Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Referencia de la asignación de acciones de IAM detalladas
nota
Las siguientes acciones AWS Identity and Access Management (IAM) finalizaron el soporte estándar en julio de 2023:
-
espacio de nombres
aws-portal -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
Si las utilizas AWS Organizations, puedes usar los scripts de migración masiva de políticas o el migrador masivo de políticas para actualizar las políticas desde tu cuenta de pagador. También puede utilizar la referencia de mapeo de acciones de antigua a granular para verificar las acciones de IAM que deben agregarse.
Si tienes una Cuenta de AWS o formas parte de una AWS Organizations creada el 6 de marzo de 2023 o después de esa fecha, a las 11:00 a. m. (PDT), las acciones detalladas ya están en vigor en tu organización.
Deberá migrar las siguientes acciones de IAM en sus políticas de permisos o políticas de control de servicios (SCP):
-
aws-portal:ViewAccount -
aws-portal:ViewBilling -
aws-portal:ViewPaymentMethods -
aws-portal:ViewUsage -
aws-portal:ModifyAccount -
aws-portal:ModifyBilling -
aws-portal:ModifyPaymentMethods -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
Puede utilizar este tema para ver la asignación detallada de las acciones anteriores con las nuevas para cada acción de IAM que vamos a retirar.
Información general
-
Revise las políticas de IAM afectadas en su Cuenta de AWS. Para ello, siga los pasos de la herramienta Políticas afectadas para identificar sus políticas de IAM afectadas. Consulte Cómo usar la herramienta de políticas afectadas.
-
Use la consola de IAM para agregar los nuevos permisos detallados a su política. Por ejemplo, si su política concede el permiso
purchase-orders:ModifyPurchaseOrders, deberá agregar cada acción en la tabla Asignación para purchase-orders:ModifyPurchaseOrders.Política anterior
La siguiente política permite a un usuario agregar, eliminar o modificar cualquier pedido de compra de la cuenta.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "purchase-orders:ModifyPurchaseOrders", "Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*" } ] }Política nueva
La siguiente política también permite a un usuario agregar, eliminar o modificar cualquier pedido de la cuenta. Tenga en cuenta que cada permiso detallado aparece después del permiso
purchase-orders:ModifyPurchaseOrdersanterior. Estos permisos le ofrecen un mayor control sobre las acciones que desea permitir o denegar.sugerencia
Le recomendamos que conserve los permisos anteriores para asegurarse de que no pierde permisos hasta que finalice esta migración.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "purchase-orders:ModifyPurchaseOrders", "purchase-orders:AddPurchaseOrder", "purchase-orders:DeletePurchaseOrder", "purchase-orders:UpdatePurchaseOrder", "purchase-orders:UpdatePurchaseOrderStatus" ], "Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*" } ] } -
Guarde los cambios.
Notas
-
Para editar políticas manualmente en la consola de IAM, consulte Edición de políticas administradas por el cliente (consola) en la Guía del usuario de IAM.
-
Para migrar de forma masiva sus políticas de IAM y usar acciones detalladas (nuevas acciones), consulte Utilice scripts para migrar de forma masiva sus políticas y utilizar acciones de IAM detalladas.
Contenido
- Asignación para aws-portal:ViewAccount
- Asignación para aws-portal:ViewBilling
- Asignación para aws-portal:ViewPaymentMethods
- Asignación para aws-portal:ViewUsage
- Asignación para aws-portal:ModifyAccount
- Asignación para aws-portal:ModifyBilling
- Asignación para aws-portal:ModifyPaymentMethods
- Asignación para purchase-orders:ViewPurchaseOrders
- Asignación para purchase-orders:ModifyPurchaseOrders
Asignación para aws-portal:ViewAccount
| Nueva acción | Descripción | Nivel de acceso |
|---|---|---|
account:GetAccountInformation |
Concede permiso para recuperar la información de una cuenta | Leer |
account:GetAlternateContact |
Otorga permiso para recuperar los contactos alternativos de una cuenta | Leer |
account:GetChallengeQuestions
|
Concede permiso para recuperar las preguntas de desafío de una cuenta | Leer |
account:GetContactInformation
|
Otorga permiso para recuperar la información de contacto principal para una cuenta | Leer |
billing:GetContractInformation
|
Concede permiso para ver la información contractual de la cuenta, incluido número del contrato, nombres de las organizaciones de los usuarios finales, números de orden de compra y si la cuenta se utiliza para prestar servicios a clientes del sector público | Leer |
billing:GetIAMAccessPreference
|
Concede permiso para recuperar el estado de la preferencia de facturación Permitir acceso de IAM | Leer |
billing:GetSellerOfRecord
|
Concede permiso para recuperar el vendedor registrado predeterminado de la cuenta | Leer |
payments:ListPaymentPreferences
|
Concede permiso para obtener las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Leer |
Asignación para aws-portal:ViewBilling
| Nueva acción | Descripción | Nivel de acceso |
|---|---|---|
account:GetAccountInformation
|
Concede permiso para recuperar la información de una cuenta | Leer |
billing:GetBillingData |
Concede permiso para realizar consultas sobre información de facturación | Leer |
billing:GetBillingDetails |
Concede permiso para ver información de facturación de elementos de línea detallada | Leer |
billing:GetBillingNotifications
|
Otorga permiso para ver las notificaciones enviadas por AWS relacionadas con la información de facturación de su cuenta | Leer |
billing:GetBillingPreferences |
Concede permiso para ver preferencias de facturación tales como instancias reservadas, Savings Plans y uso compartido de créditos | Leer |
billing:GetContractInformation |
Concede permiso para ver la información contractual de la cuenta, incluido número del contrato, nombres de las organizaciones de los usuarios finales, números de orden de compra y si la cuenta se utiliza para prestar servicios a clientes del sector público | Leer |
billing:GetCredits
|
Concede permiso para ver créditos que se han canjeado | Leer |
billing:GetIAMAccessPreference |
Concede permiso para recuperar el estado de la preferencia de facturación Permitir acceso de IAM | Leer |
billing:GetSellerOfRecord |
Concede permiso para recuperar el vendedor registrado predeterminado de la cuenta | Leer |
billing:ListBillingViews |
Otorga permiso para obtener información de facturación para sus grupos de facturación proforma | Enumeración |
ce:DescribeNotificationSubscription |
Concede permiso para ver alertas de caducidad de reserva | Leer |
ce:DescribeReport
|
Concede permiso para ver la página de informes de Cost Explorer | Read |
ce:GetAnomalies |
Concede permiso para recuperar anomalías. | Read |
ce:GetAnomalyMonitors
|
Concede permiso para consultar monitores de anomalía | Read |
ce:GetAnomalySubscriptions |
Concede permiso para consultar suscripciones a anomalías | Read |
ce:GetCostAndUsage
|
Concede permiso para recuperar las métricas de costo y de uso para su cuenta. | Read |
ce:GetCostAndUsageWithResources
|
Concede permiso para recuperar las métricas de costo y de uso con recursos para su cuenta. | Leer |
ce:GetCostCategories
|
Concede permiso para consultar nombres y valores de la categoría de costos para un periodo especificado | Leer |
ce:GetCostForecast |
Concede permiso para recuperar una previsión de costo para un periodo de tiempo de previsión. | Read |
ce:GetDimensionValues
|
Concede permiso para recuperar todos los valores de filtro disponibles de un filtro de un periodo. | Leer |
ce:GetPreferences |
Concede permiso para ver la página de preferencias de Cost Explorer | Leer |
ce:GetReservationCoverage
|
Concede permiso para recuperar la cobertura de reserva para su cuenta. | Read |
ce:GetReservationPurchaseRecommendation |
Concede permiso para recuperar las recomendaciones de reserva para su cuenta. | Read |
ce:GetReservationUtilization
|
Concede permiso para recuperar la utilización de reserva para su cuenta. | Read |
ce:GetRightsizingRecommendation
|
Concede permiso para recuperar las recomendaciones de adecuación de tamaño para su cuenta. | Read |
ce:GetSavingsPlansCoverage
|
Concede permiso para recuperar la cobertura de Savings Plans para su cuenta. | Read |
ce:GetSavingsPlansPurchaseRecommendation |
Concede permiso para recuperar las recomendaciones de Savings Plans para su cuenta. | Read |
ce:GetSavingsPlansUtilization
|
Concede permiso para recuperar la utilización de Savings Plans para su cuenta. | Read |
ce:GetSavingsPlansUtilizationDetails
|
Concede permiso para recuperar los detalles de utilización de Savings Plans de su cuenta. | Read |
ce:GetTags |
Concede permiso para consultar las etiquetas de un periodo de tiempo especificado. | Read |
ce:GetUsageForecast |
Concede permiso para recuperar una previsión de uso para un periodo de tiempo de previsión. | Leer |
ce:ListCostAllocationTags
|
Concede permiso para enumerar las etiquetas para la asignación de costos | Enumeración |
ce:ListSavingsPlansPurchaseRecommendationGeneration
|
Otorga permiso para enumerar las generaciones de sus recomendaciones históricas | Leer |
consolidatedbilling:GetAccountBillingRole
|
Concede permiso para obtener el rol de la cuenta (pagador, vinculada, normal) | Leer |
consolidatedbilling:ListLinkedAccounts
|
Concede permiso para obtener una lista de cuentas de miembro y vinculadas | Enumeración |
cur:GetClassicReport
|
Concede permiso para obtener un informe CSV para su facturación | Leer |
cur:GetClassicReportPreferences
|
Concede permiso para obtener el estado de habilitación del informe clásico para los informes de usos | Leer |
cur:ValidateReportDestination
|
Otorga permiso para validar si el bucket de Amazon S3 existe con los permisos adecuados para la entrega de AWS CUR | Leer |
freetier:GetFreeTierAlertPreference
|
Otorga permiso para obtener preferencias de capa gratuita de AWS alerta (por dirección de correo electrónico) | Leer |
freetier:GetFreeTierUsage
|
Otorga permiso para obtener los límites capa gratuita de AWS de uso y el estado de uso month-to-date (MTD) | Leer |
invoicing:GetInvoiceEmailDeliveryPreferences
|
Concede permiso para obtener las preferencias de entrega de facturas por correo electrónico | Leer |
invoicing:GetInvoicePDF
|
Concede permiso para obtener la factura en PDF | Leer |
invoicing:ListInvoiceSummaries
|
Concede permiso para obtener información de resumen de factura para la cuenta o cuenta vinculada | Enumeración |
payments:GetPaymentInstrument
|
Concede permiso para obtener información acerca de un instrumento de pago | Leer |
payments:GetPaymentStatus
|
Concede permiso para obtener el estado de pago de las facturas | Leer |
payments:ListPaymentPreferences
|
Concede permiso para obtener las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Leer |
tax:GetTaxInheritance
|
Concede permiso para ver el estado de la herencia fiscal | Leer |
tax:GetTaxRegistrationDocument |
Concede permiso para descargar los documentos de registros fiscales | Leer |
tax:ListTaxRegistrations |
Concede permiso para ver los registros fiscales | Leer |
Asignación para aws-portal:ViewPaymentMethods
| Nueva acción | Descripción | Nivel de acceso |
|---|---|---|
account:GetAccountInformation
|
Concede permiso para recuperar la información de una cuenta | Leer |
invoicing:GetInvoicePDF
|
Concede permiso para obtener la factura en PDF | Leer |
payments:GetPaymentInstrument
|
Concede permiso para obtener información acerca de un instrumento de pago | Leer |
payments:GetPaymentStatus
|
Concede permiso para obtener el estado de pago de las facturas | Leer |
payments:ListPaymentPreferences
|
Concede permiso para obtener las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Enumeración |
Asignación para aws-portal:ViewUsage
| Nueva acción | Descripción | Nivel de acceso |
|---|---|---|
cur:GetUsageReport
|
Otorga permiso para obtener una lista del flujo de trabajo de los informes de uso Servicios de AWS, el tipo de uso y la operación, y para descargar los informes de uso | Leer |
Asignación para aws-portal:ModifyAccount
| Nueva acción | Descripción | Nivel de acceso |
|---|---|---|
account:CloseAccount
|
Concede permiso para cerrar una cuenta | Escritura |
account:DeleteAlternateContact
|
Otorga permiso para eliminar los contactos alternativos de una cuenta | Escritura |
account:PutAlternateContact
|
Otorga permiso para modificar los contactos alternativos de una cuenta | Escritura |
account:PutChallengeQuestions
|
Concede permiso para modificar las preguntas de desafío de una cuenta | Escritura |
account:PutContactInformation
|
Otorga permiso para actualizar la información de contacto principal para una cuenta | Escritura |
billing:PutContractInformation |
Concede permiso para establecer la información contractual de la cuenta, los nombres de las organizaciones de los usuarios finales y si la cuenta se utiliza para prestar servicios a clientes del sector público | Escritura |
billing:UpdateIAMAccessPreference |
Concede permiso para actualizar la preferencia de facturación Permitir acceso de IAM | Escritura |
payments:UpdatePaymentPreferences
|
Concede permiso para actualizar las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Escritura |
Asignación para aws-portal:ModifyBilling
| Nueva acción | Descripción | Nivel de acceso |
|---|---|---|
billing:PutContractInformation |
Concede permiso para establecer la información contractual de la cuenta, los nombres de las organizaciones de los usuarios finales y si la cuenta se utiliza para prestar servicios a clientes del sector público | Escritura |
billing:RedeemCredits
|
Otorga permiso para canjear cualquier crédito AWS | Escritura |
billing:UpdateBillingPreferences
|
Concede permiso para actualizar preferencias de facturación tales como instancia reservada, Savings Plans y uso compartido de créditos | Escritura |
ce:CreateAnomalyMonitor
|
Concede permiso para crear un nuevo monitor de anomalías | Write |
ce:CreateAnomalySubscription |
Concede permiso para crear una nueva suscripción de anomalía | Escritura |
ce:CreateNotificationSubscription |
Concede permiso para crear alertas de caducidad de reserva | Escritura |
ce:CreateReport |
Concede permiso para crear informes de Cost Explorer | Write |
ce:DeleteAnomalyMonitor
|
Concede permiso para eliminar un monitor de anomalías | Write |
ce:DeleteAnomalySubscription |
Concede permiso para eliminar una suscripción de anomalía | Escritura |
ce:DeleteNotificationSubscription
|
Concede permiso para eliminar alertas de caducidad de reserva | Escritura |
ce:DeleteReport
|
Concede permiso para eliminar informes de Cost Explorer | Escritura |
ce:ProvideAnomalyFeedback
|
Concede permiso para proporcionar comentarios sobre anomalías detectadas. | Escritura |
ce:StartSavingsPlansPurchaseRecommendationGeneration
|
Otorga permiso para solicitar una generación de recomendaciones sobre Savings Plans | Escritura |
ce:UpdateAnomalyMonitor
|
Concede permiso para actualizar un monitor de anomalías existente | Write |
ce:UpdateAnomalySubscription
|
Concede permiso para actualizar una suscripción de anomalía existente | Escritura |
ce:UpdateCostAllocationTagsStatus
|
Concede permiso para actualizar el estado de etiquetas de asignación de costos existentes | Escritura |
ce:UpdateNotificationSubscription |
Concede permiso para actualizar alertas de caducidad de reserva | Escritura |
ce:UpdatePreferences
|
Concede permiso para editar la página de preferencias de Cost Explorer | Escritura |
cur:PutClassicReportPreferences
|
Concede permiso para habilitar los informes clásicos | Escritura |
freetier:PutFreeTierAlertPreference
|
Otorga permiso para establecer una preferencia de capa gratuita de AWS alerta (mediante una dirección de correo electrónico) | Escritura |
invoicing:PutInvoiceEmailDeliveryPreferences
|
Concede permiso para actualizar las preferencias de entrega de facturas por correo electrónico | Escritura |
payments:CreatePaymentInstrument |
Concede permiso para crear un instrumento de pago | Escritura |
payments:DeletePaymentInstrument |
Concede permiso para eliminar un instrumento de pago | Escritura |
payments:MakePayment
|
Concede permiso para realizar un pago, autenticar un pago, verificar un método de pago y generar un documento de solicitud de fondos para Advance Pay | Escritura |
payments:UpdatePaymentPreferences
|
Concede permiso para actualizar las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Escritura |
tax:BatchPutTaxRegistration
|
Concede permiso para actualizar por lotes los registros fiscales | Escritura |
tax:DeleteTaxRegistration
|
Concede permiso para eliminar los datos de registros fiscales | Escritura |
tax:PutTaxInheritance
|
Concede permiso para establecer la herencia fiscal | Escritura |
Asignación para aws-portal:ModifyPaymentMethods
| Nueva acción | Descripción | Nivel de acceso |
|---|---|---|
account:GetAccountInformation
|
Concede permiso para recuperar la información de una cuenta | Leer |
payments:DeletePaymentInstrument
|
Concede permiso para eliminar un instrumento de pago | Escritura |
payments:CreatePaymentInstrument
|
Concede permiso para crear un instrumento de pago | Escritura |
payments:MakePayment
|
Concede permiso para realizar un pago, autenticar un pago, verificar un método de pago y generar un documento de solicitud de fondos para Advance Pay | Escritura |
payments:UpdatePaymentPreferences
|
Concede permiso para actualizar las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Escritura |
Asignación para purchase-orders:ViewPurchaseOrders
| Nueva acción | Descripción | Nivel de acceso |
|---|---|---|
invoicing:GetInvoicePDF
|
Concede permiso para obtener una factura en PDF | Get |
payments:ListPaymentPreferences
|
Concede permiso para obtener las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Enumeración |
purchase-orders:GetPurchaseOrder
|
Concede permiso para obtener una orden de compra | Leer |
purchase-orders:ListPurchaseOrderInvoices |
Concede permiso para ver las órdenes de compra y los detalles | Enumeración |
purchase-orders:ListPurchaseOrders
|
Concede permiso para obtener todas las órdenes de compra disponibles | Enumeración |
Asignación para purchase-orders:ModifyPurchaseOrders
| Nueva acción | Descripción | Nivel de acceso |
|---|---|---|
purchase-orders:AddPurchaseOrder |
Concede permiso para agregar una orden de compra | Escritura |
purchase-orders:DeletePurchaseOrder
|
Concede permiso para eliminar una orden de compra. | Escritura |
purchase-orders:UpdatePurchaseOrder
|
Concede permiso para actualizar una orden de compra existente | Escritura |
purchase-orders:UpdatePurchaseOrderStatus
|
Concede permiso para establecer el estado de una orden de compra | Escritura |
