AWS políticas gerenciadas para AWS Application Discovery Service - AWS Application Discovery Service
AWSApplicationDiscoveryServiceFullAccessAWSApplicationDiscoveryAgentlessCollectorAccessAWSApplicationDiscoveryAgentAccessAWSAgentlessDiscoveryServiceApplicationDiscoveryServiceContinuousExportServiceRolePolicyAWSDiscoveryContinuousExportFirehosePolicyCriando a AWSApplicationDiscoveryServiceFirehose funçãoAtualizações da política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS políticas gerenciadas para AWS Application Discovery Service

Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É preciso tempo e experiência para criar políticas gerenciadas pelo IAM cliente que forneçam à sua equipe somente as permissões necessárias. Para começar rapidamente, você pode usar nossas políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. Para obter mais informações sobre políticas AWS gerenciadas, consulte políticas AWS gerenciadas no Guia IAM do usuário.

AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.

Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política ReadOnlyAccess AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de funções de trabalho, consulte políticas AWS gerenciadas para funções de trabalho no Guia IAM do usuário.

AWS política gerenciada: AWSApplicationDiscoveryServiceFullAccess

A AWSApplicationDiscoveryServiceFullAccess política concede a uma conta de IAM usuário acesso ao Application Discovery Service e ao Migration HubAPIs.

Uma conta de IAM usuário com essa política anexada pode configurar o Application Discovery Service, iniciar e interromper agentes, iniciar e interromper a descoberta sem agente e consultar dados do banco de dados do AWS Discovery Service. Para obter um exemplo dessa política, consulte Concedendo acesso total ao Application Discovery Service.

AWS política gerenciada: AWSApplicationDiscoveryAgentlessCollectorAccess

A política AWSApplicationDiscoveryAgentlessCollectorAccess gerenciada concede ao Application Discovery Service Agentless Collector (Agentless Collector) acesso para se registrar e se comunicar com o Application Discovery Service e se comunicar com outros serviços. AWS

Essa política deve ser anexada ao IAM usuário cujas credenciais são usadas para configurar o Agentless Collector.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • arsenal— Permite que o coletor se registre no aplicativo Application Discovery Service. Isso é necessário para poder enviar os dados coletados de volta para AWS o.

  • ecr-public— Permite que o coletor faça chamadas para o Amazon Elastic Container Registry Public (Amazon ECR Public), onde as atualizações mais recentes são encontradas para o coletor.

  • mgh— Permite que o coletor ligue AWS Migration Hub para recuperar a região inicial da conta usada para configurar o coletor. Isso é necessário para saber para qual região os dados coletados devem ser enviados.

  • sts— Permite que o coletor recupere um token do portador do serviço para que o coletor possa fazer chamadas para a Amazon ECR Public para obter as atualizações mais recentes.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "arsenal:RegisterOnPremisesAgent"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr-public:DescribeImages"
            ],
            "Resource": "arn:aws:ecr-public::446372222237:repository/6e5498e4-8c31-4f57-9991-13b4b992ff7b"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr-public:GetAuthorizationToken"

            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "mgh:GetHomeRegion"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sts:GetServiceBearerToken"
            ],
            "Resource": "*"
        }
    ]
}

AWS política gerenciada: AWSApplicationDiscoveryAgentAccess

A AWSApplicationDiscoveryAgentAccess política concede ao Application Discovery Agent acesso para se registrar e se comunicar com o Application Discovery Service.

Você anexa essa política a qualquer usuário cujas credenciais sejam usadas pelo Application Discovery Agent.

Essa política também concede acesso de usuário ao Arsenal. O Arsenal é um serviço de agente gerenciado e hospedado por AWS. O Arsenal encaminha os dados para o Application Discovery Service na nuvem. Para obter um exemplo dessa política, consulte Concedendo acesso a agentes de descoberta.

AWS política gerenciada: AWSAgentlessDiscoveryService

A AWSAgentlessDiscoveryService política concede ao AWS Agentless Discovery Connector que está sendo executado em seu VMware vCenter servidor acesso para registrar, comunicar-se e compartilhar métricas de integridade do conector com o Application Discovery Service.

Anexe essa política a qualquer usuário cujas credenciais devem ser usadas pelo conector.

AWS política gerenciada: ApplicationDiscoveryServiceContinuousExportServiceRolePolicy

Se sua IAM conta tiver a AWSApplicationDiscoveryServiceFullAccess política anexada, ela ApplicationDiscoveryServiceContinuousExportServiceRolePolicy será automaticamente vinculada à sua conta quando você ativar a exploração de dados no Amazon Athena.

Essa política permite AWS Application Discovery Service criar streams do Amazon Data Firehose para transformar e entregar dados coletados por AWS Application Discovery Service agentes em um bucket do Amazon S3 em sua conta. AWS

Além disso, essa política cria um AWS Glue Data Catalog com um novo banco de dados chamado application_discovery_service_database e esquemas de tabela para mapear dados coletados pelos agentes. Para obter um exemplo dessa política, consulte Conceder permissões para coleta de dados do agente.

AWS política gerenciada: AWSDiscoveryContinuousExportFirehosePolicy

A AWSDiscoveryContinuousExportFirehosePolicy política é necessária para usar a exploração de dados no Amazon Athena. Ele permite que o Amazon Data Firehose grave dados coletados do Application Discovery Service no Amazon S3. Para obter mais informações sobre como usar essa política, consulte Criando a AWSApplicationDiscoveryServiceFirehose função. Para obter um exemplo dessa política, consulte Concedendo permissões para exploração de dados.

Criando a AWSApplicationDiscoveryServiceFirehose função

Um administrador anexa políticas gerenciadas à sua conta de IAM usuário. Ao usar a AWSDiscoveryContinuousExportFirehosePolicy política, o administrador deve primeiro criar uma função chamada AWSApplicationDiscoveryServiceFirehoseFirehose como uma entidade confiável e, em seguida, anexar a AWSDiscoveryContinuousExportFirehosePolicy política à função, conforme mostrado no procedimento a seguir.

Para criar a AWSApplicationDiscoveryServiceFirehoseIAMfunção

  1. No IAM console, escolha Funções no painel de navegação.

  2. Selecione Criar perfil.

  3. Escolha o Kinesis.

  4. Escolha o Kinesis Firehose como o seu caso de uso.

  5. Selecione Next: Permissions (Próximo: permissões).

  6. Em Políticas de filtro, pesquise por AWSDiscoveryContinuousExportFirehosePolicy.

  7. Selecione a caixa ao lado AWSDiscoveryContinuousExportFirehosePolicye escolha Avançar: Revisão.

  8. Insira AWSApplicationDiscoveryServiceFirehosecomo nome da função e escolha Criar função.

Atualizações do Application Discovery Service para políticas AWS gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Application Discovery Service desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o RSS feed na Histórico de documentos do AWS Application Discovery Service página.

Alteração Descrição Data

AWSApplicationDiscoveryAgentlessCollectorAccess— Nova política disponibilizada com o lançamento do Agentless Collector

O Application Discovery Service adicionou a nova política gerenciada AWSApplicationDiscoveryAgentlessCollectorAccess que concede ao Agentless Collector acesso para se registrar e se comunicar com o Application Discovery Service e se comunicar com outros serviços. AWS

16 de agosto de 2022

O Application Discovery Service começou a rastrear as alterações

O Application Discovery Service começou a monitorar as alterações em suas políticas AWS gerenciadas.

 1º de março de 2021