如何使用受影響的政策工具 - AWS 帳單
相關資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

如何使用受影響的政策工具

注意

下列 AWS Identity and Access Management (IAM) 動作已於 2023 年 7 月結束標準支援:

  • aws-portal 命名空間

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

如果您使用的是 AWS Organizations,則可以使用大量政策模擬器指令碼或大量政策模擬器,從您的付款人帳戶更新政策。您也可以使用舊動作映射參考來驗證需要新增IAM的動作。

如果您有 AWS 帳戶、 或 是 2023 年 3 月 6 日上午 11:00 (PDT) 或之後 AWS Organizations 建立的 的一部分,則精細動作已在組織中生效。

您可以使用帳單主控台中受影響的政策工具來識別IAM政策 ( 除外SCPs),並參考受此遷移影響IAM的動作。使用受影響的策略工具執行下列工作:

  • 識別IAM政策並參考受此遷移影響IAM的動作

  • 將更新的政策複製到剪貼簿

  • 在政策編輯器中開啟受影響的IAM政策

  • 儲存帳戶的更新政策

  • 開啟微調的許可,並停用舊動作

此工具在您登入 AWS 的帳戶範圍內運作,不會公開其他 AWS Organizations 帳戶的相關資訊。

若要使用受影響的政策工具

  1. 登入 AWS Management Console 並在 開啟 AWS Billing 主控台https://console.aws.amazon.com/billing/

  2. 將下列項目貼URL到瀏覽器中,以存取受影響的政策工具:https://console.aws.amazon.com/poliden/home?region=us-east-1#/

    注意

    您必須擁有檢視此頁面的 iam:GetAccountAuthorizationDetails 許可。

  3. 檢閱列出受影響IAM政策的資料表。使用已棄用IAM的動作欄來檢閱政策中參考的特定IAM動作。

  4. 複製更新的政策欄位下方,選擇複製以將更新的政策複製到剪貼簿。更新的政策包含現有的政策和附加至其中作為獨立 Sid 區塊的建議微調動作。此區塊在政策結尾具有字首 AffectedPoliciesMigrator

  5. IAM主控台中的編輯政策欄下,選擇編輯以前往IAM政策編輯器。您將看到現有政策JSON的 。

  6. 將整個現有的政策取代為在步驟 4 中複製的更新政策。您可以視需要進行任何其他變更。

  7. 選擇下一步,然後選擇儲存變更

  8. 針對所有受影響的政策重複步驟 3 至 7。

  9. 更新政策後,請重新整理受影響的政策工具,以確認沒有列出任何受影響的政策。對於所有政策,找到的新IAM動作欄應具有,且複製編輯按鈕將停用。受影響的政策已更新。

啟用帳戶的微調動作

當您更新政策後,請按照此程序為帳戶啟用微調的動作。

只有組織或個別帳戶的管理帳戶 (付款人) 才能使用管理新IAM動作區段。個人帳戶可為自己啟用新動作。管理帳戶可為整個組織或成員帳戶的子集啟用新動作。如果您是管理帳戶,請更新所有成員帳戶的受影響政策,並為組織啟用新動作。如需詳細資訊,請參閱 AWS 部落格文章中的如何在新的精細動作或現有IAM動作之間切換帳戶?一節。

注意

若要執行此動作,您必須具有下列許可:

  • aws-portal:GetConsoleActionSetEnforced

  • aws-portal:UpdateConsoleActionSetEnforced

  • ce:GetConsoleActionSetEnforced

  • ce:UpdateConsoleActionSetEnforced

  • purchase-orders:GetConsoleActionSetEnforced

  • purchase-orders:UpdateConsoleActionSetEnforced

如果您沒有看到管理新IAM動作區段,這表示您的帳戶已啟用精細IAM動作。

  1. 管理新IAM動作 下,目前動作集強制執行設定將具有現有狀態。

    選擇啟用新的動作 (微調),然後選擇套用變更

  2. 在對話方塊中,選擇 Yes (是)目前強制執行的動作集狀態將會變更為已微調。如此表示系統已針對您的 AWS 帳戶 或組織強制執行新的動作。

  3. (選用) 您可以更新現有的政策,以移除任何舊動作。

範例:IAM政策前後

下列IAM政策具有舊aws-portal:ViewPaymentMethods動作。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        }
    ]
}

在您複製更新的政策後,下列範例會具有新的 Sid 區塊,其中包含微調的動作。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AffectedPoliciesMigrator0",
            "Effect": "Allow",
            "Action": [
                "account:GetAccountInformation",
                "invoicing:GetInvoicePDF",
                "payments:GetPaymentInstrument",
                "payments:GetPaymentStatus",
                "payments:ListPaymentPreferences"
            ],
            "Resource": "*"
        }
    ]
}

如需詳細資訊,請參閱 IAM 使用者指南 中的 Sid

如需新精細動作的詳細資訊,請參閱對應精細IAM動作參考使用精細計費動作