本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用主控台大量遷移您的政策
**注意**
下列 AWS Identity and Access Management (IAM) 動作已於 2023 年 7 月結束標準支援:
`aws-portal` 命名空間
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您使用的是 AWS Organizations,您可以使用[大量政策 migrator 指令碼](migrate-iam-permissions.md)或大量政策 migrator 從您的付款人帳戶更新政策。也可以使用[舊動作至精細動作對應參考](migrate-granularaccess-iam-mapping-reference.md)來確認需要新增的 IAM 動作。
如果您有 在 2023 年 3 月 6 日上午 11:00 (PDT) 或之後 AWS Organizations 建立的 AWS 帳戶或 的一部分,則精細動作已在組織中生效。
本節說明如何使用 [AWS 帳單與成本管理 主控台](https://console.aws.amazon.com/billing/),將舊版政策從 Organizations 帳戶或標準帳戶大量遷移至精細動作。您可以使用 主控台,以兩種方式完成遷移舊版政策:
**使用 AWS 建議的遷移程序**
這是一個簡化的單一動作程序,您可以將舊版動作遷移到映射的精細動作 AWS。如需詳細資訊,請參閱[使用建議的動作大量遷移舊版政策](migrate-console-streamlined.md)。
**使用自訂遷移程序**
此程序可讓您檢閱和變更大量遷移 AWS 之前 建議的動作,以及自訂組織中要遷移哪些帳戶。如需詳細資訊,請參閱[自訂動作以大量遷移舊版政策](migrate-console-customized.md)。
## 使用主控台大量遷移的先決條件
這兩個遷移選項都需要您在 主控台中同意,以便 AWS 可以為您指派的舊版 IAM 動作建議精細動作。若要這樣做,您將需要以 [IAM 主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)身分登入 AWS 您的帳戶,並執行下列 IAM 動作,才能繼續更新政策。
------
#### [ Management account ]
```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced",
"aws-portal:UpdateConsoleActionSetEnforced",
"purchase-orders:UpdateConsoleActionSetEnforced",
"iam:GetAccountAuthorizationDetails",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"lambda:GetFunction",
"lambda:DeleteFunction",
"lambda:CreateFunction",
"lambda:InvokeFunction",
"lambda:RemovePermission",
"scheduler:GetSchedule",
"scheduler:DeleteSchedule",
"scheduler:CreateSchedule",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:CreateStackSet",
"cloudformation:CreateStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStackSets",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:ListStacks",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:CreateStack",
"cloudformation:UpdateStackInstances",
"cloudformation:UpdateStackSet",
"cloudformation:DescribeStacks",
"ec2:DescribeRegions",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"iam:GenerateOrganizationsAccessReport",
"iam:GetOrganizationsAccessReport",
"organizations:ListAccounts",
"organizations:ListPolicies",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DescribeOrganization",
"organizations:ListAccountsForParent",
"organizations:ListRoots",
"sts:AssumeRole",
"sso:ListInstances",
"sso:ListPermissionSets",
"sso:GetInlinePolicyForPermissionSet",
"sso:DescribePermissionSet",
"sso:PutInlinePolicyToPermissionSet",
"sso:ProvisionPermissionSet",
"sso:DescribePermissionSetProvisioningStatus",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```
------
#### [ Member account or standard account ]
```
// Required to view page
"ce:GetConsoleActionSetEnforced",
"aws-portal:GetConsoleActionSetEnforced",
"purchase-orders:GetConsoleActionSetEnforced",
"ce:UpdateConsoleActionSetEnforced", // Not needed for member account
"aws-portal:UpdateConsoleActionSetEnforced", // Not needed for member account
"purchase-orders:UpdateConsoleActionSetEnforced", // Not needed for member account
"iam:GetAccountAuthorizationDetails",
"ec2:DescribeRegions",
"s3:CreateBucket",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:PutBucketAcl",
"s3:PutEncryptionConfiguration",
"s3:PutBucketVersioning",
"s3:PutBucketPublicAccessBlock",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetUserPolicy",
"iam:GetGroupPolicy",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:ListPolicyVersions",
"iam:PutUserPolicy",
"iam:PutGroupPolicy",
"iam:PutRolePolicy",
"iam:SetDefaultPolicyVersion",
"iam:GenerateServiceLastAccessedDetails",
"iam:GetServiceLastAccessedDetails",
"notifications:ListNotificationHubs" // Added to ensure Notifications API does not return 403
```
------
**Topics**
+ [使用主控台大量遷移的先決條件](#migrate-granularaccess-console-prereq)
+ [使用建議的動作大量遷移舊版政策](migrate-console-streamlined.md)
+ [自訂動作以大量遷移舊版政策](migrate-console-customized.md)
+ [復原大量遷移政策變更](migrate-console-rollback.md)
+ [確認您的遷移](#migrate-console-complete)
# 使用建議的動作大量遷移舊版政策
您可以使用映射的精細動作來遷移所有舊版政策 AWS。對於 AWS Organizations,這適用於所有帳戶的所有舊版政策。完成遷移程序後,精細動作就會生效。在遞交整個組織之前,您可以選擇使用測試帳戶來測試大量遷移程序。如需詳細資訊,請參閱下一節。
**使用 映射的精細動作來遷移所有政策 AWS**
1. 登入 [AWS 管理主控台](https://console.aws.amazon.com/)。
1. 在頁面頂端的搜尋列中,輸入 **Bulk Policy Migrator**。
1. 在**管理新的 IAM 動作**頁面上,選擇**確認並遷移**。
1. 保留在**遷移進行中**頁面,直到遷移完成。如需進度,請參閱狀態列。
1. **遷移進行中**區段成功更新至**遷移**後,系統會將您重新導向至**管理新的 IAM 動作**頁面。
## 測試您的大量遷移
您可以在承諾遷移整個組織之前,使用測試帳戶來測試從舊版政策到 AWS 建議的精細動作的大量遷移。在測試帳戶上完成遷移程序後,精細動作會套用至您的測試帳戶。
**使用您的測試帳戶進行大量遷移**
1. 登入 [AWS 管理主控台](https://console.aws.amazon.com/)。
1. 在頁面頂端的搜尋列中,輸入 **Bulk Policy Migrator**。
1. 在**管理新的 IAM 動作**頁面上,選擇**自訂**。
1. 帳戶和政策載入**遷移帳戶**資料表後,請從帳戶清單中選取一或多個測試 AWS 帳戶。
1. (選用) 若要變更舊版政策和 AWS 建議的精細動作之間的映射,請選擇**檢視預設映射**。變更映射,然後選擇**儲存**。
1. 選擇**確認並遷移**。
1. 保留在主控台頁面上,直到遷移完成為止。
# 自訂動作以大量遷移舊版政策
您可以透過各種方式自訂大量遷移,而不是對所有帳戶使用 AWS 建議的動作。您可以選擇在遷移之前檢閱舊版政策所需的任何變更、選擇組織中要一次遷移的特定帳戶,以及更新映射的精細動作來變更存取範圍。
**在大量遷移之前檢閱受影響的政策**
1. 登入 [AWS 管理主控台](https://console.aws.amazon.com/)。
1. 在頁面頂端的搜尋列中,輸入 **Bulk Policy Migrator**。
1. 在**管理新的 IAM 動作**頁面上,選擇**自訂**。
1. 帳戶和政策載入**遷移帳戶**資料表後,請在**受影響的 IAM 政策數目**欄中選擇號碼,以查看受影響的政策。您也會看到該政策上次用於存取 Billing and Cost Management 主控台的時間。
1. 選擇政策名稱以在 IAM 主控台中開啟它,以檢視定義並手動更新政策。
**備註**
如果政策來自另一個成員帳戶,這樣做可能會讓您登出目前的帳戶。
如果您目前的帳戶正在進行大量遷移,則不會重新導向至對應的 IAM 頁面。
1. (選用) 選擇**檢視預設映射**以查看舊版政策,以了解映射的精細政策 AWS。
**遷移一組要從組織遷移的選定帳戶**
1. 登入 [AWS 管理主控台](https://console.aws.amazon.com/)。
1. 在頁面頂端的搜尋列中,輸入 **Bulk Policy Migrator**。
1. 在**管理新的 IAM 動作**頁面上,選擇**自訂**。
1. 帳戶和政策載入**遷移帳戶**資料表後,請選取一或多個要遷移的帳戶。
1. 選擇**確認並遷移**。
1. 保留在主控台頁面上,直到遷移完成為止。
**更新映射的精細動作以變更存取範圍**
1. 登入 [AWS 管理主控台](https://console.aws.amazon.com/)。
1. 在頁面頂端的搜尋列中,輸入 **Bulk Policy Migrator**。
1. 在**管理新的 IAM 動作**頁面上,選擇**自訂**。
1. 選擇**檢視預設映射**。
1. 選擇**編輯**。
1. 為您要控制存取的 Billing and Cost Management 服務新增或移除 IAM 動作。如需精細動作及其控制之存取權的詳細資訊,請參閱 [映射精細的 IAM 動作參考](migrate-granularaccess-iam-mapping-reference.md)。
1. 選擇**儲存變更**。
更新後的映射會用於您登入之帳戶的所有未來遷移。您可以隨時變更。
# 復原大量遷移政策變更
您可以使用大量遷移工具中提供的步驟,安全地轉返您在大量遷移程序期間所做的所有政策變更。復原功能可在帳戶層級運作。您可以轉返所有帳戶或遷移帳戶特定群組的政策更新。不過,您無法復原帳戶中特定政策的變更。
**若要轉返大量遷移變更**
1. 登入 [AWS 管理主控台](https://console.aws.amazon.com/)。
1. 在頁面頂端的搜尋列中,輸入 **Bulk Policy Migrator**。
1. 在**管理新的 IAM 動作**頁面上,選擇**回復變更**索引標籤。
1. 選取要轉返的任何帳戶。帳戶必須在**轉返狀態**欄中`Migrated`顯示 。
1. 選擇**轉返變更**按鈕。
1. 保留在主控台頁面上,直到轉返完成。
## 確認您的遷移
您可以使用遷移工具查看是否有任何 AWS Organizations 帳戶仍需要遷移。
**確認所有帳戶是否已遷移**
1. 登入 [AWS 管理主控台](https://console.aws.amazon.com/)。
1. 在頁面頂端的搜尋列中,輸入 **Bulk Policy Migrator**。
1. 在**管理新的 IAM 動作**頁面上,選擇**遷移帳戶**索引標籤。
如果資料表未顯示任何剩餘的帳戶,則所有帳戶都已成功遷移。