AWSApplicationDiscoveryServiceFullAccess AWSApplicationDiscoveryAgentlessCollectorAccess AWSApplicationDiscoveryAgentAccess AWSAgentlessDiscoveryService ApplicationDiscoveryServiceContinuousExportServiceRolePolítica AWSDiscoveryContinuousExportFirehosePolicy Crear el AWSApplicationDiscoveryServiceFirehose rol Actualizaciones de políticas

AWS políticas gestionadas para AWS Application Discovery Service

Para añadir permisos a usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas usted mismo. Se necesita tiempo y experiencia para crear políticas administradas por el cliente de IAM que proporcionen a su equipo solo los permisos necesarios. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS. Para obtener más información sobre las políticas AWS administradas, consulte las políticas AWS administradas en la Guía del usuario de IAM.

AWS los servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios agregan permisos adicionales a una política administrada de AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada de AWS cuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.

Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política ReadOnlyAccess AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripción de las políticas de funciones de trabajo, consulte Políticas administradas de AWS para funciones de trabajo en la Guía del usuario de IAM.

AWS política gestionada: AWSApplicationDiscoveryServiceFullAccess

La AWSApplicationDiscoveryServiceFullAccess política otorga a una cuenta de usuario de IAM acceso a las API Application Discovery Service y Migration Hub.

Una cuenta de usuario de IAM con esta política adjunta puede configurar Application Discovery Service, iniciar y detener agentes, iniciar y detener el descubrimiento sin agentes y consultar datos de la base de datos de AWS Discovery Service. Para obtener un ejemplo de esta política, consulte Concesión de acceso completo a Application Discovery Service.

AWS política gestionada: AWSApplicationDiscoveryAgentlessCollectorAccess

La política AWSApplicationDiscoveryAgentlessCollectorAccess gestionada otorga al Application Discovery Service Agentless Collector (Agentless Collector) acceso para registrarse y comunicarse con el Application Discovery Service y comunicarse con otros servicios. AWS

Esta política debe adjuntarse al usuario de IAM cuyas credenciales se utilizan para configurar el recopilador sin agente.

Detalles de los permisos

Esta política incluye los siguientes permisos.

arsenal— Permite que el recopilador se registre en la aplicación Application Discovery Service. Esto es necesario para poder enviar los datos recopilados a AWS.
ecr-public— Permite al recopilador realizar llamadas al Amazon Elastic Container Registry Public (Amazon ECR Public), donde se encuentran las actualizaciones más recientes del recopilador.
mgh— Permite al recopilador llamar AWS Migration Hub para recuperar la región de origen de la cuenta utilizada para configurar el recopilador. Esto es necesario para saber a qué región deben enviarse los datos recopilados.
sts— Permite al recopilador recuperar un token de portador del servicio para que pueda realizar llamadas a Amazon ECR Public para obtener las actualizaciones más recientes.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "arsenal:RegisterOnPremisesAgent"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr-public:DescribeImages"
            ],
            "Resource": "arn:aws:ecr-public::446372222237:repository/6e5498e4-8c31-4f57-9991-13b4b992ff7b"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr-public:GetAuthorizationToken"

            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "mgh:GetHomeRegion"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sts:GetServiceBearerToken"
            ],
            "Resource": "*"
        }
    ]
}

AWS política gestionada: AWSApplicationDiscoveryAgentAccess

La AWSApplicationDiscoveryAgentAccess política otorga al Application Discovery Agent acceso para registrarse y comunicarse con Application Discovery Service.

Adjunta esta política a cualquier usuario cuyas credenciales utilice Application Discovery Agent.

Esta política también concede acceso al usuario a Arsenal. Arsenal es un servicio de agente administrado y alojado por AWS. El Arsenal reenvía los datos a Application Discovery Service en la nube. Para obtener un ejemplo de esta política, consulte Otorgar acceso a los agentes de detección.

AWS política gestionada: AWSAgentlessDiscoveryService

La AWSAgentlessDiscoveryService política otorga al AWS Agentless Discovery Connector que se ejecuta en su VMware vCenter Server acceso para registrar, comunicarse y compartir las métricas de estado del conector con Application Discovery Service.

Asocie esta política a cualquier usuario cuyas credenciales utilicen el conector.

AWS política gestionada: política ApplicationDiscoveryServiceContinuousExportServiceRole

Si su cuenta de IAM tiene la AWSApplicationDiscoveryServiceFullAccess política adjunta, ApplicationDiscoveryServiceContinuousExportServiceRolePolicy se adjunta automáticamente a su cuenta cuando activa la exploración de datos en Amazon Athena.

Esta política permite AWS Application Discovery Service crear transmisiones de Amazon Data Firehose para transformar y entregar los datos recopilados por los AWS Application Discovery Service agentes a un bucket de Amazon S3 de su AWS cuenta.

Además, esta política crea una AWS Glue Data Catalog nueva base de datos llamada application_discovery_service_database y tablas de esquemas para mapear los datos recopilados por los agentes. Para obtener un ejemplo de esta política, consulte Otorgar permisos para la recopilación de datos de los agentes.

AWS política gestionada: AWSDiscoveryContinuousExportFirehosePolicy

La AWSDiscoveryContinuousExportFirehosePolicy política es obligatoria para utilizar la exploración de datos en Amazon Athena. Permite a Amazon Data Firehose escribir los datos recopilados desde Application Discovery Service en Amazon S3. Para obtener información sobre el uso de esta política, consulte Crear el rol AWSApplicationDiscoveryServiceFirehose . Para obtener un ejemplo de esta política, consulte Otorgar permisos para la exploración de datos.

Crear el rol AWSApplicationDiscoveryServiceFirehose

Un administrador adjunta las políticas gestionadas a su cuenta de usuario de IAM. Al usar la AWSDiscoveryContinuousExportFirehosePolicy política, el administrador primero debe crear un rol denominado AWSApplicationDiscoveryServiceFirehoseFirehose como entidad de confianza y, a continuación, adjuntar la AWSDiscoveryContinuousExportFirehosePolicy política al rol, como se muestra en el siguiente procedimiento.

Para crear el rol de IAM AWSApplicationDiscoveryServiceFirehose

En la consola de IAM, selecciona Roles en el panel de navegación.
Seleccione Crear rol.
Elija Kinesis.
Elija Kinesis Firehose como su caso de uso.
Elija Siguiente: permisos.
En Filtrar políticas, busque AWSDiscoveryContinuousExportFirehosePolicy.
Selecciona la casilla situada al lado y AWSDiscoveryContinuousExportFirehosePolicy, a continuación, selecciona Siguiente: Revisar.
Introduce AWSApplicationDiscoveryServiceFirehoseel nombre del rol y, a continuación, selecciona Crear rol.

Application Discovery Service actualiza las políticas AWS administradas

Vea los detalles sobre las actualizaciones de las políticas AWS administradas de Application Discovery Service desde que este servicio comenzó a rastrear estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de Historial de documento de AWS Application Discovery Service.

Cambio	Descripción	Fecha
AWSApplicationDiscoveryAgentlessCollectorAccess— La nueva política está disponible con el lanzamiento de Agentless Collector	Application Discovery Service agregó la nueva política administrada `AWSApplicationDiscoveryAgentlessCollectorAccess` que otorga al recopilador sin agente acceso para registrarse y comunicarse con el Application Discovery Service y comunicarse con otros AWS servicios.	16 de agosto de 2022
Application Discovery Service comenzó a rastrear los cambios	Application Discovery Service comenzó a rastrear los cambios en sus políticas AWS administradas.	1 de marzo de 2021

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

¿Cómo AWS Application Discovery Service funciona con IAM

Ejemplos de políticas basadas en identidades