本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
映射细粒度操作参考 IAM
注意
以下 Amazon Identity and Access Management (IAM) 操作已结束标准支持:
-
aws-portal
命名空间 -
purchase-orders:ViewPurchaseOrders
-
purchase-orders:ModifyPurchaseOrders
如果您正在使用 Amazon Organizations,则可以使用批量策略迁移器脚本或批量策略迁移器从您的付款人账户更新政策。您也可以使用从旧到精细的操作映射参考来验证需要添加的IAM操作。
如果您在 2023 年 11 月 16 日上午 11:00(PDT)当天或之后 Amazon Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 Amazon Web Services 账户
您需要在权限策略或服务控制策略 (SCP) 中迁移以下IAM操作:
-
aws-portal:ViewAccount
-
aws-portal:ViewBilling
-
aws-portal:ViewPaymentMethods
-
aws-portal:ModifyAccount
-
aws-portal:ModifyBilling
-
aws-portal:ModifyPaymentMethods
-
purchase-orders:ViewPurchaseOrders
-
purchase-orders:ModifyPurchaseOrders
您可以使用本主题来查看我们即将停用的每个IAM操作的旧操作到新的细粒度操作的映射。
概述
-
在中查看您受影响的IAM政策 Amazon Web Services 账户。为此,请按照 “受影响策略” 工具中的步骤识别受影响的IAM策略。请参阅 如何使用受影响策略工具。
-
使用IAM控制台向您的策略添加新的精细权限。例如,如果您的策略允许该
purchase-orders:ModifyPurchaseOrders
权限,则需要将每个操作添加到 映射用于 purchase-orders:ModifyPurchaseOrders 表中。旧策略
以下策略允许用户添加、删除或修改账户中的任何采购订单。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "purchase-orders:ModifyPurchaseOrders", "Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*" } ] }
新策略
以下策略还允许用户添加、删除或修改账户中的任何采购订单。请注意,每项精细权限都显示在旧
purchase-orders:ModifyPurchaseOrders
权限之后。这些权限使您可以更好地控制要允许或拒绝的操作。提示
我们建议您保留旧权限,以确保在此迁移完成之前不会失去权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "purchase-orders:ModifyPurchaseOrders", "purchase-orders:AddPurchaseOrder", "purchase-orders:DeletePurchaseOrder", "purchase-orders:UpdatePurchaseOrder", "purchase-orders:UpdatePurchaseOrderStatus" ], "Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*" } ] }
-
保存您的更改。
注意
-
要在IAM控制台中手动编辑策略,请参阅IAM用户指南中的编辑客户托管策略(控制台)。
-
要批量迁移您的IAM策略以使用细粒度操作(新操作),请参阅。使用脚本批量迁移您的策略以使用精细IAM的操作
目录
映射用于 aws-portal:ViewAccount
新操作 | 描述 | 访问级别 |
---|---|---|
account:GetAccountInformation |
授予检索账户信息的权限 | 读取 |
account:GetAlternateContact |
授予权限以检索账户的备用联系人 | 读取 |
account:GetChallengeQuestions
|
授予检索账户质询问题的权限 | 读取 |
account:GetContactInformation
|
授予权限以检索账户的主要联系人信息 | 读取 |
billing:GetContractInformation
|
授予权限以查看账户合同信息,包括合同编号、最终用户组织名称、采购订单号,以及账户是否用于为公共部门客户提供服务 | 读取 |
billing:GetSellerOfRecord
|
授予权限以检索账户的默认记录卖家 | 读取 |
payments:ListPaymentPreferences
|
授予权限以获取付款首选项,例如首选付款币种、首选付款方式 | 读取 |
映射用于 aws-portal:ViewBilling
新操作 | 描述 | 访问级别 |
---|---|---|
account:GetAccountInformation
|
授予检索账户信息的权限 | 读取 |
billing:GetBillingData |
授予对账单信息执行查询的权限 | 读取 |
billing:GetBillingDetails |
授予查看详细行项目账单信息的权限 | 读取 |
billing:GetBillingNotifications
|
授予查看与您的账户账单信息 Amazon 相关的通知的权限 | 读取 |
billing:GetBillingPreferences |
授予权限以查看账单首选项,例如预留实例、实惠配套和服务抵扣金共享 | 读取 |
billing:GetContractInformation |
授予权限以查看账户合同信息,包括合同编号、最终用户组织名称、采购订单号,以及账户是否用于为公共部门客户提供服务 | 读取 |
billing:GetCredits
|
授予查看已兑换的服务抵扣金的权限 | 读取 |
billing:GetSellerOfRecord |
授予权限以检索账户的默认记录卖家 | 读取 |
ce:DescribeNotificationSubscription |
授予权限以查看预留到期提醒 | 读取 |
ce:DescribeReport
|
授予权限以查看 Cost Explorer 报告页面 | Read |
ce:GetAnomalies |
授予权限以检索异常 | Read |
ce:GetAnomalyMonitors
|
授予权限以查询异常监控 | Read |
ce:GetAnomalySubscriptions |
授予权限以查询异常订阅 | Read |
ce:GetCostAndUsage
|
授予权限以检索您的账户的成本和使用率指标 | Read |
ce:GetCostAndUsageWithResources
|
授予权限以检索您的账户资源的成本和使用率指标 | 读取 |
ce:GetCostCategories
|
授予权限以查询指定时间段内成本类别名称和值 | 读取 |
ce:GetCostForecast |
授予权限以检索预测时间段的成本预测 | Read |
ce:GetDimensionValues
|
授予权限以检索筛选条件在一段时间内的所有可用筛选条件值 | 读取 |
ce:GetPreferences |
授予权限以查看 Cost Explorer 首选项页面 | 读取 |
ce:GetReservationCoverage
|
授予权限以检索您的账户的预留范围 | Read |
ce:GetReservationPurchaseRecommendation |
授予权限以检索您的账户的预留建议 | Read |
ce:GetReservationUtilization
|
授予权限以检索您的账户的预留利用率 | Read |
ce:GetRightsizingRecommendation
|
授予权限以检索您的账户的合理调整大小建议 | Read |
ce:GetSavingsPlansCoverage
|
授予权限以检索您账户的 Savings Plans 覆盖范围 | Read |
ce:GetSavingsPlansPurchaseRecommendation |
授予权限以检索您账户的 Savings Plans 建议 | Read |
ce:GetSavingsPlansUtilization
|
授予权限以检索您账户的 Savings Plans 利用率 | Read |
ce:GetSavingsPlansUtilizationDetails
|
授予权限以检索您账户的 Savings Plans 利用率详细信息 | Read |
ce:GetTags |
授予权限以查询指定时间段的标签 | Read |
ce:GetUsageForecast |
授予权限以检索预测时间段的使用情况预测 | 读取 |
ce:ListCostAllocationTags
|
授予权限以列出成本分配标签 | 列出 |
ce:ListSavingsPlansPurchaseRecommendationGeneration
|
授予权限以检索您的历史建议生成列表 | 读取 |
consolidatedbilling:GetAccountBillingRole
|
授予权限以获取账户角色(付款人、关联账户、常规账户) | 读取 |
consolidatedbilling:ListLinkedAccounts
|
授予权限以获取成员和关联账户列表 | 列出 |
cur:GetClassicReport
|
授予获取账单CSV报告的权限 | 读取 |
cur:GetClassicReportPreferences
|
授予权限以获取使用情况报告的经典报告启用状态 | 读取 |
cur:ValidateReportDestination
|
授予验证 Amazon S3 存储桶是否存在的权限,并具有适当的交付权限 Amazon CUR | 读取 |
freetier:GetFreeTierAlertPreference
|
授予获取 Amazon Web Services 中国区免费套餐 警报首选项的权限(通过电子邮件地址) | 读取 |
freetier:GetFreeTierUsage
|
授予获取 Amazon Web Services 中国区免费套餐 使用限制和 month-to-date (MTD) 使用状态的权限 | 读取 |
invoicing:GetInvoiceEmailDeliveryPreferences
|
授予权限以获取发票电子邮件发送首选项 | 读取 |
invoicing:GetInvoicePDF
|
授予获取发票的权限 PDF | 读取 |
invoicing:ListInvoiceSummaries
|
授予权限以获取账户或关联账户的发票摘要信息 | 列出 |
payments:GetPaymentInstrument
|
授予获取付款方式信息的权限 | 读取 |
payments:GetPaymentStatus
|
授予获取发票付款状态的权限 | 读取 |
payments:ListPaymentPreferences
|
授予权限以获取付款首选项,例如首选付款币种、首选付款方式 | 读取 |
映射用于 aws-portal:ViewPaymentMethods
新操作 | 描述 | 访问级别 |
---|---|---|
account:GetAccountInformation
|
授予检索账户信息的权限 | 读取 |
invoicing:GetInvoicePDF
|
授予获取发票的权限 PDF | 读取 |
payments:GetPaymentInstrument
|
授予获取付款方式信息的权限 | 读取 |
payments:GetPaymentStatus
|
授予获取发票付款状态的权限 | 读取 |
payments:ListPaymentPreferences
|
授予权限以获取付款首选项,例如首选付款币种、首选付款方式 | 列出 |
映射用于 aws-portal:ModifyAccount
新操作 | 描述 | 访问级别 |
---|---|---|
account:CloseAccount
|
授予关闭账户的权限 | 写入 |
account:DeleteAlternateContact
|
授予权限以删除账户的备用联系人 | 写入 |
account:PutAlternateContact
|
授予权限以修改账户的备用联系人 | 写入 |
account:PutChallengeQuestions
|
授予修改账户质询问题的权限 | 写入 |
account:PutContactInformation
|
授予权限以更新账户的主要联系人信息 | 写入 |
billing:PutContractInformation |
授予设置账户合同信息、最终用户组织名称,以及账户是否用于为公共部门客户提供服务的权限 | 写入 |
payments:UpdatePaymentPreferences
|
授予权限以更新付款首选项,例如首选付款币种、首选付款方式 | 写入 |
映射用于 aws-portal:ModifyBilling
新操作 | 描述 | 访问级别 |
---|---|---|
billing:PutContractInformation |
授予设置账户合同信息、最终用户组织名称,以及账户是否用于为公共部门客户提供服务的权限 | 写入 |
billing:RedeemCredits
|
授予兑换积分的 Amazon 权限 | 写入 |
billing:UpdateBillingPreferences
|
授予权限以更新账单首选项,例如预留实例、实惠配套和服务抵扣金共享 | 写入 |
ce:CreateAnomalyMonitor
|
授予权限以创建新异常监控 | Write |
ce:CreateAnomalySubscription |
授予权限以创建新异常订阅 | 写入 |
ce:CreateNotificationSubscription |
授予权限以创建预留到期提醒 | 写入 |
ce:CreateReport |
授予权限以创建 Cost Explorer 报告 | Write |
ce:DeleteAnomalyMonitor
|
授予权限以删除异常监控 | Write |
ce:DeleteAnomalySubscription |
授予权限以删除异常订阅 | 写入 |
ce:DeleteNotificationSubscription
|
授予权限以删除预留到期提醒 | 写入 |
ce:DeleteReport
|
授予权限以删除 Cost Explorer 报告 | 写入 |
ce:ProvideAnomalyFeedback
|
授予权限以提供对检测到的异常的反馈 | 写入 |
ce:StartSavingsPlansPurchaseRecommendationGeneration
|
授予权限以请求 Savings Plans 建议生成 | 写入 |
ce:UpdateAnomalyMonitor
|
授予权限以更新现有异常监控 | Write |
ce:UpdateAnomalySubscription
|
授予权限以更新现有异常订阅 | 写入 |
ce:UpdateCostAllocationTagsStatus
|
授予权限以更新现有成本分配标签状态 | 写入 |
ce:UpdateNotificationSubscription |
授予权限以更新预留到期提醒 | 写入 |
ce:UpdatePreferences
|
授予权限以编辑 Cost Explorer 首选项页面 | 写入 |
cur:PutClassicReportPreferences
|
授予启用经典报告的权限 | 写入 |
freetier:PutFreeTierAlertPreference
|
授予设置 Amazon Web Services 中国区免费套餐 警报首选项的权限(通过电子邮件地址) | 写入 |
invoicing:PutInvoiceEmailDeliveryPreferences
|
授予权限以更新发票电子邮件发送首选项 | 写入 |
payments:CreatePaymentInstrument |
授予创建付款方式的权限 | 写入 |
payments:DeletePaymentInstrument |
授予删除付款方式的权限 | 写入 |
payments:MakePayment
|
授予付款、验证付款、验证付款方式和生成资金申请文件的权限 Advance Pay | 写入 |
payments:UpdatePaymentPreferences
|
授予权限以更新付款首选项,例如首选付款币种、首选付款方式 | 写入 |
映射用于 aws-portal:ModifyPaymentMethods
新操作 | 描述 | 访问级别 |
---|---|---|
account:GetAccountInformation
|
授予检索账户信息的权限 | 读取 |
payments:DeletePaymentInstrument
|
授予删除付款方式的权限 | 写入 |
payments:CreatePaymentInstrument
|
授予创建付款方式的权限 | 写入 |
payments:MakePayment
|
授予付款、验证付款、验证付款方式和生成资金申请文件的权限 Advance Pay | 写入 |
payments:UpdatePaymentPreferences
|
授予权限以更新付款首选项,例如首选付款币种、首选付款方式 | 写入 |
映射用于 purchase-orders:ViewPurchaseOrders
新操作 | 描述 | 访问级别 |
---|---|---|
invoicing:GetInvoicePDF
|
授予获取发票的权限 PDF | 获取 |
payments:ListPaymentPreferences
|
授予权限以获取付款首选项,例如首选付款币种、首选付款方式 | 列出 |
purchase-orders:GetPurchaseOrder
|
授予获取采购订单的权限 | 读取 |
purchase-orders:ListPurchaseOrderInvoices |
授予查看采购订单和详细信息的权限 | 列出 |
purchase-orders:ListPurchaseOrders
|
授予获取所有可用采购订单的权限 | 列出 |
映射用于 purchase-orders:ModifyPurchaseOrders
新操作 | 描述 | 访问级别 |
---|---|---|
purchase-orders:AddPurchaseOrder |
授予权限以添加采购订单 | 写入 |
purchase-orders:DeletePurchaseOrder
|
授予权限以删除采购订单。 | 写入 |
purchase-orders:UpdatePurchaseOrder
|
授予更新现有采购订单的权限 | 写入 |
purchase-orders:UpdatePurchaseOrderStatus
|
授予设置采购订单状态的权限 | 写入 |