AWS Application Discovery Service ya no está abierto a nuevos clientes. Como alternativa, utilice AWS Transform uno que ofrezca capacidades similares. Para obtener más información, consulte [Cambio de disponibilidad de AWS Application Discovery Service](https://docs.aws.amazon.com/application-discovery/latest/userguide/application-discovery-service-availability-change.html).

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# AWS políticas gestionadas para AWS Application Discovery Service
<a name="security-iam-awsmanpol"></a>







Para añadir permisos a usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas usted mismo. Se necesita tiempo y experiencia para [crear políticas administradas por el cliente de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que proporcionen a su equipo solo los permisos necesarios. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS. Para obtener más información sobre las políticas AWS administradas, consulte las [políticas AWS administradas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.

AWS los servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios agregan permisos adicionales a una política administrada de AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada de AWS cuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.

Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política **ReadOnlyAccess** AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte [Políticas administradas de AWS para funciones de trabajo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía del usuario de IAM*.









## AWS política gestionada: AWSApplication DiscoveryServiceFullAccess
<a name="security-iam-awsmanpol-AWSApplicationDiscoveryServiceFullAccess"></a>

La `AWSApplicationDiscoveryServiceFullAccess` política otorga a una cuenta de usuario de IAM acceso a Application Discovery Service y a Migration Hub APIs. 

Una cuenta de usuario de IAM con esta política adjunta puede configurar Application Discovery Service, iniciar y detener agentes, iniciar y detener el descubrimiento sin agentes y consultar datos de la base de datos de AWS Discovery Service. Para obtener un ejemplo de esta política, consulte [Concesión de acceso completo a Application Discovery Service](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-fullaccess).

## AWS política gestionada: AWSApplication DiscoveryAgentlessCollectorAccess
<a name="security-iam-awsmanpol-AWSApplicationDiscoveryAgentlessCollectorAccess"></a>

La política `AWSApplicationDiscoveryAgentlessCollectorAccess` gestionada otorga al Application Discovery Service Agentless Collector (Agentless Collector) acceso para registrarse y comunicarse con el Application Discovery Service y comunicarse con otros servicios. AWS 

Esta política debe adjuntarse al usuario de IAM cuyas credenciales se utilizan para configurar el recopilador sin agente.

**Detalles de los permisos**

Esta política incluye los siguientes permisos.


+ `arsenal`— Permite que el recopilador se registre en la aplicación Application Discovery Service. Esto es necesario para poder enviar los datos recopilados a AWS.
+ `ecr-public`— Permite al recopilador realizar llamadas al Amazon Elastic Container Registry Public (Amazon ECR Public), donde se encuentran las actualizaciones más recientes del recopilador.
+ `mgh`— Permite al recopilador llamar AWS Migration Hub para recuperar la región de origen de la cuenta utilizada para configurar el recopilador. Esto es necesario para saber a qué región deben enviarse los datos recopilados.
+ `sts`— Permite al recopilador recuperar un token de portador del servicio para que pueda realizar llamadas a Amazon ECR Public para obtener las actualizaciones más recientes.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "arsenal:RegisterOnPremisesAgent"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr-public:DescribeImages"
            ],
            "Resource": "arn:aws:ecr-public::446372222237:repository/6e5498e4-8c31-4f57-9991-13b4b992ff7b"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecr-public:GetAuthorizationToken"

            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "mgh:GetHomeRegion"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sts:GetServiceBearerToken"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## AWS política gestionada: AWSApplication DiscoveryAgentAccess
<a name="security-iam-awsmanpol-AWSApplicationDiscoveryAgentAccess"></a>

La `AWSApplicationDiscoveryAgentAccess` política otorga al Application Discovery Agent acceso para registrarse y comunicarse con Application Discovery Service.

Adjunta esta política a cualquier usuario cuyas credenciales utilice Application Discovery Agent. 

Esta política también concede acceso al usuario a Arsenal. Arsenal es un servicio de agente administrado y alojado por AWS. El Arsenal reenvía los datos a Application Discovery Service en la nube. Para obtener un ejemplo de esta política, consulte [Otorgar acceso a los agentes de detección](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-agentaccess).

## AWS política gestionada: AWSAgentless DiscoveryService
<a name="security-iam-awsmanpol-AWSAgentlessDiscoveryService"></a>

La `AWSAgentlessDiscoveryService` política otorga al conector de detección AWS sin agente que se ejecuta en su VMware vCenter Server acceso para registrar, comunicarse y compartir las métricas de estado del conector con Application Discovery Service. 

Asocie esta política a cualquier usuario cuyas credenciales utilicen el conector.

## AWS política administrada: ApplicationDiscoveryServiceContinuousExportServiceRolePolicy
<a name="security-iam-awsmanpol-ApplicationDiscoveryServiceContinuousExportServiceRolePolicy"></a>

Si su cuenta de IAM tiene la `AWSApplicationDiscoveryServiceFullAccess` política adjunta, `ApplicationDiscoveryServiceContinuousExportServiceRolePolicy` se adjunta automáticamente a su cuenta cuando activa la exploración de datos en Amazon Athena.

Esta política permite AWS Application Discovery Service crear transmisiones de Amazon Data Firehose para transformar y entregar los datos recopilados por los AWS Application Discovery Service agentes a un bucket de Amazon S3 de su AWS cuenta. 

Además, esta política crea una AWS Glue Data Catalog nueva base de datos llamada *application\$1discovery\$1service\$1database* y tablas de esquemas para mapear los datos recopilados por los agentes. Para obtener un ejemplo de esta política, consulte [Otorgar permisos para la recopilación de datos de los agentes](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-export-service).

## AWS política gestionada: AWSDiscovery ContinuousExportFirehosePolicy
<a name="security-iam-awsmanpol-AWSDiscoveryContinuousExportFirehosePolicy"></a>

La `AWSDiscoveryContinuousExportFirehosePolicy` política es obligatoria para utilizar la exploración de datos en Amazon Athena. Permite a Amazon Data Firehose escribir los datos recopilados desde Application Discovery Service en Amazon S3. Para obtener información sobre el uso de esta política, consulte [Crear el rol AWSApplication DiscoveryServiceFirehose](#security-iam-awsmanpol-create-firehose-role). Para obtener un ejemplo de esta política, consulte [Otorgar permisos para la exploración de datos](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-export-firehose).

## Crear el rol AWSApplication DiscoveryServiceFirehose
<a name="security-iam-awsmanpol-create-firehose-role"></a>

Un administrador adjunta las políticas gestionadas a su cuenta de usuario de IAM. Al usar la `AWSDiscoveryContinuousExportFirehosePolicy` política, el administrador primero debe crear un rol denominado **AWSApplicationDiscoveryServiceFirehose**Firehose como entidad de confianza y, a continuación, adjuntar la `AWSDiscoveryContinuousExportFirehosePolicy` política al rol, como se muestra en el siguiente procedimiento.

**Para crear el rol de IAM **AWSApplicationDiscoveryServiceFirehose****

1. En la consola de IAM, selecciona **Roles** en el panel de navegación.

1. Seleccione **Crear rol**.

1. Elija **Kinesis**.

1. Elija **Kinesis Firehose** como su caso de uso.

1. Elija **Siguiente: permisos**.

1. En **Filtrar políticas**, busque **AWSDiscoveryContinuousExportFirehosePolicy**.

1. Selecciona la casilla situada al lado y **AWSDiscoveryContinuousExportFirehosePolicy**, a continuación, selecciona **Siguiente: Revisar**.

1. Introduzca **AWSApplicationDiscoveryServiceFirehose** como nombre del rol y, a continuación, elija **Crear rol**.





## Application Discovery Service actualiza las políticas AWS administradas
<a name="security-iam-awsmanpol-updates"></a>



Vea los detalles sobre las actualizaciones de las políticas AWS administradas de Application Discovery Service desde que este servicio comenzó a rastrear estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de [Historial de documentos para AWS Application Discovery Service](doc-history.md).




| Cambio | Descripción | Fecha | 
| --- | --- | --- | 
|  [AWSApplicationDiscoveryAgentlessCollectorAccess](#security-iam-awsmanpol-AWSApplicationDiscoveryAgentlessCollectorAccess)— La nueva política está disponible con el lanzamiento de Agentless Collector   |  Application Discovery Service agregó la nueva política administrada `AWSApplicationDiscoveryAgentlessCollectorAccess` que otorga al recopilador sin agente acceso para registrarse y comunicarse con el Application Discovery Service y comunicarse con otros AWS servicios.  | 16 de agosto de 2022 | 
|  Application Discovery Service comenzó a rastrear los cambios  |  Application Discovery Service comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas.  | 1 de marzo de 2021 |