Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Migration der Zugriffskontrolle für AWS Billing
**Anmerkung**
Für die folgenden AWS Identity and Access Management (IAM-) Aktionen wurde der Standardsupport im Juli 2023 eingestellt:
Namespace `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Wenn Sie verwenden AWS Organizations, können Sie die Bulk [Policy Migrator-Skripte oder den Bulk Policy Migrator](migrate-iam-permissions.md) verwenden, um die Richtlinien von Ihrem Zahlerkonto aus zu aktualisieren. Sie können auch die [Referenz zur Zuordnung detaillierter IAM-Aktionen](migrate-granularaccess-iam-mapping-reference.md) verwenden, um die IAM-Aktionen zu überprüfen, die hinzugefügt werden müssen.
Wenn Sie über einen am oder nach dem 6. März 2023 AWS-Konto, 11:00 Uhr (PDT) AWS Organizations erstellten verfügen oder Teil eines solchen sind, sind die detaillierten Maßnahmen in Ihrer Organisation bereits wirksam.
Sie können detaillierte Zugriffskontrollen verwenden, um Einzelpersonen in Ihrer Organisation Zugriff auf Dienste zu gewähren. AWS Fakturierung und Kostenmanagement Sie können beispielsweise den Zugriff auf den Cost Explorer bereitstellen, ohne Zugriff auf die Fakturierungs- und Kostenmanagement-Konsole zu gewähren.
Um die detaillierten Zugriffskontrollen verwenden zu können, müssen Sie Ihre Richtlinien von `aws-portal` auf die neuen IAM-Aktionen migrieren.
Die folgenden IAM-Aktionen in Ihren Berechtigungsrichtlinien oder Service-Kontrollrichtlinien (SCP) müssen bei dieser Migration aktualisiert werden:
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
Informationen dazu, wie Sie das Tool **Betroffene Richtlinien** verwenden können, um Ihre betroffenen IAM-Richtlinien zu identifizieren, finden Sie unter [Wie Sie das Tool für betroffene Richtlinien verwenden](migrate-security-iam-tool.md).
**Anmerkung**
Der API-Zugriff auf AWS Cost Explorer, AWS Kosten- und Nutzungsberichte sowie AWS Budgets bleiben davon unberührt.
[Aktivieren des Zugriffs auf die Konsole für Fakturierung und Kostenmanagement](control-access-billing.md#ControllingAccessWebsite-Activate) bleiben unverändert.
**Topics**
+ [Verwalten von Zugriffsberechtigungen](#migrate-control-access-billing)
+ [Verwenden Sie die Konsole für die Massenmigration Ihrer Richtlinien](migrate-granularaccess-console.md)
+ [Wie Sie das Tool für betroffene Richtlinien verwenden](migrate-security-iam-tool.md)
+ [Verwenden Sie Skripte, um Ihre Richtlinien auf einmal zu migrieren, damit detaillierte IAM-Aktionen verwendet werden können](migrate-iam-permissions.md)
+ [Referenz zur Zuordnung detaillierter IAM-Aktionen](migrate-granularaccess-iam-mapping-reference.md)
## Verwalten von Zugriffsberechtigungen
AWS Billing ist in den AWS Identity and Access Management (IAM) -Service integriert, sodass Sie kontrollieren können, wer in Ihrer Organisation auf bestimmte Seiten in der [Billing and Cost Management-Konsole](https://console.aws.amazon.com/billing/) zugreifen kann. Dazu gehören Features wie Zahlungen, Abrechnung, Gutschriften, kostenloses Kontingent, Zahlungseinstellungen, konsolidierte Abrechnung, Steuereinstellungen und Kontoseiten.
Verwenden Sie die folgenden IAM-Berechtigungen zur differenzierten Steuerung der Fakturierungs- und Kostenmanagement-Konsole.
Um einen detaillierten Zugriff zu ermöglichen, ersetzen Sie die `aws-portal`-Richtlinie durch `account`, `billing`, `payments`, `freetier`, `invoicing`, `tax`, und `consolidatedbilling`.
Ersetzen Sie zusätzlich `purchase-orders:ViewPurchaseOrders` und `purchase-orders:ModifyPurchaseOrders` durch die detaillierten Aktionen aus `purchase-orders`, `account`, und `payments`.
### Mithilfe detaillierter Aktionen AWS Billing
Diese Tabelle fasst die Berechtigungen zusammen, die IAM-Benutzern und -Rollen den Zugriff auf Ihre Fakturierungsinformationen gewähren oder verweigern. Beispiele für Richtlinien, die diese Berechtigungen benutzen, finden Sie unter [AWS Beispiele für Abrechnungsrichtlinien](billing-example-policies.md).
Eine Liste der Aktionen für die AWS Cost Management Konsole finden Sie unter [AWS Cost Management Aktionsrichtlinien](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#user-permissions) im *AWS Cost Management Benutzerhandbuch*.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html)
# Verwenden Sie die Konsole für die Massenmigration Ihrer Richtlinien
**Anmerkung**
Für die folgenden AWS Identity and Access Management (IAM-) Aktionen wurde der Standardsupport im Juli 2023 eingestellt:
Namespace `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Wenn Sie verwenden AWS Organizations, können Sie die Bulk [Policy Migrator-Skripte oder den Bulk Policy Migrator](migrate-iam-permissions.md) verwenden, um die Richtlinien von Ihrem Zahlerkonto aus zu aktualisieren. Sie können auch die [Referenz zur Zuordnung detaillierter IAM-Aktionen](migrate-granularaccess-iam-mapping-reference.md) verwenden, um die IAM-Aktionen zu überprüfen, die hinzugefügt werden müssen.
Wenn Sie über einen am oder nach dem 6. März 2023 AWS-Konto, 11:00 Uhr (PDT) AWS Organizations erstellten verfügen oder Teil eines solchen sind, sind die detaillierten Maßnahmen in Ihrer Organisation bereits wirksam.
In diesem Abschnitt wird beschrieben, wie Sie die [AWS Fakturierung und Kostenmanagement Konsole](https://console.aws.amazon.com/billing/) verwenden können, um Ihre alten Richtlinien von Ihren Unternehmenskonten oder Standardkonten zu den detaillierten Aktionen in großen Mengen zu migrieren. Sie können die Migration Ihrer älteren Richtlinien mithilfe der Konsole auf zwei Arten abschließen:
**Verwenden des von AWS empfohlenen Migrationsprozesses**
Dabei handelt es sich um einen optimierten Einzelaktionsprozess, bei dem Sie ältere Aktionen auf die detaillierten Aktionen migrieren, die von zugeordnet sind. AWS Weitere Informationen finden Sie unter [Verwenden der empfohlenen Aktionen zur Massenmigration älterer Richtlinien](migrate-console-streamlined.md).
**Verwenden Sie den maßgeschneiderten Migrationsprozess**
Dieser Prozess ermöglicht es Ihnen, die AWS vor der Massenmigration empfohlenen Maßnahmen zu überprüfen und zu ändern sowie festzulegen, welche Konten in Ihrer Organisation migriert werden. Weitere Informationen finden Sie unter [Anpassen von Aktionen zur Massenmigration älterer Richtlinien](migrate-console-customized.md).
## Voraussetzungen für die Massenmigration mithilfe der Konsole
Für beide Migrationsoptionen müssen Sie in der Konsole Ihre Zustimmung geben, sodass Sie den von Ihnen zugewiesenen IAM-Vorgängen differenzierte Aktionen empfehlen AWS können. Dazu müssen Sie sich als [IAM-Principal mit den folgenden IAM-Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) bei Ihrem AWS Konto anmelden, um mit den Richtlinienaktualisierungen fortzufahren.
------
#### [ Management account ]
```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced",
"aws-portal:UpdateConsoleActionSetEnforced",
"purchase-orders:UpdateConsoleActionSetEnforced",
"iam:GetAccountAuthorizationDetails",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:CreateFunction",
"lambda:InvokeFunction",
"lambda:RemovePermission",
"scheduler:GetSchedule",
"scheduler:DeleteSchedule",
"scheduler:CreateSchedule",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:CreateStackSet",
"cloudformation:CreateStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStackSets",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:ListStacks",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:CreateStack",
"cloudformation:UpdateStackInstances",
"cloudformation:UpdateStackSet",
"cloudformation:DescribeStacks",
"ec2:DescribeRegions",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"iam:GenerateOrganizationsAccessReport",
"iam:GetOrganizationsAccessReport",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"organizations:ListAccountsForParent",
"organizations:ListRoots",
"sts:AssumeRole",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:GetInlinePolicyForPermissionSet",
"sso:DescribePermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sso:ProvisionPermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```
------
#### [ Member account or standard account ]
```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced", // Not needed for member account
"aws-portal:UpdateConsoleActionSetEnforced", // Not needed for member account
"purchase-orders:UpdateConsoleActionSetEnforced", // Not needed for member account
"iam:GetAccountAuthorizationDetails",
"ec2:DescribeRegions",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```
------
**Topics**
+ [Voraussetzungen für die Massenmigration mithilfe der Konsole](#migrate-granularaccess-console-prereq)
+ [Verwenden der empfohlenen Aktionen zur Massenmigration älterer Richtlinien](migrate-console-streamlined.md)
+ [Anpassen von Aktionen zur Massenmigration älterer Richtlinien](migrate-console-customized.md)
+ [Ihre Änderungen an der Massenmigrationsrichtlinie rückgängig machen](migrate-console-rollback.md)
+ [Bestätigung Ihrer Migration](#migrate-console-complete)
# Verwenden der empfohlenen Aktionen zur Massenmigration älterer Richtlinien
Sie können alle Ihre alten Richtlinien migrieren, indem Sie die detaillierten Aktionen verwenden, die von zugeordnet sind. AWS Denn AWS Organizations dies gilt für alle veralteten Richtlinien für alle Konten. Sobald Sie Ihren Migrationsprozess abgeschlossen haben, sind die detaillierten Maßnahmen wirksam. Sie haben die Möglichkeit, den Massenmigrationsprozess mithilfe von Testkonten zu testen, bevor Sie Ihre gesamte Organisation verpflichten. Weitere Informationen finden Sie im folgenden Abschnitt.
**Um all Ihre Richtlinien mithilfe detaillierter Aktionen zu migrieren, die von AWS**
1. Melden Sie sich an der [AWS-Managementkonsole](https://console.aws.amazon.com/) an.
1. Geben Sie in die Suchleiste oben auf der Seite **Bulk Policy Migrator** ein.
1. **Wählen Sie auf der Seite **Neue IAM-Aktionen verwalten** die Option Bestätigen und migrieren aus.**
1. Bleiben Sie auf der Seite **Migration wird ausgeführt**, bis die Migration abgeschlossen ist. Informationen zum Fortschritt finden Sie in der Statusleiste.
1. Sobald der Abschnitt **Migration in Bearbeitung** auf **Erfolgreiche Migration** aktualisiert wird, werden Sie zur Seite **Neue IAM-Aktionen verwalten** weitergeleitet.
## Testen Sie Ihre Massenmigration
Sie können die Massenmigration von veralteten Richtlinien zu AWS empfohlenen, detaillierten Aktionen mithilfe von Testkonten testen, bevor Sie sich zur Migration Ihrer gesamten Organisation verpflichten. Sobald Sie den Migrationsprozess für Ihre Testkonten abgeschlossen haben, werden die detaillierten Aktionen auf Ihre Testkonten angewendet.
**Um Ihre Testkonten für die Massenmigration zu verwenden**
1. Melden Sie sich an der [AWS-Managementkonsole](https://console.aws.amazon.com/) an.
1. Geben Sie in die Suchleiste oben auf der Seite **Bulk Policy Migrator** ein.
1. Wählen Sie auf der Seite **Neue IAM-Aktionen verwalten** die Option **Anpassen** aus.
1. Sobald die Konten und Richtlinien in der Tabelle **Konten migrieren** geladen sind, wählen Sie ein oder mehrere Testkonten aus der AWS Kontenliste aus.
1. (Optional) Um die Zuordnung zwischen Ihrer alten Richtlinie und den AWS empfohlenen detaillierten Aktionen zu ändern, wählen Sie **Standardzuordnung anzeigen**. **Ändern Sie die Zuordnung und wählen Sie Speichern.**
1. Wählen Sie **Bestätigen und migrieren**.
1. Bleiben Sie auf der Konsolenseite, bis die Migration abgeschlossen ist.
# Anpassen von Aktionen zur Massenmigration älterer Richtlinien
Sie können Ihre Massenmigration auf verschiedene Arten anpassen, anstatt die AWS empfohlene Aktion für alle Ihre Konten zu verwenden. Sie haben die Möglichkeit, alle Änderungen, die an Ihren alten Richtlinien erforderlich sind, vor der Migration zu überprüfen, bestimmte Konten in Ihren Organizations auszuwählen, die gleichzeitig migriert werden sollen, und den Zugriffsbereich zu ändern, indem Sie die zugewiesenen, detaillierten Aktionen aktualisieren.
**Um Ihre betroffenen Richtlinien vor der Massenmigration zu überprüfen**
1. Melden Sie sich an der [AWS-Managementkonsole](https://console.aws.amazon.com/) an.
1. Geben Sie in die Suchleiste oben auf der Seite **Bulk Policy Migrator** ein.
1. **Wählen Sie auf der Seite **Neue IAM-Aktionen verwalten** die Option Anpassen aus.**
1. Sobald die Konten und Richtlinien in der Tabelle **Konten migrieren** geladen sind, wählen Sie die Zahl in der Spalte **Anzahl der betroffenen IAM-Richtlinien** aus, um die betroffenen Richtlinien anzuzeigen. Sie können auch sehen, wann diese Richtlinie zuletzt für den Zugriff auf die Billing and Cost Management Management-Konsolen verwendet wurde.
1. Wählen Sie einen Richtliniennamen, um sie in der IAM-Konsole zu öffnen, Definitionen einzusehen und die Richtlinie manuell zu aktualisieren.
**Hinweise**
Dadurch werden Sie möglicherweise von Ihrem aktuellen Konto abgemeldet, wenn die Richtlinie von einem anderen Mitgliedskonto stammt.
Sie werden nicht zur entsprechenden IAM-Seite weitergeleitet, wenn für Ihr aktuelles Konto eine Massenmigration durchgeführt wird.
1. (Optional) Wählen Sie „**Standardzuordnung anzeigen“**, um sich die älteren Richtlinien anzusehen und die detaillierte Richtlinie zu verstehen, die von zugeordnet wurde. AWS
**Um eine Gruppe von Konten aus Ihrer Organisation zu migrieren, wählen Sie diese aus**
1. Melden Sie sich an der [AWS-Managementkonsole](https://console.aws.amazon.com/) an.
1. Geben Sie in die Suchleiste oben auf der Seite **Bulk Policy Migrator** ein.
1. Wählen Sie auf der Seite **Neue IAM-Aktionen verwalten** die Option **Anpassen** aus.
1. Sobald die Konten und Richtlinien in der Tabelle **Konten migrieren** geladen sind, wählen Sie ein oder mehrere Konten für die Migration aus.
1. Wählen Sie **Bestätigen und migrieren** aus.
1. Bleiben Sie auf der Konsolenseite, bis die Migration abgeschlossen ist.
**Um den Zugriffsbereich zu ändern, indem Sie die abgebildeten, detaillierten Aktionen aktualisieren**
1. Melden Sie sich an der [AWS-Managementkonsole](https://console.aws.amazon.com/) an.
1. Geben Sie in die Suchleiste oben auf der Seite **Bulk Policy Migrator** ein.
1. **Wählen Sie auf der Seite **Neue IAM-Aktionen verwalten** die Option Anpassen aus.**
1. Wählen Sie **Standardzuordnung anzeigen** aus.
1. Wählen Sie **Bearbeiten** aus.
1. Fügen Sie IAM-Aktionen für die Billing and Cost Management Kostenmanagement-Services hinzu, auf die Sie den Zugriff kontrollieren möchten, oder entfernen Sie sie. Weitere Informationen zu detaillierten Aktionen und dem damit gesteuerten Zugriff finden Sie unter. [Referenz zur Zuordnung detaillierter IAM-Aktionen](migrate-granularaccess-iam-mapping-reference.md)
1. Wählen Sie **Änderungen speichern ** aus.
Die aktualisierte Zuordnung wird für alle future Migrationen von dem Konto verwendet, bei dem Sie angemeldet sind. Dies kann jederzeit geändert werden.
# Ihre Änderungen an der Massenmigrationsrichtlinie rückgängig machen
Sie können alle Richtlinienänderungen, die Sie während der Massenmigration vorgenommen haben, mithilfe der im Massenmigrationstool angegebenen Schritte sicher rückgängig machen. Die Rollback-Funktion funktioniert auf Kontoebene. Sie können Richtlinienaktualisierungen für alle Konten oder für bestimmte Gruppen migrierter Konten rückgängig machen. Sie können jedoch keine Änderungen für bestimmte Richtlinien in einem Konto rückgängig machen.
**Um Änderungen bei der Massenmigration rückgängig zu machen**
1. Melden Sie sich an der [AWS-Managementkonsole](https://console.aws.amazon.com/) an.
1. Geben Sie in die Suchleiste oben auf der Seite **Bulk Policy Migrator** ein.
1. Wählen Sie auf der Seite **Neue IAM-Aktionen verwalten** die Registerkarte **Rollback-Änderungen** aus.
1. Wählen Sie alle Konten aus, für die ein Rollback durchgeführt werden soll. Die Konten müssen in der Spalte **Rollback-Status `Migrated`** angezeigt werden.
1. Wählen Sie die **Schaltfläche „Änderungen rückgängig machen“**.
1. Bleiben Sie auf der Konsolenseite, bis das Rollback abgeschlossen ist.
## Bestätigung Ihrer Migration
Mithilfe des Migrationstools können Sie feststellen, ob AWS Organizations Konten noch migriert werden müssen.
**Um zu überprüfen, ob alle Konten migriert wurden**
1. Melden Sie sich an der [AWS-Managementkonsole](https://console.aws.amazon.com/) an.
1. Geben Sie in die Suchleiste oben auf der Seite **Bulk Policy Migrator** ein.
1. Wählen Sie auf der Seite **Neue IAM-Aktionen verwalten** den Tab **Konten migrieren** aus.
Alle Konten wurden erfolgreich migriert, wenn in der Tabelle keine verbleibenden Konten angezeigt werden.
# Wie Sie das Tool für betroffene Richtlinien verwenden
**Anmerkung**
Für die folgenden AWS Identity and Access Management (IAM-) Aktionen wurde der Standardsupport im Juli 2023 eingestellt:
Namespace `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Wenn Sie verwenden AWS Organizations, können Sie die Bulk [Policy Migrator-Skripte oder den Bulk Policy Migrator](migrate-iam-permissions.md) verwenden, um die Richtlinien von Ihrem Zahlerkonto aus zu aktualisieren. Sie können auch die [Referenz zur Zuordnung detaillierter IAM-Aktionen](migrate-granularaccess-iam-mapping-reference.md) verwenden, um die IAM-Aktionen zu überprüfen, die hinzugefügt werden müssen.
Wenn Sie über einen am oder nach dem 6. März 2023 AWS-Konto, 11:00 Uhr (PDT) AWS Organizations erstellten verfügen oder Teil eines solchen sind, sind die detaillierten Maßnahmen in Ihrer Organisation bereits wirksam.
Sie können das Tool **Betroffene Richtlinien** in der Abrechnungskonsole verwenden, um IAM-Richtlinien (ausgenommen SCPs) zu identifizieren und auf die IAM-Aktionen zu verweisen, die von dieser Migration betroffen sind. Verwenden Sie das Tool **Betroffene Richtlinien**, um die folgenden Aufgaben auszuführen:
+ Identifizieren Sie die IAM-Richtlinien und verweisen Sie auf die IAM-Aktionen, die von dieser Migration betroffen sind.
+ Kopieren Sie die aktualisierte Richtlinie in Ihre Zwischenablage.
+ Öffnen Sie die betroffene Richtlinie im IAM-Richtlinien-Editor.
+ Speichern Sie die aktualisierte Richtlinie für Ihr Konto.
+ Schalten Sie die detaillierten Berechtigungen ein und deaktivieren Sie die alten Aktionen.
Dieses Tool funktioniert innerhalb der Grenzen des AWS Kontos, mit dem Sie angemeldet sind, und Informationen zu anderen AWS Organizations Konten werden nicht weitergegeben.
**Wie Sie das das Tool für betroffene Richtlinien verwenden**
1. Melden Sie sich bei an AWS-Managementkonsole und öffnen Sie die AWS Fakturierung und Kostenmanagement Konsole unter [https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/).
1. Fügen Sie die folgende URL in Ihren Browser ein, um auf das Tool für **betroffene Richtlinien** zuzugreifen: [https://console.aws.amazon.com/poliden/home?region=us-east-1#/](https://console.aws.amazon.com/poliden/home?region=us-east-1#/).
**Anmerkung**
Sie müssen über die Berechtigung `iam:GetAccountAuthorizationDetails` verfügen, um diese Seite einzusehen.
1. Sehen Sie sich die Tabelle an, in der die betroffenen IAM-Richtlinien aufgeführt sind. Verwenden Sie die Spalte **Deprecated IAM actions** (Veraltete IAM-Aktionen), um bestimmte IAM-Aktionen zu überprüfen, auf die in einer Richtlinie verwiesen wird.
1. Wählen Sie in der Spalte **Aktualisierte Richtlinie kopieren** die Option **Kopieren** aus, um die aktualisierte Richtlinie in Ihre Zwischenablage zu kopieren. Die aktualisierte Richtlinie enthält die bestehende Richtlinie und die vorgeschlagenen detaillierten Aktionen, die ihr als separater `Sid`-Block angehängt sind. Dieser Block hat das Präfix `AffectedPoliciesMigrator` am Ende der Richtlinie.
1. Wählen Sie in der Spalte **Richtlinie in der IAM-Konsole bearbeiten** die Option **Bearbeiten** aus, um zum IAM-Richtlinien-Editor zu wechseln. Sie sehen den JSON-Code Ihrer bestehenden Richtlinie.
1. Ersetzen Sie die gesamte bestehende Richtlinie durch die aktualisierte Richtlinie, die Sie in Schritt 4 kopiert haben. Sie können nach Bedarf weitere Änderungen vornehmen.
1. Wählen Sie **Weiter** und dann **Änderungen speichern** aus.
1. Wiederholen Sie die Schritte 3 bis 7 für alle betroffenen Richtlinien.
1. Nachdem Sie Ihre Richtlinien aktualisiert haben, aktualisieren Sie das Tool **Betroffene Richtlinien**, um sicherzustellen, dass keine betroffenen Richtlinien aufgeführt sind. In der Spalte **Neue IAM-Aktionen gefunden** sollte für alle Richtlinien der Wert **Ja** stehen und die Schaltflächen **Kopieren** und **Bearbeiten** sind deaktiviert. Ihre betroffenen Richtlinien wurden aktualisiert.
**So aktivieren Sie detaillierte Aktionen für Ihr Konto**
Gehen Sie nach der Aktualisierung Ihrer Richtlinien wie folgt vor, um die detaillierten Aktionen für Ihr Konto zu aktivieren.
Nur das Verwaltungskonto (Zahler) einer Organisation oder einzelne Konten können den Abschnitt **Neue IAM-Aktionen verwalten** verwenden. Ein einzelnes Konto kann die neuen Aktionen für sich selbst aktivieren. Ein Verwaltungskonto kann neue Aktionen für die gesamte Organisation oder für eine Teilmenge von Mitgliedskonten ermöglichen. Wenn Sie ein Verwaltungskonto haben, aktualisieren Sie die betroffenen Richtlinien für alle Mitgliedskonten und aktivieren Sie die neuen Aktionen für Ihre Organisation. Weitere Informationen finden Sie unter [Wie kann ich Konten zwischen neuen detaillierten Aktionen und bestehenden IAM-Aktionen umschalten](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/#How-to-toggle-accounts-between-new-fine-grained-actions-or-existing-IAM-Actions)? Abschnitt im Blogbeitrag. AWS
**Anmerkung**
Um die auszuführen, müssen Sie über die folgenden Berechtigungen verfügen:
`aws-portal:GetConsoleActionSetEnforced`
`aws-portal:UpdateConsoleActionSetEnforced`
`ce:GetConsoleActionSetEnforced`
`ce:UpdateConsoleActionSetEnforced`
`purchase-orders:GetConsoleActionSetEnforced`
`purchase-orders:UpdateConsoleActionSetEnforced`
Wenn Sie den Abschnitt **Neue IAM-Aktionen verwalten** nicht sehen, bedeutet dies, dass Ihr Konto die detaillierten IAM-Aktionen bereits aktiviert hat.
1. Unter **Neue IAM-Aktionen verwalten** erhält die Einstellung **Aktueller erzwungener Aktionssatz** den Status **Bestehend**.
Wählen Sie **Neue Aktionen aktivieren (Fine Grained)** und anschließend **Änderungen anwenden**.
1. Wählen Sie im Dialogfeld **Yes (Ja)** aus. Der Status **Aktueller erzwungener Aktionssatz** ändert sich in **Fine Grained**. Das bedeutet, dass die neuen Aktionen für Ihr AWS-Konto oder Ihre Organisation erzwungen werden.
1. (Optional) Anschließend können Sie Ihre bestehenden Richtlinien aktualisieren, um alle alten Aktionen zu entfernen.
**Example Beispiel: Vor und nach der IAM-Richtlinie**
Die folgende IAM-Richtlinie hat die alte `aws-portal:ViewPaymentMethods`-Aktion.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
}
]
}
```
Nachdem Sie die aktualisierte Richtlinie kopiert haben, enthält das folgende Beispiel den neuen `Sid`-Block mit den detaillierten Aktionen.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
},
{
"Sid": "AffectedPoliciesMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"invoicing:GetInvoicePDF",
"payments:GetPaymentInstrument",
"payments:GetPaymentStatus",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}
]
}
```
## Zugehörige Ressourcen
Weitere Informationen finden Sie unter [Seite](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu den neuen detaillierten Aktionen finden Sie in der [Referenz zur Zuordnung detaillierter IAM-Aktionen](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html) und unter [Benutzen detaillierter Abrechnungsaktionen](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html#migrate-user-permissions).
# Verwenden Sie Skripte, um Ihre Richtlinien auf einmal zu migrieren, damit detaillierte IAM-Aktionen verwendet werden können
**Anmerkung**
Für die folgenden AWS Identity and Access Management (IAM-) Aktionen wurde der Standardsupport im Juli 2023 eingestellt:
Namespace `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Wenn Sie verwenden AWS Organizations, können Sie die Bulk [Policy Migrator-Skripte oder den Bulk Policy Migrator](#migrate-iam-permissions) verwenden, um die Richtlinien von Ihrem Zahlerkonto aus zu aktualisieren. Sie können auch die [Referenz zur Zuordnung detaillierter IAM-Aktionen](migrate-granularaccess-iam-mapping-reference.md) verwenden, um die IAM-Aktionen zu überprüfen, die hinzugefügt werden müssen.
Wenn Sie über einen am oder nach dem 6. März 2023 AWS-Konto, 11:00 Uhr (PDT) AWS Organizations erstellten verfügen oder Teil eines solchen sind, sind die detaillierten Maßnahmen in Ihrer Organisation bereits wirksam.
Zur Migration Ihrer IAM-Richtlinien auf die neuen Aktionen, die so genannten detaillierten Aktionen, können Sie Skripte von der Website [AWS -Samples](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles) verwenden.
Sie führen diese Skripte auf dem Zahlerkonto Ihrer Organisation aus, um die folgenden betroffenen Richtlinien in Ihrer Organisation zu ermitteln, die die alten IAM-Aktionen verwenden:
+ Vom Kunden verwaltete IAM-Richtlinien
+ IAM-Inline-Richtlinien für Rollen, Gruppen und Benutzer
+ Richtlinien zur Dienstkontrolle (SCPs) (gilt nur für das Konto des Zahlers)
+ Berechtigungssätze
Die Skripte generieren Vorschläge für neue Aktionen, die existierenden Aktionen entsprechen, die in der Richtlinie verwendet werden. Anschließend überprüfen Sie die Vorschläge und fügen mithilfe der Skripte die neuen Aktionen für alle betroffenen Richtlinien in Ihrer Organisation hinzu. Sie müssen weder verwaltete noch AWS verwaltete Richtlinien SCPs (z. B. AWS Control Tower und AWS Organizations SCPs) aktualisieren. AWS
Sie verwenden diese Skripte, um:
+ Optimieren Sie die Richtlinienaktualisierungen, damit Sie die betroffenen Richtlinien vom Konto des Zahlers aus verwalten können.
+ Reduzieren Sie den Zeitraum, den Sie für die Aktualisierung der Richtlinien benötigen. Sie müssen sich nicht bei jedem Mitgliedskonto anmelden und die Richtlinien manuell aktualisieren.
+ Gruppieren Sie identische Richtlinien aus verschiedenen Mitgliedskonten. Sie können dann dieselben Updates für alle identischen Richtlinien überprüfen und anwenden, anstatt sie einzeln zu überprüfen.
+ Stellen Sie sicher, dass der Benutzerzugriff auch nach der AWS Einstellung der alten IAM-Aktionen am 6. Juli 2023 nicht beeinträchtigt wird.
Weitere Informationen zu Richtlinien und Richtlinien zur Dienststeuerung (SCPs) finden Sie in den folgenden Themen:
+ [Verwalten von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) im *IAM-Benutzerhandbuch*
+ [Richtlinien zur Dienststeuerung (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations Benutzerhandbuch*
+ [Benutzerdefinierte Berechtigungen](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetcustom.html) im *IAM Identity Center-Benutzerhandbuch*
## -Übersicht
Halten Sie sich an dieses Thema, um die folgenden Schritte auszuführen:
**Topics**
+ [-Übersicht](#overview-bulk-migrate-policies)
+ [Voraussetzungen](#prerequisites-running-the-scripts)
+ [Schritt 1: Einrichten Ihrer Umgebung](#set-up-your-environment-and-download-the-scripts)
+ [Schritt 2: Erstellen Sie das CloudFormation StackSet](#create-the-cloudformation-stack)
+ [Schritt 3: Identifizieren der betroffenen Richtlinien](#identify-the-affected-policies)
+ [Schritt 4: Überprüfen der vorgeschlagenen Änderungen](#review-the-affected-policies)
+ [Schritt 5: Aktualisieren der betroffenen Richtlinien](#update-the-affected-policies)
+ [Schritt 6: Ihre Änderungen rückgängig machen (optional)](#revert-changes)
+ [Beispiele für IAM-Richtlinien](#examples-of-similar-policies)
## Voraussetzungen
Bevor Sie beginnen, müssen Sie Folgendes tun:
+ [Python 3](https://www.python.org/downloads/) herunterladen und installieren
+ Melden Sie sich bei Ihrem Zahlerkonto an und stellen Sie sicher, dass Sie über einen IAM-Prinzipal mit den folgenden IAM-Berechtigungen verfügen:
```
"iam:GetAccountAuthorizationDetails",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"sso:DescribePermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"sso:GetInlinePolicyForPermissionSet",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:ProvisionPermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sts:AssumeRole"
```
**Tipp**
Zu Beginn empfehlen wir Ihnen, eine Teilmenge eines Kontos zu verwenden, z. B. ein Testkonto, um zu überprüfen, ob die vorgeschlagenen Änderungen erwartet werden.
Anschließend können Sie die Skripte für die verbleibenden Konten in Ihrer Organisation erneut ausführen.
## Schritt 1: Einrichten Ihrer Umgebung
Laden Sie zunächst die erforderlichen Dateien von der [AWS -Samples](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles)-Website herunter. Anschließend führen Sie Befehle aus, um Ihre Umgebung einzurichten.
**Einrichten Ihrer Umgebung**
1. Klonen Sie das Repository von der [AWS -Samples](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles)-Website. Führen Sie im Befehlszeilen-Fenster den folgenden Befehl aus:
```
git clone https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles.git
```
1. Navigieren Sie zu dem Verzeichnis, in das Sie die Dateien heruntergeladen haben. Sie können folgenden Befehl verwenden:
```
cd bulk-policy-migrator-scripts-for-account-cost-billing-consoles
```
Im Repository können Sie die folgenden Skripte und Ressourcen finden:
+ `billing_console_policy_migrator_role.json`— Die CloudFormation Vorlage, mit der die `BillingConsolePolicyMigratorRole` IAM-Rolle in Mitgliedskonten Ihrer Organisation erstellt wird. Diese Rolle ermöglicht es den Skripten, die Rolle zu übernehmen und dann die betroffenen Richtlinien zu lesen und zu aktualisieren.
+ `action_mapping_config.json`— Enthält die one-to-many Zuordnung der alten Aktionen zu den neuen Aktionen. Die Skripte verwenden diese Datei, um die neuen Aktionen für jede betroffene Richtlinie vorzuschlagen, die die alten Aktionen enthält.
Jede alte Aktion entspricht mehreren detaillierten Aktionen. Die in der Datei vorgeschlagenen neuen Aktionen bieten Benutzern AWS-Services vor der Migration Zugriff auf dieselben.
+ `identify_affected_policies.py` – Scannt und identifiziert die betroffenen Richtlinien in Ihrer Organisation. Dieses Skript generiert eine `affected_policies_and_suggestions.json`-Datei, in der die betroffenen Richtlinien zusammen mit den vorgeschlagenen neuen Aktionen aufgeführt sind.
Betroffene Richtlinien, die dieselben alten Aktionen verwenden, werden in der JSON-Datei zusammengefasst, sodass Sie die vorgeschlagenen neuen Aktionen überprüfen oder aktualisieren können.
+ `update_affected_policies.py` – Aktualisiert die betroffenen Richtlinien in Ihrer Organisation. Das Skript gibt die `affected_policies_and_suggestions.json`-Datei ein und fügt dann die vorgeschlagenen neuen Aktionen zu den Richtlinien hinzu.
+ `rollback_affected_policies.py` – (Optional) Macht Änderungen rückgängig, die an den betroffenen Richtlinien vorgenommen wurden. Dieses Skript entfernt die neuen, detaillierten Aktionen aus den betroffenen Richtlinien.
1. Sie können die folgenden Befehle ausführen, um die virtuelle Umgebung einzurichten und zu aktivieren.
```
python3 -m venv venv
```
```
source venv/bin/activate
```
1. Führen Sie den folgenden Befehl aus, um die AWS SDK für Python (Boto3) Abhängigkeit zu installieren.
```
pip install -r requirements.txt
```
**Anmerkung**
Sie müssen Ihre AWS Anmeldeinformationen für die Verwendung von AWS Command Line Interface (AWS CLI) konfigurieren. Weitere Informationen finden Sie unter [AWS SDK für Python (Boto3)](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/credentials.html).
Weitere Informationen finden Sie in der Datei [README.md](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles#readme).
## Schritt 2: Erstellen Sie das CloudFormation StackSet
Gehen Sie wie folgt vor, um ein CloudFormation *Stack-Set* zu erstellen. Dieses Stack-Set erstellt dann die IAM-Rolle `BillingConsolePolicyMigratorRole` für alle Mitgliedskonten Ihrer Organisation.
**Anmerkung**
Sie müssen diesen Schritt nur einmal vom Verwaltungskonto (Zahlerkonto) aus ausführen.
**Um das zu erstellen CloudFormation StackSet**
1. Öffnen Sie die `billing_console_policy_migrator_role.json` Datei in einem Texteditor und ersetzen Sie jede Instanz von *``* durch die Konto-ID des Zahlerkontos (z. B.*123456789012*).
1. Speichern Sie die Datei.
1. Melden Sie sich AWS-Managementkonsole als Zahlerkonto an.
1. Erstellen Sie in der CloudFormation Konsole ein Stack-Set mit der `billing_console_policy_migrator_role.json` Datei, die Sie aktualisiert haben.
Weitere Informationen finden Sie im *AWS CloudFormation Benutzerhandbuch* unter [Erstellen eines Stack-Sets auf der AWS CloudFormation Konsole](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html).
Nach CloudFormation der Erstellung des Stack-Sets hat jedes Mitgliedskonto in Ihrer Organisation eine `BillingConsolePolicyMigratorRole` IAM-Rolle.
Die IAM-Rolle enthält die folgenden Berechtigungen:
```
"iam:GetAccountAuthorizationDetails",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion"
```
**Hinweise**
Für jedes Mitgliedskonto rufen die Skripts den [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)API-Vorgang auf, um temporäre Anmeldeinformationen für die Übernahme der `BillingConsolePolicyMigratorRole` IAM-Rolle abzurufen.
Die Skripts rufen den [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)API-Vorgang auf, um alle Mitgliedskonten abzurufen.
Die Skripte rufen auch IAM-API-Vorgänge auf, um die Lese- und Schreibberechtigungen für die Richtlinien auszuführen.
## Schritt 3: Identifizieren der betroffenen Richtlinien
Nachdem Sie das Stack-Set erstellt und die Dateien heruntergeladen haben, führen Sie das `identify_affected_policies.py`-Skript aus. Dieses Skript übernimmt die `BillingConsolePolicyMigratorRole`-IAM-Rolle für jedes Mitgliedskonto und identifiziert dann die betroffenen Richtlinien.
**So identifizieren Sie die betroffenen Richtlinien**
1. Navigieren Sie zu dem Verzeichnis, in das Sie die Skripte heruntergeladen haben.
```
cd policy_migration_scripts/scripts
```
1. Führen Sie das `identify_affected_policies.py`-Skript aus.
Sie können auch die folgenden Eingabeparameter verwenden:
+ AWS-Konten dass Sie möchten, dass das Skript scannt. Verwenden Sie die folgenden Eingabeparameter, um Konten anzugeben:
+ `--all` – Scannt alle Mitgliedskonten Ihrer Organisation.
```
python3 identify_affected_policies.py --all
```
+ `--accounts` – Scannt eine Teilgruppe der Mitgliedskonten Ihrer Organisation.
```
python3 identify_affected_policies.py --accounts 111122223333, 444455556666, 777788889999
```
+ `--exclude-accounts` – Schließt bestimmte Mitgliedskonten Ihrer Organisation aus.
```
python3 identify_affected_policies.py --all --exclude-accounts 111111111111, 222222222222, 333333333333
```
+ ` –-action-mapping-config-file` – (Optional) Gibt den Pfad zur `action_mapping_config.json`-Datei an. Das Skript verwendet diese Datei, um Vorschläge für Aktualisierungen der betroffenen Richtlinien zu generieren. Wenn Sie den Pfad nicht angeben, verwendet das Skript die `action_mapping_config.json`-Datei im Ordner.
```
python3 identify_affected_policies.py –-action-mapping-config-file c:\Users\username\Desktop\Scripts\action_mapping_config.json –-all
```
**Anmerkung**
Mit diesem Skript können Sie keine Organisationseinheiten (OUs) angeben.
Nachdem Sie das Skript ausgeführt haben, erstellt es zwei JSON-Dateien in einem `Affected_Policies_`-Ordner:
+ `affected_policies_and_suggestions.json`
+ `detailed_affected_policies.json`
**`affected_policies_and_suggestions.json`**
Listet die betroffenen Richtlinien mit den vorgeschlagenen neuen Maßnahmen auf. Betroffene Richtlinien, die dieselben alten Aktionen verwenden, sind in der Datei zusammengefasst.
Diese Datei enthält die folgenden Abschnitte:
+ Metadaten, die einen Überblick über die Konten bieten, die Sie im Skript angegeben haben, einschließlich:
+ Gescannte Konten und der für das `identify_affected_policies.py`-Skript verwendete Eingabeparameter
+ Anzahl der betroffenen Konten
+ Anzahl der betroffenen Policen
+ Anzahl ähnlicher Richtliniengruppen
+ Ähnliche Richtliniengruppen – Enthält die Liste der Konten und Richtlinienndetails, einschließlich der folgenden Abschnitte:
+ `ImpactedPolicies` – Gibt an, welche Richtlinien betroffen und in der Gruppe enthalten sind
+ `ImpactedPolicyStatements` – Stellt Informationen zu den `Sid`-Blöcken bereit, die derzeit die alten Aktionen in der betroffenen Richtlinie verwenden. Dieser Abschnitt enthält die alten Aktionen und IAM-Elemente wie `Effect`, `Principal`, `NotPrincipal`, `NotAction` und `Condition`.
+ `SuggestedPolicyStatementsToAppend` – Stellt die vorgeschlagenen neuen Aktionen bereit, die als neuer `SID`-Block hinzugefügt werden.
Wenn Sie die Richtlinien aktualisieren, wird dieser Block an das Ende der Richtlinien angehängt.
**Example `affected_policies_and_suggestions.json`-Beispieldatei**
In dieser Datei werden Richtlinien zusammengefasst, die sich auf der Grundlage der folgenden Kriterien ähneln:
+ Es werden dieselben alten Aktionen verwendet – Richtlinien, die in allen `SID`-Blöcken dieselben alten Aktionen haben.
+ Übereinstimmende Details – Zusätzlich zu den betroffenen Aktionen enthalten die Richtlinien identische IAM-Elemente, wie zum Beispiel:
+ `Effect` (`Allow`/`Deny`)
+ `Principal` (wem wird der Zugriff gewährt oder verweigert)
+ `NotAction` (welche Aktionen sind nicht erlaubt)
+ `NotPrincipal` (wem wird der Zugriff explizit verweigert)
+ `Resource`(für welche AWS Ressourcen die Richtlinie gilt)
+ `Condition` (alle spezifischen Bedingungen, unter denen die Richtlinie gilt)
Weitere Informationen finden Sie unter [Beispiele für IAM-Richtlinien](#examples-of-similar-policies).
**Example Beispiel-`affected_policies_and_suggestions.json`**
```
[{
"AccountsScanned": [
"111111111111",
"222222222222"
],
"TotalAffectedAccounts": 2,
"TotalAffectedPolicies": 2,
"TotalSimilarPolicyGroups": 2
},
{
"GroupName": "Group1",
"ImpactedPolicies": [{
"Account": "111111111111",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-Allow",
"PolicyIdentifier": "1111111_1-user:Inline-Test-Policy-Allow"
},
{
"Account": "222222222222",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-Allow",
"PolicyIdentifier": "222222_1-group:Inline-Test-Policy-Allow"
}
],
"ImpactedPolicyStatements": [
[{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccounts"
],
"Resource": "*"
}]
],
"SuggestedPolicyStatementsToAppend": [{
"Sid": "BillingConsolePolicyMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"account:GetAlternateContact",
"account:GetChallengeQuestions",
"account:GetContactInformation",
"billing:GetContractInformation",
"billing:GetIAMAccessPreference",
"billing:GetSellerOfRecord",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}]
},
{
"GroupName": "Group2",
"ImpactedPolicies": [{
"Account": "111111111111",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-deny",
"PolicyIdentifier": "1111111_2-user:Inline-Test-Policy-deny"
},
{
"Account": "222222222222",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-deny",
"PolicyIdentifier": "222222_2-group:Inline-Test-Policy-deny"
}
],
"ImpactedPolicyStatements": [
[{
"Sid": "VisualEditor0",
"Effect": "deny",
"Action": [
"aws-portal:ModifyAccount"
],
"Resource": "*"
}]
],
"SuggestedPolicyStatementsToAppend": [{
"Sid": "BillingConsolePolicyMigrator1",
"Effect": "Deny",
"Action": [
"account:CloseAccount",
"account:DeleteAlternateContact",
"account:PutAlternateContact",
"account:PutChallengeQuestions",
"account:PutContactInformation",
"billing:PutContractInformation",
"billing:UpdateIAMAccessPreference",
"payments:UpdatePaymentPreferences"
],
"Resource": "*"
}]
}
]
```
**`detailed_affected_policies.json`**
Enthält die Definition aller betroffenen Richtlinien, die das `identify_affected_policies.py`-Skript für Mitgliedskonten identifiziert hat.
In der Datei werden ähnliche Richtlinien zusammengefasst. Sie können diese Datei als Referenz verwenden, sodass Sie Richtlinienänderungen überprüfen und verwalten können, ohne sich bei jedem Mitgliedskonto anmelden zu müssen, um die Aktualisierungen für jede Richtlinie und jedes Konto einzeln zu überprüfen.
Sie können die Datei nach dem Richtliniennamen durchsuchen (z. B. `YourCustomerManagedReadOnlyAccessBillingUser`) und dann die betroffenen Richtliniendefinitionen überprüfen.
**Example Beispiel: `detailed_affected_policies.json`**
## Schritt 4: Überprüfen der vorgeschlagenen Änderungen
Nachdem das Skript die `affected_policies_and_suggestions.json`-Datei erstellt hat, überprüfen Sie sie und nehmen alle Änderungen vor.
**So überprüfen Sie die betroffenen Richtlinien**
1. Öffnen Sie die Datei `affected_policies_and_suggestions.json` in einem Texteditor.
1. Stellen Sie in dem `AccountsScanned`-Abschnitt sicher, dass die Anzahl ähnlicher Gruppen, die in den gescannten Konten identifiziert wurden, erwartet wird.
1. Prüfen Sie die vorgeschlagenen detaillierten Maßnahmen, die zu den betroffenen Richtlinien hinzugefügt werden.
1. Aktualisieren Sie Ihre Datei nach Bedarf und speichern Sie sie dann.
### Beispiel 1: Aktualisieren der `action_mapping_config.json`-Datei
Sie können die vorgeschlagenen Zuordnungen in der `action_mapping_config.json` aktualisieren. Nachdem Sie die Datei aktualisiert haben, können Sie das `identify_affected_policies.py`-Skript erneut ausführen. Dieses Skript generiert aktualisierte Vorschläge für die betroffenen Richtlinien.
Sie können mehrere Versionen der `action_mapping_config.json`-Datei erstellen, um die Richtlinien für verschiedene Konten mit unterschiedlichen Berechtigungen zu ändern. Sie könnten beispielsweise eine Datei mit dem Namen `action_mapping_config_testing.json` erstellen, um die Berechtigungen für Ihre Testkonten und `action_mapping_config_production.json` für Ihre Produktionskonten zu migrieren.
### Beispiel 2: Aktualisieren der `affected_policies_and_suggestions.json`-Datei
Um Änderungen an den vorgeschlagenen Ersetzungen für eine bestimmte betroffene Richtliniengruppe vorzunehmen, können Sie den Abschnitt „Ersatzvorschläge“ in der `affected_policies_and_suggestions.json`-Datei direkt bearbeiten.
Alle Änderungen, die Sie in diesem Abschnitt vornehmen, werden auf alle Richtlinien innerhalb der jeweiligen betroffenen Richtliniengruppe angewendet.
### Beispiel 3: Anpassen einer bestimmten Richtlinie
Wenn Sie feststellen, dass eine Richtlinie innerhalb einer betroffenen Richtliniengruppe andere Änderungen als die vorgeschlagenen Aktualisierungen benötigt, können Sie wie folgt vorgehen:
+ Schließt bestimmte Konten aus dem `identify_affected_policies.py`-Skript aus. Sie können diese ausgeschlossenen Konten dann separat überprüfen.
+ Aktualisieren Sie die betroffenen `Sid`-Blöcke, indem Sie die betroffenen Richtlinien und Konten entfernen, für die unterschiedliche Berechtigungen erforderlich sind. Erstellen Sie einen JSON-Block, der nur die spezifischen Konten enthält oder sie von der aktuellen Ausführung der Richtlinie ausschließt, die von der Aktualisierung betroffen ist.
Wenn Sie das `identify_affected_policies.py`-Skript erneut ausführen, werden nur die entsprechenden Konten im aktualisierten Block angezeigt. Anschließend können Sie die Ersatzvorschläge für diesen bestimmten `Sid`-Block verfeinern.
## Schritt 5: Aktualisieren der betroffenen Richtlinien
Nachdem Sie die Ersatzvorschläge überprüft und verfeinert haben, führen Sie das `update_affected_policies.py`-Skript aus. Das Skript verwendet die `affected_policies_and_suggestions.json`-Datei als Eingabe. Dieses Skript übernimmt die `BillingConsolePolicyMigratorRole`-IAM-Rolle, um die in der `affected_policies_and_suggestions.json`-Datei aufgeführten betroffenen Richtlinien zu aktualisieren.
**So aktualisieren Sie die betroffenen Richtlinien**
1. Wenn Sie dies noch nicht getan haben, öffnen Sie ein Befehlszeilenfenster für die AWS CLI.
1. Geben Sie den folgenden Befehl ein, um das `update_affected_policies.py`-Skript auszuführen. Sie können die folgenden Eingabeparameter eingeben:
+ Der Verzeichnispfad der `affected_policies_and_suggestions.json`-Datei, die eine Liste der betroffenen Richtlinien enthält, die aktualisiert werden sollen. Diese Datei ist eine Ausgabe des vorherigen Schritts.
```
python3 update_affected_policies.py --affected-policies-directory Affected_Policies_
```
Das `update_affected_policies.py`-Skript aktualisiert die betroffenen Richtlinien in der `affected_policies_and_suggestions.json`-Datei mit den vorgeschlagenen neuen Aktionen. Das Skript fügt den Richtlinien einen `Sid` Block hinzu, der als identifiziert ist`BillingConsolePolicyMigrator#`, wobei *\$1* dies einem inkrementellen Zähler entspricht (z. B. 1, 2, 3).
Wenn die betroffene Richtlinie beispielsweise mehrere `Sid`-Blöcke enthält, die alte Aktionen verwenden, fügt das Skript mehrere `Sid`-Blöcke hinzu, die als `BillingConsolePolicyMigrator#` erscheinen, um jedem `Sid`-Block zu entsprechen.
**Wichtig**
Das Skript entfernt keine alten IAM-Aktionen aus den Richtlinien und ändert auch keine vorhandenen `Sid`-Blöcke in den Richtlinien. Stattdessen werden `Sid`-Blöcke erstellt und an das Ende der Richtlinie angehängt. Diese neuen `Sid`-Blöcke enthalten die vorgeschlagenen neuen Aktionen aus der JSON-Datei. Dadurch wird sichergestellt, dass die Berechtigungen der ursprünglichen Richtlinien nicht geändert werden.
Wir raten davon ab, den Namen der `BillingConsolePolicyMigrator#`-`Sid`-Blöcke zu ändern, falls Sie Ihre Änderungen rückgängig machen müssen.
**Example Beispiel: Richtlinie mit angehängten `Sid`-Blöcken**
Sehen Sie sich die angefügten `Sid`-Blöcke in den `BillingConsolePolicyMigrator1`- und `BillingConsolePolicyMigrator2`-Blöcken an.
Das Skript generiert einen Statusbericht, der erfolglose Vorgänge enthält, und gibt die JSON-Datei lokal aus.
**Example Beispiel: Statusbericht**
```
[{
"Account": "111111111111",
"PolicyType": "Customer Managed Policy"
"PolicyName": "AwsPortalViewPaymentMethods",
"PolicyIdentifier": "identifier",
"Status": "FAILURE", // FAILURE or SKIPPED
"ErrorMessage": "Error message details"
}]
```
**Wichtig**
Wenn Sie die `identify_affected_policies.py`- und `update_affected_policies.py` -Skripte erneut ausführen, überspringen sie alle Richtlinien, die den `BillingConsolePolicyMigratorRole#`-`Sid`-Block enthalten. Die Skripte gehen davon aus, dass diese Richtlinien zuvor gescannt und aktualisiert wurden und dass keine zusätzlichen Updates erforderlich sind. Dadurch wird verhindert, dass das Skript dieselben Aktionen in der Richtlinie dupliziert.
Nachdem Sie die betroffenen Richtlinien aktualisiert haben, können Sie das neue IAM verwenden, indem Sie das Tool für betroffene Richtlinien verwenden. Wenn Sie Probleme feststellen, können Sie das Tool verwenden, um zu den vorherigen Aktionen zurückzukehren. Sie können auch ein Skript verwenden, um Ihre Richtlinienaktualisierungen rückgängig zu machen.
Weitere Informationen finden Sie unter [Wie Sie das Tool für betroffene Richtlinien verwenden](migrate-security-iam-tool.md) und im Blogbeitrag [Änderungen an den Berechtigungen für AWS Fakturierung, Kostenmanagement und Kontokonsolen](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/).
Um Ihre Aktualisierungen zu verwalten, können Sie:
Die Skripte für jedes Konto einzeln ausführen.
Das Skript stapelweise für ähnliche Konten ausführen, z. B. für Test-, QA- und Produktionskonten.
Das Skript für alle Konten ausführen.
Wählen Sie eine Mischung aus der stapelweisen Aktualisierung einiger Konten und der anschließenden einzelnen Aktualisierung anderer Konten.
## Schritt 6: Ihre Änderungen rückgängig machen (optional)
Das `rollback_affected_policies.py`-Skript macht die Änderungen rückgängig, die auf jede betroffene Richtlinie für die angegebenen Konten angewendet wurden. Das Skript entfernt alle `Sid`-Blöcke, die das `update_affected_policies.py`-Skript angehängt hat. Diese `Sid`-Blöcke haben das `BillingConsolePolicyMigratorRole#`-Format.
**So machen Sie Ihre Änderungen rückgängig**
1. Wenn Sie dies noch nicht getan haben, öffnen Sie ein Befehlszeilenfenster für die AWS CLI.
1. Geben Sie den folgenden Befehl ein, um das `rollback_affected_policies.py`-Skript auszuführen. Sie können die folgenden Eingabeparameter eingeben:
+ `--accounts`
+ Gibt eine durch Kommas getrennte Liste der Elemente an AWS-Konto IDs , die Sie in das Rollback aufnehmen möchten.
+ Das folgende Beispiel scannt die Richtlinien in der angegebenen Liste und entfernt alle Anweisungen AWS-Konten, die den Block enthalten. `BillingConsolePolicyMigrator#` `Sid`
```
python3 rollback_affected_policies.py –-accounts 111122223333, 555555555555, 666666666666
```
+ `--all`
+ Schließt alle AWS-Konto IDs in Ihrer Organisation ein.
+ Im folgenden Beispiel werden die Richtlinien in Ihrer Organisation gescannt und alle Anweisungen entfernt, die den `BillingConsolePolicyMigratorRole#`-`Sid`-Block enthalten.
```
python3 rollback_affected_policies.py –-all
```
+ `--exclude-accounts`
+ Gibt eine durch Kommas getrennte Liste der Elemente an AWS-Konto IDs , die Sie vom Rollback ausschließen möchten.
Sie können diesen Parameter nur verwenden, wenn Sie auch den `--all`-Parameter angeben.
+ Im folgenden Beispiel werden die Richtlinien für alle AWS-Konten in Ihrer Organisation gescannt, mit Ausnahme der angegebenen Konten.
```
python3 rollback_affected_policies.py --all --exclude-accounts 777777777777, 888888888888, 999999999999
```
## Beispiele für IAM-Richtlinien
Richtlinien gelten als ähnlich, wenn Folgendes identisch ist:
+ Betroffene Aktionen in allen `Sid`-Blöcken.
+ Details bei folgenden IAM-Elementen:
+ `Effect` (`Allow`/`Deny`)
+ `Principal` (wem wird der Zugriff gewährt oder verweigert)
+ `NotAction` (welche Aktionen sind nicht erlaubt)
+ `NotPrincipal` (wem wird der Zugriff explizit verweigert)
+ `Resource`(für welche AWS Ressourcen die Richtlinie gilt)
+ `Condition` (alle spezifischen Bedingungen, unter denen die Richtlinie gilt)
Die folgenden Beispiele zeigen Richtlinien, die IAM aufgrund ihrer Unterschiede als ähnlich oder nicht ähnlich betrachten könnte.
**Example Beispiel 1: Richtlinien werden als ähnlich angesehen**
Jeder Richtlinientyp ist anders, aber beide Richtlinien enthalten einen `Sid`-Block mit derselben betroffenen `Action`.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
**Example Beispiel 2: Richtlinien werden als ähnlich angesehen**
Beide Richtlinien enthalten einen `Sid`-Block mit derselben betroffenen `Action`. Richtlinie 2 enthält zusätzliche Aktionen, aber diese Aktionen sind nicht betroffen.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing",
"athena:*"
],
"Resource": "*"
}]
}
```
**Example Beispiel 3: Richtlinien werden als ähnlich angesehen**
Beide Richtlinien enthalten einen `Sid`-Block mit derselben betroffenen `Action`. Richtlinie 2 enthält jedoch ein `Condition`-Element, das in Richtlinie 1 nicht vorhanden ist.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing",
"athena:*"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "true"
}
}
}]
}
```
**Example Beispiel 4: Richtlinien werden als ähnlich angesehen**
Richtlinie 1 hat einen einzigen `Sid`-Block mit einer betroffenen `Action`. Richtlinie 2 hat mehrere `Sid`-Blöcke, aber die betroffene `Action` erscheint nur in einem Block.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"cloudtrail:Get*"
],
"Resource": "*"
}
]
}
```
**Example Beispiel 5: Richtlinien werden als ähnlich angesehen**
Richtlinie 1 hat einen einzigen `Sid`-Block mit einer betroffenen `Action`. Richtlinie 2 besteht aus mehreren `Sid`-Blöcken, und die betroffenen `Action` werden in mehreren Blöcken angezeigt.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*"
],
"Resource": "*"
}
]
}
```
**Example Beispiel 6: Richtlinien werden als ähnlich angesehen**
Beide Richtlinien bestehen aus mehreren `Sid`-Blöcken, und in jedem `Sid`-Block befindet sich dieselbe betroffene `Action`.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"iam:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"iam:Update*"
],
"Resource": "*"
}
]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"athena:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"athena:Update*"
],
"Resource": "*"
}
]
}
```
**Example Beispiel 7**
Die folgenden beiden Richtlinien werden nicht als ähnlich angesehen.
Richtlinie 1 hat einen einzigen `Sid`-Block mit einer betroffenen `Action`. Richtlinie 2 hat einen `Sid`-Block mit derselben betroffenen `Action`. Richtlinie 2 enthält jedoch auch einen weiteren `Sid`-Block mit unterschiedlichen Aktionen.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"iam:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"iam:Update*"
],
"Resource": "*"
}
]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"athena:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:*Billing",
"athena:Update*"
],
"Resource": "*"
}
]
}
```
# Referenz zur Zuordnung detaillierter IAM-Aktionen
**Anmerkung**
Für die folgenden AWS Identity and Access Management (IAM-) Aktionen wurde der Standardsupport im Juli 2023 eingestellt:
Namespace `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Wenn Sie verwenden AWS Organizations, können Sie die Bulk [Policy Migrator-Skripte oder den Bulk Policy Migrator](migrate-iam-permissions.md) verwenden, um die Richtlinien von Ihrem Zahlerkonto aus zu aktualisieren. Sie können auch die [Referenz zur Zuordnung detaillierter IAM-Aktionen](#migrate-granularaccess-iam-mapping-reference) verwenden, um die IAM-Aktionen zu überprüfen, die hinzugefügt werden müssen.
Wenn Sie über einen am oder nach dem 6. März 2023 AWS-Konto, 11:00 Uhr (PDT) AWS Organizations erstellten verfügen oder Teil eines solchen sind, sind die detaillierten Maßnahmen in Ihrer Organisation bereits wirksam.
Sie müssen die folgenden IAM-Aktionen in Ihre Berechtigungsrichtlinien oder Service-Kontrollrichtlinien (SCP) migrieren:
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
In diesem Thema können Sie die Zuordnung der alten zu den neuen detaillierten Aktionen für jede IAM-Aktion, die wir außer Betrieb nehmen, einsehen.
**-Übersicht**
1. Überprüfen Sie Ihre betroffenen IAM-Richtlinien in Ihrem AWS-Konto. Befolgen Sie dazu die Schritte im Tool **Betroffene Richtlinien**, um Ihre betroffenen IAM-Richtlinien zu identifizieren. Siehe [Wie Sie das Tool für betroffene Richtlinien verwenden](migrate-security-iam-tool.md).
1. Verwenden Sie die IAM-Konsole, um die neuen differenzierten Berechtigungen zu Ihrer Richtlinie hinzuzufügen. Wenn Ihre Richtlinie beispielsweise die Berechtigung `purchase-orders:ModifyPurchaseOrders` zulässt, müssen Sie jede Aktion in der Tabelle [Zuordnung für purchase-orders:ModifyPurchaseOrders](#mapping-for-purchase-ordersmodifypurchaseorders) hinzufügen.
**Alte Richtlinie**
Mit der folgenden Richtlinie kann ein Benutzer beliebige Bestellungen im Konto hinzufügen, löschen oder ändern.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "purchase-orders:ModifyPurchaseOrders",
"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
}
]
}
```
------
**Neue Richtlinie**
Mit der folgenden Richtlinie kann ein Benutzer außerdem jede Bestellung im Konto hinzufügen, löschen oder ändern. Beachten Sie, dass jede differenzierte Berechtigung nach der alten Berechtigung `purchase-orders:ModifyPurchaseOrders` angezeigt wird. Diese Berechtigungen geben Ihnen mehr Kontrolle darüber, welche Aktionen Sie zulassen oder ablehnen möchten.
**Tipp**
Wir empfehlen Ihnen, die alten Berechtigungen beizubehalten, um sicherzustellen, dass Sie keine Berechtigungen verlieren, bis diese Migration abgeschlossen ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"purchase-orders:ModifyPurchaseOrders",
"purchase-orders:AddPurchaseOrder",
"purchase-orders:DeletePurchaseOrder",
"purchase-orders:UpdatePurchaseOrder",
"purchase-orders:UpdatePurchaseOrderStatus"
],
"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
}
]
}
```
------
1. Speichern Sie Ihre Änderungen.
**Hinweise**
Informationen zum manuellen Bearbeiten von Richtlinien in der IAM-Konsole finden Sie unter [Bearbeiten von vom Kunden verwalteten Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console) im *IAM-Benutzerhandbuch*.
Informationen zur Massenmigration Ihrer IAM-Richtlinien zur Verwendung differenzierter Aktionen (neuer Aktionen) finden Sie unter [Verwenden Sie Skripte, um Ihre Richtlinien auf einmal zu migrieren, damit detaillierte IAM-Aktionen verwendet werden können](migrate-iam-permissions.md).
**Contents**
+ [Zuordnung für aws-portal:ViewAccount](#mapping-for-aws-portalviewaccount)
+ [Zuordnung für aws-portal:ViewBilling](#mapping-for-aws-portalviewbilling)
+ [Zuordnung für aws-portal:ViewPaymentMethods](#mapping-for-aws-portalviewpaymentmethods)
+ [Zuordnung für aws-portal:ViewUsage](#mapping-for-aws-portalviewusage)
+ [Zuordnung für aws-portal:ModifyAccount](#mapping-for-aws-portalmodifyaccount)
+ [Zuordnung für aws-portal:ModifyBilling](#mapping-for-aws-portalmodifybilling)
+ [Zuordnung für aws-portal:ModifyPaymentMethods](#mapping-for-aws-portalmodifypaymentmethods)
+ [Zuordnung für purchase-orders:ViewPurchaseOrders](#mapping-for-purchase-ordersviewpurchaseorders)
+ [Zuordnung für purchase-orders:ModifyPurchaseOrders](#mapping-for-purchase-ordersmodifypurchaseorders)
## Zuordnung für aws-portal:ViewAccount
| Neue Aktion | Description | Zugriffsebene |
| --- | --- | --- |
| account:GetAccountInformation | Gewährt die Berechtigung zum Abrufen der Kontoinformationen für ein Konto | Lesen |
| account:GetAlternateContact | Gewährt die Berechtigung zum Abrufen der alternativen Kontakte für ein Konto | Lesen |
| account:GetContactInformation | Erteilung der Berechtigung zum Abrufen der Hauptkontaktinformationen für ein Konto | Lesen |
| billing:GetContractInformation | Gewährt die Berechtigung zum Einsehen der Vertragsinformationen des Kontos, einschließlich der Vertragsnummer, der Namen der Endbenutzerorganisationen, der Bestellnummern und ob das Konto für die Betreuung von Kunden des öffentlichen Sektors verwendet wird | Lesen |
| billing:GetIAMAccessPreference | Gewährt die Berechtigung zum Abrufen des Status der Rechnungspräferenz IAM-Zugriff zulassen | Lesen |
| billing:GetSellerOfRecord | Gewährt die Berechtigung, den standardmäßig eingetragenen Verkäufer des Kontos abzurufen | Lesen |
| payments:ListPaymentPreferences | Gewährt die Berechtigung, Zahlungspräferenzen zu erhalten (zum Beispiel bevorzugte Zahlungswährung, bevorzugte Zahlungsmethode) | Lesen |
## Zuordnung für aws-portal:ViewBilling
| Neue Aktion | Description | Zugriffsebene |
| --- | --- | --- |
| account:GetAccountInformation | Gewährt die Berechtigung zum Abrufen der Kontoinformationen für ein Konto | Lesen |
| billing:GetBillingData | Gewährt die Berechtigung zum Ausführen von Abfragen zu Abrechnungsinformationen | Lesen |
| billing:GetBillingDetails | Gewährt die Berechtigung zum Anzeigen der Rechnungsinformationen für Einzelposten | Lesen |
| billing:GetBillingNotifications | Erteilt die Erlaubnis, Benachrichtigungen einzusehen, die von gesendet wurden und sich auf die AWS Rechnungsinformationen Ihres Kontos beziehen | Lesen |
| billing:GetBillingPreferences | Gewährt die Berechtigung zum Einsehen der Rechnungspräferenzen, wie Reserved Instances, Savings Plans und Teilen von Guthaben | Lesen |
| billing:GetContractInformation | Gewährt die Berechtigung zum Einsehen der Vertragsinformationen des Kontos, einschließlich der Vertragsnummer, der Namen der Endbenutzerorganisationen, der Bestellnummern und ob das Konto für die Betreuung von Kunden des öffentlichen Sektors verwendet wird | Lesen |
| billing:GetCredits | Gewährt die Berechtigung zum Aufrufen des eingelösten Guthabens | Lesen |
| billing:GetIAMAccessPreference | Gewährt die Berechtigung zum Abrufen des Status der Rechnungspräferenz IAM-Zugriff zulassen | Lesen |
| billing:GetSellerOfRecord | Gewährt die Berechtigung, den standardmäßig eingetragenen Verkäufer des Kontos abzurufen | Lesen |
| billing:ListBillingViews | Gewährt die Berechtigung, Abrechnungsinformationen für Ihre Proforma-Abrechnungsgruppen abzurufen | Auflisten |
| ce:DescribeNotificationSubscription | Gewährt die Berechtigung zum Anzeigen von Warnungen beim Ablauf der Reservierung | Lesen |
| ce:DescribeReport | Gewährt die Berechtigung zum Anzeigen der Berichtsseite für Cost Explorer | Read |
| ce:GetAnomalies | Gewährt die Berechtigung zum Abrufen von Anomalien | Read |
| ce:GetAnomalyMonitors | Gewährt die Berechtigung zum Abfragen von Anomalieüberwachungen | Read |
| ce:GetAnomalySubscriptions | Gewährt die Berechtigung zum Abfragen von Anomalieabonnements | Read |
| ce:GetCostAndUsage | Gewährt die Berechtigung zum Abrufen der Kosten und Nutzungsmetriken für Ihr Konto | Read |
| ce:GetCostAndUsageWithResources | Gewährt die Berechtigung zum Abrufen der Kosten und Nutzungsmetriken mit Ressourcen für Ihr Konto | Lesen |
| ce:GetCostCategories | Gewährt die Berechtigung zum Abfragen der Namen und Werte von Kostenkategorien für einen angegebenen Zeitraum | Lesen |
| ce:GetCostForecast | Gewährt die Berechtigung zum Abrufen einer Kostenschätzung für einen prognostizierten Zeitraum | Read |
| ce:GetDimensionValues | Gewährt die Berechtigung zum Abrufen aller verfügbaren Filterwerte eines Filters für einen bestimmten Zeitraum | Lesen |
| ce:GetPreferences | Gewährt die Berechtigung zum Anzeigen der Einstellungenseite für Cost Explorer | Lesen |
| ce:GetReservationCoverage | Gewährt die Berechtigung zum Abrufen der Reservierungsabdeckung für Ihr Konto | Lesen |
| ce:GetReservationPurchaseRecommendation | Gewährt die Berechtigung zum Abrufen der Reservierungsempfehlungen für Ihr Konto | Read |
| ce:GetReservationUtilization | Gewährt die Berechtigung zum Abrufen der Reservierungsauslastung für Ihr Konto | Read |
| ce:GetRightsizingRecommendation | Gewährt die Berechtigung zum Abrufen der Rightsizing-Empfehlungen für Ihr Konto | Read |
| ce:GetSavingsPlansCoverage | Gewährt die Berechtigung zum Abrufen der Savings Plans für Ihr Konto | Read |
| ce:GetSavingsPlansPurchaseRecommendation | Gewährt die Berechtigung zum Abrufen der Empfehlungen für Savings Plans für Ihr Konto | Read |
| ce:GetSavingsPlansUtilization | Gewährt die Berechtigung zum Abrufen der Savings Plans-Nutzung für Ihr Konto | Read |
| ce:GetSavingsPlansUtilizationDetails | Gewährt die Berechtigung zum Abrufen Savings Plans-Nutzungsdetails für Ihr Konto | Read |
| ce:GetTags | Gewährt die Berechtigung zum Abfragen von Tags für einen bestimmten Zeitraum | Read |
| ce:GetUsageForecast | Gewährt die Berechtigung zum Abrufen einer Nutzungsschätzung für einen prognostizierten Zeitraum | Lesen |
| ce:ListCostAllocationTags | Gewährt die Berechtigung zum Auflisten aller Kostenzuordnungs-Tags | Auflisten |
| ce:ListSavingsPlansPurchaseRecommendationGeneration | Gewährt die Berechtigung zum Abrufen einer Liste Ihrer historischen Empfehlungsgenerationen | Lesen |
| consolidatedbilling:GetAccountBillingRole | Gewährt die Berechtigung zum Erhalten der Kontorolle (Zahler, Verknüpft, Regulär) | Lesen |
| consolidatedbilling:ListLinkedAccounts | Gewährt die Berechtigung zum Erhalten der Liste der Mitglieder- und verknüpften Konten | Auflisten |
| cur:GetClassicReport | Gewährt die Berechtigung zum Abrufen des CSV-Berichts für Ihre Rechnung | Lesen |
| cur:GetClassicReportPreferences | Gewährt die Berechtigung zum Erhalten des klassischen Berichtsaktivierungsstatus für Nutzungsberichte | Lesen |
| cur:ValidateReportDestination | Erteilt die Berechtigung zur Überprüfung, ob der Amazon S3 S3-Bucket mit den entsprechenden Berechtigungen für die AWS CUR-Lieferung vorhanden ist | Lesen |
| freetier:GetFreeTierAlertPreference | Erteilt die Erlaubnis, die bevorzugte Kostenloses AWS-Kontingent Warnmeldung abzurufen (anhand der E-Mail-Adresse) | Lesen |
| freetier:GetFreeTierUsage | Erteilt die Erlaubnis, Kostenloses AWS-Kontingent Nutzungslimits und den month-to-date Nutzungsstatus (MTD) abzurufen | Lesen |
| invoicing:GetInvoiceEmailDeliveryPreferences | Gewährt die Berechtigung zum Erhalten der Einstellungen zur E-Mail-Zustellung von Rechnungen | Lesen |
| invoicing:GetInvoicePDF | Gewährt die Berechtigung zum Erhalten der Rechnungs-PDF | Lesen |
| invoicing:ListInvoiceSummaries | Gewährt die Berechtigung zum Erhalten von zusammenfassenden Rechnungsinformationen für Ihr Konto oder Ihr verknüpftes Konto | Auflisten |
| payments:GetPaymentInstrument | Gewährt die Berechtigung zum Abrufen von Informationen zu einem Zahlungsinstrument | Lesen |
| payments:GetPaymentStatus | Gewährt die Berechtigung, den Zahlungsstatus von Rechnungen abzurufen | Lesen |
| payments:ListPaymentPreferences | Gewährt die Berechtigung, Zahlungspräferenzen zu erhalten (zum Beispiel bevorzugte Zahlungswährung, bevorzugte Zahlungsmethode) | Lesen |
| tax:GetTaxInheritance | Gewährt die Berechtigung zum Anzeigen des Steuererbstatus | Lesen |
| tax:GetTaxRegistrationDocument | Gewährt die Berechtigung zum Herunterladen von Steuerregistrierungsdokumenten | Lesen |
| tax:ListTaxRegistrations | Gewährt die Berechtigung zum Anzeigen der Steuerregistrierung | Lesen |
## Zuordnung für aws-portal:ViewPaymentMethods
| Neue Aktion | Description | Zugriffsebene |
| --- | --- | --- |
| account:GetAccountInformation | Gewährt die Berechtigung zum Abrufen der Kontoinformationen für ein Konto | Lesen |
| invoicing:GetInvoicePDF | Gewährt die Berechtigung zum Erhalten der Rechnungs-PDF | Lesen |
| payments:GetPaymentInstrument | Gewährt die Berechtigung zum Abrufen von Informationen zu einem Zahlungsinstrument | Lesen |
| payments:GetPaymentStatus | Gewährt die Berechtigung, den Zahlungsstatus von Rechnungen abzurufen | Lesen |
| payments:ListPaymentPreferences | Gewährt die Berechtigung, Zahlungspräferenzen zu erhalten (zum Beispiel bevorzugte Zahlungswährung, bevorzugte Zahlungsmethode) | Auflisten |
## Zuordnung für aws-portal:ViewUsage
| Neue Aktion | Description | Zugriffsebene |
| --- | --- | --- |
| cur:GetUsageReport | Erteilt die Berechtigung zum Abrufen einer Liste AWS-Services mit Verwendungsarten und Vorgängen für den Nutzungsbericht-Workflow sowie zum Herunterladen von Nutzungsberichten | Lesen |
## Zuordnung für aws-portal:ModifyAccount
| Neue Aktion | Description | Zugriffsebene |
| --- | --- | --- |
| account:CloseAccount | Gewährt die Berechtigung zum Schließen eines Kontos | Schreiben |
| account:DeleteAlternateContact | Gewährt die Berechtigung zum Löschen der alternativen Kontakte für ein Konto | Schreiben |
| account:PutAlternateContact | Gewährt die Berechtigung zum Ändern der alternativen Kontakte für ein Konto | Schreiben |
| account:PutChallengeQuestions | Gewährt die Berechtigung zum Ändern der Sicherheitsabfragen für ein Konto | Schreiben |
| account:PutContactInformation | Erteilung der Berechtigung zur Aktualisierung der primären Kontaktinformationen für ein Konto | Schreiben |
| billing:PutContractInformation | Gewährt die Berechtigung zum Einrichten der Vertragsinformationen des Kontos, einschließlich der Namen der Endbenutzerorganisationen und ob das Konto für die Betreuung von Kunden des öffentlichen Sektors verwendet wird | Schreiben |
| billing:UpdateIAMAccessPreference | Gewährt die Berechtigung zum Aktualisieren der Rechnungspräferenz IAM-Zugriff zulassen | Schreiben |
| payments:UpdatePaymentPreferences | Gewährt die Berechtigung, Zahlungspräferenzen zu aktualisieren (zum Beispiel bevorzugte Zahlungswährung, bevorzugte Zahlungsmethode) | Schreiben |
## Zuordnung für aws-portal:ModifyBilling
| Neue Aktion | Description | Zugriffsebene |
| --- | --- | --- |
| billing:PutContractInformation | Gewährt die Berechtigung zum Einrichten der Vertragsinformationen des Kontos, einschließlich der Namen der Endbenutzerorganisationen und ob das Konto für die Betreuung von Kunden des öffentlichen Sektors verwendet wird | Schreiben |
| billing:RedeemCredits | Erteilt die Erlaubnis zum Einlösen eines AWS Guthabens | Schreiben |
| billing:UpdateBillingPreferences | Gewährt die Berechtigung zum Aktualisieren der Rechnungspräferenzen, wie Reserved Instances, Savings Plans und Teilen von Guthaben | Schreiben |
| ce:CreateAnomalyMonitor | Gewährt die Berechtigung zum Erstellen einer neuen Anomalieüberwachung | Schreiben |
| ce:CreateAnomalySubscription | Gewährt die Berechtigung zum Erstellen eines neuen Anomalieabonnements | Schreiben |
| ce:CreateNotificationSubscription | Gewährt die Berechtigung zum Erstellen von Warnungen beim Ablauf der Reservierung | Schreiben |
| ce:CreateReport | Gewährt die Berechtigung zum Erstellen von Cost-Explorer-Berichten | Write |
| ce:DeleteAnomalyMonitor | Gewährt die Berechtigung zum Löschen einer Anomalieüberwachung | Write |
| ce:DeleteAnomalySubscription | Gewährt die Berechtigung zum Löschen eines Anomalieabonnements | Schreiben |
| ce:DeleteNotificationSubscription | Gewährt die Berechtigung zum Löschen von Warnungen beim Ablauf der Reservierung | Schreiben |
| ce:DeleteReport | Gewährt die Berechtigung zum Löschen von Cost-Explorer-Berichten | Schreiben |
| ce:ProvideAnomalyFeedback | Gewährt die Berechtigung, Feedback zu erkannten Anomalien zu geben | Schreiben |
| ce:StartSavingsPlansPurchaseRecommendationGeneration | Gewährt die Berechtigung zum Anfordern der Generierung einer Empfehlung für Savings Plans | Schreiben |
| ce:UpdateAnomalyMonitor | Gewährt die Berechtigung zum Aktualisieren einer vorhandenen Anomalieüberwachung | Write |
| ce:UpdateAnomalySubscription | Gewährt die Berechtigung zum Aktualisieren eines vorhandenen Anomalieabonnements | Schreiben |
| ce:UpdateCostAllocationTagsStatus | Gewährt die Berechtigung zum Aktualisieren vorhandener Kostenzuordnungs-Tags-Status | Schreiben |
| ce:UpdateNotificationSubscription | Gewährt die Berechtigung zum Aktualisieren von Warnungen beim Ablauf der Reservierung | Schreiben |
| ce:UpdatePreferences | Gewährt die Berechtigung zum Bearbeiten der Seite Cost-Explorer-Einstellungen | Schreiben |
| cur:PutClassicReportPreferences | Gewährt die Berechtigung zum Aktivieren klassischer Berichte | Schreiben |
| freetier:PutFreeTierAlertPreference | Erteilt die Erlaubnis, die Kostenloses AWS-Kontingent Benachrichtigungseinstellungen festzulegen (nach E-Mail-Adresse) | Schreiben |
| invoicing:PutInvoiceEmailDeliveryPreferences | Gewährt die Berechtigung zum Aktualisieren der Einstellungen zur E-Mail-Zustellung von Rechnungen | Schreiben |
| payments:CreatePaymentInstrument | Gewährt die Berechtigung, ein Zahlungsinstrument zu erstellen | Schreiben |
| payments:DeletePaymentInstrument | Gewährt die Berechtigung, ein Zahlungsinstrument zu löschen | Schreiben |
| payments:MakePayment | Gewährt die Berechtigung, eine Zahlung zu tätigen, eine Zahlung zu authentifizieren, eine Zahlungsmethode zu überprüfen und ein Finanzantragsdokument für Advance Pay zu erstellen | Schreiben |
| payments:UpdatePaymentPreferences | Gewährt die Berechtigung, Zahlungspräferenzen zu aktualisieren (zum Beispiel bevorzugte Zahlungswährung, bevorzugte Zahlungsmethode) | Schreiben |
| tax:BatchPutTaxRegistration | Gewährt die Berechtigung zum gebündelten Aktualisieren von Steuerregistrierungen | Schreiben |
| tax:DeleteTaxRegistration | Gewährt die Berechtigung zum Löschen von Steuerregistrierungsdaten | Schreiben |
| tax:PutTaxInheritance | Gewährt die Berechtigung zum Einrichten des Steuererbes | Schreiben |
## Zuordnung für aws-portal:ModifyPaymentMethods
| Neue Aktion | Description | Zugriffsebene |
| --- | --- | --- |
| account:GetAccountInformation | Gewährt die Berechtigung zum Abrufen der Kontoinformationen für ein Konto | Lesen |
| payments:DeletePaymentInstrument | Gewährt die Berechtigung, ein Zahlungsinstrument zu löschen | Schreiben |
| payments:CreatePaymentInstrument | Gewährt die Berechtigung, ein Zahlungsinstrument zu erstellen | Schreiben |
| payments:MakePayment | Gewährt die Berechtigung, eine Zahlung zu tätigen, eine Zahlung zu authentifizieren, eine Zahlungsmethode zu überprüfen und ein Finanzantragsdokument für Advance Pay zu erstellen | Schreiben |
| payments:UpdatePaymentPreferences | Gewährt die Berechtigung, Zahlungspräferenzen zu aktualisieren (zum Beispiel bevorzugte Zahlungswährung, bevorzugte Zahlungsmethode) | Schreiben |
## Zuordnung für purchase-orders:ViewPurchaseOrders
| Neue Aktion | Description | Zugriffsebene |
| --- | --- | --- |
| invoicing:GetInvoicePDF | Gewährt die Berechtigung zum Erhalten einer Rechnungs-PDF | Get |
| payments:ListPaymentPreferences | Gewährt die Berechtigung, Zahlungspräferenzen zu erhalten (zum Beispiel bevorzugte Zahlungswährung, bevorzugte Zahlungsmethode) | Auflisten |
| purchase-orders:GetPurchaseOrder | Gewährt die Berechtigung zum Abrufen einer Bestellung | Lesen |
| purchase-orders:ListPurchaseOrderInvoices | Gewährt die Berechtigung, Bestellungen und deren Details aufzurufen | Auflisten |
| purchase-orders:ListPurchaseOrders | Gewährt die Berechtigung zum Abrufen aller verfügbaren Bestellungen | Auflisten |
## Zuordnung für purchase-orders:ModifyPurchaseOrders
| Neue Aktion | Description | Zugriffsebene |
| --- | --- | --- |
| purchase-orders:AddPurchaseOrder | Gewährt die Berechtigung zum Hinzufügen einer Bestellung | Schreiben |
| purchase-orders:DeletePurchaseOrder | Gewährt die Berechtigung zum Löschen einer Bestellung. | Schreiben |
| purchase-orders:UpdatePurchaseOrder | Gewährt die Berechtigung zum Aktualisieren einer vorhandenen Bestellung | Schreiben |
| purchase-orders:UpdatePurchaseOrderStatus | Gewährt die Berechtigung zum Einrichten eines Bestellstatus | Schreiben |