As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como usar a ferramenta Políticas afetadas
nota
As seguintes AWS Identity and Access Management (IAM) ações chegaram ao fim do suporte padrão em julho de 2023:
-
Namespace do
aws-portal
-
purchase-orders:ViewPurchaseOrders
-
purchase-orders:ModifyPurchaseOrders
Se você estiver usando AWS Organizations, poderá usar os scripts do migrador de políticas em massa para atualizar as políticas da sua conta de pagador. Você também pode usar a referência de mapeamento de ações antiga para granular para verificar as IAM ações que precisam ser adicionadas.
Para obter mais informações, consulte o blog Alterações no AWS faturamento, no gerenciamento de AWS custos e nas permissões dos consoles de contas
Se você tem uma Conta da AWS ou faz parte de uma AWS Organizations criada em ou após 6 de março de 2023, às 11h (PDT), as ações refinadas já estão em vigor em sua organização.
Você pode usar a ferramenta de políticas afetadas no console de faturamento para identificar IAM políticas (excluindoSCPs) e referenciar as IAM ações afetadas por essa migração. Use a ferramenta de Políticas afetadas para realizar as seguintes tarefas:
-
Identifique IAM políticas e faça referência às IAM ações afetadas por essa migração
-
Copie a política atualizada para sua área de transferência
-
Abra a política afetada no editor IAM de políticas
-
Salve a política atualizada em sua conta
-
Ative as permissões refinadas e desative as ações antigas
Essa ferramenta opera dentro dos limites da AWS conta na qual você está conectado e as informações sobre outras AWS Organizations contas não são divulgadas.
Para usar a ferramenta Políticas afetadas
Faça login no AWS Management Console e abra o console de AWS faturamento em https://console.aws.amazon.com/billing/
. -
Cole o seguinte URL em seu navegador para acessar a ferramenta de políticas afetadas:https://console.aws.amazon.com/poliden/home?region=us-east-1#/
. nota
Você deve ter a permissão
iam:GetAccountAuthorizationDetails
para exibir essa página. -
Examine a tabela que lista as IAM políticas afetadas. Use a coluna IAMAções obsoletas para revisar IAM ações específicas referenciadas em uma política.
-
Na coluna Copiar política atualizada, escolha Copiar para copiar a política atualizada para sua área de transferência. A política atualizada contém a política existente e as ações refinadas sugeridas anexadas a ela como um bloco
Sid
separado. Esse bloco tem o prefixoAffectedPoliciesMigrator
no final da política. -
Na coluna Editar política no IAM console, escolha Editar para acessar o editor IAM de políticas. Você verá JSON a política existente.
-
Substitua toda a política existente pela política atualizada que você copiou na etapa 4. Você pode fazer outras alterações conforme necessário.
-
Escolha Próximo e, em seguida, escolha Salvar alterações.
-
Repita as etapas 3 a 7 para todas as políticas afetadas.
-
Depois de atualizar suas políticas, atualize a ferramenta Políticas afetadas para confirmar que não há políticas afetadas listadas. A coluna Novas IAM ações encontradas deve ter Sim para todas as políticas e os botões Copiar e Editar serão desativados. Suas políticas afetadas são atualizadas.
Habilitar ações refinadas para sua conta
Depois de atualizar suas políticas, siga este procedimento para habilitar as ações detalhadas em sua conta.
Somente a conta de gerenciamento (pagador) de uma organização ou contas individuais pode usar a seção Gerenciar novas IAM ações. Uma conta individual pode habilitar as novas ações por si mesma. Uma conta de gerenciamento pode habilitar novas ações para toda a organização ou para um subconjunto de contas de membros. Se você for uma conta de gerenciamento, atualize as políticas afetadas para todas as contas dos membros e habilite as novas ações para sua organização. Para obter mais informações, consulte Como alternar contas entre novas ações refinadas
nota
Para fazer isso, você deve ter as seguintes permissões:
-
aws-portal:GetConsoleActionSetEnforced
-
aws-portal:UpdateConsoleActionSetEnforced
-
ce:GetConsoleActionSetEnforced
-
ce:UpdateConsoleActionSetEnforced
-
purchase-orders:GetConsoleActionSetEnforced
-
purchase-orders:UpdateConsoleActionSetEnforced
Se você não vê a seção Gerenciar novas IAM ações, isso significa que sua conta já habilitou as ações refinadasIAM.
-
Em Gerenciar novas IAM ações, a configuração Conjunto de ações atual aplicado terá o status Existente.
Escolha Habilitar novas ações (refinadas) e, em seguida, Aplicar alterações.
-
Na caixa de diálogo, escolha Yes. O status Conjunto de ações atuais aplicado mudará para Refinado. Isso significa que as novas ações estão aplicadas para sua Conta da AWS ou para sua organização.
-
(Opcional) Em seguida, você pode atualizar suas políticas existentes para remover qualquer uma das ações antigas.
exemplo Exemplo: IAM política de antes e depois
A IAM política a seguir tem a aws-portal:ViewPaymentMethods
ação antiga.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:ViewPaymentMethods" ], "Resource": "*" } ] }
Depois de copiar a política atualizada, o exemplo a seguir tem o novo bloco Sid
com as ações refinadas.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:ViewPaymentMethods" ], "Resource": "*" }, { "Sid": "AffectedPoliciesMigrator0", "Effect": "Allow", "Action": [ "account:GetAccountInformation", "invoicing:GetInvoicePDF", "payments:GetPaymentInstrument", "payments:GetPaymentStatus", "payments:ListPaymentPreferences" ], "Resource": "*" } ] }
Recursos relacionados
Para obter mais informações, consulte Sid no Guia do IAM Usuário.
Para obter mais informações sobre as novas ações refinadas, consulte a referência Mapeando ações refinadas e Usando IAM ações refinadas de gerenciamento de custos. AWS