Menggunakan konsol untuk memigrasi kebijakan Anda secara massal

catatan

Tindakan AWS Identity and Access Management (IAM) berikut telah mencapai akhir dukungan standar pada Juli 2023:

• aws-portalnamespace

• purchase-orders:ViewPurchaseOrders

• purchase-orders:ModifyPurchaseOrders

Jika Anda menggunakan AWS Organizations, Anda dapat menggunakan skrip migrasi kebijakan massal atau migrator kebijakan massal untuk memperbarui kebijakan dari akun pembayar Anda. Anda juga dapat menggunakan referensi pemetaan tindakan lama ke granular untuk memverifikasi tindakan IAM yang perlu ditambahkan.

Jika Anda memiliki Akun AWS, atau merupakan bagian dari yang AWS Organizations dibuat pada atau setelah 6 Maret 2023, 11:00 (PDT), tindakan halus sudah berlaku di organisasi Anda.

Bagian ini mencakup cara Anda dapat menggunakan AWS Billing and Cost Management konsol untuk memigrasikan kebijakan lama Anda dari akun Organizations atau akun standar ke tindakan berbutir halus secara massal. Anda dapat menyelesaikan migrasi kebijakan lama menggunakan konsol dengan dua cara:

Menggunakan proses migrasi yang direkomendasikan AWS

Ini adalah proses tindakan tunggal yang disederhanakan di mana Anda memigrasikan tindakan lama ke tindakan berbutir halus seperti yang dipetakan oleh. AWS Untuk informasi selengkapnya, lihat Menggunakan tindakan yang disarankan untuk memigrasi kebijakan lama secara massal.

Menggunakan proses migrasi yang disesuaikan

Proses ini memungkinkan Anda meninjau dan mengubah tindakan yang direkomendasikan AWS sebelum migrasi massal, serta menyesuaikan akun mana di organisasi Anda yang dimigrasi. Untuk informasi selengkapnya, lihat Menyesuaikan tindakan untuk memigrasi kebijakan lama secara massal.

Prasyarat untuk migrasi massal menggunakan konsol

Kedua opsi migrasi mengharuskan Anda untuk menyetujui di konsol sehingga AWS dapat merekomendasikan tindakan berbutir halus ke tindakan IAM lama yang telah Anda tetapkan. Untuk melakukan ini, Anda harus masuk ke AWS akun Anda sebagai prinsipal IAM dengan tindakan IAM berikut untuk melanjutkan pembaruan kebijakan.

Management account

// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced",
"aws-portal:UpdateConsoleActionSetEnforced",
"purchase-orders:UpdateConsoleActionSetEnforced",
"iam:GetAccountAuthorizationDetails",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:CreateFunction",
"lambda:InvokeFunction",
"lambda:RemovePermission",
"scheduler:GetSchedule", 
"scheduler:DeleteSchedule",
"scheduler:CreateSchedule",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:CreateStackSet",
"cloudformation:CreateStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStackSets",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:ListStacks",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:CreateStack",
"cloudformation:UpdateStackInstances",
"cloudformation:UpdateStackSet",
"cloudformation:DescribeStacks",
"ec2:DescribeRegions",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"iam:GenerateOrganizationsAccessReport",
"iam:GetOrganizationsAccessReport",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"organizations:ListAccountsForParent",
"organizations:ListRoots",
"sts:AssumeRole",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:GetInlinePolicyForPermissionSet",
"sso:DescribePermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sso:ProvisionPermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403

Member account or standard account

// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced", // Not needed for member account
"aws-portal:UpdateConsoleActionSetEnforced", // Not needed for member account
"purchase-orders:UpdateConsoleActionSetEnforced", // Not needed for member account
"iam:GetAccountAuthorizationDetails",
"ec2:DescribeRegions",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl", 
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403

Topik

• Menggunakan tindakan yang disarankan untuk memigrasi kebijakan lama secara massal
• Menyesuaikan tindakan untuk memigrasi kebijakan lama secara massal
• Mengembalikan perubahan kebijakan migrasi massal Anda
• Mengonfirmasi migrasi Anda

Mengonfirmasi migrasi Anda

Anda dapat melihat apakah ada AWS Organizations akun yang masih perlu bermigrasi menggunakan alat migrasi.

Untuk mengonfirmasi apakah semua akun dimigrasikan

1. Masuk ke AWS Management Console.

2. Di bilah pencarian di bagian atas halaman, masukkanBulk Policy Migrator.

3. Pada halaman Kelola tindakan IAM baru, pilih tab Migrasi akun.

Semua akun berhasil dimigrasi jika tabel tidak menampilkan akun yang tersisa.