Referencia de la asignación de acciones de IAM detalladas
nota
Las siguientes acciones de AWS Identity and Access Management (IAM) llegaron al final del soporte estándar en julio de 2023:
-
espacio de nombres
aws-portal -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
Si utiliza AWS Organizations, puede utilizar los scripts de migración masiva de políticas o el migrador masivo de políticas para actualizar las políticas desde su cuenta de pagador. También puede utilizar la referencia de mapeo de acciones de antigua a granular para verificar las acciones de IAM que deben agregarse.
Si tiene una Cuenta de AWS, o forma parte de una organización de AWS Organizations creada a partir del 6 de marzo de 2023 a las 11:00 (PDT), las acciones detalladas ya están vigentes en su organización.
Deberá migrar las siguientes acciones de IAM en sus políticas de permisos o políticas de control de servicios (SCP):
-
aws-portal:ViewAccount -
aws-portal:ViewBilling -
aws-portal:ViewPaymentMethods -
aws-portal:ViewUsage -
aws-portal:ModifyAccount -
aws-portal:ModifyBilling -
aws-portal:ModifyPaymentMethods -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
Puede utilizar este tema para ver la asignación detallada de las acciones anteriores con las nuevas para cada acción de IAM que vamos a retirar.
Información general
-
Revise las políticas de IAM afectadas en su Cuenta de AWS. Para ello, siga los pasos de la herramienta Políticas afectadas para identificar sus políticas de IAM afectadas. Consulte Cómo usar la herramienta de políticas afectadas.
-
Use la consola de IAM para agregar los nuevos permisos detallados a su política. Por ejemplo, si su política concede el permiso
purchase-orders:ModifyPurchaseOrders, deberá agregar cada acción en la tabla Asignación para purchase-orders:ModifyPurchaseOrders.Política anterior
La siguiente política permite a un usuario agregar, eliminar o modificar cualquier pedido de compra de la cuenta.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "purchase-orders:ModifyPurchaseOrders", "Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*" } ] }Política nueva
La siguiente política también permite a un usuario agregar, eliminar o modificar cualquier pedido de la cuenta. Tenga en cuenta que cada permiso detallado aparece después del permiso
purchase-orders:ModifyPurchaseOrdersanterior. Estos permisos le ofrecen un mayor control sobre las acciones que desea permitir o denegar.sugerencia
Le recomendamos que conserve los permisos anteriores para asegurarse de que no pierde permisos hasta que finalice esta migración.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "purchase-orders:ModifyPurchaseOrders", "purchase-orders:AddPurchaseOrder", "purchase-orders:DeletePurchaseOrder", "purchase-orders:UpdatePurchaseOrder", "purchase-orders:UpdatePurchaseOrderStatus" ], "Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*" } ] } -
Guarde los cambios.
Notas
-
Para editar políticas manualmente en la consola de IAM, consulte Edición de políticas administradas por el cliente (consola) en la Guía del usuario de IAM.
-
Para migrar de forma masiva sus políticas de IAM y usar acciones detalladas (nuevas acciones), consulte Utilice scripts para migrar de forma masiva sus políticas y utilizar acciones de IAM detalladas.
Contenido
- Asignación para aws-portal:ViewAccount
- Asignación para aws-portal:ViewBilling
- Asignación para aws-portal:ViewPaymentMethods
- Asignación para aws-portal:ViewUsage
- Asignación para aws-portal:ModifyAccount
- Asignación para aws-portal:ModifyBilling
- Asignación para aws-portal:ModifyPaymentMethods
- Asignación para purchase-orders:ViewPurchaseOrders
- Asignación para purchase-orders:ModifyPurchaseOrders
Asignación para aws-portal:ViewAccount
| Nueva acción | Descripción | Nivel de acceso |
|---|---|---|
account:GetAccountInformation |
Concede permiso para recuperar la información de una cuenta | Leer |
account:GetAlternateContact |
Otorga permiso para recuperar los contactos alternativos de una cuenta | Leer |
account:GetChallengeQuestions
|
Concede permiso para recuperar las preguntas de desafío de una cuenta | Leer |
account:GetContactInformation
|
Otorga permiso para recuperar la información de contacto principal para una cuenta | Leer |
billing:GetContractInformation
|
Concede permiso para ver la información contractual de la cuenta, incluido número del contrato, nombres de las organizaciones de los usuarios finales, números de orden de compra y si la cuenta se utiliza para prestar servicios a clientes del sector público | Leer |
billing:GetIAMAccessPreference
|
Concede permiso para recuperar el estado de la preferencia de facturación Permitir acceso de IAM | Leer |
billing:GetSellerOfRecord
|
Concede permiso para recuperar el vendedor registrado predeterminado de la cuenta | Leer |
payments:ListPaymentPreferences
|
Concede permiso para obtener las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Leer |
Asignación para aws-portal:ViewBilling
| Nueva acción | Descripción | Nivel de acceso |
|---|---|---|
account:GetAccountInformation
|
Concede permiso para recuperar la información de una cuenta | Leer |
billing:GetBillingData |
Concede permiso para realizar consultas sobre información de facturación | Leer |
billing:GetBillingDetails |
Concede permiso para ver información de facturación de elementos de línea detallada | Leer |
billing:GetBillingNotifications
|
Concede permiso para ver notificaciones enviadas por AWS relacionadas con información de facturación de las cuentas | Leer |
billing:GetBillingPreferences |
Concede permiso para ver preferencias de facturación tales como instancias reservadas, Savings Plans y uso compartido de créditos | Leer |
billing:GetContractInformation |
Concede permiso para ver la información contractual de la cuenta, incluido número del contrato, nombres de las organizaciones de los usuarios finales, números de orden de compra y si la cuenta se utiliza para prestar servicios a clientes del sector público | Leer |
billing:GetCredits
|
Concede permiso para ver créditos que se han canjeado | Leer |
billing:GetIAMAccessPreference |
Concede permiso para recuperar el estado de la preferencia de facturación Permitir acceso de IAM | Leer |
billing:GetSellerOfRecord |
Concede permiso para recuperar el vendedor registrado predeterminado de la cuenta | Leer |
billing:ListBillingViews |
Otorga permiso para obtener información de facturación para sus grupos de facturación proforma | Enumeración |
ce:DescribeNotificationSubscription |
Concede permiso para ver alertas de caducidad de reserva | Leer |
ce:DescribeReport
|
Concede permiso para ver la página de informes de Cost Explorer | Read |
ce:GetAnomalies |
Concede permiso para recuperar anomalías. | Read |
ce:GetAnomalyMonitors
|
Concede permiso para consultar monitores de anomalía | Read |
ce:GetAnomalySubscriptions |
Concede permiso para consultar suscripciones a anomalías | Read |
ce:GetCostAndUsage
|
Concede permiso para recuperar las métricas de costo y de uso para su cuenta. | Read |
ce:GetCostAndUsageWithResources
|
Concede permiso para recuperar las métricas de costo y de uso con recursos para su cuenta. | Leer |
ce:GetCostCategories
|
Concede permiso para consultar nombres y valores de la categoría de costos para un periodo especificado | Leer |
ce:GetCostForecast |
Concede permiso para recuperar una previsión de costo para un periodo de tiempo de previsión. | Read |
ce:GetDimensionValues
|
Concede permiso para recuperar todos los valores de filtro disponibles de un filtro de un periodo. | Leer |
ce:GetPreferences |
Concede permiso para ver la página de preferencias de Cost Explorer | Leer |
ce:GetReservationCoverage
|
Concede permiso para recuperar la cobertura de reserva para su cuenta. | Read |
ce:GetReservationPurchaseRecommendation |
Concede permiso para recuperar las recomendaciones de reserva para su cuenta. | Read |
ce:GetReservationUtilization
|
Concede permiso para recuperar la utilización de reserva para su cuenta. | Read |
ce:GetRightsizingRecommendation
|
Concede permiso para recuperar las recomendaciones de adecuación de tamaño para su cuenta. | Read |
ce:GetSavingsPlansCoverage
|
Concede permiso para recuperar la cobertura de Savings Plans para su cuenta. | Read |
ce:GetSavingsPlansPurchaseRecommendation |
Concede permiso para recuperar las recomendaciones de Savings Plans para su cuenta. | Read |
ce:GetSavingsPlansUtilization
|
Concede permiso para recuperar la utilización de Savings Plans para su cuenta. | Read |
ce:GetSavingsPlansUtilizationDetails
|
Concede permiso para recuperar los detalles de utilización de Savings Plans de su cuenta. | Read |
ce:GetTags |
Concede permiso para consultar las etiquetas de un periodo de tiempo especificado. | Read |
ce:GetUsageForecast |
Concede permiso para recuperar una previsión de uso para un periodo de tiempo de previsión. | Leer |
ce:ListCostAllocationTags
|
Concede permiso para enumerar las etiquetas para la asignación de costos | Enumeración |
ce:ListSavingsPlansPurchaseRecommendationGeneration
|
Otorga permiso para enumerar las generaciones de sus recomendaciones históricas | Leer |
consolidatedbilling:GetAccountBillingRole
|
Concede permiso para obtener el rol de la cuenta (pagador, vinculada, normal) | Leer |
consolidatedbilling:ListLinkedAccounts
|
Concede permiso para obtener una lista de cuentas de miembro y vinculadas | Enumeración |
cur:GetClassicReport
|
Concede permiso para obtener un informe CSV para su facturación | Leer |
cur:GetClassicReportPreferences
|
Concede permiso para obtener el estado de habilitación del informe clásico para los informes de usos | Leer |
cur:ValidateReportDestination
|
Concede permiso para validar si el bucket de Amazon S3 tiene los permisos adecuados para generar Informes de costos y usos de AWS | Leer |
freetier:GetFreeTierAlertPreference
|
Concede permiso para obtener la preferencia de alerta del capa gratuita de AWS (por dirección de correo electrónico) | Leer |
freetier:GetFreeTierUsage
|
Conceder permiso para obtener los límites de uso del capa gratuita de AWS y el estado de uso del mes hasta la fecha (MTD) | Leer |
invoicing:GetInvoiceEmailDeliveryPreferences
|
Concede permiso para obtener las preferencias de entrega de facturas por correo electrónico | Leer |
invoicing:GetInvoicePDF
|
Concede permiso para obtener la factura en PDF | Leer |
invoicing:ListInvoiceSummaries
|
Concede permiso para obtener información de resumen de factura para la cuenta o cuenta vinculada | Enumeración |
payments:GetPaymentInstrument
|
Concede permiso para obtener información acerca de un instrumento de pago | Leer |
payments:GetPaymentStatus
|
Concede permiso para obtener el estado de pago de las facturas | Leer |
payments:ListPaymentPreferences
|
Concede permiso para obtener las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Leer |
tax:GetTaxInheritance
|
Concede permiso para ver el estado de la herencia fiscal | Leer |
tax:GetTaxRegistrationDocument |
Concede permiso para descargar los documentos de registros fiscales | Leer |
tax:ListTaxRegistrations |
Concede permiso para ver los registros fiscales | Leer |
Asignación para aws-portal:ViewPaymentMethods
| Nueva acción | Descripción | Nivel de acceso |
|---|---|---|
account:GetAccountInformation
|
Concede permiso para recuperar la información de una cuenta | Leer |
invoicing:GetInvoicePDF
|
Concede permiso para obtener la factura en PDF | Leer |
payments:GetPaymentInstrument
|
Concede permiso para obtener información acerca de un instrumento de pago | Leer |
payments:GetPaymentStatus
|
Concede permiso para obtener el estado de pago de las facturas | Leer |
payments:ListPaymentPreferences
|
Concede permiso para obtener las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Enumeración |
Asignación para aws-portal:ViewUsage
| Nueva acción | Descripción | Nivel de acceso |
|---|---|---|
cur:GetUsageReport
|
Otorga permiso para obtener una lista de Servicios de AWS, el tipo de uso y la operación del flujo de trabajo de informes de uso, y para descargar informes de uso | Leer |
Asignación para aws-portal:ModifyAccount
| Nueva acción | Descripción | Nivel de acceso |
|---|---|---|
account:CloseAccount
|
Concede permiso para cerrar una cuenta | Escritura |
account:DeleteAlternateContact
|
Otorga permiso para eliminar los contactos alternativos de una cuenta | Escritura |
account:PutAlternateContact
|
Otorga permiso para modificar los contactos alternativos de una cuenta | Escritura |
account:PutChallengeQuestions
|
Concede permiso para modificar las preguntas de desafío de una cuenta | Escritura |
account:PutContactInformation
|
Otorga permiso para actualizar la información de contacto principal para una cuenta | Escritura |
billing:PutContractInformation |
Concede permiso para establecer la información contractual de la cuenta, los nombres de las organizaciones de los usuarios finales y si la cuenta se utiliza para prestar servicios a clientes del sector público | Escritura |
billing:UpdateIAMAccessPreference |
Concede permiso para actualizar la preferencia de facturación Permitir acceso de IAM | Escritura |
payments:UpdatePaymentPreferences
|
Concede permiso para actualizar las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Escritura |
Asignación para aws-portal:ModifyBilling
| Nueva acción | Descripción | Nivel de acceso |
|---|---|---|
billing:PutContractInformation |
Concede permiso para establecer la información contractual de la cuenta, los nombres de las organizaciones de los usuarios finales y si la cuenta se utiliza para prestar servicios a clientes del sector público | Escritura |
billing:RedeemCredits
|
Concede permiso para canjear un crédito de AWS | Escritura |
billing:UpdateBillingPreferences
|
Concede permiso para actualizar preferencias de facturación tales como instancia reservada, Savings Plans y uso compartido de créditos | Escritura |
ce:CreateAnomalyMonitor
|
Concede permiso para crear un nuevo monitor de anomalías | Write |
ce:CreateAnomalySubscription |
Concede permiso para crear una nueva suscripción de anomalía | Escritura |
ce:CreateNotificationSubscription |
Concede permiso para crear alertas de caducidad de reserva | Escritura |
ce:CreateReport |
Concede permiso para crear informes de Cost Explorer | Write |
ce:DeleteAnomalyMonitor
|
Concede permiso para eliminar un monitor de anomalías | Write |
ce:DeleteAnomalySubscription |
Concede permiso para eliminar una suscripción de anomalía | Escritura |
ce:DeleteNotificationSubscription
|
Concede permiso para eliminar alertas de caducidad de reserva | Escritura |
ce:DeleteReport
|
Concede permiso para eliminar informes de Cost Explorer | Escritura |
ce:ProvideAnomalyFeedback
|
Concede permiso para proporcionar comentarios sobre anomalías detectadas. | Escritura |
ce:StartSavingsPlansPurchaseRecommendationGeneration
|
Otorga permiso para solicitar una generación de recomendaciones sobre Savings Plans | Escritura |
ce:UpdateAnomalyMonitor
|
Concede permiso para actualizar un monitor de anomalías existente | Write |
ce:UpdateAnomalySubscription
|
Concede permiso para actualizar una suscripción de anomalía existente | Escritura |
ce:UpdateCostAllocationTagsStatus
|
Concede permiso para actualizar el estado de etiquetas de asignación de costos existentes | Escritura |
ce:UpdateNotificationSubscription |
Concede permiso para actualizar alertas de caducidad de reserva | Escritura |
ce:UpdatePreferences
|
Concede permiso para editar la página de preferencias de Cost Explorer | Escritura |
cur:PutClassicReportPreferences
|
Concede permiso para habilitar los informes clásicos | Escritura |
freetier:PutFreeTierAlertPreference
|
Concede permiso para establecer la preferencia de alerta del capa gratuita de AWS (por dirección de correo electrónico) | Escritura |
invoicing:PutInvoiceEmailDeliveryPreferences
|
Concede permiso para actualizar las preferencias de entrega de facturas por correo electrónico | Escritura |
payments:CreatePaymentInstrument |
Concede permiso para crear un instrumento de pago | Escritura |
payments:DeletePaymentInstrument |
Concede permiso para eliminar un instrumento de pago | Escritura |
payments:MakePayment
|
Concede permiso para realizar un pago, autenticar un pago, verificar un método de pago y generar un documento de solicitud de fondos para Advance Pay | Escritura |
payments:UpdatePaymentPreferences
|
Concede permiso para actualizar las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Escritura |
tax:BatchPutTaxRegistration
|
Concede permiso para actualizar por lotes los registros fiscales | Escritura |
tax:DeleteTaxRegistration
|
Concede permiso para eliminar los datos de registros fiscales | Escritura |
tax:PutTaxInheritance
|
Concede permiso para establecer la herencia fiscal | Escritura |
Asignación para aws-portal:ModifyPaymentMethods
| Nueva acción | Descripción | Nivel de acceso |
|---|---|---|
account:GetAccountInformation
|
Concede permiso para recuperar la información de una cuenta | Leer |
payments:DeletePaymentInstrument
|
Concede permiso para eliminar un instrumento de pago | Escritura |
payments:CreatePaymentInstrument
|
Concede permiso para crear un instrumento de pago | Escritura |
payments:MakePayment
|
Concede permiso para realizar un pago, autenticar un pago, verificar un método de pago y generar un documento de solicitud de fondos para Advance Pay | Escritura |
payments:UpdatePaymentPreferences
|
Concede permiso para actualizar las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Escritura |
Asignación para purchase-orders:ViewPurchaseOrders
| Nueva acción | Descripción | Nivel de acceso |
|---|---|---|
invoicing:GetInvoicePDF
|
Concede permiso para obtener una factura en PDF | Get |
payments:ListPaymentPreferences
|
Concede permiso para obtener las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Enumeración |
purchase-orders:GetPurchaseOrder
|
Concede permiso para obtener una orden de compra | Leer |
purchase-orders:ListPurchaseOrderInvoices |
Concede permiso para ver las órdenes de compra y los detalles | Enumeración |
purchase-orders:ListPurchaseOrders
|
Concede permiso para obtener todas las órdenes de compra disponibles | Enumeración |
Asignación para purchase-orders:ModifyPurchaseOrders
| Nueva acción | Descripción | Nivel de acceso |
|---|---|---|
purchase-orders:AddPurchaseOrder |
Concede permiso para agregar una orden de compra | Escritura |
purchase-orders:DeletePurchaseOrder
|
Concede permiso para eliminar una orden de compra. | Escritura |
purchase-orders:UpdatePurchaseOrder
|
Concede permiso para actualizar una orden de compra existente | Escritura |
purchase-orders:UpdatePurchaseOrderStatus
|
Concede permiso para establecer el estado de una orden de compra | Escritura |
