2023 年 7 月 6 日の請求・コスト管理・アカウントのコンソールの権限廃止・変更のポリシー移行をアシストするために、一括更新スクリプトが提供されました

半年ほど前の次のアナウンスでも紹介されていますが、aws-portal プレフィックスを始め、いくつかのアクションが 2023 年 7 月 6 日に廃止になります。


あと 1 ヶ月弱で既存のアクションが使用できなくなりますが、このタイミングでポリシーの更新をアシストしてくれるスクリプトが提供されました。

更新されたポリシーの旧アクションは削除されずに新アクションと混在する形になるので、現環境への影響する可能性は低そうですが、7 月 6 日以降は不要なアクションが追加されたままという感じですね。



スクリプトは次の GitHub リポジトリで公開されています。
AWS 公式なので安心出来る感じしますね。

使い方の手順は上記の README.md 次の公式ドキュメントに記載されています。

Python 製のスクリプトなので、Python の実行環境が必要です。

このスクリプトはマルチアカウントに対応していて、管理アカウントからメンバーアカウントへ AssumeRole してポリシーの検査や更新を行います。
そのため、CloudFormation StackSets などでcfn_templateディレクトリに格納されている次のポリシーをスクリプトのターゲットとなる AWS アカウントへデプロイしておく必要があります。
スクリプトではこのポリシーに AssumeRole する作りになっています。

デプロイ前に Principal のアカウント ID を管理アカウントのものにする必要があります。

  "AWSTemplateFormatVersion": "2010-09-09",
  "Resources": {
    "BillingConsolePolicyMigratorRoleTemplate": {
      "Type": "AWS::IAM::Role",
      "Properties": {
        "AssumeRolePolicyDocument": {
          "Version": "2012-10-17",
          "Statement": [
              "Effect": "Allow",
              "Principal": {
                "AWS": "arn:aws:iam::123456789012:root"
              "Action": "sts:AssumeRole"
        "Description": "IAM role in member account for bulk policy migrator scripts",
        "Policies": [
            "PolicyName": "BillingConsolePolicyMigratorRolePolicy",
            "PolicyDocument": {
              "Statement": [
                  "Action": [
                  "Effect": "Allow",
                  "Resource": "*"
              "Version": "2012-10-17"
        "RoleName": "BillingConsolePolicyMigratorRole"





全アカウントを指定した場合は boto3 のlist_accountsをトークンを確認して繰り返しているので、おそらくアカウント数の上限はなくて全件取得してくれそうです。

上記コマンドを実行すると 2 つのレポートファイル(JSON 形式)にスキャン結果が出力されています。




        "AccountsScanned": [
        "TotalAffectedAccounts": 1,
        "TotalAffectedPolicies": 6,
        "TotalSimilarPolicyGroups": 2
        "GroupName": "Group1",
        "ImpactedPolicies": [
                "Account": "123456789012",
                "PolicyType": "CustomerManagedPolicy",
                "PolicyName": "before-deny-billing",
                "PolicyIdentifier": "arn:aws:iam::123456789012:policy/before-deny-billing"
        "ImpactedPolicyStatements": [
                "Effect": "Deny",
                "Action": [
                "Resource": "*"
        "SuggestedPolicyStatementsToAppend": [
                "Sid": "BillingConsolePolicyMigrator0",
                "Effect": "Deny",
                "Action": [
                "Resource": "*"
        "GroupName": "Group2",
        "ImpactedPolicies": [
                "Account": "123456789012",
                "PolicyType": "SCP",
                "PolicyName": "aws-guardrails-YBopKh",
                "PolicyIdentifier": "p-krbcbp4z"
                "Account": "123456789012",
                "PolicyType": "SCP",
                "PolicyName": "aws-guardrails-YmqaSS",
                "PolicyIdentifier": "p-g5n3sm0v"
                "Account": "123456789012",
                "PolicyType": "SCP",
                "PolicyName": "aws-guardrails-bqMDcH",
                "PolicyIdentifier": "p-sg2grqs9"
                "Account": "123456789012",
                "PolicyType": "SCP",
                "PolicyName": "aws-guardrails-ojadBN",
                "PolicyIdentifier": "p-prpup0t9"
                "Account": "123456789012",
                "PolicyType": "SCP",
                "PolicyName": "aws-guardrails-GjlytP",
                "PolicyIdentifier": "p-bfz7licy"
        "ImpactedPolicyStatements": [
                "Effect": "Deny",
                "NotAction": [
                "Condition": {
                    "StringNotEquals": {
                        "aws:RequestedRegion": [
                    "ArnNotLike": {
                        "aws:PrincipalARN": [
                "Resource": "*"
        "SuggestedPolicyStatementsToAppend": [
                "Condition": {
                    "StringNotEquals": {
                        "aws:RequestedRegion": [
                    "ArnNotLike": {
                        "aws:PrincipalARN": [
                "Resource": "*",
                "Effect": "Deny",
                "NotAction": [
                "Sid": "BillingConsolePolicyMigrator0"

こちらを見て気がついたのですが、どうやら SCP でも該当アクションが使われているようだということがわかりました。
たしかに検出された SCP を確認してみると次のように廃止予定のアクションが含まれています。

このアカウントは Control Tower を有効化していたのですが、どうやらその際に自動作成されているようですね。
ということは今回のこのアクション廃止って Control Tower 有効化している全ユーザーに影響ありか?




        "GroupName": "Group2",
        "Account": "123456789012",
        "PolicyType": "SCP",
        "PolicyName": "aws-guardrails-GjlytP",
        "UserOrGroupOrRoleName": "p-bfz7licy",
        "Status": "FAILURE",
        "ErrorMessage": "ConstraintViolationException: You have exceeded the maximum policy size."




ちなみに、SCP もサジェストされたステートメントが追加される形で更新されていました。

ただし、更新後に「AWS Control Tower drift warning: A managed service control policy was modified.」という件名で次の内容のエラー通知メールを受信するようになりました。

"Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-YBopKh (p-krbcbp4z)', attached to the registered organizational unit 'Sandbox (ou-s4h9-a17cffj6)', has been modified. For more information, including steps to resolve this issue, see https://docs.aws.amazon.com/controltower/latest/userguide/drift.html#drift-scp-update",
"MasterAccountId" : "123456789012",
"ManagementAccountId" : "123456789012",
"OrganizationId" : "o-8j81brsjuj",
"DriftType" : "SCP_UPDATED",
"RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 300 accounts, you must update your landing zone.",
"OrganizationalUnitId" : "ou-s4h9-a17cffj6",
"PolicyId" : "p-krbcbp4z"

Control Tower のドリフト検出機能で検出されたようです。
廃止に伴ってこれらの SCP をどのように更新すべきかは検討が必要ですね。



本日は 2023 年 7 月 6 日の請求・コスト管理・アカウントのコンソールの権限廃止・変更のポリシー移行をアシストするために、一括更新スクリプトが提供されたので使ってみました。


Control Tower の SCP どうするかな?これは別途考えてみたいです。


