Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour AWS Application Migration Service
AWS Le service de migration d'applications (préfixe de service :mgn) fournit les ressources, actions et clés contextuelles de condition spécifiques au service suivantes à utiliser dans IAM les politiques d'autorisation.
Références :
-
Découvrez comment configurer ce service.
-
Consultez la liste des APIopérations disponibles pour ce service.
-
Découvrez comment sécuriser ce service et ses ressources à l'aide de politiques IAM d'autorisation.
Rubriques
Actions définies par AWS Application Migration Service
Vous pouvez spécifier les actions suivantes dans l'Actionélément d'une déclaration de IAM politique. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'APIopération ou à la CLI commande portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez spécifier un type ARN de ressource de ce type dans une instruction comportant cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément d'une IAM politique, vous devez inclure un modèle ARN ou pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| ArchiveApplication | Accorde l'autorisation d'archiver une application | Écrire | |||
| ArchiveWave | Accorde l'autorisation d'archiver une vague | Écrire | |||
| AssociateApplications | Accorde l'autorisation d'associer des applications à une vague | Écrire | |||
| AssociateSourceServers | Accorde l'autorisation d'associer des serveurs sources à une application | Écrire | |||
| BatchCreateVolumeSnapshotGroupForMgn [autorisation uniquement] | Accorce l'autorisation de créer un groupe d'instantanés de volume. | Écriture | |||
| BatchDeleteSnapshotRequestForMgn [autorisation uniquement] | Accorde l'autorisation de supprimer par lot la demande d'instantané. | Écriture | |||
| ChangeServerLifeCycleState | Accorde l'autorisation de modifier l'état du cycle de vie du serveur source. | Écrire | |||
| CreateApplication | Accorde l'autorisation de créer une application | Écrire | |||
| CreateConnector | Accorde l'autorisation de créer un connecteur | Écrire | |||
| CreateLaunchConfigurationTemplate | Accorde l'autorisation de créer un modèle de configuration du lancement | Écrire | |||
| CreateReplicationConfigurationTemplate | Accorde l'autorisation de créer un modèle de configuration de réplication. | Écrire | |||
| CreateVcenterClientForMgn [autorisation uniquement] | Accorde l'autorisation de créer un client vcenter | Écrire | |||
| CreateWave | Accorde l'autorisation de créer une vague | Écrire | |||
| DeleteApplication | Accorde l'autorisation de supprimer une application | Écrire | |||
| DeleteConnector | Accorde l'autorisation de supprimer un connecteur | Écrire | |||
| DeleteJob | Accorde l'autorisation de supprimer la tâche. | Écrire | |||
| DeleteLaunchConfigurationTemplate | Accorde l'autorisation de supprimer le modèle de configuration du lancement | Écrire | |||
| DeleteReplicationConfigurationTemplate | Accorde l'autorisation de supprimer un modèle de configuration de réplication. | Écriture | |||
| DeleteSourceServer | Accorde l'autorisation de supprimer le serveur source. | Écrire | |||
| DeleteVcenterClient | Accorde l'autorisation de supprimer un client vcenter | Écrire | |||
| DeleteWave | Accorde l'autorisation de supprimer une vague | Écrire | |||
| DescribeJobLogItems | Accorde l'autorisation de décrire les éléments du journal des tâches. | Lecture | |||
| DescribeJobs | Accorde l'autorisation de décrire les tâches. | Liste | |||
| DescribeLaunchConfigurationTemplates | Accorde l'autorisation de décrire le modèle de configuration du lancement | Liste | |||
| DescribeReplicationConfigurationTemplates | Accorde l'autorisation de décrire le modèle de configuration de réplication. | Liste | |||
| DescribeReplicationServerAssociationsForMgn [autorisation uniquement] | Accorde l'autorisation de décrire les associations de serveur de réplication. | Lecture | |||
| DescribeSnapshotRequestsForMgn [autorisation uniquement] | Accorde l'autorisation de décrire les demandes d'instantanés. | Lecture | |||
| DescribeSourceServers | Accorde l'autorisation de décrire les serveurs source. | Liste | |||
| DescribeVcenterClients | Accorde l'autorisation de décrire les clients vcenter | Liste | |||
| DisassociateApplications | Accorde l'autorisation de dissocier les applications d'une vague | Écrire | |||
| DisassociateSourceServers | Accorde l'autorisation de dissocier les serveurs sources d'une application | Écrire | |||
| DisconnectFromService | Accorde l'autorisation de déconnecter le serveur source du service. | Écriture | |||
| FinalizeCutover | Accorde l'autorisation de finaliser le basculement. | Écriture | |||
| GetAgentCommandForMgn [autorisation uniquement] | Accorde l'autorisation d'obtenir la commande de l'agent. | Lecture | |||
| GetAgentConfirmedResumeInfoForMgn [autorisation uniquement] | Accorde l'autorisation d'obtenir les informations de reprise confirmées par l'agent. | Lecture | |||
| GetAgentInstallationAssetsForMgn [autorisation uniquement] | Accorde l'autorisation d'obtenir les ressources d'installation de l'agent. | Lecture | |||
| GetAgentReplicationInfoForMgn [autorisation uniquement] | Accorde l'autorisation d'obtenir les informations de réplication de l'agent. | Lecture | |||
| GetAgentRuntimeConfigurationForMgn [autorisation uniquement] | Accorde l'autorisation d'obtenir la configuration d'exécution de l'agent. | Lecture | |||
| GetAgentSnapshotCreditsForMgn [autorisation uniquement] | Accorde l'autorisation d'obtenir des crédits d'instantanés de l'agent. | Lecture | |||
| GetChannelCommandsForMgn [autorisation uniquement] | Accorde l'autorisation d'obtenir des commandes de canal. | Lecture | |||
| GetLaunchConfiguration | Accorde l'autorisation d'obtenir la configuration de lancement. | Lecture | |||
| GetReplicationConfiguration | Accorde l'autorisation d'obtenir la configuration de réplication. | Lecture | |||
| GetVcenterClientCommandsForMgn [autorisation uniquement] | Accorde l'autorisation d'obtenir les commandes du client vcenter | Lecture | |||
| InitializeService | Accorde l'autorisation d'initialiser le service. | Écrire |
iam:AddRoleToInstanceProfile iam:CreateInstanceProfile iam:CreateServiceLinkedRole iam:GetInstanceProfile |
||
| IssueClientCertificateForMgn [autorisation uniquement] | Accorde l'autorisation d'émettre un certificat client | Écrire | |||
| ListApplications | Accorde l'autorisation de répertorier les récapitulatifs des applications | Liste | |||
| ListConnectors | Accorde l'autorisation de répertorier les connecteurs | Lecture | |||
| ListExportErrors | Octroie l'autorisation de répertorier les erreurs d'une tâche d'exportation | Liste | |||
| ListExports | Octroie l'autorisation de répertorier les tâches d'exportation | Liste | |||
| ListImportErrors | Octroie l'autorisation de répertorier les erreurs d'une tâche d'importation | Liste | |||
| ListImports | Octroie l'autorisation de répertorier les tâches d'importation | Liste | |||
| ListManagedAccounts | Accorde l'autorisation de répertorier les comptes gérés | Liste | |||
| ListSourceServerActions | Accorde l'autorisation de répertorier les documents d'action du serveur source | Liste | |||
| ListTagsForResource | Accorde l'autorisation de répertorier les identifications d'une ressource. | Lecture | |||
| ListTemplateActions | Accorde l'autorisation de répertorier les documents d'action du modèle de configuration de lancement | Liste | |||
| ListWaves | Accorde l'autorisation de répertorier les récapitulatifs des vagues | Liste | |||
| MarkAsArchived | Accorde l'autorisation de marquer le serveur source comme archivé. | Écriture | |||
| NotifyAgentAuthenticationForMgn [autorisation uniquement] | Accorde l'autorisation de signaler l'authentification de l'agent. | Écriture | |||
| NotifyAgentConnectedForMgn [autorisation uniquement] | Accorde l'autorisation de signaler que l'agent est connecté. | Écriture | |||
| NotifyAgentDisconnectedForMgn [autorisation uniquement] | Accorde l'autorisation de signaler que l'agent est déconnecté. | Écriture | |||
| NotifyAgentReplicationProgressForMgn [autorisation uniquement] | Accorde l'autorisation de signaler la progression de la réplication de l'agent. | Écriture | |||
| NotifyVcenterClientStartedForMgn [autorisation uniquement] | Accorde l'autorisation de notifier le démarrage du client vcenter | Écrire | |||
| PauseReplication | Accorde l'autorisation d'interrompre une réplication | Écrire | |||
| PutSourceServerAction | Accorde l'autorisation de placer un document d'action du serveur source | Écrire | |||
| PutTemplateAction | Accorde l'autorisation de placer le document d'action du modèle de configuration de lancement | Écrire | |||
| RegisterAgentForMgn [autorisation uniquement] | Accorde l'autorisation d'enregistrer l'agent. | Écrire | |||
| RemoveSourceServerAction | Accorde l'autorisation de supprimer un document d'action du serveur source | Écrire | |||
| RemoveTemplateAction | Accorde l'autorisation de supprimer un document d'action du modèle de configuration du lancement | Écrire | |||
| ResumeReplication | Accorde l'autorisation de reprendre une réplication | Écrire | |||
| RetryDataReplication | Accorde l'autorisation de réessayer la réplication. | Écriture | |||
| SendAgentLogsForMgn [autorisation uniquement] | Accorde l'autorisation d'envoyer des journaux d'agent. | Écriture | |||
| SendAgentMetricsForMgn [autorisation uniquement] | Accorde l'autorisation d'envoyer des métriques d'agent. | Écriture | |||
| SendChannelCommandResultForMgn [autorisation uniquement] | Accorde l'autorisation d'envoyer le résultat de la commande de canal. | Écriture | |||
| SendClientLogsForMgn [autorisation uniquement] | Accorde l'autorisation d'envoyer des journaux client. | Écriture | |||
| SendClientMetricsForMgn [autorisation uniquement] | Accorde l'autorisation d'envoyer des métriques client. | Écrire | |||
| SendVcenterClientCommandResultForMgn [autorisation uniquement] | Accorde l'autorisation d'envoyer le résultat de la commande du client vcenter | Écrire | |||
| SendVcenterClientLogsForMgn [autorisation uniquement] | Accorde l'autorisation d'envoyer des journaux client vcenter | Écrire | |||
| SendVcenterClientMetricsForMgn [autorisation uniquement] | Accorde l'autorisation d'envoyer des métriques client vcenter | Écrire | |||
| StartCutover | Accorde l'autorisation de démarrer le basculement. | Écrire |
ec2:AttachVolume ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateLaunchTemplate ec2:CreateLaunchTemplateVersion ec2:CreateSecurityGroup ec2:CreateSnapshot ec2:CreateTags ec2:CreateVolume ec2:DeleteLaunchTemplateVersions ec2:DeleteSnapshot ec2:DeleteVolume ec2:DescribeAccountAttributes ec2:DescribeAvailabilityZones ec2:DescribeImages ec2:DescribeInstanceAttribute ec2:DescribeInstanceStatus ec2:DescribeInstanceTypes ec2:DescribeInstances ec2:DescribeLaunchTemplateVersions ec2:DescribeLaunchTemplates ec2:DescribeSecurityGroups ec2:DescribeSnapshots ec2:DescribeSubnets ec2:DescribeVolumes ec2:DetachVolume ec2:ModifyInstanceAttribute ec2:ModifyLaunchTemplate ec2:ReportInstanceStatus ec2:RevokeSecurityGroupEgress ec2:RunInstances ec2:StartInstances ec2:StopInstances ec2:TerminateInstances iam:PassRole mgn:ListTagsForResource |
||
| StartExport | Octroie l'autorisation de lancer une tâche d'exportation | Écrire |
ec2:DescribeLaunchTemplateVersions mgn:DescribeSourceServers mgn:GetLaunchConfiguration mgn:ListApplications mgn:ListWaves s3:PutObject |
||
| StartImport | Octroie l'autorisation de créer une tâche d'importation | Écrire |
ec2:CreateLaunchTemplateVersion ec2:DescribeLaunchTemplateVersions ec2:ModifyLaunchTemplate mgn:DescribeSourceServers mgn:GetLaunchConfiguration mgn:ListApplications mgn:ListWaves mgn:TagResource mgn:UpdateLaunchConfiguration s3:PutObject |
||
| StartReplication | Accorde l'autorisation de démarrer la réplication | Écrire | |||
| StartTest | Accorde l'autorisation de démarrer le test. | Écrire |
ec2:AttachVolume ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateLaunchTemplate ec2:CreateLaunchTemplateVersion ec2:CreateSecurityGroup ec2:CreateSnapshot ec2:CreateTags ec2:CreateVolume ec2:DeleteLaunchTemplateVersions ec2:DeleteSnapshot ec2:DeleteVolume ec2:DescribeAccountAttributes ec2:DescribeAvailabilityZones ec2:DescribeImages ec2:DescribeInstanceAttribute ec2:DescribeInstanceStatus ec2:DescribeInstanceTypes ec2:DescribeInstances ec2:DescribeLaunchTemplateVersions ec2:DescribeLaunchTemplates ec2:DescribeSecurityGroups ec2:DescribeSnapshots ec2:DescribeSubnets ec2:DescribeVolumes ec2:DetachVolume ec2:ModifyInstanceAttribute ec2:ModifyLaunchTemplate ec2:ReportInstanceStatus ec2:RevokeSecurityGroupEgress ec2:RunInstances ec2:StartInstances ec2:StopInstances ec2:TerminateInstances iam:PassRole mgn:ListTagsForResource |
||
| StopReplication | Accorde l'autorisation d'arrêter la réplication | Écrire | |||
| TagResource | Accorde l'autorisation d'attribuer une balise de ressource. | Balisage | |||
| TerminateTargetInstances | Accorde l'autorisation de terminer les instances cibles. | Écrire |
ec2:DeleteVolume ec2:DescribeInstances ec2:DescribeVolumes ec2:TerminateInstances |
||
| UnarchiveApplication | Accorde l'autorisation de désarchiver une application | Écrire | |||
| UnarchiveWave | Accorde l'autorisation de désarchiver une vague | Écrire | |||
| UntagResource | Accorde l'autorisation d'annuler le balisage d'une ressource | Balisage | |||
| UpdateAgentBacklogForMgn [autorisation uniquement] | Accorde l'autorisation de mettre à jour le backlog de l'agent. | Écriture | |||
| UpdateAgentConversionInfoForMgn [autorisation uniquement] | Accorde l'autorisation de mettre à jour les informations de conversion de l'agent. | Écriture | |||
| UpdateAgentReplicationInfoForMgn [autorisation uniquement] | Accorde l'autorisation de mettre à jour les informations de réplication de l'agent. | Écriture | |||
| UpdateAgentReplicationProcessStateForMgn [autorisation uniquement] | Accorde l'autorisation de mettre à jour l'état du processus de réplication de l'agent. | Écriture | |||
| UpdateAgentSourcePropertiesForMgn [autorisation uniquement] | Accorde l'autorisation de mettre à jour les propriétés sources de l'agent. | Écrire | |||
| UpdateApplication | Accorde l'autorisation de mettre à jour une application | Écrire | |||
| UpdateConnector | Accorde l'autorisation de mettre à jour un connecteur | Écrire | |||
| UpdateLaunchConfiguration | Accorde l'autorisation de mettre à jour la configuration de lancement. | Écrire | |||
| UpdateLaunchConfigurationTemplate | Accorde l'autorisation de mettre à jour la configuration de lancement. | Écriture | |||
| UpdateReplicationConfiguration | Accorde l'autorisation de mettre à jour la configuration de réplication. | Écriture | |||
| UpdateReplicationConfigurationTemplate | Accorde l'autorisation de mettre à jour le modèle de configuration de réplication. | Écrire | |||
| UpdateSourceServer | Accorde l'autorisation de mettre à jour le serveur source | Écrire | |||
| UpdateSourceServerReplicationType | Accorde l'autorisation de mettre à jour le type de réplication du serveur source | Écrire | |||
| UpdateWave | Accorde l'autorisation de mettre à jour une vague | Écrire | |||
| VerifyClientRoleForMgn [autorisation uniquement] | Accorde l'autorisation de vérifier le rôle du client | Lecture |
Types de ressources définis par AWS Application Migration Service
Les types de ressources suivants sont définis par ce service et peuvent être utilisés dans l'Resourceélément des déclarations de politique d'IAMautorisation. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| JobResource |
arn:${Partition}:mgn:${Region}:${Account}:job/${JobID}
|
|
| ReplicationConfigurationTemplateResource |
arn:${Partition}:mgn:${Region}:${Account}:replication-configuration-template/${ReplicationConfigurationTemplateID}
|
|
| LaunchConfigurationTemplateResource |
arn:${Partition}:mgn:${Region}:${Account}:launch-configuration-template/${LaunchConfigurationTemplateID}
|
|
| VcenterClientResource |
arn:${Partition}:mgn:${Region}:${Account}:vcenter-client/${VcenterClientID}
|
|
| SourceServerResource |
arn:${Partition}:mgn:${Region}:${Account}:source-server/${SourceServerID}
|
|
| ApplicationResource |
arn:${Partition}:mgn:${Region}:${Account}:application/${ApplicationID}
|
|
| WaveResource |
arn:${Partition}:mgn:${Region}:${Account}:wave/${WaveID}
|
|
| ImportResource |
arn:${Partition}:mgn:${Region}:${Account}:import/${ImportID}
|
|
| ExportResource |
arn:${Partition}:mgn:${Region}:${Account}:export/${ExportID}
|
|
| ConnectorResource |
arn:${Partition}:mgn:${Region}:${Account}:connector/${ConnectorID}
|
Clés de condition pour AWS Application Migration Service
AWS Le service de migration d'applications définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une IAM politique. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
| Clés de condition | Description | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction de la présence de paires clé-valeur de balise dans la demande | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction des paires clé-valeur d'identification attachées à la ressource. | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction de la présence de clés de balise dans la demande | ArrayOfString |
| mgn:CreateAction | Filtre l'accès en fonction du nom d'une action créatrice de ressources API | Chaîne |
