Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wie Sie das Tool für betroffene Richtlinien verwenden
Anmerkung
Für die folgenden AWS Identity and Access Management (IAM) Aktionen wurde der Standardsupport im Juli 2023 eingestellt:
-
Namespace
aws-portal
-
purchase-orders:ViewPurchaseOrders
-
purchase-orders:ModifyPurchaseOrders
Wenn Sie diese Option verwenden AWS Organizations, können Sie die Skripts für die Massenmigration von Richtlinien verwenden, um die Richtlinien von Ihrem Zahlerkonto aus zu aktualisieren. Sie können auch die Referenz zur Zuordnung von Vorgängen zu detaillierten Aktionen verwenden, um zu überprüfen, welche IAM Aktionen hinzugefügt werden müssen.
Weitere Informationen finden Sie im Blog Änderungen an den Berechtigungen für AWS Fakturierung, AWS Kostenmanagement und Kontokonsolen
Wenn Sie ein am oder nach dem 6. März 2023 AWS-Konto, 11:00 Uhr (PDT) AWS Organizations erstelltes Programm haben oder Teil eines solchen sind, sind die detaillierten Aktionen in Ihrer Organisation bereits wirksam.
Sie können das Tool Betroffene Richtlinien in der Abrechnungskonsole verwenden, um IAM Richtlinien (ausgenommenSCPs) zu identifizieren und auf die von dieser Migration betroffenen IAM Aktionen zu verweisen. Verwenden Sie das Tool Betroffene Richtlinien, um die folgenden Aufgaben auszuführen:
-
Identifizieren Sie IAM die Richtlinien und verweisen Sie auf die IAM Aktionen, die von dieser Migration betroffen sind
-
Kopieren Sie die aktualisierte Richtlinie in Ihre Zwischenablage.
-
Öffnen Sie die betroffene Richtlinie im IAM Richtlinien-Editor
-
Speichern Sie die aktualisierte Richtlinie für Ihr Konto.
-
Schalten Sie die detaillierten Berechtigungen ein und deaktivieren Sie die alten Aktionen.
Dieses Tool funktioniert innerhalb der Grenzen des AWS Kontos, mit dem Sie angemeldet sind, und Informationen zu anderen AWS Organizations Konten werden nicht weitergegeben.
Wie Sie das das Tool für betroffene Richtlinien verwenden
Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS Abrechnungskonsole unter https://console.aws.amazon.com/billing/
. -
Fügen Sie Folgendes URL in Ihren Browser ein, um auf das Tool für betroffene Richtlinien zuzugreifen:https://console.aws.amazon.com/poliden/home?region=us-east-1#/
. Anmerkung
Sie müssen über die Berechtigung
iam:GetAccountAuthorizationDetails
verfügen, um diese Seite einzusehen. -
Sehen Sie sich die Tabelle an, in der die betroffenen IAM Richtlinien aufgeführt sind. Verwenden Sie die Spalte Veraltete IAM Aktionen, um bestimmte IAM Aktionen zu überprüfen, auf die in einer Richtlinie verwiesen wird.
-
Wählen Sie in der Spalte Aktualisierte Richtlinie kopieren die Option Kopieren aus, um die aktualisierte Richtlinie in Ihre Zwischenablage zu kopieren. Die aktualisierte Richtlinie enthält die bestehende Richtlinie und die vorgeschlagenen detaillierten Aktionen, die ihr als separater
Sid
-Block angehängt sind. Dieser Block hat das PräfixAffectedPoliciesMigrator
am Ende der Richtlinie. -
Wählen Sie in der Spalte Richtlinie in der IAM Konsole bearbeiten die Option Bearbeiten aus, um zum IAM Richtlinien-Editor zu wechseln. Sie sehen die JSON Ihrer bestehenden Richtlinie.
-
Ersetzen Sie die gesamte bestehende Richtlinie durch die aktualisierte Richtlinie, die Sie in Schritt 4 kopiert haben. Sie können nach Bedarf weitere Änderungen vornehmen.
-
Wählen Sie Weiter und dann Änderungen speichern aus.
-
Wiederholen Sie die Schritte 3 bis 7 für alle betroffenen Richtlinien.
-
Nachdem Sie Ihre Richtlinien aktualisiert haben, aktualisieren Sie das Tool Betroffene Richtlinien, um sicherzustellen, dass keine betroffenen Richtlinien aufgeführt sind. In der Spalte Neue IAM Aktionen gefunden sollte für alle Richtlinien der Wert Ja stehen und die Schaltflächen Kopieren und Bearbeiten sind deaktiviert. Ihre betroffenen Richtlinien wurden aktualisiert.
So aktivieren Sie detaillierte Aktionen für Ihr Konto
Gehen Sie nach der Aktualisierung Ihrer Richtlinien wie folgt vor, um die detaillierten Aktionen für Ihr Konto zu aktivieren.
Nur das Verwaltungskonto (Zahler) einer Organisation oder einzelne Konten können den Bereich „Neue IAM Aktionen verwalten“ verwenden. Ein einzelnes Konto kann die neuen Aktionen für sich selbst aktivieren. Ein Verwaltungskonto kann neue Aktionen für die gesamte Organisation oder für eine Teilmenge von Mitgliedskonten ermöglichen. Wenn Sie ein Verwaltungskonto haben, aktualisieren Sie die betroffenen Richtlinien für alle Mitgliedskonten und aktivieren Sie die neuen Aktionen für Ihre Organisation. Weitere Informationen findest du im Abschnitt Wie kann ich Konten zwischen neuen, differenzierten Aktionen und bestehenden Aktionen umschalten
Anmerkung
Um die auszuführen, müssen Sie über die folgenden Berechtigungen verfügen:
-
aws-portal:GetConsoleActionSetEnforced
-
aws-portal:UpdateConsoleActionSetEnforced
-
ce:GetConsoleActionSetEnforced
-
ce:UpdateConsoleActionSetEnforced
-
purchase-orders:GetConsoleActionSetEnforced
-
purchase-orders:UpdateConsoleActionSetEnforced
Wenn der Abschnitt „Neue IAM Aktionen verwalten“ nicht angezeigt wird, bedeutet dies, dass Ihr Konto die detaillierten Aktionen bereits aktiviert hat. IAM
-
Unter „Neue IAM Aktionen verwalten“ erhält die Einstellung „Aktueller Aktionssatz erzwungen“ den Status „Bestehend“.
Wählen Sie Neue Aktionen aktivieren (Fine Grained) und anschließend Änderungen anwenden.
-
Wählen Sie im Dialogfeld Yes (Ja) aus. Der Status Aktueller erzwungener Aktionssatz ändert sich in Fine Grained. Das bedeutet, dass die neuen Aktionen für Ihr AWS-Konto oder Ihre Organisation erzwungen werden.
-
(Optional) Anschließend können Sie Ihre bestehenden Richtlinien aktualisieren, um alle alten Aktionen zu entfernen.
Beispiel: IAM Richtlinie „Vorher und Nachher“
Die folgende IAM Richtlinie hat die alte aws-portal:ViewPaymentMethods
Aktion.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:ViewPaymentMethods" ], "Resource": "*" } ] }
Nachdem Sie die aktualisierte Richtlinie kopiert haben, enthält das folgende Beispiel den neuen Sid
-Block mit den detaillierten Aktionen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:ViewPaymentMethods" ], "Resource": "*" }, { "Sid": "AffectedPoliciesMigrator0", "Effect": "Allow", "Action": [ "account:GetAccountInformation", "invoicing:GetInvoicePDF", "payments:GetPaymentInstrument", "payments:GetPaymentStatus", "payments:ListPaymentPreferences" ], "Resource": "*" } ] }
Zugehörige Ressourcen
Weitere Informationen finden Sie unter Sid im IAMBenutzerhandbuch.
Weitere Informationen zu den neuen differenzierten Aktionen finden Sie in der Referenz zur Zuordnung feinkörniger Aktionen und unter Verwenden detaillierter Cost IAM Management-Aktionen. AWS