AWS Migration Hub Migration Hub Migration Hub 目前為預覽版本,並可能有所變更。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWSAWS Migration Hub Migration Hub 重構空間的受管政策
若要新增許可給使用者、群組和角色,使用 AWS 受管政策比自己撰寫政策更容易。[建立 IAM 客戶受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的 AWS 帳戶 中使用。如需 AWS 受管政策的詳細資訊,請參閱《IAM 使用者指南》**中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服務會維護和更新 AWS 受管政策。您無法更改 AWS 受管政策中的許可。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。
## AWS受管政策:外觀設定因子空間完全存取
您可以將 `AWSMigrationHubRefactorSpacesFullAccess` 政策連接到 IAM 身分。
所以此`AWSMigrationHubRefactorSpacesFullAccess`政策授與 AWS Migration Hub 重構空間、重構空間主控台功能以及其他相關AWS服務。
**許可詳細資訊**
所以此`AWSMigrationHubRefactorSpacesFullAccess`政策內容如下。
+ `refactor-spaces`— 允許 IAM 使用者帳戶完整存取重構空間。
+ `ec2`— 允許 IAM 使用者帳戶執行重構空間使用的 Amazon Elastic Compute Cloud (Amazon EC2) 操作。
+ `elasticloadbalancing`— 允許 IAM 使用者帳戶執行「重構空間」所使用的「Elastic Load Balancing」作業。
+ `apigateway`— 允許 IAM 使用者帳戶執行重構空間使用的 Amazon API Gateway 操作。
+ `organizations`— 允許 IAM 使用者帳戶AWS Organizations重構空間所使用的作業。
+ `cloudformation`— 允許 IAM 使用者帳戶執行AWS CloudFormation作業,從主控台建立單鍵範例環境。
+ `iam`— 允許為 IAM 使用者帳戶建立服務連結的角色,這是使用「重構空間」的必要條件。
### 重構空間的額外必要權限
在您可以使用「重構空間」之前,除了`AWSMigrationHubRefactorSpacesFullAccess`受管政策,必須將下列額外必要許可指派給您帳戶中的 IAM 使用者、群組或角色。
+ 授予為建立服務連結角色的許可AWS Transit Gateway。
+ 授與將虛擬私有雲 (VPC) 附加至所有資源呼叫帳戶的轉輸閘道的權限。
+ 授予修改 VPC 端點服務的許可。
+ 授與權限,以傳回所有資源的呼叫帳戶之已標記或先前已標記的資源。
+ 授予執行所有AWS Resource Access Manager(AWS RAM) 所有資源上呼叫帳戶的動作。
+ 授予執行所有AWS Lambda動作的呼叫帳戶。
您可以將內嵌政策新增至 IAM 使用者、群組或角色,以取得這些額外許可。不過,您可以使用下列政策 JSON 建立 IAM 政策,並將其附加至 IAM 使用者、群組或角色,而不使用內嵌政策。
下列原則會授與能夠使用重構空間所需的額外必要權限。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "transitgateway.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGatewayVpcAttachment"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:ModifyVpcEndpointServicePermissions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ram:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"lambda:*"
],
"Resource": "*"
}
]
}
```
如下所示`AWSMigrationHubRefactorSpacesFullAccess`政策。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "RefactorSpaces",
"Effect": "Allow",
"Action": [
"refactor-spaces:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcs",
"ec2:DescribeTransitGatewayVpcAttachments",
"ec2:DescribeTransitGateways",
"ec2:DescribeTags",
"ec2:DescribeTransitGateways",
"ec2:DescribeAccountAttributes",
"ec2:DescribeInternetGateways"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGateway",
"ec2:CreateSecurityGroup",
"ec2:CreateTransitGatewayVpcAttachment"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/refactor-spaces:environment-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGateway",
"ec2:CreateSecurityGroup",
"ec2:CreateTransitGatewayVpcAttachment"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/refactor-spaces:environment-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpointServiceConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteTransitGateway",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupIngress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteTransitGatewayVpcAttachment",
"ec2:CreateRoute",
"ec2:DeleteRoute",
"ec2:DeleteTags"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/refactor-spaces:environment-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:DeleteVpcEndpointServiceConfigurations",
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/refactor-spaces:application-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:CreateLoadBalancer"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/refactor-spaces:application-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTags",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeListeners"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:RegisterTargets",
"elasticloadbalancing:CreateLoadBalancerListeners",
"elasticloadbalancing:CreateListener",
"elasticloadbalancing:DeleteListener",
"elasticloadbalancing:DeleteTargetGroup"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/refactor-spaces:route-id": [
"*"
]
}
}
},
{
"Effect": "Allow",
"Action": "elasticloadbalancing:DeleteLoadBalancer",
"Resource": "arn:*:elasticloadbalancing:*:*:loadbalancer/net/refactor-spaces-nlb-*"
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:AddTags",
"elasticloadbalancing:CreateListener"
],
"Resource": "arn:*:elasticloadbalancing:*:*:loadbalancer/net/refactor-spaces-nlb-*",
"Condition": {
"Null": {
"aws:RequestTag/refactor-spaces:route-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": "elasticloadbalancing:DeleteListener",
"Resource": "arn:*:elasticloadbalancing:*:*:listener/net/refactor-spaces-nlb-*"
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:DeleteTargetGroup",
"elasticloadbalancing:RegisterTargets"
],
"Resource": "arn:*:elasticloadbalancing:*:*:targetgroup/refactor-spaces-tg-*"
},
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:AddTags",
"elasticloadbalancing:CreateTargetGroup"
],
"Resource": "arn:*:elasticloadbalancing:*:*:targetgroup/refactor-spaces-tg-*",
"Condition": {
"Null": {
"aws:RequestTag/refactor-spaces:route-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"apigateway:GET",
"apigateway:DELETE",
"apigateway:PATCH",
"apigateway:POST",
"apigateway:PUT",
"apigateway:UpdateRestApiPolicy"
],
"Resource": [
"arn:aws:apigateway:*::/restapis",
"arn:aws:apigateway:*::/restapis/*",
"arn:aws:apigateway:*::/vpclinks",
"arn:aws:apigateway:*::/vpclinks/*",
"arn:aws:apigateway:*::/tags",
"arn:aws:apigateway:*::/tags/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/refactor-spaces:application-id": "false"
}
}
},
{
"Effect": "Allow",
"Action": "apigateway:GET",
"Resource": [
"arn:aws:apigateway:*::/vpclinks",
"arn:aws:apigateway:*::/vpclinks/*"
]
},
{
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "refactor-spaces.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "elasticloadbalancing.amazonaws.com"
}
}
}
]
}
```
## 「重構空間」會更新為AWS受管政策
檢視更新的詳細資訊AWS的受管政策,因為此服務開始追蹤這些變更。如需有關此頁面變更的自動提醒,請訂閱「重構空間文件歷程記錄」頁面上的 RSS 摘要。
| 變更 | 描述 | 日期 |
| --- | --- | --- |
| [外觀設定因子空間完全存取](#security-iam-awsmanpol-AWSMigrationHubRefactorSpacesFullAccess)— 推出時提供的新政策 | 所以此`AWSMigrationHubRefactorSpacesFullAccess`政策授予對重構空間、重構空間主控台功能及其他相關AWS服務。 | 2021 年 11 月 29 日 |
| [移轉因子空間服務角色原則](using-service-linked-roles.md#slr-permissions)— 推出時提供的新政策 | `MigrationHubRefactorSpacesServiceRolePolicy`提供對AWS由 AWS Migration Hub 管理或使用的資源重構空間。AWSElastic Figration Figration Figration Figration 因子空間服務連結角色會使用該政策。 | 2021 年 11 月 29 日 |
| 重構空間開始追蹤變更 | 重構空間開始追蹤其AWS受管政策。 | 2021 年 11 月 29 日 |