AWS Application Discovery Service tidak lagi terbuka untuk pelanggan baru. Atau, gunakan AWS Transform yang menyediakan kemampuan serupa. Untuk informasi selengkapnya, lihat [perubahan ketersediaan AWS Application Discovery Service](https://docs.aws.amazon.com/application-discovery/latest/userguide/application-discovery-service-availability-change.html).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan di AWS Application Discovery Service
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menggambarkan hal ini sebagai keamanan *dari* cloud dan keamanan *di* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Efektivitas keamanan kami diuji dan diverifikasi secara rutin oleh auditor pihak ketiga sebagai bagian dari [program kepatuhan AWS](https://aws.amazon.com/compliance/programs/).
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor-faktor lain termasuk sensitivitas data, kebutuhan organisasi, serta undang-undang dan peraturan yang berlaku.
Untuk menggunakan Agen Penemuan AWS Aplikasi atau Application Discovery Service Agentless Collector, Anda harus memberikan kunci akses ke akun Anda AWS . Informasi ini kemudian disimpan di infrastruktur lokal Anda. Sebagai bagian dari model tanggung jawab bersama, Anda bertanggung jawab untuk mengamankan akses ke infrastruktur Anda.
Dokumentasi ini akan membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan Application Discovery Service. Topik berikut menunjukkan kepada Anda cara mengonfigurasi Application Discovery Service untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga akan mempelajari cara menggunakan AWS layanan lain yang dapat membantu Anda memantau dan mengamankan sumber daya Application Discovery Service Anda.
**Topics**
+ [Identity and Access Management untuk AWS Application Discovery Service](security-iam.md)
+ [Logging panggilan Application Discovery Service API dengan AWS CloudTrail](logging-using-cloudtrail.md)
# Identity and Access Management untuk AWS Application Discovery Service
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengendalikan siapa yang dapat *terautentikasi* (masuk) dan *berwenang* (memiliki izin) untuk menggunakan sumber daya Application Discovery Service. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi dengan identitas](#security_iam_authentication)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage)
+ [Bagaimana AWS Application Discovery Service bekerja dengan IAM](security_iam_service-with-iam.md)
+ [AWS kebijakan terkelola untuk AWS Application Discovery Service](security-iam-awsmanpol.md)
+ [AWS Application Discovery Service contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md)
+ [Menggunakan peran terkait layanan untuk Application Discovery Service](using-service-linked-roles.md)
+ [Pemecahan Masalah AWS Application Discovery Service Identitas dan Akses](security_iam_troubleshoot.md)
## Audiens
Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Pemecahan Masalah AWS Application Discovery Service Identitas dan Akses](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana AWS Application Discovery Service bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [AWS Application Discovery Service contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md))
## Mengautentikasi dengan identitas
Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.
Anda dapat masuk sebagai identitas federasi menggunakan kredensil dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.
Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.
### Akun AWS pengguna root
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*.
### Pengguna dan grup IAM
*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.
### Peran IAM
*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.
Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Mengelola akses menggunakan kebijakan
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.
### Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.
### Kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.
Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.
### Daftar kontrol akses (ACLs)
Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.
Amazon S3, AWS WAF, dan Amazon VPC adalah contoh layanan yang mendukung. ACLs Untuk mempelajari selengkapnya ACLs, lihat [Ringkasan daftar kontrol akses (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) di *Panduan Pengembang Layanan Penyimpanan Sederhana Amazon*.
### Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.
### Berbagai jenis kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
# Bagaimana AWS Application Discovery Service bekerja dengan IAM
Sebelum menggunakan IAM untuk mengelola akses ke Application Discovery Service, Anda harus memahami fitur IAM apa yang tersedia untuk digunakan dengan Application Discovery Service. Untuk mendapatkan tampilan tingkat tinggi tentang cara Application Discovery Service dan AWS layanan lainnya bekerja dengan IAM, lihat [AWS Layanan yang Bekerja dengan IAM di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) Pengguna *IAM*.
**Topics**
+ [Kebijakan berbasis identitas Application Discovery Service](#security_iam_service-with-iam-id-based-policies)
+ [Kebijakan berbasis sumber daya Application Discovery Service](#security_iam_service-with-iam-resource-based-policies)
+ [Otorisasi berdasarkan tag Application Discovery Service](#security_iam_service-with-iam-tags)
+ [Peran IAM Application Discovery Service](#security_iam_service-with-iam-roles)
## Kebijakan berbasis identitas Application Discovery Service
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Application Discovery Service mendukung tindakan, sumber daya, dan kunci syarat tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat [Referensi Elemen Kebijakan JSON IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
### Tindakan
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Tindakan kebijakan dalam Application Discovery Service menggunakan prefiks berikut sebelum tindakan: `discovery:`. Pernyataan kebijakan harus memuat elemen `Action` atau `NotAction`. Application Discovery Service menentukan serangkaian tindakannya sendiri yang menjelaskan tugas yang dapat Anda lakukan dengan layanan ini.
Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti berikut:
```
"Action": [
"discovery:action1",
"discovery:action2"
```
Anda dapat menentukan beberapa tindakan menggunakan wildcard (\$1). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata `Describe`, sertakan tindakan berikut:
```
"Action": "discovery:Describe*"
```
Untuk melihat daftar tindakan Application Discovery Service, lihat [Tindakan yang Ditetapkan oleh AWS Application Discovery Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_applicationdiscovery.html#awskeymanagementservice-actions-as-permissions) dalam *Panduan Pengguna IAM*.
### Sumber daya
Application Discovery Service tidak mendukung penetapan sumber daya ARNs dalam kebijakan. Untuk memisahkan akses, buat dan gunakan terpisah Akun AWS.
### Kunci syarat
Application Discovery Service tidak menyediakan kunci syarat khusus layanan, tetapi mendukung penggunaan beberapa kunci syarat global. Untuk melihat semua kunci kondisi AWS global, lihat [Kunci Konteks Kondisi AWS Global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
### Contoh
Untuk melihat contoh kebijakan berbasis identitas Application Discovery Service, lihat [AWS Application Discovery Service contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md).
## Kebijakan berbasis sumber daya Application Discovery Service
Application Discovery Service tidak mendukung kebijakan berbasis sumber daya.
## Otorisasi berdasarkan tag Application Discovery Service
Application Discovery Service tidak mendukung penandaan sumber daya atau pengendalian akses berdasarkan tag.
## Peran IAM Application Discovery Service
[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) adalah entitas dalam AWS akun Anda yang memiliki izin tertentu.
### Menggunakan kredensil sementara dengan Application Discovery Service
Application Discovery Service tidak mendukung penggunaan kredensial sementara.
### Peran terkait layanan
[Peran terkait AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan muncul di akun IAM Anda dan dimiliki oleh layanan tersebut. Administrator IAM dapat melihat tetapi tidak dapat mengedit izin untuk peran terkait layanan.
Application Discovery Service mendukung peran terkait layanan. Untuk detail tentang membuat atau mengelola peran terkait layanan Application Discovery Service, lihat [Menggunakan peran terkait layanan untuk Application Discovery Service](using-service-linked-roles.md).
### Peran layanan
Fitur ini memungkinkan layanan untuk menerima [peran layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di akun IAM Anda dan dimiliki oleh akun tersebut. Ini berarti administrator IAM dapat mengubah izin untuk peran ini. Namun, melakukan hal itu dapat merusak fungsionalitas layanan.
Application Discovery Service mendukung peran layanan.
# AWS kebijakan terkelola untuk AWS Application Discovery Service
Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk [membuat kebijakan yang dikelola pelanggan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di Akun AWS Anda. Untuk informasi selengkapnya tentang kebijakan AWS [AWS terkelola, lihat kebijakan terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) di *Panduan Pengguna IAM*.
AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan yang dikelola AWS untuk mendukung fitur-fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan yang dikelola AWS saat ada fitur baru yang diluncurkan atau saat ada operasi baru yang tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.
Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan **ReadOnlyAccess** AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat [kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) di *Panduan Pengguna IAM*.
## AWS kebijakan terkelola: AWSApplication DiscoveryServiceFullAccess
`AWSApplicationDiscoveryServiceFullAccess`Kebijakan ini memberikan akses akun pengguna IAM ke Application Discovery Service dan Migration Hub. APIs
Akun pengguna IAM dengan kebijakan terlampir ini dapat mengonfigurasi Application Discovery Service, memulai dan menghentikan agen, memulai dan menghentikan penemuan tanpa agen, dan kueri data dari database AWS Discovery Service. Untuk contoh kebijakan ini, lihat [Memberikan akses penuh ke Application Discovery Service](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-fullaccess).
## AWS kebijakan terkelola: AWSApplication DiscoveryAgentlessCollectorAccess
Kebijakan `AWSApplicationDiscoveryAgentlessCollectorAccess` terkelola memberikan akses kepada Application Discovery Service Agentless Collector (Agentless Collector) untuk mendaftar dan berkomunikasi dengan Application Discovery Service, dan berkomunikasi dengan layanan lain. AWS
Kebijakan ini harus dilampirkan ke pengguna IAM yang kredensialnya digunakan untuk mengonfigurasi Kolektor Tanpa Agen.
**Detail izin**
Kebijakan ini mencakup izin berikut.
+ `arsenal`— Memungkinkan kolektor untuk mendaftar dengan aplikasi Application Discovery Service. Ini diperlukan untuk dapat mengirim data yang dikumpulkan kembali ke AWS.
+ `ecr-public`— Memungkinkan kolektor untuk melakukan panggilan ke Amazon Elastic Container Registry Public (Amazon ECR Public) di mana pembaruan terbaru ditemukan untuk kolektor.
+ `mgh`— Memungkinkan kolektor AWS Migration Hub untuk menelepon untuk mengambil wilayah asal akun yang digunakan untuk mengkonfigurasi kolektor. Ini diperlukan untuk mengetahui wilayah mana data yang dikumpulkan harus dikirim.
+ `sts`— Memungkinkan kolektor untuk mengambil token pembawa layanan sehingga kolektor dapat melakukan panggilan ke Amazon ECR Public untuk mendapatkan pembaruan terbaru.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arsenal:RegisterOnPremisesAgent"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ecr-public:DescribeImages"
],
"Resource": "arn:aws:ecr-public::446372222237:repository/6e5498e4-8c31-4f57-9991-13b4b992ff7b"
},
{
"Effect": "Allow",
"Action": [
"ecr-public:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"mgh:GetHomeRegion"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"sts:GetServiceBearerToken"
],
"Resource": "*"
}
]
}
```
------
## AWS kebijakan terkelola: AWSApplication DiscoveryAgentAccess
Kebijakan `AWSApplicationDiscoveryAgentAccess` memberikan akses bagi Application Discovery Agent untuk mendaftar dan berkomunikasi dengan Application Discovery Service.
Anda melampirkan kebijakan ini untuk setiap pengguna yang kredensialnya digunakan oleh Application Discovery Agent.
Kebijakan ini juga memberikan akses ke Arsenal bagi pengguna. Arsenal adalah layanan agen yang dikelola dan diselenggarakan oleh AWS. Arsenal meneruskan data ke Application Discovery Service di cloud. Untuk contoh kebijakan ini, lihat [Memberikan akses ke agen penemuan](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-agentaccess).
## AWS kebijakan terkelola: AWSAgentless DiscoveryService
`AWSAgentlessDiscoveryService`Kebijakan ini memberikan Konektor Penemuan AWS Tanpa Agen yang berjalan di Server VMware vCenter Anda akses untuk mendaftar, berkomunikasi, dan berbagi metrik kesehatan konektor dengan Application Discovery Service.
Anda melampirkan kebijakan ini untuk setiap pengguna yang kredensialnya digunakan oleh konektor.
## AWS kebijakan terkelola: ApplicationDiscoveryServiceContinuousExportServiceRolePolicy
Jika akun IAM Anda memiliki `AWSApplicationDiscoveryServiceFullAccess` kebijakan yang dilampirkan, secara otomatis `ApplicationDiscoveryServiceContinuousExportServiceRolePolicy` dilampirkan ke akun Anda saat Anda mengaktifkan eksplorasi data di Amazon Athena.
Kebijakan ini AWS Application Discovery Service memungkinkan Anda membuat aliran Amazon Data Firehose untuk mengubah dan mengirimkan data yang dikumpulkan oleh AWS Application Discovery Service agen ke bucket Amazon S3 di akun Anda. AWS
Selain itu, kebijakan ini membuat AWS Glue Data Catalog dengan database baru bernama *application\$1discovery\$1service\$1database* dan skema tabel untuk memetakan data yang dikumpulkan oleh agen. Untuk contoh kebijakan ini, lihat [Memberikan izin untuk pengumpulan data agen](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-export-service).
## AWS kebijakan terkelola: AWSDiscovery ContinuousExportFirehosePolicy
`AWSDiscoveryContinuousExportFirehosePolicy`Kebijakan ini diperlukan untuk menggunakan eksplorasi data di Amazon Athena. Ini memungkinkan Amazon Data Firehose untuk menulis data yang dikumpulkan dari Application Discovery Service ke Amazon S3. Untuk informasi selengkapnya tentang kebijakan ini, lihat [Menciptakan AWSApplication DiscoveryServiceFirehose peran](#security-iam-awsmanpol-create-firehose-role). Untuk contoh kebijakan ini, lihat [Memberikan izin untuk eksplorasi data](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-export-firehose).
## Menciptakan AWSApplication DiscoveryServiceFirehose peran
Administrator melampirkan kebijakan terkelola ke akun pengguna IAM Anda. Saat menggunakan `AWSDiscoveryContinuousExportFirehosePolicy` kebijakan, administrator harus terlebih dahulu membuat peran bernama **AWSApplicationDiscoveryServiceFirehose**Firehose sebagai entitas tepercaya dan kemudian melampirkan `AWSDiscoveryContinuousExportFirehosePolicy` kebijakan ke peran, seperti yang ditunjukkan dalam prosedur berikut.
**Untuk membuat IAM role **AWSApplicationDiscoveryServiceFirehose****
1. Di konsol IAM, pilih **Peran** pada panel panel navigasi.
1. Pilih **Buat Peran**.
1. Pilih **Kinesis**.
1. Pilih **Kinesis Firehose** sebagai kasus penggunaan Anda.
1. Pilih **Berikutnya: Izin**.
1. Di bawah **Kebijakan Filter**, cari **AWSDiscoveryContinuousExportFirehosePolicy**.
1. Pilih kotak di samping **AWSDiscoveryContinuousExportFirehosePolicy**, lalu pilih **Berikutnya: Tinjau**.
1. Masukkan **AWSApplicationDiscoveryServiceFirehose**sebagai nama peran, lalu pilih **Buat peran**.
## Application Discovery Service memperbarui kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Application Discovery Service sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan ke umpan RSS pada halaman [Riwayat Dokumen untuk AWS Application Discovery Service](doc-history.md).
| Perubahan | Deskripsi | Date |
| --- | --- | --- |
| [AWSApplicationDiscoveryAgentlessCollectorAccess](#security-iam-awsmanpol-AWSApplicationDiscoveryAgentlessCollectorAccess)— Kebijakan baru tersedia dengan peluncuran Agentless Collector | Application Discovery Service menambahkan kebijakan terkelola baru `AWSApplicationDiscoveryAgentlessCollectorAccess` yang memberikan akses kepada Agentless Collector untuk mendaftar dan berkomunikasi dengan Application Discovery Service, dan berkomunikasi dengan layanan lain. AWS | Agustus 16, 2022 |
| Application Discovery Service mulai melacak perubahan | Application Discovery Service mulai melacak perubahan untuk kebijakan yang AWS dikelola. | 1 Maret 2021 |
# AWS Application Discovery Service contoh kebijakan berbasis identitas
Secara default, pengguna dan peran IAM tidak memiliki izin untuk membuat atau memodifikasi sumber daya Application Discovery Service. Mereka juga tidak dapat melakukan tugas menggunakan Konsol Manajemen AWS, AWS CLI, atau AWS API. Administrator IAM harus membuat kebijakan IAM yang memberikan izin kepada pengguna dan peran untuk melakukan operasi API tertentu pada sumber daya yang diperlukan. Administrator kemudian harus melampirkan kebijakan tersebut ke pengguna IAM atau grup yang memerlukan izin tersebut.
Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat Kebijakan pada Tab JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dalam *Panduan Pengguna IAM*.
**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Memberikan akses penuh ke Application Discovery Service](#security_iam_id-based-policy-examples-ads-fullaccess)
+ [Memberikan akses ke agen penemuan](#security_iam_id-based-policy-examples-ads-agentaccess)
+ [Memberikan izin untuk pengumpulan data agen](#security_iam_id-based-policy-examples-ads-export-service)
+ [Memberikan izin untuk eksplorasi data](#security_iam_id-based-policy-examples-ads-export-firehose)
+ [Memberikan izin untuk menggunakan diagram jaringan konsol Migration Hub](#security_iam_id-based-policy-examples-network-connection-graph)
## Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya Application Discovery Service di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
## Memberikan akses penuh ke Application Discovery Service
Kebijakan AWSApplication DiscoveryServiceFullAccess terkelola memberikan akses akun pengguna IAM ke Application Discovery Service dan Migration Hub. APIs
Akun pengguna IAM yang dilampiri kebijakan ini dapat mengonfigurasi Application Discovery Service, memulai dan menghentikan agen, memulai dan menghentikan penemuan tanpa agen, dan meminta data dari basis data Layanan Penemuan AWS . Untuk informasi selengkapnya tentang kebijakan ini, lihat [AWS kebijakan terkelola untuk AWS Application Discovery Service](security-iam-awsmanpol.md).
**Example AWSApplicationDiscoveryServiceFullAccess kebijakan**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"mgh:*",
"discovery:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"iam:GetRole"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## Memberikan akses ke agen penemuan
Kebijakan AWSApplication DiscoveryAgentAccess terkelola memberikan akses kepada Agen Penemuan Aplikasi untuk mendaftar dan berkomunikasi dengan Application Discovery Service. Untuk informasi selengkapnya tentang kebijakan ini, lihat [AWS kebijakan terkelola untuk AWS Application Discovery Service](security-iam-awsmanpol.md).
Lampirkan kebijakan ini untuk setiap pengguna yang kredensialnya digunakan oleh Application Discovery Agent.
Kebijakan ini juga memberikan akses ke Arsenal bagi pengguna. Arsenal adalah layanan agen yang dikelola dan diselenggarakan oleh AWS. Arsenal meneruskan data ke Application Discovery Service di cloud.
**Example AWSApplicationDiscoveryAgentAccess Kebijakan**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arsenal:RegisterOnPremisesAgent"
],
"Resource": "*"
}
]
}
```
## Memberikan izin untuk pengumpulan data agen
Kebijakan ApplicationDiscoveryServiceContinuousExportServiceRolePolicy terkelola AWS Application Discovery Service memungkinkan Anda membuat aliran Amazon Data Firehose untuk mengubah dan mengirimkan data yang dikumpulkan oleh agen Application Discovery Service ke bucket Amazon S3 di akun Anda. AWS
Selain itu, kebijakan ini membuat Katalog AWS Glue Data dengan database baru yang disebut `application_discovery_service_database` dan skema tabel untuk memetakan data yang dikumpulkan oleh agen.
Untuk informasi selengkapnya tentang kebijakan ini, lihat [AWS kebijakan terkelola untuk AWS Application Discovery Service](security-iam-awsmanpol.md).
**Example ApplicationDiscoveryServiceContinuousExportServiceRolePolicy**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"glue:CreateDatabase",
"glue:UpdateDatabase",
"glue:CreateTable",
"glue:UpdateTable",
"firehose:CreateDeliveryStream",
"firehose:DescribeDeliveryStream",
"logs:CreateLogGroup"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"firehose:DeleteDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch",
"firehose:UpdateDestination"
],
"Effect": "Allow",
"Resource": "arn:aws:firehose:*:*:deliverystream/aws-application-discovery-service*"
},
{
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:PutBucketLogging",
"s3:PutEncryptionConfiguration"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::aws-application-discovery-service*"
},
{
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::aws-application-discovery-service*/*"
},
{
"Action": [
"logs:CreateLogStream",
"logs:PutRetentionPolicy"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:*:*:log-group:/aws/application-discovery-service/firehose*"
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/AWSApplicationDiscoveryServiceFirehose",
"Condition": {
"StringLike": {
"iam:PassedToService": "firehose.amazonaws.com"
}
}
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/service-role/AWSApplicationDiscoveryServiceFirehose",
"Condition": {
"StringLike": {
"iam:PassedToService": "firehose.amazonaws.com"
}
}
}
]
}
```
## Memberikan izin untuk eksplorasi data
AWSDiscoveryContinuousExportFirehosePolicy Kebijakan ini diperlukan untuk menggunakan eksplorasi data di Amazon Athena. Ini memungkinkan Amazon Data Firehose untuk menulis data yang dikumpulkan dari Application Discovery Service ke Amazon S3. Untuk informasi selengkapnya tentang kebijakan ini, lihat [Menciptakan AWSApplication DiscoveryServiceFirehose peran](security-iam-awsmanpol.md#security-iam-awsmanpol-create-firehose-role).
**Example AWSDiscoveryContinuousExportFirehosePolicy**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:GetTableVersions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-application-discovery-service-*",
"arn:aws:s3:::aws-application-discovery-service-*/*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/application-discovery-service/firehose:log-stream:*"
]
}
]
}
```
## Memberikan izin untuk menggunakan diagram jaringan konsol Migration Hub
Untuk memberikan akses ke diagram jaringan AWS Migration Hub konsol saat membuat kebijakan berbasis identitas yang mengizinkan atau menolak akses ke Application Discovery Service atau Migration Hub, Anda mungkin perlu menambahkan `discovery:GetNetworkConnectionGraph` tindakan ke kebijakan.
Anda harus menggunakan `discovery:GetNetworkConnectionGraph` tindakan dalam kebijakan baru atau memperbarui kebijakan lama jika hal berikut berlaku untuk kebijakan tersebut:
+ Kebijakan ini mengizinkan atau menolak akses ke Application Discovery Service atau Migration Hub.
+ Kebijakan ini memberikan izin akses menggunakan satu tindakan penemuan yang lebih spesifik seperti `discovery:action-name` bukan. `discovery:*`
Contoh berikut menunjukkan cara menggunakan `discovery:GetNetworkConnectionGraph` tindakan dalam kebijakan IAM.
**Example**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["discovery:GetNetworkConnectionGraph"],
"Resource": "*"
}
]
}
```
Untuk informasi tentang diagram jaringan Hub Migrasi, lihat [Melihat sambungan jaringan di Migration Hub](https://docs.aws.amazon.com/migrationhub/latest/ug/network-diagram.html).
# Menggunakan peran terkait layanan untuk Application Discovery Service
AWS Application Discovery Service menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis IAM role unik yang terhubung langsung ke Application Discovery Service. Peran terkait layanan telah ditentukan sebelumnya oleh Application Discovery Service dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
Peran terkait layanan mempermudah persiapan Application Discovery Service karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Application Discovery Service menetapkan izin peran terkait layanan, dan kecuali jika ditentukan lain, hanya Application Discovery Service yang dapat menjalankan perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Langkah ini melindungi sumber daya Application Discovery Service karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
**Topics**
+ [Izin peran terkait layanan untuk Application Discovery Service](service-linked-role-permissions.md)
+ [Membuat peran terkait layanan untuk Application Discovery Service](create-service-linked-role.md)
+ [Menghapus peran terkait layanan untuk Application Discovery Service](delete-service-linked-role.md)
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat [Layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran Terkait Layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
# Izin peran terkait layanan untuk Application Discovery Service
Application Discovery Service menggunakan peran terkait layanan bernama **AWSServiceRoleForApplicationDiscoveryServiceContinuousExport**— Memungkinkan akses ke AWS Layanan dan Sumber Daya yang digunakan atau dikelola oleh. AWS Application Discovery Service
Peran AWSService RoleForApplicationDiscoveryServiceContinuousExport terkait layanan mempercayai layanan berikut untuk mengambil peran:
+ `continuousexport.discovery.amazonaws.com`
Kebijakan izin peran tersebut mengizinkan Application Discovery Service untuk menyelesaikan tindakan berikut:
glue
`CreateDatabase`
`UpdateDatabase`
`CreateTable`
`UpdateTable`
firehose
`CreateDeliveryStream`
`DeleteDeliveryStream`
`DescribeDeliveryStream`
`PutRecord`
`PutRecordBatch`
`UpdateDestination`
s3
`CreateBucket`
`ListBucket`
`GetObject`
log
`CreateLogGroup`
`CreateLogStream`
`PutRetentionPolicy`
iam
`PassRole`
Ini adalah kebijakan lengkap yang menunjukkan sumber daya mana yang dikenai tindakan di atas:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"glue:CreateDatabase",
"glue:UpdateDatabase",
"glue:CreateTable",
"glue:UpdateTable",
"firehose:CreateDeliveryStream",
"firehose:DescribeDeliveryStream",
"logs:CreateLogGroup"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"firehose:DeleteDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch",
"firehose:UpdateDestination"
],
"Effect": "Allow",
"Resource": "arn:aws:firehose:*:*:deliverystream/aws-application-discovery-service*"
},
{
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:PutBucketLogging",
"s3:PutEncryptionConfiguration"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::aws-application-discovery-service*"
},
{
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::aws-application-discovery-service*/*"
},
{
"Action": [
"logs:CreateLogStream",
"logs:PutRetentionPolicy"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:*:*:log-group:/aws/application-discovery-service/firehose*"
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/AWSApplicationDiscoveryServiceFirehose",
"Condition": {
"StringLike": {
"iam:PassedToService": "firehose.amazonaws.com"
}
}
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/service-role/AWSApplicationDiscoveryServiceFirehose",
"Condition": {
"StringLike": {
"iam:PassedToService": "firehose.amazonaws.com"
}
}
}
]
}
```
------
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, silakan lihat [Izin Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) di *Panduan Pengguna IAM*.
# Membuat peran terkait layanan untuk Application Discovery Service
Anda tidak perlu membuat peran terkait layanan secara manual. Peran AWSService RoleForApplicationDiscoveryServiceContinuousExport terkait layanan dibuat secara otomatis saat Ekspor Berkelanjutan diaktifkan secara implisit oleh a) opsi konfirmasi di kotak dialog yang disajikan dari halaman Pengumpul Data setelah Anda memilih “Mulai pengumpulan data”, atau klik slider berlabel, “Eksplorasi data di Athena”, atau b) saat Anda memanggil API menggunakan CLI. StartContinuousExport AWS
**penting**
Peran tertaut layanan ini dapat muncul di akun Anda jika Anda menyelesaikan tindakan di layanan lain yang menggunakan fitur yang disupport oleh peran ini. Untuk mempelajari lebih lanjut, lihat [Peran Baru yang Muncul di Akun IAM Saya](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
## Membuat peran terkait layanan dari konsol Migration Hub
Anda dapat menggunakan konsol Hub Migrasi untuk membuat peran AWSService RoleForApplicationDiscoveryServiceContinuousExport terkait layanan.
**Untuk membuat peran terkait layanan (konsol)**
1. Di panel navigasi, pilih **Pengumpul Data**.
1. Pilih tab **Agen**.
1. Alihkan slider **Eksplorasi data di Athena** ke posisi Aktif.
1. Pada kotak dialog yang dihasilkan dari langkah sebelumnya, klik kotak centang untuk menyetujui biaya terkait dan pilih **Lanjutkan** atau **Aktifkan**.
## Membuat peran terkait layanan dari AWS CLI
Anda dapat menggunakan perintah Application Discovery Service dari AWS Command Line Interface untuk membuat peran AWSService RoleForApplicationDiscoveryServiceContinuousExport terkait layanan.
Peran terkait layanan ini dibuat secara otomatis saat Anda memulai Ekspor Berkelanjutan dari AWS CLI ( AWS CLI harus diinstal terlebih dahulu di lingkungan Anda).
**Untuk membuat peran terkait layanan (CLI) dengan memulai Ekspor Berkelanjutan dari AWS CLI**
1. Instal AWS CLI untuk sistem operasi Anda (Linux, macOS, atau Windows). Lihat [Panduan Pengguna AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/) untuk instruksi.
1. Buka Prompt perintah (Windows) atau Terminal (Linux atau macOS).
1. Ketik `aws configure` dan tekan Enter.
1. Masukkan ID Kunci AWS Akses dan Kunci Akses AWS Rahasia Anda.
1. Masukkan `us-west-2` untuk Nama Wilayah Default.
1. Masukkan `text` untuk Format Output Default.
1. Ketik perintah berikut ini:
```
aws discovery start-continuous-export
```
Anda juga dapat menggunakan konsol IAM untuk membuat peran terkait layanan menggunakan kasus penggunaan **Layanan Penemuan - Ekspor Berkelanjutan**. Di IAM CLI atau IAM API, buat peran tertaut layanan dengan nama layanan `continuousexport.discovery.amazonaws.com`. Untuk informasi lebih lanjut, lihat [Membuat Peran yang Terhubung dengan Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) di *Panduan Pengguna IAM*. Jika Anda menghapus peran tertaut layanan ini, Anda dapat mengulang proses yang sama untuk membuat peran tersebut lagi.
# Menghapus peran terkait layanan untuk Application Discovery Service
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan dan tidak dipantau atau dipelihara secara aktif. Namun, Anda harus membersihkan peran tertaut layanan terlebih dahulu sebelum dapat menghapusnya secara manual.
## Membersihkan peran terkait layanan
Sebelum dapat menggunakan IAM untuk menghapus peran tertaut-layanan, Anda harus terlebih dahulu menghapus semua sumber daya yang digunakan oleh peran tersebut.
**catatan**
Jika Application Discovery Service menggunakan peran tersebut ketika Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.
**Untuk menghapus sumber daya Application Discovery Service yang digunakan oleh peran AWSService RoleForApplicationDiscoveryServiceContinuousExport terkait layanan dari Konsol Migrasi Hub**
1. Di panel navigasi, pilih **Pengumpul Data**.
1. Pilih tab **Agen**.
1. Alihkan slider **Eksplorasi data di Athena** ke posisi Nonaktif.
**Untuk menghapus sumber daya Application Discovery Service yang digunakan oleh peran AWSService RoleForApplicationDiscoveryServiceContinuousExport terkait layanan dari AWS CLI**
1. Instal AWS CLI untuk sistem operasi Anda (Linux, macOS, atau Windows). Lihat [Panduan Pengguna AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/) untuk instruksi.
1. Buka Prompt perintah (Windows) atau Terminal (Linux atau macOS).
1. Ketik `aws configure` dan tekan Enter.
1. Masukkan ID Kunci AWS Akses dan Kunci Akses AWS Rahasia Anda.
1. Masukkan `us-west-2` untuk Nama Wilayah Default.
1. Masukkan `text` untuk Format Output Default.
1. Ketik perintah berikut ini:
```
aws discovery stop-continuous-export --export-id
```
1. Jika Anda tidak tahu ID Ekspor dari ekspor berkelanjutan yang ingin Anda hentikan, masukkan perintah berikut untuk melihat ID ekspor berkelanjutan:
```
aws discovery describe-continuous-exports
```
1. Masukkan perintah lanjutan untuk memastikan bahwa Ekspor Berkelanjutan telah berhenti dengan memverifikasi status yang ditampilkan adalah “TIDAK AKTIF”:
```
aws discovery describe-continuous-export
```
## Menghapus peran tertaut layanan secara manual
Anda dapat menghapus peran AWSService RoleForApplicationDiscoveryServiceContinuousExport terkait layanan dengan menggunakan konsol IAM, IAM CLI, atau IAM API. Jika Anda tidak perlu lagi menggunakan fitur Layanan Penemuan - Ekspor Berkelanjutan yang memerlukan peran terkait layanan ini, kami menyarankan Anda menghapus peran tersebut. Dengan begitu, Anda tidak perlu lagi memantau atau memelihara entitas yang tidak digunakan. Untuk informasi selengkapnya, silakan lihat [Menghapus Peran Terkait Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) di *Panduan Pengguna IAM*.
**catatan**
Anda harus membersihkan peran terkait layanan sebelum dapat menghapusnya. Lihat [Membersihkan peran terkait layanan](#service-linked-role-review-before-delete).
# Pemecahan Masalah AWS Application Discovery Service Identitas dan Akses
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temukan saat bekerja dengan Application Discovery Service dan IAM.
**Topics**
+ [Saya Tidak Berwenang untuk Melakukan iam: PassRole](#security_iam_troubleshoot-passrole)
## Saya Tidak Berwenang untuk Melakukan iam: PassRole
Jika Anda menerima kesalahan bahwa Anda tidak berwenang untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran ke Application Discovery Service.
Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.
Contoh kesalahan berikut terjadi saat pengguna IAM bernama `marymajor` mencoba menggunakan konsol tersebut untuk melakukan tindakan di Application Discovery Service. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.
Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
# Logging panggilan Application Discovery Service API dengan AWS CloudTrail
AWS Application Discovery Service terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan dalam Application Discovery Service. Anda dapat menggunakan CloudTrail log, terus memantau, dan mempertahankan aktivitas akun untuk tujuan pemecahan masalah dan audit. CloudTrail menyediakan riwayat peristiwa aktivitas AWS akun Anda, termasuk tindakan yang dilakukan melalui Konsol AWS Manajemen AWS SDKs, dan alat baris perintah.
CloudTrail menangkap semua panggilan API untuk Application Discovery Service sebagai peristiwa. Panggilan yang direkam mencakup panggilan dari konsol Application Discovery Service dan panggilan kode ke operasi API Application Discovery Service.
Jika Anda membuat jejak, Anda dapat mengaktifkan pengiriman CloudTrail acara secara terus menerus ke bucket Amazon S3, termasuk acara untuk Application Discovery Service. Jika Anda tidak mengonfigurasi jejak, Anda masih dapat melihat peristiwa terbaru di CloudTrail konsol dalam **Riwayat acara**. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat untuk Application Discovery Service, alamat IP dari mana permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan.
Untuk mempelajari selengkapnya CloudTrail, lihat [Panduan AWS CloudTrail Pengguna](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## Informasi Application Discovery Service di CloudTrail
CloudTrail diaktifkan di AWS akun Anda saat Anda membuat akun. Ketika aktivitas terjadi di Application Discovery Service, aktivitas tersebut dicatat dalam suatu CloudTrail peristiwa bersama dengan peristiwa AWS layanan lainnya dalam **riwayat Acara**. Anda dapat melihat, mencari, dan mengunduh acara terbaru di AWS akun Anda. Untuk informasi selengkapnya, lihat [Melihat Acara dengan Riwayat CloudTrail Acara](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Untuk catatan peristiwa yang sedang berlangsung di AWS akun Anda, termasuk acara untuk Application Discovery Service, buat jejak. *Jejak* memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon S3. Secara default, saat Anda membuat jejak di konsol, jejak tersebut berlaku untuk semua AWS Wilayah. Jejak mencatat peristiwa dari semua Wilayah di AWS partisi dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log. Untuk informasi selengkapnya, lihat berikut:
+ [Gambaran Umum untuk Membuat Jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Layanan dan Integrasi yang Didukung](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Mengkonfigurasi Notifikasi Amazon SNS untuk CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Menerima File CloudTrail Log dari Beberapa Wilayah](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) dan [Menerima File CloudTrail Log dari Beberapa Akun](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Semua tindakan Application Discovery Service dicatat oleh CloudTrail dan didokumentasikan dalam [Referensi API Application Discovery Service](https://docs.aws.amazon.com/application-discovery/latest/APIReference/). Misalnya, panggilan ke`CreateTags`,`DescribeTags`, dan `GetDiscoverySummary` tindakan menghasilkan entri dalam file CloudTrail log.
Setiap entri peristiwa atau log berisi informasi tentang entitas yang membuat permintaan tersebut. Informasi identitas membantu Anda menentukan hal berikut ini:
+ Apakah permintaan itu dibuat dengan kredenal pengguna root atau AWS Identity and Access Management (IAM).
+ Apakah permintaan tersebut dibuat dengan kredensial keamanan sementara untuk satu peran atau pengguna gabungan.
+ Apakah permintaan itu dibuat oleh AWS layanan lain.
Untuk informasi lain, lihat [Elemen userIdentity CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Memahami entri berkas log Application Discovery Service
Trail adalah konfigurasi yang memungkinkan pengiriman peristiwa sebagai file log ke bucket Amazon S3 yang Anda tentukan. CloudTrail file log berisi satu atau lebih entri log. Peristiwa mewakili permintaan tunggal dari sumber manapun dan mencakup informasi tentang tindakan yang diminta, tanggal dan waktu tindakan, parameter permintaan, dan sebagainya. CloudTrail file log bukanlah jejak tumpukan yang diurutkan dari panggilan API publik, jadi file tersebut tidak muncul dalam urutan tertentu.
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `DescribeTags` tindakan.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAJBHMC4H6EKEXAMPLE:sample-user",
"arn": "arn:aws:sts::444455556666:assumed-role/ReadOnly/sample-user",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDAJQABLZS4A3QDU576Q",
"arn": "arn:aws:iam::444455556666:role/ReadOnly",
"accountId": "444455556666",
"userName": "sampleAdmin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2020-05-05T15:19:03Z"
}
}
},
"eventTime": "2020-05-05T17:02:40Z",
"eventSource": "discovery.amazonaws.com",
"eventName": "DescribeTags",
"awsRegion": "us-west-2",
"sourceIPAddress": "20.22.33.44",
"userAgent": "Coral/Netty4",
"requestParameters": {
"maxResults": 0,
"filters": [
{
"values": [
"d-server-0315rfdjreyqsq"
],
"name": "configurationId"
}
]
},
"responseElements": null,
"requestID": "mgh-console-eb1cf315-e2b4-4696-93e5-b3a3b9346b4b",
"eventID": "7b32b778-91c9-4c75-9cb0-6c852791b2eb",
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```