AWS Migration Hub Refactor Spaces はプレビューリリースであり、変更される可能性があります。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWSAWS Migration Hub のリファクタリングスペースの管理ポリシー
ユーザー、グループ、ロールにアクセス権限を追加するには、自分でポリシーを作成するよりも、AWS 管理ポリシーを使用する方が簡単です。チームに必要な許可のみを提供する [IAM カスタマーマネージドポリシーを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)には、時間と専門知識が必要です。すぐに使用を開始するために、AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースを対象範囲に含めており、AWS アカウント で利用できます。AWS マネージドポリシーの詳細については、*IAM ユーザーガイド*の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
AWS サービスは、AWS マネージドポリシーを維持および更新します。AWS マネージドポリシーのアクセス許可を変更することはできません。サービスでは、新しい機能を利用できるようにするために、AWSマネージドポリシーにアクセス許可が追加されることがあります。このタイプの更新は、ポリシーが添付されているすべてのアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスがAWS マネージドポリシーを更新する可能性が最も高くなります。サービスは、AWS マネージドポリシーからの許可を削除しないため、ポリシーの更新によって既存の許可が破棄されることはありません。
## AWS管理ポリシー: AWSMigration HubreFactorSpaceフルアクセス
`AWSMigrationHubRefactorSpacesFullAccess` ポリシーは IAM アイデンティティにアタッチできます。
-`AWSMigrationHubRefactorSpacesFullAccess`ポリシーは、AWS Migration Hub のリファクタリングスペース、リファクタリングスペースコンソール機能、およびその他の関連機能へのフルアクセスを許可します。AWSのサービス。
**アクセス権限の詳細**
-`AWSMigrationHubRefactorSpacesFullAccess`ポリシーには以下のアクセス権限が含まれています。
+ `refactor-spaces`— IAM ユーザーアカウントに、リファクタリングスペースへのフルアクセスを許可します。
+ `ec2`— IAM ユーザーアカウントが、スペースをリファクタリングで使用する Amazon Elastic Compute Cloud (Amazon EC2) オペレーションを実行できるようにします。
+ `elasticloadbalancing`— IAM ユーザーアカウントが、スペースのリファクタリングで使用される Elastic Load Balancing オペレーションを実行できるようにします。
+ `apigateway`— IAM ユーザーアカウントが、リファクタリングスペースで使用される Amazon API Gateway オペレーションを実行できるようにします。
+ `organizations`— IAM ユーザーアカウントが次のことを許可します。AWS Organizationsリファクタリングスペースで使用される操作。
+ `cloudformation`— IAM ユーザーアカウントでの実行を許可します。AWS CloudFormationコンソールからワンクリックのサンプル環境を作成する操作。
+ `iam`— IAM ユーザーアカウントに対してサービスにリンクされたロールを作成できるようにします。これは、リファクタリングスペースを使用するための要件です。
### リファクタリングスペースに必要な追加権限
リファクタリングスペースを使用する前に、`AWSMigrationHubRefactorSpacesFullAccess`Refactor Spaces が提供する管理ポリシーの場合、以下の追加の必要なアクセス権限を、アカウント内の IAM ユーザー、グループ、またはロールに割り当てる必要があります。
+ サービスにリンクされたロールを作成するアクセス許可を付与しますAWS Transit Gateway。
+ すべてのリソースの呼び出し元アカウントのトランジットゲートウェイに仮想プライベートクラウド (VPC) をアタッチする権限を付与します。
+ すべてのリソースに対する VPC エンドポイントサービスのアクセス許可を変更するアクセス許可を付与します。
+ すべてのリソースの呼び出し元アカウントのタグ付きリソースまたは以前にタグ付けされたリソースを返す権限を付与します。
+ すべてを実行するアクセス許可を付与しますAWS Resource Access Manager(AWS RAM) すべてのリソースに対する呼び出し側アカウントのアクション。
+ すべてを実行するアクセス許可を付与しますAWS Lambdaすべてのリソースに対する呼び出しアカウントのアクション。
IAM ユーザー、グループ、またはロールにインラインポリシーを追加することで、これらの追加のアクセス権限を取得できます。ただし、インラインポリシーを使用する代わりに、次のポリシー JSON を使用して IAM ポリシーを作成し、IAM ユーザー、グループ、またはロールにアタッチできます。
次のポリシーは、リファクタリングスペースを使用するために必要な追加の権限を付与します。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "transitgateway.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGatewayVpcAttachment"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:ModifyVpcEndpointServicePermissions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ram:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"lambda:*"
],
"Resource": "*"
}
]
}
```
以下のようになります`AWSMigrationHubRefactorSpacesFullAccess`ポリシー。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "RefactorSpaces",
"Effect": "Allow",
"Action": [
"refactor-spaces:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcs",
"ec2:DescribeTransitGatewayVpcAttachments",
"ec2:DescribeTransitGateways",
"ec2:DescribeTags",
"ec2:DescribeTransitGateways",
"ec2:DescribeAccountAttributes",
"ec2:DescribeInternetGateways"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGateway",
"ec2:CreateSecurityGroup",
"ec2:CreateTransitGatewayVpcAttachment"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/refactor-spaces:environment-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGateway",
"ec2:CreateSecurityGroup",
"ec2:CreateTransitGatewayVpcAttachment"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/refactor-spaces:environment-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpointServiceConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteTransitGateway",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupIngress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteTransitGatewayVpcAttachment",
"ec2:CreateRoute",
"ec2:DeleteRoute",
"ec2:DeleteTags"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/refactor-spaces:environment-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DeleteVpcEndpointServiceConfigurations",
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/refactor-spaces:application-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:CreateLoadBalancer"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/refactor-spaces:application-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTags",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeListeners"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:CreateLoadBalancerListeners",
"elasticloadbalancing:CreateListener",
"elasticloadbalancing:DeleteListener",
"elasticloadbalancing:DeleteTargetGroup"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/refactor-spaces:route-id": [
"*"
]
}
}
},
{
"Effect": "Allow",
"Action": "elasticloadbalancing:DeleteLoadBalancer",
"Resource": "arn:*:elasticloadbalancing:*:*:loadbalancer/net/refactor-spaces-nlb-*"
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:AddTags",
"elasticloadbalancing:CreateListener"
],
"Resource": "arn:*:elasticloadbalancing:*:*:loadbalancer/net/refactor-spaces-nlb-*",
"Condition": {
"Null": {
"aws:RequestTag/refactor-spaces:route-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": "elasticloadbalancing:DeleteListener",
"Resource": "arn:*:elasticloadbalancing:*:*:listener/net/refactor-spaces-nlb-*"
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:DeleteTargetGroup",
"elasticloadbalancing:RegisterTargets"
],
"Resource": "arn:*:elasticloadbalancing:*:*:targetgroup/refactor-spaces-tg-*"
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:AddTags",
"elasticloadbalancing:CreateTargetGroup"
],
"Resource": "arn:*:elasticloadbalancing:*:*:targetgroup/refactor-spaces-tg-*",
"Condition": {
"Null": {
"aws:RequestTag/refactor-spaces:route-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"apigateway:GET",
"apigateway:DELETE",
"apigateway:PATCH",
"apigateway:POST",
"apigateway:PUT",
"apigateway:UpdateRestApiPolicy"
],
"Resource": [
"arn:aws:apigateway:*::/restapis",
"arn:aws:apigateway:*::/restapis/*",
"arn:aws:apigateway:*::/vpclinks",
"arn:aws:apigateway:*::/vpclinks/*",
"arn:aws:apigateway:*::/tags",
"arn:aws:apigateway:*::/tags/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/refactor-spaces:application-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": "apigateway:GET",
"Resource": [
"arn:aws:apigateway:*::/vpclinks",
"arn:aws:apigateway:*::/vpclinks/*"
]
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "refactor-spaces.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "elasticloadbalancing.amazonaws.com"
}
}
}
]
}
```
## スペースのリファクタリングが更新されるAWSマネージドポリシー
の更新に関する詳細を表示します。AWSリファクタリングスペースの管理ポリシーは、このサービスがこれらの変更の追跡を開始した以降の分についてです。このページの変更に関する自動アラートについては、リファクタリングスペースのドキュメント履歴ページにある RSS フィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AWSMigration HubreFactorSpaceフルアクセス](#security-iam-awsmanpol-AWSMigrationHubRefactorSpacesFullAccess)— 発売時に新しいポリシーが利用可能になりました | -`AWSMigrationHubRefactorSpacesFullAccess`リファクタリングスペース、スペースのリファクタリングコンソール機能、およびその他の関連機能へのフルアクセスを許可しますAWSのサービス。 | 2021 年 11 月 29 日 |
| [移行 HubreFactorSpaces サービスロールポリシー](using-service-linked-roles.md#slr-permissions)— 発売時に新しいポリシーが利用可能になりました | `MigrationHubRefactorSpacesServiceRolePolicy`へのアクセスを提供します。AWSAWS 移行ハブリファクタリングスペースによって管理または使用されるリソース。AWSServiceRoleForMigrationHubreFactorSpaces サービスにリンクされたロールによって、ポリシーが使用されます。 | 2021 年 11 月 29 日 |
| スペースの変更の追跡を開始しました | リファクタリングスペースの変更の追跡を開始しましたAWS管理ポリシー。 | 2021 年 11 月 29 日 |