Bonnes pratiques en matière de politiques Octroi d'un accès complet Accorder l'accès aux agents Octroi d'autorisations pour la collecte des données des agents Octroi d'autorisations pour l'exploration des données Octroi d'autorisations pour utiliser le schéma de réseau

AWS Application Discovery Service Exemples de politiques basées sur l'identité

Par défaut, IAM les utilisateurs et les rôles ne sont pas autorisés à créer ou à modifier les ressources Application Discovery Service. Ils ne peuvent pas non plus effectuer de tâches à l'aide du AWS Management Console AWS CLI, ou AWS API. Un IAM administrateur doit créer des IAM politiques qui accordent aux utilisateurs et aux rôles l'autorisation d'effectuer des API opérations spécifiques sur les ressources spécifiques dont ils ont besoin. L'administrateur doit ensuite associer ces politiques aux IAM utilisateurs ou aux groupes qui ont besoin de ces autorisations.

Pour savoir comment créer une politique IAM basée sur l'identité à l'aide de ces exemples de documents de JSON stratégie, voir Création de politiques dans l'JSONonglet du guide de l'IAMutilisateur.

Rubriques

Bonnes pratiques en matière de politiques
Octroi d'un accès complet à Application Discovery Service
Octroi de l'accès aux agents de découverte
Octroi d'autorisations pour la collecte des données des agents
Octroi d'autorisations pour l'exploration des données
Octroi d'autorisations pour utiliser le schéma réseau de la console Migration Hub

Bonnes pratiques en matière de politiques

Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer des ressources Application Discovery Service dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :

Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations à vos utilisateurs et à vos charges de travail, utilisez les politiques AWS gérées qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d'informations, consultez les politiques AWS gérées ou les politiques AWS gérées pour les fonctions professionnelles dans le Guide de IAM l'utilisateur.
Appliquer les autorisations du moindre privilège : lorsque vous définissez des autorisations à IAM l'aide de politiques, accordez uniquement les autorisations nécessaires à l'exécution d'une tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées autorisations de moindre privilège. Pour plus d'informations sur l'utilisation IAM pour appliquer des autorisations, consultez la section Politiques et autorisations du Guide de IAM l'utilisateur. IAM
Utilisez des conditions dans IAM les politiques pour restreindre davantage l'accès : vous pouvez ajouter une condition à vos politiques pour limiter l'accès aux actions et aux ressources. Par exemple, vous pouvez rédiger une condition de politique pour spécifier que toutes les demandes doivent être envoyées en utilisantSSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique AWS service, tel que AWS CloudFormation. Pour plus d'informations, voir Éléments IAM JSON de politique : Condition dans le guide de IAM l'utilisateur.
Utilisez IAM Access Analyzer pour valider vos IAM politiques afin de garantir des autorisations sécurisées et fonctionnelles. IAM Access Analyzer valide les politiques nouvelles et existantes afin qu'elles soient conformes au langage des IAM politiques (JSON) et IAM aux meilleures pratiques. IAMAccess Analyzer fournit plus de 100 vérifications des politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d'informations, consultez la section Validation des politiques d'IAMAccess Analyzer dans le guide de IAM l'utilisateur.
Exiger l'authentification multifactorielle (MFA) : si vous avez un scénario qui nécessite des IAM utilisateurs ou un utilisateur root Compte AWS, activez-le MFA pour une sécurité supplémentaire. Pour exiger le MFA moment où les API opérations sont appelées, ajoutez MFA des conditions à vos politiques. Pour plus d'informations, consultez la section Configuration de l'APIaccès MFA protégé dans le Guide de l'IAMutilisateur.

Pour plus d'informations sur les meilleures pratiques en matière de sécuritéIAM, consultez la section Bonnes pratiques en matière de sécurité IAM dans le Guide de IAM l'utilisateur.

Octroi d'un accès complet à Application Discovery Service

La politique AWSApplicationDiscoveryServiceFullAccess gérée accorde au compte IAM utilisateur l'accès à l'Application Discovery Service et au Migration HubAPIs.

Un IAM utilisateur dont cette politique est associée à son compte peut configurer Application Discovery Service, démarrer et arrêter les agents, démarrer et arrêter la découverte sans agent et interroger les données de la base de données du AWS Discovery Service. Pour de plus amples informations sur cette stratégie, consultez AWS politiques gérées pour AWS Application Discovery Service.

Exemple AWSApplicationDiscoveryServiceFullAccesspolitique


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "mgh:*",
                "discovery:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "iam:GetRole"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Octroi de l'accès aux agents de découverte

La politique AWSApplicationDiscoveryAgentAccess gérée accorde à l'agent Application Discovery l'accès pour s'enregistrer et communiquer avec Application Discovery Service. Pour de plus amples informations sur cette stratégie, consultez AWS politiques gérées pour AWS Application Discovery Service.

Associez cette politique à tout utilisateur dont les informations d'identification sont utilisées par Application Discovery Agent.

Cette stratégie permet également à l'utilisateur d'accéder à Arsenal. Arsenal est un service d'agent géré et hébergé par AWS. Arsenal transmet les données à Application Discovery Service dans le cloud.

Exemple AWSApplicationDiscoveryAgentAccessPolitique


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "arsenal:RegisterOnPremisesAgent"
            ],
            "Resource": "*"
        }
    ]
}

Octroi d'autorisations pour la collecte des données des agents

La politique ApplicationDiscoveryServiceContinuousExportServiceRolePolicy gérée permet de AWS Application Discovery Service créer des flux Amazon Data Firehose pour transformer et transmettre les données collectées par les agents d'Application Discovery Service vers un compartiment Amazon S3 de votre AWS compte.

En outre, cette politique crée un catalogue de AWS Glue données avec une nouvelle base de données appelée application_discovery_service_database et des schémas de table pour mapper les données collectées par les agents.

Pour plus d'informations sur l'utilisation de cette stratégie, consultez AWS politiques gérées pour AWS Application Discovery Service.

Exemple ApplicationDiscoveryServiceContinuousExportServiceRolePolicy


{
   "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "glue:CreateDatabase",
                "glue:UpdateDatabase",
                "glue:CreateTable",
                "glue:UpdateTable",
                "firehose:CreateDeliveryStream",
                "firehose:DescribeDeliveryStream",
                "logs:CreateLogGroup"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "firehose:DeleteDeliveryStream",
                "firehose:PutRecord",
                "firehose:PutRecordBatch",
                "firehose:UpdateDestination"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:firehose:*:*:deliverystream/aws-application-discovery-service*"
        },
        {
            "Action": [
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:PutBucketLogging",
                "s3:PutEncryptionConfiguration"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::aws-application-discovery-service*"
        },
        {
            "Action": [
                "s3:GetObject"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::aws-application-discovery-service*/*"
        },
        {
            "Action": [
                "logs:CreateLogStream",
                "logs:PutRetentionPolicy"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:logs:*:*:log-group:/aws/application-discovery-service/firehose*"
        },
        {
            "Action": [
                "iam:PassRole"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:role/AWSApplicationDiscoveryServiceFirehose",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "firehose.amazonaws.com"
                }
            }
        },
        {
            "Action": [
                "iam:PassRole"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:role/service-role/AWSApplicationDiscoveryServiceFirehose",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "firehose.amazonaws.com"
                }
            }
        }
    ]        
}

Octroi d'autorisations pour l'exploration des données

La AWSDiscoveryContinuousExportFirehosePolicy politique est requise pour utiliser l'exploration des données dans Amazon Athena. Il permet à Amazon Data Firehose d'écrire des données collectées depuis Application Discovery Service vers Amazon S3. Pour plus d'informations sur l'utilisation de cette stratégie, consultez Création du AWSApplicationDiscoveryServiceFirehose rôle.

Exemple AWSDiscoveryContinuousExportFirehosePolicy


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetTableVersions"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::aws-application-discovery-service-*",
                "arn:aws:s3:::aws-application-discovery-service-*/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:/aws/application-discovery-service/firehose:log-stream:*"
            ]
        }
    ]
}

Octroi d'autorisations pour utiliser le schéma réseau de la console Migration Hub

Pour accorder l'accès au schéma réseau de la AWS Migration Hub console lors de la création d'une politique basée sur l'identité qui autorise ou refuse l'accès à Application Discovery Service ou à Migration Hub, vous devrez peut-être ajouter l'discovery:GetNetworkConnectionGraphaction à la stratégie.

Vous devez utiliser cette discovery:GetNetworkConnectionGraph action dans les nouvelles politiques ou mettre à jour les anciennes politiques si les deux conditions suivantes s'appliquent à la stratégie :

La politique autorise ou refuse l'accès à Application Discovery Service ou au Migration Hub.
La politique accorde des autorisations d'accès en utilisant une autre action de découverte spécifique, comme discovery:action-name plutôt quediscovery:*.

L'exemple suivant montre comment utiliser l'discovery:GetNetworkConnectionGraphaction dans une IAM politique.

Exemple


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["discovery:GetNetworkConnectionGraph"],
            "Resource": "*"
        }
    ]
}

Pour plus d'informations sur le schéma réseau du Migration Hub, consultez la section Affichage des connexions réseau dans Migration Hub.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS politiques gérées

Présentation et utilisation des rôles liés à des services