影響を受けるポリシーツールの使用方法 - AWS 「請求」
関連リソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

影響を受けるポリシーツールの使用方法

注記

以下のようになります AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。

  • aws-portal 名前空間

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

を使用している場合 AWS Organizationsでは、一括ポリシー移行スクリプトまたは一括ポリシー移行を使用して、支払いアカウントからポリシーを更新できます。古いアクションからきめ細かなアクションマッピングリファレンスを使用して、追加する必要があるIAMアクションを確認することもできます。

をお持ちの場合 AWS アカウント、、または は の一部です。 AWS Organizations 2023 年 3 月 6 日午前 11:00 (PDT) 以降に作成された詳細なアクションは、組織で既に有効になっています。

請求コンソールの影響を受けるポリシーツールを使用してIAM、ポリシー ( を除くSCPs) を特定し、この移行の影響を受けるIAMアクションを参照できます。[影響を受けるポリシー] ツールを使用して、以下のタスクを実行します。

  • IAM ポリシーを特定し、この移行の影響を受けるIAMアクションを参照する

  • 更新したポリシーをクリップボードにコピーします。

  • ポリシーエディタで影響を受けるIAMポリシーを開く

  • アカウントの更新したポリシーを保存します。

  • 詳細な権限を有効にして、古いアクションを無効にします。

このツールは、 の境界内で動作します。 AWS サインインしている アカウント、および他の に関する情報 AWS Organizations アカウントは公開されません。

影響を受けるポリシーツールを使用するには

  1. にサインインする AWS Management Console を開き、 AWS Billing の コンソールhttps://console.aws.amazon.com/billing/

  2. 影響のあるポリシーツールにアクセスするには、ブラウザURLに以下を貼り付けます: https://console.aws.amazon.com/poliden/home?region=us-east-1#/

    注記

    iam:GetAccountAuthorizationDetails アクセス許可は、このページを表示するために必要です。

  3. 影響を受けるIAMポリシーを一覧表示する表を確認します。非推奨IAMアクション列を使用して、ポリシーで参照される特定のIAMアクションを確認します。

  4. [更新したポリシーをコピー] 列で [コピー] を選択し、更新したポリシーをクリップボードにコピーします。更新したポリシーには、既存のポリシーと、それに追加された詳細な推奨アクションが個別の Sid ブロックとして含まれます。このブロックには、ポリシーの末尾にプレフィックス AffectedPoliciesMigrator が付きます。

  5. IAM コンソールのポリシーの編集 列で、編集 を選択してIAMポリシーエディタに移動します。既存のポリシーJSONの が表示されます。

  6. 既存のポリシー全体を、ステップ 4 でコピーした更新済みのポリシーに置き換えます。必要に応じて他の変更を加えることができます。

  7. [次へ]、[変更を保存] の順に選択します。

  8. 影響を受けるすべてのポリシーについて、ステップ 3 ~ 7 を繰り返します。

  9. ポリシーを更新したら、[影響を受けるポリシー] ツールを更新して、影響を受けるポリシーがリストにないことを確認します。すべてのポリシーについて、新しいIAMアクションが見つかった列には「はい」と表示され、「コピー編集」ボタンは無効になります。影響を受けるポリシーが更新されます。

アカウントで詳細なアクションを有効にするには

ポリシーを更新したら、次の手順に従ってアカウントで詳細なアクションを有効にします。

新しいIAMアクションの管理セクションを使用できるのは、組織または個々のアカウントの管理アカウント (支払者) のみです。個人アカウントは、新しいアクションを自分で有効にできます。管理アカウントは、組織全体または一部のメンバーアカウントに対して新しいアクションを有効にできます。管理アカウントの場合は、すべてのメンバーアカウントの影響を受けるポリシーを更新し、組織で新しいアクションを有効にします。詳細については、「」の「新しい詳細なアクションと既存のIAMアクションの間でアカウントを切り替える方法」セクションを参照してください。 AWS ブログ記事。

注記

これを実行するには、次のアクセス許可が必要です。

  • aws-portal:GetConsoleActionSetEnforced

  • aws-portal:UpdateConsoleActionSetEnforced

  • ce:GetConsoleActionSetEnforced

  • ce:UpdateConsoleActionSetEnforced

  • purchase-orders:GetConsoleActionSetEnforced

  • purchase-orders:UpdateConsoleActionSetEnforced

「新しいIAMアクションの管理」セクションが表示されない場合は、アカウントが詳細なIAMアクションを既に有効にしていることを意味します。

  1. 「新しいIAMアクションの管理」で、現在のアクションセット強制設定は「既存」ステータスになります。

    [新しいアクションを有効にする (詳細)] を選択し、[変更を適用] を選択します。

  2. ダイアログボックスで、[Yes] を選択します。「強制される現在のアクションセット] ステータスが [詳細] に変わります。つまり、新しいアクションが に適用されます。 AWS アカウント 組織の場合は、 または です。

  3. (オプション) その後、既存のポリシーを更新して、古いアクションをすべて削除できます。

例: IAMポリシーの前後に

次のIAMポリシーには古いaws-portal:ViewPaymentMethodsアクションがあります。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        }
    ]
}

更新したポリシーをコピーすると、次の例では詳細なアクションを含む新しい Sid ブロックが作成されます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AffectedPoliciesMigrator0",
            "Effect": "Allow",
            "Action": [
                "account:GetAccountInformation",
                "invoicing:GetInvoicePDF",
                "payments:GetPaymentInstrument",
                "payments:GetPaymentStatus",
                "payments:ListPaymentPreferences"
            ],
            "Resource": "*"
        }
    ]
}

詳細については、「 ユーザーガイド」の「SidIAM」を参照してください。

新しい詳細なアクションの詳細については、「詳細なアクションのマッピングリファレンス」および「詳細な請求IAMアクションの使用」を参照してください。 https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html#migrate-user-permissions