翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS コスト管理のアクセスコントロールの移行
**注記**
次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。
`aws-portal` 名前空間
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
を使用している場合は AWS Organizations、[一括ポリシー移行スクリプト](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html)を使用して、支払者アカウントからポリシーを更新できます。また、[従来のアクションから詳細なアクションへのマッピングのリファレンス](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html)を使用して、追加する必要のある IAM アクションを検証することもできます。
詳細については、[AWS 「請求、 AWS コスト管理、アカウントコンソールのアクセス許可の変更](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/)」ブログを参照してください。
2023 年 3 月 6 日午前 11:00 (PDT) 以降に AWS Organizations 作成された がある場合、 AWS アカウントまたは の一部である場合、きめ細かなアクションはすでに組織で有効です。
きめ細かなアクセスコントロールを使用して、組織内の個人に AWS Billing and Cost Management サービスへのアクセスを提供できます。例えば、 AWS 請求コンソールへのアクセスを提供せずに Cost Explorer へのアクセスを提供できます。
きめ細かなアクセス制御を使用するには、ポリシーを `aws-portal` から新しい IAM アクションに移行する必要があります。
アクセス許可ポリシーまたはサービスコントロールポリシー (SCP) の次の IAM アクションは、この移行で更新する必要があります。
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
**[影響を受けたポリシー]** ツールを使用して影響を受ける IAM ポリシーを特定する方法については、「[影響を受けたポリシーツールの使用方法](migrate-security-iam-tool.md)」を参照してください。
**注記**
プログラムによる AWS Cost Explorer、、 AWS コストと使用状況レポート、および AWS Budgets へのリクエストは影響を受けません。
[請求情報とコスト管理コンソールへのアクセスをアクティベートする](control-access-billing.md#ControllingAccessWebsite-Activate) は変更しないでください。
**Topics**
+ [アクセス許可の管理](#migrate-control-access-CMG)
+ [影響を受けたポリシーツールの使用方法](migrate-security-iam-tool.md)
## アクセス許可の管理
AWS コスト管理は AWS Identity and Access Management (IAM) サービスと統合されるため、組織内の誰が[AWS コスト管理コンソール](https://console.aws.amazon.com/cost-management/)の特定のページにアクセスできるかを制御できます。 AWS コスト管理機能へのアクセスを制御できます。例えば、 AWS Cost Explorer、Savings Plans、予約レコメンデーション、Savings Plans、予約の使用率とカバレッジレポートなどです。
AWS コスト管理コンソールのきめ細かな制御には、次の IAM アクセス許可を使用します。
### きめ細かな AWS コスト管理アクションの使用
次の表は、コストおよび使用状況へのアクセス権を IAM ユーザーとロールに付与または拒否するアクセス許可をまとめたものです。これらのアクセス許可を使用するポリシーの例については、[AWS コスト管理ポリシーの例](billing-example-policies.md) を参照してください。
AWS 請求コンソールのアクションのリストについては、[AWS 「請求ユーザーガイド」の「請求アクションポリシー](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#user-permissions)」を参照してください。 *AWS *
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/cost-management/latest/userguide/migrate-granularaccess-whatis.html)
# 影響を受けたポリシーツールの使用方法
**注記**
次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。
`aws-portal` 名前空間
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
を使用している場合は AWS Organizations、[一括ポリシー移行スクリプト](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html)を使用して、支払者アカウントからポリシーを更新できます。また、[従来のアクションから詳細なアクションへのマッピングのリファレンス](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html)を使用して、追加する必要のある IAM アクションを検証することもできます。
詳細については、[AWS 「請求、 AWS コスト管理、アカウントコンソールのアクセス許可の変更](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/)」ブログを参照してください。
2023 年 3 月 6 日午前 11:00 (PDT) 以降に AWS Organizations 作成された がある場合、 AWS アカウントまたは の一部である場合、きめ細かなアクションはすでに組織で有効です。
請求コンソールの [**影響を受けたポリシー**] ツールを使用して IAM ポリシー (SCP を除く) を特定し、この移行によって影響を受ける IAM アクションを参照します。[**影響を受けたポリシー**] ツールを使用して、以下のタスクを実行します。
+ IAM ポリシーを特定し、この移行によって影響を受ける IAM アクションを参照します。
+ 更新したポリシーをクリップボードにコピーします。
+ 影響を受けたポリシーを IAM ポリシーエディターで開きます。
+ アカウントの更新したポリシーを保存します。
+ 詳細な権限を有効にして、古いアクションを無効にします。
このツールは、サインインしている AWS アカウントの境界内で動作し、他の AWS Organizations アカウントに関する情報は公開されません。
**[影響を受けたポリシー] ツールを使用するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/) で AWS Billing and Cost Management コンソールを開きます。
1. **[影響を受けたポリシー]** ツールにアクセスするには、URL ([https://console.aws.amazon.com/poliden/home?region=us-east-1#/](https://console.aws.amazon.com/poliden/home?region=us-east-1#/)) をブラウザに貼り付けます。
**注記**
`iam:GetAccountAuthorizationDetails` アクセス許可は、このページを表示するために必要です。
1. 影響を受ける IAM ポリシーが記載されている表を確認します。ポリシーで参照されている特定の IAM アクションを確認するには、**[非推奨の IAM アクション]** 列を使用してください。
1. [**更新したポリシーをコピー**] 列で [**コピー**] を選択し、更新したポリシーをクリップボードにコピーします。更新したポリシーには、既存のポリシーと、それに追加された詳細な推奨アクションが個別の `Sid` ブロックとして含まれます。このブロックには、ポリシーの末尾にプレフィックス `AffectedPoliciesMigrator` が付きます。
1. [**IAM コンソールでポリシーを編集**] 列で、[**編集**] を選択して IAM ポリシーエディターに移動します。既存のポリシーの JSON が表示されます。
1. 既存のポリシー全体を、ステップ 4 でコピーした更新済みのポリシーに置き換えます。必要に応じて他の変更を加えることができます。
1. [**次へ**]、[**変更を保存**] の順に選択します。
1. 影響を受けるすべてのポリシーについて、ステップ 3 ~ 7 を繰り返します。
1. ポリシーを更新したら、[**影響を受けたポリシー**] ツールを更新して、影響を受けたポリシーがリストにないことを確認します。すべてのポリシーの [**新しい IAM アクションが見つかりました**] 列に [**はい**] が表示され、[**コピー**] ボタンと [**編集**] ボタンは無効になります。影響を受けたポリシーが更新されます。
**アカウントで詳細なアクションを有効にするには**
ポリシーを更新したら、次の手順に従ってアカウントで詳細なアクションを有効にします。
[**新しい IAM アクションを管理**] セクションを使用できるのは、組織の管理アカウント (支払人) または個人アカウントだけです。個人アカウントは、新しいアクションを自分で有効にできます。管理アカウントは、組織全体または一部のメンバーアカウントに対して新しいアクションを有効にできます。管理アカウントの場合は、すべてのメンバーアカウントの影響を受けたポリシーを更新し、組織で新しいアクションを有効にします。詳細については、 AWS ブログ記事の「How [to toggle accounts between new fine-grained actions or existing IAM actions?](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/#How-to-toggle-accounts-between-new-fine-grained-actions-or-existing-IAM-Actions)」セクションを参照してください。
**注記**
これを実行するには、次のアクセス許可が必要です。
`aws-portal:GetConsoleActionSetEnforced`
`aws-portal:UpdateConsoleActionSetEnforced`
`ce:GetConsoleActionSetEnforced`
`ce:UpdateConsoleActionSetEnforced`
`purchase-orders:GetConsoleActionSetEnforced`
`purchase-orders:UpdateConsoleActionSetEnforced`
[**新しい IAM アクションを管理**] セクションが表示されない場合は、アカウントで詳細な IAM アクションがすでに有効になっていることを意味します。
1. [**新しい IAM アクションを管理**] では、[**強制される現在のアクションセット**] 設定は [**既存**] ステータスになります。
[**新しいアクションを有効にする (詳細)**] を選択し、[**変更を適用**] を選択します。
1. ダイアログボックスで、**[はい]** を選択します。「**強制される現在のアクションセット**] ステータスが [**詳細**] に変わります。つまり、新しいアクションがユーザーの AWS アカウント または組織に強制されます。
1. (オプション) その後、既存のポリシーを更新して、古いアクションをすべて削除できます。
**Example 例: IAM ポリシーの前と後**
次の IAM ポリシーには古い `aws-portal:ViewPaymentMethods` アクションが含まれています。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
}
]
}
```
更新したポリシーをコピーすると、次の例では詳細なアクションを含む新しい `Sid` ブロックが作成されます。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
},
{
"Sid": "AffectedPoliciesMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"invoicing:GetInvoicePDF",
"payments:GetPaymentInstrument",
"payments:GetPaymentStatus",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}
]
}
```
## 関連リソース
詳細については、「*IAM ユーザーガイド*」の [Sid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html) についてのページを参照してください。
新しいきめ細かなアクションの詳細については、[「きめ細かな IAM アクションのマッピングリファレンス](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html)」および[「きめ細かな AWS コスト管理アクションの使用](https://docs.aws.amazon.com/cost-management/latest/userguide/migrate-granularaccess-whatis.html#migrate-user-permissions)」を参照してください。