Bonnes pratiques en matière de politiques Octroi d'un accès complet Accorder l'accès aux agents Octroi d'autorisations pour la collecte des données des agents Octroi d'autorisations pour l'exploration des données Octroi d'autorisations pour utiliser le schéma de réseau

AWS Application Discovery Service Exemples de politiques basées sur l'identité

Par défaut, les utilisateurs et les rôles IAM ne sont pas autorisés à créer ou à modifier les ressources Application Discovery Service. Ils ne peuvent pas non plus effectuer de tâches à l'aide de l' AWS API AWS Management Console AWS CLI, ou. Un administrateur IAM doit créer des politiques IAM autorisant les utilisateurs et les rôles à exécuter des opérations d'API spécifiques sur les ressources spécifiées dont ils ont besoin. Il doit ensuite attacher ces politiques aux utilisateurs ou aux groupes IAM ayant besoin de ces autorisations.

Pour savoir comment créer une stratégie IAM basée sur l'identité à l'aide de ces exemples de documents de stratégie JSON, veuillez consulter Création de stratégies dans l'onglet JSON dans le Guide de l'utilisateur IAM.

Rubriques

Bonnes pratiques en matière de politiques
Octroi d'un accès complet à Application Discovery Service
Octroi de l'accès aux agents de découverte
Octroi d'autorisations pour la collecte des données des agents
Octroi d'autorisations pour l'exploration des données
Octroi d'autorisations pour utiliser le schéma réseau de la console Migration Hub

Bonnes pratiques en matière de politiques

Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer des ressources Application Discovery Service dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :

Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations à vos utilisateurs et à vos charges de travail, utilisez les politiques AWS gérées qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez politiques gérées par AWS ou politiques gérées par AWS pour les activités professionnelles dans le Guide de l’utilisateur IAM.
Accorder les autorisations de moindre privilège : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées autorisations de moindre privilège. Pour plus d’informations sur l’utilisation de IAM pour appliquer des autorisations, consultez politiques et autorisations dans IAM dans le Guide de l’utilisateur IAM.
Utiliser des conditions dans les politiques IAM pour restreindre davantage l’accès : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que AWS CloudFormation. Pour plus d’informations, consultez Conditions pour éléments de politique JSON IAM dans le Guide de l’utilisateur IAM.
Utilisez IAM Access Analyzer pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles : IAM Access Analyzer valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez Validation de politique IAM Access Analyzer dans le Guide de l’utilisateur IAM.
Exiger l'authentification multifactorielle (MFA) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger le MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez Configuration de l’accès aux API protégé par MFA dans le Guide de l’utilisateur IAM.

Pour plus d’informations sur les bonnes pratiques dans IAM, consultez Bonnes pratiques de sécurité dans IAM dans le Guide de l’utilisateur IAM.

Octroi d'un accès complet à Application Discovery Service

La politique AWSApplicationDiscoveryServiceFullAccess gérée accorde au compte utilisateur IAM l'accès aux API Application Discovery Service et Migration Hub.

Un utilisateur IAM dont cette politique est associée à son compte peut configurer Application Discovery Service, démarrer et arrêter les agents, démarrer et arrêter la découverte sans agent et interroger les données de la base de données AWS Discovery Service. Pour de plus amples informations sur cette stratégie, consultez AWS politiques gérées pour AWS Application Discovery Service.

Exemple AWSApplicationDiscoveryServiceFullAccess politique


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "mgh:*",
                "discovery:*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "iam:GetRole"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Octroi de l'accès aux agents de découverte

La politique AWSApplicationDiscoveryAgentAccess gérée accorde à l'agent Application Discovery l'accès pour s'enregistrer et communiquer avec Application Discovery Service. Pour de plus amples informations sur cette stratégie, consultez AWS politiques gérées pour AWS Application Discovery Service.

Associez cette politique à tout utilisateur dont les informations d'identification sont utilisées par Application Discovery Agent.

Cette stratégie permet également à l'utilisateur d'accéder à Arsenal. Arsenal est un service d'agent géré et hébergé par AWS. Arsenal transmet les données à Application Discovery Service dans le cloud.

Exemple AWSApplicationDiscoveryAgentAccess Politique


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "arsenal:RegisterOnPremisesAgent"
            ],
            "Resource": "*"
        }
    ]
}

Octroi d'autorisations pour la collecte des données des agents

La politique ApplicationDiscoveryServiceContinuousExportServiceRolePolicy gérée permet de AWS Application Discovery Service créer des flux Amazon Data Firehose pour transformer et transmettre les données collectées par les agents d'Application Discovery Service vers un compartiment Amazon S3 de votre AWS compte.

En outre, cette politique crée un catalogue de AWS Glue données avec une nouvelle base de données appelée application_discovery_service_database et des schémas de table pour mapper les données collectées par les agents.

Pour plus d'informations sur l'utilisation de cette stratégie, consultez AWS politiques gérées pour AWS Application Discovery Service.

Exemple ApplicationDiscoveryServiceContinuousExportServiceRolePolicy


{
   "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "glue:CreateDatabase",
                "glue:UpdateDatabase",
                "glue:CreateTable",
                "glue:UpdateTable",
                "firehose:CreateDeliveryStream",
                "firehose:DescribeDeliveryStream",
                "logs:CreateLogGroup"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "firehose:DeleteDeliveryStream",
                "firehose:PutRecord",
                "firehose:PutRecordBatch",
                "firehose:UpdateDestination"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:firehose:*:*:deliverystream/aws-application-discovery-service*"
        },
        {
            "Action": [
                "s3:CreateBucket",
                "s3:ListBucket",
                "s3:PutBucketLogging",
                "s3:PutEncryptionConfiguration"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::aws-application-discovery-service*"
        },
        {
            "Action": [
                "s3:GetObject"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:s3:::aws-application-discovery-service*/*"
        },
        {
            "Action": [
                "logs:CreateLogStream",
                "logs:PutRetentionPolicy"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:logs:*:*:log-group:/aws/application-discovery-service/firehose*"
        },
        {
            "Action": [
                "iam:PassRole"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:role/AWSApplicationDiscoveryServiceFirehose",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "firehose.amazonaws.com"
                }
            }
        },
        {
            "Action": [
                "iam:PassRole"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:role/service-role/AWSApplicationDiscoveryServiceFirehose",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "firehose.amazonaws.com"
                }
            }
        }
    ]        
}

Octroi d'autorisations pour l'exploration des données

La AWSDiscoveryContinuousExportFirehosePolicy politique est requise pour utiliser l'exploration des données dans Amazon Athena. Il permet à Amazon Data Firehose d'écrire des données collectées depuis Application Discovery Service vers Amazon S3. Pour plus d'informations sur l'utilisation de cette stratégie, consultez Création du AWSApplicationDiscoveryServiceFirehose rôle.

Exemple AWSDiscoveryContinuousExportFirehosePolicy


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "glue:GetTableVersions"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::aws-application-discovery-service-*",
                "arn:aws:s3:::aws-application-discovery-service-*/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:/aws/application-discovery-service/firehose:log-stream:*"
            ]
        }
    ]
}

Octroi d'autorisations pour utiliser le schéma réseau de la console Migration Hub

Pour accorder l'accès au schéma réseau de la AWS Migration Hub console lors de la création d'une politique basée sur l'identité qui autorise ou refuse l'accès à Application Discovery Service ou à Migration Hub, vous devrez peut-être ajouter l'discovery:GetNetworkConnectionGraphaction à la stratégie.

Vous devez utiliser cette discovery:GetNetworkConnectionGraph action dans les nouvelles politiques ou mettre à jour les anciennes politiques si les deux conditions suivantes s'appliquent à la stratégie :

La politique autorise ou refuse l'accès à Application Discovery Service ou au Migration Hub.
La politique accorde des autorisations d'accès en utilisant une autre action de découverte spécifique, comme discovery:action-name plutôt quediscovery:*.

L'exemple suivant montre comment utiliser l'discovery:GetNetworkConnectionGraphaction dans une politique IAM.

Exemple


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["discovery:GetNetworkConnectionGraph"],
            "Resource": "*"
        }
    ]
}

Pour plus d'informations sur le schéma réseau du Migration Hub, consultez la section Affichage des connexions réseau dans Migration Hub.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS politiques gérées

Présentation et utilisation des rôles liés à des services