Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktionen, Ressourcen und Bedingungsschlüssel für AWS Application Discovery Service
AWS Der Application Discovery Service (Dienstpräfix:discovery) stellt die folgenden dienstspezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel zur Verwendung in IAM-Berechtigungsrichtlinien bereit.
Referenzen:
-
Erfahren Sie, wie Sie diesen Service konfigurieren.
-
Zeigen Sie eine Liste der API-Vorgänge an, die für diesen Service verfügbar sind.
-
Erfahren Sie, wie Sie diesen Service und seine Ressourcen mithilfe von IAM-Berechtigungsrichtlinien schützen.
Themen
Von AWS Application Discovery Service definierte Aktionen
Sie können die folgenden Aktionen im Element Action einer IAM-Richtlinienanweisung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, erlauben oder verweigern Sie in der Regel den Zugriff auf die API-Operation oder den CLI-Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen.
Die Spalte Resource types (Ressourcentypen) der Aktionstabelle gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn es keinen Wert für diese Spalte gibt, müssen Sie alle Ressourcen ("*") im Element Resource Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie einen ARN dieses Typs in einer Anweisung mit dieser Aktion angeben. Wenn für die Aktion eine oder mehrere Ressourcen erforderlich sind, muss der Aufrufer die Erlaubnis haben, die Aktion mit diesen Ressourcen zu verwenden. Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie den Ressourcenzugriff mit dem Element Resource in einer IAM-Richtlinie einschränken, müssen Sie für jeden erforderlichen Ressourcentyp einen ARN oder ein Muster angeben. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen der optionalen Ressourcentypen entscheiden.
Die Spalte Bedingungsschlüssel der Tabelle der Aktionen enthält Schlüssel, die Sie im Element Condition einer Richtlinienanweisung angeben können. Weitere Informationen zu den Bedingungsschlüsseln, die den Ressourcen für den Service zugeordnet sind, finden Sie in der Spalte Bedingungsschlüssel der Tabelle der Ressourcentypen.
Anmerkung
Die Ressourcenbedingungsschlüssel sind in der Tabelle Ressourcentypen enthalten. Sie finden einen Link zu dem Ressourcentyp, der für eine Aktion gilt, in der Spalte Ressourcentypen (*erforderlich) der Tabelle „Aktionen“. Der Ressourcentyp in der Tabelle „Ressourcentypen“ enthält die Spalte Bedingungsschlüssel. Das sind die Ressourcenbedingungsschlüssel, die für eine Aktion in der Tabelle „Aktionen“ gelten.
Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Aktionen
| Aktionen | Beschreibung | Zugriffsebene | Ressourcentypen (*erforderlich) | Bedingungsschlüssel | Abhängige Aktionen |
|---|---|---|---|---|---|
| AssociateConfigurationItemsToApplication | Erteilt der API die Berechtigung. AssociateConfigurationItemsToApplication AssociateConfigurationItemsToApplication ordnet einer Anwendung ein oder mehrere Konfigurationselemente zu | Schreiben | |||
| BatchDeleteAgents | Erteilt der BatchDeleteAgents API die Erlaubnis. BatchDeleteAgents löscht einen oder mehrere mit Ihrem Konto verknüpfte Agenten/Datensammelpunkte, die jeweils anhand ihrer Agenten-ID identifiziert werden. Durch das Löschen eines Datensammelpunkts werden die zuvor erfassten Daten nicht gelöscht | Schreiben | |||
| BatchDeleteImportData | Erteilt der API die Erlaubnis. BatchDeleteImportData BatchDeleteImportData löscht eine oder mehrere Migration Hub Hub-Importaufgaben, die jeweils durch ihre Import-ID identifiziert werden. Jede Importaufgabe verfügt über eine Reihe von Datensätzen, die Server oder Anwendungen identifizieren können | Schreiben | |||
| CreateApplication | Erteilt der CreateApplication API die Erlaubnis. CreateApplication erstellt eine Anwendung mit dem angegebenen Namen und der Beschreibung | Schreiben | |||
| CreateTags | Erteilt der CreateTags API die Erlaubnis. CreateTags erstellt ein oder mehrere Tags für Konfigurationselemente. Tags sind Metadaten zur Kategorisierung von IT-Komponenten. Diese API akzeptiert eine Liste mit mehreren Konfigurationselementen | Tagging | |||
| DeleteApplications | Erteilt der DeleteApplications API die Erlaubnis. DeleteApplications löscht eine Liste von Anwendungen und deren Verknüpfungen zu Konfigurationselementen | Schreiben | |||
| DeleteTags | Erteilt der DeleteTags API die Erlaubnis. DeleteTags löscht die Zuordnung zwischen Konfigurationselementen und einem oder mehreren Tags. Diese API akzeptiert eine Liste mit mehreren Konfigurationselementen | Tagging | |||
| DescribeAgents | Erteilt der DescribeAgents API die Erlaubnis. DescribeAgents listet Agenten oder den Connector nach ID auf oder listet alle Agenten/Connectors auf, die Ihrem Benutzer zugeordnet sind, sofern Sie keine ID angegeben haben | Lesen | |||
| DescribeBatchDeleteConfigurationTask | Erteilt der API die Erlaubnis. DescribeBatchDeleteConfigurationTask DescribeBatchDeleteConfigurationTask gibt Attribute zu einer Batch-Löschaufgabe zurück, mit der eine Reihe von Konfigurationselementen gelöscht werden sollen. Die angegebene Aufgaben-ID sollte die Aufgaben-ID sein, die aus der Ausgabe von abgerufen wurde StartBatchDeleteConfigurationTask | Lesen | |||
| DescribeConfigurations | Erteilt der DescribeConfigurations API die Erlaubnis. DescribeConfigurations ruft Attribute für eine Liste von Konfigurationselement-IDs ab. Alle bereitgestellten IDs müssen sich auf denselben Komponententyp (Server, Anwendung, Prozess oder Verbindung) beziehen. Ausgabefelder sind für den gewählten Komponententyp spezifisch. Beispiel: Die Ausgabe für ein Server-Konfigurationselement enthält eine Liste von Attributen zum Server, z. B. den Host-Namen, das Betriebssystem und die Anzahl der Netzwerkkarten | Lesen | |||
| DescribeContinuousExports | Erteilt der DescribeContinuousExports API die Erlaubnis. DescribeContinuousExports listet Exporte gemäß der ID auf. Alle kontinuierlichen Exporte, die Ihrem Benutzer zugeordnet sind, können aufgelistet werden, wenn Sie sie DescribeContinuousExports unverändert aufrufen, ohne Parameter zu übergeben | Lesen | |||
| DescribeExportConfigurations | Erteilt der DescribeExportConfigurations API die Erlaubnis. DescribeExportConfigurations ruft den Status eines bestimmten Exportvorgangs ab. Sie können den Status von maximal 100 Prozessen abrufen | Lesen | |||
| DescribeExportTasks | Erteilt der DescribeExportTasks API die Erlaubnis. DescribeExportTasks ruft den Status einer oder mehrerer Exportaufgaben ab. Sie können den Status von bis zu 100 Exportaufgaben abrufen | Lesen | |||
| DescribeImportTasks | Erteilt der DescribeImportTasks API die Erlaubnis. DescribeImportTasks gibt eine Reihe von Importaufgaben für Ihren Benutzer zurück, darunter Statusinformationen, Zeiten, IDs, die Amazon S3 S3-Objekt-URL für die Importdatei und mehr | Auflisten | |||
| DescribeTags | Erteilt der DescribeTags API die Erlaubnis. DescribeTags ruft eine Liste von Konfigurationselementen ab, die mit einem bestimmten Tag gekennzeichnet sind. Ruft alternativ eine Liste aller Tags ab, die einem bestimmten Konfigurationselement zugewiesen sind | Lesen | |||
| DisassociateConfigurationItemsFromApplication | Erteilt der DisassociateConfigurationItemsFromApplication API die Erlaubnis. DisassociateConfigurationItemsFromApplication trennt ein oder mehrere Konfigurationselemente von einer Anwendung | Schreiben | |||
| ExportConfigurations | Erteilt der ExportConfigurations API die Erlaubnis. ExportConfigurations exportiert alle erkannten Konfigurationsdaten in einen Amazon S3 S3-Bucket oder eine Anwendung, mit der Sie die Daten anzeigen und auswerten können. Zu den Daten gehören Tags und Tag-Zuordnungen, Prozesse, Verbindungen, Server und Systemleistung | Schreiben | |||
| GetDiscoverySummary | Erteilt der GetDiscoverySummary API die Erlaubnis. GetDiscoverySummary ruft eine kurze Zusammenfassung der entdeckten Ressourcen ab | Lesen | |||
| GetNetworkConnectionGraph | Erteilt der GetNetworkConnectionGraph API die Erlaubnis. GetNetworkConnectionGraph akzeptiert eine Eingabeliste mit einer der folgenden IP-Adressen, Server-IDs oder Knoten-IDs. Gibt eine Liste von Knoten und Edges zurück, die dem Kunden helfen, das Netzwerkverbindungsdiagramm zu visualisieren. Diese API wird zur Visualisierung der Netzwerkdiagrammfunktionen in der MigrationHub Konsole verwendet | Lesen | |||
| ListConfigurations | Erteilt der ListConfigurations API die Erlaubnis. ListConfigurations ruft eine Liste von Konfigurationselementen gemäß den Kriterien ab, die Sie in einem Filter angeben. Die Filterkriterien identifizieren die Beziehungsanforderungen | Auflisten | |||
| ListServerNeighbors | Erteilt der ListServerNeighbors API die Erlaubnis. ListServerNeighbors ruft eine Liste von Servern ab, die einen Netzwerk-Hop von einem angegebenen Server entfernt sind | Auflisten | |||
| StartBatchDeleteConfigurationTask | Erteilt der StartBatchDeleteConfigurationTask API die Erlaubnis. StartBatchDeleteConfigurationTask startet eine asynchrone Batch-Löschung Ihrer Konfigurationselemente. Alle bereitgestellten IDs müssen sich auf denselben Komponententyp (Server, Anwendung, Prozess oder Verbindung) beziehen. Die Ausgabe ist eine eindeutige Aufgaben-ID, mit der Sie den Fortschritt des Löschvorgangs überprüfen können | Schreiben | |||
| StartContinuousExport | Erteilt der StartContinuousExport API die Erlaubnis. StartContinuousExport den kontinuierlichen Fluss der vom Agenten erkannten Daten in Amazon Athena starten | Schreiben |
iam:AttachRolePolicy iam:CreatePolicy iam:CreateRole iam:CreateServiceLinkedRole |
||
| StartDataCollectionByAgentIds | Erteilt der StartDataCollectionByAgentIds API die Erlaubnis. StartDataCollectionByAgentIds weist die angegebenen Agenten oder Connectors an, mit der Datenerfassung zu beginnen | Schreiben | |||
| StartExportTask | Erteilt der StartExportTask API die Erlaubnis. StartExportTask exportiert die Konfigurationsdaten über entdeckte Konfigurationselemente und Beziehungen in einem bestimmten Format in einen S3-Bucket | Schreiben | |||
| StartImportTask | Erteilt der StartImportTask API die Erlaubnis. StartImportTask startet eine Importaufgabe. Mit der Migration Hub Hub-Importfunktion können Sie Details Ihrer lokalen Umgebung direkt importieren, AWS ohne die Application Discovery Service (ADS) -Tools wie den Discovery Connector oder Discovery Agent verwenden zu müssen. Dadurch haben Sie die Möglichkeit, die Migrationsbewertung und -planung direkt von Ihren importierten Daten vorzunehmen und Ihre Geräte als Anwendungen zu gruppieren und ihren Migrationsstatus zu verfolgen | Schreiben |
discovery:AssociateConfigurationItemsToApplication discovery:CreateApplication discovery:CreateTags discovery:GetDiscoverySummary discovery:ListConfigurations s3:GetObject |
||
| StopContinuousExport | Erteilt der StopContinuousExport API die Erlaubnis. StopContinuousExport stoppt den kontinuierlichen Fluss der vom Agenten erkannten Daten zu Amazon Athena | Schreiben | |||
| StopDataCollectionByAgentIds | Erteilt der StopDataCollectionByAgentIds API die Erlaubnis. StopDataCollectionByAgentIds weist die angegebenen Agenten oder Connectors an, die Datenerfassung zu beenden | Schreiben | |||
| UpdateApplication | Erteilt der UpdateApplication API die Erlaubnis. UpdateApplication aktualisiert Metadaten zu einer Anwendung | Schreiben |
Von AWS Application Discovery Service definierte Ressourcentypen
AWS Der Application Discovery Service unterstützt nicht die Angabe eines Ressourcen-ARN im Resource Element einer IAM-Richtlinienanweisung. Um den Zugriff auf AWS Application Discovery Service zu erlauben, geben Sie "Resource": "*" in Ihrer Richtlinie an.
Anmerkung
Um den Zugriff zu trennen, erstellen und verwenden Sie separate AWS Konten.
Bedingungsschlüssel für AWS Application Discovery Service
AWS Der Application Discovery Service definiert die folgenden Bedingungsschlüssel, die im Condition Element einer IAM-Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Bedingungsschlüssel.
Eine Liste der globalen Bedingungsschlüssel, die für alle Services verfügbar sind, finden Sie unter Verfügbare globale Bedingungsschlüssel.
| Bedingungsschlüssel | Beschreibung | Typ |
|---|---|---|
| aws:TagKeys | Filtert den Zugriff basierend auf den Tag-Schlüssel, die in der Anfrage übergeben werden | ArrayOfString |
