View a markdown version of this page

Erstellen einer Richtlinie und Rolle für den geheimen Zugriff - Amazon Relational Database Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen einer Richtlinie und Rolle für den geheimen Zugriff

Gehen Sie wie folgt vor, um Ihre Richtlinie und Rolle für den geheimen Zugriff zu erstellen, die es DMS ermöglichen, auf die Benutzeranmeldeinformationen für Ihre Quell- und Zieldatenbanken zuzugreifen.

Um die geheime Zugriffsrichtlinie und Rolle zu erstellen, die Amazon RDS den AWS Secrets Manager Zugriff auf Ihr entsprechendes Geheimnis ermöglicht

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Identity and Access Management (IAM-) Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie Richtlinien und anschließend Richtlinie erstellen aus.

  3. Wählen Sie JSON aus und geben Sie die folgende Richtlinie ein, um den Zugriff auf Ihr Secret und dessen Entschlüsselung zu ermöglichen.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:SecretName-ABCDEF"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ]
}

    Hier secret_arn ist der ARN Ihres Geheimnisses, den Sie je nach SecretsManagerSecretId Bedarf von beiden abrufen können, und kms_key_arn der ARN des AWS KMS Schlüssels, mit dem Sie Ihr Geheimnis verschlüsseln, wie im folgenden Beispiel.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:us-east-2:123456789012:secret:MySQLTestSecret-qeHamH"
        },
        {
             "Effect": "Allow",
             "Action": [
                        "kms:Decrypt",
                        "kms:DescribeKey"
                      ],
             "Resource": "arn:aws:kms:us-east-2:123456789012:key/761138dc-0542-4e58-947f-4a3a8458d0fd"
        }
     ]
}
    Anmerkung

    Wenn Sie den standardmäßigen Verschlüsselungsschlüssel verwenden AWS Secrets Manager, der von erstellt wurde, müssen Sie die AWS KMS Berechtigungen für kms_key_arn nicht angeben.

    Wenn Sie möchten, dass Ihre Richtlinie Zugriff auf beide Geheimnisse gewährt, geben Sie einfach ein zusätzliches JSON-Ressourcenobjekt für das andere ansecret_arn.

  4. Überprüfen und erstellen Sie die Richtlinie mit einem Anzeigenamen und einer optionalen Beschreibung.

  5. Wählen Sie Rollen und anschließend Rolle erstellen aus.

  6. Wählen Sie als Typ der vertrauenswürdigen Entität AWS -Service aus.

  7. Wählen Sie in der Liste der Services DMS als vertrauenswürdigen Service aus und wählen Sie dann Weiter: Berechtigungen aus.

  8. Suchen Sie nach der Richtlinie, die Sie in Schritt 4 erstellt haben, und fügen Sie sie an. Fügen Sie dann alle Tags hinzu und überprüfen Sie Ihre Rolle. Bearbeiten Sie an dieser Stelle die Vertrauensstellungen für die Rolle, um Ihren regionalen Service-Prinzipal für Amazon RDS als vertrauenswürdige Entität zu verwenden. Dieser Prinzipal weist das folgende Format auf:

    dms.region-name.amazonaws.com

    Hier ist region-name der Name Ihrer Region, z. B. us-east-1. Dementsprechend folgt ein regionaler Service-Prinzipal von Amazon RDS für diese Region.

    dms.us-east-1.amazonaws.com
dms-data-migrations.amazonaws.com