練馬のリフォーム 山口建設では、社内システムのバックアップにAWSのS3を利用しています。

いつの間にか、IAMユーザーでは請求情報の確認ができなくなっていたので、IAMユーザーに請求関連情報を付与する方法をまとめました。

公式のチュートリアルは「IAM tutorial: Delegate access to the billing console」を参照して下さい。

通常の操作はrootユーザー（AWSのアカウントを作成した際のメールアドレスがユーザーID）ではなく、IAMユーザー（rootユーザーが作成するユーザーアカウント）を利用するのが推奨されています。

rootユーザー（AWSを作成した際のメールアドレス）でログイン後、画面右上の「AWS」をクリックし、「アカウント」をクリックします。

IAMユーザー（rootユーザーが作成したユーザー）でログインしても出来ないので注意が必要です。

「IAM ユーザー/ロールによる請求情報へのアクセス」の右上にある「編集」をクリックして、「IAM アクセスのアクティブ化」をonにして更新を実施します。

同じく、rootユーザーを利用して権限のグループを作成します。

rootユーザーのコンソール画面左上からIAMのダッシュボードへ移動します。

移動後、左メニューの「ポリシー」をクリックし、表示される青い「ポリシーの作成」ボタンをクリックします。

サービスに「Billing Console」を選択します。

「Billing」でも、「Billing Conductor」でもないので注意しましょう。

私は「Billing」を設定していてドはまりしました。

その後、「すべての Billing Console アクション (aws-portal:*)」にチェックを入れ、アクセスレベル読み込み、書き込みがチェックされた状態で「次のステップ:タグ」をクリックします。

タグを追加画面では、何も入力せずに「次のステップ:確認」をクリックします。

ポリシーの確認画面では、名前を「BillingFullAccess」（任意ですがチュートリアルに沿いました）として「ポリシーの作成」をクリックします。

これでポリシーの作成は完了しました。

読み取り権限のみの権限を作成する場合は、アクセスレベルの読み込みのみを有効として下さい。

ユーザーへのポリシー付与は割愛します。

• rootユーザーでIAMユーザー「IAM ユーザー/ロールによる請求情報へのアクセス」を有効にする。
• サービス「Billing Console」を使用したポリシーを作成する。
• 該当ユーザーに作成したポリシーを適用する。

以上で、IAMユーザーを利用して請求情報へアクセスができるようになりました。

rootユーザーで、「IAM ユーザー/ロールによる請求情報へのアクセス」を有効とするのを忘れないようにしましょう。

また、繰り返しになりますが、ポリシーで指定したサービスが「Billing Console」となるので注意しましょう。