本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 如何使用受影响策略工具
**注意**
以下 AWS Identity and Access Management (IAM) 操作已于 2023 年 7 月结束标准支持:
`aws-portal` 命名空间
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您正在使用 AWS Organizations,则可以使用[批量策略迁移器脚本](migrate-iam-permissions.md)或批量策略迁移器从您的付款人账户更新政策。您还可以使用[旧到精细操作映射参考](migrate-granularaccess-iam-mapping-reference.md)来验证需要添加的 IAM 操作。
如果您在 2023 年 3 月 6 日上午 11:00(太平洋夏令时)当天或之后 AWS Organizations 创建,或参与其中,则细粒度操作已在您的组织中生效。 AWS 账户
您可以使用账单控制台中的**受影响策略**工具来识别 IAM 策略(不包括 SCPs),并参考受此迁移影响的 IAM 操作。使用**受影响的策略**工具执行以下任务:
+ 确定 IAM 策略并参考受此次迁移影响的 IAM 操作
+ 将更新后的策略复制到剪贴板
+ 在 IAM 策略编辑器中打开受影响的策略
+ 为您的账户保存更新后的策略
+ 开启精细权限并禁用旧操作
此工具在您登录的 AWS 账户范围内运行,并且不会披露有关其他 AWS Organizations 账户的信息。
**要使用受影响策略工具,请执行以下操作**
1. 登录 AWS 管理控制台 并打开 AWS 账单与成本管理 控制台,网址为[https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/)。
1. 将以下 URL 粘贴到浏览器中以访问 **Affected policies**(受影响的策略)工具:[https://console.aws.amazon.com/poliden/home?region=us-east-1#/](https://console.aws.amazon.com/poliden/home?region=us-east-1#/)。
**注意**
您必须具有 `iam:GetAccountAuthorizationDetails` 权限才能查看此页面。
1. 查看列出受影响的 IAM 策略的表。使用 **Deprecated IAM actions**(已弃用的 IAM 操作)列查看策略中提及的特定 IAM 操作。
1. 在**复制更新后的策略**列下,选择**复制**,以将更新后的策略复制到剪贴板。更新后的策略包含现有策略以及作为单独 `Sid` 块附加到该策略后的建议精细操作。该块在策略末尾有前缀 `AffectedPoliciesMigrator`。
1. 选择**在 IAM 控制台中编辑策略**列,然后选择**编辑**以转到 IAM 策略编辑器。您将看到现有策略的 JSON 代码。
1. 将现有策略完整替换为您在第 4 步中复制的更新后策略。您可以根据需要进行任何其他更改。
1. 选择**下一步**,然后选择**保存更改**。
1. 对所有列出的策略重复第 3 步到第 7 步。
1. 更新策略后,刷新受**影响的策略**工具,确认没有受影响的策略列出。所有策略的**找到的新 IAM 操作**列都应为**是**,并且**复制**和**编辑**按钮将被禁用。受影响的策略已更新。
**为您的账户启用精细操作**
更新策略后,请按照以下过程为您的账户启用精细操作。
只有组织的管理账户(付款人)或个人账户才能使用**管理新 IAM 操作**部分。个人账户可以为自己启用新操作。管理账户可以为整个组织或部分成员账户启用新操作。如果您是管理账户,请为所有成员账户更新受影响的策略,并为您的组织启用新操作。有关更多信息,请参阅[如何在新的细粒度操作或现有 IAM 操作之间切换账户](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/#How-to-toggle-accounts-between-new-fine-grained-actions-or-existing-IAM-Actions)? AWS 博客文章中的部分。
**注意**
要完成此操作,您必须具有以下权限:
`aws-portal:GetConsoleActionSetEnforced`
`aws-portal:UpdateConsoleActionSetEnforced`
`ce:GetConsoleActionSetEnforced`
`ce:UpdateConsoleActionSetEnforced`
`purchase-orders:GetConsoleActionSetEnforced`
`purchase-orders:UpdateConsoleActionSetEnforced`
如果您没有看到**管理新 IAM 操作**部分,则表示您的账户已经启用了 IAM 精细操作。
1. 在**管理新的 IAM 操作**下,**已强制执行的当前操作集**设置的状态将为**现有**。
选择**启用新操作(精细)**,然后选择**应用更改**。
1. 在此对话框中,选择**是**。**已强制执行的当前操作集**的状态将更改为**精细**。这意味着您 AWS 账户 或您的组织将强制执行新操作。
1. (可选)然后,您可以更新现有策略以移除任何旧操作。
**Example 示例:应用 IAM 策略之前和之后**
以下 IAM 策略采用旧的 `aws-portal:ViewPaymentMethods` 操作。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
}
]
}
```
复制更新后的策略后,以下示例将具有包含精细操作的新 `Sid` 块。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:ViewPaymentMethods"
],
"Resource": "*"
},
{
"Sid": "AffectedPoliciesMigrator0",
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"invoicing:GetInvoicePDF",
"payments:GetPaymentInstrument",
"payments:GetPaymentStatus",
"payments:ListPaymentPreferences"
],
"Resource": "*"
}
]
}
```
## 相关资源
有关更多信息,请参阅《IAM 用户指南》中的 [Sid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html)**。
有关新精细操作的更多信息,请参阅 [IAM 精细操作映射参考](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html) 和 [使用精细 Billing 操作](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html#migrate-user-permissions)。