콘솔을 사용하여 정책 대량 마이그레이션 - AWS 결제
사전 조건마이그레이션 확인

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

콘솔을 사용하여 정책 대량 마이그레이션

참고

다음 AWS Identity and Access Management (IAM) 작업은 2023년 7월에 표준 지원이 종료되었습니다.

  • aws-portal 네임스페이스

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

를 사용하는 경우 대량 정책 마이그레이션 스크립트 또는 대량 정책 마이그레이션기를 사용하여 지급인 계정에서 정책을 업데이트할 AWS Organizations수 있습니다. 또한 기존 작업-세분화 작업 매핑 참조를 사용하여 추가해야 하는 IAM 작업을 확인할 수 있습니다.

가 있거나 AWS 계정 2023년 3월 6일 오전 11시(PDT) 이후에 AWS Organizations 생성된의 일부인 경우 세분화된 작업이 조직에 이미 적용됩니다.

이 섹션에서는 AWS Billing and Cost Management 콘솔을 사용하여 조직 계정 또는 표준 계정의 레거시 정책을 대량으로 세분화된 작업으로 마이그레이션할 수 있는 방법을 설명합니다. 다음 두 가지 방법으로 콘솔을 사용하여 레거시 정책 마이그레이션을 완료할 수 있습니다.

AWS 권장 마이그레이션 프로세스 사용

레거시 작업을 AWS에서 매핑한 세분화된 작업으로 마이그레이션하는 간소화된 단일 작업 프로세스입니다. 자세한 내용은 권장 조치를 사용한 레거시 정책 대량 마이그레이션 단원을 참조하십시오.

사용자 지정 마이그레이션 프로세스 사용

이 프로세스를 사용하면 대량 마이그레이션 AWS 전에에서 권장하는 작업을 검토하고 변경할 수 있을 뿐만 아니라 조직의 어떤 계정을 마이그레이션할지 사용자 지정할 수 있습니다. 자세한 내용은 레거시 정책을 대량 마이그레이션하는 작업 사용자 지정 단원을 참조하십시오.

콘솔을 사용한 대량 마이그레이션을 위한 사전 조건

두 마이그레이션 옵션 모두 콘솔에서 동의해야가 할당한 레거시 IAM 작업에 세분화된 작업을 추천할 AWS 수 있습니다. 이렇게 하려면 정책 업데이트를 계속하려면 다음 IAM 작업을 사용하여 AWS 계정에 IAM 보안 주체로 로그인해야 합니다. https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html

Management account
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced",
"aws-portal:UpdateConsoleActionSetEnforced",
"purchase-orders:UpdateConsoleActionSetEnforced",
"iam:GetAccountAuthorizationDetails",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:CreateFunction",
"lambda:InvokeFunction",
"lambda:RemovePermission",
"scheduler:GetSchedule", 
"scheduler:DeleteSchedule",
"scheduler:CreateSchedule",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:CreateStackSet",
"cloudformation:CreateStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStackSets",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:ListStacks",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:CreateStack",
"cloudformation:UpdateStackInstances",
"cloudformation:UpdateStackSet",
"cloudformation:DescribeStacks",
"ec2:DescribeRegions",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"iam:GenerateOrganizationsAccessReport",
"iam:GetOrganizationsAccessReport",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"organizations:ListAccountsForParent",
"organizations:ListRoots",
"sts:AssumeRole",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:GetInlinePolicyForPermissionSet",
"sso:DescribePermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sso:ProvisionPermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
Member account or standard account
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced", // Not needed for member account
"aws-portal:UpdateConsoleActionSetEnforced", // Not needed for member account
"purchase-orders:UpdateConsoleActionSetEnforced", // Not needed for member account
"iam:GetAccountAuthorizationDetails",
"ec2:DescribeRegions",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl", 
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
주제

마이그레이션 확인

마이그레이션 도구를 사용하여 여전히 마이그레이션해야 하는 AWS Organizations 계정이 있는지 확인할 수 있습니다.

모든 계정이 마이그레이션되었는지 확인하려면

  1. AWS Management Console에 로그인합니다.

  2. 페이지 상단에 있는 검색 창에 Bulk Policy Migrator를 입력합니다.

  3. 새 IAM 작업 관리 페이지에서 계정 마이그레이션 탭을 선택합니다.

표에 남은 계정이 표시되지 않으면 모든 계정이 성공적으로 마이그레이션된 것입니다.