AWS請求、コストのポリシー権限のアラートがまた来た

経緯

AWSのポリシーについてアナウンスがあったのが2023年1月でした。

AWSから通知があって対応したのが2023年8月ごろ。

請求関連のポリシーが次のとおりでした。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "aws-portal:*",
            "Resource": "*"
        }
    ]
}

これを、次の内容に修正。
必要そうなものは全許可です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "account:*",
                "billing:*",
                "cur:*",
                "ce:*",
                "invoicing:*",
                "payments:*",
                "purchase-orders:*",
                "consolidatedbilling:*",
                "tax:*",
                "freetier:*"
            ],
            "Resource": "*"
        }
    ]
}

設定完了したので一安心。

数ヶ月後

設定後しばらくは問題なかったのですが、数ヶ月経過したある日、次の通知がAWSよりありました。

On January 10, 2023, we announced the retirement of Identity and Access Management (IAM) actions under the service prefix 'aws-portal', and two actions under purchase order namespace, 'purchase-orders:ViewPurchaseOrders' and 'purchase-orders:ModifyPurchaseOrders' in favor of new fine-grained IAM actions [1] that provide you more control over access to the AWS Billing, Cost Management, and Account consoles. As a result, access to our consoles will be exclusively managed using the new fine-grained actions starting December 11, 2023.

Our records indicate that you have updated policies in your account to include new actions, however, you still have policies in your account that have the old actions. Please review the affected policies in your account and remove the old actions.

The policies that need to be updated to include the new fine-grained actions are listed in the "Affected Resources" tab of the AWS Health Dashboard in the "Policy | Policy Name | Policy ARN | Type" format.

google先生で訳すると

2023 年 1 月 10 日、
サービスプレフィックス「aws-portal」の下での Identity and Access Management (IAM) アクションの廃止を発表しました。
注文書の名前空間にある 2 つのアクション、「purchase-orders:ViewPurchaseOrders」と「purchase-orders:ModifyPurchaseOrders」。これにより、AWS Billing へのアクセスをより詳細に制御できる、新しいきめ細かい IAM アクション [1] が採用されます。
コスト管理およびアカウントコンソール。
その結果、2023 年 12 月 11 日以降、コンソールへのアクセスは、新しいきめ細かいアクションを使用して排他的に管理されます。

我々 の記録によると、アカウント内のポリシーが更新されて新しいアクションが含まれていますが、アカウントには古いアクションが含まれたポリシーがまだ残っています。 アカウント内の影響を受けるポリシーを確認し、古いアクションを削除してください。

新しいきめ細かいアクションを含めるために更新する必要があるポリシーは、AWS Health Dashboard の「影響を受けるリソース」タブに「ポリシー | ポリシー名 | ポリシー ARN | タイプ」の形式でリストされます。

まだ設定が不完全だったようです。
翻訳文にあるとおり古いアクションが残っているようです。

ポリシー確認

AWS Health Dashboardで確認。
アカウントの状態＞その他の通知 からメール通知の内容が確認できます。

影響を受けるリソースを確認してみる。

特に変わった箇所はなさそう。

仮説

purchase-ordersのアクションが全許可になっていますが、廃止されたアクションが２つだけであとは残っているので、＊で自動で制御してくれているのではないかと予想。

しかし、編集から設定を確認してみると

＊とすると、廃止アクションのViewPurchaseOrdersとModifyPurchaseOrdersを含めた全てが選択されていました。

もしかすると、＊とすると廃止アクションは選択されていると同意義となってしまうのではという仮説。
しかし、廃止されるのに選択できるようになっているのもいかがなものかと。