AWS O Application Discovery Service não está mais aberto a novos clientes. Como alternativa, use AWS Transform o que fornece recursos semelhantes. Para obter mais informações, consulte [Alteração de disponibilidade AWS do Application Discovery Service](https://docs.aws.amazon.com/application-discovery/latest/userguide/application-discovery-service-availability-change.html).
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança em AWS Application Discovery Service
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de um data center e de uma arquitetura de rede criados para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isto como segurança *da* nuvem e segurança *na* nuvem.
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços na AWS nuvem. AWS também fornece serviços que você pode usar com segurança. A eficácia da nossa segurança é regularmente testada e verificada por auditores de terceiros como parte dos [Programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/).
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Também existe a responsabilidade por outros fatores, incluindo a confidencialidade de dados, os requisitos da organização e as leis e regulamentos aplicáveis.
Para usar o AWS Application Discovery Agent ou o Application Discovery Service Agentless Collector, você deve fornecer as chaves de acesso à sua conta. AWS Essas informações são então armazenadas em sua infraestrutura local. Como parte do modelo de responsabilidade compartilhada, você é responsável por proteger o acesso à sua infraestrutura.
Esta documentação ajudará você a entender como aplicar o modelo de responsabilidade compartilhada ao usar o Application Discovery Service. Os tópicos a seguir mostram como configurar o Application Discovery Service para atender aos seus objetivos de segurança e conformidade. Você também aprenderá a usar outros AWS serviços que podem ajudá-lo a monitorar e proteger seus recursos do Application Discovery Service.
**Topics**
+ [Identity and Access Management para AWS Application Discovery Service](security-iam.md)
+ [Registrando chamadas da API Application Discovery Service com AWS CloudTrail](logging-using-cloudtrail.md)
# Identity and Access Management para AWS Application Discovery Service
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) para usar os recursos do Application Discovery Service. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como AWS Application Discovery Service funciona com o IAM](security_iam_service-with-iam.md)
+ [AWS políticas gerenciadas para AWS Application Discovery Service](security-iam-awsmanpol.md)
+ [AWS Application Discovery Service exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md)
+ [Usando funções vinculadas a serviços para o Application Discovery Service](using-service-linked-roles.md)
+ [Solução de problemas AWS Application Discovery Service de identidade e acesso](security_iam_troubleshoot.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas AWS Application Discovery Service de identidade e acesso](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como AWS Application Discovery Service funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [AWS Application Discovery Service exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Listas de controle de acesso (ACLs)
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
O Amazon S3 e o AWS WAF Amazon VPC são exemplos de serviços que oferecem suporte. ACLs Para saber mais ACLs, consulte a [visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) no *Guia do desenvolvedor do Amazon Simple Storage Service*.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como AWS Application Discovery Service funciona com o IAM
Antes de usar o IAM para gerenciar o acesso ao Application Discovery Service, você deve entender quais recursos do IAM estão disponíveis para uso com o Application Discovery Service. Para ter uma visão geral de como o Application Discovery Service e outros AWS serviços funcionam com o IAM, consulte [AWS Services That Work with IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
**Topics**
+ [Políticas baseadas em identidade do Application Discovery Service](#security_iam_service-with-iam-id-based-policies)
+ [Políticas baseadas em recursos do Application Discovery Service](#security_iam_service-with-iam-resource-based-policies)
+ [Autorização baseada em tags do Application Discovery Service](#security_iam_service-with-iam-tags)
+ [Funções do IAM do Application Discovery Service](#security_iam_service-with-iam-roles)
## Políticas baseadas em identidade do Application Discovery Service
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. O Application Discovery Service oferece suporte a ações, recursos e chaves de condição específicos. Para conhecer todos os elementos usados em uma política JSON, consulte [Referência de elementos de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Ações
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
As ações de política no Application Discovery Service usam o seguinte prefixo antes da ação:`discovery:`. As instruções de política devem incluir um elemento `Action` ou `NotAction`. O Application Discovery Service define seu próprio conjunto de ações que descrevem as tarefas que você pode executar com esse serviço.
Para especificar várias ações em uma única instrução, separe-as com vírgulas, como segue:
```
"Action": [
"discovery:action1",
"discovery:action2"
```
Você também pode especificar várias ações usando caracteres curinga (\$1). Por exemplo, para especificar todas as ações que começam com a palavra `Describe`, inclua a seguinte ação:
```
"Action": "discovery:Describe*"
```
Para ver uma lista de ações do Application Discovery Service, consulte [Actions Defined by AWS Application Discovery Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_applicationdiscovery.html#awskeymanagementservice-actions-as-permissions) no *Guia do usuário do IAM*.
### Recursos
O Application Discovery Service não oferece suporte à especificação de recursos ARNs em uma política. Para separar o acesso, crie e use separadamente Contas da AWS.
### Chaves de condição
O Application Discovery Service não fornece nenhuma chave de condição específica do serviço, mas oferece suporte ao uso de algumas chaves de condição globais. Para ver todas as chaves de condição AWS globais, consulte [Chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
### Exemplos
Para ver exemplos de políticas baseadas em identidade do Application Discovery Service, consulte. [AWS Application Discovery Service exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md)
## Políticas baseadas em recursos do Application Discovery Service
O Application Discovery Service não oferece suporte a políticas baseadas em recursos.
## Autorização baseada em tags do Application Discovery Service
O Application Discovery Service não oferece suporte à marcação de recursos nem ao controle de acesso com base em tags.
## Funções do IAM do Application Discovery Service
Uma [função do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) é uma entidade dentro da sua AWS conta que tem permissões específicas.
### Usando credenciais temporárias com o Application Discovery Service
O Application Discovery Service não oferece suporte ao uso de credenciais temporárias.
### Perfis vinculados ao serviço
[As funções vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permitem que AWS os serviços acessem recursos em outros serviços para concluir uma ação em seu nome. Os perfis vinculados a serviço aparecem em sua conta do IAM e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não pode editar as permissões para perfis vinculados a serviço.
O Application Discovery Service oferece suporte a funções vinculadas a serviços. Para obter detalhes sobre como criar ou gerenciar funções vinculadas ao serviço do Application Discovery Service, consulte. [Usando funções vinculadas a serviços para o Application Discovery Service](using-service-linked-roles.md)
### Perfis de serviço
Esse atributo permite que um serviço assuma um [perfil de serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) em seu nome. O perfil permite que o serviço acesse recursos em outros serviços para concluir uma ação em seu nome. Os perfis de serviço aparecem em sua conta do IAM e são de propriedade da conta. Isso significa que um administrador do IAM pode alterar as permissões para esse perfil. Porém, fazer isso pode alterar a funcionalidade do serviço.
O Application Discovery Service oferece suporte a funções de serviço.
# AWS políticas gerenciadas para AWS Application Discovery Service
Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É necessário tempo e experiência para criar [políticas gerenciadas pelo cliente do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar nossas políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. Para obter mais informações sobre políticas AWS gerenciadas, consulte [políticas AWS gerenciadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política **ReadOnlyAccess** AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte [Políticas gerenciadas pela AWS para perfis de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
## AWS política gerenciada: AWSApplication DiscoveryServiceFullAccess
A `AWSApplicationDiscoveryServiceFullAccess` política concede a uma conta de usuário do IAM acesso ao Application Discovery Service e ao Migration Hub APIs.
Uma conta de usuário do IAM com essa política anexada pode configurar o Application Discovery Service, iniciar e interromper agentes, iniciar e interromper a descoberta sem agente e consultar dados do banco de dados do AWS Discovery Service. Para obter um exemplo dessa política, consulte [Concedendo acesso total ao Application Discovery Service](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-fullaccess).
## AWS política gerenciada: AWSApplication DiscoveryAgentlessCollectorAccess
A política `AWSApplicationDiscoveryAgentlessCollectorAccess` gerenciada concede ao Application Discovery Service Agentless Collector (Agentless Collector) acesso para se registrar e se comunicar com o Application Discovery Service e se comunicar com outros serviços. AWS
Essa política deve ser anexada ao usuário do IAM cujas credenciais são usadas para configurar o Agentless Collector.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `arsenal`— Permite que o coletor se registre no aplicativo Application Discovery Service. Isso é necessário para poder enviar os dados coletados de volta para AWS o.
+ `ecr-public`— Permite que o coletor faça chamadas para o Amazon Elastic Container Registry Public (Amazon ECR Public), onde as atualizações mais recentes são encontradas para o coletor.
+ `mgh`— Permite que o coletor ligue AWS Migration Hub para recuperar a região inicial da conta usada para configurar o coletor. Isso é necessário para saber para qual região os dados coletados devem ser enviados.
+ `sts`— Permite que o coletor recupere um token do portador do serviço para que o coletor possa fazer chamadas para o Amazon ECR Public para obter as atualizações mais recentes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arsenal:RegisterOnPremisesAgent"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ecr-public:DescribeImages"
],
"Resource": "arn:aws:ecr-public::446372222237:repository/6e5498e4-8c31-4f57-9991-13b4b992ff7b"
},
{
"Effect": "Allow",
"Action": [
"ecr-public:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"mgh:GetHomeRegion"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"sts:GetServiceBearerToken"
],
"Resource": "*"
}
]
}
```
------
## AWS política gerenciada: AWSApplication DiscoveryAgentAccess
A `AWSApplicationDiscoveryAgentAccess` política concede ao Application Discovery Agent acesso para se registrar e se comunicar com o Application Discovery Service.
Você anexa essa política a qualquer usuário cujas credenciais sejam usadas pelo Application Discovery Agent.
Essa política também concede acesso de usuário ao Arsenal. O Arsenal é um serviço de agente gerenciado e hospedado por AWS. O Arsenal encaminha os dados para o Application Discovery Service na nuvem. Para obter um exemplo dessa política, consulte [Concedendo acesso a agentes de descoberta](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-agentaccess).
## AWS política gerenciada: AWSAgentless DiscoveryService
A `AWSAgentlessDiscoveryService` política concede ao AWS Agentless Discovery Connector que está sendo executado em seu VMware vCenter Server acesso para registrar, comunicar-se e compartilhar métricas de integridade do conector com o Application Discovery Service.
Anexe essa política a qualquer usuário cujas credenciais devem ser usadas pelo conector.
## AWS política gerenciada: ApplicationDiscoveryServiceContinuousExportServiceRolePolicy
Se sua conta do IAM tiver a `AWSApplicationDiscoveryServiceFullAccess` política `ApplicationDiscoveryServiceContinuousExportServiceRolePolicy` anexada, ela será automaticamente vinculada à sua conta quando você ativar a exploração de dados no Amazon Athena.
Essa política permite AWS Application Discovery Service criar streams do Amazon Data Firehose para transformar e entregar dados coletados por AWS Application Discovery Service agentes em um bucket do Amazon S3 em sua conta. AWS
Além disso, essa política cria um AWS Glue Data Catalog com um novo banco de dados chamado *application\$1discovery\$1service\$1database* e esquemas de tabela para mapear dados coletados pelos agentes. Para obter um exemplo dessa política, consulte [Conceder permissões para coleta de dados do agente](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-export-service).
## AWS política gerenciada: AWSDiscovery ContinuousExportFirehosePolicy
A `AWSDiscoveryContinuousExportFirehosePolicy` política é necessária para usar a exploração de dados no Amazon Athena. Ele permite que o Amazon Data Firehose grave dados coletados do Application Discovery Service no Amazon S3. Para obter mais informações sobre como usar essa política, consulte [Criando a AWSApplication DiscoveryServiceFirehose função](#security-iam-awsmanpol-create-firehose-role). Para obter um exemplo dessa política, consulte [Concedendo permissões para exploração de dados](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-export-firehose).
## Criando a AWSApplication DiscoveryServiceFirehose função
Um administrador anexa políticas gerenciadas à sua conta de usuário do IAM. Ao usar a `AWSDiscoveryContinuousExportFirehosePolicy` política, o administrador deve primeiro criar uma função chamada **AWSApplicationDiscoveryServiceFirehose**Firehose como uma entidade confiável e, em seguida, anexar a `AWSDiscoveryContinuousExportFirehosePolicy` política à função, conforme mostrado no procedimento a seguir.
**Para criar o perfil do IAM **AWSApplicationDiscoveryServiceFirehose****
1. No console do IAM, escolha **Roles** no painel de navegação.
1. Selecione **Criar função**.
1. Escolha o **Kinesis**.
1. Escolha o **Kinesis Firehose** como o seu caso de uso.
1. Escolha **Próximo: Permissões**.
1. Em **Políticas de filtro**, pesquise por **AWSDiscoveryContinuousExportFirehosePolicy**.
1. Selecione a caixa ao lado **AWSDiscoveryContinuousExportFirehosePolicy**e escolha **Avançar: Revisão**.
1. Insira **AWSApplicationDiscoveryServiceFirehose** como o nome do perfil e escolha **Criar perfil**.
## Atualizações do Application Discovery Service para políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Application Discovery Service desde que esse serviço começou a rastrear essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página [Histórico do documento para AWS Application Discovery Service](doc-history.md).
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWSApplicationDiscoveryAgentlessCollectorAccess](#security-iam-awsmanpol-AWSApplicationDiscoveryAgentlessCollectorAccess)— Nova política disponibilizada com o lançamento do Agentless Collector | O Application Discovery Service adicionou a nova política gerenciada `AWSApplicationDiscoveryAgentlessCollectorAccess` que concede ao Agentless Collector acesso para se registrar e se comunicar com o Application Discovery Service e se comunicar com outros serviços. AWS | 16 de agosto de 2022 |
| O Application Discovery Service começou a rastrear as alterações | O Application Discovery Service começou a monitorar as alterações em suas políticas AWS gerenciadas. | 1.º de março de 2021 |
# AWS Application Discovery Service exemplos de políticas baseadas em identidade
Por padrão, os usuários e funções do IAM não têm permissão para criar ou modificar recursos do Application Discovery Service. Eles também não podem realizar tarefas usando a AWS API Console de gerenciamento da AWS AWS CLI, ou. Um administrador do IAM deve criar políticas do IAM que concedam aos usuários e perfis permissão para executarem operações de API específicas nos recursos especificados de que precisam. O administrador deve anexar essas políticas aos usuários ou grupos do IAM que exigem essas permissões.
Para saber como criar uma política baseada em identidade do IAM usando esses exemplos de documentos de política JSON, consulte [Criar políticas na guia JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) no *Guia do usuário do IAM*.
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Concedendo acesso total ao Application Discovery Service](#security_iam_id-based-policy-examples-ads-fullaccess)
+ [Concedendo acesso a agentes de descoberta](#security_iam_id-based-policy-examples-ads-agentaccess)
+ [Conceder permissões para coleta de dados do agente](#security_iam_id-based-policy-examples-ads-export-service)
+ [Concedendo permissões para exploração de dados](#security_iam_id-based-policy-examples-ads-export-firehose)
+ [Concedendo permissões para usar o diagrama de rede do console do Migration Hub](#security_iam_id-based-policy-examples-network-connection-graph)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Application Discovery Service em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Concedendo acesso total ao Application Discovery Service
A política AWSApplication DiscoveryServiceFullAccess gerenciada concede à conta de usuário do IAM acesso ao Application Discovery Service e ao Migration Hub APIs.
Um usuário do IAM com essa política anexada à sua conta pode configurar o Application Discovery Service, iniciar e interromper agentes, iniciar e interromper a descoberta sem agente e consultar dados do banco de dados do AWS Discovery Service. Para obter mais informações sobre essa política, consulte [AWS políticas gerenciadas para AWS Application Discovery Service](security-iam-awsmanpol.md).
**Example AWSApplicationDiscoveryServiceFullAccess política**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"mgh:*",
"discovery:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"iam:GetRole"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## Concedendo acesso a agentes de descoberta
A política AWSApplication DiscoveryAgentAccess gerenciada concede ao Application Discovery Agent acesso para se registrar e se comunicar com o Application Discovery Service. Para obter mais informações sobre essa política, consulte [AWS políticas gerenciadas para AWS Application Discovery Service](security-iam-awsmanpol.md).
Anexe essa política a qualquer usuário cujas credenciais sejam usadas pelo Application Discovery Agent.
Essa política também concede acesso de usuário ao Arsenal. O Arsenal é um serviço de agente gerenciado e hospedado por AWS. O Arsenal encaminha os dados para o Application Discovery Service na nuvem.
**Example AWSApplicationDiscoveryAgentAccess Política**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arsenal:RegisterOnPremisesAgent"
],
"Resource": "*"
}
]
}
```
## Conceder permissões para coleta de dados do agente
A política ApplicationDiscoveryServiceContinuousExportServiceRolePolicy gerenciada permite AWS Application Discovery Service criar fluxos do Amazon Data Firehose para transformar e entregar dados coletados pelos agentes do Application Discovery Service para um bucket do Amazon S3 em sua conta. AWS
Além disso, essa política cria um catálogo de AWS Glue dados com um novo banco de dados chamado `application_discovery_service_database` e esquemas de tabela para mapear dados coletados pelos agentes.
Para obter mais informações sobre como usar essa política, consulte [AWS políticas gerenciadas para AWS Application Discovery Service](security-iam-awsmanpol.md).
**Example ApplicationDiscoveryServiceContinuousExportServiceRolePolicy**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"glue:CreateDatabase",
"glue:UpdateDatabase",
"glue:CreateTable",
"glue:UpdateTable",
"firehose:CreateDeliveryStream",
"firehose:DescribeDeliveryStream",
"logs:CreateLogGroup"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"firehose:DeleteDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch",
"firehose:UpdateDestination"
],
"Effect": "Allow",
"Resource": "arn:aws:firehose:*:*:deliverystream/aws-application-discovery-service*"
},
{
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:PutBucketLogging",
"s3:PutEncryptionConfiguration"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::aws-application-discovery-service*"
},
{
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::aws-application-discovery-service*/*"
},
{
"Action": [
"logs:CreateLogStream",
"logs:PutRetentionPolicy"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:*:*:log-group:/aws/application-discovery-service/firehose*"
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/AWSApplicationDiscoveryServiceFirehose",
"Condition": {
"StringLike": {
"iam:PassedToService": "firehose.amazonaws.com"
}
}
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/service-role/AWSApplicationDiscoveryServiceFirehose",
"Condition": {
"StringLike": {
"iam:PassedToService": "firehose.amazonaws.com"
}
}
}
]
}
```
## Concedendo permissões para exploração de dados
A AWSDiscovery ContinuousExportFirehosePolicy política é necessária para usar a exploração de dados no Amazon Athena. Ele permite que o Amazon Data Firehose grave dados coletados do Application Discovery Service no Amazon S3. Para obter mais informações sobre como usar essa política, consulte [Criando a AWSApplication DiscoveryServiceFirehose função](security-iam-awsmanpol.md#security-iam-awsmanpol-create-firehose-role).
**Example AWSDiscoveryContinuousExportFirehosePolicy**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:GetTableVersions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-application-discovery-service-*",
"arn:aws:s3:::aws-application-discovery-service-*/*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/application-discovery-service/firehose:log-stream:*"
]
}
]
}
```
## Concedendo permissões para usar o diagrama de rede do console do Migration Hub
Para conceder acesso ao diagrama de rede do AWS Migration Hub console ao criar uma política baseada em identidade que permite ou nega acesso ao Application Discovery Service ou ao Migration Hub, talvez seja necessário adicionar a `discovery:GetNetworkConnectionGraph` ação à política.
Você deve usar a `discovery:GetNetworkConnectionGraph` ação em novas políticas ou atualizar políticas antigas se o seguinte for verdadeiro para a política:
+ A política permite ou nega acesso ao Application Discovery Service ou ao Migration Hub.
+ A política concede permissões de acesso usando mais uma ação de descoberta específica, como `discovery:action-name` em vez de`discovery:*`.
O exemplo a seguir mostra como usar a `discovery:GetNetworkConnectionGraph` ação em uma política do IAM.
**Example**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["discovery:GetNetworkConnectionGraph"],
"Resource": "*"
}
]
}
```
Para obter informações sobre o diagrama de rede do Migration Hub, consulte [Visualizando conexões de rede no Migration Hub](https://docs.aws.amazon.com/migrationhub/latest/ug/network-diagram.html).
# Usando funções vinculadas a serviços para o Application Discovery Service
AWS Application Discovery Service usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao Application Discovery Service. As funções vinculadas ao serviço são predefinidas pelo Application Discovery Service e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração do Application Discovery Service porque você não precisa adicionar manualmente as permissões necessárias. O Application Discovery Service define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, somente o Application Discovery Service pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus recursos do Application Discovery Service porque você não pode remover inadvertidamente a permissão para acessar os recursos.
**Topics**
+ [Permissões de função vinculadas ao serviço para o Application Discovery Service](service-linked-role-permissions.md)
+ [Criação de uma função vinculada ao serviço para o Application Discovery Service](create-service-linked-role.md)
+ [Excluindo uma função vinculada ao serviço para o Application Discovery Service](delete-service-linked-role.md)
Para obter informações sobre outros serviços compatíveis com perfis vinculados a serviços, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que contenham **Sim** na coluna **Service-Linked Role**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.
# Permissões de função vinculadas ao serviço para o Application Discovery Service
O Application Discovery Service usa a função vinculada ao serviço chamada **AWSServiceRoleForApplicationDiscoveryServiceContinuousExport**— Permite o acesso aos AWS serviços e recursos usados ou gerenciados por. AWS Application Discovery Service
A função AWSService RoleForApplicationDiscoveryServiceContinuousExport vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `continuousexport.discovery.amazonaws.com`
A política de permissões de função permite que o Application Discovery Service conclua as seguintes ações:
glue
`CreateDatabase`
`UpdateDatabase`
`CreateTable`
`UpdateTable`
firehose
`CreateDeliveryStream`
`DeleteDeliveryStream`
`DescribeDeliveryStream`
`PutRecord`
`PutRecordBatch`
`UpdateDestination`
s3
`CreateBucket`
`ListBucket`
`GetObject`
logs
`CreateLogGroup`
`CreateLogStream`
`PutRetentionPolicy`
iam
`PassRole`
Esta é a política completa que mostra a quais recursos as ações acima se aplicam:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"glue:CreateDatabase",
"glue:UpdateDatabase",
"glue:CreateTable",
"glue:UpdateTable",
"firehose:CreateDeliveryStream",
"firehose:DescribeDeliveryStream",
"logs:CreateLogGroup"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"firehose:DeleteDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch",
"firehose:UpdateDestination"
],
"Effect": "Allow",
"Resource": "arn:aws:firehose:*:*:deliverystream/aws-application-discovery-service*"
},
{
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:PutBucketLogging",
"s3:PutEncryptionConfiguration"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::aws-application-discovery-service*"
},
{
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::aws-application-discovery-service*/*"
},
{
"Action": [
"logs:CreateLogStream",
"logs:PutRetentionPolicy"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:*:*:log-group:/aws/application-discovery-service/firehose*"
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/AWSApplicationDiscoveryServiceFirehose",
"Condition": {
"StringLike": {
"iam:PassedToService": "firehose.amazonaws.com"
}
}
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/service-role/AWSApplicationDiscoveryServiceFirehose",
"Condition": {
"StringLike": {
"iam:PassedToService": "firehose.amazonaws.com"
}
}
}
]
}
```
------
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para saber mais, consulte [Permissões de Função Vinculadas ao Serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do Usuário do IAM*.
# Criação de uma função vinculada ao serviço para o Application Discovery Service
Não é necessário criar manualmente um perfil vinculado ao serviço. A função AWSService RoleForApplicationDiscoveryServiceContinuousExport vinculada ao serviço é criada automaticamente quando a Exportação Contínua é ativada implicitamente por a) opções de confirmação na caixa de diálogo apresentada na página Coletores de Dados após você escolher “Iniciar coleta de dados” ou clicar no controle deslizante denominado “Exploração de dados no Athena” ou b) ao chamar a API usando a CLI. StartContinuousExport AWS
**Importante**
Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Para saber mais, consulte [Uma nova função apareceu na minha conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
## Criando a função vinculada ao serviço a partir do console do Migration Hub
Você pode usar o console do Migration Hub para criar a função AWSService RoleForApplicationDiscoveryServiceContinuousExport vinculada ao serviço.
**Como criar a função vinculada ao serviço (console)**
1. No painel de navegação, selecione **Data Collectors (Coletores de dados)**.
1. Clique na guia **Agents (Agentes)**.
1. Alterne o controle deslizante **Exploração de dados no Athena** para a posição Ativado.
1. Na caixa de diálogo gerada a partir da etapa anterior, clique na caixa de seleção para concordar com os custos associados e selecione **Continue (Continuar)** ou **Enable (Habilitar)**.
## Criando a função vinculada ao serviço a partir do AWS CLI
Você pode usar os comandos do Application Discovery Service do AWS Command Line Interface para criar a função AWSService RoleForApplicationDiscoveryServiceContinuousExport vinculada ao serviço.
Essa função vinculada ao serviço é criada automaticamente quando você inicia a Exportação Contínua a partir do AWS CLI (a primeira AWS CLI deve ser instalada em seu ambiente).
**Para criar a função vinculada ao serviço (CLI) iniciando a Exportação Contínua a partir do AWS CLI**
1. Instale o AWS CLI para seu sistema operacional (Linux, macOS ou Windows). Consulte o [Guia AWS Command Line Interface do usuário](https://docs.aws.amazon.com/cli/latest/userguide/) para obter instruções.
1. Abra o prompt de comando (Windows) ou o Terminal (macOS/Linux).
1. Digite `aws configure` e pressione Enter.
1. Insira o ID da chave de AWS acesso e a chave de acesso AWS secreta.
1. Digite `us-west-2` no Default Region Name (Nome padrão da região).
1. Digite `text` no Default Output Format (Formato padrão de saída).
1. Digite o seguinte comando:
```
aws discovery start-continuous-export
```
Você também pode usar o console do IAM para criar uma função vinculada ao serviço com o caso de uso do **Discovery Service - Continuous Export**. Na CLI ou na API do IAM, crie uma função vinculada ao serviço com o nome de serviço `continuousexport.discovery.amazonaws.com`. Para obter mais informações, consulte [Criar uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.
# Excluindo uma função vinculada ao serviço para o Application Discovery Service
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar suo perfil vinculado ao serviço para excluí-la manualmente.
## Limpar a função vinculada ao serviço
Antes de usar o IAM para excluir um perfil vinculado ao serviço, você deverá excluir qualquer recurso usado pelo perfil.
**nota**
Se o Application Discovery Service estiver usando a função ao tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Para excluir os recursos do Application Discovery Service usados pela função AWSService RoleForApplicationDiscoveryServiceContinuousExport vinculada ao serviço do Console do Migration Hub**
1. No painel de navegação, selecione **Data Collectors (Coletores de dados)**.
1. Clique na guia **Agents (Agentes)**.
1. Alterne o controle deslizante **Exploração de dados no Athena** para a posição Desligado.
**Para excluir os recursos do Application Discovery Service usados pela função AWSService RoleForApplicationDiscoveryServiceContinuousExport vinculada ao serviço do AWS CLI**
1. Instale o AWS CLI para seu sistema operacional (Linux, macOS ou Windows). Consulte o [Guia AWS Command Line Interface do usuário](https://docs.aws.amazon.com/cli/latest/userguide/) para obter instruções.
1. Abra o prompt de comando (Windows) ou o Terminal (macOS/Linux).
1. Digite `aws configure` e pressione Enter.
1. Insira o ID da chave de AWS acesso e a chave de acesso AWS secreta.
1. Digite `us-west-2` no Default Region Name (Nome padrão da região).
1. Digite `text` no Default Output Format (Formato padrão de saída).
1. Digite o seguinte comando:
```
aws discovery stop-continuous-export --export-id
```
1. Se você não souber o ID de exportação da exportação contínua que deseja interromper, insira o seguinte comando para ver o ID de exportação:
```
aws discovery describe-continuous-exports
```
1. Insira o comando a seguir para garantir que a exportação contínua tenha sido interrompida, verificando se o status de retorno é “INATIVO”:
```
aws discovery describe-continuous-export
```
## Excluir manualmente o perfil vinculado ao serviço
Você pode excluir a função AWSService RoleForApplicationDiscoveryServiceContinuousExport vinculada ao serviço usando o console do IAM, a CLI do IAM ou a API do IAM. Se você não precisar mais usar os recursos do Discovery Service - Continuous Export que exigem essa função vinculada ao serviço, recomendamos que você exclua essa função. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
**nota**
Primeiramente, limpe sua função vinculada ao serviço antes de excluí-la. Consulte [Limpar a função vinculada ao serviço](#service-linked-role-review-before-delete).
# Solução de problemas AWS Application Discovery Service de identidade e acesso
Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com o Application Discovery Service e o IAM.
**Topics**
+ [Não estou autorizado a realizar o meu pedido: PassRole](#security_iam_troubleshoot-passrole)
## Não estou autorizado a realizar o meu pedido: PassRole
Se você receber um erro informando que não está autorizado a realizar a `iam:PassRole` ação, suas políticas devem ser atualizadas para permitir que você passe uma função para o Application Discovery Service.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O exemplo de erro a seguir ocorre quando um usuário do IAM chamado `marymajor` tenta usar o console para realizar uma ação no Application Discovery Service. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
# Registrando chamadas da API Application Discovery Service com AWS CloudTrail
AWS Application Discovery Service é integrado com AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou AWS serviço no Application Discovery Service. Você pode usar CloudTrail para registrar, monitorar continuamente e reter a atividade da conta para fins de solução de problemas e auditoria. CloudTrail fornece um histórico de eventos da atividade da sua AWS conta, incluindo ações realizadas por meio do AWS Management Console e ferramentas de linha de comando. AWS SDKs
CloudTrail captura todas as chamadas de API para o Application Discovery Service como eventos. As chamadas capturadas incluem chamadas do console do Application Discovery Service e chamadas de código para as operações da API do Application Discovery Service.
Se você criar uma trilha, poderá habilitar a entrega contínua de CloudTrail eventos para um bucket do Amazon S3, incluindo eventos para o Application Discovery Service. Se você não configurar uma trilha, ainda poderá ver os eventos mais recentes no CloudTrail console no **Histórico de eventos**. Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita ao Application Discovery Service, o endereço IP do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais.
Para saber mais sobre isso CloudTrail, consulte o [Guia AWS CloudTrail do usuário](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## Informações do Application Discovery Service em CloudTrail
CloudTrail é ativado em sua AWS conta quando você cria a conta. Quando a atividade ocorre no Application Discovery Service, essa atividade é registrada em um CloudTrail evento junto com outros eventos AWS de serviço no **histórico de eventos**. Você pode visualizar, pesquisar e baixar eventos recentes em sua AWS conta. Para obter mais informações, consulte [Visualização de eventos com histórico de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Para um registro contínuo dos eventos em sua AWS conta, incluindo eventos do Application Discovery Service, crie uma trilha. Uma *trilha* permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Por padrão, quando você cria uma trilha no console, a trilha se aplica a todas as AWS regiões. A trilha registra eventos de todas as regiões na AWS partição e entrega os arquivos de log ao bucket do Amazon S3 que você especificar. Além disso, você pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros. Para saber mais, consulte:
+ [Visão Geral para Criar uma Trilha](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Serviços e integrações compatíveis](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configurando notificações do Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Recebendo arquivos de CloudTrail log de várias regiões](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [recebendo arquivos de CloudTrail log de várias contas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Todas as ações do Application Discovery Service são registradas CloudTrail e documentadas na [Referência da API do Application Discovery Service](https://docs.aws.amazon.com/application-discovery/latest/APIReference/). Por exemplo, chamadas para as `GetDiscoverySummary` ações `CreateTags``DescribeTags`, e geram entradas nos arquivos de CloudTrail log.
Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar o seguinte:
+ Se a solicitação foi feita com credenciais de usuário root ou AWS Identity and Access Management (IAM).
+ Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado.
+ Se a solicitação foi feita por outro AWS serviço.
Para obter mais informações, consulte [Elemento userIdentity do CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Compreendendo as entradas do arquivo de log do Application Discovery Service
Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log para um bucket do Amazon S3 que você especificar. CloudTrail os arquivos de log contêm uma ou mais entradas de log. Um evento representa uma única solicitação de qualquer fonte e inclui informações sobre a ação solicitada, a data e a hora da ação, os parâmetros da solicitação e assim por diante. CloudTrail os arquivos de log não são um rastreamento de pilha ordenado das chamadas públicas de API, portanto, eles não aparecem em nenhuma ordem específica.
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a `DescribeTags` ação.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAJBHMC4H6EKEXAMPLE:sample-user",
"arn": "arn:aws:sts::444455556666:assumed-role/ReadOnly/sample-user",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDAJQABLZS4A3QDU576Q",
"arn": "arn:aws:iam::444455556666:role/ReadOnly",
"accountId": "444455556666",
"userName": "sampleAdmin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2020-05-05T15:19:03Z"
}
}
},
"eventTime": "2020-05-05T17:02:40Z",
"eventSource": "discovery.amazonaws.com",
"eventName": "DescribeTags",
"awsRegion": "us-west-2",
"sourceIPAddress": "20.22.33.44",
"userAgent": "Coral/Netty4",
"requestParameters": {
"maxResults": 0,
"filters": [
{
"values": [
"d-server-0315rfdjreyqsq"
],
"name": "configurationId"
}
]
},
"responseElements": null,
"requestID": "mgh-console-eb1cf315-e2b4-4696-93e5-b3a3b9346b4b",
"eventID": "7b32b778-91c9-4c75-9cb0-6c852791b2eb",
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```