Utilizzo di ruoli collegati ai servizi per gli spazi di refattore - AWS Migration Hub
Autorizzazioni del ruolo collegato ai servizi per gli spazi di refattoreCreazione di un ruolo collegato ai servizi per gli spazi di refattoreModifica di un ruolo collegato ai servizi per gli spazi di refattoreEliminazione di un ruolo collegato ai servizi per gli spazi di refattoreRegioni supportate per i ruoli collegati ai servizi di Refactor Spaces

AWS Migration Hub Refactor Spaces è disponibile nella versione di anteprima ed è soggetto a modifiche.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di ruoli collegati ai servizi per gli spazi di refattore

utilizza AWS Migration Hub Refactor SpacesAWS Identity and Access Management(IAM)ruoli collegati ai servizi. Un ruolo collegato ai servizi è un tipo univoco di ruolo IAM collegato direttamente agli spazi di refattore. I ruoli collegati ai servizi sono definiti automaticamente da Refactor Spaces e includono tutte le autorizzazioni richieste dal servizio per eseguire chiamate agli altri servizi.AWSservizi per tuo conto.

Un ruolo collegato ai servizi semplifica la configurazione di Refactor Spaces perché non dovrai più aggiungere manualmente le autorizzazioni necessarie. Refactor Spaces definisce le autorizzazioni dei relativi ruoli associati ai servizi e, salvo diversamente definito, solo gli spazi Refactor possono assumere i propri ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun'altra entità IAM.

È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. Questa procedura protegge le risorse di Refactor Spaces perché impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta Servizi AWS che funzionano con IAM e cerca i servizi che riportano nella colonna Ruolo associato ai servizi. Scegliere un link Yes (Sì) per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni del ruolo collegato ai servizi per gli spazi di refattore

Refactor Spaces utilizza il ruolo collegato ai servizi denominato.Ruolo di servizio AWS per la migrazione Huber Factor Spacese lo associa alPolitica del ruolo del servizio HubreFactorSpace MigrationPolitica IAM: fornisce l'accesso aAWSrisorse gestite o utilizzate da AWS Migration Hub Refactor Spaces.

Per assumere tale ruolo, il ruolo collegato ai servizi AWSServiceRoleForMigrationHubreFactorSpaces considera attendibili i seguenti servizi:

  • refactor-spaces.amazonaws.com

Di seguito viene riportato l'Amazon Resource Name (ARN) per AWSServiceRoleForMigrationHubreFactorSpaces.

arn:aws:iam::111122223333:role/aws-service-role/refactor-spaces.amazonaws.com/AWSServiceRoleForMigrationHubRefactorSpaces

Refactor Spaces utilizza ilRuolo di servizio AWS per la migrazione Huber Factor Spacesruolo collegato al servizio durante l'esecuzione di modifiche tra account. Questo ruolo deve essere presente nel tuo account per utilizzare Refactor Spaces. Se non è presente, Refactor Spaces lo crea durante le seguenti chiamate API:

  • CreateEnvironment

  • CreateService

  • CreateApplication

  • CreateRoute

Per creare il ruolo collegato ai servizi, devi disporre delle autorizzazioni iam:CreateServiceLinkedRole. Se il ruolo collegato ai servizi non esiste nel tuo account e non può essere creato,Createle chiamate falliranno. È necessario creare il ruolo collegato al servizio nella console IAM prima di utilizzare Refactor Spaces, a meno che non si utilizzi la console Refactor Spaces.

Refactor Spaces non utilizza il ruolo collegato ai servizi quando apportano modifiche all'account connesso corrente. Ad esempio, quando viene creata un'applicazione, Refactor Spaces aggiorna tutti i VPC nell'ambiente in modo che possano comunicare con il nuovo VPC aggiunto. Se i VPC si trovano in altri account, Refactor Spaces utilizza il ruolo collegato al servizio eec2:CreateRouteautorizzazione per aggiornare le tabelle di instradamento in altri account.

Per espandere ulteriormente l'esempio di creazione dell'applicazione, durante la creazione di un'applicazione, Refactor Spaces aggiorna le tabelle di routing presenti nel cloud privato virtuale (VPC) fornito nelCreateApplicationchiamata. In questo modo, il VPC può comunicare con altri VPC nell'ambiente.

Il chiamante deve avere ilec2:CreateRouteautorizzazione che utilizziamo per aggiornare le tabelle dei percorsi. Questa autorizzazione esiste nel ruolo collegato al servizio, ma Refactor Spaces non utilizza il ruolo collegato al servizio nell'account del chiamante per ottenere questa autorizzazione. Al contrario, il chiamante deve avere ilec2:CreateRouteautorizzazione. Altrimenti, la chiamata non riesce.

Non puoi utilizzare il ruolo collegato ai servizi per aumentare i privilegi. Il tuo account deve già disporre delle autorizzazioni nel ruolo collegato al servizio per apportare le modifiche all'account chiamante. LaAWSMigrationHubRefactorSpacesFullAccesspolicy gestita, insieme a un criterio che concede le autorizzazioni aggiuntive richieste, definisce tutte le autorizzazioni necessarie per creare risorse Refactor Spaces. Il ruolo collegato al servizio è un sottoinsieme di queste autorizzazioni che viene utilizzato per chiamate specifiche tra account. Per ulteriori informazioni su AWSMigrationHubRefactorSpacesFullAccess, consultare AWSpolicy gestita: AWS Migration Huber Factor Space accesso completo.

Tags

Quando Refactor Spaces crea risorse nel tuo account, vengono contrassegnate con l'ID della risorsa Refactor Spaces appropriato. Ad esempio, il Transit Gateway creato daCreateEnvironmentè taggato con ilrefactor-spaces:environment-idtag con l'ID ambiente come valore. L'API Gateway creata daCreateApplicationè taggato conrefactor-spaces:application-idcon l'ID dell'applicazione come valore. Questi tag consentono a Refactor Spaces di gestire queste risorse. Se modificate o rimuovete i tag, Refactor Spaces non è più in grado di aggiornare o eliminare la risorsa.

MigrationHubRefactorSpacesServiceRolePolicy

La policy delle autorizzazioni del ruolo denominato MigrationHubreFactorSpaceServiceRolePolicy consente a Refactor Spaces di eseguire le seguenti operazioni sulle risorse specificate:

Azioni Amazon API Gateway

apigateway:PUT

apigateway:POST

apigateway:GET

apigateway:PATCH

apigateway:DELETE

Operazioni Amazon Elastic Compute Cloud

ec2:DescribeNetworkInterfaces

ec2:DescribeRouteTables

ec2:DescribeSubnets

ec2:DescribeSecurityGroups

ec2:DescribeVpcEndpointServiceConfigurations

ec2:DescribeTransitGatewayVpcAttachments

ec2:AuthorizeSecurityGroupIngress

ec2:RevokeSecurityGroupIngress

ec2:DeleteSecurityGroup

ec2:DeleteTransitGatewayVpcAttachment

ec2:CreateRoute

ec2:DeleteRoute

ec2:DeleteTags

ec2:DeleteVpcEndpointServiceConfigurations

Operazioni AWS Resource Access Manager

ram:GetResourceShareAssociations

ram:DeleteResourceShare

ram:AssociateResourceShare

ram:DisassociateResourceShare

Elastic Load Balancing; azioni

elasticloadbalancing:DescribeTargetHealth

elasticloadbalancing:DescribeListener

elasticloadbalancing:DescribeTargetGroups

elasticloadbalancing:RegisterTargets

elasticloadbalancing:CreateLoadBalancerListeners

elasticloadbalancing:CreateListener

elasticloadbalancing:DeleteListener

elasticloadbalancing:DeleteTargetGroup

elasticloadbalancing:DeleteLoadBalancer

elasticloadbalancing:AddTags

elasticloadbalancing:CreateTargetGroup

Di seguito viene riportato il criterio completo che mostra a quali risorse si applicano le operazioni precedenti:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcEndpointServiceConfigurations",
                "ec2:DescribeTransitGatewayVpcAttachments",
                "elasticloadbalancing:DescribeTargetHealth",
                "elasticloadbalancing:DescribeListeners",
                "elasticloadbalancing:DescribeTargetGroups",
                "ram:GetResourceShareAssociations"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteTransitGatewayVpcAttachment",
                "ec2:CreateRoute",
                "ec2:DeleteRoute",
                "ec2:DeleteTags",
                "ram:DeleteResourceShare",
                "ram:AssociateResourceShare",
                "ram:DisassociateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/refactor-spaces:environment-id": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteVpcEndpointServiceConfigurations",
            "Resource": "*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/refactor-spaces:application-id": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:RegisterTargets",
                "elasticloadbalancing:CreateLoadBalancerListeners",
                "elasticloadbalancing:CreateListener",
                "elasticloadbalancing:DeleteListener",
                "elasticloadbalancing:DeleteTargetGroup"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/refactor-spaces:route-id": [
                        "*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "apigateway:PUT",
                "apigateway:POST",
                "apigateway:GET",
                "apigateway:PATCH",
                "apigateway:DELETE"
            ],
            "Resource": [
                "arn:aws:apigateway:*::/restapis",
                "arn:aws:apigateway:*::/restapis/*",
                "arn:aws:apigateway:*::/vpclinks/*",
                "arn:aws:apigateway:*::/tags",
                "arn:aws:apigateway:*::/tags/*"
            ],
            "Condition": {
                "Null": {
                    "aws:ResourceTag/refactor-spaces:application-id": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "apigateway:GET",
            "Resource": "arn:aws:apigateway:*::/vpclinks/*"
        },
        {
            "Effect": "Allow",
            "Action": "elasticloadbalancing:DeleteLoadBalancer",
            "Resource": "arn:*:elasticloadbalancing:*:*:loadbalancer/net/refactor-spaces-nlb-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:AddTags",
                "elasticloadbalancing:CreateListener"
            ],
            "Resource": "arn:*:elasticloadbalancing:*:*:loadbalancer/net/refactor-spaces-nlb-*",
            "Condition": {
                "Null": {
                    "aws:RequestTag/refactor-spaces:route-id": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "elasticloadbalancing:DeleteListener",
            "Resource": "arn:*:elasticloadbalancing:*:*:listener/net/refactor-spaces-nlb-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:DeleteTargetGroup",
                "elasticloadbalancing:RegisterTargets"
            ],
            "Resource": "arn:*:elasticloadbalancing:*:*:targetgroup/refactor-spaces-tg-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:AddTags",
                "elasticloadbalancing:CreateTargetGroup"
            ],
            "Resource": "arn:*:elasticloadbalancing:*:*:targetgroup/refactor-spaces-tg-*",
            "Condition": {
                "Null": {
                    "aws:RequestTag/refactor-spaces:route-id": "false"
                }
            }
        }
    ]
}

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Creazione di un ruolo collegato ai servizi per gli spazi di refattore

Non devi creare manualmente un ruolo collegato ai servizi. Quando si creano le risorse dell'ambiente, dell'applicazione, del servizio o dell'instradamento di Refactor Spaces nellaAWS Management Console, ilAWS CLI, o ilAWSRefactor Spaces crea automaticamente il ruolo collegato ai servizi. Per ulteriori informazioni sulla creazione di un ruolo collegato ai servizi per gli spazi di refattore, consultaAutorizzazioni del ruolo collegato ai servizi per gli spazi di refattore.

Se si elimina questo ruolo collegato ai servizi e quindi deve essere creato di nuovo, è possibile utilizzare lo stesso processo per ricreare il ruolo nell'account. Quando si creano risorse dell'ambiente, dell'applicazione, del servizio o dell'instradamento di Refactor Spaces, Refactor Spaces crea nuovamente il ruolo collegato ai servizi per l'utente.

Modifica di un ruolo collegato ai servizi per gli spazi di refattore

Refactor Spaces non consente di modificare il ruolo collegato ai servizi AWSServiceRoleForMigrationHubreFactorSpaces. Dopo aver creato un ruolo collegato ai servizi, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione di un ruolo collegato ai servizi per gli spazi di refattore

Se non è più necessario utilizzare una caratteristicao un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.

Nota

Se il servizio Refactor Spaces utilizza tale ruolo quando tenti di eliminare le risorse, è possibile che l'eliminazione non abbia esito positivo. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.

Per eliminare le risorse Refactor Spaces utilizzate da AWSServiceSoleFormigrationHubreFactorSpaces, utilizzare la console Refactor Spaces per eliminare le risorse oppure utilizzare le operazioni API di eliminazione per le risorse. Per ulteriori informazioni sulle operazioni di eliminazione delle API, consultaInformazioni di riferimento sull'API Refactor Spaces.

Per eliminare manualmente il ruolo collegato ai servizi utilizzando IAM

Utilizzare la console IAM,AWS CLI, o ilAWSPer eliminare il ruolo collegato ai servizi AWSServiceRoleForMigrationHubreFactorSpaces. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Regioni supportate per i ruoli collegati ai servizi di Refactor Spaces

Refactor Spaces supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta Regioni ed endpoint di AWS.