Referencia de la asignación de acciones de IAM detalladas - AWS Facturación

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Referencia de la asignación de acciones de IAM detalladas

nota

Las siguientes acciones AWS Identity and Access Management (IAM) finalizaron el soporte estándar en julio de 2023:

  • espacio de nombres aws-portal

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

Si las utilizas AWS Organizations, puedes usar los scripts de migración masiva de políticas o el migrador masivo de políticas para actualizar las políticas desde tu cuenta de pagador. También puede utilizar la referencia de mapeo de acciones de antigua a granular para verificar las acciones de IAM que deben agregarse.

Si tienes una Cuenta de AWS o formas parte de una AWS Organizations creada el 6 de marzo de 2023 o después de esa fecha, a las 11:00 a. m. (PDT), las acciones detalladas ya están en vigor en tu organización.

Deberá migrar las siguientes acciones de IAM en sus políticas de permisos o políticas de control de servicios (SCP):

  • aws-portal:ViewAccount

  • aws-portal:ViewBilling

  • aws-portal:ViewPaymentMethods

  • aws-portal:ViewUsage

  • aws-portal:ModifyAccount

  • aws-portal:ModifyBilling

  • aws-portal:ModifyPaymentMethods

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

Puede utilizar este tema para ver la asignación detallada de las acciones anteriores con las nuevas para cada acción de IAM que vamos a retirar.

Descripción general
  1. Revise las políticas de IAM afectadas en su Cuenta de AWS. Para ello, siga los pasos de la herramienta Políticas afectadas para identificar sus políticas de IAM afectadas. Consulte Cómo usar la herramienta de políticas afectadas.

  2. Use la consola de IAM para agregar los nuevos permisos detallados a su política. Por ejemplo, si su política concede el permiso purchase-orders:ModifyPurchaseOrders, deberá agregar cada acción en la tabla Mapeo para purchase-orders:ModifyPurchaseOrders.

    Política anterior

    La siguiente política permite a un usuario agregar, eliminar o modificar cualquier pedido de compra de la cuenta.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "purchase-orders:ModifyPurchaseOrders", "Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*" } ] }

    Política nueva

    La siguiente política también permite a un usuario agregar, eliminar o modificar cualquier pedido de la cuenta. Tenga en cuenta que cada permiso detallado aparece después del permiso purchase-orders:ModifyPurchaseOrders anterior. Estos permisos le ofrecen un mayor control sobre las acciones que desea permitir o denegar.

    sugerencia

    Le recomendamos que conserve los permisos anteriores para asegurarse de que no pierde permisos hasta que finalice esta migración.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "purchase-orders:ModifyPurchaseOrders", "purchase-orders:AddPurchaseOrder", "purchase-orders:DeletePurchaseOrder", "purchase-orders:UpdatePurchaseOrder", "purchase-orders:UpdatePurchaseOrderStatus" ], "Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*" } ] }
  3. Guarde los cambios.

Notas

Mapeo para aws-portal:ViewAccount

Nueva acción Descripción Nivel de acceso
account:GetAccountInformation Concede permiso para recuperar la información de una cuenta Lectura
account:GetAlternateContact Otorga permiso para recuperar los contactos alternativos de una cuenta Lectura
account:GetContactInformation Otorga permiso para recuperar la información de contacto principal para una cuenta Lectura
billing:GetContractInformation Concede permiso para ver la información contractual de la cuenta, incluido número del contrato, nombres de las organizaciones de los usuarios finales, números de orden de compra y si la cuenta se utiliza para prestar servicios a clientes del sector público Lectura
billing:GetIAMAccessPreference Concede permiso para recuperar el estado de la preferencia de facturación Permitir acceso de IAM Lectura
billing:GetSellerOfRecord Concede permiso para recuperar el vendedor registrado predeterminado de la cuenta Lectura
payments:ListPaymentPreferences Concede permiso para obtener las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) Lectura

Mapeo para aws-portal:ViewBilling

Nueva acción Descripción Nivel de acceso
account:GetAccountInformation Concede permiso para recuperar la información de una cuenta Lectura
billing:GetBillingData Concede permiso para realizar consultas sobre información de facturación Lectura
billing:GetBillingDetails Concede permiso para ver información de facturación de elementos de línea detallada Lectura
billing:GetBillingNotifications Otorga permiso para ver las notificaciones enviadas por AWS relacionadas con la información de facturación de su cuenta Lectura
billing:GetBillingPreferences Concede permiso para ver preferencias de facturación tales como instancias reservadas, Savings Plans y uso compartido de créditos Lectura
billing:GetContractInformation Concede permiso para ver la información contractual de la cuenta, incluido número del contrato, nombres de las organizaciones de los usuarios finales, números de orden de compra y si la cuenta se utiliza para prestar servicios a clientes del sector público Lectura
billing:GetCredits Concede permiso para ver créditos que se han canjeado Lectura
billing:GetIAMAccessPreference Concede permiso para recuperar el estado de la preferencia de facturación Permitir acceso de IAM Lectura
billing:GetSellerOfRecord Concede permiso para recuperar el vendedor registrado predeterminado de la cuenta Lectura
billing:ListBillingViews Otorga permiso para obtener información de facturación para sus grupos de facturación proforma Enumeración
ce:DescribeNotificationSubscription Concede permiso para ver alertas de caducidad de reserva Lectura
ce:DescribeReport Concede permiso para ver la página de informes de Cost Explorer Read
ce:GetAnomalies Concede permiso para recuperar anomalías. Read
ce:GetAnomalyMonitors Concede permiso para consultar monitores de anomalía Read
ce:GetAnomalySubscriptions Concede permiso para consultar suscripciones a anomalías Read
ce:GetCostAndUsage Concede permiso para recuperar las métricas de costo y de uso para su cuenta. Read
ce:GetCostAndUsageWithResources Concede permiso para recuperar las métricas de costo y de uso con recursos para su cuenta. Lectura
ce:GetCostCategories Concede permiso para consultar nombres y valores de la categoría de costos para un periodo especificado Lectura
ce:GetCostForecast Concede permiso para recuperar una previsión de costo para un periodo de tiempo de previsión. Read
ce:GetDimensionValues Concede permiso para recuperar todos los valores de filtro disponibles de un filtro de un periodo. Lectura
ce:GetPreferences Concede permiso para ver la página de preferencias de Cost Explorer Lectura
ce:GetReservationCoverage Concede permiso para recuperar la cobertura de reserva para su cuenta. Read
ce:GetReservationPurchaseRecommendation Concede permiso para recuperar las recomendaciones de reserva para su cuenta. Read
ce:GetReservationUtilization Concede permiso para recuperar la utilización de reserva para su cuenta. Read
ce:GetRightsizingRecommendation Concede permiso para recuperar las recomendaciones de adecuación de tamaño para su cuenta. Read
ce:GetSavingsPlansCoverage Concede permiso para recuperar la cobertura de Savings Plans para su cuenta. Read
ce:GetSavingsPlansPurchaseRecommendation Concede permiso para recuperar las recomendaciones de Savings Plans para su cuenta. Read
ce:GetSavingsPlansUtilization Concede permiso para recuperar la utilización de Savings Plans para su cuenta. Read
ce:GetSavingsPlansUtilizationDetails Concede permiso para recuperar los detalles de utilización de Savings Plans de su cuenta. Read
ce:GetTags Concede permiso para consultar las etiquetas de un periodo de tiempo especificado. Read
ce:GetUsageForecast Concede permiso para recuperar una previsión de uso para un periodo de tiempo de previsión. Lectura
ce:ListCostAllocationTags Concede permiso para enumerar las etiquetas para la asignación de costos Enumeración
ce:ListSavingsPlansPurchaseRecommendationGeneration Otorga permiso para enumerar las generaciones de sus recomendaciones históricas Lectura
consolidatedbilling:GetAccountBillingRole Concede permiso para obtener el rol de la cuenta (pagador, vinculada, normal) Lectura
consolidatedbilling:ListLinkedAccounts Concede permiso para obtener una lista de cuentas de miembro y vinculadas Enumeración
cur:GetClassicReport Concede permiso para obtener un informe CSV para su facturación Lectura
cur:GetClassicReportPreferences Concede permiso para obtener el estado de habilitación del informe clásico para los informes de usos Lectura
cur:ValidateReportDestination Otorga permiso para validar si el bucket de Amazon S3 existe con los permisos adecuados para la entrega de AWS CUR Lectura
freetier:GetFreeTierAlertPreference Otorga permiso para obtener preferencias de capa gratuita de AWS alerta (por dirección de correo electrónico) Lectura
freetier:GetFreeTierUsage Otorga permiso para obtener los límites capa gratuita de AWS de uso y el estado de uso month-to-date (MTD) Lectura
invoicing:GetInvoiceEmailDeliveryPreferences Concede permiso para obtener las preferencias de entrega de facturas por correo electrónico Lectura
invoicing:GetInvoicePDF Concede permiso para obtener la factura en PDF Lectura
invoicing:ListInvoiceSummaries Concede permiso para obtener información de resumen de factura para la cuenta o cuenta vinculada Enumeración
payments:GetPaymentInstrument Concede permiso para obtener información acerca de un instrumento de pago Lectura
payments:GetPaymentStatus Concede permiso para obtener el estado de pago de las facturas Lectura
payments:ListPaymentPreferences Concede permiso para obtener las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) Lectura
tax:GetTaxInheritance Concede permiso para ver el estado de la herencia fiscal Lectura
tax:GetTaxRegistrationDocument Concede permiso para descargar los documentos de registros fiscales Lectura
tax:ListTaxRegistrations Concede permiso para ver los registros fiscales Lectura

Mapeo para aws-portal:ViewPaymentMethods

Nueva acción Descripción Nivel de acceso
account:GetAccountInformation Concede permiso para recuperar la información de una cuenta Lectura
invoicing:GetInvoicePDF Concede permiso para obtener la factura en PDF Lectura
payments:GetPaymentInstrument Concede permiso para obtener información acerca de un instrumento de pago Lectura
payments:GetPaymentStatus Concede permiso para obtener el estado de pago de las facturas Lectura
payments:ListPaymentPreferences Concede permiso para obtener las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) Enumeración

Mapeo para aws-portal:ViewUsage

Nueva acción Descripción Nivel de acceso
cur:GetUsageReport Otorga permiso para obtener una lista del Servicios de AWS tipo de uso y la operación del flujo de trabajo de los informes de uso y para descargar los informes de uso Lectura

Mapeo para aws-portal:ModifyAccount

Nueva acción Descripción Nivel de acceso
account:CloseAccount Concede permiso para cerrar una cuenta Escritura
account:DeleteAlternateContact Otorga permiso para eliminar los contactos alternativos de una cuenta Escritura
account:PutAlternateContact Otorga permiso para modificar los contactos alternativos de una cuenta Escritura
account:PutChallengeQuestions Concede permiso para modificar las preguntas de desafío de una cuenta Escritura
account:PutContactInformation Otorga permiso para actualizar la información de contacto principal para una cuenta Escritura
billing:PutContractInformation Concede permiso para establecer la información contractual de la cuenta, los nombres de las organizaciones de los usuarios finales y si la cuenta se utiliza para prestar servicios a clientes del sector público Escritura
billing:UpdateIAMAccessPreference Concede permiso para actualizar la preferencia de facturación Permitir acceso de IAM Escritura
payments:UpdatePaymentPreferences Concede permiso para actualizar las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) Escritura

Mapeo para aws-portal:ModifyBilling

Nueva acción Descripción Nivel de acceso
billing:PutContractInformation Concede permiso para establecer la información contractual de la cuenta, los nombres de las organizaciones de los usuarios finales y si la cuenta se utiliza para prestar servicios a clientes del sector público Escritura
billing:RedeemCredits Otorga permiso para canjear cualquier crédito AWS Escritura
billing:UpdateBillingPreferences Concede permiso para actualizar preferencias de facturación tales como instancia reservada, Savings Plans y uso compartido de créditos Escritura
ce:CreateAnomalyMonitor Concede permiso para crear un nuevo monitor de anomalías Write
ce:CreateAnomalySubscription Concede permiso para crear una nueva suscripción de anomalía Escritura
ce:CreateNotificationSubscription Concede permiso para crear alertas de caducidad de reserva Escritura
ce:CreateReport Concede permiso para crear informes de Cost Explorer Write
ce:DeleteAnomalyMonitor Concede permiso para eliminar un monitor de anomalías Write
ce:DeleteAnomalySubscription Concede permiso para eliminar una suscripción de anomalía Escritura
ce:DeleteNotificationSubscription Concede permiso para eliminar alertas de caducidad de reserva Escritura
ce:DeleteReport Concede permiso para eliminar informes de Cost Explorer Escritura
ce:ProvideAnomalyFeedback Concede permiso para proporcionar comentarios sobre anomalías detectadas. Escritura
ce:StartSavingsPlansPurchaseRecommendationGeneration Otorga permiso para solicitar una generación de recomendaciones sobre Savings Plans Escritura
ce:UpdateAnomalyMonitor Concede permiso para actualizar un monitor de anomalías existente Write
ce:UpdateAnomalySubscription Concede permiso para actualizar una suscripción de anomalía existente Escritura
ce:UpdateCostAllocationTagsStatus Concede permiso para actualizar el estado de etiquetas de asignación de costos existentes Escritura
ce:UpdateNotificationSubscription Concede permiso para actualizar alertas de caducidad de reserva Escritura
ce:UpdatePreferences Concede permiso para editar la página de preferencias de Cost Explorer Escritura
cur:PutClassicReportPreferences Concede permiso para habilitar los informes clásicos Escritura
freetier:PutFreeTierAlertPreference Otorga permiso para establecer una preferencia de capa gratuita de AWS alerta (mediante una dirección de correo electrónico) Escritura
invoicing:PutInvoiceEmailDeliveryPreferences Concede permiso para actualizar las preferencias de entrega de facturas por correo electrónico Escritura
payments:CreatePaymentInstrument Concede permiso para crear un instrumento de pago Escritura
payments:DeletePaymentInstrument Concede permiso para eliminar un instrumento de pago Escritura
payments:MakePayment Otorga permiso para realizar un pago, autenticar un pago, verificar un método de pago y generar un documento de solicitud de financiación para Advance Pay Escritura
payments:UpdatePaymentPreferences Concede permiso para actualizar las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) Escritura
tax:BatchPutTaxRegistration Concede permiso para actualizar por lotes los registros fiscales Escritura
tax:DeleteTaxRegistration Concede permiso para eliminar los datos de registros fiscales Escritura
tax:PutTaxInheritance Concede permiso para establecer la herencia fiscal Escritura

Mapeo para aws-portal:ModifyPaymentMethods

Nueva acción Descripción Nivel de acceso
account:GetAccountInformation Concede permiso para recuperar la información de una cuenta Lectura
payments:DeletePaymentInstrument Concede permiso para eliminar un instrumento de pago Escritura
payments:CreatePaymentInstrument Concede permiso para crear un instrumento de pago Escritura
payments:MakePayment Otorga permiso para realizar un pago, autenticar un pago, verificar un método de pago y generar un documento de solicitud de financiación para Advance Pay Escritura
payments:UpdatePaymentPreferences Concede permiso para actualizar las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) Escritura

Mapeo para purchase-orders:ViewPurchaseOrders

Nueva acción Descripción Nivel de acceso
invoicing:GetInvoicePDF Concede permiso para obtener una factura en PDF Get
payments:ListPaymentPreferences Concede permiso para obtener las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) Enumeración
purchase-orders:GetPurchaseOrder Concede permiso para obtener una orden de compra Lectura
purchase-orders:ListPurchaseOrderInvoices Concede permiso para ver las órdenes de compra y los detalles Enumeración
purchase-orders:ListPurchaseOrders Concede permiso para obtener todas las órdenes de compra disponibles Enumeración

Mapeo para purchase-orders:ModifyPurchaseOrders

Nueva acción Descripción Nivel de acceso
purchase-orders:AddPurchaseOrder Concede permiso para agregar una orden de compra Escritura
purchase-orders:DeletePurchaseOrder Concede permiso para eliminar una orden de compra. Escritura
purchase-orders:UpdatePurchaseOrder Concede permiso para actualizar una orden de compra existente Escritura
purchase-orders:UpdatePurchaseOrderStatus Concede permiso para establecer el estado de una orden de compra Escritura