本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 如何使用受影響的政策工具
<a name="migrate-security-iam-tool"></a>

**注意**  
下列 AWS Identity and Access Management (IAM) 動作已於 2023 年 7 月結束標準支援：  
`aws-portal` 命名空間
`purchase-orders:ViewPurchaseOrders`
`purchase-orders:ModifyPurchaseOrders`
如果您使用的是 AWS Organizations，您可以使用[大量政策 migrator 指令碼](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html)，從您的付款人帳戶更新政策。也可以使用[舊動作至精細動作對應參考](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html)來確認需要新增的 IAM 動作。  
如需詳細資訊，請參閱[AWS 帳單、 AWS 成本管理和帳戶主控台許可的變更](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/)部落格。  
如果您有 AWS 帳戶在 2023 年 3 月 6 日上午 11：00 (PDT) 或之後 AWS Organizations 建立的 或 的一部分，則精細動作已在組織中生效。

您可以使用帳單主控台中的**受影響的政策**工具來識別 IAM 政策 (SCP 除外)，並參考受此遷移影響的 IAM 動作。使用**受影響的策略**工具執行下列工作：
+ 識別 IAM 政策並參考受此遷移影響的 IAM 動作
+ 將更新的政策複製到剪貼簿
+ 在 IAM 政策編輯器中開啟受影響的政策
+ 儲存帳戶的更新政策
+ 開啟微調的許可，並停用舊動作

此工具會在您登入 AWS 的帳戶邊界內運作，而且不會公開其他 AWS Organizations 帳戶的相關資訊。

**若要使用受影響的政策工具**

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/) 開啟 AWS 帳單與成本管理 主控台。

1. 將下列 URL 貼到瀏覽器中，以存取 **Affected policies** (受影響的政策) 工具：[https://console.aws.amazon.com/poliden/home?region=us-east-1#/](https://console.aws.amazon.com/poliden/home?region=us-east-1#/)。
**注意**  
您必須擁有檢視此頁面的 `iam:GetAccountAuthorizationDetails` 許可。

1. 檢閱列出受影響之 IAM 政策的資料表。使用 **Deprecated IAM actions** (已取代的 IAM 動作) 欄，檢閱政策中參考的特定 IAM 動作。

1. 在**複製更新的政策**欄位下方，選擇**複製**以將更新的政策複製到剪貼簿。更新的政策包含現有的政策和附加至其中作為獨立 `Sid` 區塊的建議微調動作。此區塊在政策結尾具有字首 `AffectedPoliciesMigrator`。

1. 在**編輯 IAM 主控台中的政策**欄位下方，選擇**編輯**以前往 IAM 政策編輯器。您將會看到現有政策的 JSON。

1. 將整個現有的政策取代為在步驟 4 中複製的更新政策。您可以視需要進行任何其他變更。

1. 選擇**下一步**，然後選擇**儲存變更**。

1. 針對所有受影響的政策重複步驟 3 至 7。

1. 更新政策後，請重新整理**受影響的政策**工具，以確認沒有列出任何受影響的政策。**找到的新 IAM 動作**欄位應會針對所有政策選擇**是**，而**複製**和**編輯**按鈕將會停用。受影響的政策已更新。

**啟用帳戶的微調動作**

當您更新政策後，請按照此程序為帳戶啟用微調的動作。

僅限組織的管理帳戶 (付款人) 或個人帳戶可使用**管理新的 IAM 動作**區段。個人帳戶可為自己啟用新動作。管理帳戶可為整個組織或成員帳戶的子集啟用新動作。如果您是管理帳戶，請更新所有成員帳戶的受影響政策，並為組織啟用新動作。如需詳細資訊，請參閱 AWS 部落格文章中的[如何在新的精細動作或現有的 IAM 動作之間切換帳戶？](https://aws.amazon.com/blogs/aws-cloud-financial-management/changes-to-aws-billing-cost-management-and-account-consoles-permissions/#How-to-toggle-accounts-between-new-fine-grained-actions-or-existing-IAM-Actions)一節。
**注意**  
若要執行此動作，您必須具有下列許可：  
`aws-portal:GetConsoleActionSetEnforced`
`aws-portal:UpdateConsoleActionSetEnforced`
`ce:GetConsoleActionSetEnforced`
`ce:UpdateConsoleActionSetEnforced`
`purchase-orders:GetConsoleActionSetEnforced`
`purchase-orders:UpdateConsoleActionSetEnforced`

如果您沒有看到**管理新的 IAM 動作**區段，表示您的帳戶已啟用微調的 IAM 動作。

1. 在**管理新的 IAM 動作**下方，**目前強制執行的動作集**設定將會顯示**現有**狀態。

   選擇**啟用新的動作 (微調)**，然後選擇**套用變更**。

1. 在對話方塊中，選擇 **Yes (是)**。**目前強制執行的動作集**狀態將會變更為**已微調**。如此表示系統已針對您的 AWS 帳戶 或組織強制執行新的動作。

1. (選用) 您可以更新現有的政策，以移除任何舊動作。

**Example 範例：受影響前和受影響後的 IAM 政策**  
下列 IAM 政策具有舊的 `aws-portal:ViewPaymentMethods` 動作。    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        }
    ]
}
```
在您複製更新的政策後，下列範例會具有新的 `Sid` 區塊，其中包含微調的動作。    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aws-portal:ViewPaymentMethods"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AffectedPoliciesMigrator0",
            "Effect": "Allow",
            "Action": [
                "account:GetAccountInformation",
                "invoicing:GetInvoicePDF",
                "payments:GetPaymentInstrument",
                "payments:GetPaymentStatus",
                "payments:ListPaymentPreferences"
            ],
            "Resource": "*"
        }
    ]
}
```

## 相關資源
<a name="related-resources-affected-policies"></a>

如需詳細資訊，請參閱 *IAM 使用者使用者指南*中的 [Sid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html)。

如需新精細動作的詳細資訊，請參閱[映射精細 IAM 動作參考](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html)和[使用精細 AWS 成本管理動作](https://docs.aws.amazon.com/cost-management/latest/userguide/migrate-granularaccess-whatis.html#migrate-user-permissions)。