AWS Der Application Discovery Service steht Neukunden nicht mehr zur Verfügung. Verwenden Sie alternativ eines AWS Transform , das ähnliche Funktionen bietet. Weitere Informationen finden Sie unter [Änderung der Verfügbarkeit von AWS Application Discovery Service](https://docs.aws.amazon.com/application-discovery/latest/userguide/application-discovery-service-availability-change.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in AWS Application Discovery Service
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einem Rechenzentrum und einer Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Die Wirksamkeit unserer Sicherheitsfunktionen wird regelmäßig von externen Prüfern im Rahmen des [AWS -Compliance-Programms getestet und überprüft](https://aws.amazon.com/compliance/programs/).
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. In Ihre Verantwortung fallen außerdem weitere Faktoren, wie z. B. die Vertraulichkeit der Daten, die Anforderungen Ihrer Organisation sowie geltende Gesetze und Vorschriften.
Um den AWS Application Discovery Agent oder den Application Discovery Service Agentless Collector verwenden zu können, müssen Sie Zugangsschlüssel für Ihr AWS Konto angeben. Diese Informationen werden dann in Ihrer lokalen Infrastruktur gespeichert. Im Rahmen des Modells der gemeinsamen Verantwortung sind Sie dafür verantwortlich, den Zugriff auf Ihre Infrastruktur zu sichern.
In dieser Dokumentation erfahren Sie, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung von Application Discovery Service anwenden können. In den folgenden Themen erfahren Sie, wie Sie den Application Discovery Service konfigurieren, um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS Dienste verwenden können, die Ihnen helfen können, Ihre Application Discovery Service Service-Ressourcen zu überwachen und zu sichern.
**Topics**
+ [Identity and Access Management für AWS Application Discovery Service](security-iam.md)
+ [Protokollieren von API-Aufrufen des Application Discovery Service mit AWS CloudTrail](logging-using-cloudtrail.md)
# Identity and Access Management für AWS Application Discovery Service
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu AWS kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Application Discovery Service Service-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [Wie AWS Application Discovery Service funktioniert mit IAM](security_iam_service-with-iam.md)
+ [AWS verwaltete Richtlinien für AWS Application Discovery Service](security-iam-awsmanpol.md)
+ [AWS Application Discovery Service Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)
+ [Verwenden von dienstverknüpften Rollen für den Application Discovery Service](using-service-linked-roles.md)
+ [Problembehandlung bei AWS Application Discovery Service Identität und Zugriff](security_iam_troubleshoot.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Problembehandlung bei AWS Application Discovery Service Identität und Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [Wie AWS Application Discovery Service funktioniert mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [AWS Application Discovery Service Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) verwenden müssen.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Zugriffskontrolllisten () ACLs
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
Amazon S3 und Amazon VPC sind Beispiele für Dienste, die Unterstützung ACLs bieten. AWS WAF Weitere Informationen finden Sie unter [Übersicht über ACLs die Zugriffskontrollliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service Developer Guide*.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# Wie AWS Application Discovery Service funktioniert mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf den Application Discovery Service zu verwalten, sollten Sie wissen, welche IAM-Funktionen für die Verwendung mit Application Discovery Service verfügbar sind. Einen allgemeinen Überblick darüber, wie Application Discovery Service und andere AWS Dienste mit IAM zusammenarbeiten, finden Sie unter [AWS Services That Work with IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Identitätsbasierte Richtlinien für den Application Discovery Service](#security_iam_service-with-iam-id-based-policies)
+ [Ressourcenbasierte Richtlinien für den Application Discovery Service](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisierung auf der Grundlage von Application Discovery Service Service-Tags](#security_iam_service-with-iam-tags)
+ [IAM-Rollen für den Application Discovery Service](#security_iam_service-with-iam-roles)
## Identitätsbasierte Richtlinien für den Application Discovery Service
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Der Application Discovery Service unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Aktionen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Richtlinienaktionen im Application Discovery Service verwenden das folgende Präfix vor der Aktion:`discovery:`. Richtlinienanweisungen müssen entweder ein – `Action`oder ein `NotAction`-Element enthalten. Der Application Discovery Service definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Dienst ausführen können.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:
```
"Action": [
"discovery:action1",
"discovery:action2"
```
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:
```
"Action": "discovery:Describe*"
```
Eine Liste der Application Discovery Service Service-Aktionen finden Sie unter [Definierte Aktionen von AWS Application Discovery Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_applicationdiscovery.html#awskeymanagementservice-actions-as-permissions) im *IAM-Benutzerhandbuch*.
### Ressourcen
Der Application Discovery Service unterstützt die Angabe von Ressourcen ARNs in einer Richtlinie nicht. Um den Zugriff zu trennen, erstellen und verwenden Sie ihn separat AWS-Konten.
### Bedingungsschlüssel
Der Application Discovery Service stellt keine dienstspezifischen Bedingungsschlüssel bereit, unterstützt jedoch die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [AWS Globale Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
### Beispiele
Beispiele für identitätsbasierte Richtlinien des Application Discovery Service finden Sie unter. [AWS Application Discovery Service Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)
## Ressourcenbasierte Richtlinien für den Application Discovery Service
Der Application Discovery Service unterstützt keine ressourcenbasierten Richtlinien.
## Autorisierung auf der Grundlage von Application Discovery Service Service-Tags
Der Application Discovery Service unterstützt weder das Markieren von Ressourcen noch das Steuern des Zugriffs auf der Grundlage von Tags.
## IAM-Rollen für den Application Discovery Service
Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität innerhalb Ihres AWS Kontos, die über bestimmte Berechtigungen verfügt.
### Temporäre Anmeldeinformationen mit dem Application Discovery Service verwenden
Der Application Discovery Service unterstützt die Verwendung temporärer Anmeldeinformationen nicht.
### Service-verknüpfte Rollen
Mit [dienstbezogenen Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) können AWS Dienste auf Ressourcen in anderen Diensten zugreifen, um eine Aktion in Ihrem Namen auszuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.
Der Application Discovery Service unterstützt dienstverknüpfte Rollen. Einzelheiten zum Erstellen oder Verwalten von mit dem Application Discovery Service verknüpften Rollen finden Sie unter[Verwenden von dienstverknüpften Rollen für den Application Discovery Service](using-service-linked-roles.md).
### Servicerollen
Dieses Feature ermöglicht einem Service das Annehmen einer [Servicerolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Dies bedeutet, dass ein IAM-Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.
Der Application Discovery Service unterstützt Dienstrollen.
# AWS verwaltete Richtlinien für AWS Application Discovery Service
Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, AWS verwaltete Richtlinien zu verwenden, als Richtlinien selbst zu schreiben. Es erfordert Zeit und Fachwissen, um [von Kunden verwaltete IAM-Richtlinien zu erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html), die Ihrem Team nur die benötigten Berechtigungen bieten. Um schnell loszulegen, können Sie unsere AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS-Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie im *IAM-Benutzerhandbuch* unter [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies).
AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Services fügen einer von AWS verwalteten Richtlinien gelegentlich zusätzliche Berechtigungen hinzu, um neue Features zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Services aktualisieren eine von AWS verwaltete Richtlinie am ehesten, ein neues Feature gestartet wird oder neue Vorgänge verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.
AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die **ReadOnlyAccess** AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in [Verwaltete AWS -Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Leitfaden*.
## AWS verwaltete Richtlinie: AWSApplication DiscoveryServiceFullAccess
Die `AWSApplicationDiscoveryServiceFullAccess` Richtlinie gewährt einem IAM-Benutzerkonto Zugriff auf den Application Discovery Service und den Migration Hub APIs.
Ein IAM-Benutzerkonto, dem diese Richtlinie zugewiesen ist, kann den Application Discovery Service konfigurieren, Agenten starten und beenden, die agentenlose Erkennung starten und beenden und Daten aus der AWS Discovery Service-Datenbank abfragen. Ein Beispiel für diese Richtlinie finden Sie unter [Vollzugriff auf den Application Discovery Service gewähren](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-fullaccess).
## AWS verwaltete Richtlinie: AWSApplication DiscoveryAgentlessCollectorAccess
Die `AWSApplicationDiscoveryAgentlessCollectorAccess` verwaltete Richtlinie gewährt dem Application Discovery Service Agentless Collector (Agentless Collector) Zugriff, um sich zu registrieren und mit dem Application Discovery Service zu kommunizieren und mit anderen AWS Diensten zu kommunizieren.
Diese Richtlinie muss dem IAM-Benutzer zugewiesen werden, dessen Anmeldeinformationen zur Konfiguration des Agentless Collectors verwendet werden.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `arsenal`— Ermöglicht dem Collector, sich bei der Application Discovery Service Service-Anwendung zu registrieren. Dies ist notwendig, um gesammelte Daten an zurücksenden zu können AWS.
+ `ecr-public`— Ermöglicht dem Collector, Aufrufe an das Amazon Elastic Container Registry Public (Amazon ECR Public) zu tätigen, wo die neuesten Updates für den Collector gefunden werden.
+ `mgh`— Ermöglicht dem Collector, anzurufen AWS Migration Hub , um die Heimatregion des Kontos abzurufen, das zur Konfiguration des Collectors verwendet wurde. Dies ist notwendig, um zu wissen, in welche Region die gesammelten Daten gesendet werden sollen.
+ `sts`— Ermöglicht dem Collector, ein Service Bearer-Token abzurufen, sodass der Collector Amazon ECR Public aufrufen kann, um die neuesten Updates zu erhalten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arsenal:RegisterOnPremisesAgent"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ecr-public:DescribeImages"
],
"Resource": "arn:aws:ecr-public::446372222237:repository/6e5498e4-8c31-4f57-9991-13b4b992ff7b"
},
{
"Effect": "Allow",
"Action": [
"ecr-public:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"mgh:GetHomeRegion"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"sts:GetServiceBearerToken"
],
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AWSApplication DiscoveryAgentAccess
Die `AWSApplicationDiscoveryAgentAccess` Richtlinie gewährt dem Application Discovery Agent Zugriff auf die Registrierung und Kommunikation mit dem Application Discovery Service.
Sie fügen diese Richtlinie jedem Benutzer hinzu, dessen Anmeldeinformationen vom Application Discovery Agent verwendet werden.
Diese Richtlinie gewährt dem Benutzer außerdem den Zugriff auf Arsenal. Arsenal ist ein Agentendienst, der von verwaltet und gehostet wird AWS. Arsenal leitet Daten an den Application Discovery Service in der Cloud weiter. Ein Beispiel für diese Richtlinie finden Sie unter [Discovery-Agents Zugriff gewähren](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-agentaccess).
## AWS verwaltete Richtlinie: AWSAgentless DiscoveryService
Die `AWSAgentlessDiscoveryService` Richtlinie gewährt dem AWS Agentless Discovery Connector, der auf Ihrem VMware vCenter Server ausgeführt wird, Zugriff auf die Registrierung, Kommunikation und gemeinsame Nutzung von Connector-Integritätsmetriken mit Application Discovery Service.
Fügen Sie diese Richtlinie einem Benutzer an, dessen Anmeldeinformationen von dem Connector verwendet werden.
## AWS verwaltete Richtlinie: ApplicationDiscoveryServiceContinuousExportServiceRolePolicy
Wenn die `AWSApplicationDiscoveryServiceFullAccess` Richtlinie an Ihr IAM-Konto angehängt `ApplicationDiscoveryServiceContinuousExportServiceRolePolicy` ist, wird sie automatisch mit Ihrem Konto verknüpft, wenn Sie die Datenexploration in Amazon Athena aktivieren.
Diese Richtlinie ermöglicht AWS Application Discovery Service die Erstellung von Amazon Data Firehose-Streams zur Transformation und Übertragung von Daten, die von AWS Application Discovery Service Agenten gesammelt wurden, an einen Amazon S3 S3-Bucket in Ihrem AWS Konto.
Darüber hinaus erstellt diese Richtlinie eine AWS Glue Data Catalog mit einer neuen Datenbank namens *application\$1discovery\$1service\$1database* und Tabellenschemas für die Zuordnung von Daten, die von den Agenten gesammelt wurden. Ein Beispiel für diese Richtlinie finden Sie unter [Erteilen von Berechtigungen für die Erfassung von Agentendaten](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-export-service).
## AWS verwaltete Richtlinie: AWSDiscovery ContinuousExportFirehosePolicy
Die `AWSDiscoveryContinuousExportFirehosePolicy` Richtlinie ist erforderlich, um die Datenexploration in Amazon Athena nutzen zu können. Es ermöglicht Amazon Data Firehose, Daten, die vom Application Discovery Service gesammelt wurden, in Amazon S3 zu schreiben. Weitere Informationen zur Verwendung dieser Richtlinie finden Sie unter [Die AWSApplication DiscoveryServiceFirehose Rolle erstellen](#security-iam-awsmanpol-create-firehose-role). Ein Beispiel für diese Richtlinie finden Sie unter [Erteilung von Berechtigungen für die Datenexploration](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-export-firehose).
## Die AWSApplication DiscoveryServiceFirehose Rolle erstellen
Ein Administrator fügt Ihrem IAM-Benutzerkonto verwaltete Richtlinien hinzu. Wenn Sie die `AWSDiscoveryContinuousExportFirehosePolicy` Richtlinie verwenden, muss der Administrator zunächst eine Rolle **AWSApplicationDiscoveryServiceFirehose**mit dem Namen Firehose als vertrauenswürdige Entität erstellen und dann die `AWSDiscoveryContinuousExportFirehosePolicy` Richtlinie an die Rolle anhängen, wie im folgenden Verfahren gezeigt.
**Um die **AWSApplicationDiscoveryServiceFirehose**IAM-Rolle zu erstellen**
1. Wählen Sie in der IAM-Konsole im Navigationsbereich **Rollen** aus.
1. Wählen Sie **Rolle erstellen** aus.
1. Wählen Sie **Kinesis**.
1. Wählen Sie als Ihren Anwendungsfall **Kinesis Firehose**.
1. Wählen Sie **Weiter: Berechtigungen** aus.
1. Suchen Sie unter **Richtlinien filtern** nach **AWSDiscoveryContinuousExportFirehosePolicy**.
1. Wählen Sie das Feld daneben **AWSDiscoveryContinuousExportFirehosePolicy**aus und wählen Sie dann **Weiter: Überprüfen** aus.
1. Geben Sie **AWSApplicationDiscoveryServiceFirehose**als Rollennamen ein und wählen Sie dann **Rolle erstellen** aus.
## Updates für AWS verwaltete Richtlinien durch den Application Discovery Service
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Application Discovery Service an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Um automatische Warnungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der [Dokumentenverlauf für AWS Application Discovery Service](doc-history.md)-Seite.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AWSApplicationDiscoveryAgentlessCollectorAccess](#security-iam-awsmanpol-AWSApplicationDiscoveryAgentlessCollectorAccess)— Neue Richtlinie, die mit dem Start von Agentless Collector verfügbar gemacht wurde | Der Application Discovery Service hat die neue verwaltete Richtlinie hinzugefügt`AWSApplicationDiscoveryAgentlessCollectorAccess`, die dem Agentless Collector Zugriff auf die Registrierung und Kommunikation mit dem Application Discovery Service sowie die Kommunikation mit anderen AWS Diensten gewährt. | 16. August 2022 |
| Application Discovery Service hat mit der Nachverfolgung von Änderungen begonnen | Der Application Discovery Service hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. | 1. März 2021 |
# AWS Application Discovery Service Beispiele für identitätsbasierte Richtlinien
Standardmäßig sind IAM-Benutzer und -Rollen nicht berechtigt, Application Discovery Service Service-Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mit der AWS-Managementkonsole AWS CLI, oder AWS API ausführen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den IAM-Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von Richtlinien auf der JSON-Registerkarte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Vollzugriff auf den Application Discovery Service gewähren](#security_iam_id-based-policy-examples-ads-fullaccess)
+ [Discovery-Agents Zugriff gewähren](#security_iam_id-based-policy-examples-ads-agentaccess)
+ [Erteilen von Berechtigungen für die Erfassung von Agentendaten](#security_iam_id-based-policy-examples-ads-export-service)
+ [Erteilung von Berechtigungen für die Datenexploration](#security_iam_id-based-policy-examples-ads-export-firehose)
+ [Erteilen von Berechtigungen zur Verwendung des Netzwerkdiagramms der Migration Hub Hub-Konsole](#security_iam_id-based-policy-examples-network-connection-graph)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Application Discovery Service Service-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Vollzugriff auf den Application Discovery Service gewähren
Die AWSApplication DiscoveryServiceFullAccess verwaltete Richtlinie gewährt dem IAM-Benutzerkonto Zugriff auf den Application Discovery Service und den Migration Hub APIs.
Ein IAM-Benutzer, dem diese Richtlinie mit seinem Konto verknüpft ist, kann den Application Discovery Service konfigurieren, Agents starten und beenden, die agentenlose Erkennung starten und beenden und Daten aus der AWS Discovery Service-Datenbank abfragen. Weitere Informationen zu dieser Richtlinie finden Sie unter [AWS verwaltete Richtlinien für AWS Application Discovery Service](security-iam-awsmanpol.md).
**Example AWSApplicationDiscoveryServiceFullAccess Richtlinie**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"mgh:*",
"discovery:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"iam:GetRole"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## Discovery-Agents Zugriff gewähren
Die AWSApplication DiscoveryAgentAccess verwaltete Richtlinie gewährt dem Application Discovery Agent Zugriff auf die Registrierung und Kommunikation mit dem Application Discovery Service. Weitere Informationen zu dieser Richtlinie finden Sie unter [AWS verwaltete Richtlinien für AWS Application Discovery Service](security-iam-awsmanpol.md).
Ordnen Sie diese Richtlinie jedem Benutzer zu, dessen Anmeldeinformationen vom Application Discovery Agent verwendet werden.
Diese Richtlinie gewährt dem Benutzer außerdem den Zugriff auf Arsenal. Arsenal ist ein Agentendienst, der von verwaltet und gehostet wird AWS. Arsenal leitet Daten an den Application Discovery Service in der Cloud weiter.
**Example AWSApplicationDiscoveryAgentAccess Richtlinie**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arsenal:RegisterOnPremisesAgent"
],
"Resource": "*"
}
]
}
```
## Erteilen von Berechtigungen für die Erfassung von Agentendaten
Die ApplicationDiscoveryServiceContinuousExportServiceRolePolicy verwaltete Richtlinie ermöglicht AWS Application Discovery Service die Erstellung von Amazon Data Firehose-Streams zur Transformation und Übertragung von Daten, die von Application Discovery Service Service-Agenten gesammelt wurden, an einen Amazon S3 S3-Bucket in Ihrem AWS Konto.
Darüber hinaus erstellt diese Richtlinie einen AWS Glue Datenkatalog mit einer neuen Datenbank namens `application_discovery_service_database` und Tabellenschemas für die Zuordnung von Daten, die von den Agenten gesammelt wurden.
Weitere Informationen zur Verwendung dieser Richtlinie finden Sie unter [AWS verwaltete Richtlinien für AWS Application Discovery Service](security-iam-awsmanpol.md).
**Example ApplicationDiscoveryServiceContinuousExportServiceRolePolicy**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"glue:CreateDatabase",
"glue:UpdateDatabase",
"glue:CreateTable",
"glue:UpdateTable",
"firehose:CreateDeliveryStream",
"firehose:DescribeDeliveryStream",
"logs:CreateLogGroup"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"firehose:DeleteDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch",
"firehose:UpdateDestination"
],
"Effect": "Allow",
"Resource": "arn:aws:firehose:*:*:deliverystream/aws-application-discovery-service*"
},
{
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:PutBucketLogging",
"s3:PutEncryptionConfiguration"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::aws-application-discovery-service*"
},
{
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::aws-application-discovery-service*/*"
},
{
"Action": [
"logs:CreateLogStream",
"logs:PutRetentionPolicy"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:*:*:log-group:/aws/application-discovery-service/firehose*"
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/AWSApplicationDiscoveryServiceFirehose",
"Condition": {
"StringLike": {
"iam:PassedToService": "firehose.amazonaws.com"
}
}
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/service-role/AWSApplicationDiscoveryServiceFirehose",
"Condition": {
"StringLike": {
"iam:PassedToService": "firehose.amazonaws.com"
}
}
}
]
}
```
## Erteilung von Berechtigungen für die Datenexploration
Die AWSDiscovery ContinuousExportFirehosePolicy Richtlinie ist erforderlich, um die Datenexploration in Amazon Athena nutzen zu können. Es ermöglicht Amazon Data Firehose, Daten, die vom Application Discovery Service gesammelt wurden, in Amazon S3 zu schreiben. Weitere Informationen zur Verwendung dieser Richtlinie finden Sie unter [Die AWSApplication DiscoveryServiceFirehose Rolle erstellen](security-iam-awsmanpol.md#security-iam-awsmanpol-create-firehose-role).
**Example AWSDiscoveryContinuousExportFirehosePolicy**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:GetTableVersions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-application-discovery-service-*",
"arn:aws:s3:::aws-application-discovery-service-*/*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/application-discovery-service/firehose:log-stream:*"
]
}
]
}
```
## Erteilen von Berechtigungen zur Verwendung des Netzwerkdiagramms der Migration Hub Hub-Konsole
Um beim Erstellen einer identitätsbasierten Richtlinie, die den Zugriff auf Application Discovery Service oder Migration Hub erlaubt oder verweigert, Zugriff auf das AWS Migration Hub Konsolen-Netzwerkdiagramm zu gewähren, müssen Sie die `discovery:GetNetworkConnectionGraph` Aktion möglicherweise der Richtlinie hinzufügen.
Sie müssen die `discovery:GetNetworkConnectionGraph` Aktion in neuen Richtlinien verwenden oder ältere Richtlinien aktualisieren, wenn Folgendes für die Richtlinie zutrifft:
+ Die Richtlinie erlaubt oder verweigert den Zugriff auf den Application Discovery Service oder den Migration Hub.
+ Die Richtlinie gewährt Zugriffsberechtigungen mithilfe einer weiteren spezifischen Discovery-Aktion wie `discovery:action-name` statt`discovery:*`.
Das folgende Beispiel zeigt, wie die `discovery:GetNetworkConnectionGraph` Aktion in einer IAM-Richtlinie verwendet wird.
**Example**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["discovery:GetNetworkConnectionGraph"],
"Resource": "*"
}
]
}
```
Informationen zum Migration Hub-Netzwerkdiagramm finden Sie unter [Netzwerkverbindungen in Migration Hub anzeigen](https://docs.aws.amazon.com/migrationhub/latest/ug/network-diagram.html).
# Verwenden von dienstverknüpften Rollen für den Application Discovery Service
AWS Application Discovery Service verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine dienstverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit dem Application Discovery Service verknüpft ist. Dienstbezogene Rollen sind vom Application Discovery Service vordefiniert und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine dienstverknüpfte Rolle erleichtert die Einrichtung von Application Discovery Service, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Der Application Discovery Service definiert die Berechtigungen seiner dienstbezogenen Rollen, und sofern nicht anders definiert, kann nur Application Discovery Service seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dadurch werden Ihre Application Discovery Service Service-Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.
**Topics**
+ [Dienstbezogene Rollenberechtigungen für Application Discovery Service](service-linked-role-permissions.md)
+ [Eine dienstverknüpfte Rolle für den Application Discovery Service erstellen](create-service-linked-role.md)
+ [Löschen einer dienstverknüpften Rolle für Application Discovery Service](delete-service-linked-role.md)
Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Ja** in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
# Dienstbezogene Rollenberechtigungen für Application Discovery Service
Der Application Discovery Service verwendet die dienstverknüpfte Rolle mit dem Namen **AWSServiceRoleForApplicationDiscoveryServiceContinuousExport**— Ermöglicht den Zugriff auf AWS Dienste und Ressourcen, die von AWS Application Discovery Service verwendet oder verwaltet werden.
Die AWSService RoleForApplicationDiscoveryServiceContinuousExport dienstverknüpfte Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `continuousexport.discovery.amazonaws.com`
Die Rollenberechtigungsrichtlinie ermöglicht es dem Application Discovery Service, die folgenden Aktionen durchzuführen:
glue
`CreateDatabase`
`UpdateDatabase`
`CreateTable`
`UpdateTable`
firehose
`CreateDeliveryStream`
`DeleteDeliveryStream`
`DescribeDeliveryStream`
`PutRecord`
`PutRecordBatch`
`UpdateDestination`
S3
`CreateBucket`
`ListBucket`
`GetObject`
Protokolle
`CreateLogGroup`
`CreateLogStream`
`PutRetentionPolicy`
iam
`PassRole`
Dies ist die vollständige Richtlinie, aus der hervorgeht, für welche Ressourcen die oben genannten Aktionen gelten:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"glue:CreateDatabase",
"glue:UpdateDatabase",
"glue:CreateTable",
"glue:UpdateTable",
"firehose:CreateDeliveryStream",
"firehose:DescribeDeliveryStream",
"logs:CreateLogGroup"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"firehose:DeleteDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch",
"firehose:UpdateDestination"
],
"Effect": "Allow",
"Resource": "arn:aws:firehose:*:*:deliverystream/aws-application-discovery-service*"
},
{
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:PutBucketLogging",
"s3:PutEncryptionConfiguration"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::aws-application-discovery-service*"
},
{
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::aws-application-discovery-service*/*"
},
{
"Action": [
"logs:CreateLogStream",
"logs:PutRetentionPolicy"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:*:*:log-group:/aws/application-discovery-service/firehose*"
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/AWSApplicationDiscoveryServiceFirehose",
"Condition": {
"StringLike": {
"iam:PassedToService": "firehose.amazonaws.com"
}
}
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/service-role/AWSApplicationDiscoveryServiceFirehose",
"Condition": {
"StringLike": {
"iam:PassedToService": "firehose.amazonaws.com"
}
}
}
]
}
```
------
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
# Eine dienstverknüpfte Rolle für den Application Discovery Service erstellen
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Die AWSService RoleForApplicationDiscoveryServiceContinuousExport dienstbezogene Rolle wird automatisch erstellt, wenn Continuous Export implizit aktiviert wird, indem a) die Optionen im Dialogfeld bestätigt werden, das auf der Seite Data Collectors angezeigt wird, nachdem Sie „Datenerfassung starten“ ausgewählt haben, oder indem Sie auf den Schieberegler mit der Bezeichnung „Datenexploration in Athena“ klicken, oder b) wenn Sie die StartContinuousExport API über die CLI aufrufen. AWS
**Wichtig**
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Weitere Informationen finden Sie unter [Eine neue Rolle ist in meinem IAM-Konto erschienen](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
## Die serviceverknüpfte Rolle von der Migration Hub Hub-Konsole aus erstellen
Sie können die Migration Hub Hub-Konsole verwenden, um die AWSService RoleForApplicationDiscoveryServiceContinuousExport serviceverknüpfte Rolle zu erstellen.
**So erstellen die serviceverknüpfte Rolle (Konsole)**
1. Klicken Sie im Navigationsbereich auf **Data Collectors (Datensammler)**.
1. Wählen Sie die Registerkarte **Agents (Agenten)**.
1. Stellen Sie den Schieberegler **Datenexploration in Athena** auf die Position Ein.
1. Klicken Sie in dem im vorherigen Schritt erstellten Dialogfeld auf das Kontrollkästchen, um sich mit den anfallenden Gebühren einverstanden zu erklären. Klicken Sie dann auf **Continue (Fortfahren)** oder **Enable (Aktivieren)**.
## Erstellen Sie die serviceverknüpfte Rolle aus dem AWS CLI
Sie können Application Discovery Service Service-Befehle von verwenden AWS Command Line Interface , um die AWSService RoleForApplicationDiscoveryServiceContinuousExport dienstverknüpfte Rolle zu erstellen.
Diese dienstverknüpfte Rolle wird automatisch erstellt, wenn Sie Continuous Export über starten AWS CLI (die AWS CLI muss zuerst in Ihrer Umgebung installiert werden).
**Um die serviceverknüpfte Rolle (CLI) zu erstellen, indem Sie Continuous Export von der AWS CLI**
1. Installieren Sie das AWS CLI für Ihr Betriebssystem (Linux, macOS oder Windows). Anweisungen finden Sie im [AWS Command Line Interface Benutzerhandbuch](https://docs.aws.amazon.com/cli/latest/userguide/).
1. Öffnen Sie die Eingabeaufforderung (Windows) oder das Terminal (Linux oder macOS).
1. Geben Sie `aws configure` ein und drücken Sie die Eingabetaste.
1. Geben Sie Ihre AWS Zugangsschlüssel-ID und Ihren AWS geheimen Zugriffsschlüssel ein.
1. Geben Sie als standardmäßigen Regionsnamen `us-west-2` ein.
1. Geben Sie als Standard-Ausgabeformat `text` ein.
1. Geben Sie den folgenden Befehl ein:
```
aws discovery start-continuous-export
```
Sie können die IAM-Konsole auch verwenden, um eine dienstbezogene Rolle mit dem Anwendungsfall **Discovery Service — Continuous Export** zu erstellen. Erstellen Sie in der IAM-CLI oder der IAM-API eine serviceverknüpfte Rolle mit dem Servicenamen `continuousexport.discovery.amazonaws.com`. Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpfte Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Leitfaden*. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.
# Löschen einer dienstverknüpften Rolle für Application Discovery Service
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
## Bereinigen der -serviceverknüpften Rolle
Bevor mit IAM eine serviceverknüpfte Rolle löschen können, müssen Sie zunächst alle von der Rolle verwendeten Ressourcen löschen.
**Anmerkung**
Wenn der Application Discovery Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**So löschen Sie Application Discovery Service Service-Ressourcen, die von der AWSService RoleForApplicationDiscoveryServiceContinuousExport serviceverknüpften Rolle verwendet werden, aus der Migration Hub Hub-Konsole**
1. Klicken Sie im Navigationsbereich auf **Data Collectors (Datensammler)**.
1. Wählen Sie die Registerkarte **Agents (Agenten)**.
1. Stellen Sie den Schieberegler **Datenexploration in Athena** auf die Position Aus.
**Um Application Discovery Service Service-Ressourcen zu löschen, die von der AWSService RoleForApplicationDiscoveryServiceContinuousExport serviceverknüpften Rolle verwendet werden, aus dem AWS CLI**
1. Installieren Sie das AWS CLI für Ihr Betriebssystem (Linux, macOS oder Windows). Anweisungen finden Sie im [AWS Command Line Interface Benutzerhandbuch](https://docs.aws.amazon.com/cli/latest/userguide/).
1. Öffnen Sie die Eingabeaufforderung (Windows) oder das Terminal (Linux oder macOS).
1. Geben Sie `aws configure` ein und drücken Sie die Eingabetaste.
1. Geben Sie Ihre AWS Zugangsschlüssel-ID und Ihren AWS geheimen Zugriffsschlüssel ein.
1. Geben Sie als standardmäßigen Regionsnamen `us-west-2` ein.
1. Geben Sie als Standard-Ausgabeformat `text` ein.
1. Geben Sie den folgenden Befehl ein:
```
aws discovery stop-continuous-export --export-id
```
1. Wenn Ihnen die Export-ID des fortlaufenden Exports, den Sie beenden möchten, nicht bekannt ist, geben Sie den folgenden Befehl ein, um die ID des fortlaufenden Exports anzuzeigen:
```
aws discovery describe-continuous-exports
```
1. Geben Sie den folgenden Befehl ein, um sicherzustellen, dass Continuous Export beendet wurde, indem Sie überprüfen, ob der Rückgabestatus „INAKTIV“ lautet:
```
aws discovery describe-continuous-export
```
## Manuelles Löschen der serviceverknüpften Rolle
Sie können die AWSService RoleForApplicationDiscoveryServiceContinuousExport serviceverknüpfte Rolle mithilfe der IAM-Konsole, der IAM-CLI oder der IAM-API löschen. Wenn Sie die Funktionen Discovery Service — Continuous Export, für die diese serviceverknüpfte Rolle erforderlich ist, nicht mehr verwenden müssen, empfehlen wir Ihnen, diese Rolle zu löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.
**Anmerkung**
Sie müssen Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie löschen können. Siehe [Bereinigen der -serviceverknüpften Rolle](#service-linked-role-review-before-delete).
# Problembehandlung bei AWS Application Discovery Service Identität und Zugriff
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Application Discovery Service und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, IAM durchzuführen: PassRole](#security_iam_troubleshoot-passrole)
## Ich bin nicht berechtigt, IAM durchzuführen: PassRole
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die `iam:PassRole` Aktion auszuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an den Application Discovery Service übergeben können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion im Application Discovery Service auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
# Protokollieren von API-Aufrufen des Application Discovery Service mit AWS CloudTrail
AWS Application Discovery Service ist in einen Dienst integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Dienst in Application Discovery Service ausgeführt wurden. Sie können CloudTrail damit Kontoaktivitäten zu Problembehebungs- und Prüfungszwecken protokollieren, kontinuierlich überwachen und speichern. CloudTrail bietet einen Ereignisverlauf Ihrer AWS Kontoaktivitäten, einschließlich der über die AWS Managementkonsole durchgeführten Aktionen und Befehlszeilentools. AWS SDKs
CloudTrail erfasst alle API-Aufrufe für den Application Discovery Service als Ereignisse. Zu den erfassten Aufrufen gehören Aufrufe von der Application Discovery Service-Konsole und Codeaufrufen für die API-Operationen des Application Discovery Service.
Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Bereitstellung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für den Application Discovery Service. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse trotzdem in der CloudTrail Konsole im **Ereignisverlauf** anzeigen. Anhand der von CloudTrail gesammelten Informationen können Sie die Anfrage an den Application Discovery Service, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln.
Weitere Informationen CloudTrail dazu finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## Informationen zum Application Discovery Service in CloudTrail
CloudTrail ist für Ihr AWS Konto aktiviert, wenn Sie das Konto erstellen. Wenn eine Aktivität im Application Discovery Service auftritt, wird diese Aktivität zusammen mit anderen CloudTrail AWS Dienstereignissen im **Ereignisverlauf in einem Ereignis** aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem AWS Konto anzeigen, suchen und herunterladen. Weitere Informationen finden Sie unter [Ereignisse mit CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Für eine fortlaufende Aufzeichnung von Ereignissen in Ihrem AWS Konto, einschließlich Ereignissen für den Application Discovery Service, erstellen Sie einen Trail. Ein *Trail* ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie einen Trail in der Konsole erstellen, gilt der Trail standardmäßig für alle AWS Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie hier:
+ [Übersicht zum Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Unterstützte Dienste und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Empfangen von CloudTrail Protokolldateien aus mehreren Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) und [Empfangen von CloudTrail Protokolldateien von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Alle Application Discovery Service-Aktionen werden von der [Application Discovery Service API-Referenz](https://docs.aws.amazon.com/application-discovery/latest/APIReference/) protokolliert CloudTrail und sind in dieser Dokumentation dokumentiert. Beispielsweise generieren Aufrufe der `GetDiscoverySummary` Aktionen `CreateTags``DescribeTags`, und Einträge in den CloudTrail Protokolldateien.
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
+ Ob die Anfrage mit Root- oder AWS Identity and Access Management (IAM-) Benutzeranmeldedaten gestellt wurde.
+ Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
+ Ob die Anfrage von einem anderen AWS Dienst gestellt wurde.
Weitere Informationen finden Sie unter [CloudTrail userIdentity-Element](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Grundlegendes zu den Protokolldateieinträgen des Application Discovery Service
Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar und enthält Informationen über die angeforderte Aktion, Datum und Uhrzeit der Aktion, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass sie nicht in einer bestimmten Reihenfolge angezeigt werden.
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die `DescribeTags` Aktion demonstriert.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAJBHMC4H6EKEXAMPLE:sample-user",
"arn": "arn:aws:sts::444455556666:assumed-role/ReadOnly/sample-user",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDAJQABLZS4A3QDU576Q",
"arn": "arn:aws:iam::444455556666:role/ReadOnly",
"accountId": "444455556666",
"userName": "sampleAdmin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2020-05-05T15:19:03Z"
}
}
},
"eventTime": "2020-05-05T17:02:40Z",
"eventSource": "discovery.amazonaws.com",
"eventName": "DescribeTags",
"awsRegion": "us-west-2",
"sourceIPAddress": "20.22.33.44",
"userAgent": "Coral/Netty4",
"requestParameters": {
"maxResults": 0,
"filters": [
{
"values": [
"d-server-0315rfdjreyqsq"
],
"name": "configurationId"
}
]
},
"responseElements": null,
"requestID": "mgh-console-eb1cf315-e2b4-4696-93e5-b3a3b9346b4b",
"eventID": "7b32b778-91c9-4c75-9cb0-6c852791b2eb",
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```