# AWS Migration Hub-Rollen und -Richtlinien
<a name="policy-templates"></a>

Für den Zugriff auf AWS Migration Hub sind Anmeldeinformationen, mit denen AWS Ihre Anforderungen authentifizieren kann, sowie Berechtigungen für den Zugriff auf AWS-Ressourcen erforderlich. In den folgenden Abschnitten wird gezeigt, wie die verschiedenen Berechtigungsrichtlinien an IAM-Identitäten (d. h. Benutzer, Gruppen und Rollen) angefügt und so Berechtigungen zum Ausführen von Aktionen für AWS Migration Hub-Ressourcen erteilt werden können.

Die verschiedenen Arten von Berechtigungsrichtlinien, auf die in diesem Abschnitt verwiesen wird, wurden in [Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für AWS Migration Hub](auth-and-access-explained.md#access-control-identity-based) erläutert. Wenn Sie den genannten Abschnitt noch nicht gelesen haben, empfiehlt es sich, dies nachzuholen, um die verschiedenen Richtlinientypen zu verstehen, bevor Sie die Richtlinienvorlagen in diesem Abschnitt verwenden. 

Die Richtlinienvorlagen wurden in der folgenden Hierarchie angeordnet, wie unten dargestellt. Sie können auf eine beliebige Richtlinie klicken, um direkt zur Vorlage zu gelangen.

**Topics**
+ [IAM-Setup für neue Benutzer](new-customer-setup.md)
+ [Benutzerdefinierte Richtlinien für Migrationstools](customer-managed-vendor.md)

# IAM-Setup für neue Benutzer
<a name="new-customer-setup"></a>

Dieser Abschnitt bietet einen Überblick über die vier verwalteten Richtlinien, die mit AWS Migration Hub verwendet werden können, sowie Anweisungen zum Einrichten des Zugriffs entweder auf die Migration Hub-Konsole oder auf ihre APIs für Benutzer oder Migrationstools.

## Erforderliche verwaltete Richtlinien
<a name="required-managed-policies"></a>

Die folgenden AWS-verwalteten Richtlinien, die Sie Benutzern in Ihrem Konto zuweisen können, gelten für Migration Hub und sind nach Anwendungsfall gruppiert:
+ **AWSMigrationHubDiscoveryAccess** – (in der **migrationhub-discovery**-Rolle enthalten) – Gewährt dem Migration Hub-Service die Berechtigung zum Aufrufen von Application Discovery Service.
+ **AWSMigrationHubFullAccess** – Gewährt Zugriff auf die Migration Hub-Konsole und die API/CLI für einen Benutzer, der kein Administrator ist.
+ **AWSMigrationHubSMSAccess** – Gewährt Migration Hub die Berechtigung zum Empfangen von Benachrichtigungen des AWS Server Migration Service-Migrationstools.
+ **AWSMigrationHubDMSAccess** – Gewährt Migration Hub die Berechtigung zum Empfangen von Benachrichtigungen des AWS Database Migration Service-Migrationstools.

Informationen zum Erteilen von Migration Hub-Berechtigungen für IAM-Benutzer ohne Administratorrechte finden Sie unter [Migration Hub-Service-API und konsolenverwalteter Zugriff](#api-console-access-managed).

Informationen zum Autorisieren (d. h. Verbinden) von AWS-Migrationstools finden Sie unter [AWS Server Migration Service (SMS)](#sms-managed) oder [AWS Database Migration Service (DMS)](#dms-managed).

### Migration Hub-Service-API und konsolenverwalteter Zugriff
<a name="api-console-access-managed"></a>

Ein Administrator kann Benutzer erstellen und ihnen mithilfe von verwalteten Richtlinien die Berechtigung zum Zugreifen auf die Migration Hub-Konsole gewähren.

1. Navigieren Sie zur IAM-Konsole. 

1. Erstellen eines Benutzers. 

1. Sobald der Benutzer erstellt wurde, wählen Sie auf der Registerkarte "Permissions (Berechtigungen)" die Option "Add Permissions (Berechtigungen hinzufügen)" aus. 

1. Wählen Sie die Option "Attach existing policies directly (Vorhandene Richtlinien direkt anfügen)" aus. 

1. Suchen und fügen Sie die Richtlinie „AWSMigrationHubFullAccess“ an. 

### migrationhub-discovery-Rolle
<a name="adscaller-role-managed"></a>

Zur Verwendung von Migration Hub muss die `migrationhub-discovery`-Rolle (die die `AWSMigrationHubDiscoveryAccess`-Richtlinie enthält) Ihrem AWS-Konto hinzugefügt werden. Sie erlaubt Migration Hub den Zugriff auf Application Discovery Service in Ihrem Namen.

Die AWS Migration Hub-Konsole erstellt die `migrationhub-discovery`-Rolle, die automatisch Ihrem AWS-Konto angefügt wird, wenn Sie die Migration Hub-Konsole als Administrator verwenden. Wenn Sie die AWS-Befehlszeilenschnittstelle (AWS-CLI) oder die AWS Migration Hub-API ohne die Konsole verwenden, müssen Sie diese Rolle Ihrem Konto manuell hinzufügen.

1. Navigieren Sie zum Abschnitt [Rollen](https://console.aws.amazon.com/iam/home?#/roles) der IAM-Konsole.

1. Klicken Sie auf **Create new role (Neue Rolle erstellen)**.

1. Wählen Sie "Amazon EC2" aus der AWS-Service-Rolle aus.

1. Fügen Sie die verwaltete Richtlinie "AWSApplicationDiscoveryServiceFullAccess" an.

1. Benennen Sie die Rolle „migrationhub-discovery“ *(erforderlicher Rollenname mit exakter Groß-/Kleinschreibung sowie Rechtschreibung)*.

1. Greifen Sie auf die neue Rolle zu und wählen Sie auf der Registerkarte "Trust Relationships (Vertrauensstellungen)" die Option **Edit Trust Relationship (Vertrauensstellung bearbeiten)** aus.

1. Fügen Sie die unten angegebene Vertrauensrichtlinie hinzu.

   ```
   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "migrationhub.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

### Migrationstools (verwaltete Richtlinien)
<a name="migration-tools-managed"></a>

Rollen und Richtlinien sind für jedes Migrationstool erforderlich, damit Migration Hub Benachrichtigungen von Migrationstools erhalten kann. Mit diesen Berechtigungen können AWS-Services wie SMS und DMS Aktualisierungen an Migration Hub senden.

#### AWS Server Migration Service (SMS)
<a name="sms-managed"></a>

1. Navigieren Sie zum Abschnitt [Rollen](https://console.aws.amazon.com/iam/home?#/roles) der IAM-Konsole.

1. Klicken Sie auf **Create new role (Neue Rolle erstellen)**.

1. Wählen Sie "Amazon EC2" aus der AWS-Service-Rolle aus.

1. Fügen Sie die verwaltete Richtlinie "AWSMigrationHubSMSAccess" an.

1. Benennen Sie die Rolle „migrationhub-sms“ *(erforderlicher Rollenname mit exakter Groß-/Kleinschreibung sowie Rechtschreibung)*.

1. Greifen Sie auf die neue Rolle zu und wählen Sie auf der Registerkarte "Trust Relationships (Vertrauensstellungen)" die Option **Edit Trust Relationship (Vertrauensstellung bearbeiten)** aus.

1. Fügen Sie die unten angegebene Vertrauensrichtlinie hinzu. 

   ```
   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": [
             "sms.amazonaws.com"
           ]
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

#### AWS Database Migration Service (DMS)
<a name="dms-managed"></a>

1. Navigieren Sie zum Abschnitt [Rollen](https://console.aws.amazon.com/iam/home?#/roles) der IAM-Konsole.

1. Klicken Sie auf **Create new role (Neue Rolle erstellen)**.

1. Wählen Sie "Amazon EC2" aus der AWS-Service-Rolle aus.

1. Fügen Sie die verwaltete Richtlinie "AWSMigrationHubDMSAccess" an.

1. Benennen Sie die Rolle „migrationhub-dms“ *(erforderlicher Rollenname mit exakter Groß-/Kleinschreibung sowie Rechtschreibung)*.

1. Greifen Sie auf die neue Rolle zu und wählen Sie auf der Registerkarte "Trust Relationships (Vertrauensstellungen)" die Option **Edit Trust Relationship (Vertrauensstellung bearbeiten)** aus.

1. Fügen Sie die unten angegebene Vertrauensrichtlinie hinzu. 

   ```
   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": [
             "dms.amazonaws.com"
           ]
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

# Benutzerdefinierte Richtlinien für Migrationstools
<a name="customer-managed-vendor"></a>

Dies ist eine Beispielrolle für die Verwendung durch einen integrierten Partner oder Entwickler mit der AWS Migration Hub-API oder CLI.

## Integrierte Partnerrollenrichtlinie
<a name="customer-managed-vendor-role"></a>

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "mgh:CreateProgressUpdateStream"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:mgh:us-west-2:account_num:progressUpdateStream/vendor_name"
        },
        {
            "Action": [
                "mgh:AssociateCreatedArtifact",
                "mgh:DescribeMigrationTask",
                "mgh:DisassociateCreatedArtifact",
                "mgh:ImportMigrationTask",
                "mgh:ListCreatedArtifacts",
                "mgh:NotifyMigrationTaskState",
                "mgh:PutResourceAttributes",
                "mgh:NotifyApplicationState",
                "mgh:DescribeApplicationState",
                "mgh:AssociateDiscoveredResource",
                "mgh:DisassociateDiscoveredResource",
                "mgh:ListDiscoveredResources"
            ],
            "Effect": "Allow",
            "Resource": "arn:aws:mgh:us-west-2:account_num:progressUpdateStream/vendor_name/*"
        },
        {
            "Action": [
                "mgh:ListMigrationTasks"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

## Vertrauensrichtlinie für integrierte Partnerrichtlinien
<a name="customer-managed-vendor-trust"></a>

```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::vendor_account_num:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```