콘솔을 사용하여 정책을 일괄 마이그레이션하세요. - AWS 대금 청구
사전 조건 마이그레이션 확인

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

콘솔을 사용하여 정책을 일괄 마이그레이션하세요.

참고

다음 AWS Identity and Access Management (IAM) 조치가 2023년 7월에 표준 지원이 종료되었습니다.

  • aws-portal 네임스페이스

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

를 사용하는 AWS Organizations경우 대량 정책 마이그레이션 스크립트 또는 대량 정책 마이그레이션기를 사용하여 지급인 계정에서 정책을 업데이트할 수 있습니다. 또한 기존 작업-세분화 작업 매핑 참조를 사용하여 추가해야 하는 IAM 작업을 확인할 수 있습니다.

2023년 3월 6일 오전 11시 (PDT) 또는 그 이후에 AWS Organizations 생성된 콘텐츠가 있거나 해당 콘텐츠에 참여하고 있는 경우, 세분화된 조치가 이미 조직에 적용되고 있습니다. AWS 계정

이 섹션에서는 AWS Billing and Cost Management 콘솔을 사용하여 Organizations 계정 또는 표준 계정에서 세밀한 작업으로 일괄적으로 기존 정책을 마이그레이션하는 방법을 설명합니다. 콘솔을 사용하여 다음과 같은 두 가지 방법으로 레거시 정책 마이그레이션을 완료할 수 있습니다.

AWS 권장 마이그레이션 프로세스 사용

이는 기존 작업을 매핑된 대로 세분화된 작업으로 마이그레이션하는 간소화된 단일 작업 프로세스입니다. AWS자세한 정보는 권장 조치를 사용하여 레거시 정책을 일괄 마이그레이션합니다.을 참조하세요.

맞춤형 마이그레이션 프로세스 사용

이 프로세스를 통해 대량 마이그레이션 AWS 전에 권장하는 작업을 검토 및 변경하고 조직의 어느 계정을 마이그레이션할지 사용자 지정할 수 있습니다. 자세한 정보는 기존 정책을 일괄 마이그레이션하기 위한 작업 사용자 지정을 참조하세요.

콘솔을 사용한 대량 마이그레이션을 위한 사전 요구 사항

두 마이그레이션 옵션 모두 콘솔에서 동의해야 할당한 기존 IAM 작업에 대해 세분화된 작업을 권장할 AWS 수 있습니다. 이렇게 하려면 다음 IAM 작업을 통해 IAM 보안 주체로 AWS 계정에 로그인하여 정책 업데이트를 계속해야 합니다.

Management account
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced",
"aws-portal:UpdateConsoleActionSetEnforced",
"purchase-orders:UpdateConsoleActionSetEnforced",
"iam:GetAccountAuthorizationDetails",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:CreateFunction",
"lambda:InvokeFunction",
"lambda:RemovePermission",
"scheduler:GetSchedule", 
"scheduler:DeleteSchedule",
"scheduler:CreateSchedule",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:CreateStackSet",
"cloudformation:CreateStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStackSets",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:ListStacks",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:CreateStack",
"cloudformation:UpdateStackInstances",
"cloudformation:UpdateStackSet",
"cloudformation:DescribeStacks",
"ec2:DescribeRegions",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"iam:GenerateOrganizationsAccessReport",
"iam:GetOrganizationsAccessReport",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"organizations:ListAccountsForParent",
"organizations:ListRoots",
"sts:AssumeRole",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:GetInlinePolicyForPermissionSet",
"sso:DescribePermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sso:ProvisionPermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
Member account or standard account
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced", // Not needed for member account
"aws-portal:UpdateConsoleActionSetEnforced", // Not needed for member account
"purchase-orders:UpdateConsoleActionSetEnforced", // Not needed for member account
"iam:GetAccountAuthorizationDetails",
"ec2:DescribeRegions",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl", 
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
주제

마이그레이션 확인

마이그레이션 도구를 사용하여 아직 마이그레이션해야 하는 AWS Organizations 계정이 있는지 확인할 수 있습니다.

모든 계정이 마이그레이션되었는지 확인하려면

  1. AWS Management Console에 로그인합니다.

  2. 페이지 상단의 검색 창에 를 입력합니다Bulk Policy Migrator.

  3. 새 IAM 작업 관리 페이지에서 계정 이전 탭을 선택합니다.

표에 남아 있는 계정이 하나도 표시되지 않으면 모든 계정이 성공적으로 마이그레이션된 것입니다.