映射精細的 IAM 動作參考 - AWS 帳單
aws-portal:ViewAccount 映射aws-portal:ViewBilling 映射aws-portal:ViewPaymentMethods 映射aws-portal:ViewUsage 映射aws-portal:ModifyAccount 映射aws-portal:ModifyBilling 映射aws-portal:ModifyPaymentMethods 映射purchase-orders:ViewPurchaseOrders 映射purchase-orders:ModifyPurchaseOrders 映射

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

映射精細的 IAM 動作參考

注意

下列 AWS Identity and Access Management (IAM) 行動已於 2023 年 7 月終止標準支援:

  • aws-portal 命名空間

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

如果您使用的是 AWS Organizations,您可以使用大量政策移轉程式指令碼或大量政策移轉工具來更新付款人帳戶中的政策。也可以使用舊動作至精細動作對應參考來確認需要新增的 IAM 動作。

如果您在 2023 年 3 月 6 日 AWS 帳戶,上午 11:00 (太平洋時間) 或之後 AWS Organizations 建立,或屬於建立的一部分,則細微動作已在您的組織中生效。

您需要在許可政策或服務控制政策 (SCP) 中遷移以下 IAM 動作:

  • aws-portal:ViewAccount

  • aws-portal:ViewBilling

  • aws-portal:ViewPaymentMethods

  • aws-portal:ViewUsage

  • aws-portal:ModifyAccount

  • aws-portal:ModifyBilling

  • aws-portal:ModifyPaymentMethods

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

您可以使用本主題,針對我們要淘汰的每個 IAM 動作,檢視舊動作與新的精細動作的映射。

概觀

  1. 在您的 AWS 帳戶查看受影響的 IAM 政策。若要執行這個動作,請按照受影響的政策工具中的步驟,識別受影響的 IAM 政策。請參閱如何使用受影響的政策工具

  2. 使用 IAM 主控台在您的政策中新增精細許可。舉例來說,如果您的政策允許 purchase-orders:ModifyPurchaseOrders 權限,您必須在 purchase-orders:ModifyPurchaseOrders 映射 資料表中新增每個動作。

    舊政策

    下列政策允許使用者新增、刪除或修改帳戶中的任何採購單。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "purchase-orders:ModifyPurchaseOrders",
            "Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
        }
    ]
}

    新政策

    下列政策也允許使用者新增、刪除或修改帳戶中的任何採購單。請注意,每個精細許可都會顯示在舊的 purchase-orders:ModifyPurchaseOrders 許可之後。這些許可可讓您加強控制想要允許或拒絕的動作。

    提示

    建議您保留舊許可,以便確保在遷移完成之前不會失去許可。

    {
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "VisualEditor0",
			"Effect": "Allow",
			"Action": [
				"purchase-orders:ModifyPurchaseOrders",
				"purchase-orders:AddPurchaseOrder",
				"purchase-orders:DeletePurchaseOrder",
				"purchase-orders:UpdatePurchaseOrder",
				"purchase-orders:UpdatePurchaseOrderStatus"
			],
			"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
		}
	]
}

  3. 儲存您的變更。

備註

aws-portal:ViewAccount 映射

新動作 描述 存取層級
account:GetAccountInformation 准許擷取帳戶的帳戶資訊 讀取
account:GetAlternateContact 准許擷取帳戶的替代聯絡人 讀取
account:GetChallengeQuestions 准許擷取帳戶的質詢問題 讀取
account:GetContactInformation 准許擷取帳戶的主要聯絡人資訊 讀取
billing:GetContractInformation 准許檢視帳戶合約資訊,包括合約編號、最終使用者組織名稱、採購訂單編號,以及帳戶是否用於為公共事業部門客戶提供服務 讀取
billing:GetIAMAccessPreference 准許擷取允許 IAM 存取權帳單偏好設定的狀態 讀取
billing:GetSellerOfRecord 准許擷取帳戶的預設賣家記錄 讀取
payments:ListPaymentPreferences 准許取得付款偏好設定 (例如,偏好的付款貨幣、偏好的付款方式) 讀取

aws-portal:ViewBilling 映射

新動作 描述 存取層級
account:GetAccountInformation 准許擷取帳戶的帳戶資訊 讀取
billing:GetBillingData 准許對帳單資訊執行查詢 讀取
billing:GetBillingDetails 准許檢視詳細項目帳單資訊 讀取
billing:GetBillingNotifications 授予檢視與您帳戶 AWS 相關之通知的權限帳單資訊 讀取
billing:GetBillingPreferences 准許檢視帳單偏好設定,例如預留執行個體、Savings Plans 和抵用金分享 讀取
billing:GetContractInformation 准許檢視帳戶合約資訊,包括合約編號、最終使用者組織名稱、採購訂單編號,以及帳戶是否用於為公共事業部門客戶提供服務 讀取
billing:GetCredits 准許檢視已兌換的抵用金 讀取
billing:GetIAMAccessPreference 准許擷取允許 IAM 存取權帳單偏好設定的狀態 讀取
billing:GetSellerOfRecord 准許擷取帳戶的預設賣家記錄 讀取
billing:ListBillingViews 准許取得形式帳單群組帳單資訊 清單
ce:DescribeNotificationSubscription 准許檢視保留到期提醒 讀取
ce:DescribeReport 准許檢視 Cost Explorer 報告頁面 讀取
ce:GetAnomalies 准許擷取異常 讀取
ce:GetAnomalyMonitors 准許查詢異常監控器 讀取
ce:GetAnomalySubscriptions 准許查詢異常訂閱 讀取
ce:GetCostAndUsage 准許擷取您的帳戶的成本和用量指標。 讀取
ce:GetCostAndUsageWithResources 准許擷取帳戶的資源成本和用量指標。 讀取
ce:GetCostCategories 准許查詢指定期間的成本類別名稱和值 讀取
ce:GetCostForecast 准許擷取預測期間的成本預測。 讀取
ce:GetDimensionValues 准許擷取篩選條件在一段期間內可用的所有篩選條件值。 讀取
ce:GetPreferences 准許檢視 Cost Explorer 喜好設定頁面 讀取
ce:GetReservationCoverage 准許針對您的帳戶擷取保留涵蓋範圍。 讀取
ce:GetReservationPurchaseRecommendation 准許針對您的帳戶擷取保留建議。 讀取
ce:GetReservationUtilization 准許針對您的帳戶擷取保留使用率。 讀取
ce:GetRightsizingRecommendation 授予許可來針對您的帳戶擷取精簡化建議。 讀取
ce:GetSavingsPlansCoverage 准許針對您的帳戶擷取 Savings Plans 涵蓋範圍。 讀取
ce:GetSavingsPlansPurchaseRecommendation 准許您的帳戶擷取 Savings Plans 建議。 讀取
ce:GetSavingsPlansUtilization 准許針對您的帳戶擷取 Savings Plans 使用率。 讀取
ce:GetSavingsPlansUtilizationDetails 准許針對您的帳戶擷取 Savings Plans 使用率詳細資訊。 讀取
ce:GetTags 准許查詢特定期間內的標籤。 讀取
ce:GetUsageForecast 授予許可來擷取預測期間的用量預測。 讀取
ce:ListCostAllocationTags 准許列出成本分配標籤 清單
ce:ListSavingsPlansPurchaseRecommendationGeneration 准許擷取產生的歷史建議清單 讀取
consolidatedbilling:GetAccountBillingRole 准許取得帳戶角色 (付款人、連結、一般) 讀取
consolidatedbilling:ListLinkedAccounts 准許取得成員和連結帳戶的清單 清單
cur:GetClassicReport 准許取得帳單的 CSV 報告 讀取
cur:GetClassicReportPreferences 准許取得用量報告的傳統報告啟用狀態 讀取
cur:ValidateReportDestination 授予權限以驗證 Amazon S3 儲存貯體是否存在具有適當的 AWS CUR 交付許可 讀取
freetier:GetFreeTierAlertPreference 授予取得 AWS 免費方案 警示偏好設定的權限 (依電子郵件地址) 讀取
freetier:GetFreeTierUsage 授予取得使 AWS 免費方案 用限制和 month-to-date (MTD) 使用狀態的權限 讀取
invoicing:GetInvoiceEmailDeliveryPreferences 准許取得發票電子郵件交付喜好設定 讀取
invoicing:GetInvoicePDF 准許取得發票 PDF 讀取
invoicing:ListInvoiceSummaries 准許取得帳戶或連結帳戶的發票摘要資訊 清單
payments:GetPaymentInstrument 准許取得付款工具的相關資訊 讀取
payments:GetPaymentStatus 准許取得發票的付款狀態 讀取
payments:ListPaymentPreferences 准許取得付款偏好設定 (例如,偏好的付款貨幣、偏好的付款方式) 讀取
tax:GetTaxInheritance 准許檢視稅務繼承狀態 讀取
tax:GetTaxRegistrationDocument 准許下載稅務登記文件 讀取
tax:ListTaxRegistrations 准許檢視稅務登記 讀取

aws-portal:ViewPaymentMethods 映射

新動作 描述 存取層級
account:GetAccountInformation 准許擷取帳戶的帳戶資訊 讀取
invoicing:GetInvoicePDF 准許取得發票 PDF 讀取
payments:GetPaymentInstrument 准許取得付款工具的相關資訊 讀取
payments:GetPaymentStatus 准許取得發票的付款狀態 讀取
payments:ListPaymentPreferences 准許取得付款偏好設定 (例如,偏好的付款貨幣、偏好的付款方式) 清單

aws-portal:ViewUsage 映射

新動作 描述 存取層級
cur:GetUsageReport 授與取得使用情況報告工作流程清單 AWS 服務、使用情況類型和作業,以及下載使用情況報告的權限 讀取

aws-portal:ModifyAccount 映射

新動作 描述 存取層級
account:CloseAccount 准許關閉帳戶 寫入
account:DeleteAlternateContact 准許刪除帳戶的替代聯絡人 寫入
account:PutAlternateContact 准許修改帳戶的替代聯絡人 寫入
account:PutChallengeQuestions 准許修改帳戶的質詢問題 寫入
account:PutContactInformation 准許更新帳戶的主要聯絡人資訊 寫入
billing:PutContractInformation 准許設定帳戶的合約資訊,包括最終使用者組織名稱,以及帳戶是否用於為公共事業部門客戶提供服務 寫入
billing:UpdateIAMAccessPreference 准許更新允許 IAM 存取權帳單喜好設定 寫入
payments:UpdatePaymentPreferences 准許更新付款喜好設定 (例如,喜好的付款貨幣、喜好的付款方式) 寫入

aws-portal:ModifyBilling 映射

新動作 描述 存取層級
billing:PutContractInformation 准許設定帳戶的合約資訊,包括最終使用者組織名稱,以及帳戶是否用於為公共事業部門客戶提供服務 寫入
billing:RedeemCredits 授予兌換點 AWS 數的許可 寫入
billing:UpdateBillingPreferences 准許更新帳單喜好設定,例如預留執行個體、Savings Plans 和抵用金分享 寫入
ce:CreateAnomalyMonitor 准許建立新的異常監控器 寫入
ce:CreateAnomalySubscription 准許建立新的異常訂閱 寫入
ce:CreateNotificationSubscription 准許建立保留到期提醒 寫入
ce:CreateReport 准許建立 Cost Explorer 報告 寫入
ce:DeleteAnomalyMonitor 准許刪除異常監控器 寫入
ce:DeleteAnomalySubscription 准許刪除異常訂閱 寫入
ce:DeleteNotificationSubscription 准許刪除保留到期提醒 寫入
ce:DeleteReport 准許刪除 Cost Explorer 報告 寫入
ce:ProvideAnomalyFeedback 授予對偵測到的異常提供意見反應的許可 寫入
ce:StartSavingsPlansPurchaseRecommendationGeneration 准許請求產生 Savings Plans 建議 寫入
ce:UpdateAnomalyMonitor 准許更新現有的異常監控器 寫入
ce:UpdateAnomalySubscription 准許更新現有的異常訂閱 寫入
ce:UpdateCostAllocationTagsStatus 准許更新現有的成本分配標籤狀態 寫入
ce:UpdateNotificationSubscription 准許更新保留到期提醒 寫入
ce:UpdatePreferences 准許編輯 Cost Explorer 喜好設定頁面 寫入
cur:PutClassicReportPreferences 准許啟用傳統報告 寫入
freetier:PutFreeTierAlertPreference 授予設定 AWS 免費方案 警示偏好設定的權限 (依電子郵件地址) 寫入
invoicing:PutInvoiceEmailDeliveryPreferences 准許更新發票電子郵件交付喜好設定 寫入
payments:CreatePaymentInstrument 准許建立付款工具 寫入
payments:DeletePaymentInstrument 准許刪除付款工具 寫入
payments:MakePayment 准許進行付款、驗證付款、驗證付款方式,以及產生 Advance Pay 的資金申請文件 寫入
payments:UpdatePaymentPreferences 准許更新付款喜好設定 (例如,喜好的付款貨幣、喜好的付款方式) 寫入
tax:BatchPutTaxRegistration 准許批次更新稅務登記 寫入
tax:DeleteTaxRegistration 准許刪除稅務登記資料 寫入
tax:PutTaxInheritance 准許檢視設定稅務繼承 寫入

aws-portal:ModifyPaymentMethods 映射

新動作 描述 存取層級
account:GetAccountInformation 准許擷取帳戶的帳戶資訊 讀取
payments:DeletePaymentInstrument 准許刪除付款工具 寫入
payments:CreatePaymentInstrument 准許建立付款工具 寫入
payments:MakePayment 准許進行付款、驗證付款、驗證付款方式,以及產生 Advance Pay 的資金申請文件 寫入
payments:UpdatePaymentPreferences 准許更新付款喜好設定 (例如,喜好的付款貨幣、喜好的付款方式) 寫入

purchase-orders:ViewPurchaseOrders 映射

新動作 描述 存取層級
invoicing:GetInvoicePDF 准許取得發票 PDF 取得
payments:ListPaymentPreferences 准許取得付款偏好設定 (例如,偏好的付款貨幣、偏好的付款方式) 清單
purchase-orders:GetPurchaseOrder 准許取得採購單 讀取
purchase-orders:ListPurchaseOrderInvoices 准許檢視採購訂單和詳細資訊 清單
purchase-orders:ListPurchaseOrders 准許取得所有可用的採購單 清單

purchase-orders:ModifyPurchaseOrders 映射

新動作 描述 存取層級
purchase-orders:AddPurchaseOrder 准許新增採購單 寫入
purchase-orders:DeletePurchaseOrder 准許刪除採購單。 寫入
purchase-orders:UpdatePurchaseOrder 准許更新現有採購單 寫入
purchase-orders:UpdatePurchaseOrderStatus 准許設定採購單狀態 寫入