AWS Application Discovery Service 不再向新客戶開放。或者,使用 AWS Transform 提供類似的功能。如需詳細資訊,請參閱 [AWS Application Discovery Service 可用性變更](https://docs.aws.amazon.com/application-discovery/latest/userguide/application-discovery-service-availability-change.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS 的 受管政策 AWS Application Discovery Service
若要新增許可給使用者、群組和角色,使用 AWS 受管政策比自行撰寫政策更容易。建立 [IAM 客戶受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的 AWS 帳戶中使用。如需 AWS 受管政策的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管政策移除許可,因此政策更新不會破壞您現有的許可。
此外, AWS 支援跨多個 服務之任務函數的受管政策。例如,**ReadOnlyAccess** AWS 受管政策提供所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時, 會為新操作和資源 AWS 新增唯讀許可。如需任務職能政策的清單和說明,請參閱 *IAM 使用者指南*中[有關任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
## AWS 受管政策:AWSApplicationDiscoveryServiceFullAccess
此`AWSApplicationDiscoveryServiceFullAccess`政策會授予 IAM 使用者帳戶對 Application Discovery Service 和 Migration Hub APIs存取權。
連接此政策的 IAM 使用者帳戶可以設定 Application Discovery Service、啟動和停止代理程式、啟動和停止無代理程式探索,以及從 AWS Discovery Service 資料庫查詢資料。如需此政策的範例,請參閱 [授予 Application Discovery Service 的完整存取權](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-fullaccess)。
## AWS 受管政策:AWSApplicationDiscoveryAgentlessCollectorAccess
`AWSApplicationDiscoveryAgentlessCollectorAccess` 受管政策授予 Application Discovery Service Agentless Collector (Agentless Collector) 註冊和與 Application Discovery Service 通訊,以及與其他 AWS 服務通訊的存取權。
此政策必須連接到登入資料用於設定 Agentless Collector 的 IAM 使用者。
**許可詳細資訊**
此政策包含以下許可。
+ `arsenal` – 允許收集器向 Application Discovery Service 應用程式註冊。這對於能夠將收集的資料傳回 是必要的 AWS。
+ `ecr-public` – 允許收集器呼叫 Amazon Elastic Container Registry Public (Amazon ECR Public),其中會為收集器找到最新的更新。
+ `mgh` – 允許收集器呼叫 AWS Migration Hub 來擷取用於設定收集器之帳戶的主區域。這對於知道應將收集的資料傳送到哪個區域是必要的。
+ `sts` – 允許收集器擷取服務承載字符,以便收集器可以呼叫 Amazon ECR Public 以取得最新的更新。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"arsenal:RegisterOnPremisesAgent"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ecr-public:DescribeImages"
],
"Resource": "arn:aws:ecr-public::446372222237:repository/6e5498e4-8c31-4f57-9991-13b4b992ff7b"
},
{
"Effect": "Allow",
"Action": [
"ecr-public:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"mgh:GetHomeRegion"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"sts:GetServiceBearerToken"
],
"Resource": "*"
}
]
}
```
------
## AWS 受管政策:AWSApplicationDiscoveryAgentAccess
`AWSApplicationDiscoveryAgentAccess` 政策授予 Application Discovery Agent 註冊和與 Application Discovery Service 通訊的存取權。
您可以將此政策連接至任何使用者,其登入資料由 Application Discovery Agent 使用。
此政策也會授予使用者 Arsenal 的存取許可。Arsenal 是由 管理和託管的代理程式服務 AWS。Arsenal 會將資料轉送至雲端中的 Application Discovery Service。如需此政策的範例,請參閱 [授予探索代理程式的存取權](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-agentaccess)。
## AWS 受管政策:AWSAgentlessDiscoveryService
此`AWSAgentlessDiscoveryService`政策會授予在 VMware vCenter Server 中執行的 AWS Agentless Discovery Connector 存取權,以向 Application Discovery Service 註冊、通訊和共用連接器運作狀態指標。
您將此政策連接到其登入資料要為連接器所使用的任何使用者。
## AWS 受管政策:ApplicationDiscoveryServiceContinuousExportServiceRolePolicy
如果您的 IAM 帳戶已連接 `AWSApplicationDiscoveryServiceFullAccess`政策,當您在 Amazon Athena 中開啟資料探勘時`ApplicationDiscoveryServiceContinuousExportServiceRolePolicy`, 會自動連接到您的帳戶。
此政策允許 AWS Application Discovery Service 建立 Amazon Data Firehose 串流,以將 AWS Application Discovery Service 客服人員收集的資料轉換和交付至您 AWS 帳戶中的 Amazon S3 儲存貯體。
此外,此政策 AWS Glue Data Catalog 會使用稱為 *application\$1discovery\$1service\$1database* 的新資料庫和資料表結構描述來建立 ,以映射代理程式所收集的資料。如需此政策的範例,請參閱 [授予代理程式資料收集的許可](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-export-service)。
## AWS 受管政策:AWSDiscoveryContinuousExportFirehosePolicy
在 Amazon Athena 中使用資料探勘需要此`AWSDiscoveryContinuousExportFirehosePolicy`政策。它允許 Amazon Data Firehose 將從 Application Discovery Service 收集的資料寫入 Amazon S3。如需有關使用此政策的資訊,請參閱 [建立 AWSApplicationDiscoveryServiceFirehose 角色](#security-iam-awsmanpol-create-firehose-role)。如需此政策的範例,請參閱 [授予資料探勘的許可](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ads-export-firehose)。
## 建立 AWSApplicationDiscoveryServiceFirehose 角色
管理員會將受管政策連接至您的 IAM 使用者帳戶。使用`AWSDiscoveryContinuousExportFirehosePolicy`政策時,管理員必須先建立名為 **AWSApplicationDiscoveryServiceFirehose** 的角色,並將 Firehose 做為信任的實體,然後將`AWSDiscoveryContinuousExportFirehosePolicy`政策連接至角色,如下列程序所示。
**建立 **AWSApplicationDiscoveryServiceFirehose** IAM 角色**
1. 在 IAM 主控台中,選擇導覽窗格中**的角色**。
1. 選擇**建立角色**。
1. 選擇 **Kinesis (Kinesis)**。
1. 選擇 **Kinesis Firehose (Kinesis Firehose)** 做為您的使用案例。
1. 選擇**下一步:許可**。
1. 在 **Filter Policies (篩選條件政策)** 下搜尋 **AWSDiscoveryContinuousExportFirehosePolicy**。
1. 選取 **AWSDiscoveryContinuousExportFirehosePolicy** 旁邊的方塊,然後選擇 **Next: Review (下一步:檢閱)**。
1. 輸入 **AWSApplicationDiscoveryServiceFirehose** 做為角色名稱,然後選擇 **Create role (建立角色)**。
## AWS 受管政策的 Application Discovery Service 更新
檢視自此服務開始追蹤這些變更以來,Application Discovery Service AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 [的文件歷史記錄 AWS Application Discovery Service](doc-history.md) 頁面的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSApplicationDiscoveryAgentlessCollectorAccess](#security-iam-awsmanpol-AWSApplicationDiscoveryAgentlessCollectorAccess) – 無代理程式收集器啟動時提供的新政策 | Application Discovery Service 新增了新的受管政策`AWSApplicationDiscoveryAgentlessCollectorAccess`,授予 Agentless Collector 註冊和與 Application Discovery Service 通訊,以及與其他 AWS 服務通訊的存取權。 | 2022 年 8 月 16 日 |
| Application Discovery Service 已開始追蹤變更 | Application Discovery Service 開始追蹤其 AWS 受管政策的變更。 | 2021 年 3 月 1 日 |