如何使用受影响策略工具 - AWS 账单
相关资源

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

如何使用受影响策略工具

注意

以下 AWS Identity and Access Management (IAM) 操作已于 2023 年 7 月结束标准支持:

  • aws-portal 命名空间

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

如果您正在使用 AWS Organizations,则可以使用批量策略迁移器脚本或批量策略迁移器从您的付款人账户更新政策。您也可以使用从旧到精细的操作映射参考来验证需要添加的IAM操作。

如果您在 2023 年 3 月 6 日上午 11:00 当天或之后 AWS Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 AWS 账户 PDT

您可以使用账单控制台中的受影响策略工具来识别IAM策略(不包括SCPs),并参考受此迁移影响的IAM操作。使用受影响的策略工具执行以下任务:

  • 确定IAM策略并参考受此迁移影响的IAM操作

  • 将更新后的策略复制到剪贴板

  • 在策略编辑器中打开受影响的IAM策略

  • 为您的账户保存更新后的策略

  • 开启精细权限并禁用旧操作

此工具在您登录的 AWS 账户范围内运行,并且不会披露有关其他 AWS Organizations 账户的信息。

要使用受影响策略工具,请执行以下操作

  1. 登录 AWS Management Console 并打开 AWS Billing 控制台,网址为https://console.aws.amazon.com/billing/

  2. URL将以下内容粘贴到浏览器中以访问受影响的策略工具:https://console.aws.amazon.com/poliden/home?region=us-east-1#/.

    注意

    您必须具有 iam:GetAccountAuthorizationDetails 权限才能查看此页面。

  3. 查看列出受影响IAM策略的表。使用 “已弃用的IAM操作” 列查看策略中引用的特定IAM操作。

  4. 复制更新后的策略列下,选择复制,以将更新后的策略复制到剪贴板。更新后的策略包含现有策略以及作为单独 Sid 块附加到该策略后的建议精细操作。该块在策略末尾有前缀 AffectedPoliciesMigrator

  5. 在 “在IAM控制台中编辑策略” 列下,选择编辑以转到IAM策略编辑器。您将看到您的JSON现有保单。

  6. 将现有策略完整替换为您在第 4 步中复制的更新后策略。您可以根据需要进行任何其他更改。

  7. 选择下一步,然后选择保存更改

  8. 对所有列出的策略重复第 3 步到第 7 步。

  9. 更新策略后,刷新受影响的策略工具,确认没有受影响的策略列出。所有策略的 “已找到新IAM操作” 列都应为 “”,“复制” 和 “编辑” 按钮将被禁用。受影响的策略已更新。

为您的账户启用精细操作

更新策略后,请按照以下过程为您的账户启用精细操作。

只有组织或个人账户的管理账户(付款人)才能使用 “管理新IAM操作” 部分。个人账户可以为自己启用新操作。管理账户可以为整个组织或部分成员账户启用新操作。如果您是管理账户,请为所有成员账户更新受影响的策略,并为您的组织启用新操作。有关更多信息,请参阅如何在新的细粒度操作或现有IAM操作之间切换帐户? AWS 博客文章中的部分。

注意

要完成此操作,您必须具有以下权限:

  • aws-portal:GetConsoleActionSetEnforced

  • aws-portal:UpdateConsoleActionSetEnforced

  • ce:GetConsoleActionSetEnforced

  • ce:UpdateConsoleActionSetEnforced

  • purchase-orders:GetConsoleActionSetEnforced

  • purchase-orders:UpdateConsoleActionSetEnforced

如果您没有看到 “管理新IAM操作” 部分,则表示您的账户已经启用了精细IAM操作。

  1. 在 “管理新IAM操作” 下,“当前操作集强制执行” 设置的状态将为 “现有”。

    选择启用新操作(精细),然后选择应用更改

  2. 在此对话框中,选择 Yes (是)已强制执行的当前操作集的状态将更改为精细。这意味着您 AWS 账户 或您的组织将强制执行新操作。

  3. (可选)然后,您可以更新现有策略以移除任何旧操作。

例 示例:策略之前和之后的IAM策略

以下IAM策略采用了旧的aws-portal:ViewPaymentMethods操作。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        }
    ]
}

复制更新后的策略后,以下示例将具有包含精细操作的新 Sid 块。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AffectedPoliciesMigrator0",
            "Effect": "Allow",
            "Action": [
                "account:GetAccountInformation",
                "invoicing:GetInvoicePDF",
                "payments:GetPaymentInstrument",
                "payments:GetPaymentStatus",
                "payments:ListPaymentPreferences"
            ],
            "Resource": "*"
        }
    ]
}

有关更多信息,请参阅《IAM用户指南》中的 Sid

有关新的细粒度操作的更多信息,请参阅映射细粒度操作参考和使用精细IAM账单操作。