状況の可視化
- Organizations統合請求:マルチアカウントの一元管理
- CDK/Terraform:監視基盤のコード化による再現性の高い導入
🎯 まとめ
- AWSの請求情報は、デフォルトではルートユーザー以外見られない
AdministratorAccessでは不十分。Billingポリシーが明示的に必要- IAM Identity Centerのマネージドポリシーは、役割別に実用的な設計が可能
- コスト管理は技術権限と分離し、組織的な統制強化につなげることが重要
。
コメント