IAM 精细操作映射参考 - Amazon Billing
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM 精细操作映射参考

注意

以下 Amazon Identity and Access Management(IAM)操作已终止标准支持:

  • aws-portal 命名空间

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

如果您尚未将旧的 IAM 操作迁移到新的精细操作,则必须在 2024 年 3 月之前完成迁移。

如果您使用的是 Amazon Organizations,则可以使用批量策略迁移程序脚本从付款人账户更新策略。您还可以使用旧到精细操作映射参考来验证需要添加的 IAM 操作。

有关更多信息,请参阅 Changes to Amazon Billing, Amazon Cost Management, and Account Consoles Permission 博客文章。

如果您的 Amazon Web Services 账户是在 2023 年 11 月 16 日上午 11:00(太平洋夏令时)或之后创建的,或者您是在该日期或之后创建的 Amazon Organizations 的成员,则精细操作已经在您的组织内生效。

您需要迁移权限策略或服务控制策略(SCP)中的以下 IAM 操作:

  • aws-portal:ViewAccount

  • aws-portal:ViewBilling

  • aws-portal:ViewPaymentMethods

  • aws-portal:ModifyAccount

  • aws-portal:ModifyBilling

  • aws-portal:ModifyPaymentMethods

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

您可以使用本主题,查看即将停用的每个 IAM 操作的旧精细操作到新精细操作的映射。

概述
  1. 在 Amazon Web Services 账户 中查看受影响的 IAM policy。为此,请按照受影响的策略工具中的步骤来确定受影响的 IAM policy。请参阅如何使用受影响策略工具

  2. 使用 IAM 控制台向您的策略添加新的精细权限。例如,如果您的策略允许该 purchase-orders:ModifyPurchaseOrders 权限,则需要将每个操作添加到 purchase-orders:ModifyPurchaseOrders 的映射 表中。

    旧策略

    以下策略允许用户添加、删除或修改账户中的任何采购订单。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "purchase-orders:ModifyPurchaseOrders", "Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*" } ] }

    新策略

    以下策略还允许用户添加、删除或修改账户中的任何采购订单。请注意,每项精细权限都显示在旧 purchase-orders:ModifyPurchaseOrders 权限之后。这些权限使您可以更好地控制要允许或拒绝的操作。

    提示

    我们建议您保留旧权限,以确保在此迁移完成之前不会失去权限。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "purchase-orders:ModifyPurchaseOrders", "purchase-orders:AddPurchaseOrder", "purchase-orders:DeletePurchaseOrder", "purchase-orders:UpdatePurchaseOrder", "purchase-orders:UpdatePurchaseOrderStatus" ], "Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*" } ] }
  3. 保存您的更改。

注意事项

aws-portal:ViewAccount 的映射

新操作 描述 访问级别
account:GetAccountInformation 授予检索账户信息的权限 读取
account:GetAlternateContact 授予权限以检索账户的备用联系人 读取
account:GetChallengeQuestions 授予检索账户质询问题的权限 读取
account:GetContactInformation 授予权限以检索账户的主要联系人信息 读取
billing:GetContractInformation 授予权限以查看账户合同信息,包括合同编号、最终用户组织名称、采购订单号,以及账户是否用于为公共部门客户提供服务 读取
billing:GetSellerOfRecord 授予权限以检索账户的默认记录卖家 读取
payments:ListPaymentPreferences 授予权限以获取付款首选项,例如首选付款币种、首选付款方式 读取

aws-portal:ViewBilling 的映射

新操作 描述 访问级别
account:GetAccountInformation 授予检索账户信息的权限 读取
billing:GetBillingData 授予对账单信息执行查询的权限 读取
billing:GetBillingDetails 授予查看详细行项目账单信息的权限 读取
billing:GetBillingNotifications 授予查看Amazon发送的与您的账户账单信息相关的通知的权限 读取
billing:GetBillingPreferences 授予权限以查看账单首选项,例如预留实例、实惠配套和服务抵扣金共享 读取
billing:GetContractInformation 授予权限以查看账户合同信息,包括合同编号、最终用户组织名称、采购订单号,以及账户是否用于为公共部门客户提供服务 读取
billing:GetCredits 授予查看已兑换的服务抵扣金的权限 读取
billing:GetSellerOfRecord 授予权限以检索账户的默认记录卖家 读取
ce:DescribeNotificationSubscription 授予权限以查看预留到期提醒 读取
ce:DescribeReport 授予权限以查看 Cost Explorer 报告页面 Read
ce:GetAnomalies 授予权限以检索异常 Read
ce:GetAnomalyMonitors 授予权限以查询异常监控 Read
ce:GetAnomalySubscriptions 授予权限以查询异常订阅 Read
ce:GetCostAndUsage 授予权限以检索您的账户的成本和使用率指标 Read
ce:GetCostAndUsageWithResources 授予权限以检索您的账户资源的成本和使用率指标 读取
ce:GetCostCategories 授予权限以查询指定时间段内成本类别名称和值 读取
ce:GetCostForecast 授予权限以检索预测时间段的成本预测 Read
ce:GetDimensionValues 授予权限以检索筛选条件在一段时间内的所有可用筛选条件值 读取
ce:GetPreferences 授予权限以查看 Cost Explorer 首选项页面 读取
ce:GetReservationCoverage 授予权限以检索您的账户的预留范围 Read
ce:GetReservationPurchaseRecommendation 授予权限以检索您的账户的预留建议 Read
ce:GetReservationUtilization 授予权限以检索您的账户的预留利用率 Read
ce:GetRightsizingRecommendation 授予权限以检索您的账户的合理调整大小建议 Read
ce:GetSavingsPlansCoverage 授予权限以检索您账户的 Savings Plans 覆盖范围 Read
ce:GetSavingsPlansPurchaseRecommendation 授予权限以检索您账户的 Savings Plans 建议 Read
ce:GetSavingsPlansUtilization 授予权限以检索您账户的 Savings Plans 利用率 Read
ce:GetSavingsPlansUtilizationDetails 授予权限以检索您账户的 Savings Plans 利用率详细信息 Read
ce:GetTags 授予权限以查询指定时间段的标签 Read
ce:GetUsageForecast 授予权限以检索预测时间段的使用情况预测 读取
ce:ListCostAllocationTags 授予权限以列出成本分配标签 列出
ce:ListSavingsPlansPurchaseRecommendationGeneration 授予权限以检索您的历史建议生成列表 读取
consolidatedbilling:GetAccountBillingRole 授予权限以获取账户角色(付款人、关联账户、常规账户) 读取
consolidatedbilling:ListLinkedAccounts 授予权限以获取成员和关联账户列表 列出
cur:GetClassicReport 授予权限以获取账单 CSV 报告 读取
cur:GetClassicReportPreferences 授予权限以获取使用情况报告的经典报告启用状态 读取
cur:ValidateReportDestination 授予权限以验证 Amazon S3 存储桶是否具有适当 Amazon CUR 传递权限 读取
freetier:GetFreeTierAlertPreference 授予权限以获取 Amazon Web Services 中国区免费套餐 提醒首选项(通过电子邮件地址) 读取
freetier:GetFreeTierUsage 授予获取Amazon Web Services 中国区免费套餐使用限制和 month-to-date (MTD) 使用状态的权限 读取
invoicing:GetInvoiceEmailDeliveryPreferences 授予权限以获取发票电子邮件发送首选项 读取
invoicing:GetInvoicePDF 授予权限以获取发票 PDF 读取
invoicing:ListInvoiceSummaries 授予权限以获取账户或关联账户的发票摘要信息 列出
payments:GetPaymentInstrument 授予获取付款方式信息的权限 读取
payments:GetPaymentStatus 授予获取发票付款状态的权限 读取
payments:ListPaymentPreferences 授予权限以获取付款首选项,例如首选付款币种、首选付款方式 读取

aws-portal:ViewPaymentMethods 的映射

新操作 描述 访问级别
account:GetAccountInformation 授予检索账户信息的权限 读取
invoicing:GetInvoicePDF 授予权限以获取发票 PDF 读取
payments:GetPaymentInstrument 授予获取付款方式信息的权限 读取
payments:GetPaymentStatus 授予获取发票付款状态的权限 读取
payments:ListPaymentPreferences 授予权限以获取付款首选项,例如首选付款币种、首选付款方式 列出

aws-portal:ModifyAccount 的映射

新操作 描述 访问级别
account:CloseAccount 授予关闭账户的权限 写入
account:DeleteAlternateContact 授予权限以删除账户的备用联系人 写入
account:PutAlternateContact 授予权限以修改账户的备用联系人 写入
account:PutChallengeQuestions 授予修改账户质询问题的权限 写入
account:PutContactInformation 授予权限以更新账户的主要联系人信息 写入
billing:PutContractInformation 授予设置账户合同信息、最终用户组织名称,以及账户是否用于为公共部门客户提供服务的权限 写入
payments:UpdatePaymentPreferences 授予权限以更新付款首选项,例如首选付款币种、首选付款方式 写入

aws-portal:ModifyBilling 的映射

新操作 描述 访问级别
billing:PutContractInformation 授予设置账户合同信息、最终用户组织名称,以及账户是否用于为公共部门客户提供服务的权限 写入
billing:RedeemCredits 授予兑换Amazon服务抵扣金的权限 写入
billing:UpdateBillingPreferences 授予权限以更新账单首选项,例如预留实例、实惠配套和服务抵扣金共享 写入
ce:CreateAnomalyMonitor 授予权限以创建新异常监控 Write
ce:CreateAnomalySubscription 授予权限以创建新异常订阅 写入
ce:CreateNotificationSubscription 授予权限以创建预留到期提醒 写入
ce:CreateReport 授予权限以创建 Cost Explorer 报告 Write
ce:DeleteAnomalyMonitor 授予权限以删除异常监控 Write
ce:DeleteAnomalySubscription 授予权限以删除异常订阅 写入
ce:DeleteNotificationSubscription 授予权限以删除预留到期提醒 写入
ce:DeleteReport 授予权限以删除 Cost Explorer 报告 写入
ce:ProvideAnomalyFeedback 授予权限以提供对检测到的异常的反馈 写入
ce:StartSavingsPlansPurchaseRecommendationGeneration 授予权限以请求 Savings Plans 建议生成 写入
ce:UpdateAnomalyMonitor 授予权限以更新现有异常监控 Write
ce:UpdateAnomalySubscription 授予权限以更新现有异常订阅 写入
ce:UpdateCostAllocationTagsStatus 授予权限以更新现有成本分配标签状态 写入
ce:UpdateNotificationSubscription 授予权限以更新预留到期提醒 写入
ce:UpdatePreferences 授予权限以编辑 Cost Explorer 首选项页面 写入
cur:PutClassicReportPreferences 授予启用经典报告的权限 写入
freetier:PutFreeTierAlertPreference 授予权限以设置 Amazon Web Services 中国区免费套餐 提醒首选项(通过电子邮件地址) 写入
invoicing:PutInvoiceEmailDeliveryPreferences 授予权限以更新发票电子邮件发送首选项 写入
payments:CreatePaymentInstrument 授予创建付款方式的权限 写入
payments:DeletePaymentInstrument 授予删除付款方式的权限 写入
payments:MakePayment 授予权限以进行付款、验证付款、验证付款方式,以及为 Advance Pay 生成资金请求文档 写入
payments:UpdatePaymentPreferences 授予权限以更新付款首选项,例如首选付款币种、首选付款方式 写入

aws-portal:ModifyPaymentMethods 的映射

新操作 描述 访问级别
account:GetAccountInformation 授予检索账户信息的权限 读取
payments:DeletePaymentInstrument 授予删除付款方式的权限 写入
payments:CreatePaymentInstrument 授予创建付款方式的权限 写入
payments:MakePayment 授予权限以进行付款、验证付款、验证付款方式,以及为 Advance Pay 生成资金请求文档 写入
payments:UpdatePaymentPreferences 授予权限以更新付款首选项,例如首选付款币种、首选付款方式 写入

purchase-orders:ViewPurchaseOrders 的映射

新操作 描述 访问级别
invoicing:GetInvoicePDF 授予权限以获取发票 PDF 获取
payments:ListPaymentPreferences 授予权限以获取付款首选项,例如首选付款币种、首选付款方式 列出
purchase-orders:GetPurchaseOrder 授予获取采购订单的权限 读取
purchase-orders:ListPurchaseOrderInvoices 授予查看采购订单和详细信息的权限 列出
purchase-orders:ListPurchaseOrders 授予获取所有可用采购订单的权限 列出

purchase-orders:ModifyPurchaseOrders 的映射

新操作 描述 访问级别
purchase-orders:AddPurchaseOrder 授予权限以添加采购订单 写入
purchase-orders:DeletePurchaseOrder 授予权限以删除采购订单。 写入
purchase-orders:UpdatePurchaseOrder 授予更新现有采购订单的权限 写入
purchase-orders:UpdatePurchaseOrderStatus 授予设置采购订单状态的权限 写入