AWSApplicationDiscoveryServiceFullAccess AWSApplicationDiscoveryAgentlessCollectorAccess AWSApplicationDiscoveryAgentAccess AWSAgentlessDiscoveryService ApplicationDiscoveryServiceContinuousExportServiceRole政策 AWSDiscoveryContinuousExportFirehosePolicy 创建 AWSApplicationDiscoveryServiceFirehose 角色策略更新

AWS 的托管策略 AWS Application Discovery Service

要向用户、群组和角色添加权限，使用 AWS 托管策略比自己编写策略要容易得多。创建仅为团队提供所需权限的 IAM 客户管理型策略需要时间和专业知识。要快速入门，您可以使用我们的 AWS 托管策略。这些策略涵盖常见使用案例，可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息，请参阅 IAM 用户指南中的AWS 托管策略。

AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管式策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份（用户、组和角色）。当启动新功能或新操作可用时，服务最有可能会更新 AWS 托管式策略。服务不会从 AWS 托管策略中移除权限，因此策略更新不会破坏您的现有权限。

此外，还 AWS 支持跨多个服务的工作职能的托管策略。例如，ReadOnlyAccess AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动一项新功能时， AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明，请参阅《IAM 用户指南》中的适用于工作职能的 AWS 托管策略。

AWS 托管策略： AWSApplicationDiscoveryServiceFullAccess

该AWSApplicationDiscoveryServiceFullAccess策略授予 IAM 用户账户访问 Application Discovery Service 和 Migration Hub API 的权限。

附加了此策略的 IAM 用户账户可以配置 Application Discovery Service、启动和停止代理、启动和停止无代理发现，以及从 Discovery Ser AWS vice 数据库中查询数据。有关此策略的示例，请参阅授予对 Application Discovery 服务的完全访问权限。

AWS 托管策略： AWSApplicationDiscoveryAgentlessCollectorAccess

AWSApplicationDiscoveryAgentlessCollectorAccess托管策略授予 Application Discovery Service 无代理收集器（无代理收集器）注册应用程序发现服务并与之通信以及与其他服务通信的权限。 AWS

必须将此策略附加到使用其证书配置无代理收集器的 IAM 用户。

权限详细信息

该策略包含以下权限。

arsenal— 允许收集器在 Application Discovery Service 应用程序中注册。为了能够将收集到的数据发送回去，这是必要的 AWS。
ecr-public— 允许收集器调用亚马逊弹性容器公共注册表（Amazon ECR Public），在那里可以找到收集器的最新更新。
mgh— 允许收集器调用 AWS Migration Hub 以检索用于配置收集器的帐户的主区域。这对于知道收集的数据应发送到哪个区域是必要的。
sts— 允许收集器检索服务承载令牌，以便收集器可以调用 Amazon ECR Public 以获取最新更新。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "arsenal:RegisterOnPremisesAgent"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr-public:DescribeImages"
            ],
            "Resource": "arn:aws:ecr-public::446372222237:repository/6e5498e4-8c31-4f57-9991-13b4b992ff7b"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr-public:GetAuthorizationToken"

            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "mgh:GetHomeRegion"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sts:GetServiceBearerToken"
            ],
            "Resource": "*"
        }
    ]
}

AWS 托管策略： AWSApplicationDiscoveryAgentAccess

该AWSApplicationDiscoveryAgentAccess策略授予应用程序发现代理注册和与 Application Discovery Service 通信的权限。

您可以将此策略附加到应用程序发现代理使用其凭据的任何用户。

此策略还授予用户访问 Arsenal 的权限。阿森纳是一项由管理和托管的代理服务 AWS。阿森纳将数据转发到云端的 Application Discovery Service。有关此策略的示例，请参阅向发现代理授予访问权限。

AWS 托管策略： AWSAgentlessDiscoveryService

该AWSAgentlessDiscoveryService策略授予在您的 VMware v AWS Center Server 中运行的无代理发现连接器注册连接器、与之通信以及与应用程序发现服务共享连接器运行状况指标的权限。

您可将此策略附加到被连接器使用了其凭证的任何用户。

AWS 托管策略： ApplicationDiscoveryServiceContinuousExportServiceRole策略

如果您的 IAM 账户已附加AWSApplicationDiscoveryServiceFullAccess政策，ApplicationDiscoveryServiceContinuousExportServiceRolePolicy则当您在 Amazon Athena 中开启数据探索功能时，该账户会自动关联到您的账户。

该策略 AWS Application Discovery Service 允许创建 Amazon Data Firehose 流，以转换 AWS Application Discovery Service 代理收集的数据并将其传输到您 AWS 账户中的 Amazon S3 存储桶。

此外，此策略还创建了一个 AWS Glue Data Catalog 名为 applicati on_discovery_service_database 的新数据库和用于映射代理收集的数据的表架构。有关此策略的示例，请参阅授予代理数据收集权限。

AWS 托管策略： AWSDiscoveryContinuousExportFirehosePolicy

该AWSDiscoveryContinuousExportFirehosePolicy政策是在 Amazon Athena 中使用数据探索功能所必需的。它允许 Amazon Data Firehose 将从 Application Discovery Service 收集的数据写入亚马逊 S3。有关使用此策略的信息，请参阅创建 AWSApplicationDiscoveryServiceFirehose 角色。有关此策略的示例，请参阅授予数据探索权限。

创建 AWSApplicationDiscoveryServiceFirehose 角色

管理员将托管策略附加到您的 IAM 用户账户。使用AWSDiscoveryContinuousExportFirehosePolicy策略时，管理员必须先创建一个名为 Firehose AWSApplicationDiscoveryServiceFirehose的角色作为可信实体，然后将该AWSDiscoveryContinuousExportFirehosePolicy策略附加到该角色，如以下过程所示。

创建 AWSApplicationDiscoveryServiceFirehose IAM 角色

在 IAM 控制台中，选择导航窗格上的角色。
请选择 创建角色。
选择 Kinesis。
选择 Kinesis Firehose 作为您的使用案例。
选择下一步：权限。
在 “筛选策略” 下搜索AWSDiscoveryContinuousExportFirehosePolicy。
选中旁边的复选框 AWSDiscoveryContinuousExportFirehosePolicy，然后选择 “下一步：查看”。
输入AWSApplicationDiscoveryServiceFirehose角色名称，然后选择创建角色。

Application Discovery Service 更新 AWS 了托

查看自 Application Discovery Service AWS 托管策略开始跟踪这些更改以来该服务更新的详细信息。要获得有关此页面更改的自动提示，请订阅 AWS Application Discovery Service 的文档历史记录页面上的 RSS 源。

更改	描述	日期
AWSApplicationDiscoveryAgentlessCollectorAccess— 无代理收集器发布后提供了新政策	Application Discovery Service 添加了新的托管策略，该策略`AWSApplicationDiscoveryAgentlessCollectorAccess`授予无代理收集器注册应用程序发现服务并与之通信以及与其他 AWS 服务通信的权限。	2022 年 8 月 16 日
Application Discovery Service 开始	Application Discovery Service 开始跟踪其 AWS 托管策略的更改。	2021 年 3 月 1 日

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

如何 AWS Application Discovery Service 使用 IAM

基于身份的策略示例