AWS Application Discovery Service non è più aperto a nuovi clienti. In alternativa, utilizza AWS Transform che offre funzionalità simili. Per ulteriori informazioni, vedere [Modifica della disponibilità di AWS Application Discovery Service](https://docs.aws.amazon.com/application-discovery/latest/userguide/application-discovery-service-availability-change.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS Application Discovery Service esempi di politiche basate sull'identità
Per impostazione predefinita, gli utenti e i ruoli IAM non dispongono dell'autorizzazione per creare o modificare le risorse di Application Discovery Service. Inoltre, non possono eseguire attività utilizzando l' AWS API Console di gestione AWS AWS CLI, o. Un amministratore IAM deve creare policy IAM che concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L'amministratore deve quindi allegare queste policy a utenti o IAM che richiedono tali autorizzazioni.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy nella scheda JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) nella *Guida per l'utente IAM*.
**Topics**
+ [Best practice delle policy](#security_iam_service-with-iam-policy-best-practices)
+ [Concessione dell'accesso completo a Application Discovery Service](#security_iam_id-based-policy-examples-ads-fullaccess)
+ [Concessione dell'accesso ai Discovery Agents](#security_iam_id-based-policy-examples-ads-agentaccess)
+ [Concessione delle autorizzazioni per la raccolta dei dati degli agenti](#security_iam_id-based-policy-examples-ads-export-service)
+ [Concessione delle autorizzazioni per l'esplorazione dei dati](#security_iam_id-based-policy-examples-ads-export-firehose)
+ [Concessione delle autorizzazioni per l'uso del diagramma di rete della console Migration Hub](#security_iam_id-based-policy-examples-network-connection-graph)
## Best practice delle policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse di Application Discovery Service nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le policy gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Concessione dell'accesso completo a Application Discovery Service
La policy AWSApplication DiscoveryServiceFullAccess gestita concede all'account utente IAM l'accesso all'Application Discovery Service e Migration Hub APIs.
Un utente IAM con questa policy associata al proprio account può configurare Application Discovery Service, avviare e arrestare gli agenti, avviare e interrompere il rilevamento senza agenti ed eseguire query sui dati dal database AWS Discovery Service. Per ulteriori informazioni su questa policy, consulta [AWS politiche gestite per AWS Application Discovery Service](security-iam-awsmanpol.md).
**Example AWSApplicationDiscoveryServiceFullAccess politica**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"mgh:*",
"discovery:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"iam:GetRole"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## Concessione dell'accesso ai Discovery Agents
La policy AWSApplication DiscoveryAgentAccess gestita concede all'Application Discovery Agent l'accesso per registrarsi e comunicare con Application Discovery Service. Per ulteriori informazioni su questa policy, consulta [AWS politiche gestite per AWS Application Discovery Service](security-iam-awsmanpol.md).
Allega questa policy a qualsiasi utente le cui credenziali vengono utilizzate da Application Discovery Agent.
Questa policy inoltre autorizza l'utente ad accedere ad Arsenal. Arsenal è un servizio di agenti gestito e ospitato da. AWS L'Arsenal inoltra i dati all'Application Discovery Service nel cloud.
**Example AWSApplicationDiscoveryAgentAccess Politica**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arsenal:RegisterOnPremisesAgent"
],
"Resource": "*"
}
]
}
```
## Concessione delle autorizzazioni per la raccolta dei dati degli agenti
La policy ApplicationDiscoveryServiceContinuousExportServiceRolePolicy gestita consente di AWS Application Discovery Service creare flussi Amazon Data Firehose per trasformare e distribuire i dati raccolti dagli agenti di Application Discovery Service a un bucket Amazon S3 del tuo account. AWS
Inoltre, questa policy crea un catalogo AWS Glue dati con un nuovo database chiamato `application_discovery_service_database` e schemi di tabelle per la mappatura dei dati raccolti dagli agenti.
Per informazioni sull'utilizzo di questa policy, consulta [AWS politiche gestite per AWS Application Discovery Service](security-iam-awsmanpol.md).
**Example ApplicationDiscoveryServiceContinuousExportServiceRolePolicy**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"glue:CreateDatabase",
"glue:UpdateDatabase",
"glue:CreateTable",
"glue:UpdateTable",
"firehose:CreateDeliveryStream",
"firehose:DescribeDeliveryStream",
"logs:CreateLogGroup"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"firehose:DeleteDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch",
"firehose:UpdateDestination"
],
"Effect": "Allow",
"Resource": "arn:aws:firehose:*:*:deliverystream/aws-application-discovery-service*"
},
{
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:PutBucketLogging",
"s3:PutEncryptionConfiguration"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::aws-application-discovery-service*"
},
{
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::aws-application-discovery-service*/*"
},
{
"Action": [
"logs:CreateLogStream",
"logs:PutRetentionPolicy"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:*:*:log-group:/aws/application-discovery-service/firehose*"
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/AWSApplicationDiscoveryServiceFirehose",
"Condition": {
"StringLike": {
"iam:PassedToService": "firehose.amazonaws.com"
}
}
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/service-role/AWSApplicationDiscoveryServiceFirehose",
"Condition": {
"StringLike": {
"iam:PassedToService": "firehose.amazonaws.com"
}
}
}
]
}
```
## Concessione delle autorizzazioni per l'esplorazione dei dati
La AWSDiscovery ContinuousExportFirehosePolicy policy è necessaria per utilizzare l'esplorazione dei dati in Amazon Athena. Consente ad Amazon Data Firehose di scrivere i dati raccolti da Application Discovery Service su Amazon S3. Per informazioni sull'utilizzo di questa policy, consulta [Creazione del ruolo AWSApplication DiscoveryServiceFirehose](security-iam-awsmanpol.md#security-iam-awsmanpol-create-firehose-role).
**Example AWSDiscoveryContinuousExportFirehosePolicy**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:GetTableVersions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-application-discovery-service-*",
"arn:aws:s3:::aws-application-discovery-service-*/*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/application-discovery-service/firehose:log-stream:*"
]
}
]
}
```
## Concessione delle autorizzazioni per l'uso del diagramma di rete della console Migration Hub
Per concedere l'accesso al diagramma di rete della AWS Migration Hub console quando si crea una policy basata sull'identità che consente o nega l'accesso ad Application Discovery Service o Migration Hub, potrebbe essere necessario aggiungere l'`discovery:GetNetworkConnectionGraph`azione alla policy.
È necessario utilizzare l'`discovery:GetNetworkConnectionGraph`azione nelle nuove politiche o aggiornare le politiche precedenti se entrambe le condizioni sono valide per la politica:
+ La policy consente o nega l'accesso ad Application Discovery Service o al Migration Hub.
+ La politica concede le autorizzazioni di accesso utilizzando un'altra azione di scoperta specifica, ad esempio piuttosto che`discovery:action-name`. `discovery:*`
L'esempio seguente mostra come utilizzare l'`discovery:GetNetworkConnectionGraph`azione in una policy IAM.
**Example**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["discovery:GetNetworkConnectionGraph"],
"Resource": "*"
}
]
}
```
Per informazioni sul diagramma di rete di Migration Hub, vedere [Visualizzazione delle connessioni di rete in Migration Hub](https://docs.aws.amazon.com/migrationhub/latest/ug/network-diagram.html).