Uso de la consola para migrar políticas de forma masiva - AWS Facturación
Requisitos previosConfirmación de la migración

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de la consola para migrar políticas de forma masiva

nota

Las siguientes AWS Identity and Access Management (IAM) acciones finalizaron el soporte estándar en julio de 2023:

  • espacio de nombres aws-portal

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

Si lo estás utilizando AWS Organizations, puedes usar los scripts de migración masiva de políticas o el migrador masivo de políticas para actualizar las políticas desde tu cuenta de pagador. También puedes usar la referencia de mapeo de acciones antigua o granular para verificar las IAM acciones que se deben agregar.

Si tienes una Cuenta de AWS o formas parte de una AWS Organizations creada el 6 de marzo de 2023, o después de esa fecha, a las 11:00 a. m. (PDT), las acciones detalladas ya están en vigor en tu organización.

En esta sección, se explica cómo puede utilizar la consola de AWS Billing and Cost Management para migrar de forma masiva políticas heredadas de cuentas de organizaciones o cuentas estándar a las acciones detalladas. Puede completar la migración de las políticas heredadas con la consola de dos maneras:

Utilizar el proceso de migración recomendado AWS

Se trata de un proceso simplificado y de una sola acción en el que se migran las acciones heredadas a las acciones detalladas según lo asigne AWS. Para obtener más información, consulte Uso de las acciones recomendadas para migrar de forma masiva las políticas heredadas.

Uso del proceso de migración personalizado

Este proceso le permite revisar y cambiar las acciones recomendadas AWS antes de la migración masiva, así como personalizar las cuentas de su organización que se van a migrar. Para obtener más información, consulte Personalización de acciones para migrar de forma masiva las políticas heredadas.

Requisitos previos para la migración masiva con la consola

Ambas opciones de migración requieren tu consentimiento en la consola para AWS poder recomendar acciones específicas a las IAM acciones heredadas que has asignado. Para ello, tendrás que iniciar sesión en tu AWS cuenta como IAMdirector y IAM realizar las siguientes acciones para continuar con las actualizaciones de la política.

Management account
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced",
"aws-portal:UpdateConsoleActionSetEnforced",
"purchase-orders:UpdateConsoleActionSetEnforced",
"iam:GetAccountAuthorizationDetails",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:CreateFunction",
"lambda:InvokeFunction",
"lambda:RemovePermission",
"scheduler:GetSchedule", 
"scheduler:DeleteSchedule",
"scheduler:CreateSchedule",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:CreateStackSet",
"cloudformation:CreateStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStackSets",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:ListStacks",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:CreateStack",
"cloudformation:UpdateStackInstances",
"cloudformation:UpdateStackSet",
"cloudformation:DescribeStacks",
"ec2:DescribeRegions",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"iam:GenerateOrganizationsAccessReport",
"iam:GetOrganizationsAccessReport",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"organizations:ListAccountsForParent",
"organizations:ListRoots",
"sts:AssumeRole",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:GetInlinePolicyForPermissionSet",
"sso:DescribePermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sso:ProvisionPermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
Member account or standard account
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced", // Not needed for member account
"aws-portal:UpdateConsoleActionSetEnforced", // Not needed for member account
"purchase-orders:UpdateConsoleActionSetEnforced", // Not needed for member account
"iam:GetAccountAuthorizationDetails",
"ec2:DescribeRegions",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl", 
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
Temas

Confirmación de la migración

Puedes ver si hay AWS Organizations cuentas que aún deban migrarse mediante la herramienta de migración.

Confirmación de la migración de todas las cuentas

  1. Inicie sesión en la AWS Management Console.

  2. En la barra de búsqueda situada en la parte superior de la página, introduzca Bulk Policy Migrator.

  3. En la página Administrar nuevas IAM acciones, selecciona la pestaña Migrar cuentas.

Si en la tabla no aparecen cuentas, significa que todas las cuentas se han migrado correctamente.