

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengontrol akses untuk Deteksi Anomali Biaya
<a name="accesscontrol-ad"></a>

Anda dapat menggunakan kontrol akses tingkat sumber daya dan tag kontrol akses berbasis atribut (ABAC) untuk monitor anomali biaya dan langganan anomali. Setiap monitor anomali dan sumber daya langganan anomali memiliki Nama Sumber Daya Amazon (ARN) yang unik. Anda juga dapat melampirkan tag (pasangan kunci-nilai) ke setiap fitur. Baik ARN sumber daya dan tag ABAC dapat digunakan untuk memberikan kontrol akses terperinci ke peran atau grup pengguna di dalam Anda. Akun AWS

Untuk informasi selengkapnya tentang kontrol akses tingkat sumber daya dan tag ABAC, lihat. [Bagaimana AWS Manajemen Biaya bekerja dengan IAM](security_iam_service-with-iam.md)

**catatan**  
Deteksi Anomali Biaya tidak mendukung kebijakan berbasis sumber daya. Resource-based kebijakan secara langsung melekat pada AWS sumber daya. *Untuk informasi selengkapnya tentang perbedaan antara kebijakan dan izin, lihat [Identity-based kebijakan dan kebijakan berbasis sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) di Panduan Pengguna IAM.*

## Mengontrol akses menggunakan kebijakan tingkat sumber daya
<a name="accesscontrol-ad-resource-level"></a>

Anda dapat menggunakan izin tingkat sumber daya untuk mengizinkan atau menolak akses ke satu atau beberapa sumber daya Deteksi Anomali Biaya dalam kebijakan IAM. Atau, gunakan izin tingkat sumber daya untuk mengizinkan atau menolak akses ke semua sumber daya Deteksi Anomali Biaya.

Saat Anda membuat IAM, gunakan format Amazon Resource Name (ARN) berikut:
+ `AnomalyMonitor`sumber daya ARN

  `arn:${partition}:ce::${account-id}:anomalymonitor/${monitor-id}`
+ `AnomalySubscription`sumber daya ARN

  `arn:${partition}:ce::${account-id}:anomalysubscription/${subscription-id}`

Untuk memungkinkan entitas IAM mendapatkan dan membuat monitor anomali atau langganan anomali, gunakan kebijakan yang mirip dengan kebijakan contoh ini.

**catatan**  
Untuk `ce:GetAnomalyMonitor` dan`ce:GetAnomalySubscription`, pengguna memiliki semua atau tidak ada kontrol akses tingkat sumber daya. Ini mensyaratkan kebijakan untuk menggunakan ARN generik dalam bentuk `arn:${partition}:ce::${account-id}:anomalymonitor/*``arn:${partition}:ce::${account-id}:anomalysubscription/*`,, atau. `*`
Untuk `ce:CreateAnomalyMonitor` dan`ce:CreateAnomalySubscription`, kami tidak memiliki ARN sumber daya untuk sumber daya ini. Jadi, kebijakan selalu menggunakan ARN generik yang disebutkan dalam bullet sebelumnya.
Untuk`ce:GetAnomalies`, gunakan `monitorArn` parameter opsional. Saat digunakan dengan parameter ini, kami mengonfirmasi apakah pengguna memiliki akses ke yang `monitorArn` diteruskan.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ce:GetAnomalyMonitors",
                "ce:CreateAnomalyMonitor"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalymonitor/*"
        }, 
        {
            "Action": [
                "ce:GetAnomalySubscriptions",
                "ce:CreateAnomalySubscription"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:ce::999999999999:anomalysubscription/*"
        }
    ]
}
```

------

Untuk mengizinkan entitas IAM memperbarui atau menghapus monitor anomali, gunakan kebijakan yang mirip dengan kebijakan contoh ini.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor",
                "ce:DeleteAnomalyMonitor"
                ],
            "Resource": [
              "arn:aws:ce::999999999999:anomalymonitor/f558fa8a-bd3c-462b-974a-000abc12a000",
              "arn:aws:ce::999999999999:anomalymonitor/f111fa8a-bd3c-462b-974a-000abc12a001"
		]
         }
    ]
}
```

------

## Mengontrol akses menggunakan tag (ABAC)
<a name="accesscontrol-ad-tags"></a>

Anda dapat menggunakan tag (ABAC) untuk mengontrol akses ke sumber daya Deteksi Anomali Biaya yang mendukung penandaan. Untuk mengontrol akses menggunakan tag, berikan informasi tag dalam `Condition` elemen kebijakan. Anda kemudian dapat membuat kebijakan IAM yang mengizinkan atau menolak akses ke sumber daya berdasarkan tag sumber daya. Anda dapat menggunakan tombol kondisi tag untuk mengontrol akses ke sumber daya, permintaan, atau bagian apa pun dari proses otorisasi. Untuk informasi selengkapnya tentang peran IAM menggunakan tag, lihat [Mengontrol akses ke dan untuk pengguna dan peran yang menggunakan tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html) di *Panduan Pengguna IAM*.

Buat kebijakan berbasis identitas yang memungkinkan memperbarui monitor anomali. Jika tag monitor `Owner` memiliki nilai nama pengguna, gunakan kebijakan yang mirip dengan kebijakan contoh ini.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ce:UpdateAnomalyMonitor"
            ],
            "Resource": "arn:aws:ce::*:anomalymonitor/*",
            "Condition": {
                "StringEquals": {
			"aws:ResourceTag/Owner": "${aws:username}"
		   }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ce:GetAnomalyMonitors",
            "Resource": "*"
        }
    ]
}
```

------