本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
如何使用受影響的政策工具
注意
下列 AWS Identity and Access Management (IAM) 動作已於 2023 年 7 月終止標準支援:
-
aws-portal
命名空間 -
purchase-orders:ViewPurchaseOrders
-
purchase-orders:ModifyPurchaseOrders
如果您使用的是 AWS Organizations,您可以使用大量政策移轉程式指令碼來更新付款人帳戶中的政策。您還可以使用舊的到細微的操作映射引用來驗證需要添加的IAM操作。
如需詳細資訊,請參閱AWS 帳單、 AWS 成本管理和帳戶主控台權限變
如果您在 2023 年 3 月 6 日 AWS 帳戶,11:00 AM (PDT) 或之後 AWS Organizations 建立,或屬於建立的一部分,則細微動作已在您的組織中生效。
您可以使用帳單主控台中的受影響政策工具來識別IAM政策 (不包括SCPs),並參考受此移轉影響的IAM動作。使用受影響的策略工具執行下列工作:
-
識別IAM原則並參考受此移轉影響的IAM動作
-
將更新的政策複製到剪貼簿
-
在策略編輯器中開啟受影響的IAM策略
-
儲存帳戶的更新政策
-
開啟微調的許可,並停用舊動作
此工具會在您登入 AWS 帳戶的界限內運作,而且不會揭露有關其他 AWS Organizations 帳戶的資訊。
若要使用受影響的政策工具
登入 AWS Management Console 並開啟 AWS 帳單主控台,位於https://console.aws.amazon.com/billing/
。 -
URL將下列內容貼到您的瀏覽器中,以存取受影響的政策工具:https://console.aws.amazon.com/poliden/home?region=us-east-1#/
。 注意
您必須擁有檢視此頁面的
iam:GetAccountAuthorizationDetails
許可。 -
檢閱列出受影響IAM策略的表格。使用 IAM[已取代的動作] 欄可檢閱策略中參照的特定IAM動作。
-
在複製更新的政策欄位下方,選擇複製以將更新的政策複製到剪貼簿。更新的政策包含現有的政策和附加至其中作為獨立
Sid
區塊的建議微調動作。此區塊在政策結尾具有字首AffectedPoliciesMigrator
。 -
在「在IAM主控台中編輯策略」欄下,選擇「編輯」以移至IAM策略編輯器。您將看到您現有JSON的政策。
-
將整個現有的政策取代為在步驟 4 中複製的更新政策。您可以視需要進行任何其他變更。
-
選擇下一步,然後選擇儲存變更。
-
針對所有受影響的政策重複步驟 3 至 7。
-
更新政策後,請重新整理受影響的政策工具,以確認沒有列出任何受影響的政策。對於所有策略,[發現新IAM動作] 欄應為 [是],且 [複製] 和 [編輯] 按鈕將會停用。受影響的政策已更新。
啟用帳戶的微調動作
當您更新政策後,請按照此程序為帳戶啟用微調的動作。
只有組織或個人帳戶的管理帳戶 (付款人) 可以使用「管理新IAM動作」區段。個人帳戶可為自己啟用新動作。管理帳戶可為整個組織或成員帳戶的子集啟用新動作。如果您是管理帳戶,請更新所有成員帳戶的受影響政策,並為組織啟用新動作。如需詳細資訊,請參閱如何在新的精細動作或現有IAM動作之間切換帳戶
注意
若要執行此動作,您必須具有下列許可:
-
aws-portal:GetConsoleActionSetEnforced
-
aws-portal:UpdateConsoleActionSetEnforced
-
ce:GetConsoleActionSetEnforced
-
ce:UpdateConsoleActionSetEnforced
-
purchase-orders:GetConsoleActionSetEnforced
-
purchase-orders:UpdateConsoleActionSetEnforced
如果您沒有看到 [管理新IAM動作] 區段,表示您的帳戶已啟用細微IAM動作。
-
在「管理新動IAM作」 下,「強制執行目前的動作集」設定將具有「現有」狀態。
選擇啟用新的動作 (微調),然後選擇套用變更。
-
在對話方塊中,選擇 Yes (是)。目前強制執行的動作集狀態將會變更為已微調。如此表示系統已針對您的 AWS 帳戶 或組織強制執行新的動作。
-
(選用) 您可以更新現有的政策,以移除任何舊動作。
範例:IAM原則之前和之後
下列IAM原則具有舊aws-portal:ViewPaymentMethods
動作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:ViewPaymentMethods" ], "Resource": "*" } ] }
在您複製更新的政策後,下列範例會具有新的 Sid
區塊,其中包含微調的動作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:ViewPaymentMethods" ], "Resource": "*" }, { "Sid": "AffectedPoliciesMigrator0", "Effect": "Allow", "Action": [ "account:GetAccountInformation", "invoicing:GetInvoicePDF", "payments:GetPaymentInstrument", "payments:GetPaymentStatus", "payments:ListPaymentPreferences" ], "Resource": "*" } ] }
相關資源
如需詳細資訊,請參閱《IAM使用指南》中的 Sid。
如需有關新細微動作的詳細資訊,請參閱對應細微動IAM作參考資料和使用精細的 AWS 成本管理動作。