세분화된 IAM 작업 매핑 참조 - AWS 결제
aws-portal:ViewAccount 매핑aws-portal:ViewBilling 매핑aws-portal:ViewPaymentMethods 매핑aws-portal:ViewUsage 매핑aws-portal:ModifyAccount 매핑aws-portal:ModifyBilling 매핑aws-portal:ModifyPaymentMethods 매핑purchase-orders:ViewPurchaseOrders 매핑purchase-orders:ModifyPurchaseOrders 매핑

세분화된 IAM 작업 매핑 참조

참고

다음과 같은 AWS Identity and Access Management(IAM) 작업은 2023년 7월에 표준 지원이 종료되었습니다.

  • aws-portal 네임스페이스

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

AWS Organizations를 사용하는 경우 대량 정책 마이그레이터 스크립트 또는 대량 정책 마이그레이터를 사용하여 지급인 계정의 정책을 업데이트할 수 있습니다. 또한 기존 작업-세분화 작업 매핑 참조를 사용하여 추가해야 하는 IAM 작업을 확인할 수 있습니다.

2023년 3월 6일 오전 11시(PDT) 또는 그 이후에 AWS 계정을 만들었거나 그 이후에 생성된 AWS Organizations에 속한 경우, 세분화된 작업이 이미 조직에 적용되어 있습니다.

권한 정책 또는 서비스 제어 정책(SCP)에서 다음과 같은 IAM 작업을 마이그레이션해야 합니다.

  • aws-portal:ViewAccount

  • aws-portal:ViewBilling

  • aws-portal:ViewPaymentMethods

  • aws-portal:ViewUsage

  • aws-portal:ModifyAccount

  • aws-portal:ModifyBilling

  • aws-portal:ModifyPaymentMethods

  • purchase-orders:ViewPurchaseOrders

  • purchase-orders:ModifyPurchaseOrders

이 주제를 사용하여 사용 중지되는 각 IAM 작업에 대한 세분화된 이전 작업과 새로운 작업의 매핑을 확인할 수 있습니다.

개요

  1. AWS 계정에서 영향을 받는 IAM 정책을 검토합니다. 이렇게 하려면 영향을 받는 정책 도구의 단계에 따라 영향을 받는 IAM 정책을 식별합니다. 영향을 받는 정책 도구를 사용하는 방법을(를) 참조하세요.

  2. IAM 콘솔을 사용하여 새로운 세분화된 권한을 정책에 추가합니다. 예를 들어 정책에서 purchase-orders:ModifyPurchaseOrders 권한을 허용하는 경우 purchase-orders:ModifyPurchaseOrders 매핑 테이블에 각 작업을 추가해야 합니다.

    이전 정책

    다음 정책은 사용자가 계정에서 구매 주문을 추가, 삭제 또는 수정할 수 있도록 허용합니다.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "purchase-orders:ModifyPurchaseOrders",
            "Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
        }
    ]
}

    새 정책

    다음 정책도 사용자가 계정에서 구매 주문을 추가, 삭제 또는 수정할 수 있도록 허용합니다. 각 세분화된 권한은 이전 purchase-orders:ModifyPurchaseOrders 권한 이후에 표시된다는 점에 유의하세요. 이러한 권한을 사용하면 허용하거나 거부하려는 작업을 더 효과적으로 제어할 수 있습니다.

    작은 정보

    이 마이그레이션이 완료될 때까지 사용 권한이 손실되지 않도록 이전 권한을 유지하는 것이 좋습니다.

    JSON
    {
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "VisualEditor0",
			"Effect": "Allow",
			"Action": [
				"purchase-orders:ModifyPurchaseOrders",
				"purchase-orders:AddPurchaseOrder",
				"purchase-orders:DeletePurchaseOrder",
				"purchase-orders:UpdatePurchaseOrder",
				"purchase-orders:UpdatePurchaseOrderStatus"
			],
			"Resource": "arn:aws:purchase-orders::123456789012:purchase-order/*"
		}
	]
}

  3. 변경 내용을 저장합니다.

Notes

aws-portal:ViewAccount 매핑

새로운 작업 설명 액세스 레벨
account:GetAccountInformation 계정에 대한 계정 정보를 검색할 수 있는 권한을 부여합니다. 읽기
account:GetAlternateContact 계정의 대체 연락처를 검색할 수 있는 권한을 부여합니다. 읽기
account:GetContactInformation 계정의 기본 연락처 정보를 검색하는 권한을 부여합니다. 읽기
billing:GetContractInformation 계약 번호, 최종 사용자 조직 이름, 구매 주문 번호 및 해당 계정이 공공 부문 고객에게 서비스를 제공하는 데 사용되는지 등 계정의 계약 정보를 볼 수 있는 권한을 부여합니다. 읽기
billing:GetIAMAccessPreference IAM 액세스 허용 결제 기본 설정의 상태를 검색할 수 있는 권한을 부여합니다. 읽기
billing:GetSellerOfRecord 계정의 기본 판매자 기록을 검색할 수 있는 권한을 부여합니다. 읽기
payments:ListPaymentPreferences 결제 기본 설정(예: 기본 결제 통화, 기본 결제 방법)을 가져올 수 있는 권한을 부여합니다. 읽기

aws-portal:ViewBilling 매핑

새로운 작업 설명 액세스 레벨
account:GetAccountInformation 계정에 대한 계정 정보를 검색할 수 있는 권한을 부여합니다. 읽기
billing:GetBillingData 결제 정보에 대한 쿼리를 수행할 수 있는 권한을 부여합니다. 읽기
billing:GetBillingDetails 세부 품목 결제 정보를 볼 수 있는 권한을 부여합니다. 읽기
billing:GetBillingNotifications 계정의 결제 정보와 관련된 AWS이(가) 보낸 알림을 볼 수 있는 권한을 부여합니다. 읽기
billing:GetBillingPreferences 예약 인스턴스, 절감형 플랜 및 크레딧 공유와 같은 결제 기본 설정을 볼 수 있는 권한을 부여합니다. 읽기
billing:GetContractInformation 계약 번호, 최종 사용자 조직 이름, 구매 주문 번호 및 해당 계정이 공공 부문 고객에게 서비스를 제공하는 데 사용되는지 등 계정의 계약 정보를 볼 수 있는 권한을 부여합니다. 읽기
billing:GetCredits 사용한 크레딧을 볼 수 있는 권한을 부여합니다. 읽기
billing:GetIAMAccessPreference IAM 액세스 허용 결제 기본 설정의 상태를 검색할 수 있는 권한을 부여합니다. 읽기
billing:GetSellerOfRecord 계정의 기본 판매자 기록을 검색할 수 있는 권한을 부여합니다. 읽기
billing:ListBillingViews 견적 과금 그룹에 대한 과금 정보를 가져올 수 있는 권한을 부여합니다. 나열
ce:DescribeNotificationSubscription 예약 만료 알림을 볼 수 있는 권한을 부여합니다. 읽기
ce:DescribeReport Cost Explorer 보고서 페이지를 볼 수 있는 권한을 부여합니다. Read
ce:GetAnomalies 이상 항목을 검색할 수 있는 권한을 부여합니다. Read
ce:GetAnomalyMonitors 이상 탐지 모니터를 쿼리할 수 있는 권한을 부여합니다. Read
ce:GetAnomalySubscriptions 이상 탐지 구독을 쿼리할 수 있는 권한을 부여합니다. Read
ce:GetCostAndUsage 계정의 비용 및 사용 지표를 검색할 수 있는 권한을 부여합니다. Read
ce:GetCostAndUsageWithResources 계정 리소스를 사용하여 비용 및 사용량 지표를 검색할 수 있는 권한을 부여합니다. 읽기
ce:GetCostCategories 지정된 기간 동안 비용 범주 이름 및 값을 쿼리할 수 있는 권한을 부여합니다. 읽기
ce:GetCostForecast 예측 기간에 대한 비용 예측을 검색할 수 있는 권한을 부여합니다. Read
ce:GetDimensionValues 일정 기간 동안 필터에 사용할 수 있는 모든 필터 값을 검색할 수 있는 권한을 부여합니다. 읽기
ce:GetPreferences Cost Explorer 기본 설정 페이지를 볼 수 있는 권한을 부여합니다. 읽기
ce:GetReservationCoverage 계정의 예약 비율을 검색할 수 있는 권한을 부여합니다. Read
ce:GetReservationPurchaseRecommendation 계정의 예약 권장 사항을 검색할 수 있는 권한을 부여합니다. Read
ce:GetReservationUtilization 계정의 사용률을 검색할 수 있는 권한을 부여합니다. Read
ce:GetRightsizingRecommendation 계정의 규모 조정 권장 사항을 검색할 수 있는 권한을 부여합니다. Read
ce:GetSavingsPlansCoverage 계정의 Savings Plans 적용 범위를 검색할 수 있는 권한을 부여합니다. Read
ce:GetSavingsPlansPurchaseRecommendation 계정의 Savings Plans 권장 사항을 검색할 수 있는 권한을 부여합니다. Read
ce:GetSavingsPlansUtilization 계정의 Savings Plans 사용률을 검색할 수 있는 권한을 부여합니다. Read
ce:GetSavingsPlansUtilizationDetails 계정의 Savings Plans 사용률 세부 정보를 검색할 수 있는 권한을 부여합니다. Read
ce:GetTags 지정된 기간 동안 태그를 쿼리할 수 있는 권한을 부여합니다. Read
ce:GetUsageForecast 예측 기간에 대한 사용량 예측을 검색할 수 있는 권한을 부여합니다. 읽기
ce:ListCostAllocationTags 비용 할당 태그를 나열하는 권한을 부여합니다. 나열
ce:ListSavingsPlansPurchaseRecommendationGeneration 이전 추천 세대 목록을 검색할 수 있는 권한을 부여합니다. 읽기
consolidatedbilling:GetAccountBillingRole 계정 역할(지급인, 연결됨, 일반)을 가져올 수 있는 권한을 부여합니다. 읽기
consolidatedbilling:ListLinkedAccounts 구성원/연결된 계정 목록을 가져올 수 있는 권한을 부여합니다. 나열
cur:GetClassicReport 청구서에 대한 CSV 보고서를 가져올 수 있는 권한을 부여합니다. 읽기
cur:GetClassicReportPreferences 사용 보고서에 대한 클래식 보고서 활성화 상태를 가져올 수 있는 권한을 부여합니다. 읽기
cur:ValidateReportDestination AWS CUR 전송을 위한 적절한 권한이 있는 Amazon S3 버킷이 존재하는지 확인할 수 있는 권한을 부여합니다. 읽기
freetier:GetFreeTierAlertPreference AWS 프리 티어 알림 기본 설정(이메일 주소로)을 가져올 수 있는 권한을 부여합니다. 읽기
freetier:GetFreeTierUsage AWS 프리 티어 사용량 한도 및 월간 누계(MTD) 사용량 상태를 가져올 수 있는 권한을 부여합니다. 읽기
invoicing:GetInvoiceEmailDeliveryPreferences 인보이스 이메일 전송 기본 설정을 가져올 수 있는 권한을 부여합니다. 읽기
invoicing:GetInvoicePDF 인보이스 PDF를 가져올 수 있는 권한을 부여합니다. 읽기
invoicing:ListInvoiceSummaries 계정 또는 연결된 계정에 대한 인보이스 요약 정보를 가져올 수 있는 권한을 부여합니다. 나열
payments:GetPaymentInstrument 결제 수단에 대한 정보를 가져올 수 있는 권한을 부여합니다. 읽기
payments:GetPaymentStatus 인보이스의 결제 상태를 가져올 수 있는 권한을 부여합니다. 읽기
payments:ListPaymentPreferences 결제 기본 설정(예: 기본 결제 통화, 기본 결제 방법)을 가져올 수 있는 권한을 부여합니다. 읽기
tax:GetTaxInheritance 세금 상속 상태를 볼 수 있는 권한을 부여합니다. 읽기
tax:GetTaxRegistrationDocument 사업자 등록 문서를 다운로드할 수 있는 권한을 부여합니다. 읽기
tax:ListTaxRegistrations 사업자 등록을 볼 수 있는 권한을 부여합니다. 읽기

aws-portal:ViewPaymentMethods 매핑

새로운 작업 설명 액세스 레벨
account:GetAccountInformation 계정에 대한 계정 정보를 검색할 수 있는 권한을 부여합니다. 읽기
invoicing:GetInvoicePDF 인보이스 PDF를 가져올 수 있는 권한을 부여합니다. 읽기
payments:GetPaymentInstrument 결제 수단에 대한 정보를 가져올 수 있는 권한을 부여합니다. 읽기
payments:GetPaymentStatus 인보이스의 결제 상태를 가져올 수 있는 권한을 부여합니다. 읽기
payments:ListPaymentPreferences 결제 기본 설정(예: 기본 결제 통화, 기본 결제 방법)을 가져올 수 있는 권한을 부여합니다. 나열

aws-portal:ViewUsage 매핑

새로운 작업 설명 액세스 레벨
cur:GetUsageReport 사용 보고서 워크플로의 AWS 서비스 목록, 사용 유형 및 작업 목록을 가져오고 사용 보고서를 다운로드할 수 있는 권한을 부여합니다. 읽기

aws-portal:ModifyAccount 매핑

새로운 작업 설명 액세스 레벨
account:CloseAccount 계정을 해지할 수 있는 권한을 부여합니다. 쓰기
account:DeleteAlternateContact 계정의 대체 연락처를 삭제할 수 있는 권한을 부여합니다. 쓰기
account:PutAlternateContact 계정의 대체 연락처를 수정할 수 있는 권한을 부여합니다. 쓰기
account:PutChallengeQuestions 계정에 대한 질문을 수정할 수 있는 권한을 부여합니다. 쓰기
account:PutContactInformation 계정의 기본 연락처 정보를 업데이트하는 권한을 부여합니다. 쓰기
billing:PutContractInformation 계정의 계약 정보, 최종 사용자 조직 이름 및 해당 계정이 공공 부문 고객에게 서비스를 제공하는 데 사용되는지를 설정할 수 있는 권한을 부여합니다. 쓰기
billing:UpdateIAMAccessPreference IAM 액세스 허용 결제 기본 설정을 업데이트할 수 있는 권한을 부여합니다. 쓰기
payments:UpdatePaymentPreferences 결제 기본 설정(예: 기본 결제 통화, 기본 결제 방법)을 업데이트할 수 있는 권한을 부여합니다. 쓰기

aws-portal:ModifyBilling 매핑

새로운 작업 설명 액세스 레벨
billing:PutContractInformation 계정의 계약 정보, 최종 사용자 조직 이름 및 해당 계정이 공공 부문 고객에게 서비스를 제공하는 데 사용되는지를 설정할 수 있는 권한을 부여합니다. 쓰기
billing:RedeemCredits AWS 크레딧을 사용할 수 있는 권한을 부여합니다. 쓰기
billing:UpdateBillingPreferences 예약 인스턴스, 절감형 플랜 및 크레딧 공유와 같은 결제 기본 설정을 업데이트할 수 있는 권한을 부여합니다. 쓰기
ce:CreateAnomalyMonitor 새 이상 탐지 모니터를 생성할 수 있는 권한을 부여합니다. Write
ce:CreateAnomalySubscription 새 이상 탐지 구독을 생성할 수 있는 권한을 부여합니다. 쓰기
ce:CreateNotificationSubscription 예약 만료 알림을 생성할 수 있는 권한을 부여합니다. 쓰기
ce:CreateReport Cost Explorer 보고서를 생성할 수 있는 권한을 부여합니다. Write
ce:DeleteAnomalyMonitor 이상 탐지 모니터를 삭제할 수 있는 권한을 부여합니다. Write
ce:DeleteAnomalySubscription 이상 탐지 구독을 삭제할 수 있는 권한을 부여합니다. 쓰기
ce:DeleteNotificationSubscription 예약 만료 알림을 삭제할 수 있는 권한을 부여합니다. 쓰기
ce:DeleteReport Cost Explorer 보고서를 삭제할 수 있는 권한을 부여합니다. 쓰기
ce:ProvideAnomalyFeedback 탐지된 이상 항목에 대한 피드백을 제공할 수 있는 권한을 부여합니다. 쓰기
ce:StartSavingsPlansPurchaseRecommendationGeneration 절감형 플랜 추천 생성을 요청할 수 있는 권한을 부여합니다. 쓰기
ce:UpdateAnomalyMonitor 기존 이상 탐지 모니터를 업데이트할 수 있는 권한을 부여합니다. Write
ce:UpdateAnomalySubscription 기존 이상 탐지 구독을 업데이트할 수 있는 권한을 부여합니다. 쓰기
ce:UpdateCostAllocationTagsStatus 기존 비용 할당 태그 상태를 업데이트하는 권한을 부여합니다. 쓰기
ce:UpdateNotificationSubscription 예약 만료 알림을 업데이트할 수 있는 권한을 부여합니다. 쓰기
ce:UpdatePreferences Cost Explorer 기본 설정 페이지를 편집할 수 있는 권한을 부여합니다. 쓰기
cur:PutClassicReportPreferences 클래식 보고서를 활성화할 수 있는 권한을 부여합니다. 쓰기
freetier:PutFreeTierAlertPreference AWS 프리 티어 알림 기본 설정(이메일 주소로)을 설정할 수 있는 권한을 부여합니다. 쓰기
invoicing:PutInvoiceEmailDeliveryPreferences 인보이스 이메일 전송 기본 설정을 업데이트할 수 있는 권한을 부여합니다. 쓰기
payments:CreatePaymentInstrument 결제 수단을 생성할 수 있는 권한을 부여합니다. 쓰기
payments:DeletePaymentInstrument 결제 수단을 삭제할 수 있는 권한을 부여합니다. 쓰기
payments:MakePayment 결제 진행, 결제 인증, 결제 방법 확인, Advance Pay에 대한 자금 요청 문서 생성 권한을 부여합니다. 쓰기
payments:UpdatePaymentPreferences 결제 기본 설정(예: 기본 결제 통화, 기본 결제 방법)을 업데이트할 수 있는 권한을 부여합니다. 쓰기
tax:BatchPutTaxRegistration 사업자 등록을 일괄 업데이트할 수 있는 권한을 부여합니다. 쓰기
tax:DeleteTaxRegistration 사업자 등록 데이터를 삭제할 수 있는 권한을 부여합니다. 쓰기
tax:PutTaxInheritance 세금 상속을 설정할 수 있는 권한을 부여합니다. 쓰기

aws-portal:ModifyPaymentMethods 매핑

새로운 작업 설명 액세스 레벨
account:GetAccountInformation 계정에 대한 계정 정보를 검색할 수 있는 권한을 부여합니다. 읽기
payments:DeletePaymentInstrument 결제 수단을 삭제할 수 있는 권한을 부여합니다. 쓰기
payments:CreatePaymentInstrument 결제 수단을 생성할 수 있는 권한을 부여합니다. 쓰기
payments:MakePayment 결제 진행, 결제 인증, 결제 방법 확인, Advance Pay에 대한 자금 요청 문서 생성 권한을 부여합니다. 쓰기
payments:UpdatePaymentPreferences 결제 기본 설정(예: 기본 결제 통화, 기본 결제 방법)을 업데이트할 수 있는 권한을 부여합니다. 쓰기

purchase-orders:ViewPurchaseOrders 매핑

새로운 작업 설명 액세스 레벨
invoicing:GetInvoicePDF 인보이스 PDF를 가져올 수 있는 권한을 부여합니다. Get
payments:ListPaymentPreferences 결제 기본 설정(예: 기본 결제 통화, 기본 결제 방법)을 가져올 수 있는 권한을 부여합니다. 나열
purchase-orders:GetPurchaseOrder 구매 주문을 가져올 수 있는 권한을 부여합니다. 읽기
purchase-orders:ListPurchaseOrderInvoices 구매 주문 및 세부 정보를 볼 수 있는 권한을 부여합니다. 나열
purchase-orders:ListPurchaseOrders 사용 가능한 구매 주문을 모두 가져올 수 있는 권한을 부여합니다. 나열

purchase-orders:ModifyPurchaseOrders 매핑

새로운 작업 설명 액세스 레벨
purchase-orders:AddPurchaseOrder 구매 주문을 추가할 수 있는 권한을 부여합니다. 쓰기
purchase-orders:DeletePurchaseOrder 구매 주문을 삭제할 수 있는 권한을 부여합니다. 쓰기
purchase-orders:UpdatePurchaseOrder 기존 구매 주문을 업데이트할 수 있는 권한을 부여합니다. 쓰기
purchase-orders:UpdatePurchaseOrderStatus 구매 주문 상태를 설정할 수 있는 권한을 부여합니다. 쓰기