Utilizzo della console per migrare in blocco le tue politiche

Nota

Le seguenti AWS Identity and Access Management (IAM) azioni hanno raggiunto la fine del supporto standard a luglio 2023:

• Spazio dei nomi aws-portal

• purchase-orders:ViewPurchaseOrders

• purchase-orders:ModifyPurchaseOrders

Se utilizzi AWS Organizations, puoi utilizzare gli script Bulk Policy Migrator o Bulk Policy Migrator per aggiornare le politiche dal tuo account di pagamento. Puoi anche utilizzare il riferimento alla mappatura delle azioni da vecchio a granulare per verificare le azioni da aggiungere. IAM

Se ne hai AWS Organizations creata una o ne fai parte a partire dal 6 marzo 2023 alle 11:00 (PDT), le azioni dettagliate sono già in vigore nella tua organizzazione. Account AWS

Questa sezione spiega come utilizzare la AWS Billing and Cost Management console per migrare le policy legacy dagli account Organizations o dagli account standard alle azioni granulari in blocco. Puoi completare la migrazione delle tue policy precedenti utilizzando la console in due modi:

Utilizzando il processo AWS di migrazione consigliato

Si tratta di un processo semplificato a singola azione in cui è possibile migrare le azioni precedenti alle azioni granulari mappate da. AWS Per ulteriori informazioni, consulta Utilizzo delle azioni consigliate per la migrazione in blocco delle politiche precedenti.

Utilizzo del processo di migrazione personalizzato

Questo processo consente di rivedere e modificare le azioni consigliate AWS prima della migrazione di massa, nonché di personalizzare gli account dell'organizzazione da migrare. Per ulteriori informazioni, consulta Personalizzazione delle azioni per la migrazione in blocco delle politiche precedenti.

Prerequisiti per la migrazione di massa tramite la console

Entrambe le opzioni di migrazione richiedono il consenso dell'utente nella console, in modo che AWS possa consigliare azioni dettagliate rispetto alle azioni precedenti assegnate. IAM A tale scopo, dovrai accedere al tuo AWS account come IAMprincipale eseguendo IAM le seguenti azioni per continuare con gli aggiornamenti delle politiche.

Management account

// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced",
"aws-portal:UpdateConsoleActionSetEnforced",
"purchase-orders:UpdateConsoleActionSetEnforced",
"iam:GetAccountAuthorizationDetails",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:CreateFunction",
"lambda:InvokeFunction",
"lambda:RemovePermission",
"scheduler:GetSchedule", 
"scheduler:DeleteSchedule",
"scheduler:CreateSchedule",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:CreateStackSet",
"cloudformation:CreateStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStackSets",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:ListStacks",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:CreateStack",
"cloudformation:UpdateStackInstances",
"cloudformation:UpdateStackSet",
"cloudformation:DescribeStacks",
"ec2:DescribeRegions",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"iam:GenerateOrganizationsAccessReport",
"iam:GetOrganizationsAccessReport",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"organizations:ListAccountsForParent",
"organizations:ListRoots",
"sts:AssumeRole",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:GetInlinePolicyForPermissionSet",
"sso:DescribePermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sso:ProvisionPermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403

Member account or standard account

// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced", // Not needed for member account
"aws-portal:UpdateConsoleActionSetEnforced", // Not needed for member account
"purchase-orders:UpdateConsoleActionSetEnforced", // Not needed for member account
"iam:GetAccountAuthorizationDetails",
"ec2:DescribeRegions",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl", 
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403

Argomenti

• Utilizzo delle azioni consigliate per la migrazione in blocco delle politiche precedenti
• Personalizzazione delle azioni per la migrazione in blocco delle politiche precedenti
• Ripristino delle modifiche alla politica di migrazione di massa
• Conferma della migrazione

Conferma della migrazione

Puoi vedere se ci sono AWS Organizations account che devono ancora migrare utilizzando lo strumento di migrazione.

Per confermare se tutti gli account sono stati migrati

1. Accedi alla AWS Management Console.

2. Nella barra di ricerca nella parte superiore della pagina, inserisciBulk Policy Migrator.

3. Nella pagina Gestisci nuove IAM azioni, scegli la scheda Migra account.

Tutti gli account sono stati migrati correttamente se la tabella non mostra gli account rimanenti.