翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# コンソールを使用してポリシーを一括移行する
<a name="migrate-granularaccess-console"></a>

**注記**  
次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。  
`aws-portal` 名前空間
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
を使用している場合は AWS Organizations、[一括ポリシー移行スクリプト](migrate-iam-permissions.md)または一括ポリシー移行スクリプトを使用して、支払者アカウントからポリシーを更新できます。また、[従来のアクションから詳細なアクションへのマッピングのリファレンス](migrate-granularaccess-iam-mapping-reference.md)を使用して、追加する必要のある IAM アクションを検証することもできます。  
2023 年 3 月 6 日午前 11:00 (PDT) 以降に AWS Organizations 作成された がある場合、 AWS アカウントまたは の一部である場合、きめ細かなアクションはすでに組織で有効です。

このセクションでは、[AWS Billing and Cost Management コンソール](https://console.aws.amazon.com/billing/)を使用してレガシーポリシーを Organizations アカウントまたは標準アカウントから詳細なアクションに一括で移行する方法について説明します。コンソールを使用してレガシーポリシーの移行を完了するには、次の 2 つの方法があります。

**AWS が推奨する移行プロセスの使用**  
これは、 AWSによってマッピングされた詳細なアクションにレガシーアクションを移行する、合理化された単一アクションプロセスです。詳細については、「[推奨されるアクションを使用してレガシーポリシーを一括移行する](migrate-console-streamlined.md)」を参照してください。

**カスタマイズされた移行プロセスの使用**  
このプロセスにより、一括移行 AWS 前に が推奨するアクションを確認および変更したり、組織内のどのアカウントを移行するかをカスタマイズしたりできます。詳細については、「[レガシーポリシーを一括移行するためのアクションのカスタマイズ](migrate-console-customized.md)」を参照してください。

## コンソールを使用した一括移行の前提条件
<a name="migrate-granularaccess-console-prereq"></a>

どちらの移行オプションでも、 が割り当てたレガシー IAM アクションにきめ細かなアクション AWS を推奨できるように、コンソールで同意する必要があります。これを行うには、ポリシーの更新を続行するには、次の [IAM アクションを使用して IAM プリンシパル](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)として AWS アカウントにログインする必要があります。

------
#### [ Management account ]

```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced",
"aws-portal:UpdateConsoleActionSetEnforced",
"purchase-orders:UpdateConsoleActionSetEnforced",
"iam:GetAccountAuthorizationDetails",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:CreateFunction",
"lambda:InvokeFunction",
"lambda:RemovePermission",
"scheduler:GetSchedule", 
"scheduler:DeleteSchedule",
"scheduler:CreateSchedule",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:CreateStackSet",
"cloudformation:CreateStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStackSets",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:ListStacks",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:CreateStack",
"cloudformation:UpdateStackInstances",
"cloudformation:UpdateStackSet",
"cloudformation:DescribeStacks",
"ec2:DescribeRegions",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"iam:GenerateOrganizationsAccessReport",
"iam:GetOrganizationsAccessReport",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"organizations:ListAccountsForParent",
"organizations:ListRoots",
"sts:AssumeRole",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:GetInlinePolicyForPermissionSet",
"sso:DescribePermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sso:ProvisionPermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```

------
#### [ Member account or standard account ]

```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced", // Not needed for member account
"aws-portal:UpdateConsoleActionSetEnforced", // Not needed for member account
"purchase-orders:UpdateConsoleActionSetEnforced", // Not needed for member account
"iam:GetAccountAuthorizationDetails",
"ec2:DescribeRegions",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl", 
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```

------

**Topics**
+ [コンソールを使用した一括移行の前提条件](#migrate-granularaccess-console-prereq)
+ [推奨されるアクションを使用してレガシーポリシーを一括移行する](migrate-console-streamlined.md)
+ [レガシーポリシーを一括移行するためのアクションのカスタマイズ](migrate-console-customized.md)
+ [一括移行ポリシーの変更をロールバックする](migrate-console-rollback.md)
+ [移行の確認](#migrate-console-complete)

## 移行の確認
<a name="migrate-console-complete"></a>

移行ツールを使用して、まだ移行する必要がある AWS Organizations アカウントがあるかどうかを確認できます。

**すべてのアカウントが移行されたかどうかを確認するには**

1. [AWS マネジメントコンソール](https://console.aws.amazon.com/) にサインインします。

1. ページ上部の検索バーに「**Bulk Policy Migrator**」と入力します。

1. **[新しい IAM アクションの管理]** ページで、**[アカウントの移行]** タブを選択します。

テーブルに移行されていないアカウントが表示されない場合、すべてのアカウントが正常に移行されました。