如何使用受影响策略工具 - AWS 成本管理
相关资源

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

如何使用受影响策略工具

注意

以下 AWS Identity and Access Management (IAM) 操作已于 2023 年 7 月结束标准支持:

  • aws-portal 命名空间

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

如果您正在使用 AWS Organizations,则可以使用批量策略迁移程序脚本从您的付款人账户更新政策。您也可以使用从旧到精细的操作映射参考来验证需要添加的IAM操作。

有关更多信息,请参阅AWS 账单、 AWS 成本管理和账户控制台权限变更博客。

如果您在 2023 年 3 月 6 日上午 11:00 当天或之后 AWS Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 AWS 账户 PDT

您可以使用账单控制台中的受影响策略工具来识别IAM策略(不包括SCPs),并参考受此迁移影响的IAM操作。使用受影响的策略工具执行以下任务:

  • 确定IAM策略并参考受此迁移影响的IAM操作

  • 将更新后的策略复制到剪贴板

  • 在策略编辑器中打开受影响的IAM策略

  • 为您的账户保存更新后的策略

  • 开启精细权限并禁用旧操作

此工具在您登录的 AWS 账户范围内运行,并且不会披露有关其他 AWS Organizations 账户的信息。

要使用受影响策略工具,请执行以下操作

  1. 登录 AWS Management Console 并打开 AWS 账单控制台,网址为https://console.aws.amazon.com/billing/

  2. URL将以下内容粘贴到浏览器中以访问受影响的策略工具:https://console.aws.amazon.com/poliden/home?region=us-east-1#/.

    注意

    您必须具有 iam:GetAccountAuthorizationDetails 权限才能查看此页面。

  3. 查看列出受影响IAM策略的表。使用 “已弃用的IAM操作” 列查看策略中引用的特定IAM操作。

  4. 复制更新后的策略列下,选择复制,以将更新后的策略复制到剪贴板。更新后的策略包含现有策略以及作为单独 Sid 块附加到该策略后的建议精细操作。该块在策略末尾有前缀 AffectedPoliciesMigrator

  5. 在 “在IAM控制台中编辑策略” 列下,选择编辑以转到IAM策略编辑器。您将看到您的JSON现有保单。

  6. 将现有策略完整替换为您在第 4 步中复制的更新后策略。您可以根据需要进行任何其他更改。

  7. 选择下一步,然后选择保存更改

  8. 对所有列出的策略重复第 3 步到第 7 步。

  9. 更新策略后,刷新受影响的策略工具,确认没有受影响的策略列出。所有策略的 “已找到新IAM操作” 列都应为 “”,“复制” 和 “编辑” 按钮将被禁用。受影响的策略已更新。

为您的账户启用精细操作

更新策略后,请按照以下过程为您的账户启用精细操作。

只有组织或个人账户的管理账户(付款人)才能使用 “管理新IAM操作” 部分。个人账户可以为自己启用新操作。管理账户可以为整个组织或部分成员账户启用新操作。如果您是管理账户,请为所有成员账户更新受影响的策略,并为您的组织启用新操作。有关更多信息,请参阅如何在新的细粒度操作或现有IAM操作之间切换帐户? AWS 博客文章中的部分。

注意

要完成此操作,您必须具有以下权限:

  • aws-portal:GetConsoleActionSetEnforced

  • aws-portal:UpdateConsoleActionSetEnforced

  • ce:GetConsoleActionSetEnforced

  • ce:UpdateConsoleActionSetEnforced

  • purchase-orders:GetConsoleActionSetEnforced

  • purchase-orders:UpdateConsoleActionSetEnforced

如果您没有看到 “管理新IAM操作” 部分,则表示您的账户已经启用了精细IAM操作。

  1. 在 “管理新IAM操作” 下,“当前操作集强制执行” 设置的状态将为 “现有”。

    选择启用新操作(精细),然后选择应用更改

  2. 在此对话框中,选择 Yes (是)已强制执行的当前操作集的状态将更改为精细。这意味着您 AWS 账户 或您的组织将强制执行新操作。

  3. (可选)然后,您可以更新现有策略以移除任何旧操作。

例 示例:策略之前和之后的IAM策略

以下IAM策略采用了旧的aws-portal:ViewPaymentMethods操作。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        }
    ]
}

复制更新后的策略后,以下示例将具有包含精细操作的新 Sid 块。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AffectedPoliciesMigrator0",
            "Effect": "Allow",
            "Action": [
                "account:GetAccountInformation",
                "invoicing:GetInvoicePDF",
                "payments:GetPaymentInstrument",
                "payments:GetPaymentStatus",
                "payments:ListPaymentPreferences"
            ],
            "Resource": "*"
        }
    ]
}

有关更多信息,请参阅《IAM用户指南》中的 Sid

有关新的细粒度操作的更多信息,请参阅映射细粒度操作参考和使用细 AWS粒度成本管理IAM操作。