如何使用受影響的政策工具 - AWS 成本管理
相關資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

如何使用受影響的政策工具

注意

下列 AWS Identity and Access Management (IAM) 動作已於 2023 年 7 月終止標準支援:

  • aws-portal 命名空間

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

如果您使用的是 AWS Organizations,您可以使用大量政策移轉程式指令碼來更新付款人帳戶中的政策。您還可以使用舊的到細微的操作映射引用來驗證需要添加的IAM操作。

如需詳細資訊,請參閱AWS 帳單、 AWS 成本管理和帳戶主控台權限變更部落格。

如果您在 2023 年 3 月 6 日 AWS 帳戶,11:00 AM (PDT) 或之後 AWS Organizations 建立,或屬於建立的一部分,則細微動作已在您的組織中生效。

您可以使用帳單主控台中的受影響政策工具來識別IAM政策 (不包括SCPs),並參考受此移轉影響的IAM動作。使用受影響的策略工具執行下列工作:

  • 識別IAM原則並參考受此移轉影響的IAM動作

  • 將更新的政策複製到剪貼簿

  • 在策略編輯器中開啟受影響的IAM策略

  • 儲存帳戶的更新政策

  • 開啟微調的許可,並停用舊動作

此工具會在您登入 AWS 帳戶的界限內運作,而且不會揭露有關其他 AWS Organizations 帳戶的資訊。

若要使用受影響的政策工具

  1. 登入 AWS Management Console 並開啟 AWS 帳單主控台,位於https://console.aws.amazon.com/billing/

  2. URL將下列內容貼到您的瀏覽器中,以存取受影響的政策工具:https://console.aws.amazon.com/poliden/home?region=us-east-1#/

    注意

    您必須擁有檢視此頁面的 iam:GetAccountAuthorizationDetails 許可。

  3. 檢閱列出受影響IAM策略的表格。使用 IAM[已取代的動作] 欄可檢閱策略中參照的特定IAM動作。

  4. 複製更新的政策欄位下方,選擇複製以將更新的政策複製到剪貼簿。更新的政策包含現有的政策和附加至其中作為獨立 Sid 區塊的建議微調動作。此區塊在政策結尾具有字首 AffectedPoliciesMigrator

  5. 在「在IAM主控台中編輯策略」欄下,選擇「編輯」以移至IAM策略編輯器。您將看到您現有JSON的政策。

  6. 將整個現有的政策取代為在步驟 4 中複製的更新政策。您可以視需要進行任何其他變更。

  7. 選擇下一步,然後選擇儲存變更

  8. 針對所有受影響的政策重複步驟 3 至 7。

  9. 更新政策後,請重新整理受影響的政策工具,以確認沒有列出任何受影響的政策。對於所有策略,[發現新IAM動作] 欄應為 [是],且 [複製] 和 [編輯] 按鈕將會停用。受影響的政策已更新。

啟用帳戶的微調動作

當您更新政策後,請按照此程序為帳戶啟用微調的動作。

只有組織或個人帳戶的管理帳戶 (付款人) 可以使用「管理新IAM動作」區段。個人帳戶可為自己啟用新動作。管理帳戶可為整個組織或成員帳戶的子集啟用新動作。如果您是管理帳戶,請更新所有成員帳戶的受影響政策,並為組織啟用新動作。如需詳細資訊,請參閱如何在新的精細動作或現有IAM動作之間切換帳戶? 部分中的 AWS 博客文章。

注意

若要執行此動作,您必須具有下列許可:

  • aws-portal:GetConsoleActionSetEnforced

  • aws-portal:UpdateConsoleActionSetEnforced

  • ce:GetConsoleActionSetEnforced

  • ce:UpdateConsoleActionSetEnforced

  • purchase-orders:GetConsoleActionSetEnforced

  • purchase-orders:UpdateConsoleActionSetEnforced

如果您沒有看到 [管理新IAM動作] 區段,表示您的帳戶已啟用細微IAM動作。

  1. 在「管理新動IAM作」 下,「強制執行目前的動作集」設定將具有「現有」狀態。

    選擇啟用新的動作 (微調),然後選擇套用變更

  2. 在對話方塊中,選擇 Yes (是)目前強制執行的動作集狀態將會變更為已微調。如此表示系統已針對您的 AWS 帳戶 或組織強制執行新的動作。

  3. (選用) 您可以更新現有的政策,以移除任何舊動作。

範例:IAM原則之前和之後

下列IAM原則具有舊aws-portal:ViewPaymentMethods動作。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        }
    ]
}

在您複製更新的政策後,下列範例會具有新的 Sid 區塊,其中包含微調的動作。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AffectedPoliciesMigrator0",
            "Effect": "Allow",
            "Action": [
                "account:GetAccountInformation",
                "invoicing:GetInvoicePDF",
                "payments:GetPaymentInstrument",
                "payments:GetPaymentStatus",
                "payments:ListPaymentPreferences"
            ],
            "Resource": "*"
        }
    ]
}

如需詳細資訊,請參閱《IAM使用指南》中的 Sid

如需有關新細微動作的詳細資訊,請參閱對應細微動IAM作參考資料和使用精細的 AWS 成本管理動作。