영향을 받는 정책 도구를 사용하는 방법 - AWS 비용 관리
관련 리소스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

영향을 받는 정책 도구를 사용하는 방법

참고

다음 AWS Identity and Access Management (IAM) 조치는 2023년 7월에 표준 지원이 종료되었습니다.

  • aws-portal 네임스페이스

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

를 사용하는 경우 대량 정책 마이그레이션 스크립트를 사용하여 AWS Organizations지급인 계정에서 정책을 업데이트할 수 있습니다. 또한 기존에서 세분화된 작업 매핑 참조를 사용하여 추가해야 하는 IAM 작업을 확인할 수 있습니다.

자세한 내용은 AWS 청구, AWS 비용 관리 및 계정 콘솔 권한 변경 블로그를 참조하십시오.

2023년 3월 6일 오전 11시 (PDT) 당일 또는 그 이후에 AWS Organizations 만든 계정이 있거나 여기에 속해 있는 경우, 세분화된 작업은 이미 조직에 적용되고 있습니다. AWS 계정

결제 콘솔의 영향을 받는 정책 도구를 사용하여 IAM 정책 (제외SCPs) 을 식별하고 이 마이그레이션의 영향을 받는 IAM 조치를 참조할 수 있습니다. 영향을 받는 정책 도구를 사용하여 다음 작업을 수행하세요.

  • IAM정책을 식별하고 이 마이그레이션의 영향을 받는 IAM 조치를 참조하십시오.

  • 업데이트된 정책을 클립보드에 복사

  • 정책 편집기에서 영향을 받는 IAM 정책을 엽니다.

  • 계정의 업데이트된 정책 저장

  • 세분화된 권한을 켜고 이전 작업 비활성화

이 도구는 로그인한 AWS 계정의 범위 내에서 작동하며 다른 AWS Organizations 계정에 대한 정보는 공개되지 않습니다.

영향을 받는 정책 도구를 사용하려면

  1. 에 AWS Management Console 로그인하고 에서 AWS 결제 콘솔을 여세요 https://console.aws.amazon.com/billing/.

  2. 영향을 받는 정책 URL 도구에 액세스하려면 다음을 브라우저에 붙여넣으세요https://console.aws.amazon.com/poliden/home?region=us-east-1#/.

    참고

    이 페이지를 보려면 iam:GetAccountAuthorizationDetails 권한이 있어야 합니다.

  3. 영향을 받는 IAM 정책이 나열된 표를 검토하십시오. 더 이상 사용되지 않는 IAM 작업 열을 사용하면 정책에서 참조되는 특정 IAM 작업을 검토할 수 있습니다.

  4. 업데이트된 정책 복사 열에서 복사를 선택하여 업데이트된 정책을 클립보드에 복사합니다. 업데이트된 정책에는 기존 정책과 여기에 추가된 세분화된 권장 조치가 별도의 Sid 블록으로 포함되어 있습니다. 이 블록의 정책 끝에 접두사 AffectedPoliciesMigrator가 붙습니다.

  5. IAM콘솔의 정책 편집 열에서 편집을 선택하여 정책 편집기로 이동합니다IAM. 기존 정책이 표시됩니다JSON.

  6. 기존 정책 전체를 4단계에서 복사한 업데이트된 정책으로 교체합니다. 필요에 따라 다른 내용을 변경할 수 있습니다.

  7. 다음변경 사항 저장을 차례로 선택합니다.

  8. 영향을 모든 정책에 대해 3~7단계를 반복합니다.

  9. 정책을 업데이트한 후 영향을 받는 정책 도구를 새로 고침하여 영향을 받는 정책이 목록에 없는지 확인합니다. 모든 정책에 대해 [새 IAM 작업 발견] 열에 [] 로 표시되어야 하며 복사편집 버튼은 비활성화됩니다. 영향을 받는 정책이 업데이트되었습니다.

계정에 대해 세분화된 작업을 활성화하려면

정책을 업데이트한 후 이 절차에 따라 계정에 대한 세분화된 작업을 활성화합니다.

조직의 관리 계정 (지급인) 또는 개별 계정만 새 IAM 작업 관리 섹션을 사용할 수 있습니다. 개별 계정에서 자체적으로 새 작업을 활성화할 수 있습니다. 관리 계정은 전체 조직 또는 일부 구성원 계정에 대해 새 작업을 활성화할 수 있습니다. 관리 계정인 경우 모든 구성원 계정의 영향을 받는 정책을 업데이트하고 조직에 대한 새 작업을 활성화합니다. 자세한 내용은 세분화된 새 작업과 기존 작업 간에 계정을 전환하는 방법을 참조하십시오. IAM 블로그 게시물의 섹션. AWS

참고

이를 실행하려면 다음 권한이 있어야 합니다.

  • aws-portal:GetConsoleActionSetEnforced

  • aws-portal:UpdateConsoleActionSetEnforced

  • ce:GetConsoleActionSetEnforced

  • ce:UpdateConsoleActionSetEnforced

  • purchase-orders:GetConsoleActionSetEnforced

  • purchase-orders:UpdateConsoleActionSetEnforced

새 IAM 작업 관리 섹션이 보이지 않는다면 계정에서 이미 세분화된 IAM 작업을 활성화한 것입니다.

  1. 새 IAM 작업 관리에서 현재 작업 세트 적용됨 설정은 기존 상태로 설정됩니다.

    새 작업 활성화 (세분화)를 선택한 다음 변경 사항 적용을 선택합니다.

  2. 대화 상자에서 Yes(예)를 선택합니다. 현재 작업 세트 적용 상태가 세분화됨으로 변경됩니다. 즉, 새 작업이 사용자의 AWS 계정 또는 조직에 적용됩니다.

  3. (선택 사항) 그런 다음 기존 정책을 업데이트하여 이전 작업을 모두 제거할 수 있습니다.

예: 정책 이전 및 이후 정책 IAM

다음 IAM 정책에는 이전 aws-portal:ViewPaymentMethods 조치가 있습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        }
    ]
}

업데이트된 정책을 복사하면 다음 예시에서는 세분화된 작업이 포함된 새 Sid 블록을 생성합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AffectedPoliciesMigrator0",
            "Effect": "Allow",
            "Action": [
                "account:GetAccountInformation",
                "invoicing:GetInvoicePDF",
                "payments:GetPaymentInstrument",
                "payments:GetPaymentStatus",
                "payments:ListPaymentPreferences"
            ],
            "Resource": "*"
        }
    ]
}

자세한 내용은 IAM사용 설명서의 Sid를 참조하십시오.

새롭고 세분화된 작업에 대한 자세한 내용은 세분화된 작업 매핑 참조 및 세분화된 비용 관리 IAM 작업 사용을 참조하십시오. AWS