Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in AWS Database Migration Service
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einem Rechenzentrum und einer Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Auditoren von Drittanbietern testen und überprüfen die Effektivität unserer Sicherheitsmaßnahmen im Rahmen der [AWS -Compliance-Programme](https://aws.amazon.com/compliance/programs/) regelmäßig. Weitere Informationen zu den Compliance-Programmen, die für gelten AWS DMS, finden Sie [unter AWS Services nach Compliance-Programmen](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. In Ihre Verantwortung fallen außerdem weitere Faktoren, wie z. B. die Vertraulichkeit der Daten, die Anforderungen Ihrer Organisation sowie geltende Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Nutzung anwenden können AWS DMS. In den folgenden Themen erfahren Sie, wie Sie die Konfiguration vornehmen AWS DMS , um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, die Ihnen bei der Überwachung und Sicherung Ihrer AWS DMS Ressourcen helfen.
Sie können den Zugriff auf Ihre AWS DMS Ressourcen und Datenbanken verwalten (DBs). Die Methode, mit der Sie den Zugriff verwalten, hängt von der Replikationsaufgabe ab, die Sie ausführen müssen, und zwar mit AWS DMS:
+ Verwenden Sie AWS Identity and Access Management (IAM-) Richtlinien, um Berechtigungen zuzuweisen, die festlegen, wer AWS DMS Ressourcen verwalten darf. AWS DMS setzt voraus, dass Sie über die entsprechenden Berechtigungen verfügen, wenn Sie sich als IAM-Benutzer anmelden. Beispielsweise können Sie IAM verwenden, um zu bestimmen, wer DB-Instances und -Cluster erstellen, beschreiben, ändern und löschen, Ressourcen markieren oder Sicherheitsgruppen ändern darf. Weitere Informationen zu IAM und seiner Verwendung mit AWS DMS finden Sie unter. [Identitäts- und Zugriffsmanagement für AWS Database Migration Service](security-iam.md)
+ AWS DMS verwendet Secure Sockets Layer (SSL) für Ihre Endpunktverbindungen mit Transport Layer Security (TLS). Weitere Informationen zur Verwendung von SSL/TLS with AWS DMS finden Sie unter[Verwenden von SSL mit AWS Database Migration Service](CHAP_Security.SSL.md).
+ AWS DMS verwendet AWS Key Management Service (AWS KMS) Verschlüsselungsschlüssel, um den von Ihrer Replikationsinstanz verwendeten Speicher und die zugehörigen Endpunktverbindungsinformationen zu verschlüsseln. AWS DMS verwendet auch AWS KMS Verschlüsselungsschlüssel, um Ihre Zieldaten im Ruhezustand für Amazon S3- und Amazon Redshift Redshift-Zielendpunkte zu sichern. Weitere Informationen finden Sie unter [Einen Verschlüsselungsschlüssel festlegen und AWS KMS Berechtigungen angeben](#CHAP_Security.EncryptionKey).
+ AWS DMS erstellt Ihre Replikationsinstanz immer in einer Virtual Private Cloud (VPC), die auf dem Amazon VPC-Service basiert, um die größtmögliche Netzwerkzugriffskontrolle zu gewährleisten. Verwenden Sie für Ihre DB-Instances und Instance-Cluster dieselbe VPC wie Ihre Replikationsinstanz oder eine zusätzliche, VPCs um dieser Ebene der Zugriffskontrolle zu entsprechen. Jede von Ihnen verwendete Amazon VPC muss einer Sicherheitsgruppe zugeordnet sein, die Regeln enthält, mit denen der gesamte Datenverkehr auf allen Ports die VPC verlassen kann. Dieser Ansatz ermöglicht die Kommunikation von der Replikations-Instance zu Ihren Quell- und Zieldatenbankendpunkten, sofern auf diesen Endpunkten korrekte Eingangsregeln aktiviert sind.
Weitere Informationen zu verfügbaren Netzwerkkonfigurationen für finden Sie AWS DMS unter[Einrichten eines Netzwerks für eine Replikations-Instance](CHAP_ReplicationInstance.VPC.md). Weitere Informationen zum Erstellen einer DB-Instance oder eines Instance-Clusters in einer VPC finden Sie in der Dokumentation zur Sicherheits- und Cluster-Verwaltung für Ihre Amazon-Datenbanken in der [AWS -Dokumentation](https://docs.aws.amazon.com/index.html?nc2=h_ql_doc_do_v). Weitere Hinweise zu von AWS DMS unterstützten Netzwerkkonfigurationen finden Sie unter [Einrichten eines Netzwerks für eine Replikations-Instance](CHAP_ReplicationInstance.VPC.md).
+ Um Datenbankmigrationsprotokolle anzuzeigen, benötigen Sie die entsprechenden Amazon CloudWatch Logs-Berechtigungen für die IAM-Rolle, die Sie verwenden. Weitere Informationen zur Protokollierung für AWS DMS finden Sie unter [Überwachung von Replikationsaufgaben mit Amazon CloudWatch](CHAP_Monitoring.md#CHAP_Monitoring.CloudWatch).
**Topics**
+ [Datenschutz in AWS Database Migration Service](CHAP_Security.DataProtection.md)
+ [Identitäts- und Zugriffsmanagement für AWS Database Migration Service](security-iam.md)
+ [Konformitätsvalidierung für AWS Database Migration Service](dms-compliance.md)
+ [Resilienz in AWS Database Migration Service](disaster-recovery-resiliency.md)
+ [Infrastruktursicherheit in AWS Database Migration Service](infrastructure-security.md)
+ [Differenzierte Zugriffskontrolle mit Ressourcennamen und Ressourcen-Tags](CHAP_Security.FineGrainedAccess.md)
+ [Verschlüsselung für AWS DMS homogene Migrationen](#CHAP_Security.Migrations)
+ [Einen Verschlüsselungsschlüssel festlegen und AWS KMS Berechtigungen angeben](#CHAP_Security.EncryptionKey)
+ [Netzwerksicherheit für AWS Database Migration Service](#CHAP_Security.Network)
+ [Verwenden von SSL mit AWS Database Migration Service](CHAP_Security.SSL.md)
+ [Ändern des Datenbankpassworts](#CHAP_Security.ChangingDBPassword)
+ [Verwenden der Kerberos-Authentifizierung mit AWS Database Migration Service](CHAP_Security.Kerberos.md)
# Datenschutz in AWS Database Migration Service
## Datenverschlüsselung
Sie können die Verschlüsselung für Datenressourcen unterstützter AWS DMS Zielendpunkte aktivieren. AWS DMS verschlüsselt auch Verbindungen zu AWS DMS und zwischen all seinen Quell AWS DMS - und Zielendpunkten. Darüber hinaus können Sie die Schlüssel verwalten, die AWS DMS und die unterstützten Zielendpunkte verwenden, um diese Verschlüsselung zu aktivieren.
**Topics**
+ [Verschlüsselung im Ruhezustand](#CHAP_Security.DataProtection.DataEncryption.EncryptionAtRest)
+ [Verschlüsselung während der Übertragung](#CHAP_Security.DataProtection.DataEncryption.EncryptionInTransit)
+ [Schlüsselverwaltung](#CHAP_Security.DataProtection.DataEncryption.KeyManagement)
### Verschlüsselung im Ruhezustand
AWS DMS unterstützt Verschlüsselung im Ruhezustand, indem Sie den serverseitigen Verschlüsselungsmodus angeben können, mit dem Sie Ihre replizierten Daten an Amazon S3 übertragen möchten, bevor sie auf unterstützte AWS DMS Zielendpunkte kopiert werden. Sie können diesen Verschlüsselungsmodus angeben, indem Sie das zusätzliche `encryptionMode`-Verbindungsattribut für den Endpunkt festlegen. Wenn diese `encryptionMode` Einstellung den Verschlüsselungsmodus für KMS-Schlüssel angibt, können Sie auch benutzerdefinierte AWS KMS Schlüssel speziell zur Verschlüsselung der Zieldaten für die folgenden Zielendpunkte erstellen: AWS DMS
+ Amazon Redshift – Weitere Informationen zur Einstellung von `encryptionMode` finden Sie unter [Endpunkteinstellungen bei Verwendung von Amazon Redshift als Ziel für AWS DMS](CHAP_Target.Redshift.md#CHAP_Target.Redshift.ConnectionAttrib). Weitere Informationen zum Erstellen eines benutzerdefinierten AWS KMS Verschlüsselungsschlüssels finden Sie unter. [Erstellen und Verwenden von AWS KMS Schlüsseln zur Verschlüsselung von Amazon Redshift Redshift-Zieldaten](CHAP_Target.Redshift.md#CHAP_Target.Redshift.KMSKeys)
+ Amazon S3 – Weitere Informationen zur Einstellung von `encryptionMode` finden Sie unter [Endpunkteinstellungen bei Verwendung von Amazon S3 als Ziel für AWS DMS](CHAP_Target.S3.md#CHAP_Target.S3.Configuring). Weitere Informationen zum Erstellen eines benutzerdefinierten AWS KMS Verschlüsselungsschlüssels finden Sie unter[AWS KMS Schlüssel zur Verschlüsselung von Amazon S3 S3-Zielobjekten erstellen](CHAP_Target.S3.md#CHAP_Target.S3.KMSKeys).
### Verschlüsselung während der Übertragung
AWS DMS unterstützt die Verschlüsselung bei der Übertragung, indem sichergestellt wird, dass die replizierten Daten sicher vom Quellendpunkt zum Zielendpunkt übertragen werden. Dazu gehört das Verschlüsseln eines S3-Buckets auf der Replikations-Instance, die Ihre Replikationsaufgabe für Zwischenspeicher verwendet, wenn die Daten durch die Replikationspipeline verschoben werden. Zum Verschlüsseln von Aufgabenverbindungen zu Quell- und AWS DMS Zielendpunkten werden Secure Socket Layer (SSL) oder Transport Layer Security (TLS) verwendet. Durch die Verschlüsselung von Verbindungen zu beiden Endpunkten wird AWS DMS sichergestellt, dass Ihre Daten sicher sind, da sie sowohl vom Quellendpunkt zu Ihrer Replikationsaufgabe als auch von Ihrer Aufgabe zum Zielendpunkt übertragen werden. Weitere Informationen zur Verwendung von SSL/TLS mit AWS DMS finden Sie unter [Verwenden von SSL mit AWS Database Migration Service](CHAP_Security.SSL.md)
AWS DMS unterstützt sowohl Standard- als auch benutzerdefinierte Schlüssel zur Verschlüsselung von Zwischenspeicher- und Verbindungsinformationen bei der Replikation. Sie verwalten diese Schlüssel mit AWS KMS. Weitere Informationen finden Sie unter [Einen Verschlüsselungsschlüssel festlegen und AWS KMS Berechtigungen angeben](CHAP_Security.md#CHAP_Security.EncryptionKey).
### Schlüsselverwaltung
AWS DMS unterstützt Standard- oder benutzerdefinierte Schlüssel zur Verschlüsselung des Replikationsspeichers, der Verbindungsinformationen und des Zieldatenspeichers für bestimmte Zielendpunkte. Sie verwalten diese Schlüssel mithilfe von. AWS KMS Weitere Informationen finden Sie unter [Einen Verschlüsselungsschlüssel festlegen und AWS KMS Berechtigungen angeben](CHAP_Security.md#CHAP_Security.EncryptionKey).
## Richtlinie für den Datenverkehr zwischen Netzwerken
Verbindungen werden zwischen Quell AWS DMS - und Zielendpunkten in derselben AWS Region geschützt, unabhängig davon, ob sie lokal oder als Teil eines AWS Dienstes in der Cloud ausgeführt werden. (Mindestens ein Endpunkt, Quell- oder Zielpunkt, muss als Teil eines AWS Dienstes in der Cloud ausgeführt werden.) Dieser Schutz gilt unabhängig davon, ob sich diese Komponenten dieselbe Virtual Private Cloud (VPC) teilen oder separat existieren VPCs, wenn sie VPCs sich alle in derselben AWS Region befinden. Weitere Informationen zu den unterstützten Netzwerkkonfigurationen für finden Sie AWS DMS unter[Einrichten eines Netzwerks für eine Replikations-Instance](CHAP_ReplicationInstance.VPC.md). Weitere Hinweise zu Sicherheitsüberlegungen bei der Verwendung dieser Netzwerkkonfigurationen finden Sie unter [Netzwerksicherheit für AWS Database Migration Service](CHAP_Security.md#CHAP_Security.Network).
## Datenschutz in DMS Fleet Advisor
DMS Fleet Advisor erfasst und analysiert Ihre Datenbank-Metadaten, um die korrekte Größe des Migrationsziels zu ermitteln. DMS Fleet Advisor greift nicht auf Daten in Ihren Tabellen zu und überträgt sie nicht. Außerdem verfolgt DMS Fleet Advisor nicht die Nutzung der Datenbank-Features und greift nicht auf Ihre Nutzungsstatistiken zu.
Sie kontrollieren den Zugriff auf Ihre Datenbanken, wenn Sie Datenbankbenutzer erstellen, die DMS Fleet Advisor für die Arbeit mit Ihren Datenbanken verwendet. Sie gewähren diesen Benutzern die erforderlichen Berechtigungen. Um DMS Fleet Advisor verwenden zu können, gewähren Sie Ihren Datenbankbenutzern Leseberechtigungen. DMS Fleet Advisor verändert Ihre Datenbanken nicht und benötigt keine Schreibberechtigungen. Weitere Informationen finden Sie unter [Datenbankbenutzer für AWS DMS Fleet Advisor erstellen](fa-database-users.md).
Sie können Datenverschlüsselung in Ihren Datenbanken verwenden. AWS DMS verschlüsselt auch Verbindungen innerhalb von DMS Fleet Advisor und innerhalb seiner Datensammler.
Der DMS-Datenkollektor verwendet Data Protection Application Programming Interface (DPAPI), um Informationen über die Umgebung und die Datenbankanmeldedaten des Kunden zu verschlüsseln, zu schützen und zu speichern. DMS Fleet Advisor speichert diese verschlüsselten Daten in einer Datei auf dem Server, auf dem Ihr DMS-Datenkollektor arbeitet. DMS Fleet Advisor überträgt diese Daten nicht von diesem Server. Weitere Informationen zu DPAPI finden Sie unter [Verwendung des Datenschutzes](https://learn.microsoft.com/en-us/dotnet/standard/security/how-to-use-data-protection).
Nachdem Sie den DMS-Datenkollektor installiert haben, können Sie alle Abfragen anzeigen, die diese Anwendung zur Erfassung von Metriken ausführt. Sie können den DMS-Datenkollektor im Offline-Modus ausführen und dann die erfassten Daten auf Ihrem Server überprüfen. Sie können diese erfassten Daten auch in Ihrem Amazon-S3-Bucket überprüfen. Weitere Informationen finden Sie unter [Wie funktioniert der DMS-Datenkollektor?](fa-collecting.md#fa-data-collectors-how-it-works).
# Abmeldung von der Verwendung Ihrer Daten zur Serviceverbesserung in AWS Database Migration Service
Sie können sich dafür entscheiden, dass Ihre Daten nicht zur Entwicklung und Verbesserung verwendet werden, AWS DMS indem Sie die Opt-Out-Richtlinie für AWS Organizations verwenden. Sie können sich dafür entscheiden, sich abzumelden, auch wenn derzeit AWS DMS keine derartigen Daten erfasst werden. Weitere Informationen finden Sie in den [Opt-Out-Richtlinien für KI-Dienste](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html) im *AWS Organizations User Guide*.
Derzeit sammelt AWS Database Migration Service (AWS DMS) keine der Daten, die es in Ihrem Namen verarbeitet. Um DMS und die Funktionen anderer AWS Dienste weiterzuentwickeln und zu verbessern, kann DMS in future solche Daten erheben. Wir werden diese Dokumentationsseite aktualisieren, sobald DMS für die Erfassung von Daten konfiguriert ist. Sie haben jederzeit die Möglichkeit, sich abzumelden.
**Anmerkung**
Damit Sie die Opt-Out-Richtlinie nutzen können, müssen Ihre AWS Konten zentral von AWS Organizations verwaltet werden. Wenn Sie keine Organisation für Ihre AWS Konten erstellt haben, finden Sie weitere Informationen unter [Organisation mit AWS Organizations verwalten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) im *AWS Organisationen-Benutzerhandbuch*.
Opt-Out hat folgende Auswirkungen:
+ AWS DMS löscht die Daten, die es vor Ihrer Abmeldung gesammelt und gespeichert hat, um den Service zu verbessern (falls vorhanden).
+ Nach Ihrer Abmeldung werden diese Daten nicht AWS DMS mehr zu Zwecken der Serviceverbesserung gesammelt oder gespeichert.
# Regionsübergreifende Inferenz in AWS Database Migration Service
Bestimmte AWS Database Migration Service Funktionen verwenden regionsübergreifende KI-Inferenz, um automatisch das Optimum AWS-Region innerhalb Ihrer Region für die Verarbeitung von Inferenzanfragen auszuwählen. Dieser Ansatz maximiert die verfügbaren Rechenressourcen und die Modellverfügbarkeit und ist darauf ausgelegt, ein qualitativ hochwertiges Kundenerlebnis zu bieten. Regionsübergreifende Inferenz bietet folgende Vorteile:
+ Zugriff auf die fortschrittlichsten KI-Funktionen und -Features
+ Höherer Durchsatz und größere Stabilität in Zeiten hoher Nachfrage
Regionsübergreifende KI-Inferenzanfragen werden innerhalb derjenigen gespeichert AWS-Regionen , die Teil derselben Region wie Ihre primäre Region sind. AWS-Region Beispielsweise wird eine Anfrage, die von einem Primärunternehmen AWS-Region in den USA gestellt wird, innerhalb der AWS-Regionen USA aufbewahrt. Ihre Daten bleiben nur in Ihrer primären Datenbank gespeichert AWS-Region. Alle Daten werden verschlüsselt über das sichere Netzwerk von Amazon übertragen.
**Anmerkung**
Amazon CloudWatch und AWS CloudTrail Logs geben nicht an, AWS-Region in welcher KI-Inferenz stattfindet.
## Regionsübergreifende Inferenz bei der DMS-Schemakonvertierung
Wenn Sie Generative KI-Funktionen in der DMS-Schemakonvertierung verwenden, werden anonymisierte Codefragmente und zugehörige Schema-Metadaten möglicherweise zur KI-Verarbeitung an andere AWS-Regionen innerhalb derselben Region gesendet. Ihre Produktionsdaten verbleiben in Ihren Primärdaten AWS-Region und werden niemals abgerufen oder übertragen.
**Wichtig**
Regionsübergreifende Inferenz ist immer aktiviert, wenn Sie Generative AI-Funktionen in der DMS-Schemakonvertierung verwenden. Verwenden Sie die Schemakonvertierung mit deaktivierten generativen KI-Funktionen AWS-Region, um die Verarbeitung der Schemakonvertierung in Ihrem Primärsystem beizubehalten.
Generative KI-Funktionen in DMS Schema Conversion sind derzeit in einer begrenzten Anzahl von Regionen verfügbar. In der folgenden Tabelle wird beschrieben, an welche Adresse AWS-Regionen Ihre Anfragen je nach primärer Adresse weitergeleitet werden können. AWS-Region
| Primär AWS-Region | Folgerung AWS-Regionen |
| --- | --- |
| Asien-Pazifik (Tokyo) (ap-northeast-1) | Asien-Pazifik (Tokyo) (ap-northeast-1) Asien-Pazifik (Osaka) (ap-northeast-3) |
| Asien-Pazifik (Osaka) (ap-northeast-3) | Asien-Pazifik (Tokyo) (ap-northeast-1) Asien-Pazifik (Osaka) (ap-northeast-3) |
| Asien-Pazifik (Sydney): (ap-southeast-2) | Asien-Pazifik (Sydney): (ap-southeast-2) Asien-Pazifik (Melbourne) (ap-southeast-4) |
| Kanada (Zentral): (ca-central-1) | Kanada (Zentral): (ca-central-1) USA Ost (Nord-Virginia): (us-east-1) USA Ost (Ohio): (us-east-2) USA West (Oregon): (us-west-2) |
| Europa (Frankfurt) (eu-central-1) | Europa (Frankfurt) (eu-central-1) Europa (Stockholm) (eu-north-1) Europa (Mailand) (eu-south-1) Europa (Spanien) (eu-south-2) Europa (Irland) (eu-west-1) Europa (Paris) (eu-west-3) |
| Europa (Stockholm) (eu-north-1) | Europa (Frankfurt) (eu-central-1) Europa (Stockholm) (eu-north-1) Europa (Mailand) (eu-south-1) Europa (Spanien) (eu-south-2) Europa (Irland) (eu-west-1) Europa (Paris) (eu-west-3) |
| Europa (Irland) (eu-west-1) | Europa (Frankfurt) (eu-central-1) Europa (Stockholm) (eu-north-1) Europa (Mailand) (eu-south-1) Europa (Spanien) (eu-south-2) Europa (Irland) (eu-west-1) Europa (Paris) (eu-west-3) |
| Europa (London) (eu-west-2) | Europa (Frankfurt) (eu-central-1) Europa (Stockholm) (eu-north-1) Europa (Mailand) (eu-south-1) Europa (Spanien) (eu-south-2) Europa (Irland) (eu-west-1) Europa (London) (eu-west-2) Europa (Paris) (eu-west-3) |
| Europa (Paris) (eu-west-3) | Europa (Frankfurt) (eu-central-1) Europa (Stockholm) (eu-north-1) Europa (Mailand) (eu-south-1) Europa (Spanien) (eu-south-2) Europa (Irland) (eu-west-1) Europa (Paris) (eu-west-3) |
| USA Ost (Nord-Virginia): (us-east-1) | USA Ost (Nord-Virginia): (us-east-1) USA Ost (Ohio): (us-east-2) USA West (Oregon): (us-west-2) |
| USA Ost (Ohio): (us-east-2) | USA Ost (Nord-Virginia): (us-east-1) USA Ost (Ohio): (us-east-2) USA West (Oregon): (us-west-2) |
| USA West (Oregon): (us-west-2) | USA Ost (Nord-Virginia): (us-east-1) USA Ost (Ohio): (us-east-2) USA West (Oregon): (us-west-2) |
# Identitäts- und Zugriffsmanagement für AWS Database Migration Service
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Ressourcen zu verwenden. AWS DMS IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [Wie AWS Database Migration Service funktioniert mit IAM](security_iam_service-with-iam.md)
+ [AWS Database Migration Service Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)
+ [Beispiele für ressourcenbasierte Richtlinien für AWS KMS](security_iam_resource-based-policy-examples.md)
+ [Verwenden von Geheimnissen für den Zugriff auf AWS Database Migration Service Endpunkte](security_iam_secretsmanager.md)
+ [Verwenden von serviceverknüpften Rollen für AWS DMS](using-service-linked-roles.md)
+ [Fehlerbehebung bei AWS Database Migration Service Identität und Zugriff](security_iam_troubleshoot.md)
+ [Für die Verwendung sind IAM-Berechtigungen erforderlich AWS DMS](#CHAP_Security.IAMPermissions)
+ [Die IAM-Rollen zur Verwendung mit erstellen AWS DMS](#CHAP_Security.APIRole)
+ [Serviceübergreifende Confused-Deputy-Prävention](cross-service-confused-deputy-prevention.md)
+ [AWS verwaltete Richtlinien für AWS Database Migration Service](security-iam-awsmanpol.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei AWS Database Migration Service Identität und Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [Wie AWS Database Migration Service funktioniert mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [AWS Database Migration Service Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) verwenden müssen.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Zugriffskontrolllisten () ACLs
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
Amazon S3 und Amazon VPC sind Beispiele für Dienste, die Unterstützung ACLs bieten. AWS WAF Weitere Informationen finden Sie unter [Übersicht über ACLs die Zugriffskontrollliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service Developer Guide*.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# Wie AWS Database Migration Service funktioniert mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf zu verwalten AWS DMS, sollten Sie wissen, mit welchen IAM-Funktionen Sie verwenden können. AWS DMS*Einen allgemeinen Überblick darüber, wie AWS DMS und andere AWS Dienste mit IAM funktionieren, finden Sie im [AWS IAM-Benutzerhandbuch unter Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
**Topics**
+ [AWS DMS identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies)
+ [AWS DMS ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisierung auf der Grundlage von Tags AWS DMS](#security_iam_service-with-iam-tags)
+ [IAM-Rollen für AWS DMS](#security_iam_service-with-iam-roles)
+ [Identitäts- und Zugriffsverwaltung für DMS Fleet Advisor](#fa-security-iam)
## AWS DMS identitätsbasierte Richtlinien
Mit identitätsbasierten IAM-Richtlinien können Sie festlegen, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. AWS DMS unterstützt spezifische Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Aktionen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Bei Richtlinienaktionen wird vor der Aktion das folgende Präfix AWS DMS verwendet:`dms:`. Um beispielsweise jemandem die Erlaubnis zu erteilen, eine Replikationsaufgabe mit dem AWS DMS `CreateReplicationTask` API-Vorgang zu erstellen, nehmen Sie die `dms:CreateReplicationTask` Aktion in seine Richtlinie auf. Richtlinienerklärungen müssen `Action` entweder ein `NotAction` Oder-Element enthalten. AWS DMS definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Dienst ausführen können.
Um mehrere -Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie folgendermaßen durch Kommas.
```
"Action": [
"dms:action1",
"dms:action2"
```
Sie können auch Platzhalter (\$1) verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:
```
"Action": "dms:Describe*"
```
Eine Liste der AWS DMS [Aktionen finden Sie AWS Database Migration Service im *IAM-Benutzerhandbuch* unter Definierte Aktionen von](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdatabasemigrationservice.html#awsdatabasemigrationservice-actions-as-permissions).
### Ressourcen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
AWS DMS arbeitet mit den folgenden Ressourcen:
+ Zertifikate
+ Endpunkte
+ Ereignisabonnements
+ Replikations-Instances
+ Replikations-Subnetzgruppen (Sicherheit)
+ Replikationsaufgaben
Welche Ressource oder welche Ressourcen AWS DMS benötigt werden, hängt von der Aktion oder den Aktionen ab, die Sie aufrufen. Sie benötigen eine Richtlinie, die diese Aktionen für die zugeordnete oder die von der Ressource ARNs angegebenen Ressourcen zulässt.
Eine AWS DMS Endpunktressource hat beispielsweise den folgenden ARN:
```
arn:${Partition}:dms:${Region}:${Account}:endpoint/${InstanceId}
```
Weitere Informationen zum Format von ARNs finden Sie unter [Amazon Resource Names (ARNs) und AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Um beispielsweise die `1A2B3C4D5E6F7G8H9I0J1K2L3M`-Endpunkt-Instance für die `us-east-2`-Region in Ihrer Anweisung anzugeben, verwenden Sie den folgenden ARN.
```
"Resource": "arn:aws:dms:us-east-2:987654321098:endpoint/1A2B3C4D5E6F7G8H9I0J1K2L3M"
```
Um alle Endpunkte anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (\$1):
```
"Resource": "arn:aws:dms:us-east-2:987654321098:endpoint/*"
```
Einige AWS DMS Aktionen, wie z. B. die zum Erstellen von Ressourcen, können nicht für eine bestimmte Ressource ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (\$1) verwenden.
```
"Resource": "*"
```
Einige AWS DMS API-Aktionen umfassen mehrere Ressourcen. Beispielsweise startet `StartReplicationTask` eine Replikationsaufgabe und verbindet sie mit zwei Datenbankendpunktressourcen, einer Quelle und einem Ziel, sodass ein IAM-Benutzer Berechtigungen zum Lesen des Quellendpunkts und zum Schreiben auf den Zielendpunkt haben muss. Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie ARNs durch Kommas.
```
"Resource": [
"resource1",
"resource2" ]
```
Weitere Informationen zur Steuerung des Zugriffs auf AWS DMS Ressourcen mithilfe von Richtlinien finden Sie unter[Verwenden von Ressourcennamen für die Zugriffskontrolle](CHAP_Security.FineGrainedAccess.md#CHAP_Security.FineGrainedAccess.ResourceName). Eine Liste der AWS DMS Ressourcentypen und ihrer ARNs Eigenschaften finden Sie AWS Database Migration Service im *IAM-Benutzerhandbuch* unter [Defined by (Ressourcen definiert von](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdatabasemigrationservice.html#awsdatabasemigrationservice-resources-for-iam-policies)). Informationen zu den Aktionen, mit denen Sie den ARN einzelner Ressourcen angeben können, finden Sie unter [Von AWS Database Migration Service definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdatabasemigrationservice.html#awsdatabasemigrationservice-actions-as-permissions).
### Bedingungsschlüssel
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
AWS DMS definiert seinen eigenen Satz von Bedingungsschlüsseln und unterstützt auch die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
AWS DMS definiert eine Reihe von Standard-Tags, die Sie in ihren Bedingungsschlüsseln verwenden können, und ermöglicht Ihnen auch, Ihre eigenen benutzerdefinierten Tags zu definieren. Weitere Informationen finden Sie unter [Verwendung von Tags zur Zugriffssteuerung](CHAP_Security.FineGrainedAccess.md#CHAP_Security.FineGrainedAccess.Tags).
Eine Liste der AWS DMS Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für AWS Database Migration Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdatabasemigrationservice.html#awsdatabasemigrationservice-policy-keys) im *IAM-Benutzerhandbuch*. Informationen dazu, mit welchen Aktionen und Ressourcen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von AWS Database Migration Service definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdatabasemigrationservice.html#awsdatabasemigrationservice-actions-as-permissions) und [Von AWS Database Migration Service definierte Ressourcentypen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdatabasemigrationservice.html#awsdatabasemigrationservice-resources-for-iam-policies).
### Beispiele
Beispiele für AWS DMS identitätsbasierte Richtlinien finden Sie unter. [AWS Database Migration Service Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)
## AWS DMS ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die angeben, welche Aktionen ein bestimmter Prinzipal auf einer bestimmten AWS DMS Ressource ausführen kann und unter welchen Bedingungen. AWS DMS unterstützt ressourcenbasierte Berechtigungsrichtlinien für AWS KMS Verschlüsselungsschlüssel, die Sie zur Verschlüsselung von Daten erstellen, die auf unterstützte Zielendpunkte migriert wurden. Die unterstützten Ziel-Endpunkte enthalten Amazon Redshift und Amazon S3. Mithilfe ressourcenbasierter Richtlinien können Sie anderen Konten für jeden Zielendpunkt die Berechtigung zur Verwendung dieser Verschlüsselungsschlüssel erteilen.
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als [Prinzipal in einer ressourcenbasierten Richtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) angeben. Durch das Hinzufügen eines kontoübergreifenden Auftraggebers zu einer ressourcenbasierten Richtlinie ist nur die halbe Vertrauensbeziehung eingerichtet. Wenn sich der Prinzipal und die Ressource in unterschiedlichen AWS Konten befinden, müssen Sie der Prinzipalentität auch die Erlaubnis erteilen, auf die Ressource zuzugreifen. Sie erteilen Berechtigungen, indem Sie der Entität eine identitätsbasierte Richtlinie anfügen. Wenn jedoch eine ressourcenbasierte Richtlinie Zugriff auf einen Prinzipal in demselben Konto gewährt, ist keine zusätzliche identitätsbasierte Richtlinie erforderlich. Weitere Informationen finden Sie unter [Wie sich IAM-Rollen von ressourcenbasierten Richtlinien unterscheiden](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) im *IAM-Benutzerhandbuch*.
Der AWS DMS Dienst unterstützt nur eine Art von ressourcenbasierter Richtlinie, die als *Schlüsselrichtlinie* bezeichnet wird und an einen AWS KMS Verschlüsselungsschlüssel angehängt ist. Diese Richtlinie legt fest, welche Prinzipal-Entitäten (Konten, Benutzer, Rollen und verbundene Benutzer) migrierte Daten auf dem unterstützten Zielendpunkt verschlüsseln können.
Informationen zum Anfügen einer ressourcenbasierten Richtlinie an einen Verschlüsselungsschlüssel, den Sie für die unterstützten Zielendpunkte erstellen, finden Sie unter [Erstellen und Verwenden von AWS KMS Schlüsseln zur Verschlüsselung von Amazon Redshift Redshift-Zieldaten](CHAP_Target.Redshift.md#CHAP_Target.Redshift.KMSKeys) und [AWS KMS Schlüssel zur Verschlüsselung von Amazon S3 S3-Zielobjekten erstellen](CHAP_Target.S3.md#CHAP_Target.S3.KMSKeys).
### Beispiele
Beispiele für AWS DMS ressourcenbasierte Richtlinien finden Sie unter. [Beispiele für ressourcenbasierte Richtlinien für AWS KMS](security_iam_resource-based-policy-examples.md)
## Autorisierung auf der Grundlage von Tags AWS DMS
Sie können Tags an AWS DMS Ressourcen anhängen oder Tags in einer Anfrage an übergeben AWS DMS. Um den Zugriff anhand von Stichwörtern zu steuern, geben Sie Tag-Informationen im [Bedingungselement](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) einer Richtlinie mithilfe des `aws:TagKeys` Bedingungsschlüssels `dms:ResourceTag/key-name``aws:RequestTag/key-name`,, oder ein. AWS DMS definiert eine Reihe von Standardtags, die Sie in ihren Bedingungsschlüsseln verwenden können, und ermöglicht es Ihnen auch, Ihre eigenen benutzerdefinierten Tags zu definieren. Weitere Informationen finden Sie unter [Verwendung von Tags zur Zugriffssteuerung](CHAP_Security.FineGrainedAccess.md#CHAP_Security.FineGrainedAccess.Tags).
Eine identitätsbasierte Beispielrichtlinie, die den Zugriff auf eine Ressource auf Tags beschränkt, finden Sie unter [Zugriff auf AWS DMS Ressourcen auf der Grundlage von Tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-access-resources-tags).
## IAM-Rollen für AWS DMS
Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität in Ihrem AWS Konto, die über bestimmte Berechtigungen verfügt.
### Verwenden temporärer Anmeldeinformationen mit AWS DMS
Sie können temporäre Anmeldeinformationen verwenden, um sich mit dem Verbund anzumelden, eine IAM-Rolle zu übernehmen oder eine kontoübergreifende Rolle zu übernehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder aufrufen [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
AWS DMS unterstützt die Verwendung temporärer Anmeldeinformationen.
### Service-verknüpfte Rollen
Mit [dienstbezogenen Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) können AWS Dienste auf Ressourcen in anderen Diensten zugreifen, um eine Aktion in Ihrem Namen auszuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.
Einzelheiten zum Erstellen oder Verwalten von AWS DMS dienstbezogenen Rollen finden Sie unter. [Verwenden von servicegebundenen Rollen](using-service-linked-roles.md)
### Servicerollen
Dieses Feature ermöglicht einem Service das Annehmen einer [Servicerolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Dies bedeutet, dass ein IAM-Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.
AWS DMS unterstützt zwei Arten von Servicerollen, die Sie erstellen müssen, um bestimmte Quell- oder Zielendpunkte verwenden zu können:
+ Rollen mit Berechtigungen, um AWS DMS-Zugriff auf die folgenden Quell- und Zielendpunkte (oder deren Ressourcen) zu gewähren:
+ Amazon DynamoDB als Ziel – weitere Informationen finden Sie unter [Voraussetzungen für die Verwendung von DynamoDB als Ziel für AWS Database Migration Service](CHAP_Target.DynamoDB.md#CHAP_Target.DynamoDB.Prerequisites).
+ OpenSearch als Ziel — Weitere Informationen finden Sie unter. [Voraussetzungen für die Verwendung von Amazon OpenSearch Service als Ziel für AWS Database Migration Service](CHAP_Target.Elasticsearch.md#CHAP_Target.Elasticsearch.Prerequisites)
+ Amazon Kinesis als Ziel – weitere Informationen finden Sie unter [Voraussetzungen für die Verwendung eines Kinesis-Datenstroms als Ziel für AWS Database Migration Service](CHAP_Target.Kinesis.md#CHAP_Target.Kinesis.Prerequisites).
+ Amazon Redshift als Ziel – Sie müssen die angegebene Rolle nur zum Erstellen eines benutzerdefinierten KMS-Verschlüsselungsschlüssels zum Verschlüsseln der Zieldaten oder zum Angeben eines benutzerdefinierten S3-Buckets für Zwischenaufgabenspeicher erstellen. Für weitere Informationen siehe [Erstellen und Verwenden von AWS KMS Schlüsseln zur Verschlüsselung von Amazon Redshift Redshift-Zieldaten](CHAP_Target.Redshift.md#CHAP_Target.Redshift.KMSKeys) oder [Einstellungen von Amazon-S3-Buckets](CHAP_Target.Redshift.md#CHAP_Target.Redshift.EndpointSettings.S3Buckets).
+ Amazon S3 als Quelle oder als Ziel – weitere Informationen finden Sie unter [Voraussetzungen für die Verwendung von Amazon S3 als Quelle für AWS DMS](CHAP_Source.S3.md#CHAP_Source.S3.Prerequisites) oder [Voraussetzungen für die Verwendung von Amazon S3 als Ziel](CHAP_Target.S3.md#CHAP_Target.S3.Prerequisites).
Um beispielsweise Daten von einem S3-Quellendpunkt zu lesen oder Daten an einen S3-Zielendpunkt zu übertragen, müssen Sie eine Servicerolle als Voraussetzung für den Zugriff auf S3 für jede dieser Endpunktoperationen erstellen.
+ Rollen mit erforderlichen Berechtigungen für die Verwendung der AWS DMS-Konsole, der AWS CLI und der AWS DMS-API — Zwei IAM-Rollen, die Sie erstellen müssen, sind und. `dms-vpc-role` `dms-cloudwatch-logs-role` Wenn Sie Amazon Redshift als Zieldatenbank verwenden, müssen Sie auch die IAM-Rolle erstellen und `dms-access-for-endpoint` zu Ihrem AWS Konto hinzufügen. Weitere Informationen finden Sie unter [Die IAM-Rollen zur Verwendung mit erstellen AWS DMS](security-iam.md#CHAP_Security.APIRole).
### Auswahl einer IAM-Rolle in AWS DMS
Wenn Sie die AWS DMS-Konsole, die AWS CLI oder die AWS DMS-API für Ihre Datenbankmigration verwenden, müssen Sie Ihrem AWS Konto bestimmte IAM-Rollen hinzufügen, bevor Sie die Funktionen von DMS nutzen können. AWS Zwei dieser Optionen sind `dms-vpc-role` und `dms-cloudwatch-logs-role`. Wenn Sie Amazon Redshift als Zieldatenbank verwenden, müssen Sie Ihrem AWS Konto auch die IAM-Rolle `dms-access-for-endpoint` hinzufügen. Weitere Informationen finden Sie unter [Die IAM-Rollen zur Verwendung mit erstellen AWS DMS](security-iam.md#CHAP_Security.APIRole).
## Identitäts- und Zugriffsverwaltung für DMS Fleet Advisor
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. DMS Fleet Advisor unterstützt spezifische Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
DMS Fleet Advisor verwendet IAM-Rollen, um auf Amazon Simple Storage Service zuzugreifen. Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität innerhalb Ihres AWS Kontos, die über bestimmte Berechtigungen verfügt. Weitere Informationen finden Sie unter [Erstellen von IAM-Ressourcen](fa-resources.md#fa-resources-iam).
# AWS Database Migration Service Beispiele für identitätsbasierte Richtlinien
IAM-Benutzer besitzen keine Berechtigungen zum Erstellen oder Ändern von AWS DMS -Ressourcen. Sie können auch keine Aufgaben mit der AWS-Managementkonsole AWS CLI, oder AWS API ausführen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den IAM-Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von Richtlinien auf der JSON-Registerkarte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Konsole AWS DMS](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Zugreifen auf einen Amazon-S3-Bucket](#security_iam_id-based-policy-examples-access-one-bucket)
+ [Zugriff auf AWS DMS Ressourcen auf der Grundlage von Tags](#security_iam_id-based-policy-examples-access-resources-tags)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand AWS DMS Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Konsole AWS DMS
Die folgende Richtlinie gewährt Ihnen Zugriff auf AWS DMS, einschließlich der AWS DMS-Konsole, und legt auch Berechtigungen für bestimmte Aktionen fest, die von anderen Amazon-Services wie Amazon EC2 benötigt werden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "dms:*",
"Resource": "arn:aws:dms:*:123456789012:*"
},
{
"Effect": "Allow",
"Action": [
"kms:ListAliases",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:*:123456789012:key/*"
},
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:CreateRole",
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:iam::123456789012:role/*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "dms.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeInternetGateways",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:Get*",
"cloudwatch:List*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": "arn:aws:logs:*:123456789012:*"
}
]
}
```
------
Eine Aufschlüsselung dieser Berechtigungen kann Ihnen helfen, besser zu verstehen, warum alle für die Verwendung der Konsole erforderlichen Berechtigungen erforderlich sind.
Der folgende Abschnitt ist erforderlich, damit die Benutzer berechtigt sind, ihre verfügbaren AWS KMS -Schlüssel und den Alias für die Anzeige in der Konsole aufzulisten. Dieser Eintrag ist nicht erforderlich, wenn Sie den Amazon-Ressourcennamen (ARN) für den KMS-Schlüssel kennen und nur die AWS Command Line Interface (AWS CLI) verwenden.
```
{
"Effect": "Allow",
"Action": [
"kms:ListAliases",
"kms:DescribeKey"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
Der folgende Abschnitt ist für bestimmte Endpunkttypen erforderlich, die die Übergabe eines Rollen-ARN mit dem Endpunkt erfordern. Wenn die erforderlichen AWS DMS Rollen nicht im Voraus erstellt wurden, kann die AWS DMS Konsole die Rolle außerdem erstellen. Wenn alle Rollen vorab konfiguriert werden, muss dies innerhalb von `iam:GetRole` und `iam:PassRole` geschehen. Weitere Informationen zu Rollen finden Sie unter [Die IAM-Rollen zur Verwendung mit erstellen AWS DMS](security-iam.md#CHAP_Security.APIRole).
```
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole",
"iam:CreateRole",
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
Der folgende Abschnitt ist AWS DMS erforderlich, da die Amazon EC2 EC2-Instance erstellt und das Netzwerk für die erstellte Replikationsinstanz konfiguriert werden muss. Diese Ressourcen sind im Konto des Kunden vorhanden, deshalb muss es möglich sein, diese Aktionen im Namen des Kunden auszuführen.
```
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeInternetGateways",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
Der folgende Abschnitt ist erforderlich, damit der Benutzer Replikations-Instance-Metriken anzeigen kann.
```
{
"Effect": "Allow",
"Action": [
"cloudwatch:Get*",
"cloudwatch:List*"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
Dieser Abschnitt ist erforderlich, damit der Benutzer Replikationsprotokolle anzeigen kann.
```
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
Wenn Sie die AWS DMS-Konsole, die AWS Command Line Interface (AWS CLI) oder die AWS DMS-API für Ihre Migration verwenden, müssen Sie Ihrem Konto mehrere Rollen hinzufügen. Weitere Informationen zum Hinzufügen dieser Rollen finden Sie unter [Die IAM-Rollen zur Verwendung mit erstellen AWS DMS](security-iam.md#CHAP_Security.APIRole).
Weitere Informationen zu den Anforderungen für die Verwendung dieser Richtlinie für den Zugriff auf AWS DMS finden Sie unter. [Für die Verwendung sind IAM-Berechtigungen erforderlich AWS DMS](security-iam.md#CHAP_Security.IAMPermissions)
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der AWS CLI API oder. AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Zugreifen auf einen Amazon-S3-Bucket
AWS DMS verwendet Amazon S3 S3-Buckets als Zwischenspeicher für die Datenbankmigration. In der Regel verwaltet AWS DMS Standard-S3-Buckets für diesen Zweck. In bestimmten Fällen, insbesondere wenn Sie die AWS CLI oder die AWS DMS-API verwenden, können Sie mit DMS jedoch AWS stattdessen Ihren eigenen S3-Bucket angeben. Sie können beispielsweise einen eigenen S3-Bucket für die Migration von Daten zu einem Amazon-Redshift-Zielendpunkt angeben. In diesem Fall müssen Sie eine Rolle mit Berechtigungen erstellen, die auf der verwalteten Richtlinie basieren AWS. `AmazonDMSRedshiftS3Role`
Das folgende Beispiel zeigt eine Version der Richtlinie `AmazonDMSRedshiftS3Role`. Damit kann AWS DMS einem IAM-Benutzer in Ihrem AWS Konto Zugriff auf einen Ihrer Amazon S3 S3-Buckets gewähren. Außerdem kann der Benutzer Objekte hinzufügen, aktualisieren und löschen.
Zusätzlich zum Erteilen der Berechtigungen `s3:PutObject`, `s3:GetObject` und `s3:DeleteObject` für den Benutzer, gewährt die Richtlinie die Berechtigungen `s3:ListAllMyBuckets`, `s3:GetBucketLocation` und `s3:ListBucket`. Dies sind die zusätzlichen Berechtigungen, die von der Konsole benötigt werden. Andere Berechtigungen ermöglichen es AWS DMS, den Bucket-Lebenszyklus zu verwalten. Außerdem ist die `s3:GetObjectAcl`-Aktion erforderlich, um Objekte kopieren zu können.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:DeleteBucket",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:GetBucketAcl",
"s3:PutBucketVersioning",
"s3:GetBucketVersioning",
"s3:PutLifecycleConfiguration",
"s3:GetLifecycleConfiguration",
"s3:DeleteBucketPolicy"
],
"Resource": "arn:aws:s3:::dms-*"
}
]
}
```
------
Weitere Informationen zum Erstellen einer Rolle auf der Grundlage dieser Richtlinie finden Sie unter [Einstellungen von Amazon-S3-Buckets](CHAP_Target.Redshift.md#CHAP_Target.Redshift.EndpointSettings.S3Buckets).
## Zugriff auf AWS DMS Ressourcen auf der Grundlage von Tags
Sie können in Ihrer identitätsbasierten Richtlinie Bedingungen für die Steuerung des Zugriffs auf AWS DMS -Ressourcen auf der Basis von Tags verwenden. Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die den Zugriff auf alle AWS DMS-Endpunkte ermöglicht. Die Berechtigung wird jedoch nur gewährt, wenn der Wert des Endpunktdatenbank-Tags `Owner` der Name des Benutzers ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "dms:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"dms:endpoint-tag/Owner": "${aws:username}"
}
}
}
]
}
```
------
Sie können diese Richtlinie den IAM-Benutzern in Ihrem Konto anfügen. Wenn ein Benutzer mit diesem Namen `richard-roe` versucht, auf einen AWS DMS Endpunkt zuzugreifen, muss die Endpunktdatenbank mit oder gekennzeichnet `Owner=richard-roe` werden. `owner=richard-roe` Andernfalls wird diesem Benutzer der Zugriff verweigert. Der Tag-Schlüssel `Owner` der Bedingung stimmt sowohl mit `Owner` als auch mit `owner` überein, da die Namen von Bedingungsschlüsseln nicht zwischen Groß- und Kleinschreibung unterscheiden. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
# Beispiele für ressourcenbasierte Richtlinien für AWS KMS
AWS Mit DMS können Sie benutzerdefinierte AWS KMS Verschlüsselungsschlüssel erstellen, um unterstützte Zielendpunktdaten zu verschlüsseln. Informationen zum Erstellen und Anfügen einer Schlüsselrichtlinie an den Verschlüsselungsschlüssel, den Sie für die unterstützte Verschlüsselung von Zieldaten erstellen, finden Sie unter [Erstellen und Verwenden von AWS KMS Schlüsseln zur Verschlüsselung von Amazon Redshift Redshift-Zieldaten](CHAP_Target.Redshift.md#CHAP_Target.Redshift.KMSKeys) und [AWS KMS Schlüssel zur Verschlüsselung von Amazon S3 S3-Zielobjekten erstellen](CHAP_Target.S3.md#CHAP_Target.S3.KMSKeys).
**Topics**
+ [Eine Richtlinie für einen benutzerdefinierten AWS KMS Verschlüsselungsschlüssel zur Verschlüsselung von Amazon Redshift Redshift-Zieldaten](#security_iam_resource-based-policy-examples-custom-rs-key-policy)
+ [Eine Richtlinie für einen benutzerdefinierten AWS KMS Verschlüsselungsschlüssel zur Verschlüsselung von Amazon S3 S3-Zieldaten](#security_iam_resource-based-policy-examples-custom-s3-key-policy)
## Eine Richtlinie für einen benutzerdefinierten AWS KMS Verschlüsselungsschlüssel zur Verschlüsselung von Amazon Redshift Redshift-Zieldaten
Das folgende Beispiel zeigt den JSON für die Schlüsselrichtlinie, die für einen AWS KMS -Verschlüsselungsschlüssel erstellt wurde, den Sie zum Verschlüsseln von Amazon-Redshift-Zieldaten erstellen.
------
#### [ JSON ]
****
```
{
"Id": "key-consolepolicy-3",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:root"
]
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow access for Key Administrators",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:role/Admin"
]
},
"Action": [
"kms:Create*",
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*",
"kms:TagResource",
"kms:UntagResource",
"kms:ScheduleKeyDeletion",
"kms:CancelKeyDeletion"
],
"Resource": "*"
},
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:role/DMS-Redshift-endpoint-access-role"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "Allow attachment of persistent resources",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:role/DMS-Redshift-endpoint-access-role"
]
},
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
```
------
Hier können Sie sehen, wo die Schlüsselrichtlinie auf die Rolle für den Zugriff auf Amazon-Redshift-Zielendpunktdaten verweist, die Sie vor dem Erstellen des Schlüssels erstellt haben. Im Beispiel ist dies `DMS-Redshift-endpoint-access-role`. Sie können auch die verschiedenen Schlüsselaktionen sehen, die für die verschiedenen Prinzipale (Benutzer und Rollen) zulässig sind. Beispielsweise kann jeder Benutzer mit `DMS-Redshift-endpoint-access-role` die Zieldaten verschlüsseln, entschlüsseln und neu verschlüsseln. Ein solcher Benutzer kann auch Datenschlüssel für den Export generieren, um die Daten außerhalb von zu verschlüsseln. AWS KMS Sie können auch detaillierte Informationen zu einem AWS KMS Schlüssel zurückgeben, z. B. zu dem Schlüssel, den Sie gerade erstellt haben. Darüber hinaus kann ein solcher Benutzer Anhänge an AWS -Ressourcen verwalten, z. B. den Zielendpunkt.
## Eine Richtlinie für einen benutzerdefinierten AWS KMS Verschlüsselungsschlüssel zur Verschlüsselung von Amazon S3 S3-Zieldaten
Das folgende Beispiel zeigt den JSON für die Schlüsselrichtlinie, die für einen AWS KMS -Verschlüsselungsschlüssel erstellt wurde, den Sie zum Verschlüsseln von Amazon-S3-Zieldaten erstellen.
------
#### [ JSON ]
****
```
{
"Id": "key-consolepolicy-3",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:root"
]
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow access for Key Administrators",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:role/Admin"
]
},
"Action": [
"kms:Create*",
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*",
"kms:TagResource",
"kms:UntagResource",
"kms:ScheduleKeyDeletion",
"kms:CancelKeyDeletion"
],
"Resource": "*"
},
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:role/DMS-S3-endpoint-access-role"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "Allow attachment of persistent resources",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:role/DMS-S3-endpoint-access-role"
]
},
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
```
------
Hier können Sie sehen, wo die Schlüsselrichtlinie auf die Rolle für den Zugriff auf Amazon-S3-Zielendpunktdaten verweist, die Sie vor dem Erstellen des Schlüssels erstellt haben. Im Beispiel ist dies `DMS-S3-endpoint-access-role`. Sie können auch die verschiedenen Schlüsselaktionen sehen, die für die verschiedenen Prinzipale (Benutzer und Rollen) zulässig sind. Beispielsweise kann jeder Benutzer mit `DMS-S3-endpoint-access-role` die Zieldaten verschlüsseln, entschlüsseln und neu verschlüsseln. Ein solcher Benutzer kann auch Datenschlüssel für den Export generieren, um die Daten außerhalb von zu verschlüsseln. AWS KMS Sie können auch detaillierte Informationen zu einem AWS KMS Schlüssel zurückgeben, z. B. zu dem Schlüssel, den Sie gerade erstellt haben. Darüber hinaus kann ein solcher Benutzer Anhänge an AWS -Ressourcen verwalten, z. B. den Zielendpunkt.
# Verwenden von Geheimnissen für den Zugriff auf AWS Database Migration Service Endpunkte
Denn ein *Geheimnis* ist ein verschlüsselter Schlüssel AWS DMS, den Sie verwenden können, um eine Reihe von Benutzeranmeldeinformationen darzustellen, um die Datenbankverbindung für einen unterstützten AWS DMS Quell- oder Zielendpunkt durch *geheime Authentifizierung* zu authentifizieren. Für einen Oracle-Endpunkt, der auch Oracle Automatic Storage Management (ASM) verwendet, ist ein zusätzliches Geheimnis AWS DMS erforderlich, das die Benutzeranmeldedaten für den Zugriff auf Oracle ASM darstellt.
Sie können den oder die geheimen Schlüssel, die für die geheime Authentifizierung AWS DMS erforderlich sind AWS Secrets Manager, mithilfe eines Dienstes erstellen, mit dem Anmeldeinformationen für den Zugriff auf Anwendungen, Dienste und IT-Ressourcen in der Cloud und vor Ort sicher erstellt, gespeichert und abgerufen werden können. Dies umfasst die Unterstützung der automatischen regelmäßigen Rotation des verschlüsselten Secret-Werts ohne Ihr Eingreifen, wodurch zusätzliche Sicherheit für Ihre Anmeldeinformationen gewährleistet wird. Wenn Sie die Rotation geheimer Werte aktivieren, wird AWS Secrets Manager auch sichergestellt, dass diese geheime Wertrotation ohne Auswirkungen auf Datenbankmigrationen erfolgt, die auf dem Geheimnis beruhen. Um eine Endpunkt-Datenbankverbindung verborgen zu authentifizieren, erstellen Sie ein Secret, dessen Identität oder ARN Sie `SecretsManagerSecretId` zuweisen und das Sie in Ihre Endpunkteinstellungen aufnehmen. Um Oracle ASM als Teil eines Oracle-Endpunkts verborgen zu authentifizieren, erstellen Sie ein Secret, dessen Identität oder ARN Sie `SecretsManagerOracleAsmSecretId` zuweisen und das Sie in Ihre Endpunkteinstellungen aufnehmen.
**Anmerkung**
Sie können keine von Amazon RDS Aurora verwalteten Master-Anmeldeinformationen verwenden. Diese Anmeldeinformationen enthalten keine Host- oder Portinformationen, die AWS DMS zum Herstellen von Verbindungen erforderlich sind. Erstellen Sie stattdessen einen neuen Benutzer und ein neues Secret. Informationen zum Erstellen eines Benutzers und eines Secrets finden Sie im Folgenden unter [Verwenden Sie die AWS-Managementkonsole , um eine geheime und geheime Zugriffsrolle zu erstellen](#security_iam_secretsmanager.console).
Weitere Informationen finden Sie AWS Secrets Manager unter [Was ist AWS Secrets Manager?](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) im *AWS Secrets Manager Benutzerhandbuch*.
AWS DMS unterstützt die geheime Authentifizierung für die folgenden lokalen oder AWS verwalteten Datenbanken auf unterstützten Quell- und Zielendpunkten:
+ Amazon DocumentDB
+ IBM Db2 (LUW)
+ Microsoft SQL Server
+ MongoDB
+ MySQL
+ Oracle
+ PostgreSQL
+ Amazon Redshift
+ SAP ASE
Um eine Verbindung zu einer dieser Datenbanken herzustellen, können Sie einen der folgenden Werte, aber nicht beide, als Teil Ihrer Endpunkteinstellungen eingeben:
+ Klartext-Werte zur Authentifizierung der Datenbankverbindung mithilfe der Einstellungen `UserName`, `Password`, `ServerName` und `Port`. Fügen Sie für einen Oracle-Endpunkt, der auch Oracle ASM verwendet, zusätzliche Klartext-Werte hinzu, um ASM mithilfe der Einstellungen `AsmUserName`, `AsmPassword` und `AsmServerName` zu authentifizieren.
+ Secret-Authentifizierung mit Werten für die Einstellungen `SecretsManagerSecretId` und `SecretsManagerAccessRoleArn`. Fügen Sie für einen Oracle-Endpunkt, der Oracle ASM verwendet, zusätzliche Werte für die Einstellungen `SecretsManagerOracleAsmSecretId` und `SecretsManagerOracleAsmAccessRoleArn` hinzu. Die Secret-Werte für diese Einstellungen können Folgendes beinhalten für:
+ `SecretsManagerSecretId` – den vollständigen Amazon-Ressourcennamen (ARN), einen Teil des ARN oder den Anzeigenamen eines Secrets, das Sie für den Endpunktdatenbank-Zugriff in AWS Secrets Manager erstellt haben.
+ `SecretsManagerAccessRoleArn`— Der ARN einer geheimen Zugriffsrolle, die Sie in IAM erstellt haben, um in Ihrem Namen AWS DMS Zugriff auf dieses `SecretsManagerSecretId` Geheimnis zu gewähren.
+ `SecretsManagerOracleAsmSecretId` – den vollständigen Amazon-Ressourcennamen (ARN), einen Teil des ARN oder den Anzeigenamen eines Secrets, das Sie für den Zugriff auf Oracle SAM in AWS Secrets Manager erstellt haben.
+ `SecretsManagerOracleAsmAccessRoleArn` – den ARN einer geheimen Zugriffsrolle, die Sie in IAM erstellt haben, um AWS DMS in Ihrem Namen Zugriff auf dieses `SecretsManagerOracleAsmSecretId`-Secret zu gewähren.
**Anmerkung**
Sie können auch eine einzelne geheime Zugriffsrolle verwenden, um Zugriff sowohl AWS DMS auf das Geheimnis als auch auf das `SecretsManagerSecretId` Geheimnis zu gewähren. `SecretsManagerOracleAsmSecretId` Wenn Sie diese einzelne geheime Zugriffsrolle für beide Secrets erstellen, müssen Sie `SecretsManagerAccessRoleArn` und `SecretsManagerOracleAsmAccessRoleArn` denselben ARN für diese Zugriffsrolle zuweisen. Wenn beispielsweise der ARN Ihrer geheimen Zugriffsrolle für beide Secrets der Variablen `ARN2xsecrets` zugewiesen ist, können Sie diese ARN-Einstellungen wie folgt festlegen:
```
SecretsManagerAccessRoleArn = ARN2xsecrets;
SecretsManagerOracleAsmAccessRoleArn = ARN2xsecrets;
```
Weitere Informationen zum Erstellen dieser Werte finden Sie unter [Verwenden Sie die AWS-Managementkonsole , um eine geheime und geheime Zugriffsrolle zu erstellen](#security_iam_secretsmanager.console).
Nachdem Sie das erforderliche Secret und die Endpunkteinstellungen für die geheime Zugriffsrolle für Ihre Endpunkte erstellt und angegeben haben, aktualisieren Sie die Berechtigungen für die Benutzerkonten, die die API-Anfrage `CreateEndpoint` oder `ModifyEndpoint` ausführen werden, mit diesen Secret-Informationen. Stellen Sie sicher, dass diese Kontoberechtigungen die `IAM:GetRole` Erlaubnis für die geheime Zugriffsrolle und die `SecretsManager:DescribeSecret` Berechtigung für den geheimen Zugriff beinhalten. AWS DMS benötigt diese Berechtigungen, um sowohl die Zugriffsrolle als auch ihren geheimen Schlüssel zu überprüfen.
**So können Sie die erforderlichen Benutzerberechtigungen bereitstellen und überprüfen**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Identity and Access Management Konsole unter[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie **Benutzer** und dann die **Benutzer-ID** aus, die für die API-Aufrufe `CreateEndpoint` und `ModifyEndpoint` verwendet wird.
1. Wählen Sie auf der Registerkarte **Berechtigungen** die Option **\$1\$1 JSON** aus.
1. Vergewissern Sie sich, dass der Benutzer über die im Folgenden angezeigten Berechtigungen verfügt:
```
{
"Statement": [{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole"
],
"Resource": "SECRET_ACCESS_ROLE_ARN"
},
{
"Effect": "Allow",
"Action": "secretsmanager:DescribeSecret",
"Resource": "SECRET_ARN"
}
]
}
```
1. Wenn der Benutzer nicht über diese Berechtigungen verfügt, fügen Sie sie hinzu.
1. Wenn Sie eine IAM-Rolle für DMS-API-Aufrufe verwenden, wiederholen Sie die obigen Schritte für die entsprechende Rolle.
1. Öffnen Sie ein Terminal und überprüfen Sie AWS CLI mit dem, ob die Berechtigungen korrekt erteilt wurden, indem Sie die oben verwendete Rolle oder den Benutzer annehmen.
1. Überprüfen Sie die Benutzerberechtigungen für die SecretAccessRole Verwendung des `get-role` IAM-Befehls.
```
aws iam get-role --role-name ROLE_NAME
```
Ersetzen Sie *ROLE\$1NAME* durch den Namen von. `SecretsManagerAccessRole`
Wenn der Befehl eine Fehlermeldung zurückgibt, stellen Sie sicher, dass die Berechtigungen korrekt erteilt wurden.
1. Überprüfen Sie die Benutzerberechtigung für das Secret mithilfe des Secrets-Manager-Befehls `describe-secret`.
```
aws secretsmanager describe-secret --secret-id SECRET_NAME OR SECRET_ARN --region=REGION_NAME
```
Der Benutzer kann der Anzeigename, ein Teil des ARN oder der vollständige ARN sein. Weitere Informationen finden Sie unter [describe-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/describe-secret.html).
Wenn der Befehl eine Fehlermeldung zurückgibt, stellen Sie sicher, dass die Berechtigungen korrekt erteilt wurden.
## Verwenden Sie die AWS-Managementkonsole , um eine geheime und geheime Zugriffsrolle zu erstellen
Sie können die verwenden AWS-Managementkonsole , um ein Geheimnis für die Endpunktauthentifizierung zu erstellen und die Richtlinie und Rolle zu erstellen, die den Zugriff auf das Geheimnis in Ihrem Namen ermöglichen AWS DMS .
**Um ein Geheimnis zu erstellen AWS-Managementkonsole , das zur Authentifizierung einer Datenbank für Quell- und Zielendpunktverbindungen verwendet werden AWS DMS kann**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Secrets Manager Konsole unter[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Wählen Sie **Store a new secret** (Ein neues Secret speichern).
1. Wählen Sie unter **Secret-Typ auswählen** auf der Seite **Ein neues Secret speichern** die Option **Anderer Secret-Typ** und anschließend **Klartext** aus.
**Anmerkung**
Dies ist die einzige Stelle, an der Sie ab diesem Zeitpunkt Klartext-Anmeldeinformationen eingeben müssen, um eine Verbindung zu Ihrer Endpunktdatenbank herzustellen.
1. Im Feld **Klartext**:
+ Geben Sie für ein Secret, dessen Identität Sie `SecretsManagerSecretId` zuweisen, die folgende JSON-Struktur ein.
```
{
"username": db_username,
"password": db_user_password,
"port": db_port_number,
"host": db_server_name
}
```
**Anmerkung**
Diese Liste enthält die für die Authentifizierung der Endpunktdatenbank mindestens erforderlichen JSON-Elemente. Sie können zusätzliche JSON-Endpunkteinstellungen als JSON-Elemente in Kleinbuchstaben hinzufügen, wenn Sie möchten. AWS DMS ignoriert jedoch alle zusätzlichen JSON-Elemente für die Endpunktauthentifizierung.
Hier ist `db_username` der Name des Benutzers, der auf die Datenbank zugreift, `db_user_password` ist das Passwort des Datenbankbenutzers, `db_port_number` die Portnummer für den Zugriff auf die Datenbank und `db_server_name` der Name (die Adresse) des Datenbankservers im Internet, wie im folgenden Beispiel gezeigt.
```
{
"username": "admin",
"password": "some_password",
"port": "8190",
"host": "oracle101.abcdefghij.us-east-1.rds.amazonaws.com"
}
```
+ Geben Sie für ein Secret, dessen Identität Sie `SecretsManagerOracleAsmSecretId` zuweisen, die folgende JSON-Struktur ein.
```
{
"asm_user": asm_username,
"asm_password": asm_user_password,
"asm_server": asm_server_name
}
```
**Anmerkung**
Diese Liste enthält die für die Authentifizierung von Oracle ASM für einen Oracle-Endpunkt mindestens erforderlichen JSON-Elemente. Darüber hinaus ist dies die vollständige Liste, die Sie auf der Grundlage der verfügbaren Oracle-ASM-Endpunkteinstellungen angeben können.
Hier ist `asm_username` der Name des Benutzers, der auf Oracle ASM zugreift, `asm_user_password` das Passwort des Oracle-ASM-Benutzers und `asm_server_name` der Name (die Adresse) des Oracle-ASM-Servers im Internet, einschließlich des Ports, wie im folgenden Beispiel gezeigt.
```
{
"asm_user": "oracle_asm_user",
"asm_password": "oracle_asm_password",
"asm_server": "oracle101.abcdefghij.us-east-1.rds.amazonaws.com:8190/+ASM"
}
```
1. Wählen Sie einen AWS KMS Verschlüsselungsschlüssel aus, um das Geheimnis zu verschlüsseln. Sie können den Standard-Verschlüsselungsschlüssel akzeptieren, der von für Ihren Dienst erstellt wurde, AWS Secrets Manager oder einen AWS KMS Schlüssel auswählen, den Sie selbst erstellen.
1. Geben Sie einen Namen für den Verweis auf dieses Secret und eine optionale Beschreibung an. Dies ist der Anzeigename, den Sie als Wert für `SecretsManagerSecretId` oder `SecretsManagerOracleAsmSecretId` verwenden.
1. Wenn Sie die automatische Rotation für den geheimen Schlüssel aktivieren möchten, müssen Sie eine AWS Lambda Funktion auswählen oder erstellen, die berechtigt ist, die Anmeldeinformationen für den geheimen Schlüssel wie beschrieben rotieren zu lassen. Bevor Sie jedoch die automatische Rotation für die Verwendung Ihrer Lambda-Funktion einrichten, müssen Sie sicherstellen, dass die Konfigurationseinstellungen für die Funktion dem Wert der Umgebungsvariablen `EXCLUDE_CHARACTERS` die folgenden vier Zeichen hinzufügen.
```
;.:+{}*&,%\
```
AWS DMS erlaubt diese Zeichen nicht in Passwörtern, die für Endpunkt-Anmeldeinformationen verwendet werden. Wenn Sie Ihre Lambda-Funktion so konfigurieren, dass sie ausgeschlossen werden, generiert AWS Secrets Manager diese Zeichen nicht als Teil der rotierten Passwortwerte. Nachdem Sie die automatische Rotation für die Verwendung Ihrer Lambda-Funktion eingerichtet haben, wird das Geheimnis AWS Secrets Manager sofort rotiert, um Ihre geheime Konfiguration zu validieren.
**Anmerkung**
Je nach der Konfiguration Ihrer Datenbank-Engine ruft Ihre Datenbank die rotierten Anmeldeinformationen möglicherweise nicht ab. In diesem Fall müssen Sie die Aufgabe manuell neu starten, um die Anmeldeinformationen zu aktualisieren.
1. Überprüfen und speichern Sie Ihr Geheimnis in. AWS Secrets Manager Sie können dann jedes Geheimnis anhand seines benutzerfreundlichen Namens in nachschlagen und dann den geheimen ARN als Wert für `SecretsManagerSecretId` oder `SecretsManagerOracleAsmSecretId` nach Bedarf abrufen AWS Secrets Manager, um den Zugriff auf Ihre Endpunkt-Datenbankverbindung und Oracle ASM (falls verwendet) zu authentifizieren.
**Um die geheime Zugriffsrichtlinie und Rolle zu erstellen, mit der Sie Ihr `SecretsManagerAccessRoleArn` oder festlegen können`SecretsManagerOracleAsmAccessRoleArn`, was AWS DMS den AWS Secrets Manager Zugriff auf Ihr entsprechendes Geheimnis ermöglicht**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Identity and Access Management (IAM-) Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie **Richtlinien** und anschließend **Richtlinie erstellen** aus.
1. Wählen Sie **JSON** aus und geben Sie die folgende Richtlinie ein, um den Zugriff auf Ihr Secret und dessen Entschlüsselung zu ermöglichen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
Hier ist `secret_arn` der ARN Ihres Secrets, den Sie wie erforderlich von `SecretsManagerSecretId` oder `SecretsManagerOracleAsmSecretId` abrufen können, und `kms_key_arn` der ARN des AWS KMS -Schlüssels, mit dem Sie Ihr Secret verschlüsseln, wie im folgenden Beispiel gezeigt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:us-east-2:123456789012:secret:MySQLTestSecret-qeHamH"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-2:123456789012:key/761138dc-0542-4e58-947f-4a3a8458d0fd"
}
]
}
```
------
**Anmerkung**
Wenn Sie den standardmäßigen Verschlüsselungsschlüssel verwenden AWS Secrets Manager, der von erstellt wurde, müssen Sie die AWS KMS Berechtigungen für `kms_key_arn` nicht angeben.
Wenn Sie möchten, dass Ihre Richtlinie Zugriff auf beide Geheimnisse gewährt, geben Sie einfach ein zusätzliches JSON-Ressourcenobjekt für das andere an*secret\$1arn*.
Wenn sich Ihr Secret in einem anderen Konto befindet, benötigt die Rolle `SecretsManagerAccessRoleArn` eine zusätzliche Richtlinie, um das kontoübergreifende Secret zu überprüfen. Fügen Sie der Richtlinie in solchen Anwendungsfällen die Aktion `secretsmanager:DescribeSecret` hinzu. Weitere Informationen zur Einrichtung eines kontoübergreifenden Geheimnisses finden Sie unter [Berechtigungen für AWS Secrets Manager Manager-Geheimnisse für Benutzer in einem anderen Konto](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html).
1. Überprüfen und erstellen Sie die Richtlinie mit einem Anzeigenamen und einer optionalen Beschreibung.
1. Wählen Sie **Rollen** und anschließend **Rolle erstellen** aus.
1. Wählen Sie als Typ der vertrauenswürdigen Entität **AWS -Service** aus.
1. Wählen Sie in der Liste der Services **DMS** als vertrauenswürdigen Service aus und wählen Sie dann **Weiter: Berechtigungen** aus.
1. Suchen Sie nach der Richtlinie, die Sie in Schritt 4 erstellt haben, und fügen Sie sie an. Fügen Sie dann alle Tags hinzu und überprüfen Sie Ihre Rolle. Bearbeiten Sie an dieser Stelle die Vertrauensstellungen für die Rolle, sodass Ihr AWS DMS regionaler Dienstprinzipal als vertrauenswürdige Entität verwendet wird. Dieser Prinzipal weist das folgende Format auf:
```
dms.region-name.amazonaws.com
```
Hier ist *`region-name`* der Name Ihrer Region, z. B. `us-east-1`. Somit folgt ein AWS DMS regionaler Service Principal für diese Region.
```
dms.us-east-1.amazonaws.com
```
1. Nachdem Sie die vertrauenswürdige Entität für die Rolle bearbeitet haben, erstellen Sie die Rolle mit einem Anzeigenamen und einer optionalen Beschreibung. Sie können Ihre neue Rolle jetzt anhand ihres Anzeigenamens in IAM suchen und dann den Rollen-ARN als Wert für `SecretsManagerAccessRoleArn` oder `SecretsManagerOracleAsmAccessRoleArn` abrufen, um Ihre Endpunkt-Datenbankverbindung zu authentifizieren.
**So verwenden Sie Secrets Manager mit einer Replikations-Instance in einem privaten Subnetz**
1. Erstellen Sie einen Secrets-Manager-VPC-Endpunkt und notieren Sie sich das DNS für den Endpunkt. Weitere Informationen zum Erstellen eines Secrets-Manager-VPC-Endpunkts finden Sie unter [Connecting to Secrets Manager through a VPC endpoint](https://docs.aws.amazon.com/secretsmanager/latest/userguide/vpc-endpoint-overview.html#vpc-endpoint) []() im *Benutzerhandbuch für AWS Secrets Manager*.
1. Lassen Sie für die Eingangsregeln für VPC-Endpunkt-Sicherheitsgruppen HTTPS-Verkehr von der privaten IP-Adresse oder den Sicherheitsgruppen der Replikationsinstanz zu, die an Replikationsinstanzen angehängt sind.
1. Lassen Sie für die Ausgangsregeln für die Sicherheitsgruppe der Replikations-Instance den gesamten Datenverkehr für das Ziel `0.0.0.0/0` zu.
1. Legen Sie das zusätzliche Verbindungsattribut `secretsManagerEndpointOverride=secretsManager endpoint DNS` des Endpunkts fest, um das DNS des Secrets-Manager-VPC-Endpunkts bereitzustellen, wie im folgenden Beispiel gezeigt.
```
secretsManagerEndpointOverride=vpce-1234a5678b9012c-12345678.secretsmanager.eu-west-1.vpce.amazonaws.com
```
# Verwenden von serviceverknüpften Rollen für AWS DMS
AWS Database Migration Service verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. AWS DMS Mit Diensten verknüpfte Rollen sind vordefiniert AWS DMS und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine dienstbezogene Rolle AWS DMS erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS DMS definiert die Berechtigungen ihrer dienstbezogenen Rollen und AWS DMS kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dadurch werden Ihre AWS DMS Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.
**Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte Dienstverknüpfte Rollen nach den Diensten, für die **Ja steht**.** Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
**Serviceverknüpfte Rollen für Funktionen AWS DMS **
**Topics**
+ [Servicebezogene Rollen für AWS DMS Fleet Advisor](slr-services-fa.md)
+ [Servicebezogene Rolle für AWS DMS](slr-services-sl.md)
# Servicebezogene Rollen für AWS DMS Fleet Advisor
AWS DMS Fleet Advisor verwendet die servicebezogene Rolle namens **AWSServiceRoleForDMSFleetAdvisor** — DMS Fleet Advisor verwendet diese servicebezogene Rolle zur Verwaltung von Amazon-Metriken. CloudWatch Diese verwaltete Richtlinie ist mit der folgenden serviceverknüpften Rolle verbunden: `AWSDMSFleetAdvisorServiceRolePolicy`. Aktualisierungen dieser Richtlinie finden Sie unter [AWS verwaltete Richtlinien für AWS Database Migration Service](security-iam-awsmanpol.md).
Die servicebezogene Rolle des AWSService RoleFor DMSFleet Beraters vertraut darauf, dass die folgenden Dienste diese Rolle übernehmen:
+ `dms-fleet-advisor.amazonaws.com`
Die genannte Rollenberechtigungsrichtlinie AWSDMSFleet AdvisorServiceRolePolicy ermöglicht es AWS DMS Fleet Advisor, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ Aktion: `cloudwatch:PutMetricData` für `all AWS resources`
Diese Berechtigung ermöglicht es Principals, metrische Datenpunkte auf Amazon CloudWatch zu veröffentlichen. AWS DMS Fleet Advisor benötigt diese Berechtigung, um Diagramme mit Datenbankmetriken von CloudWatch anzuzeigen.
Das folgende Codebeispiel zeigt die AWSDMSFleet AdvisorServiceRolePolicy Richtlinie, mit der Sie die AWSDMSFleet AdvisorServiceRolePolicy Rolle erstellen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/DMS/FleetAdvisor"
}
}
}
}
```
------
Sie müssen Berechtigungen konfigurieren, damit eine IAM-Entität (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Eine serviceverknüpfte Rolle für AWS DMS Fleet Advisor erstellen
Sie können die IAM-Konsole verwenden, um eine serviceverknüpfte Rolle mit dem Anwendungsfall **DMS – Fleet Advisor** zu erstellen. Erstellen Sie in der AWS CLI oder der AWS API eine dienstbezogene Rolle mit dem `dms-fleet-advisor.amazonaws.com` Dienstnamen. Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.
Erstellen Sie diese Rolle unbedingt, bevor Sie einen Datensammler erstellen. DMS Fleet Advisor verwendet diese Rolle, um Diagramme mit Datenbankmetriken in der AWS-Managementkonsole anzuzeigen. Weitere Informationen finden Sie unter [Erstellen eines Datenkollektors](fa-data-collectors-create.md).
## Bearbeiten einer dienstbezogenen Rolle für Fleet Advisor AWS DMS
AWS DMS erlaubt es Ihnen nicht, die servicebezogene AWSService RoleFor DMSFleet Advisor-Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer dienstbezogenen Rolle für Fleet Advisor AWS DMS
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Dadurch haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
**Anmerkung**
Wenn der AWS DMS Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Um vom AWSService RoleFor DMSFleet Advisor verwendete AWS DMS Ressourcen zu löschen**
1. Melden Sie sich bei [https://console.aws.amazon.com/dms/v2/](https://console.aws.amazon.com/dms/v2/) an AWS-Managementkonsole und öffnen Sie die AWS DMS Konsole.
1. Wählen Sie im Navigationsbereich **Datensammler** unter **Entdecken** aus. Die Seite **Datensammler** wird geöffnet.
1. Wählen Sie Ihren Datensammler aus und klicken Sie auf **Löschen**.
1. Geben Sie den Namen des Datensammlers in das Texteingabefeld ein, um den Löschvorgang zu bestätigen. Wählen Sie dann **Löschen** aus.
**Wichtig**
Wenn Sie einen DMS-Datensammler löschen, löscht DMS Fleet Advisor alle Datenbanken aus dem Inventar, die Sie mit diesem Sammler entdeckt haben.
Nachdem Sie alle Datensammelpunkte gelöscht haben, können Sie die serviceverknüpfte Rolle löschen.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API, um die AWS CLI mit dem Service verknüpfte AWSService RoleFor DMSFleet Advisor-Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für dienstbezogene AWS DMS Fleet Advisor-Rollen
AWS DMS Fleet Advisor unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter [Unterstützt AWS-Regionen](CHAP_FleetAdvisor.md#CHAP_FleetAdvisor.SupportedRegions).
# Servicebezogene Rolle für AWS DMS
AWS DMS verwendet die angegebene dienstbezogene Rolle. **AWSServiceRoleForDMSServerless** AWS DMS verwendet diese dienstbezogene Rolle, um AWS DMS Ressourcen in Ihrem Namen zu erstellen und zu verwalten. AWS DMS verwendet diese Rolle für die automatische Instanzverwaltung, sodass Sie nur Replikationen verwalten müssen.
Die serviceverknüpfte Rolle [AWSServiceRoleForDMSServerless](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy) vertraut darauf, dass die folgenden Services die Rolle annehmen:
+ `dms.amazonaws.com`
Sie müssen Berechtigungen konfigurieren, damit eine IAM-Entität (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen einer serviceverknüpften Rolle für AWS DMS
Wenn Sie eine Replikationsaufgabe oder eine Bewertung vor der Migration starten, wird AWS DMS programmgesteuert eine AWS DMS dienstbezogene Rolle erstellt. Sie können diese Rolle in der IAM-Konsole anzeigen. Sie können diese Rolle auch manuell erstellen. **Um die Rolle manuell zu erstellen, verwenden Sie die IAM-Konsole, um eine serviceverknüpfte Rolle mit dem DMS-Anwendungsfall zu erstellen.** Erstellen Sie in der AWS CLI oder der AWS API eine serviceverknüpfte Rolle, die Sie `dms.amazonaws.com` für den Dienstnamen verwenden. Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.
**Anmerkung**
Wenn Sie eine Rolle löschen, obwohl in Ihrem Konto Replikationen vorhanden sind, führt die Replikation zu einem Fehler.
## Bearbeiten einer dienstbezogenen Rolle für AWS DMS
AWS DMS erlaubt es Ihnen nicht, die AWSService RoleFor DMSServerless dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer dienstbezogenen Rolle für AWS DMS
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Dadurch haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
**Anmerkung**
Wenn der AWS DMS Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Um AWS DMS Ressourcen zu löschen, die verwendet werden von AWSService RoleFor DMSServerless**
1. Melden Sie sich bei [https://console.aws.amazon.com/dms/v2](https://console.aws.amazon.com/dms/v2/) an AWS-Managementkonsole und öffnen Sie die AWS DMS Konsole.
1. Wählen Sie im Navigationsbereich unter Daten ****migrieren**** die Option **Serverlose Replikationen** aus. Die Seite **Serverless** wird geöffnet.
1. Wählen Sie Ihre Serverless-Replikation und dann **Löschen** aus.
1. Geben Sie den Namen der Serverless-Replikation in das Texteingabefeld ein, um das Löschen zu bestätigen. Wählen Sie dann **Löschen** aus.
Nachdem Sie alle Serverless-Replikationen gelöscht haben, können Sie die serviceverknüpfte Rolle löschen.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die serviceverknüpfte Rolle zu löschen. AWSService RoleFor DMSServerless Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für serviceverknüpfte Rollen AWS DMS
AWS DMS unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist.
# Fehlerbehebung bei AWS Database Migration Service Identität und Zugriff
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit AWS DMS und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion durchzuführen in AWS DMS](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, IAM auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich bin Administrator und möchte anderen Zugriff gewähren AWS DMS](#security_iam_troubleshoot-admin-delegate)
+ [Ich möchte Personen außerhalb meines Kontos den Zugriff auf meine AWS Ressourcen ermöglichen AWS DMS](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion durchzuführen in AWS DMS
Wenn Ihnen AWS-Managementkonsole mitgeteilt wird, dass Sie nicht berechtigt sind, eine Aktion durchzuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator ist die Person, die Ihnen Ihren Benutzernamen und Ihr Passwort zur Verfügung gestellt hat.
Der folgende Beispielfehler tritt auf, wenn der `mateojackson` IAM-Benutzer versucht, die Konsole zu verwenden, um Details zu einem AWS DMS-Endpunkt anzuzeigen, aber nicht über die entsprechenden Berechtigungen `dms: DescribeEndpoint` verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: dms:DescribeEndpoint on resource: my-postgresql-target
```
In diesem Fall bittet Mateo seinen Administrator, seine Richtlinien zu aktualisieren, um ihm den Zugriff auf die `my-postgresql-target`-Endpunktressource mit der `dms:DescribeEndpoint`-Aktion zu ermöglichen.
## Ich bin nicht berechtigt, IAM auszuführen: PassRole
Wenn Sie die Fehlermeldung erhalten, dass Sie nicht zum Durchführen der `iam:PassRole`-Aktion autorisiert sind, müssen Ihre Richtlinien aktualisiert werden, um eine Rolle an AWS DMSübergeben zu können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in AWS DMS auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich bin Administrator und möchte anderen Zugriff gewähren AWS DMS
Um anderen den Zugriff zu ermöglichen AWS DMS, müssen Sie den Personen oder Anwendungen, die Zugriff benötigen, die entsprechenden Berechtigungen erteilen. Wenn Sie Personen und Anwendungen verwalten, weisen Sie Benutzern oder Gruppen Berechtigungssätze zu, um deren Zugriffsebene zu definieren. AWS IAM Identity Center Mit Berechtigungssätzen werden automatisch IAM-Richtlinien erstellt und den IAM-Rollen zugewiesen, die der Person oder Anwendung zugeordnet sind. Weitere Informationen finden Sie im *AWS IAM Identity Center Benutzerhandbuch* unter [Berechtigungssätze](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html).
Wenn Sie IAM Identity Center nicht verwenden, müssen Sie IAM-Entitäten (Benutzer oder Rollen) für die Personen oder Anwendungen erstellen, die Zugriff benötigen. Anschließend müssen Sie der Entität eine Richtlinie anfügen, die dieser die korrekten Berechtigungen in AWS DMS gewährt. Nachdem die Berechtigungen erteilt wurden, stellen Sie dem Benutzer oder Anwendungsentwickler die Anmeldeinformationen zur Verfügung. Sie werden diese Anmeldeinformationen für den Zugriff verwenden AWS. *Weitere Informationen zum Erstellen von IAM-Benutzern, -Gruppen, -Richtlinien und -Berechtigungen finden Sie im [IAM-Benutzerhandbuch unter IAM-Identitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) [sowie Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).*
## Ich möchte Personen außerhalb meines Kontos den Zugriff auf meine AWS Ressourcen ermöglichen AWS DMS
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob diese Funktionen AWS DMS unterstützt werden, finden Sie unter. [Wie AWS Database Migration Service funktioniert mit IAM](security_iam_service-with-iam.md)
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Für die Verwendung sind IAM-Berechtigungen erforderlich AWS DMS
Sie verwenden bestimmte IAM-Berechtigungen und IAM-Rollen zur Verwendung von AWS DMS. Wenn Sie als IAM-Benutzer angemeldet sind und diese verwenden möchten AWS DMS, muss Ihr Kontoadministrator die in diesem Abschnitt beschriebene Richtlinie dem IAM-Benutzer, der Gruppe oder der Rolle zuordnen, die Sie für die Ausführung verwenden. AWS DMS Weitere Informationen zu IAM-Berechtigungen finden Sie im [IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html).
Die folgende Richtlinie gewährt Ihnen Zugriff auf und auch Berechtigungen für bestimmte Aktionen AWS DMS, die von anderen Amazon-Services wie IAM AWS KMS, Amazon EC2 und Amazon benötigt werden. CloudWatch CloudWatchüberwacht Ihre AWS DMS Migration in Echtzeit und sammelt und verfolgt Metriken, die den Fortschritt Ihrer Migration angeben. Sie können CloudWatch Logs verwenden, um Probleme mit einer Aufgabe zu debuggen.
**Anmerkung**
Sie können den Zugriff auf AWS DMS Ressourcen mithilfe von Tagging weiter einschränken. Weitere Informationen zur Beschränkung des Zugriffs auf AWS DMS Ressourcen mithilfe von Tagging finden Sie unter. [Differenzierte Zugriffskontrolle mit Ressourcennamen und Ressourcen-Tags](CHAP_Security.FineGrainedAccess.md)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "dms:*",
"Resource": "arn:aws:dms:*:123456789012:*"
},
{
"Effect": "Allow",
"Action": [
"kms:ListAliases",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:*:123456789012:key/*"
},
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole",
"iam:CreateRole",
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:iam::123456789012:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "dms.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeInternetGateways",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:Get*",
"cloudwatch:List*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": "arn:aws:logs:*:123456789012:*"
}
]
}
```
------
Die Aufschlüsselung dieser Berechtigungen hilft Ihnen zu verstehen, warum die einzelnen Berechtigungen nötig sind.
Der folgende Abschnitt ist erforderlich, damit der Benutzer AWS DMS API-Operationen aufrufen kann.
```
{
"Effect": "Allow",
"Action": "dms:*",
"Resource": "arn:aws:dms:region:account:resourcetype/id"
}
```
Der folgende Abschnitt ist erforderlich, damit der Benutzer seine verfügbaren AWS KMS Schlüssel und Alias für die Anzeige in der Konsole auflisten kann. Dieser Eintrag ist nicht erforderlich, wenn Sie den Amazon-Ressourcennamen (ARN) für den KMS-Schlüssel kennen und nur den AWS Command Line Interface (AWS CLI) verwenden.
```
{
"Effect": "Allow",
"Action": [
"kms:ListAliases",
"kms:DescribeKey"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
Der folgende Abschnitt ist für bestimmte Endpunkttypen erforderlich, die die Übergabe eines IAM-Rollen-ARN mit dem Endpunkt erfordern. Wenn die erforderlichen AWS DMS Rollen nicht im Voraus erstellt wurden, kann die AWS DMS Konsole die Rolle außerdem erstellen. Wenn alle Rollen vorab konfiguriert werden, sind nur `iam:GetRole` und `iam:PassRole` erforderlich. Weitere Informationen zu Rollen finden Sie unter [Die IAM-Rollen zur Verwendung mit erstellen AWS DMS](#CHAP_Security.APIRole).
```
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole",
"iam:CreateRole",
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
Der folgende Abschnitt ist AWS DMS erforderlich, da die Amazon EC2 EC2-Instance erstellt und das Netzwerk für die erstellte Replikationsinstanz konfiguriert werden muss. Diese Ressourcen sind im Konto des Kunden vorhanden, deshalb muss es möglich sein, diese Aktionen im Namen des Kunden auszuführen.
```
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeInternetGateways",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
Der folgende Abschnitt ist erforderlich, damit der Benutzer Replikations-Instance-Metriken anzeigen kann.
```
{
"Effect": "Allow",
"Action": [
"cloudwatch:Get*",
"cloudwatch:List*"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
Dieser Abschnitt ist erforderlich, damit der Benutzer Replikationsprotokolle anzeigen kann.
```
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
Wenn Sie die AWS DMS Konsole, die AWS Command Line Interface (AWS CLI) oder die AWS DMS API für Ihre Migration verwenden, müssen Sie Ihrem Konto mehrere Rollen hinzufügen. Weitere Informationen zum Hinzufügen dieser Rollen finden Sie unter [Die IAM-Rollen zur Verwendung mit erstellen AWS DMS](#CHAP_Security.APIRole).
## Die IAM-Rollen zur Verwendung mit erstellen AWS DMS
Wenn Sie die AWS DMS Konsole, die AWS CLI oder die AWS DMS API für Ihre Datenbankmigration verwenden, müssen Sie Ihrem AWS Konto drei IAM-Rollen hinzufügen, bevor Sie die Funktionen von verwenden können. AWS DMS Zwei dieser Optionen sind `dms-vpc-role` und `dms-cloudwatch-logs-role`. Wenn Sie Amazon Redshift als Zieldatenbank verwenden, müssen Sie Ihrem AWS Konto auch die IAM-Rolle `dms-access-for-endpoint` hinzufügen.
Aktualisierungen zu verwalteten Richtlinien erfolgen automatisch. Wenn Sie eine benutzerdefinierte Richtlinie mit den IAM-Rollen verwenden, stellen Sie sicher, dass Sie regelmäßig überprüfen, ob Aktualisierungen für die verwaltete Richtlinie in dieser Dokumentation vorliegen. Sie können die Details der verwalteten Richtlinie anzeigen, indem Sie eine Kombination der Befehle `get-policy` und `get-policy-version` verwenden.
Der folgende `get-policy`-Befehl ruft beispielsweise Informationen über die angegebene IAM-Rolle ab.
```
aws iam get-policy --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSVPCManagementRole
```
Die von dem Befehl zurückgegebenen Informationen sind wie folgt.
```
{
"Policy": {
"PolicyName": "AmazonDMSVPCManagementRole",
"PolicyId": "ANPAJHKIGMBQI4AEFFSYO",
"Arn": "arn:aws:iam::aws:policy/service-role/AmazonDMSVPCManagementRole",
"Path": "/service-role/",
"DefaultVersionId": "v4",
"AttachmentCount": 1,
"PermissionsBoundaryUsageCount": 0,
"IsAttachable": true,
"Description": "Provides access to manage VPC settings for AWS managed customer configurations",
"CreateDate": "2015-11-18T16:33:19+00:00",
"UpdateDate": "2024-07-25T15:19:01+00:00",
"Tags": []
}
}
```
Mit dem folgenden `get-policy-version`-Befehl werden IAM-Richtlinieninformationen abgerufen.
```
aws iam get-policy-version --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSVPCManagementRole --version-id v4
```
Die von dem Befehl zurückgegebenen Informationen sind wie folgt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ExampleStatementID",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeDhcpOptions",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
Sie können dieselben Befehle verwenden, um Informationen über `AmazonDMSCloudWatchLogsRole` und die `AmazonDMSRedshiftS3Role`-verwaltete Richtlinie abrufen.
Mit den folgenden Verfahren werden die IAM-Rollen `dms-vpc-role`, `dms-cloudwatch-logs-role` und `dms-access-for-endpoint` erstellt.
**Um die dms-vpc-role IAM-Rolle für die Verwendung mit der API oder zu erstellen AWS CLI AWS DMS**
1. Erstellen Sie eine JSON-Datei mit der folgenden IAM-Richtlinie. Weisen Sie der JSON-Datei die Bezeichnung `dmsAssumeRolePolicyDocument.json` zu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "dms.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Erstellen Sie die Rolle AWS CLI mithilfe des folgenden Befehls.
```
aws iam create-role --role-name dms-vpc-role --assume-role-policy-document file://dmsAssumeRolePolicyDocument.json
```
1. Fügen Sie die Richtlinie `AmazonDMSVPCManagementRole` mithilfe des folgenden Befehls an `dms-vpc-role` an.
```
aws iam attach-role-policy --role-name dms-vpc-role --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSVPCManagementRole
```
**Um die dms-cloudwatch-logs-role IAM-Rolle für die Verwendung mit der API AWS CLI oder AWS DMS zu erstellen**
1. Erstellen Sie eine JSON-Datei mit der folgenden IAM-Richtlinie. Weisen Sie der JSON-Datei die Bezeichnung `dmsAssumeRolePolicyDocument2.json` zu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "dms.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Erstellen Sie die Rolle AWS CLI mithilfe des folgenden Befehls.
```
aws iam create-role --role-name dms-cloudwatch-logs-role --assume-role-policy-document file://dmsAssumeRolePolicyDocument2.json
```
1. Fügen Sie die Richtlinie `AmazonDMSCloudWatchLogsRole` mithilfe des folgenden Befehls an `dms-cloudwatch-logs-role` an.
```
aws iam attach-role-policy --role-name dms-cloudwatch-logs-role --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSCloudWatchLogsRole
```
Wenn Sie Amazon Redshift als Zieldatenbank verwenden, müssen Sie die IAM-Rolle `dms-access-for-endpoint` erstellen, um den Zugriff auf Amazon S3 zu ermöglichen.
**Um die dms-access-for-endpoint IAM-Rolle für die Verwendung mit Amazon Redshift als Zieldatenbank zu erstellen**
1. Erstellen Sie eine JSON-Datei mit der folgenden IAM-Richtlinie. Weisen Sie der JSON-Datei die Bezeichnung `dmsAssumeRolePolicyDocument3.json` zu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Principal": {
"Service": "dms.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Sid": "2",
"Effect": "Allow",
"Principal": {
"Service": "redshift.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Erstellen Sie die Rolle AWS CLI mithilfe des folgenden Befehls.
```
aws iam create-role --role-name dms-access-for-endpoint --assume-role-policy-document file://dmsAssumeRolePolicyDocument3.json
```
1. Fügen Sie die Richtlinie `AmazonDMSRedshiftS3Role` mithilfe des folgenden Befehls an die Rolle `dms-access-for-endpoint` an.
```
aws iam attach-role-policy --role-name dms-access-for-endpoint \
--policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSRedshiftS3Role
```
Sie sollten jetzt über die IAM-Richtlinien für die Verwendung der AWS CLI AWS DMS OR-API verfügen.
# Serviceübergreifende Confused-Deputy-Prävention
Das Confused-Deputy-Problem ist ein Sicherheitsproblem, bei dem eine juristische Stelle, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine privilegiertere juristische Stelle zwingen kann, die Aktion auszuführen. In AWS, dienstübergreifender Identitätswechsel kann zum Problem des verwirrten Stellvertreters führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der *Anruf-Dienst*) einen anderen Dienst anruft (den *aufgerufenen Dienst*). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben.
Wir empfehlen, die Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die der AWS Database Migration Service Ressource einen anderen Dienst gewähren. Wenn der `aws:SourceArn`-Wert nicht die Konto-ID enthält, z. B. einen AWS DMS -Replikations-Instance-Namen (ARN), müssen Sie beide globalen Bedingungskontext-Schlüssel verwenden, um Berechtigungen einzuschränken. Wenn Sie beide globale Bedingungskontextschlüssel verwenden und der `aws:SourceArn`-Wert die Konto-ID enthält, müssen der `aws:SourceAccount`-Wert und das Konto im `aws:SourceArn`-Wert dieselbe Konto-ID verwenden, wenn sie in der gleichen Richtlinienanweisung verwendet wird. Verwenden Sie `aws:SourceArn`, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten. Verwenden Sie `aws:SourceAccount`, wenn Sie zulassen möchten, dass Ressourcen in diesem Konto mit der betriebsübergreifenden Verwendung verknüpft werden.
AWS DMS unterstützt Confused Deputy Options ab Version 3.4.7 und höher. Weitere Informationen finden Sie unter [AWS Versionshinweise zu Database Migration Service 3.4.7](CHAP_ReleaseNotes.md#CHAP_ReleaseNotes.DMS347). Wenn Ihre Replikations-Instance AWS DMS Version 3.4.6 oder niedriger verwendet, stellen Sie sicher, dass Sie auf die neueste Version aktualisieren, bevor Sie die Confused-Deputy-Optionen festlegen.
Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels `aws:SourceArn` mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Kontextbedingungsschlüssel `aws:SourceArn` mit Platzhalterzeichen (`*`) für die unbekannten Teile des ARN. Beispiel, `arn:aws:dms:*:123456789012:rep:*`.
**Topics**
+ [IAM-Rollen, die zusammen mit der AWS DMS API verwendet werden können, um dienstübergreifend Verwirrung bei Stellvertretern zu vermeiden](#cross-service-confused-deputy-prevention-dms-api)
+ [IAM-Richtlinie zur Speicherung von Preflight-Bewertungen in Amazon S3 zur serviceübergreifenden Vermeidung des Confused-Deputy-Problems](#cross-service-confused-deputy-prevention-s3)
+ [Verwendung von Amazon DynamoDB als Zielendpunkt AWS DMS zur dienstübergreifenden Prävention verwirrter Stellvertreter](#cross-service-confused-deputy-prevention-dynamodb)
## IAM-Rollen, die zusammen mit der AWS DMS API verwendet werden können, um dienstübergreifend Verwirrung bei Stellvertretern zu vermeiden
Um die AWS CLI oder die AWS DMS API für Ihre Datenbankmigration zu verwenden, müssen Sie Ihrem AWS Konto die Rollen `dms-vpc-role` und die `dms-cloudwatch-logs-role` IAM-Rollen hinzufügen, bevor Sie die Funktionen von verwenden können. AWS DMS Weitere Informationen finden Sie unter [Die IAM-Rollen zur Verwendung mit erstellen AWS DMS](security-iam.md#CHAP_Security.APIRole).
Das folgende Beispiel zeigt Richtlinien für die Verwendung der `dms-vpc-role`-Rolle mit der `my-replication-instance`-Replikations-Instance. Verwenden Sie diese Richtlinien, um das Confused-Deputy-Problem zu verhindern.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDMSAssumeRole",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:dms:*:123456789012:*"
}
}
}
]
}
```
------
## IAM-Richtlinie zur Speicherung von Preflight-Bewertungen in Amazon S3 zur serviceübergreifenden Vermeidung des Confused-Deputy-Problems
Um die Ergebnisse der Vorabbeurteilung in Ihrem S3-Bucket zu speichern, erstellen Sie eine IAM-Richtlinie, die AWS DMS die Verwaltung von Objekten in Amazon S3 ermöglicht. Weitere Informationen finden Sie unter [Erstellen von IAM-Ressourcen](CHAP_Tasks.AssessmentReport.Prerequisites.md#CHAP_Tasks.AssessmentReport.Prerequisites.IAM).
Das folgende Beispiel zeigt eine Vertrauensrichtlinie mit verwirrten stellvertretenden Bedingungen, die für eine IAM-Rolle festgelegt sind und AWS DMS den Zugriff auf alle Aufgaben und Bewertungsläufe unter einem bestimmten Benutzerkonto ermöglichen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDMSAssumeRole",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:dms:*:123456789012:assessment-run:*",
"arn:aws:dms:*:123456789012:task:*"
]
}
}
}
]
}
```
------
## Verwendung von Amazon DynamoDB als Zielendpunkt AWS DMS zur dienstübergreifenden Prävention verwirrter Stellvertreter
Um Amazon DynamoDB als Zielendpunkt für Ihre Datenbankmigration zu verwenden, müssen Sie die IAM-Rolle erstellen, die es ermöglicht, Zugriff auf die DynamoDB-Tabellen AWS DMS zu übernehmen und zu gewähren. Verwenden Sie dann diese Rolle, wenn Sie Ihren DynamoDB-Zielendpunkt in AWS DMS erstellen. Weitere Informationen finden Sie unter [Verwenden von Amazon DynamoDB als Ziel](CHAP_Target.DynamoDB.md).
Das folgende Beispiel zeigt eine Vertrauensrichtlinie mit verwirrten stellvertretenden Bedingungen, die für eine IAM-Rolle festgelegt sind, die allen AWS DMS Endpunkten den Zugriff auf DynamoDB-Tabellen ermöglicht.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDMSAssumeRole",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:dms:*:123456789012:assessment-run:*",
"arn:aws:dms:*:123456789012:task:*"
]
}
}
}
]
}
```
------
# AWS verwaltete Richtlinien für AWS Database Migration Service
**Topics**
+ [AWS verwaltete Richtlinie: Amazon DMSVPCManagement Role](#security-iam-awsmanpol-AmazonDMSVPCManagementRole)
+ [AWS verwaltete Richtlinie: AWSDMSServerless ServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy)
+ [AWS verwaltete Richtlinie: Amazon DMSCloud WatchLogsRole](#security-iam-awsmanpol-AmazonDMSCloudWatchLogsRole)
+ [AWS verwaltete Richtlinie: AWSDMSFleet AdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSDMSFleetAdvisorServiceRolePolicy)
+ [AWS verwaltete Richtlinie: Amazon DMSRedshift S3Role](#security-iam-awsmanpol-AmazonDMSRedshiftS3Role)
+ [AWS DMS Aktualisierungen der AWS verwalteten Richtlinien](#security-iam-awsmanpol-updates)
## AWS verwaltete Richtlinie: Amazon DMSVPCManagement Role
Diese Richtlinie ist der `dms-vpc-role` Rolle beigefügt, sodass AWS DMS Sie Aktionen in Ihrem Namen ausführen können.
Diese Richtlinie gewährt Mitwirkenden Berechtigungen, mit denen AWS DMS sie Netzwerkressourcen verwalten können.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Operationen:
+ `ec2:CreateNetworkInterface`— AWS DMS benötigt diese Berechtigung, um Netzwerkschnittstellen zu erstellen. Diese Schnittstellen sind unerlässlich, damit die AWS DMS Replikationsinstanz eine Verbindung zu den Quell- und Zieldatenbanken herstellen kann.
+ `ec2:DeleteNetworkInterface`— AWS DMS benötigt diese Berechtigung, um die erstellten Netzwerkschnittstellen zu bereinigen, sobald sie nicht mehr benötigt werden. Dies hilft beim Ressourcenmanagement und bei der Vermeidung unnötiger Kosten.
+ `ec2:DescribeAvailabilityZones`— Diese Berechtigung ermöglicht AWS DMS das Abrufen von Informationen über die Verfügbarkeitszonen in einer Region. AWS DMS verwendet diese Informationen, um sicherzustellen, dass Ressourcen in den richtigen Zonen bereitgestellt werden, um Redundanz und Verfügbarkeit zu gewährleisten.
+ `ec2:DescribeDhcpOptions`— AWS DMS ruft die Details des DHCP-Optionssatzes für die angegebene VPC ab. Diese Informationen sind erforderlich, um das Netzwerk für die Replikationsinstanzen korrekt zu konfigurieren.
+ `ec2:DescribeInternetGateways`— benötigt AWS DMS möglicherweise diese Berechtigung, um die in der VPC konfigurierten Internet-Gateways zu verstehen. Diese Informationen sind von entscheidender Bedeutung, wenn die Replikationsinstanz oder die Datenbanken Internetzugang benötigen.
+ `ec2:DescribeNetworkInterfaces`— AWS DMS ruft Informationen über bestehende Netzwerkschnittstellen innerhalb der VPC ab. Diese Informationen sind erforderlich AWS DMS , um die Netzwerkschnittstellen korrekt zu konfigurieren und die ordnungsgemäße Netzwerkkonnektivität für den Migrationsprozess sicherzustellen.
+ `ec2:DescribeSecurityGroups`— Sicherheitsgruppen kontrollieren den ein- und ausgehenden Datenverkehr zu Instanzen und Ressourcen. AWS DMS muss Sicherheitsgruppen beschreiben, um Netzwerkschnittstellen korrekt zu konfigurieren und eine ordnungsgemäße Kommunikation zwischen der Replikationsinstanz und den Datenbanken sicherzustellen.
+ `ec2:DescribeSubnets`— Diese Berechtigung ermöglicht es AWS DMS , die Subnetze in einer VPC aufzulisten. AWS DMS verwendet diese Informationen, um Replikationsinstanzen in den entsprechenden Subnetzen zu starten und sicherzustellen, dass sie über die erforderliche Netzwerkkonnektivität verfügen.
+ `ec2:DescribeVpcs`— Die Beschreibung VPCs ist wichtig, um die Netzwerkumgebung AWS DMS zu verstehen, in der sich die Replikationsinstanz und die Datenbanken befinden. Dazu gehört die Kenntnis der CIDR-Blöcke und anderer VPC-spezifischer Konfigurationen.
+ `ec2:ModifyNetworkInterfaceAttribute`— Diese Berechtigung ist erforderlich, AWS DMS um die Attribute der von ihr verwalteten Netzwerkschnittstellen zu ändern. Dies könnte die Anpassung von Einstellungen beinhalten, um Konnektivität und Sicherheit zu gewährleisten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeDhcpOptions",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AWSDMSServerless ServiceRolePolicy
Diese Richtlinie ist der `AWSServiceRoleForDMSServerless` Rolle zugeordnet, sodass AWS DMS Sie Aktionen in Ihrem Namen ausführen können. Weitere Informationen finden Sie unter [Servicebezogene Rolle für AWS DMS](slr-services-sl.md).
Diese Richtlinie gewährt Mitwirkenden Berechtigungen, mit denen AWS DMS sie Replikationsressourcen verwalten können.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ **AWS DMS**— Ermöglicht Prinzipalen die Interaktion mit AWS DMS Ressourcen.
+ **Amazon S3** — Ermöglicht DMS die Erstellung eines S3-Buckets zum Speichern einer Bewertung vor der Migration. Der S3-Bucket wird für einen Benutzer pro Region erstellt und seine Bucket-Richtlinie beschränkt den Zugriff nur auf die Servicerolle des Dienstes.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "id0",
"Effect": "Allow",
"Action": [
"dms:CreateReplicationInstance",
"dms:CreateReplicationTask"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"dms:req-tag/ResourceCreatedBy": "DMSServerless"
}
}
},
{
"Sid": "id1",
"Effect": "Allow",
"Action": [
"dms:DescribeReplicationInstances",
"dms:DescribeReplicationTasks"
],
"Resource": "*"
},
{
"Sid": "id2",
"Effect": "Allow",
"Action": [
"dms:StartReplicationTask",
"dms:StopReplicationTask",
"dms:ModifyReplicationTask",
"dms:DeleteReplicationTask",
"dms:ModifyReplicationInstance",
"dms:DeleteReplicationInstance"
],
"Resource": [
"arn:aws:dms:*:*:rep:*",
"arn:aws:dms:*:*:task:*"
],
"Condition": {
"StringEqualsIgnoreCase": {
"aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
}
}
},
{
"Sid": "id3",
"Effect": "Allow",
"Action": [
"dms:TestConnection",
"dms:DeleteConnection"
],
"Resource": [
"arn:aws:dms:*:*:rep:*",
"arn:aws:dms:*:*:endpoint:*"
]
},
{
"Sid": "id4",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObject",
"s3:PutObjectTagging"
],
"Resource": [
"arn:aws:s3:::dms-serverless-premigration-results-*",
"arn:aws:s3:::dms-premigration-results-*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "id5",
"Effect": "Allow",
"Action": [
"s3:PutBucketPolicy",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:CreateBucket"
],
"Resource": [
"arn:aws:s3:::dms-serverless-premigration-results-*",
"arn:aws:s3:::dms-premigration-results-*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "id6",
"Effect": "Allow",
"Action": [
"dms:StartReplicationTaskAssessmentRun"
],
"Resource": [
"arn:aws:dms:*:*:task:*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS verwaltete Richtlinie: Amazon DMSCloud WatchLogsRole
Diese Richtlinie ist der `dms-cloudwatch-logs-role` Rolle beigefügt, sodass AWS DMS Sie Aktionen in Ihrem Namen ausführen können. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für AWS DMS](using-service-linked-roles.md).
Diese Richtlinie gewährt Mitwirkenden Berechtigungen, mit denen Replikationsprotokolle AWS DMS in Protokollen veröffentlicht werden CloudWatch können.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `logs`— Ermöglicht Prinzipalen das Veröffentlichen von Protokollen in Logs. CloudWatch Diese Berechtigung ist erforderlich, damit Replikationsprotokolle angezeigt werden AWS DMS können. CloudWatch
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribeOnAllLogGroups",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowDescribeOfAllLogStreamsOnDmsTasksLogGroup",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*"
]
},
{
"Sid": "AllowCreationOfDmsLogGroups",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:"
]
},
{
"Sid": "AllowCreationOfDmsLogStream",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
]
},
{
"Sid": "AllowUploadOfLogEventsToDmsLogStream",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
]
}
]
}
```
------
## AWS verwaltete Richtlinie: AWSDMSFleet AdvisorServiceRolePolicy
Sie können keine Verbindungen AWSDMSFleet AdvisorServiceRolePolicy zu Ihren IAM-Entitäten herstellen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es AWS DMS Fleet Advisor ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für AWS DMS](using-service-linked-roles.md).
Diese Richtlinie gewährt Mitwirkenden Berechtigungen, die es AWS DMS Fleet Advisor ermöglichen, CloudWatch Amazon-Metriken zu veröffentlichen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `cloudwatch`— Ermöglicht es Prinzipalen, metrische Datenpunkte auf Amazon CloudWatch zu veröffentlichen. Diese Berechtigung ist erforderlich, damit AWS DMS Fleet Advisor Diagramme mit Datenbankmetriken anzeigen kann. CloudWatch
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/DMS/FleetAdvisor"
}
}
}
}
```
------
## AWS verwaltete Richtlinie: Amazon DMSRedshift S3Role
Diese Richtlinie bietet Berechtigungen, mit denen AWS DMS S3-Einstellungen für Redshift-Endpunkte verwaltet werden können.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Operationen:
+ `s3:CreateBucket`— Ermöglicht DMS, S3-Buckets mit dem Präfix „dms-“ zu erstellen
+ `s3:ListBucket`- Ermöglicht DMS, den Inhalt von S3-Buckets mit dem Präfix „dms-“ aufzulisten
+ `s3:DeleteBucket `- Ermöglicht DMS, S3-Buckets mit dem Präfix „dms-“ zu löschen
+ `s3:GetBucketLocation`- Ermöglicht DMS, die Region abzurufen, in der sich ein S3-Bucket befindet
+ `s3:GetObject`- Ermöglicht DMS das Abrufen von Objekten aus S3-Buckets mit dem Präfix „dms-“
+ `s3:PutObject`- Ermöglicht DMS, Objekte zu S3-Buckets mit dem Präfix „dms-“ hinzuzufügen
+ `s3:DeleteObject`- Ermöglicht DMS, Objekte aus S3-Buckets mit dem Präfix „dms-“ zu löschen
+ `s3:GetObjectVersion`— Ermöglicht es DMS, bestimmte Versionen von Objekten in versionierten Buckets abzurufen
+ `s3:GetBucketPolicy`— Ermöglicht DMS das Abrufen von Bucket-Richtlinien
+ `s3:PutBucketPolicy`— Ermöglicht DMS, Bucket-Richtlinien zu erstellen oder zu aktualisieren
+ `s3:GetBucketAcl`— Ermöglicht DMS das Abrufen von Bucket-Zugriffskontrolllisten () ACLs
+ `s3:PutBucketVersioning`— Ermöglicht DMS, die Versionierung von Buckets zu aktivieren oder auszusetzen
+ `s3:GetBucketVersioning`— Ermöglicht DMS, den Versionsstatus von Buckets abzurufen
+ `s3:PutLifecycleConfiguration`- Ermöglicht DMS, Lebenszyklusregeln für Buckets zu erstellen oder zu aktualisieren
+ `s3:GetLifecycleConfiguration`— Ermöglicht es DMS, für Buckets konfigurierte Lebenszyklusregeln abzurufen
+ `s3:DeleteBucketPolicy`— Ermöglicht DMS das Löschen von Bucket-Richtlinien
Alle diese Berechtigungen gelten nur für Ressourcen mit ARN-Muster: `arn:aws:s3:::dms-*`
**JSON-Richtliniendokument**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:DeleteBucket",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:GetBucketAcl",
"s3:PutBucketVersioning",
"s3:GetBucketVersioning",
"s3:PutLifecycleConfiguration",
"s3:GetLifecycleConfiguration",
"s3:DeleteBucketPolicy"
],
"Resource": "arn:aws:s3:::dms-*"
}
]
}
```
------
## AWS DMS Aktualisierungen der AWS verwalteten Richtlinien
Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien, die AWS DMS seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden. Abonnieren Sie den RSS-Feed auf der Seite AWS DMS Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy)— Ändern | AWS DMS wurde aktualisiert`AWSDMSServerlessServiceRolePolicy`, sodass DMS S3-Buckets erstellen und die Ergebnisse der Bewertung vor der Migration für Replikationsaufgaben, die nichts mit DMS Serverless zu tun haben, in diese Buckets eintragen kann. | 5. November 2025 |
| [Servicebezogene Rolle für AWS DMS Serverless](slr-services-sl.md) — Änderung | AWS DMS aktualisiert`AWSDMSServerlessServiceRolePolicy`, sodass nun auch die Ausführung `dms:StartReplicationTaskAssessmentRun` von Bewertungen vor der Migration unterstützt wird. AWS DMS Außerdem wurde die Rolle „Serverless Service Linked“ aktualisiert, um S3-Buckets zu erstellen und die Ergebnisse der Bewertung vor der Migration in diese Buckets zu übernehmen. | 14. Februar 2025 |
| [AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy)— Veränderung | AWS DMS hinzugefügt`dms:ModifyReplicationTask`, was von AWS DMS Serverless benötigt wird, um den `ModifyReplicationTask` Vorgang zum Ändern einer Replikationsaufgabe aufzurufen. AWS DMS hinzugefügt`dms:ModifyReplicationInstance`, was von AWS DMS Serverless benötigt wird, um den `ModifyReplicationInstance` Vorgang zum Ändern einer Replikationsinstanz aufzurufen. | 17. Januar 2025 |
| [DMSVPCManagementRolle bei Amazon](#security-iam-awsmanpol-AmazonDMSVPCManagementRole) — Änderung | AWS DMS hinzugefügt `ec2:DescribeDhcpOptions` und `ec2:DescribeNetworkInterfaces` Funktionen hinzugefügt, mit denen AWS DMS Sie die Netzwerkeinstellungen in Ihrem Namen verwalten können. | 17. Juni 2024 |
| [AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy) – Neue Richtlinie | AWS DMS hat die `AWSDMSServerlessServiceRolePolicy` Rolle hinzugefügt, AWS DMS damit Sie in Ihrem Namen Dienste erstellen und verwalten können, z. B. die Veröffentlichung von CloudWatch Amazon-Metriken. | 22. Mai 2023 |
| [Amazon DMSCloud WatchLogsRole](#security-iam-awsmanpol-AmazonDMSCloudWatchLogsRole) — Veränderung | AWS DMS hat den ARN für serverlose Ressourcen zu jeder der erteilten Berechtigungen hinzugefügt, um das Hochladen von AWS DMS Replikationsprotokollen aus serverlosen Replikationskonfigurationen in Logs zu ermöglichen. CloudWatch | 22. Mai 2023 |
| [AWSDMSFleetAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSDMSFleetAdvisorServiceRolePolicy) – Neue Richtlinie | AWS DMS Fleet Advisor hat eine neue Richtlinie hinzugefügt, um die Veröffentlichung von metrischen Datenpunkten auf Amazon zu ermöglichen CloudWatch. | 6. März 2023 |
| AWS DMS hat begonnen, Änderungen zu verfolgen | AWS DMS hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen. | 6. März 2023 |
# Konformitätsvalidierung für AWS Database Migration Service
Externe Prüfer bewerten die Sicherheit und Einhaltung von Vorschriften im AWS Database Migration Service Rahmen mehrerer AWS Compliance-Programme. Diese umfassen u. a. die folgenden Programme:
+ SOC
+ PCI
+ ISO
+ FedRAMP
+ DoD CC SRG
+ HIPAA BAA
+ MTCS
+ CS
+ K-ISMS
+ ENS High
+ OSPAR
+ HITRUST CSF
Eine Liste der AWS Dienstleistungen im Rahmen bestimmter Compliance-Programme finden Sie unter [AWS Dienstleistungen im Umfang nach Compliance-Programmen AWS](https://aws.amazon.com/compliance/services-in-scope/) . Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte in AWS Artifact herunterladen Berichte in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS DMS hängt von der Sensibilität Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. AWS stellt die folgenden Ressourcen zur Verfügung, die Sie bei der Einhaltung der Vorschriften unterstützen:
+ [Schnellstartanleitungen für Sicherheit und Compliance](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) - In diesen Bereitstellungsanleitungen werden architektonische Überlegungen erörtert und Schritte für die Bereitstellung von sicherheits- und konformitätsorientierten Basisumgebungen auf AWS.
+ Whitepaper [Architecting for HIPAA Security and Compliance on Amazon Web Services — In diesem Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) wird beschrieben, wie Unternehmen HIPAA-konforme Anwendungen erstellen können AWS .
+ [AWS Ressourcen zur Einhaltung](https://aws.amazon.com/compliance/resources/) von — Diese Sammlung von Arbeitsmappen und Leitfäden kann auf Ihre Branche und Ihren Standort zutreffen.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)— Mit diesem AWS Service wird bewertet, wie gut Ihre Ressourcenkonfigurationen den internen Praktiken, Branchenrichtlinien und Vorschriften entsprechen.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Dieser AWS Service bietet einen umfassenden Überblick über Ihren Sicherheitsstatus und hilft Ihnen AWS , die Einhaltung der Sicherheitsstandards und bewährten Verfahren der Sicherheitsbranche zu überprüfen.
# Resilienz in AWS Database Migration Service
Die AWS globale Infrastruktur basiert auf AWS Regionen und Availability Zones. AWS Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Availability Zones ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser hoch verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Weitere Informationen zu AWS Regionen und Availability Zones finden Sie unter [AWS Globale](https://aws.amazon.com/about-aws/global-infrastructure/) Infrastruktur.
AWS DMS Bietet zusätzlich zur AWS globalen Infrastruktur Hochverfügbarkeit und Failover-Unterstützung für eine Replikationsinstanz, die eine Multi-AZ-Bereitstellung verwendet, wenn Sie sich für die **Multi-AZ-Option** entscheiden.
In einer Multi-AZ-Bereitstellung stellt AWS DMS automatisch ein Standby-Replikat der Replikationsinstanz in einer anderen Availability Zone bereit und verwaltet es. Die primäre Replikations-Instance wird auf das Standby-Replikat repliziert. Wenn die primäre Replikations-Instance ausfällt oder nicht mehr reagiert, nimmt der Standby-Modus alle laufenden Tasks mit minimaler Unterbrechung wieder auf. Da die primäre Replikations-Instance ihren Status ständig in den Standby-Modus repliziert, verursacht die Multi-AZ-Bereitstellung einen gewissen Leistungs-Overhead.
Weitere Informationen zum Arbeiten mit Multi-AZ-Bereitstellungen finden Sie unter [Mit einer AWS DMS Replikationsinstanz arbeiten](CHAP_ReplicationInstance.md).
# Infrastruktursicherheit in AWS Database Migration Service
Als verwalteter Dienst AWS Database Migration Service ist er durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe für den Zugriff AWS DMS über das Netzwerk. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
Sie können diese API-Operationen von jedem Netzwerkstandort aus aufrufen. AWS DMS unterstützt auch ressourcenbasierte Zugriffsrichtlinien, mit denen Einschränkungen für Aktionen und Ressourcen festgelegt werden können, z. B. auf der Grundlage der Quell-IP-Adresse. Darüber hinaus können Sie AWS DMS Richtlinien verwenden, um den Zugriff von bestimmten Amazon VPC-Endpunkten oder bestimmten virtuellen privaten Clouds () VPCs aus zu kontrollieren. Dadurch wird der Netzwerkzugriff auf eine bestimmte AWS DMS Ressource effektiv nur von der spezifischen VPC innerhalb des AWS Netzwerks isoliert. Weitere Informationen zur Verwendung ressourcenbasierter Zugriffsrichtlinien mit Beispielen finden Sie AWS DMS unter. [Differenzierte Zugriffskontrolle mit Ressourcennamen und Ressourcen-Tags](CHAP_Security.FineGrainedAccess.md)
Um Ihre Kommunikation auf eine einzelne VPC zu beschränken, können Sie einen VPC-Schnittstellenendpunkt erstellen, über den Sie eine Verbindung herstellen können. AWS DMS AWS DMS AWS PrivateLink AWS PrivateLink trägt dazu bei, dass alle Aufrufe AWS DMS und die zugehörigen Ergebnisse auf die spezifische VPC beschränkt bleiben, für die Ihr Schnittstellenendpunkt erstellt wurde. Sie können dann die URL für diesen Schnittstellenendpunkt als Option für jeden AWS DMS Befehl angeben, den Sie mit dem AWS CLI oder einem SDK ausführen. Auf diese Weise können Sie sicherstellen, dass Ihre gesamte Kommunikation mit auf die VPC beschränkt AWS DMS bleibt und ansonsten für das öffentliche Internet unsichtbar ist.
**So erstellen Sie einen Schnittstellenendpunkt für den Zugriff auf DMS in einer einzelnen VPC**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus. Dadurch wird die Seite **Endpoints erstellen** geöffnet, auf der Sie den Schnittstellenendpunkt von einer VPC zu erstellen können. AWS DMS
1. Wählen Sie **AWS Dienste** aus, suchen Sie dann nach einem Wert für den **Dienstnamen** und wählen Sie ihn aus, in diesem Fall AWS DMS im folgenden Formular.
```
com.amazonaws.region.dms
```
Hier wird beispielsweise die AWS Region *`region`* angegeben, in der AWS DMS ausgeführt wird`com.amazonaws.us-west-2.dms`.
1. Wählen Sie für **VPC** die VPC aus, für die der Schnittstellenendpunkt erstellt werden soll, z. B. `vpc-12abcd34`.
1. Wählen Sie einen Wert für **Availability Zone** und für **Subnetz-ID** aus. Diese Werte sollten einen Standort angeben, an dem der gewählte AWS DMS -Endpunkt ausgeführt werden kann, zum Beispiel `us-west-2a (usw2-az1)` und `subnet-ab123cd4`.
1. Wählen Sie **DNS-Namen aktivieren** aus, um den Endpunkt mit einem DNS-Namen zu erstellen. Dieser DNS-Name besteht aus der Endpunkt-ID (`vpce-12abcd34efg567hij`) mit einem Bindestrich und einer zufälligen Zeichenfolge (`ab12dc34`). Diese werden in umgekehrter Reihenfolge durch Punkte vom Service-Namen getrennt und mit dem Zusatz `vpce` versehen (`dms.us-west-2.vpce.amazonaws.com`).
Ein Beispiel ist `vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com`.
1. Wählen Sie für **Sicherheitsgruppe** eine Gruppe aus, die für den Endpunkt verwendet werden soll.
Achten Sie bei der Einrichtung Ihrer Sicherheitsgruppe darauf, dass ausgehende HTTPS-Aufrufe innerhalb der Gruppe zugelassen sind. Weitere Informationen finden Sie unter [Creating security groups](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups) im *Benutzerhandbuch für Amazon VPC*.
1. Wählen Sie entweder **Vollzugriff** oder einen benutzerdefinierten Wert für **Richtlinie** aus. Sie können beispielsweise eine benutzerdefinierte Richtlinie ähnlich der folgenden wählen, die den Zugriff Ihres Endpunkts auf bestimmte Aktionen und Ressourcen einschränkt.
```
{
"Statement": [
{
"Action": "dms:*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": [
"dms:ModifyReplicationInstance",
"dms:DeleteReplicationInstance"
],
"Effect": "Deny",
"Resource": "arn:aws:dms:us-west-2::rep:",
"Principal": "*"
}
]
}
```
Hier erlaubt die Beispielrichtlinie jeden AWS DMS API-Aufruf, mit Ausnahme des Löschens oder Modifizierens einer bestimmten Replikationsinstanz.
Sie können jetzt optional eine URL angeben, die mit dem in Schritt 6 erstellten DNS-Namen gebildet wurde. Sie geben dies für jeden AWS DMS CLI-Befehl oder jede API-Operation an, um über den erstellten Schnittstellenendpunkt auf die Dienstinstanz zuzugreifen. Beispielsweise können Sie den DMS-CLI-Befehl `DescribeEndpoints` wie folgt in dieser VPC ausführen.
```
$ aws dms describe-endpoints --endpoint-url https://vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com
```
Wenn Sie die Option für das private DNS aktivieren, müssen Sie die Endpunkt-URL in der Anfrage nicht angeben.
Weitere Informationen zur Erstellung und Verwendung von VPC-Schnittstellenendpunkten (einschließlich der Aktivierung der privaten DNS-Option) finden Sie unter [Interface VPC endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) im *Amazon* VPC-Benutzerhandbuch.
# Differenzierte Zugriffskontrolle mit Ressourcennamen und Ressourcen-Tags
Sie können Ressourcennamen und Ressourcen-Tags verwenden, die auf Amazon Resource Names (ARNs) basieren, um den Zugriff auf AWS DMS Ressourcen zu verwalten. Dazu definieren Sie erlaubte Aktionen oder schließen Bedingungsanweisungen in IAM-Richtlinien ein.
## Verwenden von Ressourcennamen für die Zugriffskontrolle
Sie können ein IAM-Benutzerkonto erstellen und eine Richtlinie basierend auf dem ARN der AWS DMS -Ressource zuweisen.
Die folgende Richtlinie verweigert den Zugriff auf die AWS DMS Replikationsinstanz mit dem ARN *arn:aws:dms:us-east* - 1:152683116:rep: ZTOXGLIXMIHKITV: DOH67
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"dms:*"
],
"Effect": "Deny",
"Resource": "arn:aws:dms:us-east-1:111122223333:rep:DOH67ZTOXGLIXMIHKITV"
}
]
}
```
------
Bei diesem Beispiel würden bei Geltung der Richtlinie die folgenden Befehle fehschlagen:
```
$ aws dms delete-replication-instance
--replication-instance-arn "arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV"
A client error (AccessDeniedException) occurred when calling the DeleteReplicationInstance
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform:
dms:DeleteReplicationInstance on resource: arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV
$ aws dms modify-replication-instance
--replication-instance-arn "arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV"
A client error (AccessDeniedException) occurred when calling the ModifyReplicationInstance
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform:
dms:ModifyReplicationInstance on resource: arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV
```
Sie können auch IAM-Richtlinien AWS DMS angeben, die den Zugriff auf Endgeräte und Replikationsaufgaben einschränken.
Die folgende Richtlinie beschränkt den Zugriff auf einen AWS DMS Endpunkt mithilfe des ARN des Endpunkts.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"dms:*"
],
"Effect": "Deny",
"Resource": "arn:aws:dms:us-east-1:111122223333:endpoint:D6E37YBXTNHOA6XRQSZCUGX"
}
]
}
```
------
Hier würden beispielsweise die folgenden Befehle fehlschlagen, wenn die Richtlinie, die den ARN des Endpunkts verwendet, gelten würde:
```
$ aws dms delete-endpoint
--endpoint-arn "arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX"
A client error (AccessDeniedException) occurred when calling the DeleteEndpoint operation:
User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:DeleteEndpoint
on resource: arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX
$ aws dms modify-endpoint
--endpoint-arn "arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX"
A client error (AccessDeniedException) occurred when calling the ModifyEndpoint operation:
User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:ModifyEndpoint
on resource: arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX
```
Die folgende Richtlinie beschränkt den Zugriff auf eine AWS DMS Aufgabe mithilfe des ARN der Aufgabe.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"dms:*"
],
"Effect": "Deny",
"Resource": "arn:aws:dms:us-east-1:111122223333:task:UO3YR4N47DXH3ATT4YMWOIT"
}
]
}
```
------
Hier würden beispielsweise die folgenden Befehle fehlschlagen, wenn die Richtlinie, die den ARN der Aufgabe verwendet, gelten würde.
```
$ aws dms delete-replication-task
--replication-task-arn "arn:aws:dms:us-east-1:152683116:task:UO3YR4N47DXH3ATT4YMWOIT"
A client error (AccessDeniedException) occurred when calling the DeleteReplicationTask operation:
User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:DeleteReplicationTask
on resource: arn:aws:dms:us-east-1:152683116:task:UO3YR4N47DXH3ATT4YMWOIT
```
## Verwendung von Tags zur Zugriffssteuerung
AWS DMS definiert einen Satz gängiger Schlüssel-Wert-Paare, die für die Verwendung in kundenspezifischen Richtlinien ohne zusätzliche Tagging-Anforderungen verfügbar sind. Weitere Informationen zum Markieren AWS DMS von Ressourcen finden Sie unter. [Taggen von Ressourcen im AWS Database Migration Service](CHAP_Tagging.md)
Im Folgenden sind die Standardtags aufgeführt, die für die Verwendung mit AWS DMS verfügbar sind:
+ aws: CurrentTime — Stellt das Datum und die Uhrzeit der Anfrage dar und ermöglicht die Beschränkung des Zugriffs auf der Grundlage zeitlicher Kriterien.
+ aws: EpochTime — Dieses Tag ähnelt dem vorhergehenden aws: CurrentTime -Tag, außer dass die aktuelle Zeit als die Anzahl der seit der Unix-Epoche verstrichenen Sekunden dargestellt wird.
+ aws: MultiFactorAuthPresent — Dies ist ein boolesches Tag, das angibt, ob die Anfrage per Multi-Faktor-Authentifizierung signiert wurde oder nicht.
+ aws: MultiFactorAuthAge — Ermöglicht den Zugriff auf das Alter des Multi-Faktor-Authentifizierungstokens (in Sekunden).
+ aws:principaltype – Bietet Zugriff auf den Prinzipaltyp (Benutzer, Konto, Verbundbenutzer usw.) für die aktuelle Anforderung.
+ aws: SourceIp — Stellt die Quell-IP-Adresse des Benutzers dar, der die Anfrage stellt.
+ aws: UserAgent — Stellt Informationen über die Client-Anwendung bereit, die eine Ressource anfordert.
+ aws:userid – Bietet Zugriff auf die ID des Benutzers, der die Anforderung ausgibt.
+ aws:username – Bietet Zugriff auf den Namen des Benutzers, der die Anforderung ausgibt.
+ dms: InstanceClass — Ermöglicht den Zugriff auf die Rechengröße der Hosts der Replikationsinstanzen.
+ dms: StorageSize — Ermöglicht den Zugriff auf die Größe des Speichervolumes (in GB).
Sie können auch eigene Tags definieren. Kundendefinierte Tags sind einfache Schlüssel-Wert-Paare, die im Tagging-Service dauerhaft gespeichert werden. AWS Sie können diese zu AWS DMS -Ressourcen hinzufügen, einschließlich Replikations-Instances, Endpunkte und Aufgaben. Diese Tags werden durch das Verwenden von "konditionalen" IAM-Anweisungen in Richtlinien abgestimmt. Der Verweis auf diese Tags erfolgt mittels eines spezifischen konditionalen Tags. Die Tag-Schlüssel weisen das Präfix "dms", den Ressourcentyp und das "tag"-Präfix auf. Im Folgenden sehen Sie das Tag-Format.
```
dms:{resource type}-tag/{tag key}={tag value}
```
Angenommen, Sie möchten eine Richtlinie definieren, durch die ein API-Aufruf nur dann erfolgreich durchgeführt werden kann, wenn eine Replikations-Instance das Tag "stage=production" enthält. Die folgende Bedingungsanweisung stimmt mit einer Ressource mit dem angegebenen Tag überein.
```
"Condition":
{
"streq":
{
"dms:rep-tag/stage":"production"
}
}
```
Sie fügen das folgende Tag zu einer Replikations-Instance hinzu, die mit dieser Richtlinienbedingung übereinstimmt.
```
stage production
```
Zusätzlich zu Tags, die AWS DMS Ressourcen bereits zugewiesen sind, können auch Richtlinien geschrieben werden, um die Tagschlüssel und -werte zu begrenzen, die auf eine bestimmte Ressource angewendet werden können. In diesem Fall ist das Tag-Präfix "req".
Mit der folgenden Richtlinienanweisung werden die Tags auf eine bestimmte Liste zulässiger Werte beschränkt, die ein Benutzer einer bestimmten Ressource zuweisen kann.
```
"Condition":
{
"streq":
{
"dms:rep-tag/stage": [ "production", "development", "testing" ]
}
}
```
Die folgenden Richtlinienbeispiele beschränken den Zugriff auf eine AWS DMS Ressource auf der Grundlage von Ressourcen-Tags.
Die folgende Richtlinie beschränkt den Zugriff auf eine Replikations-Instance, bei der der Tag-Wert "Desktop" und der Tag-Schlüssel "Env" ist:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"dms:*"
],
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringEquals": {
"dms:rep-tag/Env": [
"Desktop"
]
}
}
}
]
}
```
------
Die folgenden Befehle können erfolgreich ausgeführt werden oder schlagen fehl. Dies hängt von der IAM-Richtlinie ab, die den Zugriff einschränkt, wenn der Tag-Wert "Desktop" und der Tag-Schlüssel "Env" ist.
```
$ aws dms list-tags-for-resource
--resource-name arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN
--endpoint-url http://localhost:8000
{
"TagList": [
{
"Value": "Desktop",
"Key": "Env"
}
]
}
$ aws dms delete-replication-instance
--replication-instance-arn "arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN"
A client error (AccessDeniedException) occurred when calling the DeleteReplicationInstance
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform:
dms:DeleteReplicationInstance on resource: arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN
$ aws dms modify-replication-instance
--replication-instance-arn "arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN"
A client error (AccessDeniedException) occurred when calling the ModifyReplicationInstance
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform:
dms:ModifyReplicationInstance on resource: arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN
$ aws dms add-tags-to-resource
--resource-name arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN
--tags Key=CostCenter,Value=1234
A client error (AccessDeniedException) occurred when calling the AddTagsToResource
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform:
dms:AddTagsToResource on resource: arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN
$ aws dms remove-tags-from-resource
--resource-name arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN
--tag-keys Env
A client error (AccessDeniedException) occurred when calling the RemoveTagsFromResource
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform:
dms:RemoveTagsFromResource on resource: arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN
```
Die folgende Richtlinie beschränkt den Zugriff auf einen AWS DMS Endpunkt, dessen Tag-Wert „Desktop“ und der Tag-Schlüssel „Env“ ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"dms:*"
],
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringEquals": {
"dms:endpoint-tag/Env": [
"Desktop"
]
}
}
}
]
}
```
------
Die folgenden Befehle können erfolgreich ausgeführt werden oder schlagen fehl. Dies hängt von der IAM-Richtlinie ab, die den Zugriff einschränkt, wenn der Tag-Wert "Desktop" und der Tag-Schlüssel "Env" ist.
```
$ aws dms list-tags-for-resource
--resource-name arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I
{
"TagList": [
{
"Value": "Desktop",
"Key": "Env"
}
]
}
$ aws dms delete-endpoint
--endpoint-arn "arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I"
A client error (AccessDeniedException) occurred when calling the DeleteEndpoint
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform:
dms:DeleteEndpoint on resource: arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I
$ aws dms modify-endpoint
--endpoint-arn "arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I"
A client error (AccessDeniedException) occurred when calling the ModifyEndpoint
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform:
dms:ModifyEndpoint on resource: arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I
$ aws dms add-tags-to-resource
--resource-name arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I
--tags Key=CostCenter,Value=1234
A client error (AccessDeniedException) occurred when calling the AddTagsToResource
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform:
dms:AddTagsToResource on resource: arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I
$ aws dms remove-tags-from-resource
--resource-name arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I
--tag-keys Env
A client error (AccessDeniedException) occurred when calling the RemoveTagsFromResource
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform:
dms:RemoveTagsFromResource on resource: arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I
```
Die folgende Richtlinie beschränkt den Zugriff auf eine Replikationsaufgabe, bei der der Tag-Wert "Desktop" und der Tag-Schlüssel "Env" ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"dms:*"
],
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringEquals": {
"dms:task-tag/Env": [
"Desktop"
]
}
}
}
]
}
```
------
Die folgenden Befehle können erfolgreich ausgeführt werden oder schlagen fehl. Dies hängt von der IAM-Richtlinie ab, die den Zugriff einschränkt, wenn der Tag-Wert "Desktop" und der Tag-Schlüssel "Env" ist.
```
$ aws dms list-tags-for-resource
--resource-name arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3
{
"TagList": [
{
"Value": "Desktop",
"Key": "Env"
}
]
}
$ aws dms delete-replication-task
--replication-task-arn "arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3"
A client error (AccessDeniedException) occurred when calling the DeleteReplicationTask
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform:
dms:DeleteReplicationTask on resource: arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3
$ aws dms add-tags-to-resource
--resource-name arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3
--tags Key=CostCenter,Value=1234
A client error (AccessDeniedException) occurred when calling the AddTagsToResource
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform:
dms:AddTagsToResource on resource: arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3
$ aws dms remove-tags-from-resource
--resource-name arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3
--tag-keys Env
A client error (AccessDeniedException) occurred when calling the RemoveTagsFromResource
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform:
dms:RemoveTagsFromResource on resource: arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3
```
## Verschlüsselung für AWS DMS homogene Migrationen
AWS DMS Bei homogenen Migrationen werden auch Ressourcen verschlüsselt, die für Ihre Datenmigrationen verwendet werden, einschließlich Speicher und anderer Komponenten. Wenn Sie keinen vom Kunden verwalteten Schlüssel angeben, verwenden AWS DMS homogene Migrationen automatisch einen AWS eigenen Schlüssel zur Verschlüsselung Ihrer Ressourcen.
Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, werden bei AWS DMS homogenen Migrationen Zuschüsse für Ihren Schlüssel gewährt, sodass der Service Ressourcen nach Bedarf ver- und entschlüsseln kann. Diese Zuschüsse werden im Rahmen des Migrationslebenszyklus automatisch verwaltet.
**Verwendung eines vom Kunden verwalteten Schlüssels bei homogenen Migrationen**
Um einen vom Kunden verwalteten Schlüssel für Ihre homogene Migration zu verwenden, fügen Sie den IAM-Berechtigungen, die Sie dem IAM-Benutzerkonto zur Verwendung homogener Migrationen gewähren müssen, die folgenden Berechtigungen hinzu: AWS DMS
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey",
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"dms.us-west-2.amazonaws.com",
"elasticfilesystem.us-west-2.amazonaws.com"
]
}
}
}
```
DMS wird während des Migrationsprozesses eine interne Genehmigung für den Zugriff auf und die Verwaltung der Verschlüsselungsschlüssel einrichten. Um den CreateGrant Vorgang weiter einzugrenzen, können die folgenden Einschränkungen auf Ihre Richtlinie für vom Kunden verwaltete Schlüssel angewendet werden:
```
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ExampleRole"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"CreateGrant",
"DescribeKey",
"Encrypt",
"Decrypt",
"RetireGrant",
"GenerateDataKeyWithoutPlaintext"
]
},
"StringEquals": {
"kms:ViaService": [
"dms.us-west-2.amazonaws.com",
"elasticfilesystem.us-west-2.amazonaws.com"
]
}
}
}
```
**Wichtig**
Zusätzliche Einschränkungen des Verschlüsselungskontextes werden derzeit nicht unterstützt. Wenn Sie solche Einschränkungen einbeziehen, schlägt die Migration fehl.
## Einen Verschlüsselungsschlüssel festlegen und AWS KMS Berechtigungen angeben
AWS DMS verschlüsselt den von einer Replikationsinstanz verwendeten Speicher und die Verbindungsinformationen des Endpunkts. Verwendet zum Verschlüsseln des von einer Replikationsinstanz verwendeten Speichers einen AWS Key Management Service (AWS KMS) -Schlüssel, der nur für Ihr AWS Konto gilt. AWS DMS Sie können diesen Schlüssel mit AWS KMS anzeigen und verwalten. Sie können den Standard-KMS-Schlüssel in Ihrem Konto (`aws/dms`) verwenden oder Sie können einen benutzerdefinierten KMS-Schlüssel erstellen. Wenn Sie bereits über einen KMS-Schlüssel verfügen, können Sie auch diesen für die Verschlüsselung verwenden.
**Anmerkung**
Jeder benutzerdefinierte oder vorhandene AWS KMS Schlüssel, den Sie als Verschlüsselungsschlüssel verwenden, muss ein symmetrischer Schlüssel sein. AWS DMS unterstützt nicht die Verwendung von asymmetrischen Verschlüsselungsschlüsseln. Weitere Informationen zu symmetrischen und asymmetrischen Verschlüsselungsschlüsseln finden Sie unter [https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html) im *AWS Key Management Service -Entwicklerhandbuch*.
Der Standard-KMS-Schlüssel (`aws/dms`) wird erstellt, wenn Sie zum ersten Mal eine Replikations-Instance starten und keinen benutzerdefinierten KMS-Schlüssel aus dem Bereich **Erweitert** der Seite **Replikations-Instance erstellen** ausgewählt haben. Wenn Sie den Standard-KMS-Schlüssel verwenden, müssen Sie dem IAM-Benutzerkonto, das Sie für die Migration verwenden, nur die Berechtigungen `kms:ListAliases` und `kms:DescribeKey` erteilen. Weitere Informationen zum Verwenden des Standard-KMS-Schlüssels finden Sie unter [Für die Verwendung sind IAM-Berechtigungen erforderlich AWS DMS](security-iam.md#CHAP_Security.IAMPermissions).
Um einen benutzerdefinierten KMS-Schlüssel zu verwenden, weisen Sie Berechtigungen für den benutzerdefinierten KMS-Schlüssel mithilfe einer der folgenden Optionen zu:
+ Fügen Sie das für die Migration verwendete IAM-Benutzerkonto als Schlüsseladministrator oder Schlüsselbenutzer für den AWS KMS benutzerdefinierten Schlüssel hinzu. Auf diese Weise wird sichergestellt, dass dem IAM-Benutzerkonto die erforderlichen AWS KMS -Berechtigungen erteilt werden. Diese Aktion besteht zusätzlich zu den IAM-Berechtigungen, die Sie dem IAM-Benutzerkonto für die Nutzung von AWS DMS erteilen müssen. Weitere Informationen zum Erteilen von Berechtigungen für einen Schlüsselbenutzer finden Sie unter [Gestattet Schlüsselbenutzern die Verwendung des KMS-Schlüssels](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users) im *AWS Key Management Service -Entwicklerhandbuch*.
+ Wenn Sie das IAM-Benutzerkonto nicht als Schlüsseladministrator oder Schlüsselbenutzer für Ihren benutzerdefinierten KMS-Schlüssel hinzufügen möchten, dann fügen Sie folgende zusätzliche Berechtigungen zu den IAM-Berechtigungen hinzu, die Sie dem IAM-Benutzerkonto für die Nutzung von AWS DMS erteilen müssen.
```
{
"Effect": "Allow",
"Action": [
"kms:ListAliases",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:Encrypt",
"kms:ReEncrypt*"
],
"Resource": "*"
},
```
AWS DMS funktioniert auch mit KMS-Schlüsselaliasen. Weitere Informationen zum Erstellen Ihrer eigenen AWS KMS -Schlüssel und zum Gewähren des Zugriffs auf einen KMS-Schlüssel für Benutzer finden Sie im *[AWS KMS -Entwicklerhandbuch](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)*.
Wenn Sie keine KMS-Schlüssel-ID angeben, wird Ihr Standard-Verschlüsselungsschlüssel AWS DMS verwendet. AWS KMS erstellt den Standardverschlüsselungsschlüssel AWS DMS für Ihr AWS Konto. Ihr AWS Konto hat für jede AWS Region einen anderen Standard-Verschlüsselungsschlüssel.
Um die AWS KMS Schlüssel zu verwalten, die für die Verschlüsselung Ihrer AWS DMS Ressourcen verwendet werden, verwenden Sie den AWS Key Management Service. AWS KMS kombiniert sichere, hochverfügbare Hardware und Software, um ein für die Cloud skaliertes Schlüsselverwaltungssystem bereitzustellen. Mithilfe AWS KMS können Sie Verschlüsselungsschlüssel erstellen und die Richtlinien definieren, die steuern, wie diese Schlüssel verwendet werden können.
**Sie finden AWS KMS in der AWS-Managementkonsole**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Konsole AWS Key Management Service (AWS KMS) unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Wählen Sie eine der folgenden Optionen, um mit Schlüsseln zu arbeiten: AWS KMS
+ Um die Schlüssel in Ihrem Konto anzuzeigen, das für Sie AWS erstellt und verwaltet wird, wählen Sie im Navigationsbereich die Option **AWS Verwaltete Schlüssel** aus.
+ Zum Anzeigen der Schlüssel in Ihrem Konto, die Sie erstellen und verwalten, wählen Sie im Navigationsbereich **Customer managed keys (Vom Kunden verwaltete Schlüssel)** aus.
AWS KMS unterstützt AWS CloudTrail, sodass Sie die Verwendung von Schlüsseln überprüfen können, um sicherzustellen, dass die Schlüssel ordnungsgemäß verwendet werden. Ihre AWS KMS Schlüssel können in Kombination mit AWS DMS und unterstützten AWS Diensten wie Amazon RDS, Amazon S3, Amazon Redshift und Amazon EBS verwendet werden.
Sie können auch benutzerdefinierte AWS KMS Schlüssel speziell zur Verschlüsselung von Zieldaten für die folgenden Endpunkte erstellen: AWS DMS
+ Amazon Redshift – Weitere Informationen finden Sie unter [Erstellen und Verwenden von AWS KMS Schlüsseln zur Verschlüsselung von Amazon Redshift Redshift-Zieldaten](CHAP_Target.Redshift.md#CHAP_Target.Redshift.KMSKeys).
+ Amazon S3 – Weitere Informationen finden Sie unter [AWS KMS Schlüssel zur Verschlüsselung von Amazon S3 S3-Zielobjekten erstellen](CHAP_Target.S3.md#CHAP_Target.S3.KMSKeys).
Nachdem Sie Ihre AWS DMS Ressourcen mit einem KMS-Schlüssel erstellt haben, können Sie den Verschlüsselungsschlüssel für diese Ressourcen nicht mehr ändern. Stellen Sie sicher, dass Sie Ihre Anforderungen an den Verschlüsselungsschlüssel ermitteln, bevor Sie Ihre AWS DMS Ressourcen erstellen.
## Netzwerksicherheit für AWS Database Migration Service
Die Sicherheitsanforderungen für das Netzwerk, das Sie bei der Verwendung erstellen, AWS Database Migration Service hängen davon ab, wie Sie das Netzwerk konfigurieren. Die allgemeinen Regeln für die Netzwerksicherheit für AWS DMS lauten wie folgt:
+ Die Replikations-Instance muss Zugriff auf die Quell- und Zielendpunkte haben. Die Sicherheitsgruppe für die Replikationsinstanz muss über ein Netzwerk ACLs oder Regeln verfügen, die den Ausgang von der Instance über den Datenbankport zu den Datenbank-Endpunkten zulassen.
+ Datenbank-Endpunkte müssen Netzwerk ACLs - und Sicherheitsgruppenregeln enthalten, die den eingehenden Zugriff von der Replikationsinstanz aus ermöglichen. Sie können dies mithilfe der Sicherheitsgruppe der Replikations-Instance, der privaten IP-Adresse, der öffentlichen IP-Adresse oder der öffentlichen Adresse des NAT-Gateways erreichen, je nach Konfiguration.
+ Wenn Ihr Netzwerk einen VPN-Tunnel verwendet, muss die Amazon-EC2-Instance, die als NAT-Gateway fungiert, eine Sicherheitsgruppe mit Regeln verwenden, die der Replikations-Instance erlauben, Datenverkehr durch sie zu senden.
Standardmäßig verfügt die von der AWS DMS Replikationsinstanz verwendete VPC-Sicherheitsgruppe über Regeln, die den Ausgang bis 0.0.0.0/0 an allen Ports zulassen. Wenn Sie diese Sicherheitsgruppe ändern oder Ihre eigene Sicherheitsgruppe Egress verwenden, muss der Ausgang mindestens zu den Quell- und Zielendpunkten auf den jeweiligen Datenbankports zugelassen werden.
Die Netzwerkkonfigurationen, die Sie für die Datenbankmigration verwenden können, erfordern spezifische Sicherheitsüberlegungen:
+ [Konfiguration mit allen Datenbankmigrationskomponenten in einer VPC](CHAP_ReplicationInstance.VPC.md#CHAP_ReplicationInstance.VPC.Configurations.ScenarioAllVPC) – Die Sicherheitsgruppe, die von den Endpunkten verwendet wird, muss den Eingang über den Datenbankport von der Replikations-Instance erlauben. Stellen Sie sicher, dass die von der Replikations-Instance verwendete Sicherheitsgruppe Eingang zu den Endpunkten hat, oder Sie können eine Regel in der von den Endpunkten verwendeten Sicherheitsgruppe erstellen, die der privaten IP-Adresse der Replikations-Instance den Zugriff erlaubt.
+ [Konfiguration mit mehreren VPCs](CHAP_ReplicationInstance.VPC.md#CHAP_ReplicationInstance.VPC.Configurations.ScenarioVPCPeer) – Die Sicherheitsgruppe, die von der Replikations-Instance verwendet wird, muss eine Regel für den VPC-Bereich und den DB-Port auf der Datenbank haben.
+ [Konfiguration für ein Netzwerk zu einer VPC unter Verwendung Direct Connect eines VPN](CHAP_ReplicationInstance.VPC.md#CHAP_ReplicationInstance.VPC.Configurations.ScenarioDirect) – ein VPN-Tunnel, der Datenverkehr durch einen Tunnel aus der VPC in ein On-Premises-VPN erlaubt. Bei dieser Konfiguration enthält das VPC eine Routing-Regel, die Datenverkehr, der für eine IP-Adresse oder einen IP-Bereich bestimmt ist, zu einem Host sendet, der den Datenverkehr aus der VPC in das lokale VPN leiten kann. In diesem Fall verfügt der NAT-Host über eigene Sicherheitsgruppeneinstellungen, die den Datenverkehr von der privaten IP-Adresse oder Sicherheitsgruppe der Replikations-Instance zur NAT-Instance zulassen müssen.
+ [Konfiguration für ein Netzwerk zu einer VPC über das Internet](CHAP_ReplicationInstance.VPC.md#CHAP_ReplicationInstance.VPC.Configurations.ScenarioInternet) – Die VPC-Sicherheitsgruppe muss Routing-Regeln enthalten, die den nicht für die VPC bestimmten Datenverkehr an das Internet-Gateway sendet. In dieser Konfiguration scheint es, dass die Verbindung zum Endpunkt von der öffentlichen IP-Adresse auf der Replikations-Instance kommt.
+ [Konfiguration mit einer RDS-DB-Instance, die sich nicht in einer VPC befindet, zu einer DB-Instance in einer VPC mit ClassicLink](CHAP_ReplicationInstance.VPC.md#CHAP_ReplicationInstance.VPC.Configurations.ClassicLink)— Wenn sich die Amazon RDS-DB-Quell- oder Zielinstanz nicht in einer VPC befindet und auch keine Sicherheitsgruppe mit der VPC teilt, in der sich die Replikationsinstanz befindet, können Sie einen Proxy-Server einrichten und ihn verwenden, ClassicLink um die Quell- und Zieldatenbank zu verbinden.
+ **Der Quellendpunkt befindet sich außerhalb der von der Replikations-Instance verwendeten VPC (über NAT-Gateway)** – Sie können ein Network Address Translation (NAT)-Gateway mit einer einzelnen Elastic-IP-Adresse konfigurieren, die an eine einzelne Elastic-Network-Schnittstelle gebunden ist. Diese Elastic Network-Schnittstelle empfängt dann eine NAT-Kennung (nat- \$1 \$1 \$1 \$1 \$1). Wenn die VPC eine Standardroute zu diesem NAT-Gateway anstatt zum Internet-Gateway enthält, scheint die Replikations-Instance den Datenbankendpunkt mit der öffentlichen IP-Adresse des Internet-Gateways zu kontaktieren. In diesem Fall muss der Eingang zum Datenbankendpunkt außerhalb der VPC den Eingang von der NAT-Adresse anstatt von der öffentlichen IP-Adresse der Replikations-Instance erlauben.
+ **VPC-Endpunkte für Nicht-RDBMS-Engines** – AWS DMS unterstützt keine VPC-Endpunkte für Nicht-RDBMS-Engines.
# Verwenden von SSL mit AWS Database Migration Service
Sie können Verbindungen für Quell- und Zielendpunkte mithilfe von SSL (Secure Sockets Layer) verschlüsseln. Dazu können Sie die AWS DMS Management Console oder AWS DMS API verwenden, um einem Endpunkt ein Zertifikat zuzuweisen. Sie können die AWS DMS Konsole auch verwenden, um Ihre Zertifikate zu verwalten.
Nicht alle Datenbanken verwenden SSL auf die gleiche Weise. Amazon Aurora MySQL-Compatible Edition verwendet den Servernamen, den Endpunkt der primären Instance im Cluster, als Endpunkt für SSL. Ein Amazon Redshift-Endpunkt verwendet bereits eine SSL-Verbindung und erfordert nicht die Einrichtung einer SSL-Verbindung durch AWS DMS. Ein Oracle-Endpunkt erfordert zusätzliche Schritte. Weitere Informationen finden Sie unter [SSL-Unterstützung für einen Oracle-Endpunkt](CHAP_Source.Oracle.md#CHAP_Security.SSL.Oracle).
**Topics**
+ [Einschränkungen bei der Verwendung von SSL mit AWS DMS](#CHAP_Security.SSL.Limitations)
+ [Verwalten von Zertifikaten](#CHAP_Security.SSL.ManagingCerts)
+ [Aktivieren von SSL für einen MySQL-kompatiblen, PostgreSQL- oder SQL Server-Endpunkt](#CHAP_Security.SSL.Procedure)
Um eine sichere Verbindung herzustellen, geben Sie das Stammzertifikat oder die Kette von CA-Zwischenzertifikaten an, die zum Stammzertifikat führen (als Zertifikatspaket), mit dem das SSL-Zertifikat des Servers am Endpunkt signiert wurde. Zertifikate werden nur als PEM-formatierte X.509-Dateien akzeptiert. Wenn Sie ein Zertifikat importieren, erhalten Sie einen ARN (Amazon Resource Name), mit dem Sie dieses Zertifikat für einen Endpunkt angeben können. Wenn Sie Amazon RDS verwenden, können Sie die Stammzertifizierungsstelle und das Zertifikatbündel herunterladen, die in der von Amazon RDS gehosteten `rds-combined-ca-bundle.pem`-Datei bereitgestellt werden. Weitere Informationen zum Herunterladen dieser Datei finden Sie unter [Verwenden, SSL/TLS um eine Verbindung zu einer DB-Instance zu verschlüsseln](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html) im *Amazon RDS-Benutzerhandbuch*.
Sie können verschiedene SSL-Modi für die Überprüfung des SSL-Zertifikats auswählen.
+ **none** – Die Verbindung ist nicht verschlüsselt. Diese Option ist nicht sicher, erfordert jedoch weniger Aufwand.
+ **require** – Die Verbindung ist mit SSL (TLS) verschlüsselt, es wird aber keine CA-Verifizierung durchgeführt. Diese Option ist sicherer und erfordert mehr Aufwand.
+ **verify-ca** – Die Verbindung ist verschlüsselt. Diese Option ist sicherer und erfordert mehr Aufwand. Diese Option überprüft das Serverzertifikat.
+ **verify-full** – Die Verbindung ist verschlüsselt. Diese Option ist sicherer und erfordert mehr Aufwand. Diese Option überprüft das Serverzertifikat und prüft, ob der Server-Hostname dem Hostnamen-Attribut für das Zertifikat entspricht.
Nicht alle SSL-Modi funktionieren mit allen Datenbankendpunkten. Die folgende Tabelle zeigt, welche SSL-Modi für jede Datenbank-Engine unterstützt werden.
| DB-Engine | **Keine** | **require** | **verify-ca** | **verify-full** |
| --- | --- | --- | --- | --- |
| MySQL/MariaDB/AmazonAurora MySQL | Standard | Nicht unterstützt | Unterstützt | Unterstützt |
| Microsoft SQL Server | Standard | Unterstützt | Nicht unterstützt | Unterstützt |
| PostgreSQL | Standard | Unterstützt | Unterstützt | Unterstützt |
| Amazon Redshift | Standard | SSL nicht aktiviert | SSL nicht aktiviert | SSL nicht aktiviert |
| Oracle | Standard | Nicht unterstützt | Unterstützt | Nicht unterstützt |
| SAP ASE | Standard | SSL nicht aktiviert | SSL nicht aktiviert | Unterstützt |
| MongoDB | Standard | Unterstützt | Nicht unterstützt | Unterstützt |
| Db2 LUW | Standard | Nicht unterstützt | Unterstützt | Nicht unterstützt |
| Db2 für z/OS | Standard | Nicht unterstützt | Unterstützt | Nicht unterstützt |
**Anmerkung**
Die Option SSL-Modus auf der DMS-Konsole oder API gilt nicht für einige Daten-Streaming- und NoSQL-Dienste wie Kinesis und DynamoDB. Sie sind standardmäßig sicher, daher zeigt DMS an, dass die Einstellung für den SSL-Modus auf „Keine“ gesetzt ist (**VSSL-Modus=Keine**). Sie müssen keine zusätzliche Konfiguration für Ihren Endpunkt angeben, um SSL verwenden zu können. Wenn Sie beispielsweise Kinesis als Zielendpunkt verwenden, ist dies standardmäßig sicher. Alle API-Aufrufe an Kinesis verwenden SSL, so dass keine zusätzliche SSL-Option am DMS-Endpunkt erforderlich ist. Mithilfe des HTTPS-Protokolls, das DMS standardmäßig verwendet, wenn eine Verbindung zu einem Kinesis-Datenstrom hergestellt wird, können Sie Daten sicher über SSL-Endpunkte speichern und abrufen.
## Einschränkungen bei der Verwendung von SSL mit AWS DMS
Im Folgenden finden Sie Einschränkungen bei der Verwendung von SSL mit AWS DMS:
+ SSL-Verbindungen zu Amazon Redshift Redshift-Zielendpunkten werden nicht unterstützt. AWS DMS verwendet einen Amazon S3 S3-Bucket, um Daten in die Amazon Redshift Redshift-Datenbank zu übertragen. Diese Übertragung wird von Amazon Redshift standardmäßig verschlüsselt.
+ SQL-Timeouts können auftreten, wenn CDC Aufgaben (Change Data Capture) mit SSL-fähigen Oracle-Endpunkten durchgeführt werden. Wenn dieses Problem auftritt, wobei CDC-Zähler nicht die erwarteten Zahlen anzeigen, legen Sie den Parameter `MinimumTransactionSize` aus dem Abschnitt `ChangeProcessingTuning` der Aufgabeneinstellungen auf einen niedrigeren Wert fest. Sie können mit einem Wert von 100 beginnen. Weitere Informationen zum Parameter `MinimumTransactionSize` erhalten Sie unter [Einstellungen für die Optimierung der Verarbeitung von Änderungen](CHAP_Tasks.CustomizingTasks.TaskSettings.ChangeProcessingTuning.md).
+ Sie können Zertifikate nur in den Formaten .pem und .sso (Oracle Wallet) importieren.
+ In einigen Fällen wird Ihr Server-SSL-Zertifikat möglicherweise von einer Zwischenzertifizierungsstelle signiert. Wenn dies der Fall ist, stellen Sie sicher, dass die gesamte Zertifikatkette, die von der Zwischenzertifizierungsstelle bis zur Stammzertifizierungsstelle führt, als einzelne .pem-Datei importiert wird.
+ Wenn Sie selbstsignierte Zertifikate auf Ihrem Server verwenden, wählen Sie **require** als SSL-Modus aus. Der SSL-Modus **require (erforderlich)** vertraut dem SSL-Zertifikat des Servers implizit und prüft nicht, ob das Zertifikat von einer Zertifizierungsstelle signiert wurde.
+ AWS DMS unterstützt TLS Version 1.3 für MySQL und MariaDb Endpoints nicht.
## Verwalten von Zertifikaten
Sie können mithilfe der DMS-Konsole Ihre SSL-Zertifikate anzeigen und verwalten. Sie können auch Ihre Zertifikate mithilfe der DMS-Konsole importieren.
![\[AWS Database Migration Service Verwaltung von SSL-Zertifikaten\]](http://docs.aws.amazon.com/de_de/dms/latest/userguide/images/datarep-certificatemgr.png)
## Aktivieren von SSL für einen MySQL-kompatiblen, PostgreSQL- oder SQL Server-Endpunkt
Sie können eine SSL-Verbindung zu einem neu erstellten Endpunkt oder zu einem vorhandenen Endpunkt hinzufügen.
**Um einen AWS DMS Endpunkt mit SSL zu erstellen**
1. Melden Sie sich bei [https://console.aws.amazon.com/dms/v2/](https://console.aws.amazon.com/dms/v2/) an AWS-Managementkonsole und öffnen Sie die AWS DMS Konsole.
Wenn Sie als AWS Identity and Access Management (IAM-) Benutzer angemeldet sind, stellen Sie sicher, dass Sie über die entsprechenden Zugriffsberechtigungen verfügen. AWS DMS Weitere Informationen zu den erforderlichen Berechtigungen für die Datenbankmigration finden Sie unter [Für die Verwendung sind IAM-Berechtigungen erforderlich AWS DMS](security-iam.md#CHAP_Security.IAMPermissions).
1. Wählen Sie im Navigationsbereich **Certificates** aus.
1. Wählen Sie **Import Certificate** aus.
1. Laden Sie das Zertifikat hoch, das Sie zur Verschlüsselung der Verbindung zu einem Endpunkt verwenden möchten.
**Anmerkung**
Sie können ein Zertifikat auch über die AWS DMS Konsole hochladen, wenn Sie einen Endpunkt erstellen oder ändern, indem Sie auf der Seite **Datenbank-Endpunkt erstellen** die Option **Neues CA-Zertifikat hinzufügen** auswählen.
Für Aurora Serverless als Ziel holen Sie sich das unter [Using TLS/SSL with Aurora Serverless](https://docs.aws.amazon.com//AmazonRDS/latest/AuroraUserGuide/aurora-serverless.html#aurora-serverless.tls) erwähnte Zertifikat.
1. Erstellen Sie einen Endpunkt wie beschrieben unter [Schritt 2: Angeben von Quell- und Zielendpunkten](CHAP_GettingStarted.Replication.md#CHAP_GettingStarted.Replication.Endpoints)
**Um einen vorhandenen AWS DMS Endpunkt für die Verwendung von SSL zu ändern**
1. Melden Sie sich bei [https://console.aws.amazon.com/dms/v2/](https://console.aws.amazon.com/dms/v2/) an AWS-Managementkonsole und öffnen Sie die AWS DMS Konsole.
Wenn Sie als IAM-Benutzer angemeldet sind, müssen Sie über die entsprechenden Berechtigungen für den Zugriff auf AWS DMS verfügen. Weitere Informationen zu den erforderlichen Berechtigungen für die Datenbankmigration finden Sie unter [Für die Verwendung sind IAM-Berechtigungen erforderlich AWS DMS](security-iam.md#CHAP_Security.IAMPermissions).
1. Wählen Sie im Navigationsbereich **Certificates** aus.
1. Wählen Sie **Import Certificate** aus.
1. Laden Sie das Zertifikat hoch, das Sie zur Verschlüsselung der Verbindung zu einem Endpunkt verwenden möchten.
**Anmerkung**
Sie können ein Zertifikat auch mithilfe der AWS DMS Konsole hochladen, wenn Sie einen Endpunkt erstellen oder ändern, indem Sie auf der Seite **Datenbankendpunkt erstellen** die Option **Neues CA-Zertifikat hinzufügen** auswählen.
1. Wählen Sie im Navigationsbereich die Option **Endpoints** aus. Wählen Sie dann den Endpunkt aus, den Sie ändern möchten, und klicken Sie auf **Modify**.
1. Wählen Sie einen Wert für den **SSL-Modus**.
Wenn Sie den Modus **verify-ca** oder **verify-full** auswählen, geben Sie das Zertifikat an, das Sie für das **CA-Zertifikat** verwenden möchten (siehe unten).
![\[AWS Database Migration Service Verwaltung von SSL-Zertifikaten\]](http://docs.aws.amazon.com/de_de/dms/latest/userguide/images/datarep-certificate2.png)
1. Wählen Sie **Ändern** aus.
1. Wenn der Endpunkt geändert wurde, wählen Sie den Endpunkt aus, und klicken Sie auf **Test connection (Verbindung prüfen)**, um festzustellen, ob die SSL-Verbindung funktioniert.
Nachdem Sie die Quell- und Zielendpunkte erstellt haben, erstellen Sie eine Aufgabe, die diese Endpunkte verwendet. Weitere Informationen zum Erstellen einer Aufgabe finden Sie unter [Schritt 3: Erstellen einer Aufgabe und Migrieren der Daten](CHAP_GettingStarted.Replication.md#CHAP_GettingStarted.Replication.Tasks).
## Ändern des Datenbankpassworts
In den meisten Fällen lässt sich das Datenbankpasswort für Ihren Quell- oder Zielendpunkt einfach ändern. Wenn Sie das Datenbankkennwort für einen Endpunkt ändern müssen, den Sie derzeit in einer Migrations- oder Replikationsaufgabe verwenden, sind einige zusätzliche Schritte erforderlich. Das folgende Verfahren zeigt, wie Sie dies tun können.
**So ändern Sie das Datenbankpasswort für einen Endpunkt in einer Migrations- oder Replikationsaufgabe**
1. Melden Sie sich bei [https://console.aws.amazon.com/dms/v2/](https://console.aws.amazon.com/dms/v2/) an AWS-Managementkonsole und öffnen Sie die AWS DMS Konsole.
Wenn Sie als IAM-Benutzer angemeldet sind, müssen Sie über die entsprechenden Berechtigungen für den Zugriff auf AWS DMS verfügen. Weitere Informationen zu den erforderlichen Berechtigungen finden Sie unter [Für die Verwendung sind IAM-Berechtigungen erforderlich AWS DMS](security-iam.md#CHAP_Security.IAMPermissions).
1. Wählen Sie im Navigationsbereich die Option **Datenbankmigrationsaufgaben** aus.
1. Wählen Sie die Aufgabe aus, die den Endpunkt verwendet, für den Sie das Datenbankpasswort ändern möchten, und klicken Sie dann auf **Stop**.
1. Während die Aufgabe beendet wird, können Sie das Passwort der Datenbank für den Endpunkt mithilfe der nativen Tools ändern, die Sie für die Arbeit mit der Datenbank verwenden.
1. Kehren Sie zur DMS Management Console zurück und wählen Sie im Navigationsbereich **Endpoints** aus.
1. Wählen Sie den Endpunkt für die Datenbank aus, für die Sie das Passwort geändert haben, und klicken Sie dann auf **Modify**.
1. Geben Sie das neue Passwort in das Feld **Passwort** ein und wählen Sie **Ändern** aus.
1. Wählen Sie im Navigationsbereich die Option **Datenbankmigrationsaufgaben** aus.
1. Wählen Sie die Aufgabe aus, die Sie zuvor gestoppt haben, und wählen Sie **Neustart/Fortsetzen** aus.
1. Wählen Sie entweder **Neustart** oder **Fortsetzen** aus, je nachdem, wie Sie mit der Aufgabe fortfahren möchten, und wählen Sie dann **Aufgabe starten** aus.
# Verwenden der Kerberos-Authentifizierung mit AWS Database Migration Service
Ab DMS v3.5.3 können Sie Ihren Oracle- oder SQL Server-Quellendpunkt so konfigurieren, dass er mithilfe der Kerberos-Authentifizierung eine Verbindung zu Ihrer Datenbankinstanz herstellt. DMS-Unterstützung Directory Service für Microsoft Active Directory und Kerberos-Authentifizierung. Weitere Informationen zum AWS verwalteten Zugriff auf Microsoft Active Directory Services finden Sie unter [Was ist Directory Service?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) .
## AWS DMS Überblick über die Kerberos-Authentifizierungsarchitektur
Das folgende Diagramm bietet einen allgemeinen Überblick über den AWS DMS Kerberos-Authentifizierungsworkflow.
![\[Architektur der Kerberos-Authentifizierung\]](http://docs.aws.amazon.com/de_de/dms/latest/userguide/images/datarep-kerberos-architecture.jpg)
## Einschränkungen bei der Verwendung der Kerberos-Authentifizierung mit AWS DMS
Die folgenden Einschränkungen gelten bei der Verwendung der Kerberos-Authentifizierung mit: AWS DMS
+ DMS-Replikationsinstanzen unterstützen eine `krb5.conf` Kerberos-Datei und eine Keycache-Datei.
+ Sie müssen die Kerberos-Keycache-Datei in Secrets Manager mindestens 30 Minuten vor Ablauf des Tickets aktualisieren.
+ Ein Kerberos-fähiger DMS-Endpunkt funktioniert nur mit einer Kerberos-fähigen DMS-Replikationsinstanz.
## Voraussetzungen
Zu Beginn müssen Sie die folgenden Voraussetzungen auf einem vorhandenen Active Directory- oder Kerberos-authentifizierten Host erfüllen:
+ Richten Sie eine Active Directory-Vertrauensstellung mit Ihrem lokalen AD ein. Weitere Informationen finden Sie unter [Tutorial: Erstellen Sie eine Vertrauensbeziehung zwischen Ihrem AWS verwalteten Microsoft AD und Ihrer selbstverwalteten Active Directory-Domäne](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust.html).
+ Bereiten Sie eine vereinfachte Version der `krb5.conf` Kerberos-Konfigurationsdatei vor. Fügen Sie Informationen über den Bereich, den Standort der Domain-Admin-Server und Zuordnungen von Hostnamen zu einem Kerberos-Bereich hinzu. Sie müssen überprüfen, ob der `krb5.conf` Inhalt mit der richtigen Groß- und Kleinschreibung für die Realms- und Domänenbereichsnamen formatiert ist. Beispiel:
```
[libdefaults]
dns_lookup_realm = true
dns_lookup_kdc = true
forwardable = true
default_realm = MYDOMAIN.ORG
[realms]
MYDOMAIN.ORG = {
kdc = mydomain.org
admin_server = mydomain.org
}
[domain_realm]
.mydomain.org = MYDOMAIN.ORG
mydomain.org = MYDOMAIN.ORG
```
+ Bereiten Sie eine Kerberos-Keycache-Datei vor. Die Datei enthält temporäre Kerberos-Anmeldeinformationen mit den Client-Prinzipalinformationen. In der Datei wird das Passwort des Clients nicht gespeichert. Ihre DMS-Aufgabe verwendet diese Cache-Ticketinformationen, um zusätzliche Anmeldeinformationen ohne Passwort abzurufen. Führen Sie die folgenden Schritte auf einem vorhandenen Active Directory- oder Kerberos-authentifizierten Host aus, um eine Keycache-Datei zu generieren.
+ Erstellen Sie eine Kerberos-Keytab-Datei. **Sie können eine Keytab-Datei mit den Hilfsprogrammen **kutil** oder ktpass generieren.**
Weitere Informationen zum Microsoft-Hilfsprogramm **ktpass** finden Sie unter [ktpass](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/ktpass) in der *Windows Server-Dokumentation*.
*Weitere Informationen zum MIT-Hilfsprogramm kutil finden Sie unter **[kutil](https://web.mit.edu/kerberos/krb5-1.12/doc/admin/admin_commands/ktutil.html)** in der MIT-Kerberos-Dokumentation.*
+ **Erstellen Sie mit dem Hilfsprogramm kinit eine Kerberos-Keycache-Datei aus einer Keytab-Datei.** [https://web.mit.edu/kerberos/krb5-1.12/doc/user/user_commands/kinit.html](https://web.mit.edu/kerberos/krb5-1.12/doc/user/user_commands/kinit.html)
+ Speichern Sie die Kerberos-Keycache-Datei mithilfe des Parameters in Secrets Manager. `SecretBinary` Wenn Sie die Keycache-Datei in Secrets Manager hochladen, ruft DMS sie ab und aktualisiert dann die lokale Cache-Datei etwa alle 30 Minuten. Wenn die lokale Keycache-Datei den vordefinierten Ablaufzeitstempel überschreitet, stoppt DMS die Aufgabe ordnungsgemäß. Um Authentifizierungsfehler während einer laufenden Replikationsaufgabe zu vermeiden, aktualisieren Sie die Keycache-Datei in Secrets Manager mindestens 30 Minuten vor Ablauf des Tickets. Weitere Informationen finden Sie unter [createsecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html) in der *Secrets Manager* API-Referenz. Das folgende AWS CLI Beispiel zeigt, wie die Keycache-Datei im Binärformat in Secrets Manager gespeichert wird:
```
aws secretsmanager create-secret —name keycache —secret-binary fileb://keycachefile
```
+ Erteilen Sie einer IAM-Rolle die `DescribeSecret` Berechtigungen `GetSecretValue` und, um die Keycache-Datei von Secrets Manager abzurufen. Stellen Sie sicher, dass die IAM-Rolle die `dms-vpc-role` Vertrauensrichtlinie enthält. Weitere Informationen zur `dms-vpc-role` Vertrauensrichtlinie finden Sie unter[Die IAM-Rollen zur Verwendung mit erstellen AWS DMS](security-iam.md#CHAP_Security.APIRole).
Das folgende Beispiel zeigt eine IAM-Rollenrichtlinie mit dem Secrets Manager `GetSecretValue` und `DescribeSecret` Berechtigungen. Der ** Wert ist der Keycache Secrets Manager ARN, den Sie im vorherigen Schritt erstellt haben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Resource": "*"
}
]
}
```
------
## Aktivierung der Kerberos-Unterstützung auf einer AWS DMS-Replikationsinstanz
Kerberos-Bereiche sind identisch mit Domänen in Windows. Um einen Prinzipalbereich aufzulösen, stützt sich Kerberos auf einen Domain Name Service (DNS). Wenn Sie den `dns-name-servers` Parameter festlegen, verwendet Ihre Replikationsinstanz Ihre vordefinierten benutzerdefinierten DNS-Server, um die Kerberos-Domänenbereiche aufzulösen. Eine weitere alternative Option zur Lösung von Kerberos-Realm-Abfragen besteht darin, Amazon Route 53 auf der Replikationsinstanz Virtual Private Cloud (VPC) zu konfigurieren. [Weitere Informationen finden Sie unter Route 53.](https://docs.aws.amazon.com/route53/)
### Aktivierung der Kerberos-Unterstützung auf einer DMS-Replikationsinstanz mithilfe der AWS-Managementkonsole
**Um die Kerberos-Unterstützung über die Konsole zu aktivieren, geben Sie die folgenden Informationen im Abschnitt **Kerberos-Authentifizierung auf der Seite** Replikationsinstanz **erstellen oder Replikationsinstanz** ändern ein:**
+ Der Inhalt Ihrer Datei `krb5.conf`
+ Der ARN des Secrets Manager Manager-Geheimnisses, das die Keycache-Datei enthält
+ Der ARN der IAM-Rolle, die Zugriff auf den Secret Manager (ARN) und Berechtigungen zum Abrufen der Keycache-Datei hat
### Aktivierung der Kerberos-Unterstützung auf einer DMS-Replikationsinstanz mithilfe der AWS CLI
Mit dem folgenden AWS CLI Beispielaufruf wird eine private DMS-Replikationsinstanz mit Kerberos-Unterstützung erstellt. Die Replikationsinstanz verwendet ein benutzerdefiniertes DNS, um den Kerberos-Bereich aufzulösen. Weitere Informationen finden Sie unter [create-replication-instance](https://docs.aws.amazon.com/cli/latest/reference/dms/create-replication-instance.html).
```
aws dms create-replication-instance
--replication-instance-identifier my-replication-instance
--replication-instance-class dms.t2.micro
--allocated-storage 50
--vpc-security-group-ids sg-12345678
--engine-version 3.5.4
--no-auto-minor-version-upgrade
--kerberos-authentication-settings'{"KeyCacheSecretId":,"KeyCacheSecretIamArn":,"Krb5FileContents":}'
--dns-name-servers
--no-publicly-accessible
```
## Aktivierung der Kerberos-Unterstützung auf einem Quellendpunkt
Bevor Sie die Kerberos-Authentifizierung auf einem DMS-Oracle- oder SQL-Server-Quellendpunkt aktivieren, stellen Sie sicher, dass Sie sich mit dem Kerberos-Protokoll von einem Client-Computer aus bei der Quelldatenbank authentifizieren können. Sie können das AWS DMS Diagnose-AMI verwenden, um eine Amazon EC2 EC2-Instance auf derselben VPC wie die Replikationsinstanz zu starten und anschließend die Kerberos-Authentifizierung zu testen. Weitere Informationen zum AMI finden Sie unter[Arbeiten mit dem AWS DMS Diagnosesupport AMI](CHAP_SupportAmi.md).
### Verwenden der AWS DMS-Konsole
Wählen **Sie unter Zugriff auf die Endpunktdatenbank** die Option **Kerberos-Authentifizierung** aus.
### Verwenden Sie den AWS CLI
Geben Sie den Endpunkteinstellungsparameter und die `AuthenticationMethod` Option als Kerberos an. Beispiel:
**Oracle**
```
aws dms create-endpoint
--endpoint-identifier my-endpoint
--endpoint-type source
--engine-name oracle
--username dmsuser@MYDOMAIN.ORG
--server-name mydatabaseserver
--port 1521
--database-name mydatabase
--oracle-settings "{\"AuthenticationMethod\": \"kerberos\"}"
```
**SQL Server**
```
aws dms create-endpoint
--endpoint-identifier my-endpoint
--endpoint-type source
--engine-name sqlserver
--username dmsuser@MYDOMAIN.ORG
--server-name mydatabaseserver
--port 1433
--database-name mydatabase
--microsoft-sql-server-settings "{\"AuthenticationMethod\": \"kerberos\"}"
```
## Testen eines Quellendpunkts
Sie müssen den Kerberos-fähigen Endpunkt anhand einer Kerberos-fähigen Replikationsinstanz testen. Wenn Sie die Replikationsinstanz oder den Quellendpunkt nicht ordnungsgemäß für die Kerberos-Authentifizierung konfigurieren, schlägt die Endpunktaktion fehl und es kann zu Kerberos-bezogenen Fehlern kommen. `test-connection` [Weitere Informationen finden Sie unter Test-Verbindung.](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/dms/test-connection.html)