翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS の マネージドポリシー AWS Application Discovery Service
ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも、 AWS 管理ポリシーを使用する方が簡単です。必要なアクセス許可のみをチームに提供するIAMカスタマー管理ポリシーを作成するには、時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、「 ユーザーガイド」のAWS 「 管理ポリシー」を参照してください。 IAM
AWS サービスは、 AWS マネージドポリシーを維持および更新します。 AWS マネージドポリシーのアクセス許可は変更できません。サービスでは、新しい機能を利用できるようにするために、 AWS マネージドポリシーに権限が追加されることがあります。この種類の更新は、ポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS 管理ポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。
さらに、 は、複数の サービスにまたがるジョブ関数の マネージドポリシー AWS をサポートしています。例えば、 ReadOnlyAccess AWS マネージドポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ関数ポリシーのリストと説明については、「 ユーザーガイド」のAWS 「ジョブ関数の管理ポリシー」を参照してください。 IAM
AWS マネージドポリシー: AWSApplicationDiscoveryServiceFullAccess
このAWSApplicationDiscoveryServiceFullAccessポリシーは、Application Discovery Service と Migration Hub へのアクセスをIAMユーザーアカウントに付与しますAPIs。
このポリシーがアタッチされたIAMユーザーアカウントは、Application Discovery Service の設定、エージェントの起動と停止、エージェントレス検出の開始と停止、および AWS Discovery Service データベースからのデータのクエリを行うことができます。このポリシーの例については、「Application Discovery Service へのフルアクセスの許可」を参照してください。
AWS マネージドポリシー: AWSApplicationDiscoveryAgentlessCollectorAccess
AWSApplicationDiscoveryAgentlessCollectorAccess マネージドポリシーは、Application Discovery Service Agentless Collector (Agentless Collector) に Application Discovery Service を登録して通信し、他の AWS サービスと通信するためのアクセスを許可します。
このポリシーは、エージェントレスコレクターの設定に認証情報が使用されるIAMユーザーにアタッチする必要があります。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
arsenal— コレクターが Application Discovery Service アプリケーションに登録できるようにします。これは、収集されたデータを に送信できるようにするために必要です AWS。 -
ecr-public– コレクターが、コレクターの最新の更新が見つかった Amazon Elastic Container Registry Public (Amazon ECR Public) を呼び出すことを許可します。 -
mgh– コレクターが を呼び出し AWS Migration Hub て、コレクターの設定に使用されるアカウントのホームリージョンを取得できるようにします。これは、収集されたデータをどのリージョンに送信するかを知るために必要です。 -
sts– コレクターがサービスベアラトークンを取得して、コレクターが Amazon ECR Public を呼び出して最新の更新を取得できるようにします。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "arsenal:RegisterOnPremisesAgent" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ecr-public:DescribeImages" ], "Resource": "arn:aws:ecr-public::446372222237:repository/6e5498e4-8c31-4f57-9991-13b4b992ff7b" }, { "Effect": "Allow", "Action": [ "ecr-public:GetAuthorizationToken" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "mgh:GetHomeRegion" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "sts:GetServiceBearerToken" ], "Resource": "*" } ] }
AWS マネージドポリシー: AWSApplicationDiscoveryAgentAccess
AWSApplicationDiscoveryAgentAccess ポリシーは、Application Discovery Service に登録して通信するためのアクセス権を Application Discovery Agent に付与します。
このポリシーをアタッチする対象ユーザーは、その認証情報が Application Discovery Service で使用されるすべてのユーザーです。
このポリシーは、ユーザーに Arsenal へのアクセス権も付与します。Arsenal は、 によって管理およびホストされるエージェントサービスです AWS。Arsenal は、クラウド内で Application Discovery Service にデータを転送します。このポリシーの例については、「検出エージェントへのアクセスの許可」を参照してください。
AWS マネージドポリシー: AWSAgentlessDiscoveryService
このAWSAgentlessDiscoveryServiceポリシーは、VMware vCenter サーバーで実行されている AWS Agentless Discovery Connector に、Application Discovery Service に登録、通信、およびコネクタヘルスメトリクスを共有するためのアクセスを許可します。
このポリシーをアタッチする対象のユーザーは、その認証情報がコネクタで使用されるすべてのユーザーです。
AWS マネージドポリシー: ApplicationDiscoveryServiceContinuousExportServiceRolePolicy
IAM アカウントにAWSApplicationDiscoveryServiceFullAccessポリシーがアタッチされている場合、Amazon Athena でデータ探索を有効にすると、 ApplicationDiscoveryServiceContinuousExportServiceRolePolicyは自動的にアカウントにアタッチされます。
このポリシーにより AWS Application Discovery Service 、 は Amazon Data Firehose ストリームを作成して、 AWS Application Discovery Service エージェントが収集したデータを変換し、 AWS アカウントの Amazon S3 バケットに配信できます。
さらに、このポリシーは、application_discovery_service_database と呼ばれる新しいデータベースと、エージェントによって収集されたデータをマッピングするためのテーブルスキーマ AWS Glue Data Catalog を持つ を作成します。このポリシーの例については、「 エージェントデータ収集のアクセス許可の付与」を参照してください。
AWS マネージドポリシー: AWSDiscoveryContinuousExportFirehosePolicy
Amazon Athena でデータ探索を使用するには、 AWSDiscoveryContinuousExportFirehosePolicyポリシーが必要です。これにより、Amazon Data Firehose は Application Discovery Service から Amazon S3 に収集されたデータを書き込むことができます。このポリシーの使用方法については、「 AWSApplicationDiscoveryServiceFirehose ロールの作成」を参照してください。このポリシーの例については、「データ探索のアクセス許可の付与」を参照してください。
AWSApplicationDiscoveryServiceFirehose ロールの作成
管理者は、 マネージドポリシーをIAMユーザーアカウントにアタッチします。AWSDiscoveryContinuousExportFirehosePolicy ポリシーを使用する場合、管理者はまず Firehose AWSApplicationDiscoveryServiceFirehoseという名前のロールを信頼されたエンティティとして作成し、次に次の手順に示すようにAWSDiscoveryContinuousExportFirehosePolicyポリシーをロールにアタッチする必要があります。
AWSApplicationDiscoveryServiceFirehose IAM ロールを作成するには
-
IAM コンソールで、ナビゲーションペインでロールを選択します。
-
[ロールの作成] を選択します。
-
[Kinesis] を選択します。
-
ユースケースとして、[Kinesis Firehose] を選択します。
-
[Next: Permissions] (次へ: アクセス許可) を選択します。
-
フィルターポリシーで を検索しますAWSDiscoveryContinuousExportFirehosePolicy。
-
の横にあるボックスを選択しAWSDiscoveryContinuousExportFirehosePolicy、次へ: 確認 を選択します。
-
ロール名AWSApplicationDiscoveryServiceFirehoseとして を入力し、ロールの作成 を選択します。
AWS マネージドポリシーへの Application Discovery Service の更新
このサービスがこれらの変更の追跡を開始してからの Application Discovery Service の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、AWS Application Discovery Service のドキュメント履歴ページのRSSフィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
|---|---|---|
|
AWSApplicationDiscoveryAgentlessCollectorAccess – エージェントレスコレクターの起動で利用可能になった新しいポリシー |
Application Discovery Service は、Application Discovery Service に登録して通信し、他の AWS サービスと通信するためのアクセスをエージェントレスコレクターに付与 |
2022 年 8 月 16 日 |
|
Application Discovery Service が変更の追跡を開始しました |
Application Discovery Service は AWS 、管理ポリシーの変更の追跡を開始しました。 |
2021 年 3 月 1 日 |
