AWS Migration Hub Migration Hub Migration Hub 目前為預覽版本,並可能有所變更。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWSAWS Migration Hub Migration Hub 重構空間的受管政策
若要新增許可給使用者、群組和角色,使用 AWS 受管政策比自己撰寫政策更容易。建立 IAM 客戶受管政策需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的 AWS 帳戶 中使用。如需 AWS 受管政策的詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
AWS 服務會維護和更新 AWS 受管政策。您無法更改 AWS 受管政策中的許可。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。
AWS受管政策:外觀設定因子空間完全存取
您可以將 AWSMigrationHubRefactorSpacesFullAccess 政策連接到 IAM 身分。
所以此AWSMigrationHubRefactorSpacesFullAccess政策授與 AWS Migration Hub 重構空間、重構空間主控台功能以及其他相關AWS服務。
許可詳細資訊
所以此AWSMigrationHubRefactorSpacesFullAccess政策內容如下。
-
refactor-spaces— 允許 IAM 使用者帳戶完整存取重構空間。 -
ec2— 允許 IAM 使用者帳戶執行重構空間使用的 Amazon Elastic Compute Cloud (Amazon EC2) 操作。 -
elasticloadbalancing— 允許 IAM 使用者帳戶執行「重構空間」所使用的「Elastic Load Balancing」作業。 -
apigateway— 允許 IAM 使用者帳戶執行重構空間使用的 Amazon API Gateway 操作。 -
organizations— 允許 IAM 使用者帳戶AWS Organizations重構空間所使用的作業。 -
cloudformation— 允許 IAM 使用者帳戶執行AWS CloudFormation作業,從主控台建立單鍵範例環境。 -
iam— 允許為 IAM 使用者帳戶建立服務連結的角色,這是使用「重構空間」的必要條件。
重構空間的額外必要權限
在您可以使用「重構空間」之前,除了AWSMigrationHubRefactorSpacesFullAccess受管政策,必須將下列額外必要許可指派給您帳戶中的 IAM 使用者、群組或角色。
-
授予為建立服務連結角色的許可AWS Transit Gateway。
-
授與將虛擬私有雲 (VPC) 附加至所有資源呼叫帳戶的轉輸閘道的權限。
-
授予修改 VPC 端點服務的許可。
-
授與權限,以傳回所有資源的呼叫帳戶之已標記或先前已標記的資源。
-
授予執行所有AWS Resource Access Manager(AWS RAM) 所有資源上呼叫帳戶的動作。
-
授予執行所有AWS Lambda動作的呼叫帳戶。
您可以將內嵌政策新增至 IAM 使用者、群組或角色,以取得這些額外許可。不過,您可以使用下列政策 JSON 建立 IAM 政策,並將其附加至 IAM 使用者、群組或角色,而不使用內嵌政策。
下列原則會授與能夠使用重構空間所需的額外必要權限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "transitgateway.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGatewayVpcAttachment" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpointServicePermissions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ram:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "lambda:*" ], "Resource": "*" } ] }
如下所示AWSMigrationHubRefactorSpacesFullAccess政策。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RefactorSpaces", "Effect": "Allow", "Action": [ "refactor-spaces:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcEndpointServiceConfigurations", "ec2:DescribeVpcs", "ec2:DescribeTransitGatewayVpcAttachments", "ec2:DescribeTransitGateways", "ec2:DescribeTags", "ec2:DescribeTransitGateways", "ec2:DescribeAccountAttributes", "ec2:DescribeInternetGateways" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGateway", "ec2:CreateSecurityGroup", "ec2:CreateTransitGatewayVpcAttachment" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/refactor-spaces:environment-id": "false" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTransitGateway", "ec2:CreateSecurityGroup", "ec2:CreateTransitGatewayVpcAttachment" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/refactor-spaces:environment-id": "false" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpointServiceConfiguration" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DeleteTransitGateway", "ec2:AuthorizeSecurityGroupIngress", "ec2:RevokeSecurityGroupIngress", "ec2:DeleteSecurityGroup", "ec2:DeleteTransitGatewayVpcAttachment", "ec2:CreateRoute", "ec2:DeleteRoute", "ec2:DeleteTags" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/refactor-spaces:environment-id": "false" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:DeleteVpcEndpointServiceConfigurations", "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/refactor-spaces:application-id": "false" } } }, { "Effect": "Allow", "Action": [ "elasticloadbalancing:CreateLoadBalancer" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/refactor-spaces:application-id": "false" } } }, { "Effect": "Allow", "Action": [ "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTags", "elasticloadbalancing:DescribeTargetHealth", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeListeners" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "elasticloadbalancing:RegisterTargets", "elasticloadbalancing:CreateLoadBalancerListeners", "elasticloadbalancing:CreateListener", "elasticloadbalancing:DeleteListener", "elasticloadbalancing:DeleteTargetGroup" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/refactor-spaces:route-id": [ "*" ] } } }, { "Effect": "Allow", "Action": "elasticloadbalancing:DeleteLoadBalancer", "Resource": "arn:*:elasticloadbalancing:*:*:loadbalancer/net/refactor-spaces-nlb-*" }, { "Effect": "Allow", "Action": [ "elasticloadbalancing:AddTags", "elasticloadbalancing:CreateListener" ], "Resource": "arn:*:elasticloadbalancing:*:*:loadbalancer/net/refactor-spaces-nlb-*", "Condition": { "Null": { "aws:RequestTag/refactor-spaces:route-id": "false" } } }, { "Effect": "Allow", "Action": "elasticloadbalancing:DeleteListener", "Resource": "arn:*:elasticloadbalancing:*:*:listener/net/refactor-spaces-nlb-*" }, { "Effect": "Allow", "Action": [ "elasticloadbalancing:DeleteTargetGroup", "elasticloadbalancing:RegisterTargets" ], "Resource": "arn:*:elasticloadbalancing:*:*:targetgroup/refactor-spaces-tg-*" }, { "Effect": "Allow", "Action": [ "elasticloadbalancing:AddTags", "elasticloadbalancing:CreateTargetGroup" ], "Resource": "arn:*:elasticloadbalancing:*:*:targetgroup/refactor-spaces-tg-*", "Condition": { "Null": { "aws:RequestTag/refactor-spaces:route-id": "false" } } }, { "Effect": "Allow", "Action": [ "apigateway:GET", "apigateway:DELETE", "apigateway:PATCH", "apigateway:POST", "apigateway:PUT", "apigateway:UpdateRestApiPolicy" ], "Resource": [ "arn:aws:apigateway:*::/restapis", "arn:aws:apigateway:*::/restapis/*", "arn:aws:apigateway:*::/vpclinks", "arn:aws:apigateway:*::/vpclinks/*", "arn:aws:apigateway:*::/tags", "arn:aws:apigateway:*::/tags/*" ], "Condition": { "Null": { "aws:ResourceTag/refactor-spaces:application-id": "false" } } }, { "Effect": "Allow", "Action": "apigateway:GET", "Resource": [ "arn:aws:apigateway:*::/vpclinks", "arn:aws:apigateway:*::/vpclinks/*" ] }, { "Effect": "Allow", "Action": [ "organizations:DescribeOrganization" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudformation:CreateStack" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "refactor-spaces.amazonaws.com" } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "elasticloadbalancing.amazonaws.com" } } } ] }
「重構空間」會更新為AWS受管政策
檢視更新的詳細資訊AWS的受管政策,因為此服務開始追蹤這些變更。如需有關此頁面變更的自動提醒,請訂閱「重構空間文件歷程記錄」頁面上的 RSS 摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
|
外觀設定因子空間完全存取— 推出時提供的新政策 |
所以此 |
2021 年 11 月 29 日 |
|
移轉因子空間服務角色原則— 推出時提供的新政策 |
|
2021 年 11 月 29 日 |
|
重構空間開始追蹤變更 |
重構空間開始追蹤其AWS受管政策。 |
2021 年 11 月 29 日 |
