翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
影響を受けるポリシーツールの使用方法
注記
次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。
-
aws-portal名前空間 -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
を使用している場合は AWS Organizations、一括ポリシー移行スクリプトを使用して、支払いアカウントからポリシーを更新できます。また、従来のアクションから詳細なアクションへのマッピングのリファレンスを使用して、追加する必要のある IAM アクションを検証することもできます。
詳細については、AWS 「請求、 AWS コスト管理、アカウントコンソールのアクセス許可の変更
をお持ちの場合 AWS アカウント、または が 2023 年 3 月 6 日午前 11:00 (PDT) 以降に AWS Organizations 作成された の一部である場合、詳細なアクションは組織内で既に有効になっています。
請求コンソールの [影響を受けるポリシー] ツールを使用して IAM ポリシー (SCP を除く) を特定し、この移行によって影響を受ける IAM アクションを参照します。[影響を受けるポリシー] ツールを使用して、以下のタスクを実行します。
-
IAM ポリシーを特定し、この移行によって影響を受ける IAM アクションを参照します。
-
更新したポリシーをクリップボードにコピーします。
-
影響を受けるポリシーを IAM ポリシーエディターで開きます。
-
アカウントの更新したポリシーを保存します。
-
詳細な権限を有効にして、古いアクションを無効にします。
このツールは、サインインしている AWS アカウントの境界内で動作し、他の AWS Organizations アカウントに関する情報は公開されません。
影響を受けるポリシーツールを使用するには
にサインイン AWS Management Console し、https://console.aws.amazon.com/billing/
で AWS 請求コンソールを開きます。 -
[Affected policies] (影響を受けるポリシー) ツールにアクセスするには、次の URL (https://console.aws.amazon.com/poliden/home?region=us-east-1#/
) をブラウザに貼り付けます。 注記
iam:GetAccountAuthorizationDetailsアクセス許可は、このページを表示するために必要です。 -
影響を受ける IAM ポリシーが記載されている表を確認します。ポリシーで参照されている特定の IAM アクションを確認するには、[Deprecated IAM actions] (廃止予定の IAM アクション) 列を使用してください。
-
[更新したポリシーをコピー] 列で [コピー] を選択し、更新したポリシーをクリップボードにコピーします。更新したポリシーには、既存のポリシーと、それに追加された詳細な推奨アクションが個別の
Sidブロックとして含まれます。このブロックには、ポリシーの末尾にプレフィックスAffectedPoliciesMigratorが付きます。 -
[IAM コンソールでポリシーを編集] 列で、[編集] を選択して IAM ポリシーエディターに移動します。既存のポリシーの JSON が表示されます。
-
既存のポリシー全体を、ステップ 4 でコピーした更新済みのポリシーに置き換えます。必要に応じて他の変更を加えることができます。
-
[次へ]、[変更を保存] の順に選択します。
-
影響を受けるすべてのポリシーについて、ステップ 3 ~ 7 を繰り返します。
-
ポリシーを更新したら、[影響を受けるポリシー] ツールを更新して、影響を受けるポリシーがリストにないことを確認します。すべてのポリシーの [新しい IAM アクションが見つかりました] 列に [はい] が表示され、[コピー] ボタンと [編集] ボタンは無効になります。影響を受けるポリシーが更新されます。
アカウントで詳細なアクションを有効にするには
ポリシーを更新したら、次の手順に従ってアカウントで詳細なアクションを有効にします。
[新しい IAM アクションを管理] セクションを使用できるのは、組織の管理アカウント (支払人) または個人アカウントだけです。個人アカウントは、新しいアクションを自分で有効にできます。管理アカウントは、組織全体または一部のメンバーアカウントに対して新しいアクションを有効にできます。管理アカウントの場合は、すべてのメンバーアカウントの影響を受けるポリシーを更新し、組織で新しいアクションを有効にします。詳細については、 AWS ブログ記事の「新しいきめ細かなアクションと既存の IAM アクションの間でアカウントを切り替える方法
注記
これを実行するには、次のアクセス許可が必要です。
-
aws-portal:GetConsoleActionSetEnforced -
aws-portal:UpdateConsoleActionSetEnforced -
ce:GetConsoleActionSetEnforced -
ce:UpdateConsoleActionSetEnforced -
purchase-orders:GetConsoleActionSetEnforced -
purchase-orders:UpdateConsoleActionSetEnforced
[新しい IAM アクションを管理] セクションが表示されない場合は、アカウントで詳細な IAM アクションがすでに有効になっていることを意味します。
-
[新しい IAM アクションを管理] では、[強制される現在のアクションセット] 設定は [既存] ステータスになります。
[新しいアクションを有効にする (詳細)] を選択し、[変更を適用] を選択します。
-
ダイアログボックスで、[Yes] を選択します。「強制される現在のアクションセット] ステータスが [詳細] に変わります。つまり、新しいアクションがユーザーの AWS アカウント または組織に強制されます。
-
(オプション) その後、既存のポリシーを更新して、古いアクションをすべて削除できます。
例: IAM ポリシーの前と後
次の IAM ポリシーには古い aws-portal:ViewPaymentMethods アクションが含まれています。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:ViewPaymentMethods" ], "Resource": "*" } ] }
更新したポリシーをコピーすると、次の例では詳細なアクションを含む新しい Sid ブロックが作成されます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:ViewPaymentMethods" ], "Resource": "*" }, { "Sid": "AffectedPoliciesMigrator0", "Effect": "Allow", "Action": [ "account:GetAccountInformation", "invoicing:GetInvoicePDF", "payments:GetPaymentInstrument", "payments:GetPaymentStatus", "payments:ListPaymentPreferences" ], "Resource": "*" } ] }
関連リソース
詳細については、「IAM ユーザーガイド」の「Sid」を参照してください。
新しい詳細なアクションの詳細については、「詳細な IAM アクションのマッピングリファレンス」および「詳細な AWS コスト管理アクションの使用」を参照してください。
