Update your policies for continued access to Billing, Cost Management, and Account consoles

0

위와같은 이메일을 받았습니다. This is a reminder to update your policies to avoid changes to your access to AWS Billing, Cost Management and Account consoles. Our records indicate that you are still using retired actions to access these consoles.

If your policies are not updated with new actions by December 11, 2023, your users’ access to the AWS billing, Cost Management, and Account consoles will be affected.

The following policies need to be updated to include the new fine-grained actions:

정확한 방법이 궁금합니다. 저 정책을 적용하지 않을경우 어떤 문제가 생기는 건가요?? 그리고 저 정책이 완료되었는지는 어떻게 확인하는지 궁금합니다.

2개 답변
3

안녕하세요

AWS는 2023년 3월 6일 빌링, 비용 관리 및 계정 콘솔에 대한 AWS IAM(Identity and Access Management) Action 중 aws-portal 라는 작업 접두사(prefix) 와 구매와 주문 서비스 네임스페이스의 purchase-orders:ViewPurchaseOrderspurchase-orders:ModifyPurchaseOrders 라는 두 개의 Action들에 대한 지원이 종료될 예정이므로 해당 이메일을 받으신 것으로 사료 됩니다.

질문자님께서는 현재 1) 정책을 업데이트 하는 방법, 2) 정책을 적용하지 않을 경우 발생하는 문제점, 3) 정책이 완료된 것을 확인하는 방법, 그리고 추가적으로 4) 계정에 대한 IAM 보안 주체(IAM principal)를 확인하는 방법에 대하여 궁금증을 가지고 계신 것으로 확인했습니다.


1) 정책을 업데이트 하는 방법

아래의 세 단계를 통해 정책을 업데이트하실 수 있습니다:

  1. 변경 조치가 필요한지 여부를 결정
  2. 업데이트해야 하는 정책을 식별
  3. 새로운 IAM Action 으로 기존의 정책을 업데이트

1번과 2번 단계는 아래의 "3) 정책이 완료된 것을 확인하는 방법"에서 확인하실 수 있습니다.

"3. 새로운 IAM Action 으로 기존의 정책을 업데이트 하는 방법"은 "세분화된 IAM 작업을 사용하도록 스크립트를 사용하여 정책을 대량으로 마이그레이션"에서 확인하실 수 있습니다.


2) 정책을 적용하지 않을 경우 발생하는 문제점

기존의 정책을 따라 aws-portal의 prefix를 사용한다면 AWS CostExplorer, AWS Budgets, consolidated billing, billing preferences, credits, tax settings, payment methods. purchase orders, cost allocation tags를 포함한 여러 콘솔 페이지에 접근할 수 있습니다. 만약 이러한 cost management service 콘솔 페이지 중 특정한 페이지에 대해서만 권한을 부여하고 싶더라도 업데이트 하지 않은 채로는 불가능합니다. 이는 비용 관리에 대하여 보다 세분화된 제어를 제공하지 못하게 하며, 비용 관리 및 운영에 어려움을 주게 됩니다. 또한, 메일에서 공지한 것과 같이 2023년도 12월 11일이후에는 관련 서비스의 세부 정보를 확인할 수 없습니다.


3) 정책이 완료된 것을 확인하는 방법

아래의 IAM action이 포함된 정책은 새로운 IAM action으로 변경해야 합니다:

  • aws-portal:ViewAccount
  • aws-portal:ViewBilling
  • aws-portal:ViewPaymentMethods
  • aws-portal:ViewUsage
  • aws-portal:ModifyAccount
  • aws-portal:ModifyBilling
  • aws-portal:ModifyPaymentMethods
  • purchase-orders:ViewPurchaseOrders
  • purchase-orders:ModifyPurchaseOrders

업데이트가 필요한 정책은 Manage New IAM Actions (콘솔 링크)를 통해 확인하실 수 있습니다.

자세한 내용은 아래의 AWS 공식 블로그글을 통해 확인하실 수 있습니다.

[+] 참고: "AWS 빌링, 비용 관리, 그리고 계정 콘솔 권한에 대한 변경 사항들"(AWS 공식 블로그)(한글)


4) 계정에 대한 IAM 보안 주체를 확인하는 방법

IAM 보안 주체(IAM Principal)란, AWS 리소스에 대한 작업(action)을 요청할 수 있는 사용자 또는 워크로드입니다. IAM은 보안 주체를 기준으로 권한을 할당하기 때문에 각 보안 주체가 해당 권한을 가지고 있는지 확인해야 합니다.

아래와 같은 순서를 통해 IAM 보안 주체에 할당된 권한을 확인하실 수 있습니다:

  1. 지급인 계정으로 AWS 콘솔 로그인 > IAM 대시보드로 이동 > Users 또는 Roles 선택
  2. 해당 계정에게 할당된 IAM User 또는 IAM Role의 보안 주체를 선택하고, "Permissions" 탭 클릭
  3. 연결된 Policy와 Permission을 확인

[+] 참고: "AWS JSON 정책 요소: Principal"(AWS Documentation)(한글)

위 내용이 도움이 되었으면 좋겠습니다. 제가 놓친 부분이 있거나 전달 드린 내용에 대해 의문이 있으시다면 편하게 정정 부탁드립니다. 이외에 추가로 궁금한 점이 있으시다면 언제든지 알려주세요.

감사합니다.

profile picture
답변함 4달 전
1

안녕하세요.

다음 문서의 절차에 따라 변경할 수 있습니다.
https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/migrate-iam-permissions.html#overview-bulk-migrate-policies

정책이 업데이트되지 않은 경우 다음 IAM 권한에 대해 작업할 수 없습니다.
다음 정책을 사용하는 경우 AWS가 결정한 마감일 이후에 AWS Cost Explorer, AWS Budgets, 일괄 청구, 결제 설정, 크레딧, 세금 설정, 결제 방법, 주문서, 비용 배분 태그 등의 세부 정보를 볼 수 없습니다.

  • purchase-orders:ViewPurchaseOrders
  • purchase-orders:ModifyPurchaseOrders
profile picture
전문가
답변함 5달 전
  • 메뉴얼 내용 중 필수조건에

    • 지급인 계정에 로그인하여 다음의 IAM 권한을 가진 IAM 보안 주체가 있는지 확인하세요. 이건 어떻게 확인하나요?

로그인하지 않았습니다. 로그인해야 답변을 게시할 수 있습니다.

좋은 답변은 질문에 명확하게 답하고 건설적인 피드백을 제공하며 질문자의 전문적인 성장을 장려합니다.

질문 답변하기에 대한 가이드라인

관련 콘텐츠