

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 콘솔을 사용하여 정책 대량 마이그레이션
<a name="migrate-granularaccess-console"></a>

**참고**  
다음 AWS Identity and Access Management (IAM) 작업은 2023년 7월에 표준 지원이 종료되었습니다.  
`aws-portal` 네임스페이스
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
를 사용하는 경우 [대량 정책 마이그레이션 스크립트](migrate-iam-permissions.md) 또는 대량 정책 마이그레이션기를 사용하여 지급인 계정에서 정책을 업데이트할 AWS Organizations수 있습니다. 또한 [기존 작업-세분화 작업 매핑 참조](migrate-granularaccess-iam-mapping-reference.md)를 사용하여 추가해야 하는 IAM 작업을 확인할 수 있습니다.  
가 있거나 AWS 계정 2023년 3월 6일 오전 11시(PDT) 이후에 AWS Organizations 생성된의 일부인 경우 세분화된 작업이 조직에 이미 적용됩니다.

이 섹션에서는 [AWS 결제 및 비용 관리 콘솔](https://console.aws.amazon.com/billing/)을 사용하여 조직 계정 또는 표준 계정의 레거시 정책을 대량으로 세분화된 작업으로 마이그레이션할 수 있는 방법을 설명합니다. 다음 두 가지 방법으로 콘솔을 사용하여 레거시 정책 마이그레이션을 완료할 수 있습니다.

**AWS 권장 마이그레이션 프로세스 사용**  
레거시 작업을 AWS에서 매핑한 세분화된 작업으로 마이그레이션하는 간소화된 단일 작업 프로세스입니다. 자세한 내용은 [권장 조치를 사용한 레거시 정책 대량 마이그레이션](migrate-console-streamlined.md) 단원을 참조하십시오.

**사용자 지정 마이그레이션 프로세스 사용**  
이 프로세스를 통해 대량 마이그레이션 AWS 전에에서 권장하는 작업을 검토 및 변경하고 조직의 어떤 계정을 마이그레이션할지 사용자 지정할 수 있습니다. 자세한 내용은 [레거시 정책을 대량 마이그레이션하는 작업 사용자 지정](migrate-console-customized.md) 단원을 참조하십시오.

## 콘솔을 사용한 대량 마이그레이션을 위한 사전 조건
<a name="migrate-granularaccess-console-prereq"></a>

두 마이그레이션 옵션 모두 콘솔에서 동의해야 AWS 가 할당한 레거시 IAM 작업에 세분화된 작업을 추천할 수 있습니다. 이렇게 하려면 정책 업데이트를 계속하려면 다음 IAM 작업을 사용하여 AWS 계정에 IAM 보안 주체로 로그인해야 합니다. [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) 

------
#### [ Management account ]

```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced",
"aws-portal:UpdateConsoleActionSetEnforced",
"purchase-orders:UpdateConsoleActionSetEnforced",
"iam:GetAccountAuthorizationDetails",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:CreateFunction",
"lambda:InvokeFunction",
"lambda:RemovePermission",
"scheduler:GetSchedule", 
"scheduler:DeleteSchedule",
"scheduler:CreateSchedule",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:CreateStackSet",
"cloudformation:CreateStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStackSets",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:ListStacks",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:CreateStack",
"cloudformation:UpdateStackInstances",
"cloudformation:UpdateStackSet",
"cloudformation:DescribeStacks",
"ec2:DescribeRegions",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"iam:GenerateOrganizationsAccessReport",
"iam:GetOrganizationsAccessReport",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"organizations:ListAccountsForParent",
"organizations:ListRoots",
"sts:AssumeRole",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:GetInlinePolicyForPermissionSet",
"sso:DescribePermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sso:ProvisionPermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```

------
#### [ Member account or standard account ]

```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced", // Not needed for member account
"aws-portal:UpdateConsoleActionSetEnforced", // Not needed for member account
"purchase-orders:UpdateConsoleActionSetEnforced", // Not needed for member account
"iam:GetAccountAuthorizationDetails",
"ec2:DescribeRegions",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl", 
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```

------

**Topics**
+ [콘솔을 사용한 대량 마이그레이션을 위한 사전 조건](#migrate-granularaccess-console-prereq)
+ [권장 조치를 사용한 레거시 정책 대량 마이그레이션](migrate-console-streamlined.md)
+ [레거시 정책을 대량 마이그레이션하는 작업 사용자 지정](migrate-console-customized.md)
+ [대량 마이그레이션 정책 변경 사항 롤백](migrate-console-rollback.md)
+ [마이그레이션 확인](#migrate-console-complete)

# 권장 조치를 사용한 레거시 정책 대량 마이그레이션
<a name="migrate-console-streamlined"></a>

 AWS에서 매핑한 세분화된 작업을 사용하여 모든 레거시 정책을 마이그레이션할 수 있습니다. 의 경우 AWS Organizations이는 모든 계정의 모든 레거시 정책에 적용됩니다. 마이그레이션 프로세스를 완료하면 세분화된 작업이 적용됩니다. 전체 조직을 커밋하기 전에 테스트 계정을 사용하여 대량 마이그레이션 프로세스를 테스트하는 옵션이 있습니다. 자세한 내용은 다음 섹션을 참조하세요.

**에서 매핑된 세분화된 작업을 사용하여 모든 정책을 마이그레이션하려면 AWS**

1. [AWS Management Console](https://console.aws.amazon.com/)에 로그인합니다.

1. 페이지 상단에 있는 검색 창에 **Bulk Policy Migrator**를 입력합니다.

1. **새 IAM 작업 관리** 페이지에서 **확인 및 마이그레이션**을 선택합니다.

1. 마이그레이션이 완료될 때까지 **마이그레이션 진행 중** 페이지가 유지됩니다. 진행 상황은 상태 표시줄을 참조하세요.

1. **마이그레이션 진행 중** 섹션이 **마이그레이션 성공**으로 업데이트되면 **새 IAM 작업 관리** 페이지로 리디렉션됩니다.

## 대량 마이그레이션 테스트
<a name="migrate-console-streamlined-test"></a>

전체 조직을 마이그레이션하기 전에 테스트 계정을 사용하여 레거시 정책에서 AWS 권장 세분화된 작업으로의 대량 마이그레이션을 테스트할 수 있습니다. 테스트 계정에서 마이그레이션 프로세스를 완료하면 세분화된 작업이 테스트 계정에 적용됩니다.

**대량 마이그레이션을 위해 테스트 계정을 사용하려면**

1. [AWS Management Console](https://console.aws.amazon.com/)에 로그인합니다.

1. 페이지 상단에 있는 검색 창에 **Bulk Policy Migrator**를 입력합니다.

1. **새 IAM 작업 관리** 페이지에서 **사용자 지정**을 선택합니다.

1. 계정 **마이그레이션 테이블에 계정** 및 정책이 로드되면 계정 목록에서 하나 이상의 테스트 AWS 계정을 선택합니다.

1. (선택 사항) 레거시 정책과 AWS 권장 세분화된 작업 간의 매핑을 변경하려면 **기본 매핑 보기를** 선택합니다. 매핑을 변경하고 **저장**을 선택합니다.

1. **확인 및 마이그레이션**을 선택합니다.

1. 마이그레이션이 완료될 때까지 콘솔 페이지가 유지됩니다.

# 레거시 정책을 대량 마이그레이션하는 작업 사용자 지정
<a name="migrate-console-customized"></a>

모든 계정에 AWS 권장 작업을 사용하는 대신 다양한 방법으로 대량 마이그레이션을 사용자 지정할 수 있습니다. 마이그레이션하기 전에 레거시 정책에 필요한 변경 사항을 검토하고, 일회성으로 마이그레이션할 조직의 특정 계정을 선택하고, 매핑된 세분화된 작업을 업데이트하여 액세스 범위를 변경할 수 있는 옵션이 있습니다.

**대량 마이그레이션 전에 영향을 받는 정책을 검토하려면**

1. [AWS Management Console](https://console.aws.amazon.com/)에 로그인합니다.

1. 페이지 상단에 있는 검색 창에 **Bulk Policy Migrator**를 입력합니다.

1. **새 IAM 작업 관리** 페이지에서 **사용자 지정**을 선택합니다.

1. **계정 마이그레이션** 표에 계정 및 정책이 로드되면 **영향을 받는 IAM 정책 수** 열에서 번호를 선택하여 영향을 받는 정책을 확인합니다. 또한 해당 정책이 과금 정보 및 비용 관리 콘솔에 액세스하는 데 마지막으로 사용된 때를 확인할 수 있습니다.

1. 정책 이름을 선택하여 IAM 콘솔에서 열어 정의를 보고 정책을 수동으로 업데이트합니다.
**참고**  
이렇게 하면 정책이 다른 멤버 계정에서 가져온 정책인 경우 현재 계정에서 로그아웃될 수 있습니다.
현재 계정에서 대량 마이그레이션이 진행 중인 경우 해당 IAM 페이지로 리디렉션되지 않습니다.

1. (선택 사항) **기본 매핑 보기**를 선택하여 레거시 정책을 확인하면 AWS에서 매핑된 세분화된 정책을 이해할 수 있습니다.

**조직에서 마이그레이션할 계정 그룹을 선택하여 마이그레이션하려면**

1. [AWS Management Console](https://console.aws.amazon.com/)에 로그인합니다.

1. 페이지 상단에 있는 검색 창에 **Bulk Policy Migrator**를 입력합니다.

1. **새 IAM 작업 관리** 페이지에서 **사용자 지정**을 선택합니다.

1. **계정 마이그레이션** 표에 계정 및 정책이 로드되면 마이그레이션할 하나 이상의 계정을 선택합니다.

1. **확인 및 마이그레이션**을 선택합니다.

1. 마이그레이션이 완료될 때까지 콘솔 페이지가 유지됩니다.

**매핑된 세분화된 작업을 업데이트하여 액세스 범위를 변경하려면**

1. [AWS Management Console](https://console.aws.amazon.com/)에 로그인합니다.

1. 페이지 상단에 있는 검색 창에 **Bulk Policy Migrator**를 입력합니다.

1. **새 IAM 작업 관리** 페이지에서 **사용자 지정**을 선택합니다.

1. **기본 매핑 보기**를 선택합니다.

1. **편집**을 선택합니다.

1. 액세스를 제어하려는 과금 정보 및 비용 관리 서비스에 대한 IAM 작업을 추가하거나 제거합니다. 세분화된 작업과 이 작업이 제어하는 액세스에 대한 자세한 내용은 [세분화된 IAM 작업 매핑 참조](migrate-granularaccess-iam-mapping-reference.md) 섹션을 참조하세요.

1. **변경 사항 저장**을 선택합니다.

업데이트된 매핑은 로그인한 계정의 향후 모든 마이그레이션에 사용됩니다. 이 매핑은 언제든지 변경할 수 있습니다.

# 대량 마이그레이션 정책 변경 사항 롤백
<a name="migrate-console-rollback"></a>

대량 마이그레이션 도구에 제공된 단계를 사용하면, 대량 마이그레이션 프로세스 중에 수행한 모든 정책 변경 사항을 안전하게 롤백할 수 있습니다. 롤백 기능은 계정 수준에서 작동합니다. 모든 계정 또는 마이그레이션된 계정의 특정 그룹에 대한 정책 업데이트를 롤백할 수 있습니다. 그러나 한 계정의 특정 정책에 대한 변경 사항은 롤백할 수 없습니다.

**대량 마이그레이션 변경 사항을 롤백하려면**

1. [AWS Management Console](https://console.aws.amazon.com/)에 로그인합니다.

1. 페이지 상단에 있는 검색 창에 **Bulk Policy Migrator**를 입력합니다.

1. **새 IAM 작업 관리** 페이지에서 **변경 사항 롤백** 탭을 선택합니다.

1. 롤백할 계정을 선택합니다. **롤백 상태** 열에 계정이 `Migrated`로 표시되어야 합니다.

1. **변경 사항 롤백** 버튼을 선택합니다.

1. 롤백이 완료될 때까지 콘솔 페이지가 유지됩니다.

## 마이그레이션 확인
<a name="migrate-console-complete"></a>

마이그레이션 도구를 사용하여 여전히 마이그레이션해야 하는 AWS Organizations 계정이 있는지 확인할 수 있습니다.

**모든 계정이 마이그레이션되었는지 확인하려면**

1. [AWS Management Console](https://console.aws.amazon.com/)에 로그인합니다.

1. 페이지 상단에 있는 검색 창에 **Bulk Policy Migrator**를 입력합니다.

1. **새 IAM 작업 관리** 페이지에서 **계정 마이그레이션** 탭을 선택합니다.

표에 남은 계정이 표시되지 않으면 모든 계정이 성공적으로 마이그레이션된 것입니다.