AWS Migration Hub Refactor Spaces è disponibile nella versione di anteprima ed è soggetto a modifiche.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWSpolicy gestite da per AWS Migration Hub Refactor Spaces
Per aggiungere le autorizzazioni a utenti, gruppi e ruoli, è più semplice utilizzare policy gestite da AWS piuttosto che scrivere le policy in autonomia. La [creazione di policy gestite dai clienti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) che forniscono al tuo team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, utilizza le nostre policy gestite da AWS. Queste policy coprono i casi d'uso comuni e sono disponibili nel tuo Account AWS. Per ulteriori informazioni sulle policy gestite da AWS, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
I servizi AWS mantengono e aggiornano le policy gestite da AWS. Non è possibile modificare le autorizzazioni nelle policy gestite da AWS. I servizi occasionalmente aggiungono altre autorizzazioni a una policy gestita da AWS per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è allegata la policy. È più probabile che i servizi aggiornino una policy gestita da AWS quando viene avviata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy gestita da AWS pertanto gli aggiornamenti delle policy non interrompono le autorizzazioni esistenti.
## AWSpolicy gestita: AWS Migration Huber Factor Space accesso completo
Puoi allegare la policy `AWSMigrationHubRefactorSpacesFullAccess` alle identità IAM.
La`AWSMigrationHubRefactorSpacesFullAccess`la policy garantisce l'accesso completo a AWS Migration Hub Refactor Spaces, alle funzionalità della console di Refactor Spaces e ad altre funzioni correlateAWSServizi .
**Dettagli dell'autorizzazione**
La`AWSMigrationHubRefactorSpacesFullAccess`La policy include le seguenti autorizzazioni.
+ `refactor-spaces`— Consente all'account utente IAM l'accesso completo a Refactor Spaces.
+ `ec2`— Concede all'account utente IAM di eseguire operazioni Amazon Elastic Compute Cloud (Amazon EC2) utilizzate da Refactor Spaces.
+ `elasticloadbalancing`— Consente all'account utente IAM di eseguire operazioni di Elastic Load Balancing utilizzate da Refactor Spaces.
+ `apigateway`— Consente all'account utente IAM di eseguire operazioni Amazon API Gateway utilizzate da Refactor Spaces.
+ `organizations`— Consente all'account utente IAM diAWS Organizationsoperazioni utilizzate da Refactor Spaces.
+ `cloudformation`— Consente all'account utente IAM di eseguireAWS CloudFormationoperazioni per creare un ambiente campione con un clic dalla console.
+ `iam`— Consente di creare un ruolo collegato al servizio per l'account utente IAM, che è un requisito per l'utilizzo di Refactor Spaces.
### Autorizzazioni aggiuntive richieste per gli spazi di refactoring
Prima di poter utilizzare Refactor Spaces, oltre al`AWSMigrationHubRefactorSpacesFullAccess`policy gestita fornita da Refactor Spaces, le seguenti autorizzazioni aggiuntive richieste devono essere assegnate a un utente, gruppo o ruolo IAM nel proprio account.
+ Concede l'autorizzazione per creare un ruolo collegato ai servizi perAWS Transit Gateway.
+ Concedi l'autorizzazione per collegare un cloud privato virtuale (VPC) a un gateway di transito per l'account chiamante per tutte le risorse.
+ Concede le autorizzazioni per modificare le autorizzazioni per un servizio endpoint VPC per tutte le risorse.
+ Concedi il permesso di restituire risorse taggate o precedentemente contrassegnate per l'account chiamante per tutte le risorse.
+ Concede il permesso di eseguire tuttiAWS Resource Access Manager(AWS RAM) azioni per l'account chiamante su tutte le risorse.
+ Concede il permesso di eseguire tuttiAWS Lambdaper l'account chiamante su tutte le risorse.
Puoi ottenere queste autorizzazioni aggiuntive aggiungendo policy inline al tuo utente, gruppo o ruolo IAM. Tuttavia, invece di utilizzare i criteri in linea, è possibile creare un criterio IAM utilizzando il seguente criterio JSON e collegarlo all'utente, al gruppo o al ruolo IAM.
Il seguente criterio concede le autorizzazioni aggiuntive necessarie per poter utilizzare gli spazi di refactoring.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "transitgateway.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGatewayVpcAttachment"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:ModifyVpcEndpointServicePermissions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ram:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"lambda:*"
],
"Resource": "*"
}
]
}
```
Di seguito è riportato il`AWSMigrationHubRefactorSpacesFullAccess`politica.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "RefactorSpaces",
"Effect": "Allow",
"Action": [
"refactor-spaces:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcs",
"ec2:DescribeTransitGatewayVpcAttachments",
"ec2:DescribeTransitGateways",
"ec2:DescribeTags",
"ec2:DescribeTransitGateways",
"ec2:DescribeAccountAttributes",
"ec2:DescribeInternetGateways"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGateway",
"ec2:CreateSecurityGroup",
"ec2:CreateTransitGatewayVpcAttachment"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/refactor-spaces:environment-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGateway",
"ec2:CreateSecurityGroup",
"ec2:CreateTransitGatewayVpcAttachment"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/refactor-spaces:environment-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpointServiceConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteTransitGateway",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupIngress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteTransitGatewayVpcAttachment",
"ec2:CreateRoute",
"ec2:DeleteRoute",
"ec2:DeleteTags"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/refactor-spaces:environment-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DeleteVpcEndpointServiceConfigurations",
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/refactor-spaces:application-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:CreateLoadBalancer"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/refactor-spaces:application-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTags",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeListeners"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:CreateLoadBalancerListeners",
"elasticloadbalancing:CreateListener",
"elasticloadbalancing:DeleteListener",
"elasticloadbalancing:DeleteTargetGroup"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/refactor-spaces:route-id": [
"*"
]
}
}
},
{
"Effect": "Allow",
"Action": "elasticloadbalancing:DeleteLoadBalancer",
"Resource": "arn:*:elasticloadbalancing:*:*:loadbalancer/net/refactor-spaces-nlb-*"
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:AddTags",
"elasticloadbalancing:CreateListener"
],
"Resource": "arn:*:elasticloadbalancing:*:*:loadbalancer/net/refactor-spaces-nlb-*",
"Condition": {
"Null": {
"aws:RequestTag/refactor-spaces:route-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": "elasticloadbalancing:DeleteListener",
"Resource": "arn:*:elasticloadbalancing:*:*:listener/net/refactor-spaces-nlb-*"
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:DeleteTargetGroup",
"elasticloadbalancing:RegisterTargets"
],
"Resource": "arn:*:elasticloadbalancing:*:*:targetgroup/refactor-spaces-tg-*"
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:AddTags",
"elasticloadbalancing:CreateTargetGroup"
],
"Resource": "arn:*:elasticloadbalancing:*:*:targetgroup/refactor-spaces-tg-*",
"Condition": {
"Null": {
"aws:RequestTag/refactor-spaces:route-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"apigateway:GET",
"apigateway:DELETE",
"apigateway:PATCH",
"apigateway:POST",
"apigateway:PUT",
"apigateway:UpdateRestApiPolicy"
],
"Resource": [
"arn:aws:apigateway:*::/restapis",
"arn:aws:apigateway:*::/restapis/*",
"arn:aws:apigateway:*::/vpclinks",
"arn:aws:apigateway:*::/vpclinks/*",
"arn:aws:apigateway:*::/tags",
"arn:aws:apigateway:*::/tags/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/refactor-spaces:application-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": "apigateway:GET",
"Resource": [
"arn:aws:apigateway:*::/vpclinks",
"arn:aws:apigateway:*::/vpclinks/*"
]
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "refactor-spaces.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "elasticloadbalancing.amazonaws.com"
}
}
}
]
}
```
## Refactor Spaces si aggiorna aAWSPolicy gestite da
Visualizza i dettagli sugli aggiornamenti perAWSpolicy gestite da per Refactor Spaces da quando questo servizio ha iniziato a tenere traccia delle modifiche. Per gli avvisi automatici sulle modifiche apportate a questa pagina, sottoscrivere il feed RSS nella pagina della cronologia dei documenti di Refactor Spaces.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWS Migration Huber Factor Space accesso completo](#security-iam-awsmanpol-AWSMigrationHubRefactorSpacesFullAccess)— Nuova politica resa disponibile al lancio | La`AWSMigrationHubRefactorSpacesFullAccess`policy garantisce l'accesso completo a Refactor Spaces, alle funzionalità della console di Refactor Spaces e ad altre funzioni correlateAWSServizi . | 29 novembre 2021 |
| [Politica del ruolo del servizio HubreFactorSpace Migration](using-service-linked-roles.md#slr-permissions)— Nuova politica resa disponibile al lancio | `MigrationHubRefactorSpacesServiceRolePolicy`fornisce l'accesso aAWSrisorse gestite o utilizzate da AWS Migration Hub Refactor Spaces. La policy viene utilizzata dal ruolo collegato ai servizi AWSServiceSoleFormigrationHubreFactSpaces. | 29 novembre 2021 |
| Refactor Spaces ha iniziato a monitorare le modifiche | Refactor Spaces ha iniziato a tenere traccia delle modifiche per laAWSpolicy gestite. | 29 novembre 2021 |