AWS Migration Hub Rigration Hub Rigration Hub Ligration Hub L
기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWSAWS Migration Hub에 대한 관리형 공간
사용자, 그룹 또는 역할에 권한을 추가하려면 정책을 직접 작성하는 것보다 AWS 관리형 정책을 사용하는 것이 편리합니다. 팀이 필요한 권한만 제공하는 [IAM 고객 관리형 정책을 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)하는 데는 시간과 전문 지식이 필요합니다. 빨리 시작하려면 AWS 관리형 정책을 사용할 수 있습니다. 이 정책은 일반적인 사용 사례를 다루며 사용자의 AWS 계정에서 사용할 수 있습니다. AWS 관리형 정책에 대한 자세한 내용은 [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)에서 *AWS 관리형 정책*을 참조하세요.
AWS 서비스 유지 관리 및 AWS 관리형 정책 업데이트입니다. AWS 관리형 정책에서 권한을 변경할 수 없습니다. 서비스는 때때로 추가 권한을 AWS 관리형 정책에 추가하여 새로운 기능을 지원합니다. 이 유형의 업데이트는 정책이 연결된 모든 자격 증명(사용자, 그룹 및 역할)에 적용됩니다. 서비스는 새로운 기능이 시작되거나 새 태스크를 사용할 수 있을 때 AWS 관리형 정책에 업데이트됩니다. 서비스는 AWS 관리형 정책에서 권한을 제거하지 않기 때문에 정책 업데이트로 인해 기존 권한이 손상되지 않습니다.
## AWS관리형 정책: AWS마이그리션허브팩터공간전체 액세스
`AWSMigrationHubRefactorSpacesFullAccess` 정책을 IAM 자격 증명에 연결할 수 있습니다.
이`AWSMigrationHubRefactorSpacesFullAccess`정책은 AWS Migration Hub 리팩터링 스페이스, 리팩터링 스페이스 콘솔 기능 및 기타 관련 기능에 대한 전체 액세스 권한을 부여합니다.AWS서비스.
**권한 세부 정보**
이`AWSMigrationHubRefactorSpacesFullAccess`정책에는 다음 권한이 포함되어 있습니다.
+ `refactor-spaces`— IAM 사용자 계정이 리팩터링 스페이스에 대한 전체 액세스 권한을 허용합니다.
+ `ec2`— IAM 사용자 계정이 리팩터링 스페이스에서 사용되는 Amazon Elastic Compute Cloud (Amazon EC2) 작업을 수행할 수 있도록 허용합니다.
+ `elasticloadbalancing`— IAM 사용자 계정이 리팩터링 스페이스에 사용되는 Elastic Load Balancing 작업을 수행할 수 있도록 허용합니다.
+ `apigateway`— IAM 사용자 계정이 리팩터링 스페이스에서 사용하는 Amazon API Gateway 작업을 수행할 수 있도록 허용합니다.
+ `organizations`— IAM 사용자 계정에서 다음을 수행할 수 있습니다.AWS Organizations공간 리팩토링에서 사용하는 작업.
+ `cloudformation`— IAM 사용자 계정이 수행할 수 있도록 허용AWS CloudFormation콘솔에서 원클릭 샘플 환경을 생성하는 작업입니다.
+ `iam`— 리팩터링 스페이스를 사용하기 위한 요구 사항인 IAM 사용자 계정에 대한 서비스 연결 역할을 생성할 수 있습니다.
### 리팩터링 스페이스에 필요한 추가 권한
공간 리팩토링을 사용하기 전에`AWSMigrationHubRefactorSpacesFullAccess`Spaces가 제공하는 관리형 정책인 다음 추가 필수 권한을 계정의 IAM 사용자, 그룹 또는 역할에 할당해야 합니다.
+ 에 대한 서비스 연결 역할을 생성할 수 있는 권한을 부여합니다.AWS Transit Gateway.
+ 모든 리소스의 호출 계정의 전송 게이트웨이에 가상 프라이빗 클라우드 (VPC) 를 연결할 수 있는 권한을 부여합니다.
+ VPC 엔드포인트 서비스에 대한 모든 리소스에 대한 권한을 수정할 수 있는 권한을 부여합니다.
+ 모든 리소스의 호출 계정에 대해 태그가 지정되었거나 이전에 태그가 지정된 리소스를 반환할 수 있는 권한을 부여합니다.
+ 모두 수행할 수 있는 권한 부여AWS Resource Access Manager(AWS RAM) 모든 리소스에서 통화 계정에 대한 조치.
+ 모두 수행할 수 있는 권한 부여AWS Lambda모든 리소스에 대한 호출 계정에 대한 작업
IAM 사용자, 그룹 또는 역할에 인라인 정책을 추가하여 이러한 추가 권한을 얻을 수 있습니다. 그러나 인라인 정책을 사용하는 대신 다음 정책 JSON을 사용하여 IAM 정책을 만들어 IAM 사용자, 그룹 또는 역할에 연결할 수 있습니다.
다음 정책은 리팩터링 스페이스를 사용하는 데 필요한 추가 필수 권한을 부여합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "transitgateway.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGatewayVpcAttachment"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:ModifyVpcEndpointServicePermissions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ram:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"lambda:*"
],
"Resource": "*"
}
]
}
```
다음은`AWSMigrationHubRefactorSpacesFullAccess`정책.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "RefactorSpaces",
"Effect": "Allow",
"Action": [
"refactor-spaces:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcs",
"ec2:DescribeTransitGatewayVpcAttachments",
"ec2:DescribeTransitGateways",
"ec2:DescribeTags",
"ec2:DescribeTransitGateways",
"ec2:DescribeAccountAttributes",
"ec2:DescribeInternetGateways"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGateway",
"ec2:CreateSecurityGroup",
"ec2:CreateTransitGatewayVpcAttachment"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/refactor-spaces:environment-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGateway",
"ec2:CreateSecurityGroup",
"ec2:CreateTransitGatewayVpcAttachment"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/refactor-spaces:environment-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpointServiceConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteTransitGateway",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupIngress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteTransitGatewayVpcAttachment",
"ec2:CreateRoute",
"ec2:DeleteRoute",
"ec2:DeleteTags"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/refactor-spaces:environment-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DeleteVpcEndpointServiceConfigurations",
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/refactor-spaces:application-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:CreateLoadBalancer"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/refactor-spaces:application-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTags",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeListeners"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:CreateLoadBalancerListeners",
"elasticloadbalancing:CreateListener",
"elasticloadbalancing:DeleteListener",
"elasticloadbalancing:DeleteTargetGroup"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/refactor-spaces:route-id": [
"*"
]
}
}
},
{
"Effect": "Allow",
"Action": "elasticloadbalancing:DeleteLoadBalancer",
"Resource": "arn:*:elasticloadbalancing:*:*:loadbalancer/net/refactor-spaces-nlb-*"
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:AddTags",
"elasticloadbalancing:CreateListener"
],
"Resource": "arn:*:elasticloadbalancing:*:*:loadbalancer/net/refactor-spaces-nlb-*",
"Condition": {
"Null": {
"aws:RequestTag/refactor-spaces:route-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": "elasticloadbalancing:DeleteListener",
"Resource": "arn:*:elasticloadbalancing:*:*:listener/net/refactor-spaces-nlb-*"
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:DeleteTargetGroup",
"elasticloadbalancing:RegisterTargets"
],
"Resource": "arn:*:elasticloadbalancing:*:*:targetgroup/refactor-spaces-tg-*"
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:AddTags",
"elasticloadbalancing:CreateTargetGroup"
],
"Resource": "arn:*:elasticloadbalancing:*:*:targetgroup/refactor-spaces-tg-*",
"Condition": {
"Null": {
"aws:RequestTag/refactor-spaces:route-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"apigateway:GET",
"apigateway:DELETE",
"apigateway:PATCH",
"apigateway:POST",
"apigateway:PUT",
"apigateway:UpdateRestApiPolicy"
],
"Resource": [
"arn:aws:apigateway:*::/restapis",
"arn:aws:apigateway:*::/restapis/*",
"arn:aws:apigateway:*::/vpclinks",
"arn:aws:apigateway:*::/vpclinks/*",
"arn:aws:apigateway:*::/tags",
"arn:aws:apigateway:*::/tags/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/refactor-spaces:application-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": "apigateway:GET",
"Resource": [
"arn:aws:apigateway:*::/vpclinks",
"arn:aws:apigateway:*::/vpclinks/*"
]
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "refactor-spaces.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "elasticloadbalancing.amazonaws.com"
}
}
}
]
}
```
## 공간 리팩터링 업데이트AWS관리형 정책
업데이트에 대한 세부 정보를 봅니다.AWS이 서비스가 이러한 변경 사항을 추적하기 시작한 이후 Spaces에 대한 관리형 정책 이 페이지의 변경 사항에 대한 자동 알림을 받아보려면 공간 리팩터링 문서 기록 페이지에서 RSS 피드를 구독하세요.
| 변경 사항 | 설명 | 날짜 |
| --- | --- | --- |
| [AWS마이그리션허브팩터공간전체 액세스](#security-iam-awsmanpol-AWSMigrationHubRefactorSpacesFullAccess)— 출시 시 새로운 정책 제공 | 이`AWSMigrationHubRefactorSpacesFullAccess`리팩터링 스페이스, 리팩터링 스페이스 콘솔 기능 및 기타 관련 정책에 대한 모든 액세스 권한을 부여합니다.AWS서비스. | 2021년 11월 29일 |
| [마이그레이션허브팩터공간서비스정책](using-service-linked-roles.md#slr-permissions)— 출시 시 새로운 정책 제공 | `MigrationHubRefactorSpacesServiceRolePolicy`에 대한 액세스를 제공합니다.AWSAWS Migration Hub 리팩토링 스페이스에서 관리하거나 사용하는 리소스. 이 정책은 AWSServiceFormigrationHubreFactorSpaces 서비스 연결 역할에서 사용됩니다. | 2021년 11월 29일 |
| 공간 리팩터링 변경 내용 추적 시작 | 스페이스의 리팩터링 변경 내용 추적 시작AWS관리형 정책 | 2021년 11월 29일 |