本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# IAM 精细操作映射参考
**注意**
以下 AWS Identity and Access Management (IAM) 操作已于 2023 年 7 月结束标准支持:
`aws-portal` 命名空间
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您正在使用 AWS Organizations,则可以使用[批量策略迁移器脚本](migrate-iam-permissions.md)或批量策略迁移器从您的付款人账户更新政策。您还可以使用[旧到精细操作映射参考](#migrate-granularaccess-iam-mapping-reference)来验证需要添加的 IAM 操作。
如果您在 2023 年 3 月 6 日上午 11:00(太平洋夏令时)当天或之后 AWS Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 AWS 账户
您需要迁移权限策略或服务控制策略(SCP)中的以下 IAM 操作:
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
您可以使用本主题,查看即将停用的每个 IAM 操作的旧精细操作到新精细操作的映射。
**概述**
1. 在 AWS 账户中查看受影响的 IAM policy。为此,请按照**受影响的策略**工具中的步骤来确定受影响的 IAM policy。请参阅[如何使用受影响策略工具](migrate-security-iam-tool.md)。
1. 使用 IAM 控制台向您的策略添加新的精细权限。例如,如果您的策略允许该 `purchase-orders:ModifyPurchaseOrders` 权限,则需要将每个操作添加到 [purchase-orders:ModifyPurchaseOrders 的映射](#mapping-for-purchase-ordersmodifypurchaseorders) 表中。
**旧策略**
以下策略允许用户添加、删除或修改账户中的任何采购订单。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "purchase-orders:ModifyPurchaseOrders",
"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
}
]
}
```
------
**新策略**
以下策略还允许用户添加、删除或修改账户中的任何采购订单。请注意,每项精细权限都显示在旧 `purchase-orders:ModifyPurchaseOrders` 权限之后。这些权限使您可以更好地控制要允许或拒绝的操作。
**提示**
我们建议您保留旧权限,以确保在此迁移完成之前不会失去权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"purchase-orders:ModifyPurchaseOrders",
"purchase-orders:AddPurchaseOrder",
"purchase-orders:DeletePurchaseOrder",
"purchase-orders:UpdatePurchaseOrder",
"purchase-orders:UpdatePurchaseOrderStatus"
],
"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
}
]
}
```
------
1. 保存更改。
**注意**
要在 IAM 控制台中手动编辑策略,请参阅《IAM 用户指南》**中的[编辑客户管理型策略(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console)。
要批量迁移 IAM policy 以使用精细操作(新操作),请参阅 [使用脚本批量迁移策略以使用 IAM 精细操作](migrate-iam-permissions.md)。
**Contents**
+ [aws-portal:ViewAccount 的映射](#mapping-for-aws-portalviewaccount)
+ [aws-portal:ViewBilling 的映射](#mapping-for-aws-portalviewbilling)
+ [aws-portal:ViewPaymentMethods 的映射](#mapping-for-aws-portalviewpaymentmethods)
+ [aws-portal:ViewUsage 的映射](#mapping-for-aws-portalviewusage)
+ [aws-portal:ModifyAccount 的映射](#mapping-for-aws-portalmodifyaccount)
+ [aws-portal:ModifyBilling 的映射](#mapping-for-aws-portalmodifybilling)
+ [aws-portal:ModifyPaymentMethods 的映射](#mapping-for-aws-portalmodifypaymentmethods)
+ [purchase-orders:ViewPurchaseOrders 的映射](#mapping-for-purchase-ordersviewpurchaseorders)
+ [purchase-orders:ModifyPurchaseOrders 的映射](#mapping-for-purchase-ordersmodifypurchaseorders)
## aws-portal:ViewAccount 的映射
| 新操作 | 说明 | 访问级别 |
| --- | --- | --- |
| account:GetAccountInformation | 授予检索账户信息的权限 | 读取 |
| account:GetAlternateContact | 授予权限以检索账户的备用联系人 | 读取 |
| account:GetContactInformation | 授予权限以检索账户的主要联系人信息 | 读取 |
| billing:GetContractInformation | 授予权限以查看账户合同信息,包括合同编号、最终用户组织名称、采购订单号,以及账户是否用于为公共部门客户提供服务 | 读取 |
| billing:GetIAMAccessPreference | 授予权限以检索允许 IAM 访问账单首选项状态 | 读取 |
| billing:GetSellerOfRecord | 授予权限以检索账户的默认记录卖家 | 读取 |
| payments:ListPaymentPreferences | 授予权限以获取付款首选项,例如首选付款币种、首选付款方式 | 读取 |
## aws-portal:ViewBilling 的映射
| 新操作 | 说明 | 访问级别 |
| --- | --- | --- |
| account:GetAccountInformation | 授予检索账户信息的权限 | 读取 |
| billing:GetBillingData | 授予对账单信息执行查询的权限 | 读取 |
| billing:GetBillingDetails | 授予查看详细行项目账单信息的权限 | 读取 |
| billing:GetBillingNotifications | 授予权限以查看由您发送的 AWS 与您的账户账单信息相关的通知 | 读取 |
| billing:GetBillingPreferences | 授予权限以查看账单首选项,例如预留实例、实惠配套和服务抵扣金共享 | 读取 |
| billing:GetContractInformation | 授予权限以查看账户合同信息,包括合同编号、最终用户组织名称、采购订单号,以及账户是否用于为公共部门客户提供服务 | 读取 |
| billing:GetCredits | 授予查看已兑换的服务抵扣金的权限 | 读取 |
| billing:GetIAMAccessPreference | 授予权限以检索允许 IAM 访问账单首选项状态 | 读取 |
| billing:GetSellerOfRecord | 授予权限以检索账户的默认记录卖家 | 读取 |
| billing:ListBillingViews | 授予获取形式账单组账单信息的权限 | 列表 |
| ce:DescribeNotificationSubscription | 授予权限以查看预留到期提醒 | 读取 |
| ce:DescribeReport | 授予权限以查看 Cost Explorer 报告页面 | Read |
| ce:GetAnomalies | 授予权限以检索异常 | Read |
| ce:GetAnomalyMonitors | 授予权限以查询异常监控 | Read |
| ce:GetAnomalySubscriptions | 授予权限以查询异常订阅 | Read |
| ce:GetCostAndUsage | 授予权限以检索您的账户的成本和使用率指标 | Read |
| ce:GetCostAndUsageWithResources | 授予权限以检索您的账户资源的成本和使用率指标 | 读取 |
| ce:GetCostCategories | 授予权限以查询指定时间段内成本类别名称和值 | 读取 |
| ce:GetCostForecast | 授予权限以检索预测时间段的成本预测 | Read |
| ce:GetDimensionValues | 授予权限以检索筛选条件在一段时间内的所有可用筛选条件值 | 读取 |
| ce:GetPreferences | 授予权限以查看 Cost Explorer 首选项页面 | 读取 |
| ce:GetReservationCoverage | 授予权限以检索您的账户的预留范围 | Read |
| ce:GetReservationPurchaseRecommendation | 授予权限以检索您的账户的预留建议 | Read |
| ce:GetReservationUtilization | 授予权限以检索您的账户的预留利用率 | Read |
| ce:GetRightsizingRecommendation | 授予权限以检索您的账户的合理调整大小建议 | Read |
| ce:GetSavingsPlansCoverage | 授予权限以检索您账户的 Savings Plans 覆盖范围 | Read |
| ce:GetSavingsPlansPurchaseRecommendation | 授予权限以检索您账户的 Savings Plans 建议 | Read |
| ce:GetSavingsPlansUtilization | 授予权限以检索您账户的 Savings Plans 利用率 | Read |
| ce:GetSavingsPlansUtilizationDetails | 授予权限以检索您账户的 Savings Plans 利用率详细信息 | Read |
| ce:GetTags | 授予权限以查询指定时间段的标签 | Read |
| ce:GetUsageForecast | 授予权限以检索预测时间段的使用情况预测 | 读取 |
| ce:ListCostAllocationTags | 授予权限以列出成本分配标签 | 列表 |
| ce:ListSavingsPlansPurchaseRecommendationGeneration | 授予权限以检索您的历史建议生成列表 | 读取 |
| consolidatedbilling:GetAccountBillingRole | 授予权限以获取账户角色(付款人、关联账户、常规账户) | 读取 |
| consolidatedbilling:ListLinkedAccounts | 授予权限以获取成员和关联账户列表 | 列表 |
| cur:GetClassicReport | 授予权限以获取账单 CSV 报告 | 读取 |
| cur:GetClassicReportPreferences | 授予权限以获取使用情况报告的经典报告启用状态 | 读取 |
| cur:ValidateReportDestination | 授予验证 Amazon S3 存储桶是否存在的权限,并授予相应的 AWS CUR 传送权限 | 读取 |
| freetier:GetFreeTierAlertPreference | 授予获取 AWS 免费套餐 警报首选项的权限(通过电子邮件地址) | 读取 |
| freetier:GetFreeTierUsage | 授予获取 AWS 免费套餐 使用限制和 month-to-date (MTD) 使用状态的权限 | 读取 |
| invoicing:GetInvoiceEmailDeliveryPreferences | 授予权限以获取发票电子邮件发送首选项 | 读取 |
| invoicing:GetInvoicePDF | 授予权限以获取发票 PDF | 读取 |
| invoicing:ListInvoiceSummaries | 授予权限以获取账户或关联账户的发票摘要信息 | 列表 |
| payments:GetPaymentInstrument | 授予获取付款方式信息的权限 | 读取 |
| payments:GetPaymentStatus | 授予获取发票付款状态的权限 | 读取 |
| payments:ListPaymentPreferences | 授予权限以获取付款首选项,例如首选付款币种、首选付款方式 | 读取 |
| tax:GetTaxInheritance | 授予查看税务继承状态的权限 | 读取 |
| tax:GetTaxRegistrationDocument | 授予下载税务登记文档的权限 | 读取 |
| tax:ListTaxRegistrations | 授予权限以查看税务登记 | 读取 |
## aws-portal:ViewPaymentMethods 的映射
| 新操作 | 说明 | 访问级别 |
| --- | --- | --- |
| account:GetAccountInformation | 授予检索账户信息的权限 | 读取 |
| invoicing:GetInvoicePDF | 授予权限以获取发票 PDF | 读取 |
| payments:GetPaymentInstrument | 授予获取付款方式信息的权限 | 读取 |
| payments:GetPaymentStatus | 授予获取发票付款状态的权限 | 读取 |
| payments:ListPaymentPreferences | 授予权限以获取付款首选项,例如首选付款币种、首选付款方式 | 列表 |
## aws-portal:ViewUsage 的映射
| 新操作 | 说明 | 访问级别 |
| --- | --- | --- |
| cur:GetUsageReport | 授予获取使用情况报告工作流程的列表 AWS 服务、使用类型和操作以及下载使用情况报告的权限 | 读取 |
## aws-portal:ModifyAccount 的映射
| 新操作 | 说明 | 访问级别 |
| --- | --- | --- |
| account:CloseAccount | 授予关闭账户的权限 | 写入 |
| account:DeleteAlternateContact | 授予权限以删除账户的备用联系人 | 写入 |
| account:PutAlternateContact | 授予权限以修改账户的备用联系人 | 写入 |
| account:PutChallengeQuestions | 授予修改账户质询问题的权限 | 写入 |
| account:PutContactInformation | 授予权限以更新账户的主要联系人信息 | 写入 |
| billing:PutContractInformation | 授予设置账户合同信息、最终用户组织名称,以及账户是否用于为公共部门客户提供服务的权限 | 写入 |
| billing:UpdateIAMAccessPreference | 授予权限以更新允许 IAM 访问账单首选项 | 写入 |
| payments:UpdatePaymentPreferences | 授予权限以更新付款首选项,例如首选付款币种、首选付款方式 | 写入 |
## aws-portal:ModifyBilling 的映射
| 新操作 | 说明 | 访问级别 |
| --- | --- | --- |
| billing:PutContractInformation | 授予设置账户合同信息、最终用户组织名称,以及账户是否用于为公共部门客户提供服务的权限 | 写入 |
| billing:RedeemCredits | 授予兑换积分的 AWS 权限 | 写入 |
| billing:UpdateBillingPreferences | 授予权限以更新账单首选项,例如预留实例、实惠配套和服务抵扣金共享 | 写入 |
| ce:CreateAnomalyMonitor | 授予权限以创建新异常监控 | Write |
| ce:CreateAnomalySubscription | 授予权限以创建新异常订阅 | 写入 |
| ce:CreateNotificationSubscription | 授予权限以创建预留到期提醒 | 写入 |
| ce:CreateReport | 授予权限以创建 Cost Explorer 报告 | Write |
| ce:DeleteAnomalyMonitor | 授予权限以删除异常监控 | Write |
| ce:DeleteAnomalySubscription | 授予权限以删除异常订阅 | 写入 |
| ce:DeleteNotificationSubscription | 授予权限以删除预留到期提醒 | 写入 |
| ce:DeleteReport | 授予权限以删除 Cost Explorer 报告 | 写入 |
| ce:ProvideAnomalyFeedback | 授予权限以提供对检测到的异常的反馈 | 写入 |
| ce:StartSavingsPlansPurchaseRecommendationGeneration | 授予权限以请求 Savings Plans 建议生成 | 写入 |
| ce:UpdateAnomalyMonitor | 授予权限以更新现有异常监控 | Write |
| ce:UpdateAnomalySubscription | 授予权限以更新现有异常订阅 | 写入 |
| ce:UpdateCostAllocationTagsStatus | 授予权限以更新现有成本分配标签状态 | 写入 |
| ce:UpdateNotificationSubscription | 授予权限以更新预留到期提醒 | 写入 |
| ce:UpdatePreferences | 授予权限以编辑 Cost Explorer 首选项页面 | 写入 |
| cur:PutClassicReportPreferences | 授予启用经典报告的权限 | 写入 |
| freetier:PutFreeTierAlertPreference | 授予设置 AWS 免费套餐 警报首选项的权限(通过电子邮件地址) | 写入 |
| invoicing:PutInvoiceEmailDeliveryPreferences | 授予权限以更新发票电子邮件发送首选项 | 写入 |
| payments:CreatePaymentInstrument | 授予创建付款方式的权限 | 写入 |
| payments:DeletePaymentInstrument | 授予删除付款方式的权限 | 写入 |
| payments:MakePayment | 授予权限以进行付款、验证付款、验证付款方式,以及为 Advance Pay 生成资金请求文档 | 写入 |
| payments:UpdatePaymentPreferences | 授予权限以更新付款首选项,例如首选付款币种、首选付款方式 | 写入 |
| tax:BatchPutTaxRegistration | 授予批量更新税务登记的权限 | 写入 |
| tax:DeleteTaxRegistration | 授予删除税务登记数据的权限 | 写入 |
| tax:PutTaxInheritance | 授予设置税务继承的权限 | 写入 |
## aws-portal:ModifyPaymentMethods 的映射
| 新操作 | 说明 | 访问级别 |
| --- | --- | --- |
| account:GetAccountInformation | 授予检索账户信息的权限 | 读取 |
| payments:DeletePaymentInstrument | 授予删除付款方式的权限 | 写入 |
| payments:CreatePaymentInstrument | 授予创建付款方式的权限 | 写入 |
| payments:MakePayment | 授予权限以进行付款、验证付款、验证付款方式,以及为 Advance Pay 生成资金请求文档 | 写入 |
| payments:UpdatePaymentPreferences | 授予权限以更新付款首选项,例如首选付款币种、首选付款方式 | 写入 |
## purchase-orders:ViewPurchaseOrders 的映射
| 新操作 | 说明 | 访问级别 |
| --- | --- | --- |
| invoicing:GetInvoicePDF | 授予权限以获取发票 PDF | 获取 |
| payments:ListPaymentPreferences | 授予权限以获取付款首选项,例如首选付款币种、首选付款方式 | 列表 |
| purchase-orders:GetPurchaseOrder | 授予获取采购订单的权限 | 读取 |
| purchase-orders:ListPurchaseOrderInvoices | 授予查看采购订单和详细信息的权限 | 列表 |
| purchase-orders:ListPurchaseOrders | 授予获取所有可用采购订单的权限 | 列表 |
## purchase-orders:ModifyPurchaseOrders 的映射
| 新操作 | 说明 | 访问级别 |
| --- | --- | --- |
| purchase-orders:AddPurchaseOrder | 授予权限以添加采购订单 | 写入 |
| purchase-orders:DeletePurchaseOrder | 授予权限以删除采购订单。 | 写入 |
| purchase-orders:UpdatePurchaseOrder | 授予更新现有采购订单的权限 | 写入 |
| purchase-orders:UpdatePurchaseOrderStatus | 授予设置采购订单状态的权限 | 写入 |