As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como usar a ferramenta Políticas afetadas
nota
As seguintes ações AWS Identity and Access Management (IAM) chegaram ao fim do suporte padrão em julho de 2023:
-
Namespace do
aws-portal -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
Se você estiver usando AWS Organizations, poderá usar os scripts do migrador de políticas em massa ou o migrador de políticas em massa para atualizar as políticas da sua conta de pagador. Você também poderá usar a referência de mapeamento de ações antigas para granulares para verificar as ações do IAM que precisam ser adicionadas.
Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.
Você pode usar a ferramenta de políticas afetadas no console de faturamento para identificar políticas do IAM (excluindo SCPs) e referenciar as ações do IAM afetadas por essa migração. Use a ferramenta de Políticas afetadas para realizar as seguintes tarefas:
-
Identifique as políticas do IAM e faça referência às ações do IAM afetadas por essa migração
-
Copie a política atualizada para sua área de transferência
-
Abra a política afetada no editor de políticas do IAM
-
Salve a política atualizada em sua conta
-
Ative as permissões refinadas e desative as ações antigas
Essa ferramenta opera dentro dos limites da AWS conta na qual você está conectado e as informações sobre outras AWS Organizations contas não são divulgadas.
Para usar a ferramenta Políticas afetadas
Faça login no AWS Management Console e abra o AWS Billing and Cost Management console em https://console.aws.amazon.com/costmanagement/
. -
Cole o seguinte URL em seu navegador para acessar a ferramenta Políticas afetadas: https://console.aws.amazon.com/poliden/home?region=us-east-1#/
. nota
Você deve ter a permissão
iam:GetAccountAuthorizationDetailspara exibir essa página. -
Analise a tabela que lista as políticas do IAM afetadas. Use a coluna Ações obsoletas do IAM para revisar ações específicas do IAM referenciadas em uma política.
-
Na coluna Copiar política atualizada, escolha Copiar para copiar a política atualizada para sua área de transferência. A política atualizada contém a política existente e as ações refinadas sugeridas anexadas a ela como um bloco
Sidseparado. Esse bloco tem o prefixoAffectedPoliciesMigratorno final da política. -
Na coluna Editar política no console do IAM, escolha Editar para acessar o editor de políticas do IAM. Você verá o JSON da sua política existente.
-
Substitua toda a política existente pela política atualizada que você copiou na etapa 4. Você pode fazer outras alterações conforme necessário.
-
Escolha Próximo e, em seguida, escolha Salvar alterações.
-
Repita as etapas 3 a 7 para todas as políticas afetadas.
-
Depois de atualizar suas políticas, atualize a ferramenta Políticas afetadas para confirmar que não há políticas afetadas listadas. A coluna Novas ações do IAM encontradas deve conter Sim para todas as políticas e os botões Copiar e Editar serão desativados. Suas políticas afetadas são atualizadas.
Habilitar ações refinadas para sua conta
Depois de atualizar suas políticas, siga este procedimento para habilitar as ações detalhadas em sua conta.
Somente a conta de gerenciamento (pagador) de uma organização ou contas individuais podem usar a seção Gerenciar novas ações do IAM. Uma conta individual pode habilitar as novas ações por si mesma. Uma conta de gerenciamento pode habilitar novas ações para toda a organização ou para um subconjunto de contas de membros. Se você for uma conta de gerenciamento, atualize as políticas afetadas para todas as contas dos membros e habilite as novas ações para sua organização. Para obter mais informações, consulte Como alternar contas entre novas ações refinadas ou ações
nota
Para fazer isso, você deve ter as seguintes permissões:
-
aws-portal:GetConsoleActionSetEnforced -
aws-portal:UpdateConsoleActionSetEnforced -
ce:GetConsoleActionSetEnforced -
ce:UpdateConsoleActionSetEnforced -
purchase-orders:GetConsoleActionSetEnforced -
purchase-orders:UpdateConsoleActionSetEnforced
Se você não vir a seção Gerenciar novas ações do IAM, isso significa que sua conta já habilitou as ações refinadas do IAM.
-
Em Gerenciar novas ações do IAM, a configuração Conjunto de ações atuais aplicado terá o status Existente.
Escolha Habilitar novas ações (refinadas) e, em seguida, Aplicar alterações.
-
Na caixa de diálogo, escolha Yes. O status Conjunto de ações atuais aplicado mudará para Refinado. Isso significa que as novas ações estão aplicadas para sua Conta da AWS ou para sua organização.
-
(Opcional) Em seguida, você pode atualizar suas políticas existentes para remover qualquer uma das ações antigas.
exemplo Exemplo: antes e depois da política do IAM
A política do IAM a seguir tem a ação aws-portal:ViewPaymentMethods antiga.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:ViewPaymentMethods" ], "Resource": "*" } ] }
Depois de copiar a política atualizada, o exemplo a seguir tem o novo bloco Sid com as ações refinadas.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:ViewPaymentMethods" ], "Resource": "*" }, { "Sid": "AffectedPoliciesMigrator0", "Effect": "Allow", "Action": [ "account:GetAccountInformation", "invoicing:GetInvoicePDF", "payments:GetPaymentInstrument", "payments:GetPaymentStatus", "payments:ListPaymentPreferences" ], "Resource": "*" } ] }
Recursos relacionados
Para obter mais informações, consulte Sid no Guia do usuário do IAM.
Para obter mais informações sobre as novas ações refinadas, consulte a Mapeamento de referência de ações do IAM refinadas e Usar ações refinadas de Faturamento.
