はじめに
この記事は2022年1月12日現在で発生している現象を元に作成したものです。Amazon Web Services側の仕様変更により記述した記事の内容に変化があるかもしれない点についてはご了承ください。
AWSマネージメントコンソールのホーム画面がカスタマイズできるようになったという知らせを知ったのですが、その影響なのか、元々実装していた、見せてはいけない人に請求関連のサービスの情報を見せないという内容のカスタマー管理ポリシーが効かなくなっていたので、急遽該当するカスタマー管理ポリシーを、以下のように書きました。
作成したカスタマー管理ポリシー
こんな感じです。要点としては、
- AWSマネージメントコンソール上で請求に関する情報を見せることを明示的に拒否する
- AWS Budgetsのすべての権限を明示的に拒否する
- AWS Cost and Usage Reportsのすべての権限を明示的に拒否する
- Amazon Cost Explorerのすべての権限を明示的に拒否する
という内容になります。もっとこうした方がいいんじゃないのという意見もあるかもしれませんが、結構緊急避難的に90分くらいで仕様確認と実装と動作確認をしたので、その辺は何卒ご容赦を。。。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"aws-portal:*Billing",
"aws-portal:*Account",
"aws-portal:*PaymentMethods",
"budgets:*",
"cur:*",
"ce:*"
],
"Resource": "*"
}
]
}なんか、AWSさんの作り込んだバグなんじゃないかという情報もちらほら聞こえてきて、しれっと仕様変更が入ってまたこのカスタマー管理ポリシーを直さなければいけないという可能性もあるのですが、その時はその時で、このエントリー上で修正版を共有しようと思います。