AWS políticas gerenciadas para AWS Application Discovery Service - AWS Application Discovery Service
AWSApplicationDiscoveryServiceFullAccessAWSApplicationDiscoveryAgentlessCollectorAccessAWSApplicationDiscoveryAgentAccessAWSAgentlessDiscoveryServiceApplicationDiscoveryServiceContinuousExportServiceRolePolíticaAWSDiscoveryContinuousExportFirehosePolicyCriando a AWSApplicationDiscoveryServiceFirehose funçãoAtualizações da política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS políticas gerenciadas para AWS Application Discovery Service

Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É necessário tempo e experiência para criar políticas gerenciadas pelo cliente do IAM que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar nossas políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. Para obter mais informações sobre políticas AWS gerenciadas, consulte políticas AWS gerenciadas no Guia do usuário do IAM.

AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos atributos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e perfis) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo atributo for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.

Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política ReadOnlyAccess AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte Políticas gerenciadas pela AWS para perfis de trabalho no Guia do usuário do IAM.

AWS política gerenciada: AWSApplicationDiscoveryServiceFullAccess

A AWSApplicationDiscoveryServiceFullAccess política concede a uma conta de usuário do IAM acesso às APIs do Application Discovery Service e do Migration Hub.

Uma conta de usuário do IAM com essa política anexada pode configurar o Application Discovery Service, iniciar e interromper agentes, iniciar e interromper a descoberta sem agente e consultar dados do banco de dados do AWS Discovery Service. Para obter um exemplo dessa política, consulte Concedendo acesso total ao Application Discovery Service.

AWS política gerenciada: AWSApplicationDiscoveryAgentlessCollectorAccess

A política AWSApplicationDiscoveryAgentlessCollectorAccess gerenciada concede ao Application Discovery Service Agentless Collector (Agentless Collector) acesso para se registrar e se comunicar com o Application Discovery Service e se comunicar com outros serviços. AWS

Essa política deve ser anexada ao usuário do IAM cujas credenciais são usadas para configurar o Agentless Collector.

Detalhes das permissões

Esta política inclui as seguintes permissões.

  • arsenal— Permite que o coletor se registre no aplicativo Application Discovery Service. Isso é necessário para poder enviar os dados coletados de volta para AWS o.

  • ecr-public— Permite que o coletor faça chamadas para o Amazon Elastic Container Registry Public (Amazon ECR Public), onde as atualizações mais recentes são encontradas para o coletor.

  • mgh— Permite que o coletor ligue AWS Migration Hub para recuperar a região inicial da conta usada para configurar o coletor. Isso é necessário para saber para qual região os dados coletados devem ser enviados.

  • sts— Permite que o coletor recupere um token do portador do serviço para que o coletor possa fazer chamadas para o Amazon ECR Public para obter as atualizações mais recentes.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "arsenal:RegisterOnPremisesAgent"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr-public:DescribeImages"
            ],
            "Resource": "arn:aws:ecr-public::446372222237:repository/6e5498e4-8c31-4f57-9991-13b4b992ff7b"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr-public:GetAuthorizationToken"

            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "mgh:GetHomeRegion"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sts:GetServiceBearerToken"
            ],
            "Resource": "*"
        }
    ]
}

AWS política gerenciada: AWSApplicationDiscoveryAgentAccess

A AWSApplicationDiscoveryAgentAccess política concede ao Application Discovery Agent acesso para se registrar e se comunicar com o Application Discovery Service.

Você anexa essa política a qualquer usuário cujas credenciais sejam usadas pelo Application Discovery Agent.

Essa política também concede acesso de usuário ao Arsenal. O Arsenal é um serviço de agente gerenciado e hospedado por AWS. O Arsenal encaminha os dados para o Application Discovery Service na nuvem. Para obter um exemplo dessa política, consulte Concedendo acesso a agentes de descoberta.

AWS política gerenciada: AWSAgentlessDiscoveryService

A AWSAgentlessDiscoveryService política concede ao AWS Agentless Discovery Connector que está sendo executado em seu VMware vCenter Server acesso para registrar, comunicar-se e compartilhar métricas de integridade do conector com o Application Discovery Service.

Anexe essa política a qualquer usuário cujas credenciais devem ser usadas pelo conector.

AWS política gerenciada: ApplicationDiscoveryServiceContinuousExportServiceRole Política

Se sua conta do IAM tiver a AWSApplicationDiscoveryServiceFullAccess política ApplicationDiscoveryServiceContinuousExportServiceRolePolicy anexada, ela será automaticamente vinculada à sua conta quando você ativar a exploração de dados no Amazon Athena.

Essa política permite AWS Application Discovery Service criar streams do Amazon Data Firehose para transformar e entregar dados coletados por AWS Application Discovery Service agentes em um bucket do Amazon S3 em sua conta. AWS

Além disso, essa política cria um AWS Glue Data Catalog com um novo banco de dados chamado application_discovery_service_database e esquemas de tabela para mapear dados coletados pelos agentes. Para obter um exemplo dessa política, consulte Conceder permissões para coleta de dados do agente.

AWS política gerenciada: AWSDiscoveryContinuousExportFirehosePolicy

A AWSDiscoveryContinuousExportFirehosePolicy política é necessária para usar a exploração de dados no Amazon Athena. Ele permite que o Amazon Data Firehose grave dados coletados do Application Discovery Service no Amazon S3. Para obter mais informações sobre como usar essa política, consulte Criando a AWSApplicationDiscoveryServiceFirehose função. Para obter um exemplo dessa política, consulte Concedendo permissões para exploração de dados.

Criando a AWSApplicationDiscoveryServiceFirehose função

Um administrador anexa políticas gerenciadas à sua conta de usuário do IAM. Ao usar a AWSDiscoveryContinuousExportFirehosePolicy política, o administrador deve primeiro criar uma função chamada AWSApplicationDiscoveryServiceFirehoseFirehose como uma entidade confiável e, em seguida, anexar a AWSDiscoveryContinuousExportFirehosePolicy política à função, conforme mostrado no procedimento a seguir.

Para criar o perfil do IAM AWSApplicationDiscoveryServiceFirehose

  1. No console do IAM, escolha Roles no painel de navegação.

  2. Selecione Criar função.

  3. Escolha o Kinesis.

  4. Escolha o Kinesis Firehose como o seu caso de uso.

  5. Escolha Próximo: permissões.

  6. Em Políticas de filtro, pesquise por AWSDiscoveryContinuousExportFirehosePolicy.

  7. Selecione a caixa ao lado AWSDiscoveryContinuousExportFirehosePolicye escolha Avançar: Revisão.

  8. Insira AWSApplicationDiscoveryServiceFirehosecomo nome da função e, em seguida, escolha Criar função.

Atualizações do Application Discovery Service para políticas AWS gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Application Discovery Service desde que esse serviço começou a rastrear essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página Histórico de documentos do AWS Application Discovery Service.

Alteração Descrição Data

AWSApplicationDiscoveryAgentlessCollectorAccess— Nova política disponibilizada com o lançamento do Agentless Collector

O Application Discovery Service adicionou a nova política gerenciada AWSApplicationDiscoveryAgentlessCollectorAccess que concede ao Agentless Collector acesso para se registrar e se comunicar com o Application Discovery Service e se comunicar com outros serviços. AWS

16 de agosto de 2022

O Application Discovery Service começou a rastrear as alterações

O Application Discovery Service começou a monitorar as alterações em suas políticas AWS gerenciadas.

 1º de março de 2021