ポリシーのベストプラクティス完全なアクセス権の付与エージェントへのアクセスの許可エージェントデータ収集のアクセス許可の付与データ探索のアクセス許可の付与ネットワーク図を使用するためのアクセス許可の付与

AWS Application Discovery Service アイデンティティベースのポリシーの例

デフォルトでは、IAM ユーザーとロールには、Application Discovery Service リソースを作成または変更するアクセス許可はありません。また、 AWS Management Console、 AWS CLI、または AWS API を使用してタスクを実行することはできません。IAM 管理者は、必要なリソースに対して特定の IAM オペレーションを実行するアクセス許可をユーザーとロールに付与する API ポリシーを作成する必要があります。その後、管理者は、これらのアクセス許可を必要とする IAM ユーザーまたはグループにこれらのポリシーをアタッチする必要があります。

これらの IAM ポリシードキュメントの例を使用して Word アイデンティティベースのポリシーを作成する方法については、Word IAMユーザーガイドのJSONJSON タブでのポリシーの作成」を参照してください。

トピック

ポリシーのベストプラクティス
Application Discovery Service へのフルアクセスの付与
検出エージェントへのアクセスの許可
エージェントデータ収集のアクセス許可の付与
データ探索のアクセス許可の付与
Migration Hub コンソールのネットワーク図を使用するためのアクセス許可の付与

ポリシーのベストプラクティス

ID ベースのポリシーは、ユーザーのアカウントで誰かが Application Discovery Service リソースを作成、アクセス、または削除できるどうかを決定します。これらのアクションを実行すると、 AWS アカウントに料金が発生する可能性があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:

AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する – ユーザーとワークロードにアクセス許可を付与するには、多くの一般的なユースケースにアクセス許可を付与するAWS 管理ポリシーを使用します。これらはで利用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義して、アクセス許可をさらに減らすことをお勧めします。詳細については、IAM ユーザーガイド」の「 AWS 管理ポリシー AWS 」または「ジョブ機能の管理ポリシー」を参照してください。
最小特権のアクセス許可を適用する – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要なアクセス許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用してアクセス許可を適用する方法の詳細については、Word IAMユーザーガイドのIAM のポリシーとアクセス許可」を参照してください。
IAM ポリシーの条件を使用してアクセスをさらに制限する – ポリシーに条件を追加して、アクションとリソースへのアクセスを制限できます。例えば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信する必要があることを指定できます。条件を使用して、サービスアクションがなどの特定のを介して使用される場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます AWS CloudFormation。詳細については、JSONIAM ユーザーガイド」の「Word ポリシーの要素: 条件」を参照してください。 IAM
IAM Access Analyzer を使用して IAM ポリシーを検証し、安全で機能的なアクセス許可を確保する – IAM Access Analyzer は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) と IAM のベストプラクティスに準拠するようにします。IAM Access Analyzer には、安全で機能的なポリシーの作成に役立つ 100 を超えるポリシーチェックと実用的な推奨事項が用意されています。詳細については、Word IAMユーザーガイドのIAM Access Analyzer によるポリシーの検証」を参照してください。
多要素認証 (MFA) を要求する – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、セキュリティを強化するために MFA を有効にします。MFA オペレーションが呼び出されたときに API を要求するには、ポリシーに MFA 条件を追加します。詳細については、API ユーザーガイドのMFA Word access with Word」を参照してください。 IAM

IAM のベストプラクティスの詳細については、Word IAMユーザーガイドのIAM のセキュリティのベストプラクティス」を参照してください。

Application Discovery Service へのフルアクセスの付与

AWSApplicationDiscoveryServiceFullAccess 管理ポリシーは、IAM ユーザーアカウントに Application Discovery Service と Migration Hub APIs へのアクセスを許可します。

このポリシーがアカウントにアタッチされている IAM ユーザーは、Application Discovery Service の設定、エージェントの起動と停止、エージェントレス検出の開始と停止、Discovery Service データベースからの AWS データのクエリを行うことができます。このポリシーの詳細については、「AWS のマネージドポリシー AWS Application Discovery Service」を参照してください。

例 AWSApplicationDiscoveryServiceFullAccess ポリシー


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "mgh:*",
                "discovery:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "iam:GetRole"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

検出エージェントへのアクセスの許可

AWSApplicationDiscoveryAgentAccess 管理ポリシーは、Application Discovery Service に登録して通信するためのアクセス権を Application Discovery Agent に付与します。このポリシーの詳細については、「AWS のマネージドポリシー AWS Application Discovery Service」を参照してください。

このポリシーは、その認証情報が Application Discovery Agent で使用されるすべてのユーザーにアタッチしてください。

このポリシーは、ユーザーに Arsenal へのアクセス権も付与します。Arsenal は、によって管理およびホストされるエージェントサービスです AWS。Arsenal は、クラウド内で Application Discovery Service にデータを転送します。

例 AWSApplicationDiscoveryAgentAccess ポリシー


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "arsenal:RegisterOnPremisesAgent"
            ],
            "Resource": "*"
        }
    ]
}

エージェントデータ収集のアクセス許可の付与

ApplicationDiscoveryServiceContinuousExportServiceRolePolicy 管理ポリシーにより AWS Application Discovery Service 、は Amazon Data Firehose ストリームを作成して、Application Discovery Service エージェントによって収集されたデータを変換し、 AWS アカウントの Amazon S3 バケットに配信できます。

さらに、このポリシーは、エージェントによって収集されたデータをマッピングするための application_discovery_service_databaseおよびテーブルスキーマという新しいデータベースを持つ AWS Glue Data Catalog を作成します。

このポリシーの使用方法については、「AWS のマネージドポリシー AWS Application Discovery Service」を参照してください。

例 ApplicationDiscoveryServiceContinuousExportServiceRolePolicy


{
   "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "glue:CreateDatabase",
                "glue:UpdateDatabase",
                "glue:CreateTable",
                "glue:UpdateTable",
                "firehose:CreateDeliveryStream",
                "firehose:DescribeDeliveryStream",
                "logs:CreateLogGroup"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "firehose:DeleteDeliveryStream",
                "firehose:PutRecord",
                "firehose:PutRecordBatch",
                "firehose:UpdateDestination"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:firehose:*:*:deliverystream/aws-application-discovery-service*"
        },
        {
            "Action": [
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:PutBucketLogging",
                "s3:PutEncryptionConfiguration"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::aws-application-discovery-service*"
        },
        {
            "Action": [
                "s3:GetObject"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::aws-application-discovery-service*/*"
        },
        {
            "Action": [
                "logs:CreateLogStream",
                "logs:PutRetentionPolicy"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:logs:*:*:log-group:/aws/application-discovery-service/firehose*"
        },
        {
            "Action": [
                "iam:PassRole"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:role/AWSApplicationDiscoveryServiceFirehose",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "firehose.amazonaws.com"
                }
            }
        },
        {
            "Action": [
                "iam:PassRole"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:role/service-role/AWSApplicationDiscoveryServiceFirehose",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "firehose.amazonaws.com"
                }
            }
        }
    ]        
}

データ探索のアクセス許可の付与

Amazon Athena でデータ探索を使用するには、 AWSDiscoveryContinuousExportFirehosePolicy ポリシーが必要です。これにより、Amazon Data Firehose は Application Discovery Service から Amazon S3 に収集されたデータを書き込むことができます。このポリシーの使用方法については、「 AWSApplicationDiscoveryServiceFirehose ロールの作成」を参照してください。

例 AWSDiscoveryContinuousExportFirehosePolicy


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetTableVersions"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::aws-application-discovery-service-*",
                "arn:aws:s3:::aws-application-discovery-service-*/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:/aws/application-discovery-service/firehose:log-stream:*"
            ]
        }
    ]
}

Migration Hub コンソールのネットワーク図を使用するためのアクセス許可の付与

Application Discovery Service または Migration Hub へのアクセスを許可または拒否するアイデンティティベースのポリシーを作成するときに AWS Migration Hub コンソールネットワーク図へのアクセスを許可するには、ポリシーに discovery:GetNetworkConnectionGraphアクションを追加する必要がある場合があります。

新しいポリシーで discovery:GetNetworkConnectionGraphアクションを使用するか、ポリシーに次の条件が当てはまる場合は古いポリシーを更新する必要があります。

このポリシーは、Application Discovery Service または Migration Hub へのアクセスを許可または拒否します。
このポリシーは、 discovery:action-nameではなく、のようなより具体的な検出アクションを使用してアクセス許可を付与しますdiscovery:*。

次の例は、IAM ポリシーで discovery:GetNetworkConnectionGraphアクションを使用する方法を示しています。

例


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["discovery:GetNetworkConnectionGraph"],
            "Resource": "*"
        }
    ]
}

Migration Hub ネットワーク図の詳細については、「Migration Hub でのネットワーク接続の表示」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS マネージドポリシー

サービスにリンクされたロールの理解と使用