Comment utiliser l'outil relatif aux politiques concernées - AWS Facturation
Ressources connexes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment utiliser l'outil relatif aux politiques concernées

Note

Les AWS Identity and Access Management (IAM) actions suivantes ont atteint la fin du support standard en juillet 2023 :

  • Espace de noms aws-portal

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

Si vous en utilisez AWS Organizations, vous pouvez utiliser les scripts de migration de politiques par lots ou le migrateur de politiques par lots pour mettre à jour les politiques depuis votre compte payeur. Vous pouvez également utiliser l'ancienne référence de mappage d'actions granulaire pour vérifier les IAM actions qui doivent être ajoutées.

Si vous avez AWS Organizations créé ou participez à une création le 6 mars 2023 à 11 h (PDT) ou après cette date, les actions détaillées sont déjà en vigueur dans votre organisation. Compte AWS

Vous pouvez utiliser l'outil Politiques concernées dans la console de facturation pour identifier les IAM politiques (à l'exclusionSCPs) et référencer les IAM actions concernées par cette migration. Utilisez l'outil Politiques concernées pour effectuer les tâches suivantes :

  • Identifier les IAM politiques et référencer les IAM actions concernées par cette migration

  • Copiez la politique mise à jour dans votre presse-papiers

  • Ouvrez la politique concernée dans l'éditeur IAM de stratégie

  • Enregistrez la politique mise à jour pour votre compte

  • Activez les autorisations détaillées et désactivez les anciennes actions

Cet outil fonctionne dans les limites du AWS compte auquel vous êtes connecté, et les informations concernant les autres AWS Organizations comptes ne sont pas divulguées.

Utiliser l'outil Stratégies concernées

  1. Connectez-vous à la AWS Billing and Cost Management console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/costmanagement/.

  2. Collez ce qui suit URL dans votre navigateur pour accéder à l'outil Politiques concernées :https://console.aws.amazon.com/poliden/home?region=us-east-1#/.

    Note

    Vous devez disposez de l'autorisation iam:GetAccountAuthorizationDetails pour consulter cette page.

  3. Consultez le tableau qui répertorie les IAM politiques concernées. Utilisez la colonne IAMActions déconseillées pour passer en revue les IAM actions spécifiques référencées dans une politique.

  4. Dans la colonne Copier la politique mise à jour, choisissez Copier pour copier la politique mise à jour dans votre presse-papiers. La politique mise à jour contient la politique existante et les actions détaillées suggérées qui y sont ajoutées sous forme de bloc distinct Sid. Ce bloc comporte le préfixe AffectedPoliciesMigrator à la fin de la politique.

  5. Dans la colonne Modifier la politique dans IAM la console, choisissez Modifier pour accéder à l'éditeur IAM de stratégie. Vous verrez la version JSON de votre police d'assurance existante.

  6. Remplacez l'intégralité de la politique existante par la politique mise à jour que vous avez copiée à l'étape 4. Vous pouvez apporter d'autres modifications si nécessaire.

  7. Choisissez Suivant, puis Enregistrer les modifications.

  8. Suivez les étapes 3 à 7 pour toutes les stratégies concernées.

  9. Après avoir mis à jour vos politiques, actualisez l'outil Politiques concernées pour confirmer qu'aucune politique affectée n'est répertoriée. La colonne Nouvelles IAM actions trouvées doit indiquer Oui pour toutes les politiques et les boutons Copier et Modifier seront désactivés. Vos politiques concernées sont mises à jour.

Pour activer des actions détaillées pour votre compte

Après avoir mis à jour vos politiques, suivez cette procédure afin d’activer les actions détaillées pour votre compte.

Seul le compte de gestion (payeur) d'une organisation ou les comptes individuels peuvent utiliser la section Gérer les nouvelles IAM actions. Un compte individuel peut activer les nouvelles actions pour lui-même. Un compte de gestion peut activer de nouvelles actions pour l'ensemble de l'organisation ou pour un sous-ensemble de comptes membres. Si vous êtes un compte de gestion, mettez à jour les stratégies concernées pour tous les comptes membres et activez les nouvelles actions pour votre organisation. Pour plus d'informations, consultez la section Comment passer d'un compte à une nouvelle action précise à une action existante ? IAM section du AWS billet de blog.

Note

Pour exécuter cette commande, vous devez disposer des autorisations suivantes :

  • aws-portal:GetConsoleActionSetEnforced

  • aws-portal:UpdateConsoleActionSetEnforced

  • ce:GetConsoleActionSetEnforced

  • ce:UpdateConsoleActionSetEnforced

  • purchase-orders:GetConsoleActionSetEnforced

  • purchase-orders:UpdateConsoleActionSetEnforced

Si la section Gérer les nouvelles IAM actions ne s'affiche pas, cela signifie que votre compte a déjà activé les actions détaillées. IAM

  1. Sous Gérer les nouvelles IAM actions, le paramètre Ensemble d'actions actuel appliqué aura le statut Existant.

    Choisissez Activer les nouvelles actions (détaillées), puis sélectionnez Appliquer les modifications.

  2. Dans la boîte de dialogue, choisissez Oui. Le statut Ensemble actuel d'actions appliqué passera à Détaillées. Cela signifie que les nouvelles actions sont appliquées pour votre Compte AWS ou pour votre organisation.

  3. (Facultatif) Vous pouvez ensuite mettre à jour vos politiques existantes pour supprimer toute ancienne action.

Exemple : IAM politique avant et après

La IAM politique suivante reprend l'ancienne aws-portal:ViewPaymentMethods action.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        }
    ]
}

Une fois que vous avez copié la politique mise à jour, l'exemple suivant présente le nouveau Sid bloc avec les actions détaillées.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AffectedPoliciesMigrator0",
            "Effect": "Allow",
            "Action": [
                "account:GetAccountInformation",
                "invoicing:GetInvoicePDF",
                "payments:GetPaymentInstrument",
                "payments:GetPaymentStatus",
                "payments:ListPaymentPreferences"
            ],
            "Resource": "*"
        }
    ]
}

Pour plus d'informations, voir Sid dans le guide de IAM l'utilisateur.

Pour plus d'informations sur les nouvelles actions détaillées, consultez la référence Cartographie des actions détaillées et Utilisation d'IAMactions de facturation détaillées.