新しいユーザー IAM セットアップ - AWS Migration Hub
必要なマネージドポリシー

新しいユーザー IAM セットアップ

このセクションでは、AWS Migration Hub と共に使用できる 4 つのマネージドポリシーの概要 と、ユーザーまたは移行ツール用の Migration Hub コンソールまたは API へのアクセスをセットアップする方法について説明します。

必要なマネージドポリシー

アカウントのユーザーにアタッチ可能な以下の AWS マネージドポリシーは、Migration Hub に固有のもので、ユースケースシナリオ別にグループ化されます。

  • AWSMigrationHubDiscoveryAccess – (migrationhub-discovery ロールに含まれる) – Migration Hub サービスが Application Discovery Service を呼び出すことを許可するアクセス許可を付与します。

  • AWSMigrationHubFullAccess – 管理者以外のユーザーに対して、Migration Hub コンソールおよび API/CLI へのアクセス権を付与します。

  • AWSMigrationHubSMSAccess – Migration Hub が AWS Server Migration Service 移行ツールからの通知を受信するためのアクセス許可を付与します。

  • AWSMigrationHubDMSAccess – Migration Hub が AWS Database Migration Service 移行ツールから通知を受信するためのアクセス許可を付与します。

管理者以外の IAM ユーザーに Migration Hub 権限を付与する場合は、「Migration Hub サービス API とコンソールマネージドアクセス」を参照してください。

AWS 移行ツールを承認(つまり、接続)する場合は、「AWS Server Migration Service (SMS)」 または「AWS Database Migration Service (DMS)」を参照してください。

Migration Hub サービス API とコンソールマネージドアクセス

管理者は、ユーザーを作成し、マネージドポリシーを使用して Migration Hub コンソールにアクセスするアクセス許可を付与できます。

  1. IAM コンソールに入ります。

  2. ユーザーを作成します。

  3. ユーザーが作成されたら、[アクセス許可] タブで [アクセス許可の追加] を選択します。

  4. [Attach existing policies directly (既存のポリシーを直接アタッチ)] を選択します。

  5. ポリシー「AWSMigrationHubFullAccess」を検索してアタッチします。

migrationhub-discovery ロール

Migration Hub を使用するには、migrationhub-discovery ロール(AWSMigrationHubDiscoveryAccess ポリシーを含む)を AWS アカウントに追加する必要があります。これにより、Migration Hub はお客様に代わって Application Discovery Service にアクセスできるようになります。

AWS Migration Hub コンソールは、Migration Hub コンソールを管理者として使用すると、AWS アカウントに自動的にアタッチされる migrationhub-discovery ロールを作成します。コンソールを使用せずに AWS コマンドラインインターフェイス (AWS CLI) または AWS Migration Hub API を使用する場合は、このロールを手動でアカウントに追加する必要があります。

  1. IAM コンソールの ロールセクション に移動します。

  2. [Create new role (新しいロールの選択)] を選択します。

  3. AWS サービスロールから「Amazon EC2」を選択します。

  4. 「AWSApplicationDiscoveryServiceFullAccess」マネージドポリシーをアタッチします。

  5. ロールに「migrationhub-discovery」という名前を付けます(大文字と小文字を区別し、正しいスペルを使用した必要なロール名)

  6. 新しいロールにアクセスし、[Trust Relationships (信頼関係)] タブで、[Edit Trust Relationship (信頼関係の編集)] を選択します。

  7. 以下の信頼ポリシーを追加します。

    
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "migrationhub.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

移行ツール(マネージドポリシー)

移行ハブが移行ツールからの通知を受け取るには、移行ツールごとにロールとポリシーが必要です。これらのアクセス許可により、SMS や DMS などの AWS のサービスが Migration Hub に更新を送信できるようになります。

AWS Server Migration Service (SMS)

  1. IAM コンソールの ロールセクション に移動します。

  2. [Create new role (新しいロールの選択)] を選択します。

  3. AWS サービスロールから「Amazon EC2」を選択します。

  4. 「AWSMigrationHubSMSAccess」マネージドポリシーをアタッチします。

  5. ロールに「migrationhub-sms」という名前を付けます(大文字と小文字を区別し、正しいスペルを使用した必要なロール名)

  6. 新しいロールにアクセスし、[Trust Relationships (信頼関係)] タブで、[Edit Trust Relationship (信頼関係の編集)] を選択します。

  7. 以下の信頼ポリシーを追加します。

    
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "sms.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

AWS Database Migration Service (DMS)

  1. IAM コンソールの ロールセクション に移動します。

  2. [Create new role (新しいロールの選択)] を選択します。

  3. AWS サービスロールから「Amazon EC2」を選択します。

  4. 「AWSMigrationHubDMSAccess」マネージドポリシーをアタッチします。

  5. ロールに「migrationhub-dms」という名前を付けます(大文字と小文字を区別し、正しいスペルを使用した必要なロール名)

  6. 新しいロールにアクセスし、[Trust Relationships (信頼関係)] タブで、[Edit Trust Relationship (信頼関係の編集)] を選択します。

  7. 以下の信頼ポリシーを追加します。

    
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "dms.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}