影響を受けるポリシーツールの使用方法 - AWS コスト管理
関連リソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

影響を受けるポリシーツールの使用方法

注記

次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。

  • aws-portal 名前空間

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

を使用している場合は AWS Organizations、一括ポリシー移行スクリプトを使用して、支払者アカウントからポリシーを更新できます。古いアクションから詳細なアクションマッピングリファレンスを使用して、追加する必要があるIAMアクションを確認することもできます。

詳細については、AWS 「請求、 AWS コスト管理、アカウントコンソールのアクセス許可の変更」ブログを参照してください。

2023 年 3 月 6 日午前 11 時 (PDT) 以降に AWS Organizations 作成された を持っている AWS アカウントか、 の一部である場合、きめ細かなアクションは組織で既に有効になっています。

請求コンソールの影響を受けるポリシーツールを使用してIAM、ポリシー ( を除くSCPs) を識別し、この移行の影響を受けるIAMアクションを参照できます。[影響を受けるポリシー] ツールを使用して、以下のタスクを実行します。

  • IAM ポリシーを特定し、この移行の影響を受けるIAMアクションを参照する

  • 更新したポリシーをクリップボードにコピーします。

  • ポリシーエディタで影響を受けるIAMポリシーを開く

  • アカウントの更新したポリシーを保存します。

  • 詳細な権限を有効にして、古いアクションを無効にします。

このツールは、サインインしている AWS アカウントの境界内で動作し、他の AWS Organizations アカウントに関する情報は公開されません。

[影響を受けるポリシー] ツールを使用するには

  1. にサインイン AWS Management Console し、 で AWS Billing and Cost Management コンソールを開きますhttps://console.aws.amazon.com/costmanagement/

  2. 影響のあるポリシーツール にアクセスするには、ブラウザURLに以下を貼り付けますhttps://console.aws.amazon.com/poliden/home?region=us-east-1#/

    注記

    iam:GetAccountAuthorizationDetails アクセス許可は、このページを表示するために必要です。

  3. 影響を受けるIAMポリシーを一覧表示する表を確認します。非推奨IAMアクション列を使用して、ポリシーで参照されている特定のIAMアクションを確認します。

  4. [更新したポリシーをコピー] 列で [コピー] を選択し、更新したポリシーをクリップボードにコピーします。更新したポリシーには、既存のポリシーと、それに追加された詳細な推奨アクションが個別の Sid ブロックとして含まれます。このブロックには、ポリシーの末尾にプレフィックス AffectedPoliciesMigrator が付きます。

  5. IAM コンソールのポリシーの編集 列で、編集 を選択してIAMポリシーエディタに移動します。既存のポリシーJSONの が表示されます。

  6. 既存のポリシー全体を、ステップ 4 でコピーした更新済みのポリシーに置き換えます。必要に応じて他の変更を加えることができます。

  7. [次へ]、[変更を保存] の順に選択します。

  8. 影響を受けるすべてのポリシーについて、ステップ 3 ~ 7 を繰り返します。

  9. ポリシーを更新したら、[影響を受けるポリシー] ツールを更新して、影響を受けるポリシーがリストにないことを確認します。New IAM Actions Found 列には、すべてのポリシーで「はい」と表示され、「コピー編集」ボタンは無効になります。影響を受けるポリシーが更新されます。

アカウントで詳細なアクションを有効にするには

ポリシーを更新したら、次の手順に従ってアカウントで詳細なアクションを有効にします。

新しいIAMアクションの管理セクションを使用できるのは、組織の管理アカウント (支払者) または個々のアカウントのみです。個人アカウントは、新しいアクションを自分で有効にできます。管理アカウントは、組織全体または一部のメンバーアカウントに対して新しいアクションを有効にできます。管理アカウントの場合は、すべてのメンバーアカウントの影響を受けるポリシーを更新し、組織で新しいアクションを有効にします。詳細については、 AWS ブログ記事の「新しい詳細なアクションと既存のIAMアクションの間でアカウントを切り替える方法」セクションを参照してください。

注記

これを実行するには、次のアクセス許可が必要です。

  • aws-portal:GetConsoleActionSetEnforced

  • aws-portal:UpdateConsoleActionSetEnforced

  • ce:GetConsoleActionSetEnforced

  • ce:UpdateConsoleActionSetEnforced

  • purchase-orders:GetConsoleActionSetEnforced

  • purchase-orders:UpdateConsoleActionSetEnforced

新しいIAMアクションの管理 セクションが表示されない場合は、アカウントが詳細なIAMアクションをすでに有効にしていることを意味します。

  1. 「新しいIAMアクションの管理」で、「現在のアクションセット強制設定」は「既存のステータス」になります。

    [新しいアクションを有効にする (詳細)] を選択し、[変更を適用] を選択します。

  2. ダイアログボックスで、[はい] を選択します。「強制される現在のアクションセット] ステータスが [詳細] に変わります。つまり、新しいアクションがユーザーの AWS アカウント または組織に強制されます。

  3. (オプション) その後、既存のポリシーを更新して、古いアクションをすべて削除できます。

例: IAMポリシーの前後に

次のIAMポリシーには古いaws-portal:ViewPaymentMethodsアクションがあります。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        }
    ]
}

更新したポリシーをコピーすると、次の例では詳細なアクションを含む新しい Sid ブロックが作成されます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AffectedPoliciesMigrator0",
            "Effect": "Allow",
            "Action": [
                "account:GetAccountInformation",
                "invoicing:GetInvoicePDF",
                "payments:GetPaymentInstrument",
                "payments:GetPaymentStatus",
                "payments:ListPaymentPreferences"
            ],
            "Resource": "*"
        }
    ]
}

詳細については、「 IAMユーザーガイド」の「Sid」を参照してください。

新しい詳細なアクションの詳細については、「詳細なIAMアクションのマッピングリファレンス」および「詳細な AWS コスト管理アクションの使用」を参照してください。