AWS Application Discovery Service は新規お客様に公開されなくなりました。または、同様の機能 AWS Transform を提供する を使用します。詳細については、[AWS 「Application Discovery Service の可用性の変更](https://docs.aws.amazon.com/application-discovery/latest/userguide/application-discovery-service-availability-change.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Application Discovery Service アイデンティティベースのポリシーの例
デフォルトで、IAM ユーザーとロールには Application Discovery Service リソースを作成または変更する許可がありません。また、 AWS マネジメントコンソール、 AWS CLI、または AWS API を使用してタスクを実行することはできません。IAM 管理者は、ユーザーとロールに必要な、指定されたリソースで特定の API オペレーションを実行する権限をユーザーとロールに付与する IAM ポリシーを作成する必要があります。続いて、管理者はそれらの権限が必要な IAM ユーザーまたはグループにそのポリシーをアタッチする必要があります。
JSON ポリシードキュメントのこれらの例を使用して、IAM アイデンティティベースのポリシーを作成する方法については、「IAM ユーザーガイド」の「[JSON タブでのポリシーの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)」を参照してください。
**Topics**
+ [ポリシーに関するベストプラクティス](#security_iam_service-with-iam-policy-best-practices)
+ [Application Discovery Service へのフルアクセスの付与](#security_iam_id-based-policy-examples-ads-fullaccess)
+ [検出エージェントへのアクセスの許可](#security_iam_id-based-policy-examples-ads-agentaccess)
+ [エージェントデータ収集のアクセス許可の付与](#security_iam_id-based-policy-examples-ads-export-service)
+ [データ探索のためのアクセス許可の付与](#security_iam_id-based-policy-examples-ads-export-firehose)
+ [Migration Hub コンソールネットワーク図を使用するためのアクセス許可の付与](#security_iam_id-based-policy-examples-network-connection-graph)
## ポリシーに関するベストプラクティス
ID ベースのポリシーは、ユーザーのアカウントで誰かが Application Discovery Service リソースを作成、アクセス、または削除できるかどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、MFA をオンにしてセキュリティを強化します。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
## Application Discovery Service へのフルアクセスの付与
AWSApplicationDiscoveryServiceFullAccess マネージドポリシーは、Application Discovery Service API と Migration Hub API へのアクセス権を IAM ユーザーアカウントに付与します。
このポリシーがそのアカウントにアタッチされている IAM ユーザーは、Application Discovery Service の設定、エージェントの起動と停止、エージェントレス検出の開始と停止、および AWS Discovery Service データベースからのデータのクエリを行うことができます。このポリシーの詳細については、「[AWS の 管理ポリシー AWS Application Discovery Service](security-iam-awsmanpol.md)」を参照してください。
**Example AWSApplicationDiscoveryServiceFullAccess ポリシー**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"mgh:*",
"discovery:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"iam:GetRole"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## 検出エージェントへのアクセスの許可
AWSApplicationDiscoveryAgentAccess マネージドポリシーは、Application Discovery Service に登録して通信するためのアクセス権を Application Discovery Agent に付与します。このポリシーの詳細については、「[AWS の 管理ポリシー AWS Application Discovery Service](security-iam-awsmanpol.md)」を参照してください。
このポリシーは、その認証情報が Application Discovery Agent で使用されるすべてのユーザーにアタッチしてください。
このポリシーは、ユーザーに Arsenal へのアクセス権も付与します。Arsenal は、 によって管理およびホストされるエージェントサービスです AWS。Arsenal は、クラウド内で Application Discovery Service にデータを転送します。
**Example AWSApplicationDiscoveryAgentAccess Policy**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arsenal:RegisterOnPremisesAgent"
],
"Resource": "*"
}
]
}
```
## エージェントデータ収集のアクセス許可の付与
ApplicationDiscoveryServiceContinuousExportServiceRolePolicy マネージドポリシーにより AWS Application Discovery Service 、 は Amazon Data Firehose ストリームを作成して、Application Discovery Service エージェントによって収集されたデータを変換し、 AWS アカウントの Amazon S3 バケットに配信できます。
さらに、このポリシーは、 という新しいデータベース`application_discovery_service_database`と、エージェントによって収集されたデータをマッピングするためのテーブルスキーマを持つ AWS Glue データカタログを作成します。
このポリシーの使用方法については、「[AWS の 管理ポリシー AWS Application Discovery Service](security-iam-awsmanpol.md)」を参照してください。
**Example ApplicationDiscoveryServiceContinuousExportServiceRolePolicy**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"glue:CreateDatabase",
"glue:UpdateDatabase",
"glue:CreateTable",
"glue:UpdateTable",
"firehose:CreateDeliveryStream",
"firehose:DescribeDeliveryStream",
"logs:CreateLogGroup"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"firehose:DeleteDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch",
"firehose:UpdateDestination"
],
"Effect": "Allow",
"Resource": "arn:aws:firehose:*:*:deliverystream/aws-application-discovery-service*"
},
{
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:PutBucketLogging",
"s3:PutEncryptionConfiguration"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::aws-application-discovery-service*"
},
{
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::aws-application-discovery-service*/*"
},
{
"Action": [
"logs:CreateLogStream",
"logs:PutRetentionPolicy"
],
"Effect": "Allow",
"Resource": "arn:aws:logs:*:*:log-group:/aws/application-discovery-service/firehose*"
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/AWSApplicationDiscoveryServiceFirehose",
"Condition": {
"StringLike": {
"iam:PassedToService": "firehose.amazonaws.com"
}
}
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/service-role/AWSApplicationDiscoveryServiceFirehose",
"Condition": {
"StringLike": {
"iam:PassedToService": "firehose.amazonaws.com"
}
}
}
]
}
```
## データ探索のためのアクセス許可の付与
Amazon Athena でデータ探索を使用するには、AWSDiscoveryContinuousExportFirehosePolicy ポリシーが必要です。これにより、Amazon Data Firehose は Application Discovery Service から Amazon S3 に収集されたデータを書き込むことができます。このポリシーの使用方法については、「[AWSApplicationDiscoveryServiceFirehose ロールの作成](security-iam-awsmanpol.md#security-iam-awsmanpol-create-firehose-role)」を参照してください。
**Example AWSDiscoveryContinuousExportFirehosePolicy**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:GetTableVersions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-application-discovery-service-*",
"arn:aws:s3:::aws-application-discovery-service-*/*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/application-discovery-service/firehose:log-stream:*"
]
}
]
}
```
## Migration Hub コンソールネットワーク図を使用するためのアクセス許可の付与
Application Discovery Service または Migration Hub へのアクセスを許可または拒否するアイデンティティベースのポリシーを作成するときに AWS Migration Hub コンソールネットワーク図へのアクセスを許可するには、ポリシーに `discovery:GetNetworkConnectionGraph`アクションを追加する必要がある場合があります。
新しいポリシーで `discovery:GetNetworkConnectionGraph`アクションを使用するか、ポリシーに以下の両方が当てはまる場合は古いポリシーを更新する必要があります。
+ このポリシーは、Application Discovery Service または Migration Hub へのアクセスを許可または拒否します。
+ このポリシーは、 `discovery:{{action-name}}`ではなく、 のようなより具体的な検出アクションを使用してアクセス許可を付与します`discovery:*`。
次の例は、IAM ポリシーで `discovery:GetNetworkConnectionGraph`アクションを使用する方法を示しています。
**Example**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["discovery:GetNetworkConnectionGraph"],
"Resource": "*"
}
]
}
```
Migration Hub ネットワーク図の詳細については、[「Migration Hub でのネットワーク接続の表示](https://docs.aws.amazon.com/migrationhub/latest/ug/network-diagram.html)」を参照してください。