12 月 11 日,亚马逊云科技将在服务前缀 amazon-portal 下停用账单、成本管理和账户控制台(https\://docs.amazonaws.cn/en_us/service-authorization/latest/reference/list_awsbillingconsole.html?trk=cndc-detail) 的 Amazon Identity and Access Management(IAM)操作(https\://docs.amazonaws.cn/en_us/iam/?trk=cndc-detail) ,以及采购订单命名空间下的两个操作,即 purchase-orders:ViewPurchaseOrders 和 purchase-orders:ModifyPurchaseOrders 。我们将用新的精细服务权限取而代之。有了这些权限,您可以更好地控制账单、成本管理和账户服务的访问权限。这些新权限还将提供一组 IAM 操作,用于管理控制台和编程接口的访问权限。
在本文中,我们将向您展示将发生的变化,以及为迎接这一变化,如何通过修改 IAM policy 和权限来允许/拒绝访问账单、成本管理和账户服务。我们还将讨论该变化对现有 Amazon 托管策略和迁移时间安排的影响,以及您可以使用哪些工具或选项轻松完成这一过渡。
### **背景**
目前,您可以使用带有 amazon-portal 服务前缀的 IAM 操作(在本文中称为现有权限/IAM 操作)来控制对账单、成本管理和账户控制台的访问权限。例如,当您向用户提供 amazon-portal:ViewBilling 和 amazon-portal:ModifyBilling 操作的访问权限时,即授权该用户访问多个控制台页面,包括 Amazon Cost Explorer、Amazon Budgets、整合账单、账单首选项、积分、税费设置、付款方式、采购订单和成本分配标签。如果您想允许用户访问特定的成本管理服务控制台页面(例如 Cost Explorer),但不允许访问账单页面,现在是无法达成的。这种限制可能会使您难以运行非中心化的云成本管理模型(在此模型中个人用户可以根据自己的角色访问特定的服务)。许多用户告诉我们,他们希望对账单、成本管理和账户服务的访问权限进行更精细的控制,而我们提到的上述变化可以实现这种灵活性。
此外,如今您可以使用与控制台 IAM 操作集不同的 IAM 操作集,通过编程接口控制对账单、成本管理和账户服务的访问权限。例如,当客户想要通过控制台和 Cost Explorer API 为用户提供对 Cost Explorer 的访问权限时,该用户将需要 amazon-portal:ViewBilling 和 ce:\* 的权限。新的 IAM 操作提供一组权限,您只需通过控制台和编程接口便可控制并轻松设置对账单、成本管理和账户服务的访问权限,并减少出错的情况。
### **已推出的内容**
2023 年 8 月 23 日,亚马逊云科技推出了精细的 IAM 操作和 4 个新的服务前缀( consolidated billing 、 freetier 、 invoicing 和 payments ),并为 5 个现有服务前缀( billing 、 accounts 、 cur 和 purchase-orders )添加了新权限。
2023 年 12 月 11 日,我们将停用 amazon-portal 服务前缀及其中的所有操作。此外,我们还将停用 purchase-orders:ViewPurchaseOrders 和 purchase-orders:ModifyPurchaseOrders 权限。
如果您一直在使用 Amazon 托管策略让 IAM 用户或根用户访问 Amazon 账单、成本管理和账户控制台,则无需采取任何操作,因为亚马逊云科技正在更新现有的 Amazon 托管策略。您可以在“对现有托管策略的更新”部分查看相关信息(https\://aws.amazon.com/cn/blogs/china/enable-new-granular-service-permissions-to-better-control-access-to-billing-cost-management-and-account-services/#\_Updates_to_existing?trk=cndc-detail) 。
**新的服务前缀和权限**
* **consolidatedbilling**
提供对账户角色等整合账单功能的访问权限https\://docs.amazonaws.cn/en_us/service-authorization/latest/reference/list_awsconsolidatedbilling.html?trk=cndc-detail
* **freetier**
提供对 Amazon Billing Console 上免费套餐功能的访问权限
https\://docs.amazonaws.cn/en_us/service-authorization/latest/reference/list_awsfreetier.html?trk=cndc-detail
* **invoicing**
提供对 Amazon Billing Console 上的开票资源的访问权限
https\://docs.amazonaws.cn/en_us/service-authorization/latest/reference/list_awsinvoicingservice.html?trk=cndc-detail
* **payments**
提供对 Amazon Billing Console 上付款和付款方式的访问权限
https\://docs.amazonaws.cn/en_us/service-authorization/latest/reference/list_awspayments.html?trk=cndc-detail
**对现有服务前缀和权限的更新**
* **billing**
提供对 Amazon Billing Console(主页、账单、积分、账单首选项)上的账单功能的访问权限
https\://docs.amazonaws.cn/en_us/service-authorization/latest/reference/list_awsbillingconsole.html?trk=cndc-detail
* **account**
提供对 Amazon 账户管理资源的访问权限
https\://docs.amazonaws.cn/en_us/service-authorization/latest/reference/list_awsaccountmanagement.html?trk=cndc-detail
* **cur**
提供对 Amazon Billing Console 上成本和使用情况报告的访问权限
* **purchase-orders**
提供对 Amazon Billing Console 上采购订单体验的访问权限
https\://docs.amazonaws.cn/en_us/service-authorization/latest/reference/list_awspurchaseordersconsole.html?trk=cndc-detail
请注意,这些新的 IAM 操作现在可以控制对控制台功能的访问权限。未来,我们将为账单、付款、税费设置推出新的 API,让您能够以编程方式访问目前只能通过控制台访问的相同资源(如支出摘要、账单、付款摘要、交易、税务登记)。这些未来推出的 API 将使用今天推出的新 IAM 操作进行控制。
**停用的服务前缀和权限**
* **amazon-portal**
在权限迁移结束后,我们将停用此服务前缀以及其中的所有 IAM 操作
https\://docs.amazonaws.cn/en_us/service-authorization/latest/reference/list_awsbillingconsole.html?trk=cndc-detail
* **purchase-orders**
在权限迁移结束后,我们将停用 purchase-orders:ViewPurchaseOrders 和 purchase-orders:ModifyPurchaseOrders 权限。我们将发布其他权限来取代这两个权限。
https\://docs.amazonaws.cn/en_us/service-authorization/latest/reference/list_awspurchaseordersconsole.html\?trk=cndc-detail
### **您应该如何开始使用?**
要使用精细的访问控制,您需要将策略从 amazon-portal 下迁移到新的 IAM 操作中。
您的权限策略或服务控制策略(SCP)中的以下 IAM 操作需要使用新的精细操作进行更新:
* amazon-portal:ViewAccount
* amazon-portal:ViewBilling
* amazon-portal:ViewPaymentMethods
* amazon-portal:ModifyAccount
* amazon-portal:ModifyBilling
* amazon-portal:ModifyPaymentMethods
* purchase-orders:ViewPurchaseOrders
* purchase-orders:ModifyPurchaseOrders
亚马逊云科技建议您立即开始添加新的精细权限,这样您就可以确保在所有受影响的策略停用之前已对其更新,以保障对 Amazon 账单、成本管理和账户控制台的访问权限不中断。如果您想立即开始使用或测试精细操作,请使用“如何在新的精细操作或现有 IAM 操作之间切换账户?”中所述的功能(https\://aws.amazon.com/cn/blogs/china/enable-new-granular-service-permissions-to-better-control-access-to-billing-cost-management-and-account-services/#\_How_to_toggle?trk=cndc-detail) 。
例如,您的账户中有以下名为 “AllowViewAccessToBillingAndCost ManagementConsole” 的基于身份的策略,该策略具有现有 IAM 操作 “ amazon-portal:ViewBilling ”,允许用户查看 Amazon 账单和成本管理控制台的内容。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": " VisualEditor0 ",
"Effect": "Allow",
"Action": "amazon-portal:ViewBilling",
"Resource": "*"
}
]
}
```
您需要更新此策略才能添加精细操作。在下面的示例策略中,您会看到精细的 IAM 操作已添加在 “ThesePermissionsWillHaveNoEffectTillEndOfMigration”语句块下。您可以在下面的示例中看到,更新的策略还包含 “ThisPermissionWillContinueProvidingAccessAsNormal” 语句块下的现有操作,因为它们在停用日期之前控制对我们控制台的访问权限。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ThesePermissionsWillHaveNoEffectTillEndOfMigration",
"Effect": "Allow",
"Action": [
"ce:Get*",
"ce:Describe*",
"ce:List*",
"account:GetAccountInformation",
"billing:Get*",
"payments:List*",
"payments:Get*",
"consolidatedbilling:Get*",
"consolidatedbilling:List*",
"invoicing:List*",
"invoicing:Get*",
"cur:Get*",
"cur:Validate*",
"freetier:Get*"
],
"Resource": "*"
},
{
"Sid": "ThisPermissionWillContinueProvidingAccessAsNormal",
"Effect": "Allow",
"Action": "amazon-portal:ViewBilling",
"Resource": "*"
}
]
}
```
为了帮助您识别和更新受影响的 IAM policy,亚马逊云科技提供以下资源。在本文中,我们将详细介绍如何使用“受影响的策略”和“切换账户”功能来更改权限。您可以在下面的用户指南中查看其他资源的说明。
* 受影响的策略:该工具列出了账户内受影响的 IAM policy。您可以在已登录的账户中查看每项策略并作出必要的更改。
用户指南:https\://docs.amazonaws.cn/en_us/cost-management/latest/userguide/migrate-security-iam-tool.html?trk=cndc-detail
* 批量策略迁移器:您可以使用这些脚本识别和更新组织内所有受影响的策略。您可以从您组织的付款人账户运行这些脚本。如果您使用具有多个关联账户的 Amazon Organization 账户,请使用批量策略迁移器脚本高效更新组织内的所有账户。
用户指南:https\://docs.amazonaws.cn/en_us/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html?trk=cndc-detail
* 映射指南:这是我们从每个 IAM 操作的现有(旧版)操作到新的精细操作的映射,即将停用。
用户指南:https\://docs.amazonaws.cn/en_us/awsaccountbilling/latest/aboutv2/migrate-granularaccess-iam-mapping-reference.html?trk=cndc-detail
* 切换账户:此自助服务功能可让您在新的精细操作和现有(旧版)IAM 操作之间切换。添加新的精细操作后,您可以使用切换账户功能,立即开始在账户中使用新的 IAM 操作(请参阅“如何在新的精细或现有 IAM 操作之间切换账户?”部分)。
https\://aws.amazon.com/cn/blogs/china/enable-new-granular-service-permissions-to-better-control-access-to-billing-cost-management-and-account-services/#\_How_to_toggle?trk=cndc-detail
##### **对现有托管策略的更新**
在此次发布中,亚马逊云科技更新了以下 Amazon 托管策略,加入了新的精细权限。Amazon 托管策略中的这些 amazon-portal IAM 操作在停用日期之前将一直有效,因此您可以像以前一样继续使用这些托管策略。停用后,亚马逊云科技将从这些托管策略中删除 amazon-portal IAM 操作。如果您只使用 Amazon 托管策略,则无需采取任何操作,因为亚马逊云科技将进行更新。
* AmazonBillingReadOnlyAccess (arn:amazon:iam::amazon:policy/AmazonBillingReadOnlyAccess)
* Billing (arn:amazon:iam::amazon:policy/job-function/Billing)
* ReadOnlyAccess (arn:amazon:iam::amazon:policy/ReadOnlyAccess)
##### **如何更新账户中受影响的策略?**
主要有两个步骤:1) 确定需要更新的策略;2) 更新策略以使用新的 IAM 操作。在下面的示例中,我们将重点关注在太平洋时间 2023 年 3 月 6 日上午 11 点之前创建,且曾属于或现属于该组织的账户。对于在太平洋时间 2023 年 3 月 6 日上午 11 点或之后创建的新账户或新组织,他们将直接可使用新的精细操作。
请注意,受影响的策略控制台仅显示已登录账户中受影响的 IAM policy,不显示受此更改影响的服务控制策略 (SCP)。请使用批量策略迁移器脚本来识别和更新组织内所有账户的 IAM policy。您需要登录 Amazon Organizations 控制台才能查看受影响的服务控制策略(SCP)。本文余下部分将详细介绍如何在控制台中从现有 IAM 操作过渡到精细操作。如果您在受版本控制的存储库中管理和维护 IAM policy,请务必对自动化进行同样的更改。如有其他问题,请联系 Amazon 支持(https\://console.amazonaws.cn/support/home#/?trk=cndc-detail) 。
**第 1 步:确定需要更新的策略**
请登录您的账户,访问受影响的策略控制台。访问时,请使用 IAM policy 中包含的 iam:GetAccountAuthorizationDetails 操作的 IAM 用户/角色,或者将以下 Amazon 托管策略中的任一策略分配给您的 IAM 用户/角色:SystemAdministrator、AdministratorAccess、IAMFullAccess 或 IAMReadOnlyAccess。
登录您的账户并访问受影响的策略控制台,查看所有引用将停用的现有 amazon-portal IAM 操作的 IAM policy。您还可以查看附加到受影响策略的 IAM 实体(IAM 用户、角色或组)的数量,这样您就可以优先更新分配给 IAM 实体数量最多的策略。此工具将显示客户托管策略和需要更新的内联策略。
例如,您使用附加到六个 IAM 用户的现有 IAM 操作“ amazon-portal:ViewBilling ”制定身份策略“AllowViewAccessToBillingAndCostManagementConsole”。
您会看到列出了“AllowViewAccessToBillingAndCostManagementConsole”策略(见下方屏幕截图)。此工具显示此策略附加到多少个 IAM 实体,在本示例中为“6”。该工具还显示违规的 IAM 操作,本例中为 amazon-portal:ViewBilling 。
![image.png](https://dev-media.amazoncloud.cn/0570d155a6204939938d12ef58f3454f_image.png "image.png")
图 1:现有账户组的受影响策略控制台
您还可以通过单击受影响的策略控制台上的“导出所有受影响的策略”按钮,下载受影响的策略列表以及策略 ARN。
![image.png](https://dev-media.amazoncloud.cn/7690becdad4e4d79a6e68088b62121e7_image.png "image.png")
图 2:“导出所有受影响的策略”按钮
要更新服务控制策略(SCP),您需要登录 Amazon Organizations 控制台。后文“如何将服务控制策略更新为新操作”部分提供相关说明。
**第 2 步:将账户中的策略更新为新的 IAM 操作**
在受影响的策略列表中,您可以单击策略名称并在 IAM 控制台中更新 IAM 客户托管或内联策略。您可以像往常一样更新 IAM policy。您可以查看编辑 IAM policy,了解如何更新策略。在将您的策略更新为新操作之前,请记下您当前的默认策略版本。如果您在更改时遇到问题,可以将策略恢复到此版本。
在步骤 1 中,您已确定需要更新名为“AllowViewAccessToBillingAndCost ManagementConsole”的策略。导航到 IAM 控制台后,即可添加新的 IAM 操作。请使用“映射指南”确认要为相应的旧版 IAM 操作添加的所需新 IAM 操作。在策略中添加新的精细操作时,您需要保留当前操作。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ThesePermissionsWillHaveNoEffectTillEndOfMigration",
"Effect": "Allow",
"Action": [
"ce:Get*",
"ce:Describe*",
"ce:List*",
"account:GetAccountInformation",
"billing:Get*",
"payments:List*",
"payments:Get*",
"consolidatedbilling:Get*",
"consolidatedbilling:List*",
"invoicing:List*",
"invoicing:Get*",
"cur:Get*",
"cur:Validate*",
"freetier:Get*"
],
"Resource": "*"
},
{
"Sid": "ThisPermissionWillContinueProvidingAccessAsNormal",
"Effect": "Allow",
"Action": "amazon-portal:ViewBilling",
"Resource": "*"
}
]
}
```
在向所有受影响的策略添加新的精细 IAM 操作后,由于您在迁移期间保留了现有 IAM 操作,因此您将继续在受影响的策略控制台中看到此策略。现有 IAM 操作停用后,我们建议您通过删除现有 IAM 操作来更新策略,以符合策略卫生最佳实践;删除现有 IAM 操作后,您将不再在受影响的策略控制台中看到此策略。我们还建议您在受付款人账户/普通账户影响的策略控制台上使用自助服务工具,将账户切换为立即使用新的 IAM 操作。详情请参阅“如何在新的精细操作或现有 IAM 操作之间切换账户?”(https\://aws.amazon.com/cn/blogs/china/enable-new-granular-service-permissions-to-better-control-access-to-billing-cost-management-and-account-services/#\_How_to_toggle?trk=cndc-detail)
您可以参考这些 Billing Console 和成本管理用户指南,了解每项账单、成本管理和账户服务的精细 IAM 操作。
##### **如何将服务控制策略更新为新操作**
只有在您的 Amazon Organizations 中启用所有功能后,服务控制策略(SCP)功能才可用。
* 您需要登录您的 Amazon Organizations 的管理账户
* 访问 Amazon Organizations 控制台,查看在您管理账户中创建的 SCP
* 单击左侧导航面板中的“策略”,然后选择“服务控制策略
![image.png](https://dev-media.amazoncloud.cn/013bb0b904eb4bc8b27a0aad262a4862_image.png "image.png")
图 3:Amazon Organizations 中的服务控制策略
* 单击您为 Amazon 账单、成本管理和账户控制台创建的 SCP。
* 单击“编辑策略”按钮以更新您的 SCP。
![image.png](https://dev-media.amazoncloud.cn/a972389b41954beda57a6666e7d19322_image.png "image.png")
图 4:用于服务控制策略的编辑策略按钮
* 更新策略的内容,以便添加新的 IAM 操作。保留现有的 IAM 操作,以便在整个迁移期间都拥有访问权限
![image.png](https://dev-media.amazoncloud.cn/7f97aa7e64df472e8115cabf4505040c_image.png "image.png")
图 5:编辑服务控制策略的内容
* 您还可以在“目标”选项卡中查看 SCP 应用于哪些成员账户,这样您就可以优先更新分配给成员账户数量最多的 SCP。
![image.png](https://dev-media.amazoncloud.cn/a1ac93c7aba747b5849eb9586cf1902e_image.png "image.png")
图 6:服务控制策略的“目标”选项卡
有关如何更新服务控制策略的详细说明在本用户指南中:https\://docs.amazonaws.cn/en_us/organizations/latest/userguide/orgs_manage_policies_scps_create.html?trk=cndc-detail
##### **如何在新的精细操作或现有 IAM 操作之间切换账户?**
此自助服务功能可让您在新的精细操作和现有(旧版)IAM 操作之间切换。您可以在您的账户中测试新操作,也可以跨组织内的部分账户(如果是管理账户)测试新操作。停用后,所有账户都需要使用新的操作,自助服务功能将不再可用。
您可以通过受影响的策略控制台访问上述操作。如要通过控制台使用这些功能,您需要使用带有 ce:GetConsoleActionSetEnforced、amazon-portal:GetConsoleActionSetEnforced 、purchase-orders:GetConsoleActionSetEnforced(用于查看强制执行的操作的状态),以及 ce:UpdateConsoleActionSetEnforced 、amazon-portal:UpdateConsoleActionSetEnforced、purchase-orders:UpdateConsoleActionSetEnforced(用于切换操作)的 IAM 用户/角色。对于 Amazon Organizations,该功能仅适用于管理账户用户。
##### **在您已登录的账户中访问受影响的策略控制台**
如果您未使用管理账户且不属于 Amazon Organizations,则只能切换为自己的账户设置的操作。如图 7 所示,对于当前已登录的用户,系统将强制执行“现有”IAM 操作。您可以选择“为您的账户启用新操作”选项,然后选择“应用更改”。随后系统将为您的账户启用新的 IAM 操作。
![image.png](https://dev-media.amazoncloud.cn/88d2c913db6441a2810f2dfa727f7d04_image.png "image.png")
图 7:现有(旧版)IAM 操作已强制执行,切换到新的(精细)操作
同样,如果强制执行“精细”IAM 操作,则可以选择“为您的账户启用旧版操作”选项,然后选择“应用更改”(参见图 8)。该账户将恢复使用旧版 IAM 操作,这些操作仅在停用日期之前可用。
![image.png](https://dev-media.amazoncloud.cn/495349025ed64248bf1d50be2a5f6b7f_image.png "image.png")
图 8:已强制执行新的(精细)IAM 操作,切换到旧版 IAM 操作
作为管理账户所有者,您可以切换为组织内所有或部分成员账户设置的操作。如果强制执行“现有”IAM 操作(参见图 9),则可以为整个组织或组织内的特定账户启用新的 IAM 操作。对于后者,您需要提供账号(最多 10 个)。
![image.png](https://dev-media.amazoncloud.cn/7bef7522e30a44d7ae7346abe1701bfa_image.png "image.png")
图 9:管理账户视图,在组织内强制执行的现有(旧版)IAM 操作,切换到组织内所有账户或部分账户的新(精细)操作
同样,在强制执行新的 IAM 操作时(参见图 10),您可以恢复整个组织或组织内特定账户的旧版操作。对于后者,您需要提供账号(最多 10 个)。
![image.png](https://dev-media.amazoncloud.cn/0de7d3bfb2de4e8bae69ad3977b0ea4f_image.png "image.png")
图 10:管理账户视图,在组织内强制执行的新(精细)IAM 操作,切换到组织内所有账户或部分账户的旧版 IAM 操作
如果组织内的部分账户被覆盖(使用旧版或新的 IAM 操作),则“当前操作集已强制执行”状态将以下方格式显示,并带有下载 CSV 文件的链接。CSV 文件将包含使用新旧 IAM 操作且受覆盖的账户。
![image.png](https://dev-media.amazoncloud.cn/ae8c5697220044cd961f1b520120848c_image.png "image.png")
图 11:管理账户用户视图,在组织内强制执行的新(精细)IAM 操作,其中部分账户使用旧版 IAM 操作
### **结论**
在新的服务特定命名空间下启动这些精细权限后,可以对账单、成本管理、账户控制台和服务进行最低权限访问。如要利用增强的访问控制功能,并确保对 Amazon 账单、成本管理和账户控制台的访问权限不中断,请务必参阅成本管理用户指南(https\://docs.amazonaws.cn/en_us/cost-management/latest/userguide/migrate-granularaccess-whatis.html?trk=cndc-detail) 和 Billing Console 用户指南(https\://docs.amazonaws.cn/en_us/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html?trk=cndc-detail) ,了解详情并采取相应的措施。如果您有任何问题,请随时联系您的 Amazon 联系人和支持团队(https\://console.amazonaws.cn/support/home#/?trk=cndc-detail) 。
![640.gif](https://dev-media.amazoncloud.cn/3eaa7ee3bf7241959976ea3eb1ac8032_640.gif "640.gif")