翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 影響を受けたポリシーツールの使用方法
<a name="migrate-security-iam-tool"></a>

**注記**  
次の AWS Identity and Access Management (IAM) アクションは、2023 年 7 月に標準サポートが終了しました。  
`aws-portal` 名前空間
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
を使用している場合は AWS Organizations、[一括ポリシー移行スクリプト](migrate-iam-permissions.md)または一括ポリシー移行スクリプトを使用して、支払者アカウントからポリシーを更新できます。また、[従来のアクションから詳細なアクションへのマッピングのリファレンス](migrate-granularaccess-iam-mapping-reference.md)を使用して、追加する必要のある IAM アクションを検証することもできます。  
2023 年 3 月 6 日午前 11 時 (PDT) 以降に AWS Organizations 作成された がある場合、 AWS アカウントまたは の一部である場合、きめ細かなアクションは組織で既に有効です。

請求コンソールの [**影響を受けたポリシー**] ツールを使用して IAM ポリシー (SCP を除く) を特定し、この移行によって影響を受ける IAM アクションを参照します。[**影響を受けたポリシー**] ツールを使用して、以下のタスクを実行します。
+ IAM ポリシーを特定し、この移行によって影響を受ける IAM アクションを参照します。
+ 更新したポリシーをクリップボードにコピーします。
+ 影響を受けたポリシーを IAM ポリシーエディターで開きます。
+ アカウントの更新したポリシーを保存します。
+ 詳細な権限を有効にして、古いアクションを無効にします。

このツールは、サインインしている AWS アカウントの境界内で動作し、他の AWS Organizations アカウントに関する情報は公開されません。

**[影響を受けたポリシー] ツールを使用するには**

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/) で AWS Billing and Cost Management コンソールを開きます。

1. **[影響を受けたポリシー]** ツールにアクセスするには、URL ([https://console.aws.amazon.com/poliden/home?region=us-east-1#/](https://console.aws.amazon.com/poliden/home?region=us-east-1#/)) をブラウザに貼り付けます。
**注記**  
`iam:GetAccountAuthorizationDetails` アクセス許可は、このページを表示するために必要です。

1. 影響を受ける IAM ポリシーが記載されている表を確認します。ポリシーで参照されている特定の IAM アクションを確認するには、**[非推奨の IAM アクション]** 列を使用してください。

1. [**更新したポリシーをコピー**] 列で [**コピー**] を選択し、更新したポリシーをクリップボードにコピーします。更新したポリシーには、既存のポリシーと、それに追加された詳細な推奨アクションが個別の `Sid` ブロックとして含まれます。このブロックには、ポリシーの末尾にプレフィックス `AffectedPoliciesMigrator` が付きます。

1. [**IAM コンソールでポリシーを編集**] 列で、[**編集**] を選択して IAM ポリシーエディターに移動します。既存のポリシーの JSON が表示されます。

1. 既存のポリシー全体を、ステップ 4 でコピーした更新済みのポリシーに置き換えます。必要に応じて他の変更を加えることができます。

1. [**次へ**]、[**変更を保存**] の順に選択します。

1. 影響を受けるすべてのポリシーについて、ステップ 3 ～ 7 を繰り返します。

1. ポリシーを更新したら、[**影響を受けたポリシー**] ツールを更新して、影響を受けたポリシーがリストにないことを確認します。すべてのポリシーの [**新しい IAM アクションが見つかりました**] 列に [**はい**] が表示され、[**コピー**] ボタンと [**編集**] ボタンは無効になります。影響を受けたポリシーが更新されます。

**アカウントで詳細なアクションを有効にするには**

ポリシーを更新したら、次の手順に従ってアカウントで詳細なアクションを有効にします。

[**新しい IAM アクションを管理**] セクションを使用できるのは、組織の管理アカウント (支払人) または個人アカウントだけです。個人アカウントは、新しいアクションを自分で有効にできます。管理アカウントは、組織全体または一部のメンバーアカウントに対して新しいアクションを有効にできます。管理アカウントの場合は、すべてのメンバーアカウントの影響を受けたポリシーを更新し、組織で新しいアクションを有効にします。詳細については、 AWS ブログ記事の「How [to toggle accounts between new fine-grained actions or existing IAM actions?](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/#How-to-toggle-accounts-between-new-fine-grained-actions-or-existing-IAM-Actions)」セクションを参照してください。
**注記**  
これを実行するには、次のアクセス許可が必要です。  
`aws-portal:GetConsoleActionSetEnforced`
`aws-portal:UpdateConsoleActionSetEnforced`
`ce:GetConsoleActionSetEnforced`
`ce:UpdateConsoleActionSetEnforced`
`purchase-orders:GetConsoleActionSetEnforced`
`purchase-orders:UpdateConsoleActionSetEnforced`

[**新しい IAM アクションを管理**] セクションが表示されない場合は、アカウントで詳細な IAM アクションがすでに有効になっていることを意味します。

1. [**新しい IAM アクションを管理**] では、[**強制される現在のアクションセット**] 設定は [**既存**] ステータスになります。

   [**新しいアクションを有効にする (詳細)**] を選択し、[**変更を適用**] を選択します。

1. ダイアログボックスで、**[はい]** を選択します。「**強制される現在のアクションセット**] ステータスが [**詳細**] に変わります。つまり、新しいアクションがユーザーの AWS アカウント または組織に強制されます。

1. (オプション) その後、既存のポリシーを更新して、古いアクションをすべて削除できます。

**Example 例: IAM ポリシーの前と後**  
次の IAM ポリシーには古い `aws-portal:ViewPaymentMethods` アクションが含まれています。  

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        }
    ]
}
```
更新したポリシーをコピーすると、次の例では詳細なアクションを含む新しい `Sid` ブロックが作成されます。  

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AffectedPoliciesMigrator0",
            "Effect": "Allow",
            "Action": [
                "account:GetAccountInformation",
                "invoicing:GetInvoicePDF",
                "payments:GetPaymentInstrument",
                "payments:GetPaymentStatus",
                "payments:ListPaymentPreferences"
            ],
            "Resource": "*"
        }
    ]
}
```

## 関連リソース
<a name="related-resources-affected-policies"></a>

詳細については、「IAM ユーザーガイド」の「[Sid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html)」を参照してください。

新しい詳細アクションの詳細については、「[詳細な IAM アクションのリファレンスのマッピング](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html)」と「[きめ細かな請求アクションの使用](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html#migrate-user-permissions)」を参照してください。