AWS Migration Hub Refactor Spaces はプレビューリリースであり、変更される可能性があります。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWSAWS Migration Hub のリファクタリングスペースの管理ポリシー
ユーザー、グループ、ロールにアクセス権限を追加するには、自分でポリシーを作成するよりも、AWS 管理ポリシーを使用する方が簡単です。チームに必要な許可のみを提供する IAM カスタマーマネージドポリシーを作成するには、時間と専門知識が必要です。すぐに使用を開始するために、AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースを対象範囲に含めており、AWS アカウント で利用できます。AWS マネージドポリシーの詳細については、IAM ユーザーガイドの「AWS マネージドポリシー」を参照してください。
AWS サービスは、AWS マネージドポリシーを維持および更新します。AWS マネージドポリシーのアクセス許可を変更することはできません。サービスでは、新しい機能を利用できるようにするために、AWSマネージドポリシーにアクセス許可が追加されることがあります。このタイプの更新は、ポリシーが添付されているすべてのアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスがAWS マネージドポリシーを更新する可能性が最も高くなります。サービスは、AWS マネージドポリシーからの許可を削除しないため、ポリシーの更新によって既存の許可が破棄されることはありません。
AWS管理ポリシー: AWSMigration HubreFactorSpaceフルアクセス
AWSMigrationHubRefactorSpacesFullAccess ポリシーは IAM アイデンティティにアタッチできます。
-AWSMigrationHubRefactorSpacesFullAccessポリシーは、AWS Migration Hub のリファクタリングスペース、リファクタリングスペースコンソール機能、およびその他の関連機能へのフルアクセスを許可します。AWSのサービス。
アクセス権限の詳細
-AWSMigrationHubRefactorSpacesFullAccessポリシーには以下のアクセス権限が含まれています。
-
refactor-spaces— IAM ユーザーアカウントに、リファクタリングスペースへのフルアクセスを許可します。 -
ec2— IAM ユーザーアカウントが、スペースをリファクタリングで使用する Amazon Elastic Compute Cloud (Amazon EC2) オペレーションを実行できるようにします。 -
elasticloadbalancing— IAM ユーザーアカウントが、スペースのリファクタリングで使用される Elastic Load Balancing オペレーションを実行できるようにします。 -
apigateway— IAM ユーザーアカウントが、リファクタリングスペースで使用される Amazon API Gateway オペレーションを実行できるようにします。 -
organizations— IAM ユーザーアカウントが次のことを許可します。AWS Organizationsリファクタリングスペースで使用される操作。 -
cloudformation— IAM ユーザーアカウントでの実行を許可します。AWS CloudFormationコンソールからワンクリックのサンプル環境を作成する操作。 -
iam— IAM ユーザーアカウントに対してサービスにリンクされたロールを作成できるようにします。これは、リファクタリングスペースを使用するための要件です。
リファクタリングスペースに必要な追加権限
リファクタリングスペースを使用する前に、AWSMigrationHubRefactorSpacesFullAccessRefactor Spaces が提供する管理ポリシーの場合、以下の追加の必要なアクセス権限を、アカウント内の IAM ユーザー、グループ、またはロールに割り当てる必要があります。
-
サービスにリンクされたロールを作成するアクセス許可を付与しますAWS Transit Gateway。
-
すべてのリソースの呼び出し元アカウントのトランジットゲートウェイに仮想プライベートクラウド (VPC) をアタッチする権限を付与します。
-
すべてのリソースに対する VPC エンドポイントサービスのアクセス許可を変更するアクセス許可を付与します。
-
すべてのリソースの呼び出し元アカウントのタグ付きリソースまたは以前にタグ付けされたリソースを返す権限を付与します。
-
すべてを実行するアクセス許可を付与しますAWS Resource Access Manager(AWS RAM) すべてのリソースに対する呼び出し側アカウントのアクション。
-
すべてを実行するアクセス許可を付与しますAWS Lambdaすべてのリソースに対する呼び出しアカウントのアクション。
IAM ユーザー、グループ、またはロールにインラインポリシーを追加することで、これらの追加のアクセス権限を取得できます。ただし、インラインポリシーを使用する代わりに、次のポリシー JSON を使用して IAM ポリシーを作成し、IAM ユーザー、グループ、またはロールにアタッチできます。
次のポリシーは、リファクタリングスペースを使用するために必要な追加の権限を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "transitgateway.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayVpcAttachment" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpointServicePermissions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ram:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "lambda:*" ], "Resource": "*" } ] }
以下のようになりますAWSMigrationHubRefactorSpacesFullAccessポリシー。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RefactorSpaces", "Effect": "Allow", "Action": [ "refactor-spaces:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcEndpointServiceConfigurations", "ec2:DescribeVpcs", "ec2:DescribeTransitGatewayVpcAttachments", "ec2:DescribeTransitGateways", "ec2:DescribeTags", "ec2:DescribeTransitGateways", "ec2:DescribeAccountAttributes", "ec2:DescribeInternetGateways" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGateway", "ec2:CreateSecurityGroup", "ec2:CreateTransitGatewayVpcAttachment" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/refactor-spaces:environment-id": "false" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGateway", "ec2:CreateSecurityGroup", "ec2:CreateTransitGatewayVpcAttachment" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/refactor-spaces:environment-id": "false" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpointServiceConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DeleteTransitGateway", "ec2:AuthorizeSecurityGroupIngress", "ec2:RevokeSecurityGroupIngress", "ec2:DeleteSecurityGroup", "ec2:DeleteTransitGatewayVpcAttachment", "ec2:CreateRoute", "ec2:DeleteRoute", "ec2:DeleteTags" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/refactor-spaces:environment-id": "false" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:DeleteVpcEndpointServiceConfigurations", "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/refactor-spaces:application-id": "false" } } }, { "Effect": "Allow", "Action": [ "elasticloadbalancing:CreateLoadBalancer" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/refactor-spaces:application-id": "false" } } }, { "Effect": "Allow", "Action": [ "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTags", "elasticloadbalancing:DescribeTargetHealth", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeListeners" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "elasticloadbalancing:RegisterTargets", "elasticloadbalancing:CreateLoadBalancerListeners", "elasticloadbalancing:CreateListener", "elasticloadbalancing:DeleteListener", "elasticloadbalancing:DeleteTargetGroup" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/refactor-spaces:route-id": [ "*" ] } } }, { "Effect": "Allow", "Action": "elasticloadbalancing:DeleteLoadBalancer", "Resource": "arn:*:elasticloadbalancing:*:*:loadbalancer/net/refactor-spaces-nlb-*" }, { "Effect": "Allow", "Action": [ "elasticloadbalancing:AddTags", "elasticloadbalancing:CreateListener" ], "Resource": "arn:*:elasticloadbalancing:*:*:loadbalancer/net/refactor-spaces-nlb-*", "Condition": { "Null": { "aws:RequestTag/refactor-spaces:route-id": "false" } } }, { "Effect": "Allow", "Action": "elasticloadbalancing:DeleteListener", "Resource": "arn:*:elasticloadbalancing:*:*:listener/net/refactor-spaces-nlb-*" }, { "Effect": "Allow", "Action": [ "elasticloadbalancing:DeleteTargetGroup", "elasticloadbalancing:RegisterTargets" ], "Resource": "arn:*:elasticloadbalancing:*:*:targetgroup/refactor-spaces-tg-*" }, { "Effect": "Allow", "Action": [ "elasticloadbalancing:AddTags", "elasticloadbalancing:CreateTargetGroup" ], "Resource": "arn:*:elasticloadbalancing:*:*:targetgroup/refactor-spaces-tg-*", "Condition": { "Null": { "aws:RequestTag/refactor-spaces:route-id": "false" } } }, { "Effect": "Allow", "Action": [ "apigateway:GET", "apigateway:DELETE", "apigateway:PATCH", "apigateway:POST", "apigateway:PUT", "apigateway:UpdateRestApiPolicy" ], "Resource": [ "arn:aws:apigateway:*::/restapis", "arn:aws:apigateway:*::/restapis/*", "arn:aws:apigateway:*::/vpclinks", "arn:aws:apigateway:*::/vpclinks/*", "arn:aws:apigateway:*::/tags", "arn:aws:apigateway:*::/tags/*" ], "Condition": { "Null": { "aws:ResourceTag/refactor-spaces:application-id": "false" } } }, { "Effect": "Allow", "Action": "apigateway:GET", "Resource": [ "arn:aws:apigateway:*::/vpclinks", "arn:aws:apigateway:*::/vpclinks/*" ] }, { "Effect": "Allow", "Action": [ "organizations:DescribeOrganization" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudformation:CreateStack" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "refactor-spaces.amazonaws.com" } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "elasticloadbalancing.amazonaws.com" } } } ] }
スペースのリファクタリングが更新されるAWSマネージドポリシー
の更新に関する詳細を表示します。AWSリファクタリングスペースの管理ポリシーは、このサービスがこれらの変更の追跡を開始した以降の分についてです。このページの変更に関する自動アラートについては、リファクタリングスペースのドキュメント履歴ページにある RSS フィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
|---|---|---|
|
AWSMigration HubreFactorSpaceフルアクセス— 発売時に新しいポリシーが利用可能になりました |
- |
2021 年 11 月 29 日 |
|
移行 HubreFactorSpaces サービスロールポリシー— 発売時に新しいポリシーが利用可能になりました |
|
2021 年 11 月 29 日 |
|
スペースの変更の追跡を開始しました |
リファクタリングスペースの変更の追跡を開始しましたAWS管理ポリシー。 |
2021 年 11 月 29 日 |
