Come utilizzare lo strumento policy interessate - AWS Gestione dei costi
Risorse correlate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come utilizzare lo strumento policy interessate

Nota

Le seguenti azioni AWS Identity and Access Management (IAM) hanno raggiunto la fine del supporto standard a luglio 2023:

  • Spazio dei nomi aws-portal

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

Se utilizzi AWS Organizations, puoi utilizzare gli script di Bulk Policy Migrator per aggiornare le politiche dal tuo account di pagamento. Puoi anche utilizzare il riferimento alla mappatura dalle vecchie operazioni alle operazioni granulari per verificare le operazioni IAM da aggiungere.

Per ulteriori informazioni, consulta il blog Modifiche alla AWS fatturazione, alla gestione dei AWS costi e alle autorizzazioni di Account Consoles.

Se ne hai AWS Organizations creato uno Account AWS o ne fai parte a partire dal 6 marzo 2023 alle 11:00 (PDT) del 6 marzo 2023, le azioni dettagliate sono già in vigore nella tua organizzazione.

Puoi utilizzare lo strumento Policy interessate nella console di fatturazione per identificare le policy IAM (escluse le policy di controllo dei servizi) e fare riferimento alle operazioni IAM interessate da questa migrazione. Utilizza lo strumento Policy interessate per eseguire le operazioni descritte di seguito:

  • Identificare le policy IAM e fare riferimento alle operazioni IAM interessate da questa migrazione

  • Copiare la policy aggiornata negli appunti

  • Aprire la policy interessata nell'editor di policy IAM

  • Salvare la policy aggiornata per l'account

  • Attivare le autorizzazioni granulari e disabilitare le vecchie operazioni

Questo strumento funziona entro i limiti dell' AWS account a cui hai effettuato l'accesso e le informazioni relative ad altri AWS Organizations account non vengono divulgate.

Utilizzo dello strumento Affected policies (Policy interessate)

  1. Accedi AWS Management Console e apri la console di AWS fatturazione all'indirizzo https://console.aws.amazon.com/billing/.

  2. Incolla il seguente URL nel tuo browser per accedere allo strumento Policy interessate: https://console.aws.amazon.com/poliden/home?region=us-east-1#/.

    Nota

    Per visualizzare questa pagina, devi disporre dell'autorizzazione iam:GetAccountAuthorizationDetails.

  3. Consulta la tabella che elenca le policy IAM interessate. Utilizza la colonna Deprecated IAM actions (Operazioni IAM obsolete) per esaminare le operazioni IAM specifiche a cui si fa riferimento in una policy.

  4. Nella colonna Copia policy aggiornata, scegli Copia per copiare la policy aggiornata negli appunti. La policy aggiornata contiene la policy esistente e le operazioni granulari suggerite aggiunte come blocco Sid separato. Tale blocco presenta il prefisso AffectedPoliciesMigrator alla fine della policy.

  5. Nella colonna Modifica policy nella console IAM, scegli Modifica per passare all'editor di policy IAM. Visualizzerai il JSON della policy esistente.

  6. Sostituisci l'intera policy esistente con la policy aggiornata copiata al passaggio 4. È possibile apportare qualsiasi altra modifica secondo necessità.

  7. Scegli Avanti e quindi seleziona Salva modifiche.

  8. Ripeti i passaggi da 3 a 7 per tutte le policy interessate.

  9. Dopo aver aggiornato le policy, aggiorna lo strumento Policy interessate per verificare che non vi siano elencate policy interessate. La colonna Nuove operazioni IAM trovate dovrebbe contenere per tutte le policy e i pulsanti Copia e Modifica dovrebbero essere disabilitati. L'aggiornamento delle policy interessate è completato.

Per abilitare le operazioni granulari per l'account

Dopo aver aggiornato le policy, segui questa procedura per abilitare le operazioni granulari per l'account.

Solo l'account di gestione (pagatore) di un'organizzazione o gli account individuali possono utilizzare la sezione Gestisci nuove operazioni IAM. Un account individuale può abilitare le nuove operazioni per sé. Un account di gestione può abilitare nuove operazioni per l'intera organizzazione o per un sottoinsieme di account membri. Se disponi di un account di gestione, aggiorna le policy interessate per tutti gli account membri e abilita le nuove operazioni per l'organizzazione. Per ulteriori informazioni, consulta la sezione Come passare dagli account a nuove azioni granulari a quelle IAM esistenti? sezione del post del blog. AWS

Nota

Per farlo, è necessario disporre delle seguenti autorizzazioni:

  • aws-portal:GetConsoleActionSetEnforced

  • aws-portal:UpdateConsoleActionSetEnforced

  • ce:GetConsoleActionSetEnforced

  • ce:UpdateConsoleActionSetEnforced

  • purchase-orders:GetConsoleActionSetEnforced

  • purchase-orders:UpdateConsoleActionSetEnforced

Se non vedi la sezione Gestisci nuove operazioni IAM, significa che l'account ha già abilitato le operazioni granulari IAM.

  1. In Gestisci nuove operazioni IAM, l'impostazione Set di operazioni corrente applicate avrà lo stato Esistente.

    Scegli Abilita nuove operazioni (granulari) e poi Applica modifiche.

  2. Nella finestra di dialogo scegliere Yes (Sì). Le stato Set di operazioni corrente applicate cambierà in Granulare. Questo significa che le nuove operazioni sono applicate per il tuo Account AWS o la tua organizzazione.

  3. (Facoltativo) In seguito puoi aggiornare le policy esistenti per rimuovere le vecchie operazioni.

Esempio: policy IAM prima e dopo

La seguente policy IAM dispone della vecchia operazione aws-portal:ViewPaymentMethods.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        }
    ]
}

Dopo aver copiato la policy aggiornata, il seguente esempio dispone del nuovo blocco Sid con le operazioni granulari.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AffectedPoliciesMigrator0",
            "Effect": "Allow",
            "Action": [
                "account:GetAccountInformation",
                "invoicing:GetInvoicePDF",
                "payments:GetPaymentInstrument",
                "payments:GetPaymentStatus",
                "payments:ListPaymentPreferences"
            ],
            "Resource": "*"
        }
    ]
}

Per ulteriori informazioni, consulta Sid nella Guida per l'utente IAM.

Per ulteriori informazioni sulle nuove azioni granulari, consulta il riferimento Mappatura delle azioni IAM granulari e Utilizzo delle azioni granulari di gestione dei costi. AWS