Verwenden von serviceverknüpften Rollen für Refactor Spaces - AWS Migration Hub Refactor Spaces

AWS Migration Hub Refactor Spaces befindet sich in der Vorschauversion und kann noch geändert werden.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serviceverknüpften Rollen für Refactor Spaces

AWS Migration Hub Refactor Spaces verwendetAWS Identity and Access Management(ICH)Serviceverknüpfte Rollenaus. Eine serviceverknüpfte Rolle ist ein spezieller Typ einer IAM-Rolle, die direkt mit Refactor Spaces verknüpft ist. Serviceverknüpfte Rollen werden von Refactor Spaces vordefiniert und schließen alle Berechtigungen ein, die der -Service zum Aufrufen andererAWS-Services in Ihrem Namen.

Eine serviceverknüpfte Rolle vereinfacht das Einrichten von Refactor Spaces, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Refactor Spaces definiert die Berechtigungen seiner serviceverknüpften Rollen. Sofern nicht anders definiert, können nur Refactor Spaces diese Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre zugehörigen AWS-Ressourcen gelöscht wurden. Dies schützt Ihre Refactor Spaces-Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.

Informationen zu anderen Services, die servicegebundene Rollen unterstützen, finden Sie unter AWS-Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Ja in der Spalte servicegebundene Rolle angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer servicegebundenen Rolle für diesen Service anzuzeigen.

Berechtigungen von serviceverknüpften Rollen für Refactor Spaces

Refactor Spaces verwendet die serviceverknüpfte Rolle namensawsServiceRoleFormigrationHubreFactorSpacesund assoziiert es mit demMigrationHubreFactorSpacesServiceRolePolicyIAM-Richtlinie — Bietet Zugriff aufAWSRessourcen, die von AWS Migration Hub Refactor Spaces verwaltet oder verwendet werden.

Die servicegebundene Rolle AWSServiceRoleForMigrationHubreFactorSpaces vertraut, dass die folgenden Services die Rolle übernehmen:

  • refactor-spaces.amazonaws.com

Im Folgenden finden Sie der Amazon-Ressourcenname (ARN) für AWSServiceRoleForMigrationHubreFactorSpaces.

arn:aws:iam::111122223333:role/aws-service-role/refactor-spaces.amazonaws.com/AWSServiceRoleForMigrationHubRefactorSpaces

Refactor Spaces verwendet dieawsServiceRoleFormigrationHubreFactorSpacesdienstverknüpfte Rolle bei kontoübergreifenden Änderungen. Diese Rolle muss in Ihrem Konto vorhanden sein, um Refactor Spaces verwenden zu können. Wenn es nicht vorhanden ist, erstellt Refactor Spaces es während der folgenden API-Aufrufe:

  • CreateEnvironment

  • CreateService

  • CreateApplication

  • CreateRoute

Sie müssen über iam:CreateServiceLinkedRole-Berechtigungen zum Erstellen der serviceverknüpften Rolle verfügen. Wenn die serviceverknüpfte Rolle in Ihrem -Konto nicht vorhanden ist und nicht erstellt werden kann, wirdCreateAnrufe werden scheitern. Sie müssen die dienstgebundene Rolle in der IAM-Konsole erstellen, bevor Sie Refactor Spaces verwenden, es sei denn, Sie verwenden die Refactor Spaces-Konsole.

Refactor Spaces verwendet die serviceverknüpfte Rolle nicht, wenn Änderungen am aktuellen angemeldeten -Konto vorgenommen werden. Wenn beispielsweise eine Anwendung erstellt wird, aktualisiert Refactor Spaces alle VPCs in der Umgebung, damit sie mit der neu hinzugefügten VPC kommunizieren können. Wenn sich die VPCs in anderen Konten befinden, verwendet Refactor Spaces die dienstgebundene Rolle und dieec2:CreateRouteBerechtigung zum Aktualisieren der Routing-Tabellen in anderen Konten.

Um das Beispiel „Anwendung erstellen“ weiter zu erweitern, aktualisiert Refactor Spaces beim Erstellen einer Anwendung die Routing-Tabellen, die sich in der Virtual Private Cloud (VPC) befinden, die imCreateApplicationRufen Sie. Auf diese Weise kann die VPC mit anderen VPCs in der Umgebung kommunizieren.

Der Anrufer muss das habenec2:CreateRouteBerechtigung, die wir verwenden, um die Routentabellen zu aktualisieren. Diese Berechtigung ist in der dienstverknüpften Rolle vorhanden, aber Refactor Spaces verwendet die dienstverknüpfte Rolle im Konto des Anrufers nicht, um diese Berechtigung zu erhalten. Stattdessen muss der Aufrufer überec2:CreateRoute-Berechtigung. Andernfalls schlägt der Aufruf fehl.

Sie können die serviceverknüpfte Rolle nicht verwenden, um Ihre Berechtigungen zu eskalieren. Ihr Konto muss bereits über die Berechtigungen in der dienstverknüpften Rolle verfügen, um die Änderungen im aufrufenden Konto vorzunehmen. DieAWSMigrationHubRefactorSpacesFullAccessverwaltete Richtlinie definiert zusammen mit einer Richtlinie, die die zusätzlichen erforderlichen Berechtigungen gewährt, alle erforderlichen Berechtigungen zum Erstellen von Refactor Spaces-Ressourcen. Die dienstgebundene Rolle ist eine Teilmenge dieser Berechtigungen, die für bestimmte kontoübergreifende Anrufe verwendet wird. Mehr über AWSMigrationHubRefactorSpacesFullAccess erfahren Sie unter AWSVerwaltete Richtlinie: awsmigrationHubreFactorSpacesFullAccess.

Tags

Wenn Refactor Spaces Ressourcen in Ihrem Konto erstellt, werden diese mit der entsprechenden Refactor Spaces-Ressourcen-ID gekennzeichnet. Zum Beispiel wurde das Transit Gateway erstellt ausCreateEnvironmentist mit dem getaggtrefactor-spaces:environment-id-Tag mit der Umgebungs-ID als Wert. Die API Gateway Gateway-API erstellt vonCreateApplicationist getaggt mitrefactor-spaces:application-idmit der Anwendungs-ID als Wert. Diese Tags ermöglichen es Refactor Spaces, diese Ressourcen zu verwalten. Wenn Sie die Tags bearbeiten oder entfernen, kann Refactor Spaces die Ressource nicht mehr aktualisieren oder löschen.

MigrationHubRefactorSpacesServiceRolePolicy

Die Rollenberechtigungsrichtlinie namens MigrationHubreFactorSpacesServiceRolePolicy erlaubt Refactor Spaces die Durchführung der folgenden Aktionen für die angegebenen Ressourcen:

Amazon API Gateway Gateway-Aktionen

apigateway:PUT

apigateway:POST

apigateway:GET

apigateway:PATCH

apigateway:DELETE

Aktionen von Amazon Elastic Compute Cloud

ec2:DescribeNetworkInterfaces

ec2:DescribeRouteTables

ec2:DescribeSubnets

ec2:DescribeSecurityGroups

ec2:DescribeVpcEndpointServiceConfigurations

ec2:DescribeTransitGatewayVpcAttachments

ec2:AuthorizeSecurityGroupIngress

ec2:RevokeSecurityGroupIngress

ec2:DeleteSecurityGroup

ec2:DeleteTransitGatewayVpcAttachment

ec2:CreateRoute

ec2:DeleteRoute

ec2:DeleteTags

ec2:DeleteVpcEndpointServiceConfigurations

AWS Resource Access Manager-Aktionen

ram:GetResourceShareAssociations

ram:DeleteResourceShare

ram:AssociateResourceShare

ram:DisassociateResourceShare

Elastic Load Balancing; Aktionen

elasticloadbalancing:DescribeTargetHealth

elasticloadbalancing:DescribeListener

elasticloadbalancing:DescribeTargetGroups

elasticloadbalancing:RegisterTargets

elasticloadbalancing:CreateLoadBalancerListeners

elasticloadbalancing:CreateListener

elasticloadbalancing:DeleteListener

elasticloadbalancing:DeleteTargetGroup

elasticloadbalancing:DeleteLoadBalancer

elasticloadbalancing:AddTags

elasticloadbalancing:CreateTargetGroup

Im Folgenden finden Sie die vollständige Richtlinie, aus der hervorgeht, für welche Ressourcen die vorherigen Aktionen gelten:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcEndpointServiceConfigurations", "ec2:DescribeTransitGatewayVpcAttachments", "elasticloadbalancing:DescribeTargetHealth", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeTargetGroups", "ram:GetResourceShareAssociations" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:RevokeSecurityGroupIngress", "ec2:DeleteSecurityGroup", "ec2:DeleteTransitGatewayVpcAttachment", "ec2:CreateRoute", "ec2:DeleteRoute", "ec2:DeleteTags", "ram:DeleteResourceShare", "ram:AssociateResourceShare", "ram:DisassociateResourceShare" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/refactor-spaces:environment-id": "false" } } }, { "Effect": "Allow", "Action": "ec2:DeleteVpcEndpointServiceConfigurations", "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/refactor-spaces:application-id": "false" } } }, { "Effect": "Allow", "Action": [ "elasticloadbalancing:RegisterTargets", "elasticloadbalancing:CreateLoadBalancerListeners", "elasticloadbalancing:CreateListener", "elasticloadbalancing:DeleteListener", "elasticloadbalancing:DeleteTargetGroup" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/refactor-spaces:route-id": [ "*" ] } } }, { "Effect": "Allow", "Action": [ "apigateway:PUT", "apigateway:POST", "apigateway:GET", "apigateway:PATCH", "apigateway:DELETE" ], "Resource": [ "arn:aws:apigateway:*::/restapis", "arn:aws:apigateway:*::/restapis/*", "arn:aws:apigateway:*::/vpclinks/*", "arn:aws:apigateway:*::/tags", "arn:aws:apigateway:*::/tags/*" ], "Condition": { "Null": { "aws:ResourceTag/refactor-spaces:application-id": "false" } } }, { "Effect": "Allow", "Action": "apigateway:GET", "Resource": "arn:aws:apigateway:*::/vpclinks/*" }, { "Effect": "Allow", "Action": "elasticloadbalancing:DeleteLoadBalancer", "Resource": "arn:*:elasticloadbalancing:*:*:loadbalancer/net/refactor-spaces-nlb-*" }, { "Effect": "Allow", "Action": [ "elasticloadbalancing:AddTags", "elasticloadbalancing:CreateListener" ], "Resource": "arn:*:elasticloadbalancing:*:*:loadbalancer/net/refactor-spaces-nlb-*", "Condition": { "Null": { "aws:RequestTag/refactor-spaces:route-id": "false" } } }, { "Effect": "Allow", "Action": "elasticloadbalancing:DeleteListener", "Resource": "arn:*:elasticloadbalancing:*:*:listener/net/refactor-spaces-nlb-*" }, { "Effect": "Allow", "Action": [ "elasticloadbalancing:DeleteTargetGroup", "elasticloadbalancing:RegisterTargets" ], "Resource": "arn:*:elasticloadbalancing:*:*:targetgroup/refactor-spaces-tg-*" }, { "Effect": "Allow", "Action": [ "elasticloadbalancing:AddTags", "elasticloadbalancing:CreateTargetGroup" ], "Resource": "arn:*:elasticloadbalancing:*:*:targetgroup/refactor-spaces-tg-*", "Condition": { "Null": { "aws:RequestTag/refactor-spaces:route-id": "false" } } } ] }

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine servicegebundene Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter servicegebundene Rollenberechtigungen im IAM-Leitfaden.

Erstellen einer serviceverknüpften Rolle für Refactor Spaces

Sie müssen eine servicegebundene Rolle nicht manuell erstellen. Wenn Sie Refactor Spaces-Umgebungs-, Anwendungs-, Service- oder Routenressourcen imAWS Management Console, derAWS CLIoder dasAWSAPI erstellt Refactor Spaces die serviceverknüpfte Rolle für Sie. Weitere Informationen zum Erstellen einer serviceverknüpften Rolle für Refactor Spaces finden Sie unterBerechtigungen von serviceverknüpften Rollen für Refactor Spacesaus.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie Refactor Spaces-Umgebungs-, Anwendungs-, Service- oder Routenressourcen erstellen, erstellt Refactor Spaces die serviceverknüpfte Rolle erneut für Sie.

Bearbeiten einer serviceverknüpften Rolle für Refactor Spaces

Refactor Spaces erlaubt Ihnen nicht die Bearbeitung der servicegebundenen Rolle AWSServiceRoleForMigrationHubreFactorSpaces. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer servicegebundenen Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer servicegebundenen Rolle im IAM-Leitfaden

Löschen einer serviceverknüpften Rolle für Refactor Spaces

Wenn Sie eine Funktion oder einen Service, die bzw. der eine servicegebundene Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre servicegebundene Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

Anmerkung

Wenn der Refactor Spaces-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn das passiert, warten Sie einige Minuten und versuchen Sie es erneut.

Um die Refactor Spaces-Ressourcen zu löschen, die von AWSServiceRoleFormigrationHubreFactorSpaces verwendet werden, löschen Sie die Ressourcen mithilfe der Refactor Spaces-Konsole oder verwenden Sie die Lösch-API-Operationen für die Ressourcen. Weitere Informationen über die Lösch-API-Operationen finden Sie unterAPI-Referenzaus.

So löschen Sie die servicegebundene Rolle mit IAM

Verwenden Sie die IAM-Konsole,AWS CLIoder dasAWSAPI zum Löschen der servicegebundenen Rolle AWSServiceRoleForMigrationHubreFactorSpaces. Weitere Informationen finden Sie unter Löschen einer servicegebundenen Rolle im IAM-Leitfaden

Unterstützte Regionen für servicegebundene Rollen für serviceverknüpfte -Rollen

Refactor Spaces unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter AWSRegionen und Endpunkte.