AWS Application Discovery Service は、新規のお客様に公開されなくなりました。または、同様の機能 AWS Transform を提供する を使用します。詳細については、[AWS 「Application Discovery Service の可用性の変更](https://docs.aws.amazon.com/application-discovery/latest/userguide/application-discovery-service-availability-change.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS の 管理ポリシー AWS Application Discovery Service
ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも AWS 管理ポリシーを使用する方が簡単です。チームに必要な権限のみを提供する [IAM カスタマーマネージドポリシーを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)には時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、*IAM ユーザーガイド*の「 [AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスでは新しい機能を利用できるようにするために、 AWS マネージドポリシーに権限が追加されることがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS マネージドポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。
さらに、 は、複数のサービスにまたがるジョブ関数の マネージドポリシー AWS をサポートしています。例えば、**ReadOnlyAccess** AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ機能のポリシーの一覧および詳細については、「*IAM ユーザーガイド*」の「[AWS のジョブ機能のマネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。
## AWS マネージドポリシー: AWSApplicationDiscoveryServiceFullAccess
`AWSApplicationDiscoveryServiceFullAccess` ポリシーは、Application Discovery Service API と Migration Hub API へのアクセス権を IAM ユーザーアカウントに付与します。
このポリシーがアタッチされた IAM ユーザーアカウントは、Application Discovery Service の設定、エージェントの起動と停止、エージェントレス検出の開始と停止、 AWS Discovery Service データベースからのデータのクエリを行うことができます。このポリシーの例については、「[Application Discovery Service へのフルアクセスの付与](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-fullaccess)」を参照してください。
## AWS マネージドポリシー: AWSApplicationDiscoveryAgentlessCollectorAccess
`AWSApplicationDiscoveryAgentlessCollectorAccess` マネージドポリシーは、Application Discovery Service Agentless Collector (Agentless Collector) に Application Discovery Service を登録して通信し、他の AWS サービスと通信するためのアクセス権を付与します。
このポリシーは、エージェントレスコレクターの設定に認証情報を使用する IAM ユーザーにアタッチする必要があります。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `arsenal` – コレクターが Application Discovery Service アプリケーションに登録できるようにします。これは、収集されたデータを に送信できるようにするために必要です AWS。
+ `ecr-public` – コレクターが、コレクターの最新の更新が見つかった Amazon Elastic Container Registry Public (Amazon ECR Public) を呼び出すことを許可します。
+ `mgh` – コレクターが を呼び出し AWS Migration Hub て、コレクターの設定に使用されるアカウントのホームリージョンを取得できるようにします。これは、収集されたデータの送信先となるリージョンを知るために必要です。
+ `sts` – コレクターが Amazon ECR Public を呼び出して最新の更新を取得できるように、コレクターがサービスベアラートークンを取得できるようにします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arsenal:RegisterOnPremisesAgent"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ecr-public:DescribeImages"
],
"Resource": "arn:aws:ecr-public::446372222237:repository/6e5498e4-8c31-4f57-9991-13b4b992ff7b"
},
{
"Effect": "Allow",
"Action": [
"ecr-public:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"mgh:GetHomeRegion"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"sts:GetServiceBearerToken"
],
"Resource": "*"
}
]
}
```
------
## AWS マネージドポリシー: AWSApplicationDiscoveryAgentAccess
`AWSApplicationDiscoveryAgentAccess` ポリシーは、Application Discovery Service に登録して通信するためのアクセス権を Application Discovery Agent に付与します。
このポリシーをアタッチする対象ユーザーは、その認証情報が Application Discovery Service で使用されるすべてのユーザーです。
このポリシーは、ユーザーに Arsenal へのアクセス権も付与します。Arsenal は、 によって管理およびホストされるエージェントサービスです AWS。Arsenal は、クラウド内で Application Discovery Service にデータを転送します。このポリシーの例については、「[検出エージェントへのアクセスの許可](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-agentaccess)」を参照してください。
## AWS マネージドポリシー: AWSAgentlessDiscoveryService
この`AWSAgentlessDiscoveryService`ポリシーは、VMware vCenter Server で実行されている AWS Agentless Discovery Connector に、Application Discovery Service に登録、通信、およびコネクタのヘルスメトリクスを共有するためのアクセス権を付与します。
このポリシーをアタッチする対象のユーザーは、その認証情報がコネクタで使用されるすべてのユーザーです。
## AWS マネージドポリシー: ApplicationDiscoveryServiceContinuousExportServiceRolePolicy
IAM アカウントに`AWSApplicationDiscoveryServiceFullAccess`ポリシーがアタッチされている場合、Amazon Athena でデータ探索を有効にすると、 は自動的にアカウントにアタッチ`ApplicationDiscoveryServiceContinuousExportServiceRolePolicy`されます。
このポリシーにより AWS Application Discovery Service 、 は Amazon Data Firehose ストリームを作成して、 AWS Application Discovery Service エージェントによって収集されたデータを変換し、 AWS アカウントの Amazon S3 バケットに配信できます。
さらに、このポリシーは、*application\$1discovery\$1service\$1database* という新しいデータベースと、エージェントによって収集されたデータをマッピングするためのテーブルスキーマ AWS Glue Data Catalog を持つ を作成します。このポリシーの例については、「[エージェントデータ収集のアクセス許可の付与](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-export-service)」を参照してください。
## AWS マネージドポリシー: AWSDiscoveryContinuousExportFirehosePolicy
Amazon Athena でデータ探索を使用するには、 `AWSDiscoveryContinuousExportFirehosePolicy` ポリシーが必要です。これにより、Amazon Data Firehose は Application Discovery Service から Amazon S3 に収集されたデータを書き込むことができます。このポリシーの使用方法については、「[AWSApplicationDiscoveryServiceFirehose ロールの作成](#security-iam-awsmanpol-create-firehose-role)」を参照してください。このポリシーの例については、「[データ探索のためのアクセス許可の付与](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-export-firehose)」を参照してください。
## AWSApplicationDiscoveryServiceFirehose ロールの作成
管理者は、IAM ユーザーアカウントにマネージドポリシーをアタッチします。`AWSDiscoveryContinuousExportFirehosePolicy` ポリシーを使用する場合、管理者はまず Firehose を信頼されたエンティティとして **AWSApplicationDiscoveryServiceFirehose** という名前のロールを作成し、次に次の手順に示すように`AWSDiscoveryContinuousExportFirehosePolicy`ポリシーをロールにアタッチする必要があります。
****AWSApplicationDiscoveryServiceFirehose** IAM ロールを作成するには**
1. IAM コンソールのナビゲーションペインで **[Roles]** (ロール) を選択します。
1. **[ロールの作成]** を選択します。
1. [**Kinesis**] を選択します。
1. ユースケースとして、[**Kinesis Firehose**] を選択します。
1. **[Next: Permissions]** (次のステップ: 許可) を選択します。
1. [**フィルタポリシー**] で、[**AWSDiscoveryContinuousExportFirehosePolicy**] を検索します。
1. [**AWSDiscoveryContinuousExportFirehosePolicy**] の横にあるボックスをオンにして、[**次へ: レビュー**] を選択します。
1. [**AWSApplicationDiscoveryServiceFirehose**] をロール名として入力し、[**ロールの作成**] を選択します。
## Application Discovery Service の AWS マネージドポリシーの更新
Application Discovery Service がこれらの変更の追跡を開始してからの Application Discovery Service の AWS マネージドポリシーの更新に関する詳細を表示します。このページへの変更に関する自動アラートについては、[のドキュメント履歴 AWS Application Discovery Service](doc-history.md) ページの RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AWSApplicationDiscoveryAgentlessCollectorAccess](#security-iam-awsmanpol-AWSApplicationDiscoveryAgentlessCollectorAccess) – エージェントレスコレクターの起動で利用可能になった新しいポリシー | Application Discovery Service は、Application Discovery Service に登録して通信し、他の AWS サービスと通信するためのアクセス権を Agentless Collector に付与`AWSApplicationDiscoveryAgentlessCollectorAccess`する新しい マネージドポリシーを追加しました。 | 2022 年 8 月 16 日 |
| Application Discovery Service が変更の追跡を開始しました | Application Discovery Service は AWS 、管理ポリシーの変更の追跡を開始しました。 | 2021 年 3 月 1 日 |