🚌

AWS請求などのIAMポリシーアップデートの注意点(2023年)

2023/01/19に公開約2,000字

はじめに

先日、料金関係のポリシーについてアップデートが発表されました。
https://aws.amazon.com/about-aws/whats-new/2023/01/aws-changes-billing-cost-management-account-consoles-permissions/?nc1=h_ls

以前は複数まとめて許可するしかなくて不満だったので、これ自体は嬉しいアップデートです。

気になる点は、移行に必要な対応についてのブログ記事の記載でした。
AWS 請求、コスト管理、アカウントコンソール権限の変更
https://aws.amazon.com/jp/blogs/news/changes-to-aws-billing-cost-management-and-account-consoles-permissions/

まとめ

  • AWS管理ポリシーのみを使用している場合は対応不要(なはず[1]
  • カスタムのポリシーを使用している場合は、事前切替えは不可能なので権限付与して待つしかない ←本題
    • テストも厄介です。

前提情報

更新前のポリシーはこちら
https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html

更新後のポリシーはこちら
https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-granularaccess-whatis.html

例えば更新前のポリシーで aws-portal:ModifyBilling を付与すると以下を許可する事になります。[2]
予算/一括請求/請求設定/クレジット/税金設定/支払い方法/発注書/Cost Allocation Tags

これを細かく制御できるようになるのが今回のアップデートです。

スケジュール

  • 新スタンドアロンアカウント、または新Organizationで作成するアカウント
    2023 年 3 月 7 日
  • それ以前から使用しているアカウント
    2023 年 7 月 6 日

注意点

前述のブログ記事の以下記載です。

権限移行のタイムライン
新しい権限は 2023 年 7 月 6 日以降まで有効にならないため、既存の IAM アクションと新しい IAM アクションの両方を維持してください。

事前に切替えておく事を想像しましたが、それはできません[3]
予めポリシーをアタッチして待つ事になります。

また、新しいポリシーは切替え日まで機能しないため、テストしたい場合は新しいアカウントが必要です[3:1]
Organizationsを使用している場合は、管理アカウント自体を新規で用意する必要があります。

感想

移行というと並行期間があるものだと思っていたので軽く衝撃でした。
基本的にサービス影響があるポリシーではないと思うので[4]、何か事情があってこの方針になったんでしょうかね…(さらっと書かれてるのが気になるけど)
例えば、切替え日と料金を確認するような業務があるタイミングが被っている場合などは注意が必要そうです。

脚注
  1. ブログには AWSPurchaseOrdersServiceRolePolicy というポリシーについて触れられていないので、どうなるかが不明でした ↩︎

  2. 支払い方法は aws-portal:ModifyPaymentMethods でも制御可能なので、支払い方法の変更だけDenyするという事も可能だったりします。 ↩︎

  3. AWSサポートにも問い合わせてみましたが、そのような回答でした。 ↩︎ ↩︎

  4. 料金関係のツールを提供してるところは影響ないんだろうか?と気になりましたが、見た感じ大丈夫そうですね(そもそも該当のポリシーを使ってる訳ないか)
    https://docs.alphaus.cloud/v/ripple/guide/set-up/prepare
    https://docs.datadoghq.com/ja/cloud_cost_management/ ↩︎

Discussion

ログインするとコメントできます