映射细粒度操作参考 IAM - Amazon 账单
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

映射细粒度操作参考 IAM

注意

以下 Amazon Identity and Access Management (IAM) 操作已结束标准支持:

  • aws-portal 命名空间

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

如果您正在使用 Amazon Organizations,则可以使用批量策略迁移器脚本或批量策略迁移器从您的付款人账户更新政策。您也可以使用从旧到精细的操作映射参考来验证需要添加的IAM操作。

如果您在 2023 年 11 月 16 日上午 11:00(PDT)当天或之后 Amazon Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 Amazon Web Services 账户

您需要在权限策略或服务控制策略 (SCP) 中迁移以下IAM操作:

  • aws-portal:ViewAccount

  • aws-portal:ViewBilling

  • aws-portal:ViewPaymentMethods

  • aws-portal:ModifyAccount

  • aws-portal:ModifyBilling

  • aws-portal:ModifyPaymentMethods

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

您可以使用本主题来查看我们即将停用的每个IAM操作的旧操作到新的细粒度操作的映射。

概述
  1. 在中查看您受影响的IAM政策 Amazon Web Services 账户。为此,请按照 “受影响策略” 工具中的步骤识别受影响的IAM策略。请参阅 如何使用受影响策略工具

  2. 使用IAM控制台向您的策略添加新的精细权限。例如,如果您的策略允许该 purchase-orders:ModifyPurchaseOrders 权限,则需要将每个操作添加到 映射用于 purchase-orders:ModifyPurchaseOrders 表中。

    旧策略

    以下策略允许用户添加、删除或修改账户中的任何采购订单。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "purchase-orders:ModifyPurchaseOrders", "Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*" } ] }

    新策略

    以下策略还允许用户添加、删除或修改账户中的任何采购订单。请注意,每项精细权限都显示在旧 purchase-orders:ModifyPurchaseOrders 权限之后。这些权限使您可以更好地控制要允许或拒绝的操作。

    提示

    我们建议您保留旧权限,以确保在此迁移完成之前不会失去权限。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "purchase-orders:ModifyPurchaseOrders", "purchase-orders:AddPurchaseOrder", "purchase-orders:DeletePurchaseOrder", "purchase-orders:UpdatePurchaseOrder", "purchase-orders:UpdatePurchaseOrderStatus" ], "Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*" } ] }
  3. 保存您的更改。

注意

映射用于 aws-portal:ViewAccount

新操作 描述 访问级别
account:GetAccountInformation 授予检索账户信息的权限 读取
account:GetAlternateContact 授予权限以检索账户的备用联系人 读取
account:GetChallengeQuestions 授予检索账户质询问题的权限 读取
account:GetContactInformation 授予权限以检索账户的主要联系人信息 读取
billing:GetContractInformation 授予权限以查看账户合同信息,包括合同编号、最终用户组织名称、采购订单号,以及账户是否用于为公共部门客户提供服务 读取
billing:GetSellerOfRecord 授予权限以检索账户的默认记录卖家 读取
payments:ListPaymentPreferences 授予权限以获取付款首选项,例如首选付款币种、首选付款方式 读取

映射用于 aws-portal:ViewBilling

新操作 描述 访问级别
account:GetAccountInformation 授予检索账户信息的权限 读取
billing:GetBillingData 授予对账单信息执行查询的权限 读取
billing:GetBillingDetails 授予查看详细行项目账单信息的权限 读取
billing:GetBillingNotifications 授予查看与您的账户账单信息 Amazon 相关的通知的权限 读取
billing:GetBillingPreferences 授予权限以查看账单首选项,例如预留实例、实惠配套和服务抵扣金共享 读取
billing:GetContractInformation 授予权限以查看账户合同信息,包括合同编号、最终用户组织名称、采购订单号,以及账户是否用于为公共部门客户提供服务 读取
billing:GetCredits 授予查看已兑换的服务抵扣金的权限 读取
billing:GetSellerOfRecord 授予权限以检索账户的默认记录卖家 读取
ce:DescribeNotificationSubscription 授予权限以查看预留到期提醒 读取
ce:DescribeReport 授予权限以查看 Cost Explorer 报告页面 Read
ce:GetAnomalies 授予权限以检索异常 Read
ce:GetAnomalyMonitors 授予权限以查询异常监控 Read
ce:GetAnomalySubscriptions 授予权限以查询异常订阅 Read
ce:GetCostAndUsage 授予权限以检索您的账户的成本和使用率指标 Read
ce:GetCostAndUsageWithResources 授予权限以检索您的账户资源的成本和使用率指标 读取
ce:GetCostCategories 授予权限以查询指定时间段内成本类别名称和值 读取
ce:GetCostForecast 授予权限以检索预测时间段的成本预测 Read
ce:GetDimensionValues 授予权限以检索筛选条件在一段时间内的所有可用筛选条件值 读取
ce:GetPreferences 授予权限以查看 Cost Explorer 首选项页面 读取
ce:GetReservationCoverage 授予权限以检索您的账户的预留范围 Read
ce:GetReservationPurchaseRecommendation 授予权限以检索您的账户的预留建议 Read
ce:GetReservationUtilization 授予权限以检索您的账户的预留利用率 Read
ce:GetRightsizingRecommendation 授予权限以检索您的账户的合理调整大小建议 Read
ce:GetSavingsPlansCoverage 授予权限以检索您账户的 Savings Plans 覆盖范围 Read
ce:GetSavingsPlansPurchaseRecommendation 授予权限以检索您账户的 Savings Plans 建议 Read
ce:GetSavingsPlansUtilization 授予权限以检索您账户的 Savings Plans 利用率 Read
ce:GetSavingsPlansUtilizationDetails 授予权限以检索您账户的 Savings Plans 利用率详细信息 Read
ce:GetTags 授予权限以查询指定时间段的标签 Read
ce:GetUsageForecast 授予权限以检索预测时间段的使用情况预测 读取
ce:ListCostAllocationTags 授予权限以列出成本分配标签 列出
ce:ListSavingsPlansPurchaseRecommendationGeneration 授予权限以检索您的历史建议生成列表 读取
consolidatedbilling:GetAccountBillingRole 授予权限以获取账户角色(付款人、关联账户、常规账户) 读取
consolidatedbilling:ListLinkedAccounts 授予权限以获取成员和关联账户列表 列出
cur:GetClassicReport 授予获取账单CSV报告的权限 读取
cur:GetClassicReportPreferences 授予权限以获取使用情况报告的经典报告启用状态 读取
cur:ValidateReportDestination 授予验证 Amazon S3 存储桶是否存在的权限,并具有适当的交付权限 Amazon CUR 读取
freetier:GetFreeTierAlertPreference 授予获取 Amazon Web Services 中国区免费套餐 警报首选项的权限(通过电子邮件地址) 读取
freetier:GetFreeTierUsage 授予获取 Amazon Web Services 中国区免费套餐 使用限制和 month-to-date (MTD) 使用状态的权限 读取
invoicing:GetInvoiceEmailDeliveryPreferences 授予权限以获取发票电子邮件发送首选项 读取
invoicing:GetInvoicePDF 授予获取发票的权限 PDF 读取
invoicing:ListInvoiceSummaries 授予权限以获取账户或关联账户的发票摘要信息 列出
payments:GetPaymentInstrument 授予获取付款方式信息的权限 读取
payments:GetPaymentStatus 授予获取发票付款状态的权限 读取
payments:ListPaymentPreferences 授予权限以获取付款首选项,例如首选付款币种、首选付款方式 读取

映射用于 aws-portal:ViewPaymentMethods

新操作 描述 访问级别
account:GetAccountInformation 授予检索账户信息的权限 读取
invoicing:GetInvoicePDF 授予获取发票的权限 PDF 读取
payments:GetPaymentInstrument 授予获取付款方式信息的权限 读取
payments:GetPaymentStatus 授予获取发票付款状态的权限 读取
payments:ListPaymentPreferences 授予权限以获取付款首选项,例如首选付款币种、首选付款方式 列出

映射用于 aws-portal:ModifyAccount

新操作 描述 访问级别
account:CloseAccount 授予关闭账户的权限 写入
account:DeleteAlternateContact 授予权限以删除账户的备用联系人 写入
account:PutAlternateContact 授予权限以修改账户的备用联系人 写入
account:PutChallengeQuestions 授予修改账户质询问题的权限 写入
account:PutContactInformation 授予权限以更新账户的主要联系人信息 写入
billing:PutContractInformation 授予设置账户合同信息、最终用户组织名称,以及账户是否用于为公共部门客户提供服务的权限 写入
payments:UpdatePaymentPreferences 授予权限以更新付款首选项,例如首选付款币种、首选付款方式 写入

映射用于 aws-portal:ModifyBilling

新操作 描述 访问级别
billing:PutContractInformation 授予设置账户合同信息、最终用户组织名称,以及账户是否用于为公共部门客户提供服务的权限 写入
billing:RedeemCredits 授予兑换积分的 Amazon 权限 写入
billing:UpdateBillingPreferences 授予权限以更新账单首选项,例如预留实例、实惠配套和服务抵扣金共享 写入
ce:CreateAnomalyMonitor 授予权限以创建新异常监控 Write
ce:CreateAnomalySubscription 授予权限以创建新异常订阅 写入
ce:CreateNotificationSubscription 授予权限以创建预留到期提醒 写入
ce:CreateReport 授予权限以创建 Cost Explorer 报告 Write
ce:DeleteAnomalyMonitor 授予权限以删除异常监控 Write
ce:DeleteAnomalySubscription 授予权限以删除异常订阅 写入
ce:DeleteNotificationSubscription 授予权限以删除预留到期提醒 写入
ce:DeleteReport 授予权限以删除 Cost Explorer 报告 写入
ce:ProvideAnomalyFeedback 授予权限以提供对检测到的异常的反馈 写入
ce:StartSavingsPlansPurchaseRecommendationGeneration 授予权限以请求 Savings Plans 建议生成 写入
ce:UpdateAnomalyMonitor 授予权限以更新现有异常监控 Write
ce:UpdateAnomalySubscription 授予权限以更新现有异常订阅 写入
ce:UpdateCostAllocationTagsStatus 授予权限以更新现有成本分配标签状态 写入
ce:UpdateNotificationSubscription 授予权限以更新预留到期提醒 写入
ce:UpdatePreferences 授予权限以编辑 Cost Explorer 首选项页面 写入
cur:PutClassicReportPreferences 授予启用经典报告的权限 写入
freetier:PutFreeTierAlertPreference 授予设置 Amazon Web Services 中国区免费套餐 警报首选项的权限(通过电子邮件地址) 写入
invoicing:PutInvoiceEmailDeliveryPreferences 授予权限以更新发票电子邮件发送首选项 写入
payments:CreatePaymentInstrument 授予创建付款方式的权限 写入
payments:DeletePaymentInstrument 授予删除付款方式的权限 写入
payments:MakePayment 授予付款、验证付款、验证付款方式和生成资金申请文件的权限 Advance Pay 写入
payments:UpdatePaymentPreferences 授予权限以更新付款首选项,例如首选付款币种、首选付款方式 写入

映射用于 aws-portal:ModifyPaymentMethods

新操作 描述 访问级别
account:GetAccountInformation 授予检索账户信息的权限 读取
payments:DeletePaymentInstrument 授予删除付款方式的权限 写入
payments:CreatePaymentInstrument 授予创建付款方式的权限 写入
payments:MakePayment 授予付款、验证付款、验证付款方式和生成资金申请文件的权限 Advance Pay 写入
payments:UpdatePaymentPreferences 授予权限以更新付款首选项,例如首选付款币种、首选付款方式 写入

映射用于 purchase-orders:ViewPurchaseOrders

新操作 描述 访问级别
invoicing:GetInvoicePDF 授予获取发票的权限 PDF 获取
payments:ListPaymentPreferences 授予权限以获取付款首选项,例如首选付款币种、首选付款方式 列出
purchase-orders:GetPurchaseOrder 授予获取采购订单的权限 读取
purchase-orders:ListPurchaseOrderInvoices 授予查看采购订单和详细信息的权限 列出
purchase-orders:ListPurchaseOrders 授予获取所有可用采购订单的权限 列出

映射用于 purchase-orders:ModifyPurchaseOrders

新操作 描述 访问级别
purchase-orders:AddPurchaseOrder 授予权限以添加采购订单 写入
purchase-orders:DeletePurchaseOrder 授予权限以删除采购订单。 写入
purchase-orders:UpdatePurchaseOrder 授予更新现有采购订单的权限 写入
purchase-orders:UpdatePurchaseOrderStatus 授予设置采购订单状态的权限 写入