🙌
IAMアクション「aws-portalサービス」廃止について
■概要
下記のような通知が来ていたので詳細を調べてみました。
[ACTION REQUIRED] Update policies in your account by July 6, 2023 to include fine-grained actions for AWS Billing, Cost Management, and Account services [AWS Account: xxxxx]
以下は公式のブログ記事です。
■要点まとめ
- 下記が廃止される。
- 「aws-portal」サービスプレフィックスとその配下にあるすべてのアクション
- 「purchase-orders:ViewPurchaseOrders」の権限
- 「purchase-orders:ModifyPurchaseOrders」の権限
- 廃止に伴い以下が追加される。
- consolidated billing
- freetierinvoicing
- payments
- 廃止に伴い更新されるもの。
- billing
- accounts
- cur
- purchase-orders
- tax
- 2023年7月6日にはポリシー廃止となるので対応の必要がある。
- 新しい権限は 2023 年 7 月 6 日以降まで有効にならないので、既存の IAM アクション(portal)と新しい IAM アクションの両方を維持する必要がある。
- アカウントが 2023 年 3 月 7 日 午前 4 時 (日本標準時) 以降に作成された場合、新しい方の権限を使用する必要がある。
■何が対象なのか
IAMポリシーに以下が含まれる場合
・aws-portalサービスプレフィックスとその配下にあるすべてのアクション
・purchase-orders:ViewPurchaseOrders と purchase-orders:ModifyPurchaseOrders
■対応が必要か確認する方法
IAMのダッシュボードから確認する事ができます。
確認画面へ進むとエクスポートも可能です。
■どう対応すればよいか
下記を新たなポリシーとして作成し、追加しておけば今回の廃止に対応できるはずです(以下の例は拒否)。
なお7月6日までは有効にならないようで、検証はできないようです…。
新しい権限は 2023 年 7 月 6 日以降まで有効にならないので、既存の IAM アクション(portal)と新しい IAM アクションの両方を維持する必要がある。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": [
"account:*",
"invoicing:*",
"consolidatedbilling:*",
"cur:*",
"tax:*",
"billing:*",
"purchase-orders:*",
"payments:*",
"freetier:*"
],
"Resource": "*"
}
]
}
上記のアクション内容について↓
新しいサービスプレフィックス | サマリ |
---|---|
consolidatedbilling | アカウントロールなどの一括請求機能へのアクセスを提供します |
freetier | AWS 請求コンソールの無料利用枠機能へのアクセスを提供します |
invoicing | AWS 請求コンソールの請求リソースへのアクセスを提供します |
payments | AWS 請求コンソールの支払いと支払い方法へのアクセスを提供します |
billing | AWS 請求コンソールの 請求機能 (ホーム、請求書、クレジット、請求設定) へのアクセスを提供します |
account | AWS Account Management リソースへのアクセスを提供します |
cur | AWS 請求コンソールの コストと使用状況レポート へのアクセスを提供します |
purchase-orders | AWS 請求コンソールの 発注書 機能へのアクセスを提供します |
tax | AWS 請求コンソールの 課税設定 へのアクセスを提供します |
■終わりに
廃止対象となるポリシーが紐づいたユーザーには早めに対応しておきましょう!
Discussion