AWS Application Discovery Service non è più aperto a nuovi clienti. In alternativa, utilizza AWS Transform che offre funzionalità simili. Per ulteriori informazioni, vedere [Modifica della disponibilità di AWS Application Discovery Service](https://docs.aws.amazon.com/application-discovery/latest/userguide/application-discovery-service-availability-change.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in AWS Application Discovery Service
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. L'efficacia della nostra sicurezza è regolarmente testata e verificata da revisori di terze parti come parte dei [programmi di conformitàAWS](https://aws.amazon.com/compliance/programs/).
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L'utente è anche responsabile per altri fattori, tra cui la riservatezza dei dati, i requisiti dell'azienda e leggi e normative applicabili.
Per utilizzare AWS Application Discovery Agent o Application Discovery Service Agentless Collector è necessario fornire le chiavi di accesso al proprio account. AWS Queste informazioni vengono quindi archiviate nell'infrastruttura locale. Nell'ambito del modello di responsabilità condivisa, l'utente è responsabile della protezione dell'accesso alla propria infrastruttura.
Questa documentazione ti aiuterà a capire come applicare il modello di responsabilità condivisa quando usi Application Discovery Service. Negli argomenti seguenti viene illustrato come configurare Application Discovery Service per soddisfare gli obiettivi di sicurezza e conformità. Imparerai anche come utilizzare altri AWS servizi che possono aiutarti a monitorare e proteggere le risorse dell'Application Discovery Service.
**Topics**
+ [Identity and Access Management per AWS Application Discovery Service](security-iam.md)
+ [Registrazione delle chiamate API di Application Discovery Service con AWS CloudTrail](logging-using-cloudtrail.md)
# Identity and Access Management per AWS Application Discovery Service
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (dispone delle autorizzazioni) a utilizzare le risorse di Application Discovery Service. IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come AWS Application Discovery Service funziona con IAM](security_iam_service-with-iam.md)
+ [AWS politiche gestite per AWS Application Discovery Service](security-iam-awsmanpol.md)
+ [AWS Application Discovery Service esempi di politiche basate sull'identità](security_iam_id-based-policy-examples.md)
+ [Utilizzo di ruoli collegati ai servizi per Application Discovery Service](using-service-linked-roles.md)
+ [Risoluzione dei problemi relativi a AWS Application Discovery Service identità e accesso](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi a AWS Application Discovery Service identità e accesso](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come AWS Application Discovery Service funziona con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [AWS Application Discovery Service esempi di politiche basate sull'identità](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali come utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente di IAM*.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) per l'*utente IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Elenchi di controllo degli accessi () ACLs
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioni ACLs, consulta la [panoramica della lista di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Amazon Simple Storage Service Developer Guide*.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come AWS Application Discovery Service funziona con IAM
Prima di utilizzare IAM per gestire l'accesso ad Application Discovery Service, è necessario comprendere quali funzionalità IAM sono disponibili per l'uso con Application Discovery Service. Per avere una visione di alto livello di come Application Discovery Service e altri AWS servizi funzionano con IAM, consulta [AWS Services That Work with IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
**Topics**
+ [Politiche basate sull'identità di Application Discovery Service](#security_iam_service-with-iam-id-based-policies)
+ [Politiche basate sulle risorse di Application Discovery Service](#security_iam_service-with-iam-resource-based-policies)
+ [Autorizzazione basata sui tag di Application Discovery Service](#security_iam_service-with-iam-tags)
+ [Ruoli IAM di Application Discovery Service](#security_iam_service-with-iam-roles)
## Politiche basate sull'identità di Application Discovery Service
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Application Discovery Service supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta [Documentazione di riferimento degli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'utente IAM*.
### Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Le azioni politiche in Application Discovery Service utilizzano il seguente prefisso prima dell'azione:`discovery:`. Le istruzioni della policy devono includere un elemento `Action` o `NotAction`. Application Discovery Service definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.
Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:
```
"Action": [
"discovery:action1",
"discovery:action2"
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `Describe`, includi la seguente azione:
```
"Action": "discovery:Describe*"
```
Per visualizzare un elenco delle azioni dell'Application Discovery Service, consulta [Actions Defined by AWS Application Discovery Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_applicationdiscovery.html#awskeymanagementservice-actions-as-permissions) nella *IAM User Guide*.
### Resources
Application Discovery Service non supporta la specificazione di risorse ARNs in una policy. Per separare l'accesso, crea e usa un accesso separato Account AWS.
### Chiavi di condizione
Application Discovery Service non fornisce chiavi di condizione specifiche del servizio, ma supporta l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta [AWS Global Condition Context Keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *IAM User Guide*.
### Esempi
Per visualizzare esempi di policy basate sull'identità di Application Discovery Service, vedere. [AWS Application Discovery Service esempi di politiche basate sull'identità](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse di Application Discovery Service
Application Discovery Service non supporta policy basate sulle risorse.
## Autorizzazione basata sui tag di Application Discovery Service
Application Discovery Service non supporta l'etichettatura delle risorse o il controllo dell'accesso in base ai tag.
## Ruoli IAM di Application Discovery Service
Un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'entità all'interno del tuo AWS account che dispone di autorizzazioni specifiche.
### Utilizzo di credenziali temporanee con Application Discovery Service
Application Discovery Service non supporta l'utilizzo di credenziali temporanee.
### Ruoli collegati ai servizi
[I ruoli collegati ai](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) AWS servizi consentono ai servizi di accedere alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi sono visualizzati nell'account IAM e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non può modificarle.
Application Discovery Service supporta i ruoli collegati ai servizi. Per informazioni dettagliate sulla creazione o la gestione dei ruoli collegati ai servizi di Application Discovery Service, vedere. [Utilizzo di ruoli collegati ai servizi per Application Discovery Service](using-service-linked-roles.md)
### Ruoli dei servizi
Questa funzionalità consente a un servizio di assumere un [ruolo di servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un amministratore IAM può modificare le autorizzazioni per questo ruolo. Tuttavia, questo potrebbe pregiudicare la funzionalità del servizio.
Application Discovery Service supporta i ruoli di servizio.
# AWS politiche gestite per AWS Application Discovery Service
Per aggiungere autorizzazioni a utenti, gruppi e ruoli, è più facile utilizzare policy AWS gestite che scrivere policy personalizzate. La [creazione di policy gestite dai clienti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) che forniscono al team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, puoi utilizzare le nostre politiche AWS gestite. Queste policy coprono i casi d’uso comuni e sono disponibili nell’account Account AWS. Per ulteriori informazioni sulle policy AWS gestite, consulta le [policy AWS gestite](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *IAM User Guide*.
AWS i servizi mantengono e aggiornano le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi occasionalmente aggiungono altre autorizzazioni a una policy gestita da AWS per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una policy gestita da AWS quando viene avviata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.
Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy **ReadOnlyAccess** AWS gestita fornisce l'accesso in sola lettura a tutti i AWS servizi e le risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per l’elenco e la descrizione delle policy di funzione dei processi, consultare la sezione [Policy gestite da AWS per funzioni di processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
## AWS politica gestita: AWSApplication DiscoveryServiceFullAccess
La `AWSApplicationDiscoveryServiceFullAccess` policy concede a un account utente IAM l'accesso ad Application Discovery Service e Migration Hub APIs.
Un account utente IAM con questa policy allegata può configurare Application Discovery Service, avviare e arrestare gli agenti, avviare e interrompere il rilevamento senza agenti e interrogare i dati dal database AWS Discovery Service. Per un esempio di questa policy, consulta [Concessione dell'accesso completo a Application Discovery Service](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-fullaccess).
## AWS politica gestita: AWSApplication DiscoveryAgentlessCollectorAccess
La policy `AWSApplicationDiscoveryAgentlessCollectorAccess` gestita concede all'Application Discovery Service Agentless Collector (Agentless Collector) l'accesso per registrarsi e comunicare con l'Application Discovery Service e comunicare con altri servizi. AWS
Questa policy deve essere allegata all'utente IAM le cui credenziali vengono utilizzate per configurare Agentless Collector.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `arsenal`— Consente al raccoglitore di registrarsi con l'applicazione Application Discovery Service. Ciò è necessario per poter inviare i dati raccolti a AWS.
+ `ecr-public`— Consente al raccoglitore di effettuare chiamate all'Amazon Elastic Container Registry Public (Amazon ECR Public) dove sono disponibili gli ultimi aggiornamenti per il raccoglitore.
+ `mgh`— Consente al raccoglitore di effettuare una chiamata AWS Migration Hub per recuperare la regione di origine dell'account utilizzato per configurare il raccoglitore. Ciò è necessario per sapere a quale regione devono essere inviati i dati raccolti.
+ `sts`— Consente al raccoglitore di recuperare un token del service bearer in modo da poter effettuare chiamate ad Amazon ECR Public per ottenere gli aggiornamenti più recenti.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arsenal:RegisterOnPremisesAgent"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ecr-public:DescribeImages"
],
"Resource": "arn:aws:ecr-public::446372222237:repository/6e5498e4-8c31-4f57-9991-13b4b992ff7b"
},
{
"Effect": "Allow",
"Action": [
"ecr-public:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"mgh:GetHomeRegion"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"sts:GetServiceBearerToken"
],
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AWSApplication DiscoveryAgentAccess
La `AWSApplicationDiscoveryAgentAccess` policy concede all'Application Discovery Agent l'accesso per registrarsi e comunicare con Application Discovery Service.
Questa politica viene allegata a qualsiasi utente le cui credenziali vengono utilizzate da Application Discovery Agent.
Questa policy inoltre autorizza l'utente ad accedere ad Arsenal. Arsenal è un servizio di agenti gestito e ospitato da. AWS L'Arsenal inoltra i dati all'Application Discovery Service nel cloud. Per un esempio di questa policy, consulta [Concessione dell'accesso ai Discovery Agents](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-agentaccess).
## AWS politica gestita: AWSAgentless DiscoveryService
La `AWSAgentlessDiscoveryService` policy concede all' AWS Agentless Discovery Connector in esecuzione nel VMware vCenter Server l'accesso alla registrazione, alla comunicazione e alla condivisione dei parametri relativi allo stato del connettore con Application Discovery Service.
Colleghi questa policy a tutti gli utenti le cui credenziali vengono utilizzate dal connettore.
## AWS politica gestita: ApplicationDiscoveryServiceContinuousExportServiceRolePolicy
Se al tuo account IAM è allegata la `AWSApplicationDiscoveryServiceFullAccess` policy, questa `ApplicationDiscoveryServiceContinuousExportServiceRolePolicy` viene collegata automaticamente al tuo account quando attivi l'esplorazione dei dati in Amazon Athena.
Questa policy consente di AWS Application Discovery Service creare stream Amazon Data Firehose per trasformare e distribuire i dati raccolti dagli AWS Application Discovery Service agenti in un bucket Amazon S3 del tuo account. AWS
Inoltre, questa policy crea un AWS Glue Data Catalog nuovo database chiamato *application\$1discovery\$1service\$1database* e schemi di tabelle per la mappatura dei dati raccolti dagli agenti. Per un esempio di questa policy, consulta [Concessione delle autorizzazioni per la raccolta dei dati degli agenti](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-export-service).
## AWS politica gestita: AWSDiscovery ContinuousExportFirehosePolicy
La `AWSDiscoveryContinuousExportFirehosePolicy` policy è necessaria per utilizzare l'esplorazione dei dati in Amazon Athena. Consente ad Amazon Data Firehose di scrivere i dati raccolti da Application Discovery Service su Amazon S3. Per informazioni sull'utilizzo di questa policy, consulta [Creazione del ruolo AWSApplication DiscoveryServiceFirehose](#security-iam-awsmanpol-create-firehose-role). Per un esempio di questa policy, consulta [Concessione delle autorizzazioni per l'esplorazione dei dati](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-export-firehose).
## Creazione del ruolo AWSApplication DiscoveryServiceFirehose
Un amministratore allega le policy gestite al tuo account utente IAM. Quando utilizza la `AWSDiscoveryContinuousExportFirehosePolicy` policy, l'amministratore deve prima creare un ruolo denominato **AWSApplicationDiscoveryServiceFirehose**Firehose come entità attendibile e quindi allegare la `AWSDiscoveryContinuousExportFirehosePolicy` policy al ruolo, come illustrato nella procedura seguente.
**Per creare il ruolo **AWSApplicationDiscoveryServiceFirehose**IAM**
1. Nella console IAM, scegli **Ruoli** nel riquadro di navigazione.
1. Selezionare **Crea ruolo**.
1. Scegliere **Kinesis**.
1. Scegliere **Kinesis Firehose** come caso d'uso.
1. Scegli **Successivo: autorizzazioni**.
1. In **Filter Policies** cerca **AWSDiscoveryContinuousExportFirehosePolicy**.
1. Seleziona la casella accanto **AWSDiscoveryContinuousExportFirehosePolicy**, quindi scegli **Avanti: Revisione**.
1. Immettete **AWSApplicationDiscoveryServiceFirehose**come nome del ruolo, quindi scegliete **Crea ruolo**.
## Aggiornamenti di Application Discovery Service alle policy AWS gestite
Visualizza i dettagli sugli aggiornamenti delle policy AWS gestite per Application Discovery Service da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per gli avvisi automatici sulle modifiche apportate alla pagina, iscriviti al feed RSS alla pagina [Cronologia dei documenti per AWS Application Discovery Service](doc-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSApplicationDiscoveryAgentlessCollectorAccess](#security-iam-awsmanpol-AWSApplicationDiscoveryAgentlessCollectorAccess)— Nuova policy resa disponibile con il lancio di Agentless Collector | Application Discovery Service ha aggiunto la nuova policy gestita `AWSApplicationDiscoveryAgentlessCollectorAccess` che concede all'Agentless Collector l'accesso per registrarsi e comunicare con l'Application Discovery Service e comunicare con altri servizi. AWS | 16 agosto 2022 |
| Application Discovery Service ha iniziato a tenere traccia delle modifiche | Application Discovery Service ha iniziato a tenere traccia delle modifiche per le sue policy AWS gestite. | 1° marzo 2021 |
# AWS Application Discovery Service esempi di politiche basate sull'identità
Per impostazione predefinita, gli utenti e i ruoli IAM non dispongono dell'autorizzazione per creare o modificare le risorse di Application Discovery Service. Inoltre, non possono eseguire attività utilizzando l' AWS API Console di gestione AWS AWS CLI, o. Un amministratore IAM deve creare policy IAM che concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L'amministratore deve quindi allegare queste policy a utenti o IAM che richiedono tali autorizzazioni.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy nella scheda JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) nella *Guida per l'utente IAM*.
**Topics**
+ [Best practice delle policy](#security_iam_service-with-iam-policy-best-practices)
+ [Concessione dell'accesso completo a Application Discovery Service](#security_iam_id-based-policy-examples-ads-fullaccess)
+ [Concessione dell'accesso ai Discovery Agents](#security_iam_id-based-policy-examples-ads-agentaccess)
+ [Concessione delle autorizzazioni per la raccolta dei dati degli agenti](#security_iam_id-based-policy-examples-ads-export-service)
+ [Concessione delle autorizzazioni per l'esplorazione dei dati](#security_iam_id-based-policy-examples-ads-export-firehose)
+ [Concessione delle autorizzazioni per l'uso del diagramma di rete della console Migration Hub](#security_iam_id-based-policy-examples-network-connection-graph)
## Best practice delle policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse di Application Discovery Service nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le policy gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Concessione dell'accesso completo a Application Discovery Service
La policy AWSApplication DiscoveryServiceFullAccess gestita concede all'account utente IAM l'accesso all'Application Discovery Service e Migration Hub APIs.
Un utente IAM con questa policy associata al proprio account può configurare Application Discovery Service, avviare e arrestare gli agenti, avviare e interrompere il rilevamento senza agenti ed eseguire query sui dati dal database AWS Discovery Service. Per ulteriori informazioni su questa policy, consulta [AWS politiche gestite per AWS Application Discovery Service](security-iam-awsmanpol.md).
**Example AWSApplicationDiscoveryServiceFullAccess politica**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"mgh:*",
"discovery:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"iam:GetRole"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## Concessione dell'accesso ai Discovery Agents
La policy AWSApplication DiscoveryAgentAccess gestita concede all'Application Discovery Agent l'accesso per registrarsi e comunicare con Application Discovery Service. Per ulteriori informazioni su questa policy, consulta [AWS politiche gestite per AWS Application Discovery Service](security-iam-awsmanpol.md).
Allega questa policy a qualsiasi utente le cui credenziali vengono utilizzate da Application Discovery Agent.
Questa policy inoltre autorizza l'utente ad accedere ad Arsenal. Arsenal è un servizio di agenti gestito e ospitato da. AWS L'Arsenal inoltra i dati all'Application Discovery Service nel cloud.
**Example AWSApplicationDiscoveryAgentAccess Politica**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arsenal:RegisterOnPremisesAgent"
],
"Resource": "*"
}
]
}
```
## Concessione delle autorizzazioni per la raccolta dei dati degli agenti
La policy ApplicationDiscoveryServiceContinuousExportServiceRolePolicy gestita consente di AWS Application Discovery Service creare flussi Amazon Data Firehose per trasformare e distribuire i dati raccolti dagli agenti di Application Discovery Service a un bucket Amazon S3 del tuo account. AWS
Inoltre, questa policy crea un catalogo AWS Glue dati con un nuovo database chiamato `application_discovery_service_database` e schemi di tabelle per la mappatura dei dati raccolti dagli agenti.
Per informazioni sull'utilizzo di questa policy, consulta [AWS politiche gestite per AWS Application Discovery Service](security-iam-awsmanpol.md).
**Example ApplicationDiscoveryServiceContinuousExportServiceRolePolicy**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"glue:CreateDatabase",
"glue:UpdateDatabase",
"glue:CreateTable",
"glue:UpdateTable",
"firehose:CreateDeliveryStream",
"firehose:DescribeDeliveryStream",
"logs:CreateLogGroup"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"firehose:DeleteDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch",
"firehose:UpdateDestination"
],
"Effect": "Allow",
"Resource": "arn:aws:firehose:*:*:deliverystream/aws-application-discovery-service*"
},
{
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:PutBucketLogging",
"s3:PutEncryptionConfiguration"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::aws-application-discovery-service*"
},
{
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::aws-application-discovery-service*/*"
},
{
"Action": [
"logs:CreateLogStream",
"logs:PutRetentionPolicy"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:*:*:log-group:/aws/application-discovery-service/firehose*"
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/AWSApplicationDiscoveryServiceFirehose",
"Condition": {
"StringLike": {
"iam:PassedToService": "firehose.amazonaws.com"
}
}
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/service-role/AWSApplicationDiscoveryServiceFirehose",
"Condition": {
"StringLike": {
"iam:PassedToService": "firehose.amazonaws.com"
}
}
}
]
}
```
## Concessione delle autorizzazioni per l'esplorazione dei dati
La AWSDiscovery ContinuousExportFirehosePolicy policy è necessaria per utilizzare l'esplorazione dei dati in Amazon Athena. Consente ad Amazon Data Firehose di scrivere i dati raccolti da Application Discovery Service su Amazon S3. Per informazioni sull'utilizzo di questa policy, consulta [Creazione del ruolo AWSApplication DiscoveryServiceFirehose](security-iam-awsmanpol.md#security-iam-awsmanpol-create-firehose-role).
**Example AWSDiscoveryContinuousExportFirehosePolicy**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:GetTableVersions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-application-discovery-service-*",
"arn:aws:s3:::aws-application-discovery-service-*/*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/application-discovery-service/firehose:log-stream:*"
]
}
]
}
```
## Concessione delle autorizzazioni per l'uso del diagramma di rete della console Migration Hub
Per concedere l'accesso al diagramma di rete della AWS Migration Hub console quando si crea una policy basata sull'identità che consente o nega l'accesso ad Application Discovery Service o Migration Hub, potrebbe essere necessario aggiungere l'`discovery:GetNetworkConnectionGraph`azione alla policy.
È necessario utilizzare l'`discovery:GetNetworkConnectionGraph`azione nelle nuove politiche o aggiornare le politiche precedenti se entrambe le condizioni sono valide per la politica:
+ La policy consente o nega l'accesso ad Application Discovery Service o al Migration Hub.
+ La politica concede le autorizzazioni di accesso utilizzando un'altra azione di scoperta specifica, ad esempio piuttosto che`discovery:action-name`. `discovery:*`
L'esempio seguente mostra come utilizzare l'`discovery:GetNetworkConnectionGraph`azione in una policy IAM.
**Example**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["discovery:GetNetworkConnectionGraph"],
"Resource": "*"
}
]
}
```
Per informazioni sul diagramma di rete di Migration Hub, vedere [Visualizzazione delle connessioni di rete in Migration Hub](https://docs.aws.amazon.com/migrationhub/latest/ug/network-diagram.html).
# Utilizzo di ruoli collegati ai servizi per Application Discovery Service
AWS Application Discovery Service utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente ad Application Discovery Service. I ruoli collegati ai servizi sono predefiniti da Application Discovery Service e includono tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per conto dell'utente.
Un ruolo collegato al servizio semplifica la configurazione di Application Discovery Service perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Application Discovery Service definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo Application Discovery Service può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. Ciò protegge le risorse dell'Application Discovery Service perché non è possibile rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Topics**
+ [Autorizzazioni di ruolo collegate ai servizi per Application Discovery Service](service-linked-role-permissions.md)
+ [Creazione di un ruolo collegato ai servizi per Application Discovery Service](create-service-linked-role.md)
+ [Eliminazione di un ruolo collegato al servizio per Application Discovery Service](delete-service-linked-role.md)
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
# Autorizzazioni di ruolo collegate ai servizi per Application Discovery Service
Application Discovery Service utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForApplicationDiscoveryServiceContinuousExport**: consente l'accesso ai AWS servizi e alle risorse utilizzati o gestiti da. AWS Application Discovery Service
Il ruolo AWSService RoleForApplicationDiscoveryServiceContinuousExport collegato al servizio prevede che i seguenti servizi assumano il ruolo:
+ `continuousexport.discovery.amazonaws.com`
La politica di autorizzazione dei ruoli consente ad Application Discovery Service di completare le seguenti azioni:
glue
`CreateDatabase`
`UpdateDatabase`
`CreateTable`
`UpdateTable`
firehose
`CreateDeliveryStream`
`DeleteDeliveryStream`
`DescribeDeliveryStream`
`PutRecord`
`PutRecordBatch`
`UpdateDestination`
s3
`CreateBucket`
`ListBucket`
`GetObject`
log
`CreateLogGroup`
`CreateLogStream`
`PutRetentionPolicy`
iam
`PassRole`
Questa è la policy completa che mostra a quali risorse si applicano le operazioni descritte in precedenza:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"glue:CreateDatabase",
"glue:UpdateDatabase",
"glue:CreateTable",
"glue:UpdateTable",
"firehose:CreateDeliveryStream",
"firehose:DescribeDeliveryStream",
"logs:CreateLogGroup"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"firehose:DeleteDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch",
"firehose:UpdateDestination"
],
"Effect": "Allow",
"Resource": "arn:aws:firehose:*:*:deliverystream/aws-application-discovery-service*"
},
{
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:PutBucketLogging",
"s3:PutEncryptionConfiguration"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::aws-application-discovery-service*"
},
{
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::aws-application-discovery-service*/*"
},
{
"Action": [
"logs:CreateLogStream",
"logs:PutRetentionPolicy"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:*:*:log-group:/aws/application-discovery-service/firehose*"
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/AWSApplicationDiscoveryServiceFirehose",
"Condition": {
"StringLike": {
"iam:PassedToService": "firehose.amazonaws.com"
}
}
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/service-role/AWSApplicationDiscoveryServiceFirehose",
"Condition": {
"StringLike": {
"iam:PassedToService": "firehose.amazonaws.com"
}
}
}
]
}
```
------
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente di IAM*.
# Creazione di un ruolo collegato ai servizi per Application Discovery Service
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Il ruolo AWSService RoleForApplicationDiscoveryServiceContinuousExport collegato al servizio viene creato automaticamente quando l'esportazione continua viene attivata implicitamente a) confermando le opzioni nella finestra di dialogo presentata dalla pagina Data Collector dopo aver scelto «Avvia raccolta dati» o facendo clic sul cursore denominato «Esplorazione dei dati in Athena» o b) quando si chiama l'API utilizzando la CLI. StartContinuousExport AWS
**Importante**
Questo ruolo collegato ai servizi può apparire nell'account se è stata completata un'operazione in un altro servizio che utilizza le funzionalità supportate dal ruolo. Per ulteriori informazioni, consulta [Un nuovo ruolo è apparso nel mio account IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
## Creazione del ruolo collegato al servizio dalla console Migration Hub
È possibile utilizzare la console Migration Hub per creare il ruolo AWSService RoleForApplicationDiscoveryServiceContinuousExport collegato al servizio.
**Per creare il ruolo collegato ai servizi (console)**
1. Nel riquadro di navigazione, selezionare **Data Collectors (Agenti di raccolta dati)**.
1. Selezionare la scheda **Agents (Agenti)**.
1. Attiva il cursore **Esplorazione dati in Athena** sulla posizione On.
1. Nella finestra di dialogo generata dal passaggio precedente, fare clic sulla casella di controllo dando il consenso ai costi associati e scegliere **Continue (Continua)** o **Enable (Abilita)**.
## Creazione del ruolo collegato al servizio da AWS CLI
È possibile utilizzare i comandi di Application Discovery Service da AWS Command Line Interface per creare il ruolo AWSService RoleForApplicationDiscoveryServiceContinuousExport collegato al servizio.
Questo ruolo collegato al servizio viene creato automaticamente quando si avvia Continuous Export da AWS CLI ( AWS CLI deve prima essere installato nell'ambiente).
**Per creare il ruolo collegato al servizio (CLI) avviando Continuous Export da AWS CLI**
1. Installa il AWS CLI file per il tuo sistema operativo (Linux, macOS o Windows). Consulta la [Guida per AWS Command Line Interface l'utente](https://docs.aws.amazon.com/cli/latest/userguide/) per le istruzioni.
1. Aprire il prompt dei comandi (Windows) o Terminal (Linux o macOS).
1. Digitare `aws configure` e premere Invio.
1. Inserisci AWS l'ID della chiave di accesso e la chiave di accesso AWS segreta.
1. Immettere `us-west-2` per Default Region Name (Nome della regione predefinito).
1. Immettere `text` per Default Output Format (Formato di output predefinito).
1. Digita il seguente comando:
```
aws discovery start-continuous-export
```
Puoi anche utilizzare la console IAM per creare un ruolo collegato al servizio con lo use case **Discovery Service - Continuous Export**. Nella CLI IAM o nell’API IAM, crea un ruolo collegato al servizio con il nome servizio `continuousexport.discovery.amazonaws.com`. Per ulteriori informazioni, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l'utente IAM*. Se elimini il ruolo collegato ai servizi, è possibile utilizzare lo stesso processo per crearlo nuovamente.
# Eliminazione di un ruolo collegato al servizio per Application Discovery Service
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.
## Pulizia del ruolo collegato ai servizi
Prima di utilizzare IAM; per eliminare un ruolo collegato al servizio, è necessario prima rimuovere qualsiasi risorsa utilizzata dal ruolo.
**Nota**
Se Application Discovery Service utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare le risorse di Application Discovery Service utilizzate dal ruolo AWSService RoleForApplicationDiscoveryServiceContinuousExport collegato al servizio dalla console di Migration Hub**
1. Nel riquadro di navigazione, selezionare **Data Collectors (Agenti di raccolta dati)**.
1. Selezionare la scheda **Agents (Agenti)**.
1. Sposta il cursore **Esplorazione dati in Athena** in posizione Off.
**Per eliminare le risorse di Application Discovery Service utilizzate dal ruolo AWSService RoleForApplicationDiscoveryServiceContinuousExport collegato al servizio dal AWS CLI**
1. Installa il AWS CLI file per il tuo sistema operativo (Linux, macOS o Windows). Consulta la [Guida per AWS Command Line Interface l'utente](https://docs.aws.amazon.com/cli/latest/userguide/) per le istruzioni.
1. Aprire il prompt dei comandi (Windows) o Terminal (Linux o macOS).
1. Digitare `aws configure` e premere Invio.
1. Inserisci AWS l'ID della chiave di accesso e la chiave di accesso AWS segreta.
1. Immettere `us-west-2` per Default Region Name (Nome della regione predefinito).
1. Immettere `text` per Default Output Format (Formato di output predefinito).
1. Digita il seguente comando:
```
aws discovery stop-continuous-export --export-id
```
1. Se non conosci l'ID esportazione dell'esportazione continua che vuoi arrestare, immetti il seguente comando per visualizzare l'ID dell'esportazione continua:
```
aws discovery describe-continuous-exports
```
1. Immettete il seguente comando per assicurarvi che l'esportazione continua sia interrotta verificando che lo stato di restituzione sia «INATTIVO»:
```
aws discovery describe-continuous-export
```
## Eliminazione manuale del ruolo collegato ai servizi
Puoi eliminare il ruolo AWSService RoleForApplicationDiscoveryServiceContinuousExport collegato al servizio utilizzando la console IAM, la CLI IAM o l'API IAM. Se non hai più bisogno di utilizzare le funzionalità di Discovery Service - Continuous Export che richiedono questo ruolo collegato al servizio, ti consigliamo di eliminare quel ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l’utente di IAM*.
**Nota**
Devi effettuare la pulizia del ruolo collegato ai servizi prima di poterlo eliminare. Per informazioni, consulta [Pulizia del ruolo collegato ai servizi](#service-linked-role-review-before-delete).
# Risoluzione dei problemi relativi a AWS Application Discovery Service identità e accesso
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con Application Discovery Service e IAM.
**Topics**
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue policy devono essere aggiornate per consentirti di passare un ruolo ad Application Discovery Service.
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Application Discovery Service. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
# Registrazione delle chiamate API di Application Discovery Service con AWS CloudTrail
AWS Application Discovery Service è integrato con AWS CloudTrail, un servizio che fornisce una registrazione delle azioni intraprese da un utente, un ruolo o un AWS servizio in Application Discovery Service. È possibile utilizzarlo CloudTrail per registrare, monitorare continuamente e conservare l'attività dell'account per scopi di risoluzione dei problemi e di controllo. CloudTrail fornisce una cronologia degli eventi dell'attività dell' AWS account, comprese le azioni intraprese tramite la console di AWS gestione e AWS SDKs gli strumenti da riga di comando.
CloudTrail acquisisce tutte le chiamate API per Application Discovery Service come eventi. Le chiamate acquisite includono chiamate dalla console di Application Discovery Service e chiamate di codice alle operazioni dell'API Application Discovery Service.
Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon S3, inclusi gli eventi per Application Discovery Service. Se non configuri un percorso, puoi comunque visualizzare gli eventi più recenti nella CloudTrail console nella cronologia degli **eventi**. Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare la richiesta effettuata ad Application Discovery Service, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e dettagli aggiuntivi.
Per ulteriori informazioni CloudTrail, consulta la [Guida AWS CloudTrail per l'utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## Informazioni su Application Discovery Service in CloudTrail
CloudTrail è abilitato sul tuo AWS account al momento della creazione dell'account. Quando si verifica un'attività in Application Discovery Service, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi di AWS servizio nella **cronologia** degli eventi. Puoi visualizzare, cercare e scaricare gli eventi recenti nel tuo AWS account. Per ulteriori informazioni, consulta [Visualizzazione degli eventi con la cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Per una registrazione continua degli eventi nel tuo AWS account, inclusi gli eventi per Application Discovery Service, crea un percorso. Un *trail* consente di CloudTrail inviare file di log a un bucket Amazon S3. Per impostazione predefinita, quando crei un percorso nella console, il percorso si applica a tutte le AWS regioni. Il trail registra gli eventi di tutte le regioni della AWS partizione e consegna i file di log al bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail Per ulteriori informazioni, consulta gli argomenti seguenti:
+ [Panoramica della creazione di un trail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Servizi e integrazioni supportati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configurazione delle notifiche Amazon SNS per CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Ricezione di file di CloudTrail registro da più regioni](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [ricezione di file di CloudTrail registro da](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) più account
Tutte le azioni di Application Discovery Service vengono registrate CloudTrail e documentate nell'[Application Discovery Service API](https://docs.aws.amazon.com/application-discovery/latest/APIReference/) Reference. Ad esempio, le chiamate alle `GetDiscoverySummary` azioni `CreateTags``DescribeTags`, e generano voci nei file di CloudTrail registro.
Ogni evento o voce di log contiene informazioni sull’utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:
+ Se la richiesta è stata effettuata con credenziali utente root o AWS Identity and Access Management (IAM).
+ Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
+ Se la richiesta è stata effettuata da un altro AWS servizio.
Per ulteriori informazioni, consulta [Elemento CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Informazioni sulle voci dei file di registro di Application Discovery Service
Un trail è una configurazione che consente la distribuzione di eventi come file di log in un bucket Amazon S3 specificato dall'utente. CloudTrail i file di registro contengono una o più voci di registro. Un evento rappresenta una singola richiesta proveniente da qualsiasi fonte e include informazioni sull'azione richiesta, la data e l'ora dell'azione, i parametri della richiesta e così via. CloudTrail i file di registro non sono una traccia ordinata dello stack delle chiamate API pubbliche, quindi non vengono visualizzati in un ordine specifico.
L'esempio seguente mostra una voce di CloudTrail registro che illustra l'`DescribeTags`azione.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAJBHMC4H6EKEXAMPLE:sample-user",
"arn": "arn:aws:sts::444455556666:assumed-role/ReadOnly/sample-user",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDAJQABLZS4A3QDU576Q",
"arn": "arn:aws:iam::444455556666:role/ReadOnly",
"accountId": "444455556666",
"userName": "sampleAdmin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2020-05-05T15:19:03Z"
}
}
},
"eventTime": "2020-05-05T17:02:40Z",
"eventSource": "discovery.amazonaws.com",
"eventName": "DescribeTags",
"awsRegion": "us-west-2",
"sourceIPAddress": "20.22.33.44",
"userAgent": "Coral/Netty4",
"requestParameters": {
"maxResults": 0,
"filters": [
{
"values": [
"d-server-0315rfdjreyqsq"
],
"name": "configurationId"
}
]
},
"responseElements": null,
"requestID": "mgh-console-eb1cf315-e2b4-4696-93e5-b3a3b9346b4b",
"eventID": "7b32b778-91c9-4c75-9cb0-6c852791b2eb",
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```