コンソールを使用してポリシーを一括移行する

注記

次の AWS Identity and Access Management （IAM) アクションは、2023 年 7 月に標準サポートが終了しました。

aws-portal 名前空間
purchase-orders:ViewPurchaseOrders
purchase-orders:ModifyPurchaseOrders

を使用している場合は AWS Organizations、一括ポリシーマイグレータースクリプトまたは一括ポリシーマイグレーターを使用して、支払者アカウントからポリシーを更新できます。古いアクションから詳細なアクションマッピングリファレンスを使用して、追加する必要があるIAMアクションを確認することもできます。

2023 年 3 月 6 日午前 11:00 (PDT) 以降に AWS Organizations 作成されたがある場合、 AWS アカウントまたはの一部である場合、詳細なアクションは組織で既に有効になっています。

このセクションでは、AWS Billing and Cost Management コンソールを使用してレガシーポリシーを Organizations アカウントまたは標準アカウントから詳細なアクションに一括で移行する方法について説明します。コンソールを使用してレガシーポリシーの移行を完了するには、次の 2 つの方法があります。

AWS 推奨される移行プロセスの使用: これは、 AWSによってマッピングされた詳細なアクションにレガシーアクションを移行する、合理化された単一アクションプロセスです。詳細については、「推奨されるアクションを使用してレガシーポリシーを一括移行する」を参照してください。
カスタマイズされた移行プロセスの使用: このプロセスにより、一括移行 AWS 前にが推奨するアクションを確認および変更したり、組織内のどのアカウントを移行するかをカスタマイズしたりできます。詳細については、「レガシーポリシーを一括移行するためのアクションのカスタマイズ」を参照してください。

コンソールを使用した一括移行の前提条件

どちらの移行オプションでも、が割り当てたレガシーアクションにきめ細かなIAMアクション AWS を推奨できるように、コンソールで同意する必要があります。これを行うには、ポリシーの更新を続行するには、次のIAMアクションを使用して IAMプリンシパルとして AWS アカウントにログインする必要があります。

Management account


// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced",
"aws-portal:UpdateConsoleActionSetEnforced",
"purchase-orders:UpdateConsoleActionSetEnforced",
"iam:GetAccountAuthorizationDetails",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:CreateFunction",
"lambda:InvokeFunction",
"lambda:RemovePermission",
"scheduler:GetSchedule", 
"scheduler:DeleteSchedule",
"scheduler:CreateSchedule",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:CreateStackSet",
"cloudformation:CreateStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStackSets",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:ListStacks",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:CreateStack",
"cloudformation:UpdateStackInstances",
"cloudformation:UpdateStackSet",
"cloudformation:DescribeStacks",
"ec2:DescribeRegions",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"iam:GenerateOrganizationsAccessReport",
"iam:GetOrganizationsAccessReport",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"organizations:ListAccountsForParent",
"organizations:ListRoots",
"sts:AssumeRole",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:GetInlinePolicyForPermissionSet",
"sso:DescribePermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sso:ProvisionPermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403

Member account or standard account


// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced", // Not needed for member account
"aws-portal:UpdateConsoleActionSetEnforced", // Not needed for member account
"purchase-orders:UpdateConsoleActionSetEnforced", // Not needed for member account
"iam:GetAccountAuthorizationDetails",
"ec2:DescribeRegions",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl", 
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403

トピック

移行の確認

移行ツールを使用して、まだ移行する必要がある AWS Organizations アカウントがあるかどうかを確認できます。

すべてのアカウントが移行されたかどうかを確認するには

AWS Management Consoleにサインインします。
ページ上部の検索バーに「Bulk Policy Migrator」と入力します。
新しいIAMアクションの管理ページで、アカウントの移行タブを選択します。

テーブルに移行されていないアカウントが表示されない場合、すべてのアカウントが正常に移行されました。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

アクセスコントロールを移行します

AWS 推奨アクションの使用