こんばんは、小寺です。
AWS Budgetsがリソースとタグベースのアクセスコントロールをサポートしました。
https://aws.amazon.com/about-aws/whats-new/2024/05/aws-budgets-resource-tag-based-access-controls/
AWS Budgetsとは
AWS Budgetsとは、AWSコスト管理サービスで、AWS利用料の予算管理とアラート設定をすることができます。
AWSアカウント全体の管理だけでなく、例えば Amazon EC2の利用料金を毎月いくらまでに抑えたいといった際には
設定した予算の金額に近づいたときに、管理者へEメールやSNS通知、Chatbot経由でアラートを通知することができます。
Budget Actionを使えば、アカウントのコストや使用量に対応するアクションを設定することも可能です。対象とする予算を超過すると、このアクションが自動的に、あるいはワークフローの承認プロセスを経由して適用されます。
各しきい値に対してユーザは、最大5つの予算しきい値と最大10件のアクションを設定することができます。
予算アクションには、アクションタイプとして、IAM Policy、Service Control Policy、アカウント内の特定のEC2あるいはRDS実行リソースを設定できます。また、アクションを自動的に実行するか、あるいはワークフローの承認プロセスを通すかを選ぶことができます。SCPのユースケースとしては、 新しいリソースをプロビジョニングしないよう予防的な使われ方が想定されます。
アップデート内容
AWS Budgets リソースにタグを追加し、コスト配分タグを有効化してタグ付けでの制御は従来から可能でした。
今回のアップデートでは、AWS Identity and Access Management (IAM) ポリシーを定義して、リソース名とタグに基づいて AWS Budgetsのアクションを柔軟に定義できるようになっています。
リソースベースのポリシーによって、誰がリソースにアクセスでき、リソースにアクセスできる人が、どのようなアクションを実行できるかを指定できます。ちなみにリソースベースのポリシーはインラインのみで、管理ポリシーはありません。
実際に確認を行います。アクションについて、IAM Policy、Service Control Tower、Automate instances to stop for EC2 or RDSの3つから選べます。
EC2を予算を超えたときに停止をするのですが、そのアクションセットでもさらにアクションを実行するタグが「Budjets Action Tag」から選べます。
細かく設定ができるようになり、タグ付け戦略をしっかりやっていると、このBudjetsのコスト機能と合わせて最適化ができそうですね。