本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IAM 精细操作映射参考
注意
以下 Amazon Identity and Access Management (IAM) 操作已结束标准支持:
-
aws-portal命名空间 -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
如果您正在使用 Amazon Organizations,则可以使用批量策略迁移程序脚本从您的付款人账户更新政策。您还可以使用旧到精细操作映射参考来验证需要添加的 IAM 操作。
有关更多信息,请参阅Amazon 账单、 Amazon 成本管理和账户控制台权限变
如果您在 2023 年 11 月 16 日上午 11:00(太平洋夏令时)当天或之后 Amazon Organizations 创建了或参与其中,则细粒度的操作已经在您的组织中生效。 Amazon Web Services 账户
您需要迁移权限策略或服务控制策略(SCP)中的以下 IAM 操作:
-
aws-portal:ViewAccount -
aws-portal:ViewBilling -
aws-portal:ViewPaymentMethods -
aws-portal:ModifyAccount -
aws-portal:ModifyBilling -
aws-portal:ModifyPaymentMethods -
purchase-orders:ViewPurchaseOrders -
purchase-orders:ModifyPurchaseOrders
您可以使用本主题,查看即将停用的每个 IAM 操作的旧精细操作到新精细操作的映射。
概述
-
在 Amazon Web Services 账户中查看受影响的 IAM policy。为此,请按照受影响的策略工具中的步骤来确定受影响的 IAM policy。请参阅 如何使用受影响策略工具。
-
使用 IAM 控制台向您的策略添加新的精细权限。例如,如果您的策略允许该
purchase-orders:ModifyPurchaseOrders权限,则需要将每个操作添加到 purchase-orders:ModifyPurchaseOrders 的映射 表中。旧策略
以下策略允许用户添加、删除或修改账户中的任何采购订单。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "purchase-orders:ModifyPurchaseOrders", "Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*" } ] }新策略
以下策略还允许用户添加、删除或修改账户中的任何采购订单。请注意,每项精细权限都显示在旧
purchase-orders:ModifyPurchaseOrders权限之后。这些权限使您可以更好地控制要允许或拒绝的操作。提示
我们建议您保留旧权限,以确保在此迁移完成之前不会失去权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "purchase-orders:ModifyPurchaseOrders", "purchase-orders:AddPurchaseOrder", "purchase-orders:DeletePurchaseOrder", "purchase-orders:UpdatePurchaseOrder", "purchase-orders:UpdatePurchaseOrderStatus" ], "Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*" } ] } -
保存您的更改。
注意事项
-
要在 IAM 控制台中手动编辑策略,请参阅《IAM 用户指南》中的编辑客户管理型策略(控制台)。
-
要批量迁移 IAM policy 以使用精细操作(新操作),请参阅 使用脚本批量迁移策略以使用 IAM 精细操作。
目录
aws-portal:ViewAccount 的映射
| 新操作 | 描述 | 访问级别 |
|---|---|---|
account:GetAccountInformation |
授予检索账户信息的权限 | 读取 |
account:GetAlternateContact |
授予权限以检索账户的备用联系人 | 读取 |
account:GetChallengeQuestions
|
授予检索账户质询问题的权限 | 读取 |
account:GetContactInformation
|
授予权限以检索账户的主要联系人信息 | 读取 |
billing:GetContractInformation
|
授予权限以查看账户合同信息,包括合同编号、最终用户组织名称、采购订单号,以及账户是否用于为公共部门客户提供服务 | 读取 |
billing:GetSellerOfRecord
|
授予权限以检索账户的默认记录卖家 | 读取 |
payments:ListPaymentPreferences
|
授予权限以获取付款首选项,例如首选付款币种、首选付款方式 | 读取 |
aws-portal:ViewBilling 的映射
| 新操作 | 描述 | 访问级别 |
|---|---|---|
account:GetAccountInformation
|
授予检索账户信息的权限 | 读取 |
billing:GetBillingData |
授予对账单信息执行查询的权限 | 读取 |
billing:GetBillingDetails |
授予查看详细行项目账单信息的权限 | 读取 |
billing:GetBillingNotifications
|
授予权限以查看由您发送的 Amazon 与您的账户账单信息相关的通知 | 读取 |
billing:GetBillingPreferences |
授予权限以查看账单首选项,例如预留实例、实惠配套和服务抵扣金共享 | 读取 |
billing:GetContractInformation |
授予权限以查看账户合同信息,包括合同编号、最终用户组织名称、采购订单号,以及账户是否用于为公共部门客户提供服务 | 读取 |
billing:GetCredits
|
授予查看已兑换的服务抵扣金的权限 | 读取 |
billing:GetSellerOfRecord |
授予权限以检索账户的默认记录卖家 | 读取 |
ce:DescribeNotificationSubscription |
授予权限以查看预留到期提醒 | 读取 |
ce:DescribeReport
|
授予权限以查看 Cost Explorer 报告页面 | Read |
ce:GetAnomalies |
授予权限以检索异常 | Read |
ce:GetAnomalyMonitors
|
授予权限以查询异常监控 | Read |
ce:GetAnomalySubscriptions |
授予权限以查询异常订阅 | Read |
ce:GetCostAndUsage
|
授予权限以检索您的账户的成本和使用率指标 | Read |
ce:GetCostAndUsageWithResources
|
授予权限以检索您的账户资源的成本和使用率指标 | 读取 |
ce:GetCostCategories
|
授予权限以查询指定时间段内成本类别名称和值 | 读取 |
ce:GetCostForecast |
授予权限以检索预测时间段的成本预测 | Read |
ce:GetDimensionValues
|
授予权限以检索筛选条件在一段时间内的所有可用筛选条件值 | 读取 |
ce:GetPreferences |
授予权限以查看 Cost Explorer 首选项页面 | 读取 |
ce:GetReservationCoverage
|
授予权限以检索您的账户的预留范围 | Read |
ce:GetReservationPurchaseRecommendation |
授予权限以检索您的账户的预留建议 | Read |
ce:GetReservationUtilization
|
授予权限以检索您的账户的预留利用率 | Read |
ce:GetRightsizingRecommendation
|
授予权限以检索您的账户的合理调整大小建议 | Read |
ce:GetSavingsPlansCoverage
|
授予权限以检索您账户的 Savings Plans 覆盖范围 | Read |
ce:GetSavingsPlansPurchaseRecommendation |
授予权限以检索您账户的 Savings Plans 建议 | Read |
ce:GetSavingsPlansUtilization
|
授予权限以检索您账户的 Savings Plans 利用率 | Read |
ce:GetSavingsPlansUtilizationDetails
|
授予权限以检索您账户的 Savings Plans 利用率详细信息 | Read |
ce:GetTags |
授予权限以查询指定时间段的标签 | Read |
ce:GetUsageForecast |
授予权限以检索预测时间段的使用情况预测 | 读取 |
ce:ListCostAllocationTags
|
授予权限以列出成本分配标签 | 列出 |
ce:ListSavingsPlansPurchaseRecommendationGeneration
|
授予权限以检索您的历史建议生成列表 | 读取 |
consolidatedbilling:GetAccountBillingRole
|
授予权限以获取账户角色(付款人、关联账户、常规账户) | 读取 |
consolidatedbilling:ListLinkedAccounts
|
授予权限以获取成员和关联账户列表 | 列出 |
cur:GetClassicReport
|
授予权限以获取账单 CSV 报告 | 读取 |
cur:GetClassicReportPreferences
|
授予权限以获取使用情况报告的经典报告启用状态 | 读取 |
cur:ValidateReportDestination
|
授予验证 Amazon S3 存储桶是否存在的权限,并授予相应的 Amazon CUR 传送权限 | 读取 |
freetier:GetFreeTierAlertPreference
|
授予获取 Amazon Web Services 中国区免费套餐 警报首选项的权限(通过电子邮件地址) | 读取 |
freetier:GetFreeTierUsage
|
授予获取 Amazon Web Services 中国区免费套餐 使用限制和 month-to-date (MTD) 使用状态的权限 | 读取 |
invoicing:GetInvoiceEmailDeliveryPreferences
|
授予权限以获取发票电子邮件发送首选项 | 读取 |
invoicing:GetInvoicePDF
|
授予权限以获取发票 PDF | 读取 |
invoicing:ListInvoiceSummaries
|
授予权限以获取账户或关联账户的发票摘要信息 | 列出 |
payments:GetPaymentInstrument
|
授予获取付款方式信息的权限 | 读取 |
payments:GetPaymentStatus
|
授予获取发票付款状态的权限 | 读取 |
payments:ListPaymentPreferences
|
授予权限以获取付款首选项,例如首选付款币种、首选付款方式 | 读取 |
aws-portal:ViewPaymentMethods 的映射
| 新操作 | 描述 | 访问级别 |
|---|---|---|
account:GetAccountInformation
|
授予检索账户信息的权限 | 读取 |
invoicing:GetInvoicePDF
|
授予权限以获取发票 PDF | 读取 |
payments:GetPaymentInstrument
|
授予获取付款方式信息的权限 | 读取 |
payments:GetPaymentStatus
|
授予获取发票付款状态的权限 | 读取 |
payments:ListPaymentPreferences
|
授予权限以获取付款首选项,例如首选付款币种、首选付款方式 | 列出 |
aws-portal:ModifyAccount 的映射
| 新操作 | 描述 | 访问级别 |
|---|---|---|
account:CloseAccount
|
授予关闭账户的权限 | 写入 |
account:DeleteAlternateContact
|
授予权限以删除账户的备用联系人 | 写入 |
account:PutAlternateContact
|
授予权限以修改账户的备用联系人 | 写入 |
account:PutChallengeQuestions
|
授予修改账户质询问题的权限 | 写入 |
account:PutContactInformation
|
授予权限以更新账户的主要联系人信息 | 写入 |
billing:PutContractInformation |
授予设置账户合同信息、最终用户组织名称,以及账户是否用于为公共部门客户提供服务的权限 | 写入 |
payments:UpdatePaymentPreferences
|
授予权限以更新付款首选项,例如首选付款币种、首选付款方式 | 写入 |
aws-portal:ModifyBilling 的映射
| 新操作 | 描述 | 访问级别 |
|---|---|---|
billing:PutContractInformation |
授予设置账户合同信息、最终用户组织名称,以及账户是否用于为公共部门客户提供服务的权限 | 写入 |
billing:RedeemCredits
|
授予兑换积分的 Amazon 权限 | 写入 |
billing:UpdateBillingPreferences
|
授予权限以更新账单首选项,例如预留实例、实惠配套和服务抵扣金共享 | 写入 |
ce:CreateAnomalyMonitor
|
授予权限以创建新异常监控 | Write |
ce:CreateAnomalySubscription |
授予权限以创建新异常订阅 | 写入 |
ce:CreateNotificationSubscription |
授予权限以创建预留到期提醒 | 写入 |
ce:CreateReport |
授予权限以创建 Cost Explorer 报告 | Write |
ce:DeleteAnomalyMonitor
|
授予权限以删除异常监控 | Write |
ce:DeleteAnomalySubscription |
授予权限以删除异常订阅 | 写入 |
ce:DeleteNotificationSubscription
|
授予权限以删除预留到期提醒 | 写入 |
ce:DeleteReport
|
授予权限以删除 Cost Explorer 报告 | 写入 |
ce:ProvideAnomalyFeedback
|
授予权限以提供对检测到的异常的反馈 | 写入 |
ce:StartSavingsPlansPurchaseRecommendationGeneration
|
授予权限以请求 Savings Plans 建议生成 | 写入 |
ce:UpdateAnomalyMonitor
|
授予权限以更新现有异常监控 | Write |
ce:UpdateAnomalySubscription
|
授予权限以更新现有异常订阅 | 写入 |
ce:UpdateCostAllocationTagsStatus
|
授予权限以更新现有成本分配标签状态 | 写入 |
ce:UpdateNotificationSubscription |
授予权限以更新预留到期提醒 | 写入 |
ce:UpdatePreferences
|
授予权限以编辑 Cost Explorer 首选项页面 | 写入 |
cur:PutClassicReportPreferences
|
授予启用经典报告的权限 | 写入 |
freetier:PutFreeTierAlertPreference
|
授予设置 Amazon Web Services 中国区免费套餐 警报首选项的权限(通过电子邮件地址) | 写入 |
invoicing:PutInvoiceEmailDeliveryPreferences
|
授予权限以更新发票电子邮件发送首选项 | 写入 |
payments:CreatePaymentInstrument |
授予创建付款方式的权限 | 写入 |
payments:DeletePaymentInstrument |
授予删除付款方式的权限 | 写入 |
payments:MakePayment
|
授予权限以进行付款、验证付款、验证付款方式,以及为 Advance Pay 生成资金请求文档 | 写入 |
payments:UpdatePaymentPreferences
|
授予权限以更新付款首选项,例如首选付款币种、首选付款方式 | 写入 |
aws-portal:ModifyPaymentMethods 的映射
| 新操作 | 描述 | 访问级别 |
|---|---|---|
account:GetAccountInformation
|
授予检索账户信息的权限 | 读取 |
payments:DeletePaymentInstrument
|
授予删除付款方式的权限 | 写入 |
payments:CreatePaymentInstrument
|
授予创建付款方式的权限 | 写入 |
payments:MakePayment
|
授予权限以进行付款、验证付款、验证付款方式,以及为 Advance Pay 生成资金请求文档 | 写入 |
payments:UpdatePaymentPreferences
|
授予权限以更新付款首选项,例如首选付款币种、首选付款方式 | 写入 |
purchase-orders:ViewPurchaseOrders 的映射
| 新操作 | 描述 | 访问级别 |
|---|---|---|
invoicing:GetInvoicePDF
|
授予权限以获取发票 PDF | 获取 |
payments:ListPaymentPreferences
|
授予权限以获取付款首选项,例如首选付款币种、首选付款方式 | 列出 |
purchase-orders:GetPurchaseOrder
|
授予获取采购订单的权限 | 读取 |
purchase-orders:ListPurchaseOrderInvoices |
授予查看采购订单和详细信息的权限 | 列出 |
purchase-orders:ListPurchaseOrders
|
授予获取所有可用采购订单的权限 | 列出 |
purchase-orders:ModifyPurchaseOrders 的映射
| 新操作 | 描述 | 访问级别 |
|---|---|---|
purchase-orders:AddPurchaseOrder |
授予权限以添加采购订单 | 写入 |
purchase-orders:DeletePurchaseOrder
|
授予权限以删除采购订单。 | 写入 |
purchase-orders:UpdatePurchaseOrder
|
授予更新现有采购订单的权限 | 写入 |
purchase-orders:UpdatePurchaseOrderStatus
|
授予设置采购订单状态的权限 | 写入 |