AWS 에 대한 관리형 정책 AWS Application Discovery Service

사용자, 그룹 및 역할에 권한을 추가하려면 정책을 직접 작성하는 것보다 AWS 관리형 정책을 사용하는 것이 더 쉽습니다. 팀에 필요한 권한만 제공하는 IAM 고객 관리형 정책을 생성하기 위해서는 시간과 전문 지식이 필요합니다. 빠르게 시작하려면 AWS 관리형 정책을 사용할 수 있습니다. 이 정책은 일반적인 사용 사례를 다루며 사용자의 AWS 계정에서 사용할 수 있습니다. AWS 관리형 정책에 대한 자세한 내용은 IAM 사용 설명서의 AWS 관리형 정책을 참조하십시오.

AWS 서비스는 AWS 관리형 정책을 유지 관리하고 업데이트합니다. AWS 관리형 정책에서는 권한을 변경할 수 없습니다. 서비스에서 때때로 추가 권한을 AWS 관리형 정책에 추가하여 새로운 기능을 지원합니다. 이 유형의 업데이트는 정책이 연결된 모든 보안 인증(사용자, 그룹 및 역할)에 적용됩니다. 서비스는 새로운 기능이 시작되거나 새 작업을 사용할 수 있을 때 AWS 관리형 정책에 업데이트됩니다. 서비스는 AWS 관리형 정책에서 권한을 제거하지 않으므로 정책 업데이트로 인해 기존 권한이 손상되지 않습니다.

또한 여러 서비스에 걸친 작업 기능에 대한 관리형 정책을 AWS 지원합니다. 예를 들어, ReadOnlyAccess AWS 관리형 정책은 모든 AWS 서비스와 리소스에 대한 읽기 전용 액세스를 제공합니다. 서비스가 새 기능을 출시하면 새 작업 및 리소스에 대한 읽기 전용 권한이 AWS 추가됩니다. 직무 정책의 목록과 설명은 IAM 사용 설명서의 직무에 관한 AWS 관리형 정책을 참조하세요.

AWS 관리형 정책: AWSApplicationDiscoveryServiceFullAccess

이 AWSApplicationDiscoveryServiceFullAccess 정책은 IAM 사용자 계정에 Application Discovery Service 및 Migration Hub API에 대한 액세스 권한을 부여합니다.

이 정책이 연결된 IAM 사용자 계정은 Application Discovery Service를 구성하고, 에이전트를 시작 및 중지하고, 에이전트 없는 검색을 시작 및 중지하고, 검색 서비스 데이터베이스에서 데이터를 쿼리할 수 있습니다. AWS 이 정책의 예는 Application Discovery Service에 대한 전체 액세스 권한 부여 단원을 참조하십시오.

AWS 관리형 정책: AWSApplicationDiscoveryAgentlessCollectorAccess

AWSApplicationDiscoveryAgentlessCollectorAccess관리형 정책은 Application Discovery Service 에이전트 없는 수집기 (Agentless Collector) 에게 Application Discovery Service에 등록 및 통신하고 다른 서비스와 통신할 수 있는 액세스 권한을 부여합니다. AWS

에이전트리스 컬렉터를 구성하는 데 사용되는 자격 증명을 가진 IAM 사용자에게 이 정책을 연결해야 합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

• arsenal— 수집기가 Application Discovery Service 애플리케이션에 등록할 수 있습니다. 이렇게 해야 수집된 데이터를 다시 보낼 수 AWS 있습니다.

• ecr-public— 컬렉터가 Amazon Elastic 컨테이너 레지스트리 퍼블릭 (Amazon ECR Public) 을 호출하여 컬렉터에 대한 최신 업데이트를 찾을 수 있도록 합니다.

• mgh— 컬렉터가 콜렉터 구성에 사용된 계정의 홈 리전을 AWS Migration Hub 호출하여 검색할 수 있도록 허용합니다. 이는 수집된 데이터를 어느 지역으로 전송해야 하는지를 파악하는 데 필요합니다.

• sts— 수집자가 Amazon ECR Public을 호출하여 최신 업데이트를 받을 수 있도록 서비스 베어러 토큰을 검색할 수 있습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "arsenal:RegisterOnPremisesAgent"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr-public:DescribeImages"
            ],
            "Resource": "arn:aws:ecr-public::446372222237:repository/6e5498e4-8c31-4f57-9991-13b4b992ff7b"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr-public:GetAuthorizationToken"

            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "mgh:GetHomeRegion"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sts:GetServiceBearerToken"
            ],
            "Resource": "*"
        }
    ]
}

AWS 관리형 정책: AWSApplicationDiscoveryAgentAccess

이 AWSApplicationDiscoveryAgentAccess 정책은 애플리케이션 검색 에이전트에게 Application Discovery Service에 등록하고 통신할 수 있는 액세스 권한을 부여합니다.

응용 프로그램 검색 에이전트에서 사용하는 자격 증명을 가진 모든 사용자에게 이 정책을 연결합니다.

또한 이 정책은 사용자에게 Arsenal에 대한 액세스 권한을 부여합니다. Arsenal은 에서 관리하고 AWS 호스팅하는 에이전트 서비스입니다. Arsenal은 클라우드의 Application Discovery Service로 데이터를 전달합니다. 이 정책의 예는 디스커버리 에이전트에 액세스 권한 부여 단원을 참조하십시오.

AWS 관리형 정책: AWSAgentlessDiscoveryService

이 AWSAgentlessDiscoveryService 정책은 VMware vCenter Server에서 실행 중인 AWS 에이전트 없는 검색 커넥터에 Application Discovery Service에 커넥터 상태 메트릭을 등록, 통신 및 공유할 수 있는 액세스 권한을 부여합니다.

이 정책을 커넥터가 자격 증명을 사용하는 사용자에게 연결합니다.

AWS 관리형 정책: 정책 ApplicationDiscoveryServiceContinuousExportServiceRole

IAM 계정에 AWSApplicationDiscoveryServiceFullAccess 정책이 연결되어 있는 경우 Amazon Athena에서 데이터 탐색을 활성화하면 계정에 자동으로 연결됩니다. ApplicationDiscoveryServiceContinuousExportServiceRolePolicy

이 정책을 사용하면 Amazon Data Firehose 스트림을 AWS Application Discovery Service 생성하여 AWS Application Discovery Service 에이전트가 수집한 데이터를 변환하여 계정의 Amazon S3 버킷으로 전송할 수 AWS 있습니다.

또한 이 정책은 application_discovery_service_database라는 새 데이터베이스와 에이전트가 수집한 데이터를 매핑하기 위한 테이블 스키마를 포함하는 데이터베이스를 생성합니다. AWS Glue Data Catalog 이 정책의 예는 상담원 데이터 수집 권한 부여 단원을 참조하십시오.

AWS 관리형 정책: AWSDiscoveryContinuousExportFirehosePolicy

Amazon Athena에서 데이터 탐색을 사용하려면 AWSDiscoveryContinuousExportFirehosePolicy 정책이 필요합니다. 이를 통해 Amazon Data Firehose는 Application Discovery Service에서 수집한 데이터를 Amazon S3에 쓸 수 있습니다. 이 정책 사용에 대한 자세한 내용은 역할 생성 AWSApplicationDiscoveryServiceFirehose 단원을 참조하십시오. 이 정책의 예는 데이터 탐색 권한 부여 단원을 참조하십시오.

역할 생성 AWSApplicationDiscoveryServiceFirehose

관리자가 IAM 사용자 계정에 관리형 정책을 연결합니다. AWSDiscoveryContinuousExportFirehosePolicy정책을 사용할 때 관리자는 먼저 다음 절차에 나와 AWSApplicationDiscoveryServiceFirehose있는 것처럼 Firehose를 신뢰할 수 있는 개체로 사용하여 이름을 지정한 다음 AWSDiscoveryContinuousExportFirehosePolicy 정책을 역할에 연결해야 합니다.

AWSApplicationDiscoveryServiceFirehose IAM 역할을 생성하려면

1. IAM 콘솔의 탐색 창에서 [Roles] 를 선택합니다.

2. Create Role(역할 생성)을 선택합니다.

3. Kinesis를 선택합니다.

4. 사용 사례로 Kinesis Firehose를 선택합니다.

5. 다음: 권한을 선택합니다.

6. 필터 정책에서 를 검색합니다. AWSDiscoveryContinuousExportFirehosePolicy

7. 옆에 있는 AWSDiscoveryContinuousExportFirehosePolicy상자를 선택한 후 다음: 검토를 선택합니다.

8. 역할 AWSApplicationDiscoveryServiceFirehose이름으로 입력한 다음 역할 만들기를 선택합니다.

Application Discovery Service의 AWS 관리형 정책 업데이트

이 서비스가 이러한 변경 사항을 추적하기 시작한 이후 Application Discovery Service의 AWS 관리형 정책 업데이트에 대한 세부 정보를 확인하십시오. 이 페이지의 변경 사항에 대한 자동 알림을 받아보려면 AWS Application Discovery Service 문서 기록 페이지에서 RSS 피드를 구독합니다.

변경 사항	설명	날짜
AWSApplicationDiscoveryAgentlessCollectorAccess— 에이전트리스 컬렉터 출시와 함께 새로운 정책이 제공되었습니다.	Application Discovery Service는 에이전트 없는 수집기에 Application Discovery Service에 등록 및 통신하고 다른 AWS 서비스와 통신할 수 있는 액세스 권한을 부여하는 새로운 관리형 정책을 AWSApplicationDiscoveryAgentlessCollectorAccess 추가했습니다.	2022년 8월 16일
Application Discovery Service가 변경 사항 추적을 시작했습니다.	Application Discovery Service는 AWS 관리형 정책의 변경 사항을 추적하기 시작했습니다.	2021년 3월 1일