AWS Application Discovery Service 不再向新客户开放。或者 AWS Transform ,使用提供类似功能的。有关更多信息,请参阅 App [AWS lication Discovery Service 可用性变更](https://docs.aws.amazon.com/application-discovery/latest/userguide/application-discovery-service-availability-change.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 如何 AWS Application Discovery Service 与 IAM 配合使用
在使用 IAM 管理对 Application Discovery Service 的访问权限之前,您应该了解哪些可用于 Application Discovery Service 的 IAM 功能。要全面了解 Application Discovery Service 和其他 AWS 服务如何与 IAM 配合使用,请参阅 [IAM *用户指南中的与 IAM* 配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
**Topics**
+ [Application Discovery Service 基于身份的](#security_iam_service-with-iam-id-based-policies)
+ [基于资源的应用程序 Discovery Service 策略](#security_iam_service-with-iam-resource-based-policies)
+ [基于 Application Discovery Service 标签](#security_iam_service-with-iam-tags)
+ [Application Discovery Servic](#security_iam_service-with-iam-roles)
## Application Discovery Service 基于身份的
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。Application Discovery Service 支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》** 中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 操作
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
Application Discovery Service 中的策略操作在操作前使用以下前缀:`discovery:`。策略语句必须包含 `Action` 或 `NotAction` 元素。Application Discovery Service 定义了自己的一组操作,这些操作描述了您可以使用该服务执行的任务。
要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:
```
"Action": [
"discovery:action1",
"discovery:action2"
```
您也可以使用通配符 (\*) 指定多个操作。例如,要指定以单词 `Describe` 开头的所有操作,包括以下操作:
```
"Action": "discovery:Describe*"
```
要查看 Application Discovery Service [操作列表,请参阅 *IAM 用户指南 AWS Application Discovery Service*中定义](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_applicationdiscovery.html#awskeymanagementservice-actions-as-permissions)的操作。
### 资源
Application Discovery Service 不支持 ARNs 在策略中指定资源。要分开访问权限,请分别创建和使用 AWS 账户。
### 条件键
Application Discovery Service 不提供任何特定于服务的条件密钥,但它确实支持使用某些全局条件密钥。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
### 示例
要查看 Application Discovery Service 基于身份的策略的示例,请参阅。[AWS Application Discovery Service 基于身份的策略示例](security_iam_id-based-policy-examples.md)
## 基于资源的应用程序 Discovery Service 策略
Application Discovery Service 不支持基于资源的策略。
## 基于 Application Discovery Service 标签
Application Discovery Service 不支持标记资源或根据标签控制访问权限。
## Application Discovery Servic
I [AM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您的 AWS 账户中具有特定权限的实体。
### 在 Application Discovery Service 中使用
Application Discovery Service 不支持使用临时证书。
### 服务关联角色
[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)允许 AWS 服务访问其他服务中的资源以代表您完成操作。服务关联角色显示在 IAM 账户中,并归该服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。
Application Discovery Service 支持服务相关角色。有关创建或管理 Application Discovery Service 服务相关角色的详细信息,请参阅[为 Application Discovery Service 使用服务相关角色](using-service-linked-roles.md)。
### 服务角色
此功能允许服务代表您担任[服务角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在 IAM 账户中,并归该账户所有。这意味着,IAM 管理员可以更改该角色的权限。但是,这样做可能会中断服务的功能。
Application Discovery 服务支持服务角色。