AWSからリマインドメールが来ました。
サービスプレフィックスaws-portalを廃止して新しく細分化するので、2023年12月までにポリシーのIAMアクションを修正して下さい、とのこと。
現状のIAMポリシーは次の通りです。
現状
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-portal:*Billing",
"aws-portal:*Usage",
"aws-portal:*PaymentMethods"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "aws-portal:*Account",
"Resource": "*"
}
]
}
これは経理部門向けに僕が作ったポリシーでした。
このポリシーに紐づくIAMアカウントでAWSコンソールにログインすると、請求(支払い)に関する殆どの操作を実行できます。逆に言うと、それ以外のことは権限を与えていないので出来ません。
定義を修正したので、以下に手順を残します。
修正手順
▼ IAMダッシュボードで「影響を受けるポリシーを表示」をクリックします。
▼ 新しいアクションを有効にします。
▼ YES をクリックします。
新しいアクションが有効になりました。
いつでも、この画面から古いアクションに戻せます。
ちなみに、この状態で、経理のアカウントで請求画面に行くと「アクセス拒否」となります。
古いアクションが無効になっているからです。
古いアクションaws-portalを、新しいアクションaccount、billing、payments、freetier、invoicing、tax、consolidatedbillingに置き換えます。
新しいアクションでは、きめ細かい制御が可能です。
経理部門の実際の運用に照らし合わせると、
- 請求書
- 支払い
- 請求設定
- お支払いの詳細設定
のみにアクセスできれば良いので、この機会に権限を整理します。
修正後のIAMポリシーは次の通りになりました。
修正後
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"account:GetAccountInformation",
"account:GetContactInformation",
"billing:*",
"cur:*",
"invoicing:*",
"payments:*",
"purchase-orders:*",
"consolidatedbilling:*",
"tax:List*",
"freetier:Get*"
],
"Resource": "*"
}
]
}
明示的なDeny(拒否)はありませんが、暗黙のDenyが適用されるので問題ありません。