本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 控制成本异常检测的访问
<a name="accesscontrol-ad"></a>

您可以将资源级访问控制和基于属性的访问权限控制（ABAC）标签用于成本异常监控和异常订阅。每个异常监控和异常订阅资源均有唯一的 Amazon 资源名称（ABC）。您还可以将标签（键值对）添加到每个特征。资源 ARNs 和 ABAC 标签都可用于对您中的用户角色或群组进行精细的访问控制。 AWS 账户

有关资源级访问控制和 ABAC 标签的更多信息，请参阅 [AWS 成本管理如何与 IAM 配合使用](security_iam_service-with-iam.md)。

**注意**  
成本异常检测不支持基于资源的策略。基于资源的策略直接与 AWS 资源挂钩。有关策略和权限差异的更多信息，请参阅 [IAM 用户指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)中的*基于身份的策略与基于资源的策略*。

## 使用资源层面的策略限制访问。
<a name="accesscontrol-ad-resource-level"></a>

您可以使用资源级权限来允许或拒绝访问 IAM 策略中的一个或多个成本异常检测资源。或者，使用资源级权限来允许或拒绝访问所有成本异常检测资源。

创建 IAM 时，请使用以下 Amazon 资源名称（ARN）格式：
+ `AnomalyMonitor` 资源 ARN

  `arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}`
+ `AnomalySubscription` 资源 ARN

  `arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}`

要允许 IAM 实体获取和创建异常监控或异常订阅，请使用与此示例策略类似的策略。

**注意**  
对于 `ce:GetAnomalyMonitor` 和 `ce:GetAnomalySubscription`，用户拥有全部或完全没有资源级访问控制。这要求策略使用 `arn:${partition}:ce::${account-id}:anomalymonitor/*`、`arn:${partition}:ce::${account-id}:anomalysubscription/*` 或 `*` 形式的通用 ARN。
对于 `ce:CreateAnomalyMonitor` 和 `ce:CreateAnomalySubscription`，我们没有该资源的资源 ARN。因此，该策略始终使用上一条中提到的通用 ARN。
对于 `ce:GetAnomalies`，请使用可选 `monitorArn` 参数。与该参数一起使用时，我们会确认用户是否有权访问 `monitorArn`。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ce:GetAnomalyMonitors",
                "ce:CreateAnomalyMonitor"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalymonitor/*"
        }, 
        {
            "Action": [
                "ce:GetAnomalySubscriptions",
                "ce:CreateAnomalySubscription"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalysubscription/*"
        }
    ]
}
```

------

要允许 IAM 实体更新或删除异常监控，请使用与此示例策略类似的策略。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor",
                "ce:DeleteAnomalyMonitor"
                ],
            "Resource": [
              "arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000",
              "arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001"
		]
         }
    ]
}
```

------

## 使用标签控制访问（ABAC）
<a name="accesscontrol-ad-tags"></a>

您可以使用标签（ABAC）以控制对支持标记的成本异常情况检测资源的访问。要根据标签控制访问，您需要在策略的 `Condition` 元素中提供标签信息。然后，您可以创建一个 IAM 策略，以根据资源的标签允许或拒绝访问资源。您可以使用标签条件键以控制对资源、请求或授权过程任何部分的访问。有关使用标签的 IAM 角色的更多信息，请参阅 *IAM 用户指南*中的[使用标签控制对用户和角色的访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html)。

创建允许更新异常监控的基于身份的策略。如果监控标签 `Owner` 的值为用户名，请使用与此示例策略类似的策略。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor"
            ],
            "Resource": "arn:aws:ce::*:anomalymonitor/*",
            "Condition": {
                "StringEquals": {
			"aws:ResourceTag/Owner": "${aws:username}"
		   }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ce:GetAnomalyMonitors",
            "Resource": "*"
        }
    ]
}
```

------