AWS Migration Hub Refactor Spaces se encuentra en una versión preliminar, por lo que está sujeto a cambios.
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# AWSPolíticas administradas de AWS Migration Hub Refactor Spaces
Para agregar permisos a usuarios, grupos y roles, es más fácil utilizar las políticas administradas por AWS que escribirlas uno mismo. Se necesita tiempo y experiencia para [crear políticas de IAM administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que proporcionen a su equipo solo los permisos necesarios. Para comenzar a hacerlo con rapidez, puede utilizar nuestras políticas administradas por AWS. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS. Para obtener más información sobre las políticas administradas por AWS, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
Los servicios de AWS mantienen y actualizan las políticas administradas por AWS. No puede cambiar los permisos en las políticas administradas por AWS. En ocasiones, los servicios agregan permisos adicionales a una política administrada por AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada por AWS cuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no quitan permisos de una política administrada por AWS, por lo que las actualizaciones de políticas no deteriorarán los permisos existentes.
## AWSpolítica administrada: Acceso completo a los espacios del factor de migración de AWS
Puede adjuntar la política `AWSMigrationHubRefactorSpacesFullAccess` a las identidades de IAM.
La`AWSMigrationHubRefactorSpacesFullAccess`otorga acceso completo a los espacios de refactor de AWS Migration Hub, las funciones de la consola de Refactor Spaces y otros relacionadosAWSServicios de .
**Detalles sobre los permisos**
La`AWSMigrationHubRefactorSpacesFullAccess`La política incluye los permisos siguientes.
+ `refactor-spaces`— Permite a la cuenta de usuario de IAM acceso completo a Refactor Spaces.
+ `ec2`Permite a la cuenta de usuario de IAM realizar operaciones de Amazon Elastic Compute Cloud (Amazon EC2) utilizadas por Refactor Spaces.
+ `elasticloadbalancing`: permite que la cuenta de usuario de IAM realice operaciones de Elastic Load Balancing utilizadas por Refactor Spaces.
+ `apigateway`— Permite que la cuenta de usuario de IAM realice operaciones de Amazon API Gateway utilizadas por Refactor Spaces.
+ `organizations`— Permite que la cuenta de usuario de IAM puedaAWS Organizationsoperaciones utilizadas por Refactor Spaces.
+ `cloudformation`— Permite que la cuenta de usuario de IAM realiceAWS CloudFormationoperaciones para crear un entorno de ejemplo con un solo clic desde la consola.
+ `iam`: permite crear un rol vinculado a servicios para la cuenta de usuario de IAM, que es un requisito para utilizar espacios de refactor.
### Permisos adicionales necesarios para espacios de refactor
Antes de poder utilizar espacios de refactor, además de la`AWSMigrationHubRefactorSpacesFullAccess`La política administrada proporcionada por Refactor Spaces, los siguientes permisos adicionales necesarios deben asignarse a un usuario, un grupo o un rol de IAM en su cuenta.
+ Conceder permiso para crear un rol vinculado a servicios deAWS Transit Gateway.
+ Conceda permiso para adjuntar una nube privada virtual (VPC) a una puerta de enlace de tránsito para la cuenta de llamada de todos los recursos.
+ Concede permiso para modificar los permisos de un servicio de punto de enlace de VPC para todos los recursos.
+ Conceda permiso para devolver recursos etiquetados o etiquetados anteriormente para la cuenta de llamada para todos los recursos.
+ Concede permiso para realizar todas lasAWS Resource Access Manager(AWS RAM) para la cuenta de llamada en todos los recursos.
+ Concede permiso para realizar todas lasAWS Lambdaacciones de la cuenta de llamada en todos los recursos de.
Puede obtener estos permisos adicionales añadiendo políticas en línea a su usuario, grupo o rol de IAM. Sin embargo, en lugar de utilizar políticas en línea, puede crear una política de IAM utilizando el siguiente JSON de política y adjuntarla al usuario, grupo o rol de IAM.
La siguiente política otorga los permisos necesarios adicionales necesarios para poder utilizar espacios de refactor.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "transitgateway.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGatewayVpcAttachment"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:ModifyVpcEndpointServicePermissions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ram:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"lambda:*"
],
"Resource": "*"
}
]
}
```
A continuación se muestra el`AWSMigrationHubRefactorSpacesFullAccess`política.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "RefactorSpaces",
"Effect": "Allow",
"Action": [
"refactor-spaces:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcs",
"ec2:DescribeTransitGatewayVpcAttachments",
"ec2:DescribeTransitGateways",
"ec2:DescribeTags",
"ec2:DescribeTransitGateways",
"ec2:DescribeAccountAttributes",
"ec2:DescribeInternetGateways"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGateway",
"ec2:CreateSecurityGroup",
"ec2:CreateTransitGatewayVpcAttachment"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/refactor-spaces:environment-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGateway",
"ec2:CreateSecurityGroup",
"ec2:CreateTransitGatewayVpcAttachment"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/refactor-spaces:environment-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpointServiceConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteTransitGateway",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupIngress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteTransitGatewayVpcAttachment",
"ec2:CreateRoute",
"ec2:DeleteRoute",
"ec2:DeleteTags"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/refactor-spaces:environment-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DeleteVpcEndpointServiceConfigurations",
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/refactor-spaces:application-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:CreateLoadBalancer"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/refactor-spaces:application-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTags",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeListeners"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:CreateLoadBalancerListeners",
"elasticloadbalancing:CreateListener",
"elasticloadbalancing:DeleteListener",
"elasticloadbalancing:DeleteTargetGroup"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/refactor-spaces:route-id": [
"*"
]
}
}
},
{
"Effect": "Allow",
"Action": "elasticloadbalancing:DeleteLoadBalancer",
"Resource": "arn:*:elasticloadbalancing:*:*:loadbalancer/net/refactor-spaces-nlb-*"
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:AddTags",
"elasticloadbalancing:CreateListener"
],
"Resource": "arn:*:elasticloadbalancing:*:*:loadbalancer/net/refactor-spaces-nlb-*",
"Condition": {
"Null": {
"aws:RequestTag/refactor-spaces:route-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": "elasticloadbalancing:DeleteListener",
"Resource": "arn:*:elasticloadbalancing:*:*:listener/net/refactor-spaces-nlb-*"
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:DeleteTargetGroup",
"elasticloadbalancing:RegisterTargets"
],
"Resource": "arn:*:elasticloadbalancing:*:*:targetgroup/refactor-spaces-tg-*"
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:AddTags",
"elasticloadbalancing:CreateTargetGroup"
],
"Resource": "arn:*:elasticloadbalancing:*:*:targetgroup/refactor-spaces-tg-*",
"Condition": {
"Null": {
"aws:RequestTag/refactor-spaces:route-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"apigateway:GET",
"apigateway:DELETE",
"apigateway:PATCH",
"apigateway:POST",
"apigateway:PUT",
"apigateway:UpdateRestApiPolicy"
],
"Resource": [
"arn:aws:apigateway:*::/restapis",
"arn:aws:apigateway:*::/restapis/*",
"arn:aws:apigateway:*::/vpclinks",
"arn:aws:apigateway:*::/vpclinks/*",
"arn:aws:apigateway:*::/tags",
"arn:aws:apigateway:*::/tags/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/refactor-spaces:application-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": "apigateway:GET",
"Resource": [
"arn:aws:apigateway:*::/vpclinks",
"arn:aws:apigateway:*::/vpclinks/*"
]
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "refactor-spaces.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "elasticloadbalancing.amazonaws.com"
}
}
}
]
}
```
## Actualizaciones de Refactor Spaces aAWSPolíticas administradas de
Ver detalles sobre las actualizaciones deAWSLas políticas administradas de Refactor Spaces desde que este servicio comenzó a registrar estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de historial de documentos de Refactor Spaces.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [Acceso completo a los espacios del factor de migración de AWS](#security-iam-awsmanpol-AWSMigrationHubRefactorSpacesFullAccess)— Nueva política disponible en el lanzamiento | La`AWSMigrationHubRefactorSpacesFullAccess`otorga acceso completo a los espacios de Refactor, las funciones de la consola de Refactor Spaces y otras características relacionadasAWSServicios de . | 29 de noviembre de 2021 |
| [Política de rol de servicio de espacios de factor de migración](using-service-linked-roles.md#slr-permissions)— Nueva política disponible en el lanzamiento | `MigrationHubRefactorSpacesServiceRolePolicy`proporciona acceso aAWSrecursos administrados o utilizados por AWS Migration Hub Refactor Spaces. La política la usa el rol vinculado al servicio AWSServiceRoleForMigrationHubreFactorSpaces. | 29 de noviembre de 2021 |
| Refactor Spaces comenzó a registrar los cambios | Refactor Spaces comenzó a registrar los cambios deAWSpolíticas administradas de. | 29 de noviembre de 2021 |