Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Erstellen einer Richtlinie und Rolle für den geheimen Zugriff Gehen Sie wie folgt vor, um Ihre Richtlinie und Rolle für den geheimen Zugriff zu erstellen, die es DMS ermöglichen, auf die Benutzeranmeldeinformationen für Ihre Quell- und Zieldatenbanken zuzugreifen. **Um die geheime Zugriffsrichtlinie und Rolle zu erstellen, die Amazon RDS den AWS Secrets Manager Zugriff auf Ihr entsprechendes Geheimnis ermöglicht** 1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Identity and Access Management (IAM-) Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Wählen Sie **Richtlinien** und anschließend **Richtlinie erstellen** aus. 1. Wählen Sie **JSON** aus und geben Sie die folgende Richtlinie ein, um den Zugriff auf Ihr Secret und dessen Entschlüsselung zu ermöglichen. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:SecretName-ABCDEF" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ] } ``` ------ Hier `secret_arn` ist der ARN Ihres Geheimnisses, den Sie je nach `SecretsManagerSecretId` Bedarf von beiden abrufen können, und `kms_key_arn` der ARN des AWS KMS Schlüssels, mit dem Sie Ihr Geheimnis verschlüsseln, wie im folgenden Beispiel. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:us-east-2:123456789012:secret:MySQLTestSecret-qeHamH" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-east-2:123456789012:key/761138dc-0542-4e58-947f-4a3a8458d0fd" } ] } ``` ------ **Anmerkung** Wenn Sie den standardmäßigen Verschlüsselungsschlüssel verwenden AWS Secrets Manager, der von erstellt wurde, müssen Sie die AWS KMS Berechtigungen für `kms_key_arn` nicht angeben. Wenn Sie möchten, dass Ihre Richtlinie Zugriff auf beide Geheimnisse gewährt, geben Sie einfach ein zusätzliches JSON-Ressourcenobjekt für das andere an*secret\$1arn*. 1. Überprüfen und erstellen Sie die Richtlinie mit einem Anzeigenamen und einer optionalen Beschreibung. 1. Wählen Sie **Rollen** und anschließend **Rolle erstellen** aus. 1. Wählen Sie als Typ der vertrauenswürdigen Entität **AWS -Service** aus. 1. Wählen Sie in der Liste der Services **DMS** als vertrauenswürdigen Service aus und wählen Sie dann **Weiter: Berechtigungen** aus. 1. Suchen Sie nach der Richtlinie, die Sie in Schritt 4 erstellt haben, und fügen Sie sie an. Fügen Sie dann alle Tags hinzu und überprüfen Sie Ihre Rolle. Bearbeiten Sie an dieser Stelle die Vertrauensstellungen für die Rolle, um Ihren regionalen Service-Prinzipal für Amazon RDS als vertrauenswürdige Entität zu verwenden. Dieser Prinzipal weist das folgende Format auf: ``` dms.region-name.amazonaws.com ``` Hier ist *`region-name`* der Name Ihrer Region, z. B. `us-east-1`. Dementsprechend folgt ein regionaler Service-Prinzipal von Amazon RDS für diese Region. ``` dms.us-east-1.amazonaws.com dms-data-migrations.amazonaws.com ```