As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Ações, recursos e chaves de condição do AWS Application Migration Service
AWS O Application Migration Service (prefixo do serviço:mgn) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso nas políticas de permissão do IAM.
Referências:
-
Saiba como configurar este serviço.
-
Visualize uma lista das operações de API disponíveis para este serviço.
-
Saiba como proteger este serviço e seus recursos usando políticas de permissão do IAM.
Tópicos
Ações definidas pelo AWS Application Migration Service
Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.
A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma instrução com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o elemento Resource em uma política do IAM, deverá incluir um ARN ou padrão para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.
A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.
nota
As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.
Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.
| Ações | Descrição | Nível de acesso | Tipos de recursos (*necessários) | Chaves de condição | Ações dependentes |
|---|---|---|---|---|---|
| ArchiveApplication | Concede permissão para arquivar uma aplicação | Escrever | |||
| ArchiveWave | Concede permissão para arquivar uma onda | Escrever | |||
| AssociateApplications | Concede permissão para associar aplicações a uma onda | Escrever | |||
| AssociateSourceServers | Concede permissão para associar servidores de origem a uma aplicação | Escrever | |||
| BatchCreateVolumeSnapshotGroupForMgn [somente permissão] | Concede permissão para criar grupo de snapshots de volume | Write | |||
| BatchDeleteSnapshotRequestForMgn [somente permissão] | Concede permissão para solicitação de snapshot de exclusão em lote | Write | |||
| ChangeServerLifeCycleState | Concede permissão para alterar o estado do ciclo de vida do servidor de origem | Escrever | |||
| CreateApplication | Concede permissão para criar um aplicativo | Escrever | |||
| CreateConnector | Concede permissão para criar um conector | Escrever | |||
| CreateLaunchConfigurationTemplate | Concede permissão para criar um modelo de configuração de inicialização | Escrever | |||
| CreateReplicationConfigurationTemplate | Concede permissão para criar modelo de configuração de replicação | Write | |||
| CreateVcenterClientForMgn [somente permissão] | Concede permissão para criar um cliente do vcenter | Escrever | |||
| CreateWave | Concede permissão para criar uma onda | Escrever | |||
| DeleteApplication | Concede permissão para excluir um aplicativo | Escrever | |||
| DeleteConnector | Concede permissão para excluir um conector | Escrever | |||
| DeleteJob | Concede permissão para excluir tarefas | Escrever | |||
| DeleteLaunchConfigurationTemplate | Concede permissão para excluir um modelo de configuração de inicialização | Escrever | |||
| DeleteReplicationConfigurationTemplate | Concede permissão para excluir o modelo de configuração de replicação | Write | |||
| DeleteSourceServer | Concede permissão para excluir o servidor de origem | Write | |||
| DeleteVcenterClient | Concede permissão para excluir o cliente do vcenter | Escrever | |||
| DeleteWave | Concede permissão para excluir uma onda | Escrever | |||
| DescribeJobLogItems | Concede permissão para descrever itens de log de tarefas | Read | |||
| DescribeJobs | Concede permissão para descrever tarefas | Lista | |||
| DescribeLaunchConfigurationTemplates | Concede permissão para descrever um modelo de configuração de inicialização | Lista | |||
| DescribeReplicationConfigurationTemplates | Concede permissão para descrever o modelo de configuração de replicação | List | |||
| DescribeReplicationServerAssociationsForMgn [somente permissão] | Concede permissão para descrever associações de servidores de replicação | Read | |||
| DescribeSnapshotRequestsForMgn [somente permissão] | Concede permissão para descrever solicitações de snapshots | Read | |||
| DescribeSourceServers | Concede permissão para descrever servidores de origem | Lista | |||
| DescribeVcenterClients | Concede permissão para descrever clientes do vcenter | Lista | |||
| DisassociateApplications | Concede permissão para dissociar aplicações de uma onda | Escrever | |||
| DisassociateSourceServers | Concede permissão para dissociar servidores de origem de uma aplicação | Escrever | |||
| DisconnectFromService | Concede permissão para desconectar o servidor de origem do serviço | Write | |||
| FinalizeCutover | Concede permissão para finalizar a transição | Write | |||
| GetAgentCommandForMgn [somente permissão] | Concede permissão para obter o comando do agente | Read | |||
| GetAgentConfirmedResumeInfoForMgn [somente permissão] | Concede permissão para obter informações de currículo confirmado pelo agente | Read | |||
| GetAgentInstallationAssetsForMgn [somente permissão] | Concede permissão para obter ativos de instalação do agente | Read | |||
| GetAgentReplicationInfoForMgn [somente permissão] | Concede permissão para obter informações de replicação do agente | Read | |||
| GetAgentRuntimeConfigurationForMgn [somente permissão] | Concede permissão para obter configuração de runtime do agente | Read | |||
| GetAgentSnapshotCreditsForMgn [somente permissão] | Concede permissão para obter créditos de snapshots do agente | Read | |||
| GetChannelCommandsForMgn [somente permissão] | Concede permissão para obter comandos de canal | Read | |||
| GetLaunchConfiguration | Concede permissão para obter a configuração de execução | Read | |||
| GetReplicationConfiguration | Concede permissão para obter a configuração de replicação | Leitura | |||
| GetVcenterClientCommandsForMgn [somente permissão] | Concede permissão para obter comandos de cliente do vcenter | Leitura | |||
| InitializeService | Concede permissão para inicializar o serviço | Escrever |
iam:AddRoleToInstanceProfile iam:CreateInstanceProfile iam:CreateServiceLinkedRole iam:GetInstanceProfile |
||
| IssueClientCertificateForMgn [somente permissão] | Concede permissão para emitir um certificado de cliente | Escrever | |||
| ListApplications | Concede permissão para listar resumos de aplicações | Lista | |||
| ListConnectors | Concede permissão para listar conectores | Leitura | |||
| ListExportErrors | Concede permissão para listar os erros de uma tarefa de exportação | Lista | |||
| ListExports | Concede permissão para listar tarefas de exportação | Lista | |||
| ListImportErrors | Concede permissão para listar os erros de uma tarefa de importação | Lista | |||
| ListImports | Concede permissão para listar as tarefas de importação | Lista | |||
| ListManagedAccounts | Concede permissão para listar contas gerenciadas | Lista | |||
| ListSourceServerActions | Concede permissão para listar documentos de ações do servidor de origem | Lista | |||
| ListTagsForResource | Concede permissão para listar as etiquetas de um recurso | Leitura | |||
| ListTemplateActions | Concede permissão para listar documentos de ação de modelo de configuração | Lista | |||
| ListWaves | Concede permissão para listar resumos de ondas | Lista | |||
| MarkAsArchived | Concede permissão para marcar o servidor de origem como arquivado | Write | |||
| NotifyAgentAuthenticationForMgn [somente permissão] | Concede permissão para notificar a autenticação do agente | Write | |||
| NotifyAgentConnectedForMgn [somente permissão] | Concede permissão para notificar que o agente está conectado | Write | |||
| NotifyAgentDisconnectedForMgn [somente permissão] | Concede permissão para notificar que o agente está desconectado | Write | |||
| NotifyAgentReplicationProgressForMgn [somente permissão] | Concede permissão para notificar o progresso da replicação do agente | Write | |||
| NotifyVcenterClientStartedForMgn [somente permissão] | Concede permissão para notificar cliente do vcenter iniciado | Escrever | |||
| PauseReplication | Concede permissão para pausar uma replicação | Escrever | |||
| PutSourceServerAction | Concede permissão para colocar documento de ação de servidor de origem | Escrever | |||
| PutTemplateAction | Concede permissão para colocar documento de ação de modelo de configuração | Escrever | |||
| RegisterAgentForMgn [somente permissão] | Concede permissão para registrar o agente | Escrever | |||
| RemoveSourceServerAction | Concede permissão para remover documento de ação de servidor de origem | Escrever | |||
| RemoveTemplateAction | Concede permissão para remover documento de ação de modelo de configuração | Escrever | |||
| ResumeReplication | Concede permissão para retomar uma replicação | Escrever | |||
| RetryDataReplication | Concede permissão para repetir a replicação | Write | |||
| SendAgentLogsForMgn [somente permissão] | Concede permissão para enviar logs do agente | Write | |||
| SendAgentMetricsForMgn [somente permissão] | Concede permissão para enviar métricas do agente | Write | |||
| SendChannelCommandResultForMgn [somente permissão] | Concede permissão para enviar o resultado do comando do canal | Write | |||
| SendClientLogsForMgn [somente permissão] | Concede permissão para enviar logs de clientes | Write | |||
| SendClientMetricsForMgn [somente permissão] | Concede permissão para enviar métricas de clientes | Write | |||
| SendVcenterClientCommandResultForMgn [somente permissão] | Concede permissão para enviar resultado do comando do cliente do vcenter | Write | |||
| SendVcenterClientLogsForMgn [somente permissão] | Concede permissão para enviar logs de clientes do vcenter | Write | |||
| SendVcenterClientMetricsForMgn [somente permissão] | Concede permissão para enviar métricas de clientes do vcenter | Write | |||
| StartCutover | Concede permissão para iniciar a transição | Escrever |
ec2:AttachVolume ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateLaunchTemplate ec2:CreateLaunchTemplateVersion ec2:CreateSecurityGroup ec2:CreateSnapshot ec2:CreateTags ec2:CreateVolume ec2:DeleteLaunchTemplateVersions ec2:DeleteSnapshot ec2:DeleteVolume ec2:DescribeAccountAttributes ec2:DescribeAvailabilityZones ec2:DescribeImages ec2:DescribeInstanceAttribute ec2:DescribeInstanceStatus ec2:DescribeInstanceTypes ec2:DescribeInstances ec2:DescribeLaunchTemplateVersions ec2:DescribeLaunchTemplates ec2:DescribeSecurityGroups ec2:DescribeSnapshots ec2:DescribeSubnets ec2:DescribeVolumes ec2:DetachVolume ec2:ModifyInstanceAttribute ec2:ModifyLaunchTemplate ec2:ReportInstanceStatus ec2:RevokeSecurityGroupEgress ec2:RunInstances ec2:StartInstances ec2:StopInstances ec2:TerminateInstances iam:PassRole mgn:ListTagsForResource |
||
| StartExport | Concede permissão para iniciar uma tarefa de exportação | Escrever |
ec2:DescribeLaunchTemplateVersions mgn:DescribeSourceServers mgn:GetLaunchConfiguration mgn:ListApplications mgn:ListWaves s3:PutObject |
||
| StartImport | Concede permissão para criar uma tarefa de importação | Escrever |
ec2:CreateLaunchTemplateVersion ec2:DescribeLaunchTemplateVersions ec2:ModifyLaunchTemplate mgn:DescribeSourceServers mgn:GetLaunchConfiguration mgn:ListApplications mgn:ListWaves mgn:TagResource mgn:UpdateLaunchConfiguration s3:PutObject |
||
| StartReplication | Concede permissão para iniciar a replicação | Write | |||
| StartTest | Concede permissão para iniciar o teste | Escrever |
ec2:AttachVolume ec2:AuthorizeSecurityGroupEgress ec2:AuthorizeSecurityGroupIngress ec2:CreateLaunchTemplate ec2:CreateLaunchTemplateVersion ec2:CreateSecurityGroup ec2:CreateSnapshot ec2:CreateTags ec2:CreateVolume ec2:DeleteLaunchTemplateVersions ec2:DeleteSnapshot ec2:DeleteVolume ec2:DescribeAccountAttributes ec2:DescribeAvailabilityZones ec2:DescribeImages ec2:DescribeInstanceAttribute ec2:DescribeInstanceStatus ec2:DescribeInstanceTypes ec2:DescribeInstances ec2:DescribeLaunchTemplateVersions ec2:DescribeLaunchTemplates ec2:DescribeSecurityGroups ec2:DescribeSnapshots ec2:DescribeSubnets ec2:DescribeVolumes ec2:DetachVolume ec2:ModifyInstanceAttribute ec2:ModifyLaunchTemplate ec2:ReportInstanceStatus ec2:RevokeSecurityGroupEgress ec2:RunInstances ec2:StartInstances ec2:StopInstances ec2:TerminateInstances iam:PassRole mgn:ListTagsForResource |
||
| StopReplication | Concede permissão para interromper a replicação | Escrever | |||
| TagResource | Concede permissão para atribuir uma tag de recurso | Marcação | |||
| TerminateTargetInstances | Concede permissão para encerrar instâncias de destino | Escrever |
ec2:DeleteVolume ec2:DescribeInstances ec2:DescribeVolumes ec2:TerminateInstances |
||
| UnarchiveApplication | Concede permissão para desarquivar uma aplicação | Escrever | |||
| UnarchiveWave | Concede permissão para desarquivar uma onda | Escrever | |||
| UntagResource | Concede permissão para desmarcar um recurso | Marcação | |||
| UpdateAgentBacklogForMgn [somente permissão] | Concede permissão para atualizar o backlog do agente | Write | |||
| UpdateAgentConversionInfoForMgn [somente permissão] | Concede permissão para atualizar informações de conversão do agente | Write | |||
| UpdateAgentReplicationInfoForMgn [somente permissão] | Concede permissão para atualizar informações de replicação do agente | Write | |||
| UpdateAgentReplicationProcessStateForMgn [somente permissão] | Concede permissão para atualizar o estado do processo de replicação do agente | Write | |||
| UpdateAgentSourcePropertiesForMgn [somente permissão] | Concede permissão para atualizar as propriedades de origem do agente | Escrever | |||
| UpdateApplication | Concede permissão para atualizar uma aplicação | Escrever | |||
| UpdateConnector | Concede permissão para atualizar um conector | Escrever | |||
| UpdateLaunchConfiguration | Concede permissão para atualizar uma configuração de execução | Escrever | |||
| UpdateLaunchConfigurationTemplate | Concede permissão para atualizar uma configuração de execução | Write | |||
| UpdateReplicationConfiguration | Concede permissão para atualizar a configuração de replicação | Write | |||
| UpdateReplicationConfigurationTemplate | Concede permissão para atualizar o modelo de configuração de replicação | Escrever | |||
| UpdateSourceServer | Concede permissão para atualizar o servidor de origem | Escrever | |||
| UpdateSourceServerReplicationType | Concede permissão para atualizar tipo de replicação do servidor fonte | Escrever | |||
| UpdateWave | Concede permissão para atualizar uma onda | Escrever | |||
| VerifyClientRoleForMgn [somente permissão] | Concede permissão para verificar a função do cliente | Leitura |
Tipos de recursos definidos pelo AWS Application Migration Service
Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.
| Tipos de recursos | ARN | Chaves de condição |
|---|---|---|
| JobResource |
arn:${Partition}:mgn:${Region}:${Account}:job/${JobID}
|
|
| ReplicationConfigurationTemplateResource |
arn:${Partition}:mgn:${Region}:${Account}:replication-configuration-template/${ReplicationConfigurationTemplateID}
|
|
| LaunchConfigurationTemplateResource |
arn:${Partition}:mgn:${Region}:${Account}:launch-configuration-template/${LaunchConfigurationTemplateID}
|
|
| VcenterClientResource |
arn:${Partition}:mgn:${Region}:${Account}:vcenter-client/${VcenterClientID}
|
|
| SourceServerResource |
arn:${Partition}:mgn:${Region}:${Account}:source-server/${SourceServerID}
|
|
| ApplicationResource |
arn:${Partition}:mgn:${Region}:${Account}:application/${ApplicationID}
|
|
| WaveResource |
arn:${Partition}:mgn:${Region}:${Account}:wave/${WaveID}
|
|
| ImportResource |
arn:${Partition}:mgn:${Region}:${Account}:import/${ImportID}
|
|
| ExportResource |
arn:${Partition}:mgn:${Region}:${Account}:export/${ExportID}
|
|
| ConnectorResource |
arn:${Partition}:mgn:${Region}:${Account}:connector/${ConnectorID}
|
Chaves de condição do AWS Application Migration Service
AWS O Application Migration Service define as seguintes chaves de condição que podem ser usadas no Condition elemento de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.
Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.
| Chaves de condição | Descrição | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra o acesso pela presença de pares de chave-valor da etiqueta na solicitação | String |
| aws:ResourceTag/${TagKey} | Filtra o acesso por pares chave-valor da etiqueta anexados ao recurso | String |
| aws:TagKeys | Filtra acesso pela presença de chaves da etiqueta na solicitação | ArrayOfString |
| mgn:CreateAction | Filtra o acesso pelo nome de uma ação de API de criação de recurso | String |
