本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 映射精細的 IAM 動作參考
**注意**
下列 AWS Identity and Access Management (IAM) 動作已於 2023 年 7 月結束標準支援:
`aws-portal` 命名空間
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您使用的是 AWS Organizations,則可以使用[大量政策 migrator 指令碼](migrate-iam-permissions.md)或大量政策 migrator 從您的付款人帳戶更新政策。也可以使用[舊動作至精細動作對應參考](#migrate-granularaccess-iam-mapping-reference)來確認需要新增的 IAM 動作。
如果您有 在 2023 年 3 月 6 日上午 11:00 (PDT) 或之後 AWS Organizations 建立的 AWS 帳戶或 的一部分,則精細動作已在組織中生效。
您需要在許可政策或服務控制政策 (SCP) 中遷移以下 IAM 動作:
+ `aws-portal:ViewAccount`
+ `aws-portal:ViewBilling`
+ `aws-portal:ViewPaymentMethods`
+ `aws-portal:ViewUsage`
+ `aws-portal:ModifyAccount`
+ `aws-portal:ModifyBilling`
+ `aws-portal:ModifyPaymentMethods`
+ `purchase-orders:ViewPurchaseOrders`
+ `purchase-orders:ModifyPurchaseOrders`
您可以使用本主題,針對我們要淘汰的每個 IAM 動作,檢視舊動作與新的精細動作的映射。
**概觀**
1. 在您的 AWS 帳戶查看受影響的 IAM 政策。若要執行這個動作,請按照**受影響的政策**工具中的步驟,識別受影響的 IAM 政策。請參閱 [如何使用受影響的政策工具](migrate-security-iam-tool.md)。
1. 使用 IAM 主控台在您的政策中新增精細許可。舉例來說,如果您的政策允許 `purchase-orders:ModifyPurchaseOrders` 權限,您必須在 [purchase-orders:ModifyPurchaseOrders 映射](#mapping-for-purchase-ordersmodifypurchaseorders) 資料表中新增每個動作。
**舊政策**
下列政策允許使用者新增、刪除或修改帳戶中的任何採購單。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "purchase-orders:ModifyPurchaseOrders",
"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
}
]
}
```
------
**新政策**
下列政策也允許使用者新增、刪除或修改帳戶中的任何採購單。請注意,每個精細許可都會顯示在舊的 `purchase-orders:ModifyPurchaseOrders` 許可之後。這些許可可讓您加強控制想要允許或拒絕的動作。
**提示**
建議您保留舊許可,以便確保在遷移完成之前不會失去許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"purchase-orders:ModifyPurchaseOrders",
"purchase-orders:AddPurchaseOrder",
"purchase-orders:DeletePurchaseOrder",
"purchase-orders:UpdatePurchaseOrder",
"purchase-orders:UpdatePurchaseOrderStatus"
],
"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
}
]
}
```
------
1. 儲存您的變更。
**備註**
若要在 IAM 主控台手動編輯政策,請參閱*《IAM 使用者指南》*中的[編輯客戶管理政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-inline-policy-console)。
若要大量遷移 IAM 政策,以便執行精細動作 (新動作),請參閱[使用指令碼大量遷移您的政策,以使用精細的 IAM 動作](migrate-iam-permissions.md)。
**Contents**
+ [aws-portal:ViewAccount 映射](#mapping-for-aws-portalviewaccount)
+ [aws-portal:ViewBilling 映射](#mapping-for-aws-portalviewbilling)
+ [aws-portal:ViewPaymentMethods 映射](#mapping-for-aws-portalviewpaymentmethods)
+ [aws-portal:ViewUsage 映射](#mapping-for-aws-portalviewusage)
+ [aws-portal:ModifyAccount 映射](#mapping-for-aws-portalmodifyaccount)
+ [aws-portal:ModifyBilling 映射](#mapping-for-aws-portalmodifybilling)
+ [aws-portal:ModifyPaymentMethods 映射](#mapping-for-aws-portalmodifypaymentmethods)
+ [purchase-orders:ViewPurchaseOrders 映射](#mapping-for-purchase-ordersviewpurchaseorders)
+ [purchase-orders:ModifyPurchaseOrders 映射](#mapping-for-purchase-ordersmodifypurchaseorders)
## aws-portal:ViewAccount 映射
| 新動作 | Description | 存取層級 |
| --- | --- | --- |
| account:GetAccountInformation | 准許擷取帳戶的帳戶資訊 | 讀取 |
| account:GetAlternateContact | 准許擷取帳戶的替代聯絡人 | 讀取 |
| account:GetContactInformation | 准許擷取帳戶的主要聯絡人資訊 | 讀取 |
| billing:GetContractInformation | 准許檢視帳戶合約資訊,包括合約編號、最終使用者組織名稱、採購訂單編號,以及帳戶是否用於為公共事業部門客戶提供服務 | 讀取 |
| billing:GetIAMAccessPreference | 准許擷取允許 IAM 存取權帳單偏好設定的狀態 | 讀取 |
| billing:GetSellerOfRecord | 准許擷取帳戶的預設賣家記錄 | 讀取 |
| payments:ListPaymentPreferences | 准許取得付款偏好設定 (例如,偏好的付款貨幣、偏好的付款方式) | 讀取 |
## aws-portal:ViewBilling 映射
| 新動作 | Description | 存取層級 |
| --- | --- | --- |
| account:GetAccountInformation | 准許擷取帳戶的帳戶資訊 | 讀取 |
| billing:GetBillingData | 准許對帳單資訊執行查詢 | 讀取 |
| billing:GetBillingDetails | 准許檢視詳細項目帳單資訊 | 讀取 |
| billing:GetBillingNotifications | 准許檢視 傳送與您的帳戶帳單資訊 AWS 相關的通知 | 讀取 |
| billing:GetBillingPreferences | 准許檢視帳單偏好設定,例如預留執行個體、Savings Plans 和抵用金分享 | 讀取 |
| billing:GetContractInformation | 准許檢視帳戶合約資訊,包括合約編號、最終使用者組織名稱、採購訂單編號,以及帳戶是否用於為公共事業部門客戶提供服務 | 讀取 |
| billing:GetCredits | 准許檢視已兌換的抵用金 | 讀取 |
| billing:GetIAMAccessPreference | 准許擷取允許 IAM 存取權帳單偏好設定的狀態 | 讀取 |
| billing:GetSellerOfRecord | 准許擷取帳戶的預設賣家記錄 | 讀取 |
| billing:ListBillingViews | 准許取得形式帳單群組帳單資訊 | 清單 |
| ce:DescribeNotificationSubscription | 准許檢視保留到期提醒 | 讀取 |
| ce:DescribeReport | 准許檢視 Cost Explorer 報告頁面 | 讀取 |
| ce:GetAnomalies | 准許擷取異常 | 讀取 |
| ce:GetAnomalyMonitors | 准許查詢異常監控器 | 讀取 |
| ce:GetAnomalySubscriptions | 准許查詢異常訂閱 | 讀取 |
| ce:GetCostAndUsage | 准許擷取您的帳戶的成本和用量指標。 | 讀取 |
| ce:GetCostAndUsageWithResources | 准許擷取帳戶的資源成本和用量指標。 | 讀取 |
| ce:GetCostCategories | 准許查詢指定期間的成本類別名稱和值 | 讀取 |
| ce:GetCostForecast | 准許擷取預測期間的成本預測。 | 讀取 |
| ce:GetDimensionValues | 准許擷取篩選條件在一段期間內可用的所有篩選條件值。 | 讀取 |
| ce:GetPreferences | 准許檢視 Cost Explorer 喜好設定頁面 | 讀取 |
| ce:GetReservationCoverage | 准許針對您的帳戶擷取保留涵蓋範圍。 | 讀取 |
| ce:GetReservationPurchaseRecommendation | 准許針對您的帳戶擷取保留建議。 | 讀取 |
| ce:GetReservationUtilization | 准許針對您的帳戶擷取保留使用率。 | 讀取 |
| ce:GetRightsizingRecommendation | 授予許可來針對您的帳戶擷取精簡化建議。 | 讀取 |
| ce:GetSavingsPlansCoverage | 准許針對您的帳戶擷取 Savings Plans 涵蓋範圍。 | 讀取 |
| ce:GetSavingsPlansPurchaseRecommendation | 准許您的帳戶擷取 Savings Plans 建議。 | 讀取 |
| ce:GetSavingsPlansUtilization | 准許針對您的帳戶擷取 Savings Plans 使用率。 | 讀取 |
| ce:GetSavingsPlansUtilizationDetails | 准許針對您的帳戶擷取 Savings Plans 使用率詳細資訊。 | 讀取 |
| ce:GetTags | 准許查詢特定期間內的標籤。 | 讀取 |
| ce:GetUsageForecast | 授予許可來擷取預測期間的用量預測。 | 讀取 |
| ce:ListCostAllocationTags | 准許列出成本分配標籤 | 清單 |
| ce:ListSavingsPlansPurchaseRecommendationGeneration | 准許擷取產生的歷史建議清單 | 讀取 |
| consolidatedbilling:GetAccountBillingRole | 准許取得帳戶角色 (付款人、連結、一般) | 讀取 |
| consolidatedbilling:ListLinkedAccounts | 准許取得成員和連結帳戶的清單 | 清單 |
| cur:GetClassicReport | 准許取得帳單的 CSV 報告 | 讀取 |
| cur:GetClassicReportPreferences | 准許取得用量報告的傳統報告啟用狀態 | 讀取 |
| cur:ValidateReportDestination | 准許驗證 Amazon S3 儲存貯體是否存在並具有適當的 AWS CUR 交付許可 | 讀取 |
| freetier:GetFreeTierAlertPreference | 准許取得 AWS 免費方案 提醒偏好設定 (依電子郵件地址) | 讀取 |
| freetier:GetFreeTierUsage | 准許取得 AWS 免費方案 用量限制和month-to-date(MTD) 用量狀態 | 讀取 |
| invoicing:GetInvoiceEmailDeliveryPreferences | 准許取得發票電子郵件交付喜好設定 | 讀取 |
| invoicing:GetInvoicePDF | 准許取得發票 PDF | 讀取 |
| invoicing:ListInvoiceSummaries | 准許取得帳戶或連結帳戶的發票摘要資訊 | 清單 |
| payments:GetPaymentInstrument | 准許取得付款工具的相關資訊 | 讀取 |
| payments:GetPaymentStatus | 准許取得發票的付款狀態 | 讀取 |
| payments:ListPaymentPreferences | 准許取得付款偏好設定 (例如,偏好的付款貨幣、偏好的付款方式) | 讀取 |
| tax:GetTaxInheritance | 准許檢視稅務繼承狀態 | 讀取 |
| tax:GetTaxRegistrationDocument | 准許下載稅務登記文件 | 讀取 |
| tax:ListTaxRegistrations | 准許檢視稅務登記 | 讀取 |
## aws-portal:ViewPaymentMethods 映射
| 新動作 | Description | 存取層級 |
| --- | --- | --- |
| account:GetAccountInformation | 准許擷取帳戶的帳戶資訊 | 讀取 |
| invoicing:GetInvoicePDF | 准許取得發票 PDF | 讀取 |
| payments:GetPaymentInstrument | 准許取得付款工具的相關資訊 | 讀取 |
| payments:GetPaymentStatus | 准許取得發票的付款狀態 | 讀取 |
| payments:ListPaymentPreferences | 准許取得付款偏好設定 (例如,偏好的付款貨幣、偏好的付款方式) | 清單 |
## aws-portal:ViewUsage 映射
| 新動作 | Description | 存取層級 |
| --- | --- | --- |
| cur:GetUsageReport | 准許取得用量報告工作流程的清單 AWS 服務、用量類型和操作,以及下載用量報告 | 讀取 |
## aws-portal:ModifyAccount 映射
| 新動作 | Description | 存取層級 |
| --- | --- | --- |
| account:CloseAccount | 准許關閉帳戶 | 寫入 |
| account:DeleteAlternateContact | 准許刪除帳戶的替代聯絡人 | 寫入 |
| account:PutAlternateContact | 准許修改帳戶的替代聯絡人 | 寫入 |
| account:PutChallengeQuestions | 准許修改帳戶的質詢問題 | 寫入 |
| account:PutContactInformation | 准許更新帳戶的主要聯絡人資訊 | 寫入 |
| billing:PutContractInformation | 准許設定帳戶的合約資訊,包括最終使用者組織名稱,以及帳戶是否用於為公共事業部門客戶提供服務 | 寫入 |
| billing:UpdateIAMAccessPreference | 准許更新允許 IAM 存取權帳單喜好設定 | 寫入 |
| payments:UpdatePaymentPreferences | 准許更新付款喜好設定 (例如,喜好的付款貨幣、喜好的付款方式) | 寫入 |
## aws-portal:ModifyBilling 映射
| 新動作 | Description | 存取層級 |
| --- | --- | --- |
| billing:PutContractInformation | 准許設定帳戶的合約資訊,包括最終使用者組織名稱,以及帳戶是否用於為公共事業部門客戶提供服務 | 寫入 |
| billing:RedeemCredits | 准許兌換 AWS 點數 | 寫入 |
| billing:UpdateBillingPreferences | 准許更新帳單喜好設定,例如預留執行個體、Savings Plans 和抵用金分享 | 寫入 |
| ce:CreateAnomalyMonitor | 准許建立新的異常監控器 | 寫入 |
| ce:CreateAnomalySubscription | 准許建立新的異常訂閱 | 寫入 |
| ce:CreateNotificationSubscription | 准許建立保留到期提醒 | 寫入 |
| ce:CreateReport | 准許建立 Cost Explorer 報告 | 寫入 |
| ce:DeleteAnomalyMonitor | 准許刪除異常監控器 | 寫入 |
| ce:DeleteAnomalySubscription | 准許刪除異常訂閱 | 寫入 |
| ce:DeleteNotificationSubscription | 准許刪除保留到期提醒 | 寫入 |
| ce:DeleteReport | 准許刪除 Cost Explorer 報告 | 寫入 |
| ce:ProvideAnomalyFeedback | 授予對偵測到的異常提供意見反應的許可 | 寫入 |
| ce:StartSavingsPlansPurchaseRecommendationGeneration | 准許請求產生 Savings Plans 建議 | 寫入 |
| ce:UpdateAnomalyMonitor | 准許更新現有的異常監控器 | 寫入 |
| ce:UpdateAnomalySubscription | 准許更新現有的異常訂閱 | 寫入 |
| ce:UpdateCostAllocationTagsStatus | 准許更新現有的成本分配標籤狀態 | 寫入 |
| ce:UpdateNotificationSubscription | 准許更新保留到期提醒 | 寫入 |
| ce:UpdatePreferences | 准許編輯 Cost Explorer 喜好設定頁面 | 寫入 |
| cur:PutClassicReportPreferences | 准許啟用傳統報告 | 寫入 |
| freetier:PutFreeTierAlertPreference | 准許設定 AWS 免費方案 提醒偏好設定 (依電子郵件地址) | 寫入 |
| invoicing:PutInvoiceEmailDeliveryPreferences | 准許更新發票電子郵件交付喜好設定 | 寫入 |
| payments:CreatePaymentInstrument | 准許建立付款工具 | 寫入 |
| payments:DeletePaymentInstrument | 准許刪除付款工具 | 寫入 |
| payments:MakePayment | 准許進行付款、驗證付款、驗證付款方式,以及產生 Advance Pay 的資金申請文件 | 寫入 |
| payments:UpdatePaymentPreferences | 准許更新付款喜好設定 (例如,喜好的付款貨幣、喜好的付款方式) | 寫入 |
| tax:BatchPutTaxRegistration | 准許批次更新稅務登記 | 寫入 |
| tax:DeleteTaxRegistration | 准許刪除稅務登記資料 | 寫入 |
| tax:PutTaxInheritance | 准許檢視設定稅務繼承 | 寫入 |
## aws-portal:ModifyPaymentMethods 映射
| 新動作 | Description | 存取層級 |
| --- | --- | --- |
| account:GetAccountInformation | 准許擷取帳戶的帳戶資訊 | 讀取 |
| payments:DeletePaymentInstrument | 准許刪除付款工具 | 寫入 |
| payments:CreatePaymentInstrument | 准許建立付款工具 | 寫入 |
| payments:MakePayment | 准許進行付款、驗證付款、驗證付款方式,以及產生 Advance Pay 的資金申請文件 | 寫入 |
| payments:UpdatePaymentPreferences | 准許更新付款喜好設定 (例如,喜好的付款貨幣、喜好的付款方式) | 寫入 |
## purchase-orders:ViewPurchaseOrders 映射
| 新動作 | Description | 存取層級 |
| --- | --- | --- |
| invoicing:GetInvoicePDF | 准許取得發票 PDF | 取得 |
| payments:ListPaymentPreferences | 准許取得付款偏好設定 (例如,偏好的付款貨幣、偏好的付款方式) | 清單 |
| purchase-orders:GetPurchaseOrder | 准許取得採購單 | 讀取 |
| purchase-orders:ListPurchaseOrderInvoices | 准許檢視採購訂單和詳細資訊 | 清單 |
| purchase-orders:ListPurchaseOrders | 准許取得所有可用的採購單 | 清單 |
## purchase-orders:ModifyPurchaseOrders 映射
| 新動作 | Description | 存取層級 |
| --- | --- | --- |
| purchase-orders:AddPurchaseOrder | 准許新增採購單 | 寫入 |
| purchase-orders:DeletePurchaseOrder | 准許刪除採購單。 | 寫入 |
| purchase-orders:UpdatePurchaseOrder | 准許更新現有採購單 | 寫入 |
| purchase-orders:UpdatePurchaseOrderStatus | 准許設定採購單狀態 | 寫入 |