Cómo usar la herramienta de políticas afectadas - AWS Facturación
Recursos relacionados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo usar la herramienta de políticas afectadas

nota

Las siguientes acciones AWS Identity and Access Management (IAM) finalizaron el soporte estándar en julio de 2023:

  • espacio de nombres aws-portal

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

Si las utilizas AWS Organizations, puedes usar los scripts de migración masiva de políticas o el migrador masivo de políticas para actualizar las políticas desde tu cuenta de pagador. También puede utilizar la referencia de mapeo de acciones de antigua a granular para verificar las acciones de IAM que deben agregarse.

Si tienes una Cuenta de AWS o formas parte de una AWS Organizations creada el 6 de marzo de 2023 o después de esa fecha, a las 11:00 a. m. (PDT), las acciones detalladas ya están en vigor en tu organización.

Puedes usar la herramienta Políticas afectadas de la consola de facturación para identificar las políticas de IAM (excluidas SCPs) y hacer referencia a las acciones de IAM afectadas por esta migración. Utilice la herramienta Políticas afectadas para realizar las siguientes tareas:

  • Identificar las políticas de IAM y hacer referencia a las acciones de IAM afectadas por esta migración

  • Copiar la política actualizada en su portapapeles

  • Abrir la política afectada en el editor de políticas de IAM

  • Guardar la política actualizada para su cuenta

  • Activar los permisos detallados y desactivar las acciones anteriores

Esta herramienta funciona dentro de los límites de la AWS cuenta en la que has iniciado sesión y no se divulga la información relativa a otras AWS Organizations cuentas.

Para utilizar la herramienta Políticas afectadas

  1. Inicia sesión en AWS Management Console y abre la AWS Billing and Cost Management consola en https://console.aws.amazon.com/costmanagement/.

  2. Pegue la siguiente URL en su navegador para acceder a la herramienta Políticas afectadas: https://console.aws.amazon.com/poliden/home?region=us-east-1#/.

    nota

    El permiso iam:GetAccountAuthorizationDetails es necesario para consultar esta página.

  3. Revise la tabla que enumera las políticas de IAM afectadas. Utilice la columna Deprecated IAM actions (Acciones de IAM en desuso) para revisar acciones de IAM específicas a las que se hace referencia en una política.

  4. En la columna Copiar la política actualizada, seleccione Copiar para copiar la política actualizada en el portapapeles. La política actualizada contiene la política existente y las acciones detalladas sugeridas anexas a la misma en un bloque Sid separado. Este bloque tiene el prefijo AffectedPoliciesMigrator al final de la política.

  5. En la columna Editar política en la consola de IAM, seleccione Editar para ir al editor de políticas de IAM. Verá el JSON de su política actual.

  6. Sustituya toda la política existente por la política actualizada que copió en el paso 4. Puede realizar cualquier otro cambio según sea necesario.

  7. Elija Guardar cambios y después Probar.

  8. Repita los pasos del 3 al 7 para todas las políticas afectadas.

  9. Después de actualizar las políticas, actualice la herramienta Políticas afectadas para confirmar que no haya políticas afectadas en la lista. La columna Nuevas acciones de IAM encontradas debería indicar para todas las políticas y los botones Copiar y Editar estarán desactivados. Las políticas afectadas están actualizadas.

Para activar acciones detalladas para su cuenta

Tras actualizar las políticas, siga este procedimiento para habilitar las acciones detalladas en sus cuenta.

Solo la cuenta de administración (pagador) de una organización o cuentas individuales pueden usar la sección Administrar nuevas acciones de IAM. Una cuenta individual puede activar las nuevas acciones por sí misma. Una cuenta de administración puede permitir nuevas acciones para toda la organización o para un subconjunto de cuentas de miembros. Si su cuenta es de administración, actualice las políticas afectadas de todas las cuentas de los miembros y active las nuevas acciones para su organización. Para obtener más información, consulta la sección ¿Cómo cambiar las cuentas entre acciones nuevas y específicas o acciones de IAM existentes? sección de la entrada del blog. AWS

nota

Para llevar a cabo esta acción, debe tener los siguientes permisos:

  • aws-portal:GetConsoleActionSetEnforced

  • aws-portal:UpdateConsoleActionSetEnforced

  • ce:GetConsoleActionSetEnforced

  • ce:UpdateConsoleActionSetEnforced

  • purchase-orders:GetConsoleActionSetEnforced

  • purchase-orders:UpdateConsoleActionSetEnforced

Si no ve la sección Administrar nuevas acciones de IAM, significa que su cuenta ya ha activado las acciones detalladas de IAM.

  1. En Administrar nuevas acciones de IAM, la configuración Conjunto de acciones actual aplicado pasará a tener el estado Existente.

    Elija Habilitar nuevas acciones (detalladas) y, a continuación, elija Aplicar cambios.

  2. En el cuadro de diálogo, elija Yes. El estado Conjunto de acciones actual aplicado cambiará a Detalladas. Esto significa que las nuevas acciones se aplican para su Cuenta de AWS o para su organización.

  3. (Opcional) A continuación, puede actualizar las políticas existentes para eliminar cualquiera de las acciones anteriores.

ejemplo Ejemplo: antes y después de la política de IAM

La siguiente política de IAM tiene la acción aws-portal:ViewPaymentMethods anterior.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        }
    ]
}

Tras copiar la política actualizada, en el siguiente ejemplo se muestra el nuevo bloque Sid con las acciones detalladas.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AffectedPoliciesMigrator0",
            "Effect": "Allow",
            "Action": [
                "account:GetAccountInformation",
                "invoicing:GetInvoicePDF",
                "payments:GetPaymentInstrument",
                "payments:GetPaymentStatus",
                "payments:ListPaymentPreferences"
            ],
            "Resource": "*"
        }
    ]
}

Para obtener más información, consulte Sid en la Guía del usuario de IAM.

Para obtener más información sobre las nuevas acciones detalladas, consulte Referencia de la asignación de acciones de IAM detalladas y Uso de acciones de facturación detalladas.