Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Migración del control de acceso para AWS Billing
**nota**
Las siguientes acciones AWS Identity and Access Management (IAM) finalizaron el soporte estándar en julio de 2023:
espacio de nombres `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Si las utilizas AWS Organizations, puedes usar los [scripts de migración masiva de políticas o el migrador](migrate-iam-permissions.md) masivo de políticas para actualizar las políticas desde tu cuenta de pagador. También puede utilizar la [referencia de mapeo de acciones de antigua a granular](migrate-granularaccess-iam-mapping-reference.md) para verificar las acciones de IAM que deben agregarse.
Si tienes una Cuenta de AWS o formas parte de una AWS Organizations creada el 6 de marzo de 2023 o después de esa fecha, a las 11:00 a. m. (PDT), las acciones detalladas ya están en vigor en tu organización.
Puede utilizar controles de acceso detallados para proporcionar a las personas de su organización acceso a los servicios. Administración de facturación y costos de AWS Por ejemplo, puede proporcionar acceso al Explorador de costos sin proporcionar acceso a la consola de Administración de facturación y costos.
Para usar los controles de acceso detallados, deberá migrar sus políticas desde el `aws-portal` a las nuevas acciones de IAM.
Las siguientes acciones de IAM en sus políticas de permisos o políticas de control de servicios (SCP) requieren actualización con esta migración:
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
Para obtener información sobre cómo utilizar la herramienta **Políticas afectadas** para identificar las políticas de IAM afectadas, consulte [Cómo usar la herramienta de políticas afectadas](migrate-security-iam-tool.md).
**nota**
El acceso de la API a los AWS Cost Explorer informes de AWS costos y uso y los AWS presupuestos no se ven afectados.
[Activación del acceso a la consola de Administración de facturación y costos](control-access-billing.md#ControllingAccessWebsite-Activate) permanecen sin cambios.
**Topics**
+ [Administración de permisos de acceso](#migrate-control-access-billing)
+ [Uso de la consola para migrar políticas de forma masiva](migrate-granularaccess-console.md)
+ [Cómo usar la herramienta de políticas afectadas](migrate-security-iam-tool.md)
+ [Utilice scripts para migrar de forma masiva sus políticas y utilizar acciones de IAM detalladas](migrate-iam-permissions.md)
+ [Referencia de la asignación de acciones de IAM detalladas](migrate-granularaccess-iam-mapping-reference.md)
## Administración de permisos de acceso
AWS Billing se integra con el servicio AWS Identity and Access Management (IAM) para que pueda controlar qué miembros de su organización pueden acceder a páginas específicas de la [consola de Billing and Cost Management](https://console.aws.amazon.com/billing/). Esto incluye características como Pagos, Facturación, Créditos, Nivel gratuito, Preferencias de pago, Facturación consolidada, Configuración de impuestos y Páginas de cuenta.
Use los siguientes permisos de IAM para el control granular de la consola de Administración de facturación y costos.
Para proporcionar un acceso detallado, sustituya la política de `aws-portal` por `account`, `billing`, `payments`, `freetier`, `invoicing`, `tax`, y `consolidatedbilling`.
Además, reemplace `purchase-orders:ViewPurchaseOrders` y `purchase-orders:ModifyPurchaseOrders` por las acciones detalladas que aparecen en `purchase-orders`, `account` y `payments`.
### Uso de acciones detalladas AWS Billing
Esta tabla resume los permisos que permiten o deniegan a los roles y usuarios de IAM el acceso a su información de facturación. Para ver ejemplos de políticas que utilizan estos permisos, consulte [AWS Ejemplos de políticas de facturación](billing-example-policies.md).
*Para obtener una lista de las acciones de la AWS Cost Management consola, consulte [AWS Cost Management las políticas de acciones](https://docs.aws.amazon.com/cost-management/latest/userguide/billing-permissions-ref.html#user-permissions) en la AWS Cost Management Guía del usuario.*
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html)
# Uso de la consola para migrar políticas de forma masiva
**nota**
Las siguientes acciones AWS Identity and Access Management (IAM) finalizaron el soporte estándar en julio de 2023:
espacio de nombres `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Si las utilizas AWS Organizations, puedes usar los [scripts de migración masiva de políticas o el migrador](migrate-iam-permissions.md) masivo de políticas para actualizar las políticas desde tu cuenta de pagador. También puede utilizar la [referencia de mapeo de acciones de antigua a granular](migrate-granularaccess-iam-mapping-reference.md) para verificar las acciones de IAM que deben agregarse.
Si tienes una Cuenta de AWS o formas parte de una AWS Organizations creada el 6 de marzo de 2023 o después de esa fecha, a las 11:00 a. m. (PDT), las acciones detalladas ya están en vigor en tu organización.
En esta sección, se explica cómo puede utilizar la [consola de Administración de facturación y costos de AWS](https://console.aws.amazon.com/billing/) para migrar de forma masiva políticas heredadas de cuentas de organizaciones o cuentas estándar a las acciones detalladas. Puede completar la migración de las políticas heredadas con la consola de dos maneras:
**Uso del proceso de migración recomendado por AWS**
Se trata de un proceso simplificado y de una sola acción en el que se migran las acciones heredadas a las acciones detalladas según lo asigne AWS. Para obtener más información, consulte [Uso de las acciones recomendadas para migrar de forma masiva las políticas heredadas](migrate-console-streamlined.md).
**Uso del proceso de migración personalizado**
Este proceso te permite revisar y cambiar las acciones recomendadas AWS antes de la migración masiva, así como personalizar las cuentas de tu organización que se van a migrar. Para obtener más información, consulte [Personalización de acciones para migrar de forma masiva las políticas heredadas](migrate-console-customized.md).
## Requisitos previos para la migración masiva con la consola
Ambas opciones de migración requieren tu consentimiento en la consola para AWS poder recomendar acciones específicas a las acciones de IAM heredadas que has asignado. Para ello, tendrás que iniciar sesión en tu AWS cuenta como [director de IAM con las siguientes acciones de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) para continuar con las actualizaciones de la política.
------
#### [ Management account ]
```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced",
"aws-portal:UpdateConsoleActionSetEnforced",
"purchase-orders:UpdateConsoleActionSetEnforced",
"iam:GetAccountAuthorizationDetails",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:CreateFunction",
"lambda:InvokeFunction",
"lambda:RemovePermission",
"scheduler:GetSchedule",
"scheduler:DeleteSchedule",
"scheduler:CreateSchedule",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:CreateStackSet",
"cloudformation:CreateStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStackSets",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:ListStacks",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:CreateStack",
"cloudformation:UpdateStackInstances",
"cloudformation:UpdateStackSet",
"cloudformation:DescribeStacks",
"ec2:DescribeRegions",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"iam:GenerateOrganizationsAccessReport",
"iam:GetOrganizationsAccessReport",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"organizations:ListAccountsForParent",
"organizations:ListRoots",
"sts:AssumeRole",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:GetInlinePolicyForPermissionSet",
"sso:DescribePermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sso:ProvisionPermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```
------
#### [ Member account or standard account ]
```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced", // Not needed for member account
"aws-portal:UpdateConsoleActionSetEnforced", // Not needed for member account
"purchase-orders:UpdateConsoleActionSetEnforced", // Not needed for member account
"iam:GetAccountAuthorizationDetails",
"ec2:DescribeRegions",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```
------
**Topics**
+ [Requisitos previos para la migración masiva con la consola](#migrate-granularaccess-console-prereq)
+ [Uso de las acciones recomendadas para migrar de forma masiva las políticas heredadas](migrate-console-streamlined.md)
+ [Personalización de acciones para migrar de forma masiva las políticas heredadas](migrate-console-customized.md)
+ [Reversión de cambios en la política de migración masiva](migrate-console-rollback.md)
+ [Confirmación de la migración](#migrate-console-complete)
# Uso de las acciones recomendadas para migrar de forma masiva las políticas heredadas
Puede migrar todas sus políticas heredadas mediante las acciones detalladas que asigne AWS. Pues esto AWS Organizations se aplica a todas las políticas antiguas de todas las cuentas. Una vez que complete el proceso de migración, se ejecutarán las acciones detalladas. Puede probar el proceso de migración masiva mediante cuentas de prueba antes de comprometerse a migrar toda la organización. Para más información, consulte la siguiente sección.
**Para migrar todas sus políticas mediante acciones detalladas mapeadas por AWS**
1. Inicie sesión en la [Consola de administración de AWS](https://console.aws.amazon.com/).
1. En la barra de búsqueda situada en la parte superior de la página, introduzca **Bulk Policy Migrator**.
1. En la página **Administrar nuevas acciones de IAM**, seleccione **Confirmar y migrar**.
1. Permanezca en la página **Migración en curso** hasta que se complete la migración. Consulte la barra de estado para ver el progreso.
1. Cuando la sección **Migración en curso** se actualice a **Migración correcta**, se le redirigirá a la página **Administrar nuevas acciones de IAM**.
## Prueba de la migración masiva
Puede probar la migración masiva de las políticas antiguas a las acciones detalladas AWS recomendadas mediante cuentas de prueba antes de comprometerse a migrar toda la organización. Una vez que complete el proceso de migración en las cuentas de prueba, las acciones detalladas se ejecutarán en las cuentas de prueba.
**Uso de cuentas de prueba para la migración masiva**
1. Inicie sesión en la [Consola de administración de AWS](https://console.aws.amazon.com/).
1. En la barra de búsqueda situada en la parte superior de la página, introduzca **Bulk Policy Migrator**.
1. En la página **Gestionar nuevas acciones de IAM**, seleccione **Personalizar**.
1. Una vez que las cuentas y políticas se carguen en la tabla **Migrar cuentas**, seleccione una o más cuentas de prueba de la lista de cuentas. AWS
1. (Opcional) Para cambiar el mapeo entre tu política antigua y las acciones detalladas AWS recomendadas, selecciona **Ver** mapeo predeterminado. Cambie la asignación y elija **Guardar.**
1. Seleccione **Confirmar y migrar**.
1. Permanezca en la página de la consola hasta que se complete la migración.
# Personalización de acciones para migrar de forma masiva las políticas heredadas
Puedes personalizar la migración masiva de varias formas, en lugar de utilizar la acción AWS recomendada para todas tus cuentas. Puede revisar cualquier cambio necesario en las políticas heredadas antes de migrar, elegir cuentas específicas en sus organizaciones para migrarlas a la vez y actualizar las acciones detalladas asignadas para cambiar el rango de acceso.
**Revisión de las políticas afectadas antes de realizar una migración masiva**
1. Inicie sesión en la [Consola de administración de AWS](https://console.aws.amazon.com/).
1. En la barra de búsqueda situada en la parte superior de la página, introduzca **Bulk Policy Migrator**.
1. En la página **Gestionar nuevas acciones de IAM**, seleccione **Personalizar**.
1. Cuando las cuentas y políticas se carguen en la tabla **Migrar cuentas**, seleccione el número que aparece en la columna **Número de políticas de IAM afectadas** para ver las políticas afectadas. También verá cuándo se utilizó una política por última vez para acceder a las consolas de Administración de facturación y costos.
1. Elija un nombre de política para abrirla en la consola de IAM, ver las definiciones y actualizar la política manualmente.
**Notas**
En ese caso, podría cerrar sesión en su cuenta actual si la política procede de la cuenta de otro miembro.
No se le redirigirá a la página de IAM correspondiente si su cuenta actual tiene una migración masiva en curso.
1. (Opcional) Seleccione **Ver asignación predeterminada** para ver las políticas heredadas y entender la política detallada asignada por AWS.
**Migración de un grupo de cuentas para migrarlas desde su organización**
1. Inicie sesión en la [Consola de administración de AWS](https://console.aws.amazon.com/).
1. En la barra de búsqueda situada en la parte superior de la página, introduzca **Bulk Policy Migrator**.
1. En la página **Gestionar nuevas acciones de IAM**, seleccione **Personalizar**.
1. Cuando las cuentas y políticas se carguen en la tabla **Migrar cuentas**, seleccione una o más cuentas para migrar.
1. Seleccione **Confirmar y migrar**.
1. Permanezca en la página de la consola hasta que se complete la migración.
**Actualización de las acciones detalladas asignadas para cambiar el rango de acceso**
1. Inicie sesión en la [Consola de administración de AWS](https://console.aws.amazon.com/).
1. En la barra de búsqueda situada en la parte superior de la página, introduzca **Bulk Policy Migrator**.
1. En la página **Gestionar nuevas acciones de IAM**, seleccione **Personalizar**.
1. Seleccione **Ver asignación predeterminada**.
1. Elija **Edit (Edición de)**.
1. Añada o elimine acciones de IAM para los servicios de Administración de facturación y costos donde desee controlar el acceso. Para obtener más información sobre las acciones detalladas y el acceso que controlan, consulte [Referencia de la asignación de acciones de IAM detalladas](migrate-granularaccess-iam-mapping-reference.md).
1. Seleccione **Save changes (Guardar cambios)**.
La asignación actualizada se usa para todas las futuras migraciones desde la cuenta en la que ha iniciado sesión. Esto se puede cambiar en cualquier momento.
# Reversión de cambios en la política de migración masiva
Puede revertir todos los cambios de política que haya realizado durante el proceso de migración masiva de forma segura. Para ello, siga los pasos que se proporcionan en la herramienta de migración masiva. La característica de reversión funciona a nivel de cuenta. Puede revertir las actualizaciones de las políticas de todas las cuentas o de grupos específicos de cuentas migradas. Sin embargo, no es posible revertir los cambios de políticas específicas de una cuenta.
**Reversión de los cambios de migración masiva**
1. Inicie sesión en la [Consola de administración de AWS](https://console.aws.amazon.com/).
1. En la barra de búsqueda situada en la parte superior de la página, introduzca **Bulk Policy Migrator**.
1. En la página **Administrar nuevas acciones de IAM**, seleccione la pestaña **Revertir cambios**.
1. Seleccione las cuentas que desea revertir. Las cuentas deben mostrar `Migrated` en la columna **Estado de reversión**.
1. Pulse el botón **Revertir cambios**.
1. Permanezca en la página de la consola hasta que se complete la reversión.
## Confirmación de la migración
Puedes ver si hay AWS Organizations cuentas que aún deban migrarse mediante la herramienta de migración.
**Confirmación de la migración de todas las cuentas**
1. Inicie sesión en la [Consola de administración de AWS](https://console.aws.amazon.com/).
1. En la barra de búsqueda situada en la parte superior de la página, introduzca **Bulk Policy Migrator**.
1. En la página **Gestionar nuevas acciones de IAM**, elija la pestaña **Migrar cuentas**.
Si en la tabla no aparecen cuentas, significa que todas las cuentas se han migrado correctamente.
# Cómo usar la herramienta de políticas afectadas
**nota**
Las siguientes acciones AWS Identity and Access Management (IAM) finalizaron el soporte estándar en julio de 2023:
espacio de nombres `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Si las utilizas AWS Organizations, puedes usar los [scripts de migración masiva de políticas o el migrador](migrate-iam-permissions.md) masivo de políticas para actualizar las políticas desde tu cuenta de pagador. También puede utilizar la [referencia de mapeo de acciones de antigua a granular](migrate-granularaccess-iam-mapping-reference.md) para verificar las acciones de IAM que deben agregarse.
Si tienes una Cuenta de AWS o formas parte de una AWS Organizations creada el 6 de marzo de 2023 o después de esa fecha, a las 11:00 a. m. (PDT), las acciones detalladas ya están en vigor en tu organización.
Puedes usar la herramienta **Políticas afectadas** de la consola de facturación para identificar las políticas de IAM (excluidas SCPs) y hacer referencia a las acciones de IAM afectadas por esta migración. Utilice la herramienta **Políticas afectadas** para realizar las siguientes tareas:
+ Identificar las políticas de IAM y hacer referencia a las acciones de IAM afectadas por esta migración
+ Copiar la política actualizada en su portapapeles
+ Abrir la política afectada en el editor de políticas de IAM
+ Guardar la política actualizada para su cuenta
+ Activar los permisos detallados y desactivar las acciones anteriores
Esta herramienta funciona dentro de los límites de la AWS cuenta en la que has iniciado sesión y no se divulga la información relativa a otras AWS Organizations cuentas.
**Cómo utilizar la herramienta Políticas afectadas**
1. Inicia sesión en Consola de administración de AWS y abre la Administración de facturación y costos de AWS consola en [https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/).
1. Pegue la siguiente URL en su navegador para acceder a la herramienta **Políticas afectadas**: [https://console.aws.amazon.com/poliden/home?region=us-east-1#/](https://console.aws.amazon.com/poliden/home?region=us-east-1#/).
**nota**
El permiso `iam:GetAccountAuthorizationDetails` es necesario para consultar esta página.
1. Revise la tabla que enumera las políticas de IAM afectadas. Utilice la columna **Deprecated IAM actions** (Acciones de IAM en desuso) para revisar acciones de IAM específicas a las que se hace referencia en una política.
1. En la columna **Copiar la política actualizada**, seleccione **Copiar** para copiar la política actualizada en el portapapeles. La política actualizada contiene la política existente y las acciones detalladas sugeridas anexas a la misma en un bloque `Sid` separado. Este bloque tiene el prefijo `AffectedPoliciesMigrator` al final de la política.
1. En la columna **Editar política en la consola de IAM**, seleccione **Editar** para ir al editor de políticas de IAM. Verá el JSON de su política actual.
1. Sustituya toda la política existente por la política actualizada que copió en el paso 4. Puede realizar cualquier otro cambio según sea necesario.
1. Elija **Guardar cambios** y después **Probar**.
1. Repita los pasos del 3 al 7 para todas las políticas afectadas.
1. Después de actualizar las políticas, actualice la herramienta **Políticas afectadas** para confirmar que no haya políticas afectadas en la lista. La columna **Nuevas acciones de IAM encontradas** debería indicar **Sí** para todas las políticas y los botones **Copiar** y **Editar** estarán desactivados. Las políticas afectadas están actualizadas.
**Cómo activar acciones detalladas para su cuenta**
Tras actualizar las políticas, siga este procedimiento para habilitar las acciones detalladas en sus cuenta.
Solo la cuenta de administración (pagador) de una organización o cuentas individuales pueden usar la sección **Administrar nuevas acciones de IAM**. Una cuenta individual puede activar las nuevas acciones por sí misma. Una cuenta de administración puede permitir nuevas acciones para toda la organización o para un subconjunto de cuentas de miembros. Si su cuenta es de administración, actualice las políticas afectadas de todas las cuentas de los miembros y active las nuevas acciones para su organización. Para obtener más información, consulta la sección [¿Cómo cambiar las cuentas entre acciones nuevas y específicas o acciones de IAM existentes?](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/#How-to-toggle-accounts-between-new-fine-grained-actions-or-existing-IAM-Actions) sección de la entrada del blog. AWS
**nota**
Para llevar a cabo esta acción, debe tener los siguientes permisos:
`aws-portal:GetConsoleActionSetEnforced`
`aws-portal:UpdateConsoleActionSetEnforced`
`ce:GetConsoleActionSetEnforced`
`ce:UpdateConsoleActionSetEnforced`
`purchase-orders:GetConsoleActionSetEnforced`
`purchase-orders:UpdateConsoleActionSetEnforced`
Si no ve la sección **Administrar nuevas acciones de IAM**, significa que su cuenta ya ha activado las acciones detalladas de IAM.
1. En **Administrar nuevas acciones de IAM**, la configuración **Conjunto de acciones actual aplicado** pasará a tener el estado **Existente**.
Elija **Habilitar nuevas acciones (detalladas)** y, a continuación, elija **Aplicar cambios**.
1. En el cuadro de diálogo, elija **Yes**. El estado **Conjunto de acciones actual aplicado** cambiará a **Detalladas**. Esto significa que las nuevas acciones se aplican para su Cuenta de AWS o para su organización.
1. (Opcional) A continuación, puede actualizar las políticas existentes para eliminar cualquiera de las acciones anteriores.
**Example Ejemplo: antes y después de la política de IAM**
La siguiente política de IAM tiene la acción `aws-portal:ViewPaymentMethods` anterior.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
}
]
}
```
Tras copiar la política actualizada, en el siguiente ejemplo se muestra el nuevo bloque `Sid` con las acciones detalladas.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
},
{
"Sid": "AffectedPoliciesMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"invoicing:GetInvoicePDF",
"payments:GetPaymentInstrument",
"payments:GetPaymentStatus",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}
]
}
```
## Recursos relacionados
Para obtener más información, consulte [Sid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las nuevas acciones detalladas, consulte [Referencia de la asignación de acciones de IAM detalladas](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html) y [Uso de acciones de facturación detalladas](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html#migrate-user-permissions).
# Utilice scripts para migrar de forma masiva sus políticas y utilizar acciones de IAM detalladas
**nota**
Las siguientes acciones AWS Identity and Access Management (IAM) finalizaron el soporte estándar en julio de 2023:
espacio de nombres `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Si las utilizas AWS Organizations, puedes usar los [scripts de migración masiva de políticas o el migrador](#migrate-iam-permissions) masivo de políticas para actualizar las políticas desde tu cuenta de pagador. También puede utilizar la [referencia de mapeo de acciones de antigua a granular](migrate-granularaccess-iam-mapping-reference.md) para verificar las acciones de IAM que deben agregarse.
Si tienes una Cuenta de AWS o formas parte de una AWS Organizations creada el 6 de marzo de 2023 o después de esa fecha, a las 11:00 a. m. (PDT), las acciones detalladas ya están en vigor en tu organización.
Para facilitar la migración de sus políticas de IAM para realizar acciones nuevas, conocidas como acciones detalladas, puede utilizar scripts del sitio web [AWS Samples](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles).
Ejecute estos scripts desde la cuenta del pagador de su organización para identificar las siguientes políticas afectadas de la organización que utilizan las antiguas acciones de IAM:
+ Políticas de IAM administradas por el cliente
+ Políticas de IAM integradas de roles, grupos y usuarios
+ Políticas de control de servicios (SCPs) (se aplican únicamente a la cuenta del pagador)
+ Conjuntos de permisos
Los scripts generan sugerencias de nuevas acciones que corresponden a las acciones existentes utilizadas en la política. A continuación, revise las sugerencias y utilice los scripts para agregar las nuevas acciones en todas las políticas afectadas de la organización. No es necesario actualizar las políticas AWS gestionadas o AWS gestionadas SCPs (por ejemplo, AWS Control Tower y AWS Organizations SCPs).
Estos scripts se utilizan para:
+ Optimizan las actualizaciones de las políticas para ayudar con la administración de las políticas afectadas desde la cuenta del pagador.
+ Reducen la cantidad de tiempo que necesita para actualizar las políticas. No necesita iniciar sesión en cada cuenta de miembro para actualizar manualmente las políticas.
+ Agrupan políticas idénticas de diferentes cuentas de miembros. A continuación, puede revisar y aplicar las mismas actualizaciones en todas las políticas idénticas, en lugar de revisarlas una por una.
+ Asegúrese de que el acceso de los usuarios no se vea afectado después AWS de retirar las antiguas acciones de IAM el 6 de julio de 2023.
Para obtener más información sobre las políticas y las políticas de control de servicios (SCPs), consulte los siguientes temas:
+ [Administración de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) en la *guía del usuario de IAM*
+ [Políticas de control de servicios (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía AWS Organizations del usuario*
+ [Permisos personalizados](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetcustom.html) en la *Guía del usuario del IAM Identity Center*
## Descripción general de
Siga este tema para completar los siguientes pasos:
**Topics**
+ [Descripción general de](#overview-bulk-migrate-policies)
+ [Requisitos previos](#prerequisites-running-the-scripts)
+ [Paso 1: configurar el entorno](#set-up-your-environment-and-download-the-scripts)
+ [Paso 2: Crea el CloudFormation StackSet](#create-the-cloudformation-stack)
+ [Paso 3: identificar las políticas afectadas](#identify-the-affected-policies)
+ [Paso 4: revisar los cambios sugeridos](#review-the-affected-policies)
+ [Paso 5: actualizar las políticas afectadas](#update-the-affected-policies)
+ [Paso 6: revertir los cambios (opcional)](#revert-changes)
+ [Ejemplos de políticas de IAM](#examples-of-similar-policies)
## Requisitos previos
Para comenzar, necesita lo siguiente:
+ Descargue e instale [Python 3](https://www.python.org/downloads/).
+ Inicie sesión en la cuenta del pagador y compruebe que tiene una entidad principal de IAM con los siguientes permisos de IAM:
```
"iam:GetAccountAuthorizationDetails",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"sso:DescribePermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"sso:GetInlinePolicyForPermissionSet",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:ProvisionPermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sts:AssumeRole"
```
**sugerencia**
Para empezar, recomendamos que utilice un subconjunto de una cuenta (como las cuentas de prueba) para comprobar que estén previstos los cambios sugeridos.
A continuación, puede volver a ejecutar los scripts para las cuentas restantes de la organización.
## Paso 1: configurar el entorno
Para comenzar, descargue los archivos requeridos del sitio web [AWS Samples](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles). A continuación, ejecute comandos para configurar el entorno.
**Para configurar su entorno de**
1. Clone el repositorio desde el sitio web [AWS Samples](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles). En una ventana de línea de comando, puede usar el siguiente comando:
```
git clone https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles.git
```
1. Desplácese hasta el directorio en el que descargó los archivos. Puede utilizar el siguiente comando:
```
cd bulk-policy-migrator-scripts-for-account-cost-billing-consoles
```
En el repositorio, puede encontrar los siguientes scripts y recursos:
+ `billing_console_policy_migrator_role.json`— La CloudFormation plantilla que crea la función de `BillingConsolePolicyMigratorRole` IAM en las cuentas de los miembros de su organización. Este rol permite que los scripts asuman el rol y, a continuación, lean y actualicen las políticas afectadas.
+ `action_mapping_config.json`— Contiene el one-to-many mapeo de las acciones antiguas con las nuevas. Los scripts utilizan este archivo para sugerir las nuevas acciones para cada política afectada que contenga las acciones antiguas.
Cada acción antigua corresponde a varias acciones detalladas. Las nuevas acciones sugeridas en el archivo permiten a los usuarios acceder a las mismas Servicios de AWS antes de la migración.
+ `identify_affected_policies.py`: escanea e identifica las políticas afectadas de la organización. Este script genera un archivo de `affected_policies_and_suggestions.json` que enumera las políticas afectadas junto con las nuevas acciones sugeridas.
Las políticas afectadas que utilizan el mismo conjunto de acciones antiguas se agrupan en el archivo JSON para que pueda revisar o actualizar las nuevas acciones sugeridas.
+ `update_affected_policies.py`: actualiza las políticas afectadas de la organización. El script introduce el archivo `affected_policies_and_suggestions.json` y, a continuación, agrega las nuevas acciones sugeridas a las políticas.
+ `rollback_affected_policies.py`: (opcional) revierte los cambios en las políticas afectadas. Este script elimina las nuevas acciones detalladas de las políticas afectadas.
1. Para configurar y activar el entorno virtual, puede ejecutar el siguiente comando:
```
python3 -m venv venv
```
```
source venv/bin/activate
```
1. Ejecute el siguiente comando para instalar la AWS SDK para Python (Boto3) dependencia.
```
pip install -r requirements.txt
```
**nota**
Debe configurar sus AWS credenciales para usar el AWS Command Line Interface (AWS CLI). Para obtener más información, consulte [AWS SDK para Python (Boto3)](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/credentials.html).
Para obtener más información, consulte el archivo [README.md](https://github.com/aws-samples/bulk-policy-migrator-scripts-for-account-cost-billing-consoles#readme).
## Paso 2: Crea el CloudFormation StackSet
Siga este procedimiento para crear un *conjunto de CloudFormation pilas*. A continuación, este conjunto de pilas crea el rol de IAM de `BillingConsolePolicyMigratorRole` para todas las cuentas de miembros de la organización.
**nota**
Solo necesita completar este paso una vez desde la cuenta de administración (cuenta del pagador).
**Para crear el CloudFormation StackSet**
1. En un editor de texto, abra el `billing_console_policy_migrator_role.json` archivo y sustituya cada instancia de *``* por el ID de cuenta de la cuenta del pagador (por ejemplo,*123456789012*).
1. Guarde el archivo.
1. Inicie sesión en la cuenta Consola de administración de AWS de pagador.
1. En la CloudFormation consola, crea un conjunto de pilas con el `billing_console_policy_migrator_role.json` archivo que has actualizado.
Para obtener más información, consulte [Creación de un conjunto de pilas en la AWS CloudFormation consola](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html) en la *Guía del AWS CloudFormation usuario*.
Una vez CloudFormation creado el conjunto de pilas, cada cuenta de miembro de la organización tendrá una función de `BillingConsolePolicyMigratorRole` IAM.
El rol de IAM contiene los permisos siguientes:
```
"iam:GetAccountAuthorizationDetails",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion"
```
**Notas**
Para cada cuenta de miembro, los scripts llaman a la operación de la [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)API para obtener credenciales temporales que permitan asumir la función de `BillingConsolePolicyMigratorRole` IAM.
Los scripts llaman a la operación de la [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)API para obtener todas las cuentas de los miembros.
Los scripts también llaman a operaciones de la API de IAM para ejecutar los permisos de lectura y la escritura de las políticas.
## Paso 3: identificar las políticas afectadas
Después de crear el conjunto de pilas y descargar los archivos, ejecute el script `identify_affected_policies.py`. Este script asume el rol de IAM de `BillingConsolePolicyMigratorRole` para cada cuenta de miembro y, a continuación, identifica las políticas afectadas.
**Para identificar las políticas afectadas**
1. Desplácese hasta el directorio en el que descargó los scripts.
```
cd policy_migration_scripts/scripts
```
1. Ejecute el script `identify_affected_policies.py`.
Puede utilizar los siguientes parámetros de entrada:
+ Cuentas de AWS que desea que escanee el script. Para especificar cuentas, utilice los siguientes parámetros de entrada:
+ `--all`: escanea todas las cuentas de miembros de la organización.
```
python3 identify_affected_policies.py --all
```
+ `--accounts`: escanea todos los subconjuntos de cuentas de miembros de la organización.
```
python3 identify_affected_policies.py --accounts 111122223333, 444455556666, 777788889999
```
+ `--exclude-accounts`: no incluye las cuentas de miembros específicas de la organización.
```
python3 identify_affected_policies.py --all --exclude-accounts 111111111111, 222222222222, 333333333333
```
+ ` –-action-mapping-config-file`: (opcional) especifique la ruta al archivo `action_mapping_config.json`. El script usa este archivo para generar actualizaciones sugeridas para las políticas afectadas. Si no especifica la ruta, el script usa el archivo `action_mapping_config.json` en la carpeta.
```
python3 identify_affected_policies.py –-action-mapping-config-file c:\Users\username\Desktop\Scripts\action_mapping_config.json –-all
```
**nota**
No puedes especificar unidades organizativas (OUs) con este script.
Tras ejecutar el script, se crean dos archivos JSON en una carpeta de `Affected_Policies_`:
+ `affected_policies_and_suggestions.json`
+ `detailed_affected_policies.json`
**`affected_policies_and_suggestions.json`**
Muestra las políticas afectadas con las nuevas acciones sugeridas. Se agrupan en el archivo las políticas afectadas que utilizan el mismo conjunto de acciones antiguas.
Este archivo contiene las siguientes secciones:
+ Metadatos que proporcionan una descripción general de las cuentas que especificó en el script, incluidas:
+ Las cuentas escaneadas y el parámetro de entrada utilizado para el script `identify_affected_policies.py`
+ La cantidad de cuentas afectadas
+ La cantidad de políticas afectadas
+ Cantidad de grupos de políticas similares
+ Grupos de políticas similares. Incluye la lista de cuentas y detalles de la política, incluidas las siguientes secciones:
+ `ImpactedPolicies`: especifica cuáles son las políticas afectadas e incluidas en el grupo.
+ `ImpactedPolicyStatements`: proporciona información sobre los bloques `Sid` que actualmente utilizan las acciones antiguas de la política afectada. Esta sección incluye las acciones antiguas y los elementos de IAM, como, `Effect`, `Principal`, `NotPrincipal`, `NotAction` y `Condition`.
+ `SuggestedPolicyStatementsToAppend`: proporciona las nuevas acciones sugeridas que se agregan como un nuevo bloque `SID`.
Cuando se actualizan las políticas, este bloque se agrega al final de estas.
**Example Archivo `affected_policies_and_suggestions.json` de ejemplo**
Este archivo agrupa las políticas que son similares en función de los siguientes criterios:
+ Uso de las mismas acciones antiguas. Políticas que tienen las mismas acciones antiguas en todos los bloques `SID`.
+ Detalles coincidentes. Además de las acciones afectadas, las políticas tienen elementos de IAM idénticos, como:
+ `Effect` (`Allow`/`Deny`)
+ `Principal` (a quién se le permite o deniega el acceso)
+ `NotAction` (qué acciones no están permitidas)
+ `NotPrincipal` (a quien se le niega explícitamente el acceso)
+ `Resource`(a qué AWS recursos se aplica la política)
+ `Condition` (cualquier condición específica en la que se aplique la política)
Para obtener más información, consulte [Ejemplos de políticas de IAM](#examples-of-similar-policies).
**Example Ejemplo `affected_policies_and_suggestions.json`**
```
[{
"AccountsScanned": [
"111111111111",
"222222222222"
],
"TotalAffectedAccounts": 2,
"TotalAffectedPolicies": 2,
"TotalSimilarPolicyGroups": 2
},
{
"GroupName": "Group1",
"ImpactedPolicies": [{
"Account": "111111111111",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-Allow",
"PolicyIdentifier": "1111111_1-user:Inline-Test-Policy-Allow"
},
{
"Account": "222222222222",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-Allow",
"PolicyIdentifier": "222222_1-group:Inline-Test-Policy-Allow"
}
],
"ImpactedPolicyStatements": [
[{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccounts"
],
"Resource": "*"
}]
],
"SuggestedPolicyStatementsToAppend": [{
"Sid": "BillingConsolePolicyMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"account:GetAlternateContact",
"account:GetChallengeQuestions",
"account:GetContactInformation",
"billing:GetContractInformation",
"billing:GetIAMAccessPreference",
"billing:GetSellerOfRecord",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}]
},
{
"GroupName": "Group2",
"ImpactedPolicies": [{
"Account": "111111111111",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-deny",
"PolicyIdentifier": "1111111_2-user:Inline-Test-Policy-deny"
},
{
"Account": "222222222222",
"PolicyType": "UserInlinePolicy",
"PolicyName": "Inline-Test-Policy-deny",
"PolicyIdentifier": "222222_2-group:Inline-Test-Policy-deny"
}
],
"ImpactedPolicyStatements": [
[{
"Sid": "VisualEditor0",
"Effect": "deny",
"Action": [
"aws-portal:ModifyAccount"
],
"Resource": "*"
}]
],
"SuggestedPolicyStatementsToAppend": [{
"Sid": "BillingConsolePolicyMigrator1",
"Effect": "Deny",
"Action": [
"account:CloseAccount",
"account:DeleteAlternateContact",
"account:PutAlternateContact",
"account:PutChallengeQuestions",
"account:PutContactInformation",
"billing:PutContractInformation",
"billing:UpdateIAMAccessPreference",
"payments:UpdatePaymentPreferences"
],
"Resource": "*"
}]
}
]
```
**`detailed_affected_policies.json`**
Contiene la definición de todas las políticas afectadas que el script `identify_affected_policies.py` identificó para las cuentas de los miembros.
El archivo agrupa políticas similares. Puede utilizar este archivo como referencia para revisar y administrar los cambios en las políticas sin necesidad de iniciar sesión en cada cuenta de miembro para revisar las actualizaciones de cada política y cuenta de forma individual.
Puede buscar el nombre de la política en el archivo (por ejemplo, `YourCustomerManagedReadOnlyAccessBillingUser`) y, a continuación, revisar las definiciones de políticas afectadas.
**Example Ejemplo: `detailed_affected_policies.json`**
## Paso 4: revisar los cambios sugeridos
Una vez que el script haya creado el archivo `affected_policies_and_suggestions.json`, revíselo y haga los cambios necesarios.
**Para revisar las políticas afectadas**
1. Abra el archivo `affected_policies_and_suggestions.json` en un editor de texto.
1. En la sección `AccountsScanned`, compruebe que se espera la cantidad de grupos similares identificados en las cuentas escaneadas.
1. Revise las acciones detalladas sugeridas que se agregarán a las políticas afectadas.
1. Actualice el archivo según sea necesario y, a continuación, guárdelo.
### Ejemplo 1: actualizar el archivo `action_mapping_config.json`
Puede actualizar las asignaciones sugeridas en `action_mapping_config.json`. Después de actualizar el archivo, puede volver a ejecutar el script `identify_affected_policies.py`. El script genera sugerencias actualizadas para las políticas afectadas.
Puede crear varias versiones del archivo `action_mapping_config.json` para cambiar las políticas de diferentes cuentas con diferentes permisos. Por ejemplo, puede crear un archivo con el nombre de `action_mapping_config_testing.json` para migrar los permisos para las cuentas de prueba y `action_mapping_config_production.json` para las cuentas de producción.
### Ejemplo 2: actualizar el archivo `affected_policies_and_suggestions.json`
Para modificar los reemplazos sugeridos para un grupo de políticas afectado específico, puede editar directamente la sección de reemplazos sugeridos del archivo `affected_policies_and_suggestions.json`.
Todos los cambios que realice en esta sección se aplicarán a todas las políticas de ese grupo de políticas afectado específico.
### Ejemplo 3: personalizar una política específica
Si descubre una política dentro de un grupo de políticas afectado que necesita cambios diferentes a los sugeridos, puede hacer lo siguiente:
+ Excluya cuentas específicas del script `identify_affected_policies.py`. A continuación, puede revisar las cuentas excluidas por separado.
+ Actualice los bloques `Sid` afectados eliminando las políticas y cuentas afectadas que necesitan permisos diferentes. Cree un bloque JSON que incluya solo las cuentas específicas o las excluya de la ejecución actual de la política afectada por la actualización.
Cuando vuelva a ejecutar el script `identify_affected_policies.py`, solo aparecerán las cuentas pertinentes en el bloque actualizado. A continuación, puede refinar los reemplazos sugeridos para ese bloque `Sid` específico.
## Paso 5: actualizar las políticas afectadas
Después de revisar y refinar los reemplazos sugeridos, ejecute el script `update_affected_policies.py`. El script toma el archivo `affected_policies_and_suggestions.json` como entrada. Este script asume el rol de IAM de `BillingConsolePolicyMigratorRole` para actualizar las políticas afectadas que figuran en el archivo `affected_policies_and_suggestions.json`.
**Para actualizar las políticas afectadas**
1. Si aún no lo ha hecho, abra una ventana de línea de comandos para la AWS CLI.
1. Ingrese el comando siguiente para ejecutar el script `update_affected_policies.py`. Puede ingresar los siguientes parámetros de entrada:
+ La ruta del directorio del archivo `affected_policies_and_suggestions.json` que contiene una lista de las políticas afectadas que se van a actualizar. Este archivo es un resultado del paso anterior.
```
python3 update_affected_policies.py --affected-policies-directory Affected_Policies_
```
El script `update_affected_policies.py` actualiza las políticas afectadas dentro del archivo `affected_policies_and_suggestions.json` con las nuevas acciones sugeridas. El script añade un `Sid` bloque a las políticas, identificado como`BillingConsolePolicyMigrator#`, donde *\$1* corresponde a un contador incremental (por ejemplo, 1, 2, 3).
Por ejemplo, si hay varios bloques `Sid` en la política afectada que utilizan acciones antiguas, el script agrega varios bloques `Sid` que aparecen como `BillingConsolePolicyMigrator#` para corresponder a cada bloque `Sid`.
**importante**
El script no elimina las acciones de IAM antiguas de las políticas ni cambia los bloques `Sid` existentes en las políticas. En su lugar, crea bloques `Sid` y los agrega al final de la política. Estos nuevos bloques `Sid` contienen las nuevas acciones sugeridas desde el archivo JSON. Esto garantiza que no se modifiquen los permisos de las políticas originales.
No recomendamos cambiar el nombre de los bloques `BillingConsolePolicyMigrator#` `Sid` en caso de que necesite revertir los cambios.
**Example Ejemplo: política con bloques `Sid` adjuntos**
Consulte los bloques `Sid` adjuntos en los bloques `BillingConsolePolicyMigrator1` y `BillingConsolePolicyMigrator2`.
El script genera un informe de estado que contiene operaciones fallidas y genera el archivo JSON localmente.
**Example Ejemplo: informe de estado**
```
[{
"Account": "111111111111",
"PolicyType": "Customer Managed Policy"
"PolicyName": "AwsPortalViewPaymentMethods",
"PolicyIdentifier": "identifier",
"Status": "FAILURE", // FAILURE or SKIPPED
"ErrorMessage": "Error message details"
}]
```
**importante**
Si vuelve a ejecutar los scripts `identify_affected_policies.py` y `update_affected_policies.py`, estos omiten todas las políticas que contiene el bloque `BillingConsolePolicyMigratorRole#``Sid`. Los scripts asumen que esas políticas se escanearon y actualizaron previamente y que no requieren actualizaciones adicionales. Esto evita que el script duplique las mismas acciones de la política.
Luego de actualizar las políticas afectadas, puede utilizar el nuevo IAM mediante la herramienta de políticas afectadas. Si detecta algún problema, puede utilizar la herramienta para volver a las acciones anteriores. También puede usar un script para revertir las actualizaciones de la política.
Para obtener más información, consulte [Cómo usar la herramienta de políticas afectadas](migrate-security-iam-tool.md) la entrada del blog sobre [los cambios en la AWS facturación, la administración de costos y los permisos de las consolas de cuentas](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/).
Para administrar sus actualizaciones, puede:
Ejecute los scripts para cada cuenta de forma individual.
Ejecute el script en lotes para cuentas similares, como cuentas de pruebas, control de calidad y producción.
Ejecute el script para todas las cuentas.
Elija una combinación entre actualizar algunas cuentas en lotes y, luego, actualizar otras de forma individual.
## Paso 6: revertir los cambios (opcional)
El script `rollback_affected_policies.py` revierte los cambios aplicados a cada política afectada para las cuentas especificadas. El script elimina todos los bloques `Sid` que adjuntó el script `update_affected_policies.py`. Estos bloques `Sid` tienen el formato `BillingConsolePolicyMigratorRole#`.
**Para revertir los cambios**
1. Si aún no lo ha hecho, abra una ventana de línea de comandos para la AWS CLI.
1. Ingrese el comando siguiente para ejecutar el script `rollback_affected_policies.py`. Puede ingresar los siguientes parámetros de entrada:
+ `--accounts`
+ Especifica una lista separada por comas de los Cuenta de AWS IDs elementos que desea incluir en la reversión.
+ En el siguiente ejemplo, se analizan las políticas de lo especificado Cuentas de AWS y se eliminan todas las sentencias que contengan el bloque. `BillingConsolePolicyMigrator#` `Sid`
```
python3 rollback_affected_policies.py –-accounts 111122223333, 555555555555, 666666666666
```
+ `--all`
+ Incluye todo lo que Cuenta de AWS IDs hay en su organización.
+ En el siguiente ejemplo, se escanean todas las políticas de la organización y se eliminan todas las instrucciones del bloque `BillingConsolePolicyMigratorRole#` `Sid`.
```
python3 rollback_affected_policies.py –-all
```
+ `--exclude-accounts`
+ Especifica una lista separada por comas de los Cuenta de AWS IDs elementos que desea excluir de la reversión.
Se puede usar este parámetro solo cuando también especifica el parámetro `--all`.
+ En el siguiente ejemplo, se analizan las políticas de toda Cuentas de AWS la organización, excepto las cuentas especificadas.
```
python3 rollback_affected_policies.py --all --exclude-accounts 777777777777, 888888888888, 999999999999
```
## Ejemplos de políticas de IAM
Las políticas se consideran similares si son idénticas:
+ Acciones afectadas en todos los bloques `Sid`.
+ Detalles de los siguientes elementos de IAM:
+ `Effect` (`Allow`/`Deny`)
+ `Principal` (a quién se le permite o deniega el acceso)
+ `NotAction` (qué acciones no están permitidas)
+ `NotPrincipal` (a quien se le niega explícitamente el acceso)
+ `Resource`(a qué AWS recursos se aplica la política)
+ `Condition` (cualquier condición específica en la que se aplique la política)
Los siguientes ejemplos muestran políticas que IAM podría o no considerar similares en función de las diferencias entre ellas.
**Example Ejemplo 1: las políticas se consideran similares**
Cada tipo de política es diferente, pero ambas políticas contienen un bloque `Sid` con la misma `Action` afectada.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
**Example Ejemplo 2: las políticas se consideran similares**
Ambas políticas contienen un bloque `Sid` con el mismo valor de `Action` afectado. La política 2 contiene acciones adicionales, pero estas acciones no se ven afectadas.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing",
"athena:*"
],
"Resource": "*"
}]
}
```
**Example Ejemplo 3: las políticas no se consideran similares**
Ambas políticas contienen un bloque `Sid` con el mismo valor de `Action` afectado. Sin embargo, la política 2 contiene un elemento `Condition` que no está presente en la política 1.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:ViewAccount",
"aws-portal:*Billing",
"athena:*"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "true"
}
}
}]
}
```
**Example Ejemplo 4: las políticas se consideran similares**
La política 1 tiene un bloque `Sid` único con un valor de `Action` afectado. La política 2 tiene varios bloques `Sid`, pero la `Action` afectada aparece solo en un bloque.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"cloudtrail:Get*"
],
"Resource": "*"
}
]
}
```
**Example Ejemplo 5: las políticas no se consideran similares**
La política 1 tiene un bloque `Sid` único con un valor de `Action` afectado. La política 2 tiene varios bloques `Sid`, pero la `Action` afectada aparece en varios bloques.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
}]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:View*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*"
],
"Resource": "*"
}
]
}
```
**Example Ejemplo 6: las políticas se consideran similares**
Ambas políticas tienen varios bloques `Sid`, y la misma `Action` se ve afectada en cada bloque `Sid`.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"iam:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"iam:Update*"
],
"Resource": "*"
}
]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"athena:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"athena:Update*"
],
"Resource": "*"
}
]
}
```
**Example Ejemplo 7**
Las dos políticas siguientes no se consideran similares.
La política 1 tiene un bloque `Sid` único con una `Action` afectada. La política 2 tiene un bloque `Sid` con la misma `Action` afectada. Sin embargo, la política 2 también contiene otro bloque `Sid` con diferentes acciones.
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"iam:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:Modify*",
"iam:Update*"
],
"Resource": "*"
}
]
}
```
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"aws-portal:*Account",
"athena:Get*"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"aws-portal:*Billing",
"athena:Update*"
],
"Resource": "*"
}
]
}
```
# Referencia de la asignación de acciones de IAM detalladas
**nota**
Las siguientes acciones AWS Identity and Access Management (IAM) finalizaron el soporte estándar en julio de 2023:
espacio de nombres `aws-portal`
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
Si las utilizas AWS Organizations, puedes usar los [scripts de migración masiva de políticas o el migrador](migrate-iam-permissions.md) masivo de políticas para actualizar las políticas desde tu cuenta de pagador. También puede utilizar la [referencia de mapeo de acciones de antigua a granular](#migrate-granularaccess-iam-mapping-reference) para verificar las acciones de IAM que deben agregarse.
Si tienes una Cuenta de AWS o formas parte de una AWS Organizations creada el 6 de marzo de 2023 o después de esa fecha, a las 11:00 a. m. (PDT), las acciones detalladas ya están en vigor en tu organización.
Deberá migrar las siguientes acciones de IAM en sus políticas de permisos o políticas de control de servicios (SCP):
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
Puede utilizar este tema para ver la asignación detallada de las acciones anteriores con las nuevas para cada acción de IAM que vamos a retirar.
**Descripción general de**
1. Revise las políticas de IAM afectadas en su Cuenta de AWS. Para ello, siga los pasos de la herramienta **Políticas afectadas** para identificar sus políticas de IAM afectadas. Consulte [Cómo usar la herramienta de políticas afectadas](migrate-security-iam-tool.md).
1. Use la consola de IAM para agregar los nuevos permisos detallados a su política. Por ejemplo, si su política concede el permiso `purchase-orders:ModifyPurchaseOrders`, deberá agregar cada acción en la tabla [Asignación para purchase-orders:ModifyPurchaseOrders](#mapping-for-purchase-ordersmodifypurchaseorders).
**Política anterior**
La siguiente política permite a un usuario agregar, eliminar o modificar cualquier pedido de compra de la cuenta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "purchase-orders:ModifyPurchaseOrders",
"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
}
]
}
```
------
**Política nueva**
La siguiente política también permite a un usuario agregar, eliminar o modificar cualquier pedido de la cuenta. Tenga en cuenta que cada permiso detallado aparece después del permiso `purchase-orders:ModifyPurchaseOrders` anterior. Estos permisos le ofrecen un mayor control sobre las acciones que desea permitir o denegar.
**sugerencia**
Le recomendamos que conserve los permisos anteriores para asegurarse de que no pierde permisos hasta que finalice esta migración.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"purchase-orders:ModifyPurchaseOrders",
"purchase-orders:AddPurchaseOrder",
"purchase-orders:DeletePurchaseOrder",
"purchase-orders:UpdatePurchaseOrder",
"purchase-orders:UpdatePurchaseOrderStatus"
],
"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
}
]
}
```
------
1. Guarde los cambios.
**Notas**
Para editar políticas manualmente en la consola de IAM, consulte [Edición de políticas administradas por el cliente (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console) en la *Guía del usuario de IAM*.
Para migrar de forma masiva sus políticas de IAM y usar acciones detalladas (nuevas acciones), consulte [Utilice scripts para migrar de forma masiva sus políticas y utilizar acciones de IAM detalladas](migrate-iam-permissions.md).
**Contents**
+ [Asignación para aws-portal:ViewAccount](#mapping-for-aws-portalviewaccount)
+ [Asignación para aws-portal:ViewBilling](#mapping-for-aws-portalviewbilling)
+ [Asignación para aws-portal:ViewPaymentMethods](#mapping-for-aws-portalviewpaymentmethods)
+ [Asignación para aws-portal:ViewUsage](#mapping-for-aws-portalviewusage)
+ [Asignación para aws-portal:ModifyAccount](#mapping-for-aws-portalmodifyaccount)
+ [Asignación para aws-portal:ModifyBilling](#mapping-for-aws-portalmodifybilling)
+ [Asignación para aws-portal:ModifyPaymentMethods](#mapping-for-aws-portalmodifypaymentmethods)
+ [Asignación para purchase-orders:ViewPurchaseOrders](#mapping-for-purchase-ordersviewpurchaseorders)
+ [Asignación para purchase-orders:ModifyPurchaseOrders](#mapping-for-purchase-ordersmodifypurchaseorders)
## Asignación para aws-portal:ViewAccount
| Nueva acción | Description (Descripción) | Nivel de acceso |
| --- | --- | --- |
| account:GetAccountInformation | Concede permiso para recuperar la información de una cuenta | Lectura |
| account:GetAlternateContact | Otorga permiso para recuperar los contactos alternativos de una cuenta | Lectura |
| account:GetContactInformation | Otorga permiso para recuperar la información de contacto principal para una cuenta | Lectura |
| billing:GetContractInformation | Concede permiso para ver la información contractual de la cuenta, incluido número del contrato, nombres de las organizaciones de los usuarios finales, números de orden de compra y si la cuenta se utiliza para prestar servicios a clientes del sector público | Lectura |
| billing:GetIAMAccessPreference | Concede permiso para recuperar el estado de la preferencia de facturación Permitir acceso de IAM | Lectura |
| billing:GetSellerOfRecord | Concede permiso para recuperar el vendedor registrado predeterminado de la cuenta | Lectura |
| payments:ListPaymentPreferences | Concede permiso para obtener las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Lectura |
## Asignación para aws-portal:ViewBilling
| Nueva acción | Description (Descripción) | Nivel de acceso |
| --- | --- | --- |
| account:GetAccountInformation | Concede permiso para recuperar la información de una cuenta | Lectura |
| billing:GetBillingData | Concede permiso para realizar consultas sobre información de facturación | Lectura |
| billing:GetBillingDetails | Concede permiso para ver información de facturación de elementos de línea detallada | Lectura |
| billing:GetBillingNotifications | Otorga permiso para ver las notificaciones enviadas por AWS relacionadas con la información de facturación de su cuenta | Lectura |
| billing:GetBillingPreferences | Concede permiso para ver preferencias de facturación tales como instancias reservadas, Savings Plans y uso compartido de créditos | Lectura |
| billing:GetContractInformation | Concede permiso para ver la información contractual de la cuenta, incluido número del contrato, nombres de las organizaciones de los usuarios finales, números de orden de compra y si la cuenta se utiliza para prestar servicios a clientes del sector público | Lectura |
| billing:GetCredits | Concede permiso para ver créditos que se han canjeado | Lectura |
| billing:GetIAMAccessPreference | Concede permiso para recuperar el estado de la preferencia de facturación Permitir acceso de IAM | Lectura |
| billing:GetSellerOfRecord | Concede permiso para recuperar el vendedor registrado predeterminado de la cuenta | Lectura |
| billing:ListBillingViews | Otorga permiso para obtener información de facturación para sus grupos de facturación proforma | Enumeración |
| ce:DescribeNotificationSubscription | Concede permiso para ver alertas de caducidad de reserva | Lectura |
| ce:DescribeReport | Concede permiso para ver la página de informes de Cost Explorer | Read |
| ce:GetAnomalies | Concede permiso para recuperar anomalías. | Read |
| ce:GetAnomalyMonitors | Concede permiso para consultar monitores de anomalía | Read |
| ce:GetAnomalySubscriptions | Concede permiso para consultar suscripciones a anomalías | Read |
| ce:GetCostAndUsage | Concede permiso para recuperar las métricas de costo y de uso para su cuenta. | Read |
| ce:GetCostAndUsageWithResources | Concede permiso para recuperar las métricas de costo y de uso con recursos para su cuenta. | Lectura |
| ce:GetCostCategories | Concede permiso para consultar nombres y valores de la categoría de costos para un periodo especificado | Lectura |
| ce:GetCostForecast | Concede permiso para recuperar una previsión de costo para un periodo de tiempo de previsión. | Read |
| ce:GetDimensionValues | Concede permiso para recuperar todos los valores de filtro disponibles de un filtro de un periodo. | Lectura |
| ce:GetPreferences | Concede permiso para ver la página de preferencias de Cost Explorer | Lectura |
| ce:GetReservationCoverage | Concede permiso para recuperar la cobertura de reserva para su cuenta. | Read |
| ce:GetReservationPurchaseRecommendation | Concede permiso para recuperar las recomendaciones de reserva para su cuenta. | Read |
| ce:GetReservationUtilization | Concede permiso para recuperar la utilización de reserva para su cuenta. | Read |
| ce:GetRightsizingRecommendation | Concede permiso para recuperar las recomendaciones de adecuación de tamaño para su cuenta. | Read |
| ce:GetSavingsPlansCoverage | Concede permiso para recuperar la cobertura de Savings Plans para su cuenta. | Read |
| ce:GetSavingsPlansPurchaseRecommendation | Concede permiso para recuperar las recomendaciones de Savings Plans para su cuenta. | Read |
| ce:GetSavingsPlansUtilization | Concede permiso para recuperar la utilización de Savings Plans para su cuenta. | Read |
| ce:GetSavingsPlansUtilizationDetails | Concede permiso para recuperar los detalles de utilización de Savings Plans de su cuenta. | Read |
| ce:GetTags | Concede permiso para consultar las etiquetas de un periodo de tiempo especificado. | Read |
| ce:GetUsageForecast | Concede permiso para recuperar una previsión de uso para un periodo de tiempo de previsión. | Lectura |
| ce:ListCostAllocationTags | Concede permiso para enumerar las etiquetas para la asignación de costos | Enumeración |
| ce:ListSavingsPlansPurchaseRecommendationGeneration | Otorga permiso para enumerar las generaciones de sus recomendaciones históricas | Lectura |
| consolidatedbilling:GetAccountBillingRole | Concede permiso para obtener el rol de la cuenta (pagador, vinculada, normal) | Lectura |
| consolidatedbilling:ListLinkedAccounts | Concede permiso para obtener una lista de cuentas de miembro y vinculadas | Enumeración |
| cur:GetClassicReport | Concede permiso para obtener un informe CSV para su facturación | Lectura |
| cur:GetClassicReportPreferences | Concede permiso para obtener el estado de habilitación del informe clásico para los informes de usos | Lectura |
| cur:ValidateReportDestination | Otorga permiso para validar si el bucket de Amazon S3 existe con los permisos adecuados para la entrega de AWS CUR | Lectura |
| freetier:GetFreeTierAlertPreference | Otorga permiso para obtener preferencias de capa gratuita de AWS alerta (por dirección de correo electrónico) | Lectura |
| freetier:GetFreeTierUsage | Otorga permiso para obtener los límites capa gratuita de AWS de uso y el estado de uso month-to-date (MTD) | Lectura |
| invoicing:GetInvoiceEmailDeliveryPreferences | Concede permiso para obtener las preferencias de entrega de facturas por correo electrónico | Lectura |
| invoicing:GetInvoicePDF | Concede permiso para obtener la factura en PDF | Lectura |
| invoicing:ListInvoiceSummaries | Concede permiso para obtener información de resumen de factura para la cuenta o cuenta vinculada | Enumeración |
| payments:GetPaymentInstrument | Concede permiso para obtener información acerca de un instrumento de pago | Lectura |
| payments:GetPaymentStatus | Concede permiso para obtener el estado de pago de las facturas | Lectura |
| payments:ListPaymentPreferences | Concede permiso para obtener las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Lectura |
| tax:GetTaxInheritance | Concede permiso para ver el estado de la herencia fiscal | Lectura |
| tax:GetTaxRegistrationDocument | Concede permiso para descargar los documentos de registros fiscales | Lectura |
| tax:ListTaxRegistrations | Concede permiso para ver los registros fiscales | Lectura |
## Asignación para aws-portal:ViewPaymentMethods
| Nueva acción | Description (Descripción) | Nivel de acceso |
| --- | --- | --- |
| account:GetAccountInformation | Concede permiso para recuperar la información de una cuenta | Lectura |
| invoicing:GetInvoicePDF | Concede permiso para obtener la factura en PDF | Lectura |
| payments:GetPaymentInstrument | Concede permiso para obtener información acerca de un instrumento de pago | Lectura |
| payments:GetPaymentStatus | Concede permiso para obtener el estado de pago de las facturas | Lectura |
| payments:ListPaymentPreferences | Concede permiso para obtener las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Enumeración |
## Asignación para aws-portal:ViewUsage
| Nueva acción | Description (Descripción) | Nivel de acceso |
| --- | --- | --- |
| cur:GetUsageReport | Otorga permiso para obtener una lista del flujo de trabajo de los informes de uso Servicios de AWS, el tipo de uso y la operación, y para descargar los informes de uso | Lectura |
## Asignación para aws-portal:ModifyAccount
| Nueva acción | Description (Descripción) | Nivel de acceso |
| --- | --- | --- |
| account:CloseAccount | Concede permiso para cerrar una cuenta | Escritura |
| account:DeleteAlternateContact | Otorga permiso para eliminar los contactos alternativos de una cuenta | Escritura |
| account:PutAlternateContact | Otorga permiso para modificar los contactos alternativos de una cuenta | Escritura |
| account:PutChallengeQuestions | Concede permiso para modificar las preguntas de desafío de una cuenta | Escritura |
| account:PutContactInformation | Otorga permiso para actualizar la información de contacto principal para una cuenta | Escritura |
| billing:PutContractInformation | Concede permiso para establecer la información contractual de la cuenta, los nombres de las organizaciones de los usuarios finales y si la cuenta se utiliza para prestar servicios a clientes del sector público | Escritura |
| billing:UpdateIAMAccessPreference | Concede permiso para actualizar la preferencia de facturación Permitir acceso de IAM | Escritura |
| payments:UpdatePaymentPreferences | Concede permiso para actualizar las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Escritura |
## Asignación para aws-portal:ModifyBilling
| Nueva acción | Description (Descripción) | Nivel de acceso |
| --- | --- | --- |
| billing:PutContractInformation | Concede permiso para establecer la información contractual de la cuenta, los nombres de las organizaciones de los usuarios finales y si la cuenta se utiliza para prestar servicios a clientes del sector público | Escritura |
| billing:RedeemCredits | Otorga permiso para canjear cualquier crédito AWS | Escritura |
| billing:UpdateBillingPreferences | Concede permiso para actualizar preferencias de facturación tales como instancia reservada, Savings Plans y uso compartido de créditos | Escritura |
| ce:CreateAnomalyMonitor | Concede permiso para crear un nuevo monitor de anomalías | Write |
| ce:CreateAnomalySubscription | Concede permiso para crear una nueva suscripción de anomalía | Escritura |
| ce:CreateNotificationSubscription | Concede permiso para crear alertas de caducidad de reserva | Escritura |
| ce:CreateReport | Concede permiso para crear informes de Cost Explorer | Write |
| ce:DeleteAnomalyMonitor | Concede permiso para eliminar un monitor de anomalías | Write |
| ce:DeleteAnomalySubscription | Concede permiso para eliminar una suscripción de anomalía | Escritura |
| ce:DeleteNotificationSubscription | Concede permiso para eliminar alertas de caducidad de reserva | Escritura |
| ce:DeleteReport | Concede permiso para eliminar informes de Cost Explorer | Escritura |
| ce:ProvideAnomalyFeedback | Concede permiso para proporcionar comentarios sobre anomalías detectadas. | Escritura |
| ce:StartSavingsPlansPurchaseRecommendationGeneration | Otorga permiso para solicitar una generación de recomendaciones sobre Savings Plans | Escritura |
| ce:UpdateAnomalyMonitor | Concede permiso para actualizar un monitor de anomalías existente | Write |
| ce:UpdateAnomalySubscription | Concede permiso para actualizar una suscripción de anomalía existente | Escritura |
| ce:UpdateCostAllocationTagsStatus | Concede permiso para actualizar el estado de etiquetas de asignación de costos existentes | Escritura |
| ce:UpdateNotificationSubscription | Concede permiso para actualizar alertas de caducidad de reserva | Escritura |
| ce:UpdatePreferences | Concede permiso para editar la página de preferencias de Cost Explorer | Escritura |
| cur:PutClassicReportPreferences | Concede permiso para habilitar los informes clásicos | Escritura |
| freetier:PutFreeTierAlertPreference | Otorga permiso para establecer una preferencia de capa gratuita de AWS alerta (mediante una dirección de correo electrónico) | Escritura |
| invoicing:PutInvoiceEmailDeliveryPreferences | Concede permiso para actualizar las preferencias de entrega de facturas por correo electrónico | Escritura |
| payments:CreatePaymentInstrument | Concede permiso para crear un instrumento de pago | Escritura |
| payments:DeletePaymentInstrument | Concede permiso para eliminar un instrumento de pago | Escritura |
| payments:MakePayment | Concede permiso para realizar un pago, autenticar un pago, verificar un método de pago y generar un documento de solicitud de fondos para Advance Pay | Escritura |
| payments:UpdatePaymentPreferences | Concede permiso para actualizar las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Escritura |
| tax:BatchPutTaxRegistration | Concede permiso para actualizar por lotes los registros fiscales | Escritura |
| tax:DeleteTaxRegistration | Concede permiso para eliminar los datos de registros fiscales | Escritura |
| tax:PutTaxInheritance | Concede permiso para establecer la herencia fiscal | Escritura |
## Asignación para aws-portal:ModifyPaymentMethods
| Nueva acción | Description (Descripción) | Nivel de acceso |
| --- | --- | --- |
| account:GetAccountInformation | Concede permiso para recuperar la información de una cuenta | Lectura |
| payments:DeletePaymentInstrument | Concede permiso para eliminar un instrumento de pago | Escritura |
| payments:CreatePaymentInstrument | Concede permiso para crear un instrumento de pago | Escritura |
| payments:MakePayment | Concede permiso para realizar un pago, autenticar un pago, verificar un método de pago y generar un documento de solicitud de fondos para Advance Pay | Escritura |
| payments:UpdatePaymentPreferences | Concede permiso para actualizar las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Escritura |
## Asignación para purchase-orders:ViewPurchaseOrders
| Nueva acción | Description (Descripción) | Nivel de acceso |
| --- | --- | --- |
| invoicing:GetInvoicePDF | Concede permiso para obtener una factura en PDF | Get |
| payments:ListPaymentPreferences | Concede permiso para obtener las preferencias de pago (por ejemplo, moneda de pago preferida, método de pago preferido) | Enumeración |
| purchase-orders:GetPurchaseOrder | Concede permiso para obtener una orden de compra | Lectura |
| purchase-orders:ListPurchaseOrderInvoices | Concede permiso para ver las órdenes de compra y los detalles | Enumeración |
| purchase-orders:ListPurchaseOrders | Concede permiso para obtener todas las órdenes de compra disponibles | Enumeración |
## Asignación para purchase-orders:ModifyPurchaseOrders
| Nueva acción | Description (Descripción) | Nivel de acceso |
| --- | --- | --- |
| purchase-orders:AddPurchaseOrder | Concede permiso para agregar una orden de compra | Escritura |
| purchase-orders:DeletePurchaseOrder | Concede permiso para eliminar una orden de compra. | Escritura |
| purchase-orders:UpdatePurchaseOrder | Concede permiso para actualizar una orden de compra existente | Escritura |
| purchase-orders:UpdatePurchaseOrderStatus | Concede permiso para establecer el estado de una orden de compra | Escritura |