如何使用受影响策略工具 - AWS 成本管理
相关资源

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

如何使用受影响策略工具

注意

以下 AWS Identity and Access Management (IAM) 操作已于 2023 年 7 月结束标准支持:

  • aws-portal 命名空间

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

如果您正在使用 AWS Organizations,则可以使用批量策略迁移程序脚本从您的付款人账户更新政策。您还可以使用旧到精细操作映射参考来验证需要添加的 IAM 操作。

有关更多信息,请参阅AWS 账单、 AWS 成本管理和账户控制台权限变更博客。

如果您在 2023 年 3 月 6 日上午 11:00(太平洋夏令时)当天或之后 AWS Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 AWS 账户

您可以使用账单控制台中的受影响策略工具来识别 IAM 策略(不包括 SCPs),并参考受此迁移影响的 IAM 操作。使用受影响的策略工具执行以下任务:

  • 确定 IAM policy 并参考受此次迁移影响的 IAM 操作

  • 将更新后的策略复制到剪贴板

  • 在 IAM policy 编辑器中打开受影响的策略

  • 为您的账户保存更新后的策略

  • 开启精细权限并禁用旧操作

此工具在您登录的 AWS 账户范围内运行,并且不会披露有关其他 AWS Organizations 账户的信息。

要使用受影响策略工具,请执行以下操作

  1. 登录 AWS Management Console 并打开 AWS Billing and Cost Management 控制台,网址为https://console.aws.amazon.com/costmanagement/

  2. 将以下 URL 粘贴到浏览器中以访问 Affected policies(受影响的策略)工具:https://console.aws.amazon.com/poliden/home?region=us-east-1#/

    注意

    您必须具有 iam:GetAccountAuthorizationDetails 权限才能查看此页面。

  3. 查看列出受影响的 IAM policy 的表。使用 Deprecated IAM actions(已弃用的 IAM 操作)列查看策略中提及的特定 IAM 操作。

  4. 复制更新后的策略列下,选择复制,以将更新后的策略复制到剪贴板。更新后的策略包含现有策略以及作为单独 Sid 块附加到该策略后的建议精细操作。该块在策略末尾有前缀 AffectedPoliciesMigrator

  5. 选择在 IAM 控制台中编辑策略列,然后选择编辑以转到 IAM policy 编辑器。您将看到现有策略的 JSON 代码。

  6. 将现有策略完整替换为您在第 4 步中复制的更新后策略。您可以根据需要进行任何其他更改。

  7. 选择下一步,然后选择保存更改

  8. 对所有列出的策略重复第 3 步到第 7 步。

  9. 更新策略后,刷新受影响的策略工具,确认没有受影响的策略列出。所有策略的找到的新 IAM 操作列都应为,并且复制编辑按钮将被禁用。受影响的策略已更新。

为您的账户启用精细操作

更新策略后,请按照以下过程为您的账户启用精细操作。

只有组织的管理账户(付款人)或个人账户才能使用管理新 IAM 操作部分。个人账户可以为自己启用新操作。管理账户可以为整个组织或部分成员账户启用新操作。如果您是管理账户,请为所有成员账户更新受影响的策略,并为您的组织启用新操作。有关更多信息,请参阅如何在新的细粒度操作或现有 IAM 操作之间切换账户? AWS 博客文章中的部分。

注意

要完成此操作,您必须具有以下权限:

  • aws-portal:GetConsoleActionSetEnforced

  • aws-portal:UpdateConsoleActionSetEnforced

  • ce:GetConsoleActionSetEnforced

  • ce:UpdateConsoleActionSetEnforced

  • purchase-orders:GetConsoleActionSetEnforced

  • purchase-orders:UpdateConsoleActionSetEnforced

如果您没有看到管理新 IAM 操作部分,则表示您的账户已经启用了 IAM 精细操作。

  1. 管理新的 IAM 操作下,已强制执行的当前操作集设置的状态将为现有

    选择启用新操作(精细),然后选择应用更改

  2. 在此对话框中,选择 Yes (是)已强制执行的当前操作集的状态将更改为精细。这意味着您 AWS 账户 或您的组织将强制执行新操作。

  3. (可选)然后,您可以更新现有策略以移除任何旧操作。

例 示例:应用 IAM policy 之前和之后

以下 IAM policy 采用旧的 aws-portal:ViewPaymentMethods 操作。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        }
    ]
}

复制更新后的策略后,以下示例将具有包含精细操作的新 Sid 块。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AffectedPoliciesMigrator0",
            "Effect": "Allow",
            "Action": [
                "account:GetAccountInformation",
                "invoicing:GetInvoicePDF",
                "payments:GetPaymentInstrument",
                "payments:GetPaymentStatus",
                "payments:ListPaymentPreferences"
            ],
            "Resource": "*"
        }
    ]
}

有关更多信息,请参阅《IAM 用户指南》中的 Sid

有关新的细粒度操作的更多信息,请参阅映射精细的 IAM 操作参考和使用精细 AWS的成本管理操作。