Ações, recursos e chaves de condição do AWS Application Migration Service - Referência de autorização do serviço

Ações, recursos e chaves de condição do AWS Application Migration Service

O AWS Application Migration Service (prefixo de serviço: mgn) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso em políticas de permissão do IAM.

Referências:

Ações definidas pelo AWS Application Migration Service

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Resource types (Tipos de recursos) indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma declaração com essa ação. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você especificar um ARN de permissão no nível do recurso em uma instrução que esteja usando essa ação, ele deverá ser desse tipo. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um, mas não o outro.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações Descrição Nível de acesso Tipos de recursos (*necessários) Chaves de condição Ações dependentes
BatchCreateVolumeSnapshotGroupForMgn [somente permissão] Concede permissão para criar grupo de snapshots de volume Write

SourceServerResource*

BatchDeleteSnapshotRequestForMgn [somente permissão] Concede permissão para solicitação de snapshot de exclusão em lote Write
ChangeServerLifeCycleState Concede permissão para alterar o estado do ciclo de vida do servidor de origem Write

SourceServerResource*

CreateLaunchConfigurationTemplate Concede permissão para criar um modelo de configuração de inicialização Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateReplicationConfigurationTemplate Concede permissão para criar modelo de configuração de replicação Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateVcenterClientForMgn [somente permissão] Concede permissão para criar um cliente do vcenter Write

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteJob Concede permissão para excluir tarefas Write

JobResource*

DeleteLaunchConfigurationTemplate Concede permissão para excluir um modelo de configuração de inicialização Write

LaunchConfigurationTemplateResource*

DeleteReplicationConfigurationTemplate Concede permissão para excluir o modelo de configuração de replicação Write

ReplicationConfigurationTemplateResource*

DeleteSourceServer Concede permissão para excluir o servidor de origem Write

SourceServerResource*

DeleteVcenterClient Concede permissão para excluir o cliente do vcenter Write

VcenterClientResource*

DescribeJobLogItems Concede permissão para descrever itens de log de tarefas Read

JobResource*

DescribeJobs Concede permissão para descrever tarefas List
DescribeLaunchConfigurationTemplates Concede permissão para descrever um modelo de configuração de inicialização List
DescribeReplicationConfigurationTemplates Concede permissão para descrever o modelo de configuração de replicação List
DescribeReplicationServerAssociationsForMgn [somente permissão] Concede permissão para descrever associações de servidores de replicação Read
DescribeSnapshotRequestsForMgn [somente permissão] Concede permissão para descrever solicitações de snapshots Read
DescribeSourceServers Concede permissão para descrever servidores de origem List
DescribeVcenterClients Concede permissão para descrever clientes do vcenter List
DisconnectFromService Concede permissão para desconectar o servidor de origem do serviço Write

SourceServerResource*

FinalizeCutover Concede permissão para finalizar a transição Write

SourceServerResource*

GetAgentCommandForMgn [somente permissão] Concede permissão para obter o comando do agente Read

SourceServerResource*

GetAgentConfirmedResumeInfoForMgn [somente permissão] Concede permissão para obter informações de currículo confirmado pelo agente Read

SourceServerResource*

GetAgentInstallationAssetsForMgn [somente permissão] Concede permissão para obter ativos de instalação do agente Read
GetAgentReplicationInfoForMgn [somente permissão] Concede permissão para obter informações de replicação do agente Read

SourceServerResource*

GetAgentRuntimeConfigurationForMgn [somente permissão] Concede permissão para obter configuração de tempo de execução do agente Read

SourceServerResource*

GetAgentSnapshotCreditsForMgn [somente permissão] Concede permissão para obter créditos de snapshots do agente Read

SourceServerResource*

GetChannelCommandsForMgn [somente permissão] Concede permissão para obter comandos de canal Read
GetLaunchConfiguration Concede permissão para obter a configuração de execução Read

SourceServerResource*

GetReplicationConfiguration Concede permissão para obter a configuração de replicação Read

SourceServerResource*

GetVcenterClientCommandsForMgn [somente permissão] Concede permissão para obter comandos de cliente do vcenter Read

VcenterClientResource*

InitializeService Concede permissão para inicializar o serviço Write

iam:AddRoleToInstanceProfile

iam:CreateInstanceProfile

iam:CreateServiceLinkedRole

iam:GetInstanceProfile

IssueClientCertificateForMgn Concede permissão para emitir um certificado de cliente Write

SourceServerResource

ListTagsForResource Concede permissão para listar as etiquetas de um recurso Read
MarkAsArchived Concede permissão para marcar o servidor de origem como arquivado Write

SourceServerResource*

NotifyAgentAuthenticationForMgn [somente permissão] Concede permissão para notificar a autenticação do agente Write

SourceServerResource*

NotifyAgentConnectedForMgn [somente permissão] Concede permissão para notificar que o agente está conectado Write

SourceServerResource*

NotifyAgentDisconnectedForMgn [somente permissão] Concede permissão para notificar que o agente está desconectado Write

SourceServerResource*

NotifyAgentReplicationProgressForMgn [somente permissão] Concede permissão para notificar o progresso da replicação do agente Write

SourceServerResource*

NotifyVcenterClientStartedForMgn [somente permissão] Concede permissão para notificar cliente do vcenter iniciado Write

VcenterClientResource*

RegisterAgentForMgn [somente permissão] Concede permissão para registrar o agente Write

aws:RequestTag/${TagKey}

aws:TagKeys

RetryDataReplication Concede permissão para repetir a replicação Write

SourceServerResource*

SendAgentLogsForMgn [somente permissão] Concede permissão para enviar logs do agente Write

SourceServerResource*

SendAgentMetricsForMgn [somente permissão] Concede permissão para enviar métricas do agente Write

SourceServerResource*

SendChannelCommandResultForMgn [somente permissão] Concede permissão para enviar o resultado do comando do canal Write
SendClientLogsForMgn [somente permissão] Concede permissão para enviar logs de clientes Write
SendClientMetricsForMgn [somente permissão] Concede permissão para enviar métricas de clientes Write
SendVcenterClientCommandResultForMgn [somente permissão] Concede permissão para enviar resultado do comando do cliente do vcenter Write

VcenterClientResource*

SendVcenterClientLogsForMgn [somente permissão] Concede permissão para enviar logs de clientes do vcenter Write

VcenterClientResource*

SendVcenterClientMetricsForMgn [somente permissão] Concede permissão para enviar métricas de clientes do vcenter Write

VcenterClientResource*

StartCutover Concede permissão para iniciar a transição Write

SourceServerResource*

ec2:AttachVolume

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:CreateLaunchTemplate

ec2:CreateLaunchTemplateVersion

ec2:CreateSecurityGroup

ec2:CreateSnapshot

ec2:CreateTags

ec2:CreateVolume

ec2:DeleteLaunchTemplateVersions

ec2:DeleteSnapshot

ec2:DeleteVolume

ec2:DescribeAccountAttributes

ec2:DescribeAvailabilityZones

ec2:DescribeImages

ec2:DescribeInstanceAttribute

ec2:DescribeInstanceStatus

ec2:DescribeInstanceTypes

ec2:DescribeInstances

ec2:DescribeLaunchTemplateVersions

ec2:DescribeLaunchTemplates

ec2:DescribeSecurityGroups

ec2:DescribeSnapshots

ec2:DescribeSubnets

ec2:DescribeVolumes

ec2:DetachVolume

ec2:ModifyInstanceAttribute

ec2:ModifyLaunchTemplate

ec2:ReportInstanceStatus

ec2:RevokeSecurityGroupEgress

ec2:RunInstances

ec2:StartInstances

ec2:StopInstances

ec2:TerminateInstances

iam:PassRole

mgn:ListTagsForResource

aws:RequestTag/${TagKey}

aws:TagKeys

StartReplication Concede permissão para iniciar a replicação Write

SourceServerResource*

StartTest Concede permissão para iniciar o teste Write

SourceServerResource*

ec2:AttachVolume

ec2:AuthorizeSecurityGroupEgress

ec2:AuthorizeSecurityGroupIngress

ec2:CreateLaunchTemplate

ec2:CreateLaunchTemplateVersion

ec2:CreateSecurityGroup

ec2:CreateSnapshot

ec2:CreateTags

ec2:CreateVolume

ec2:DeleteLaunchTemplateVersions

ec2:DeleteSnapshot

ec2:DeleteVolume

ec2:DescribeAccountAttributes

ec2:DescribeAvailabilityZones

ec2:DescribeImages

ec2:DescribeInstanceAttribute

ec2:DescribeInstanceStatus

ec2:DescribeInstanceTypes

ec2:DescribeInstances

ec2:DescribeLaunchTemplateVersions

ec2:DescribeLaunchTemplates

ec2:DescribeSecurityGroups

ec2:DescribeSnapshots

ec2:DescribeSubnets

ec2:DescribeVolumes

ec2:DetachVolume

ec2:ModifyInstanceAttribute

ec2:ModifyLaunchTemplate

ec2:ReportInstanceStatus

ec2:RevokeSecurityGroupEgress

ec2:RunInstances

ec2:StartInstances

ec2:StopInstances

ec2:TerminateInstances

iam:PassRole

mgn:ListTagsForResource

aws:RequestTag/${TagKey}

aws:TagKeys

TagResource Concede permissão para atribuir uma etiqueta de recurso Marcação

JobResource

LaunchConfigurationTemplateResource

ReplicationConfigurationTemplateResource

SourceServerResource

VcenterClientResource

aws:RequestTag/${TagKey}

mgn:CreateAction

aws:TagKeys

TerminateTargetInstances Concede permissão para encerrar instâncias de destino Write

SourceServerResource*

ec2:DeleteVolume

ec2:DescribeInstances

ec2:DescribeVolumes

ec2:TerminateInstances

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource Concede permissão para desmarcar um recurso Marcação

JobResource

LaunchConfigurationTemplateResource

ReplicationConfigurationTemplateResource

SourceServerResource

VcenterClientResource

aws:TagKeys

UpdateAgentBacklogForMgn [somente permissão] Concede permissão para atualizar o backlog do agente Write

SourceServerResource*

UpdateAgentConversionInfoForMgn [somente permissão] Concede permissão para atualizar informações de conversão do agente Write

SourceServerResource*

UpdateAgentReplicationInfoForMgn [somente permissão] Concede permissão para atualizar informações de replicação do agente Write

SourceServerResource*

UpdateAgentReplicationProcessStateForMgn [somente permissão] Concede permissão para atualizar o estado do processo de replicação do agente Write

SourceServerResource*

UpdateAgentSourcePropertiesForMgn [somente permissão] Concede permissão para atualizar as propriedades de origem do agente Write

SourceServerResource*

UpdateLaunchConfiguration Concede permissão para atualizar uma configuração de execução Write

SourceServerResource*

UpdateLaunchConfigurationTemplate Concede permissão para atualizar uma configuração de execução Write

LaunchConfigurationTemplateResource*

UpdateReplicationConfiguration Concede permissão para atualizar a configuração de replicação Write

SourceServerResource*

UpdateReplicationConfigurationTemplate Concede permissão para atualizar o modelo de configuração de replicação Write

ReplicationConfigurationTemplateResource*

UpdateSourceServerReplicationType Concede permissão para atualizar tipo de replicação do servidor fonte Write

SourceServerResource*

VerifyClientRoleForMgn Concede permissão para verificar a função do cliente Read

Tipos de recursos definidos pelo AWS Application Migration Service

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Tipos de recursos ARN Chaves de condição
JobResource arn:${Partition}:mgn:${Region}:${Account}:job/${JobID}

aws:ResourceTag/${TagKey}

ReplicationConfigurationTemplateResource arn:${Partition}:mgn:${Region}:${Account}:replication-configuration-template/${ReplicationConfigurationTemplateID}

aws:ResourceTag/${TagKey}

LaunchConfigurationTemplateResource arn:${Partition}:mgn:${Region}:${Account}:launch-configuration-template/${LaunchConfigurationTemplateID}

aws:ResourceTag/${TagKey}

VcenterClientResource arn:${Partition}:mgn:${Region}:${Account}:vcenter-client/${VcenterClientID}

aws:ResourceTag/${TagKey}

SourceServerResource arn:${Partition}:mgn:${Region}:${Account}:source-server/${SourceServerID}

aws:ResourceTag/${TagKey}

Chaves de condição do AWS Application Migration Service

O AWS Application Migration Service define as seguintes chaves de condição que podem ser usadas no elemento Condition de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.

Chaves de condição Descrição Type
aws:RequestTag/${TagKey} Filtra o acesso pela presença de pares de chave-valor da etiqueta na solicitação String
aws:ResourceTag/${TagKey} Filtra o acesso por pares chave-valor da etiqueta anexados ao recurso String
aws:TagKeys Filtra acesso pela presença de chaves da etiqueta na solicitação ArrayOfString
mgn:CreateAction Filtra o acesso pelo nome de uma ação de API de criação de recurso String