🐷
【アナウンスに偽りあり】AWS料金・請求のIAMポリシーアップデートに注意(2023年)
結論
AWS管理ポリシーを使用している場合は何もする必要はありません(キリッ)と書かれていますがウソです。
チェックしましょう。
経緯
先日、料金関係のポリシーについてアップデートが発表されました。
ポリシー内容がイマイチだったので、これ自体は嬉しいアップデートです。
以前記事にしましたが、事前切り替えができないという懸念も解消して、めでたしめでたしと思っていました。
問題点
記事には以下の記載があります。
AWS 管理ポリシーのみを使用している場合は、AWS が更新を行うため、何もする必要はありません。
Billing (arn:aws:iam::aws:policy/job-function/Billing)のポリシーを使用していましたので、
大して変更要らなそうだなと思いつつ、事前切替えしてチェックしたところCost Explorerにアクセス不可になりました。
サポート確認したところ、アクセス不可になる仕様であるという事実が発覚しました。
アナウンスを修正した方が良いと指摘しましたが、本記事投稿時点では英語版含め修正されていないようです。
対処法
事前切り替えができるのでチェックしましょう。
新しいきめ細かいアクションと既存の IAM アクションを切り替える方法
以下URLから切り替え用のコンソール画面にアクセスできます。一旦1つのアカウントだけ新しいポリシーを有効にするということも可能です。 ※Billingコンソールの一番下「アクセス許可 - Affected policies」の画面です。
なお、料金・請求関係のフルアクセスを付与したい場合は、Billingにプラスして以下のポリシーをアタッチすると良いと思います。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Billing",
"Effect": "Allow",
"Action": [
"pricing:*",
"sustainability:*",
"account:GetContactInformation"
],
"Resource": "*"
},
{
"Sid": "CostManagement",
"Effect": "Allow",
"Action": [
"ce:*",
"budgets:*",
"savingsplans:*"
],
"Resource": "*"
}
]
}
これは以下のドキュメントを参考に付与しています。
Discussion