AWS verwaltete Richtlinien für AWS Database Migration Service - AWS Database Migration Service
DMSVPCManagementRolle bei AmazonAWSDMSServerlessServiceRolePolicyAmazon DMSCloud WatchLogsRoleAWSDMSFleetAdvisorServiceRolePolicyAmazon DMSRedshift S3-RolleRichtlinienaktualisierungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS verwaltete Richtlinien für AWS Database Migration Service

AWS verwaltete Richtlinie: Amazon DMSVPCManagement Role

Diese Richtlinie ist der dms-vpc-role Rolle beigefügt, sodass AWS DMS Sie Aktionen in Ihrem Namen ausführen können.

Diese Richtlinie gewährt Mitwirkenden Berechtigungen, mit denen AWS DMS sie Netzwerkressourcen verwalten können.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Operationen:

  • ec2:CreateNetworkInterface— AWS DMS benötigt diese Berechtigung, um Netzwerkschnittstellen zu erstellen. Diese Schnittstellen sind unerlässlich, damit die AWS DMS Replikationsinstanz eine Verbindung zu den Quell- und Zieldatenbanken herstellen kann.

  • ec2:DeleteNetworkInterface— AWS DMS benötigt diese Berechtigung, um die erstellten Netzwerkschnittstellen zu bereinigen, sobald sie nicht mehr benötigt werden. Dies hilft beim Ressourcenmanagement und bei der Vermeidung unnötiger Kosten.

  • ec2:DescribeAvailabilityZones— Diese Berechtigung ermöglicht AWS DMS das Abrufen von Informationen über die Verfügbarkeitszonen in einer Region. AWS DMS verwendet diese Informationen, um sicherzustellen, dass Ressourcen in den richtigen Zonen bereitgestellt werden, um Redundanz und Verfügbarkeit zu gewährleisten.

  • ec2:DescribeDhcpOptions— AWS DMS ruft die Details des DHCP-Optionssatzes für die angegebene VPC ab. Diese Informationen sind erforderlich, um das Netzwerk für die Replikationsinstanzen korrekt zu konfigurieren.

  • ec2:DescribeInternetGateways— benötigt AWS DMS möglicherweise diese Berechtigung, um die in der VPC konfigurierten Internet-Gateways zu verstehen. Diese Informationen sind von entscheidender Bedeutung, wenn die Replikationsinstanz oder die Datenbanken Internetzugang benötigen.

  • ec2:DescribeNetworkInterfaces— AWS DMS ruft Informationen über bestehende Netzwerkschnittstellen innerhalb der VPC ab. Diese Informationen sind erforderlich AWS DMS , um die Netzwerkschnittstellen korrekt zu konfigurieren und die ordnungsgemäße Netzwerkkonnektivität für den Migrationsprozess sicherzustellen.

  • ec2:DescribeSecurityGroups— Sicherheitsgruppen kontrollieren den ein- und ausgehenden Datenverkehr zu Instanzen und Ressourcen. AWS DMS muss Sicherheitsgruppen beschreiben, um Netzwerkschnittstellen korrekt zu konfigurieren und eine ordnungsgemäße Kommunikation zwischen der Replikationsinstanz und den Datenbanken sicherzustellen.

  • ec2:DescribeSubnets— Diese Berechtigung ermöglicht es AWS DMS , die Subnetze in einer VPC aufzulisten. AWS DMS verwendet diese Informationen, um Replikationsinstanzen in den entsprechenden Subnetzen zu starten und sicherzustellen, dass sie über die erforderliche Netzwerkkonnektivität verfügen.

  • ec2:DescribeVpcs— Die Beschreibung VPCs ist wichtig, um die Netzwerkumgebung AWS DMS zu verstehen, in der sich die Replikationsinstanz und die Datenbanken befinden. Dazu gehört die Kenntnis der CIDR-Blöcke und anderer VPC-spezifischer Konfigurationen.

  • ec2:ModifyNetworkInterfaceAttribute— Diese Berechtigung ist erforderlich, AWS DMS um die Attribute der von ihr verwalteten Netzwerkschnittstellen zu ändern. Dies könnte die Anpassung von Einstellungen beinhalten, um Konnektivität und Sicherheit zu gewährleisten.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
			"Sid": "Statement1",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface",
				"ec2:DeleteNetworkInterface",
				"ec2:DescribeAvailabilityZones",
				"ec2:DescribeDhcpOptions",
				"ec2:DescribeInternetGateways",
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeSubnets",
				"ec2:DescribeVpcs",
				"ec2:ModifyNetworkInterfaceAttribute"
			],
			"Resource": "*"
		}
    ]
}

AWS verwaltete Richtlinie: AWSDMSServerless ServiceRolePolicy

Diese Richtlinie ist der AWSServiceRoleForDMSServerless Rolle zugeordnet, sodass AWS DMS Sie Aktionen in Ihrem Namen ausführen können. Weitere Informationen finden Sie unter Mit dem Dienst verknüpfte Rolle für Serverless AWS DMS.

Diese Richtlinie gewährt Mitwirkenden Berechtigungen, mit denen AWS DMS sie Replikationsressourcen verwalten können.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • AWS DMS— Ermöglicht Prinzipalen die Interaktion mit AWS DMS Ressourcen.

  • Amazon S3 — Ermöglicht S3 die Erstellung eines S3-Buckets zum Speichern einer serverlosen Bewertung vor der Migration. Das Ergebnis der Bewertung vor der Migration ohne Server wird mit einem Präfix gespeichert. dms-severless-premigration-assessment-<UUID> Der S3-Bucket wird für einen Benutzer pro Region erstellt und seine Bucket-Richtlinie beschränkt den Zugriff nur auf die Servicerolle des Dienstes.

JSON
{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "id0",
			"Effect": "Allow",
			"Action": [
				"dms:CreateReplicationInstance",
				"dms:CreateReplicationTask"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"dms:req-tag/ResourceCreatedBy": "DMSServerless"
				}
			}
		},
		{
			"Sid": "id1",
			"Effect": "Allow",
			"Action": [
				"dms:DescribeReplicationInstances",
				"dms:DescribeReplicationTasks"
			],
			"Resource": "*"
		},
		{
			"Sid": "id2",
			"Effect": "Allow",
			"Action": [
				"dms:StartReplicationTask",
				"dms:StopReplicationTask",
				"dms:ModifyReplicationTask",
				"dms:DeleteReplicationTask",
				"dms:ModifyReplicationInstance",
				"dms:DeleteReplicationInstance"
			],
			"Resource": [
				"arn:aws:dms:*:*:rep:*",
				"arn:aws:dms:*:*:task:*"
			],
			"Condition": {
				"StringEqualsIgnoreCase": {
					"aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
				}
			}
		},
		{
			"Sid": "id3",
			"Effect": "Allow",
			"Action": [
				"dms:TestConnection",
				"dms:DeleteConnection"
			],
			"Resource": [
				"arn:aws:dms:*:*:rep:*",
				"arn:aws:dms:*:*:endpoint:*"
			]
		},
		{
			"Sid": "id4",
			"Effect": "Allow",
			"Action": [
				"s3:PutObject",
				"s3:DeleteObject",
				"s3:GetObject",
				"s3:PutObjectTagging"
			],
			"Resource": [
				"arn:aws:s3:::dms-serverless-premigration-results-*"
			],
			"Condition": {
				"StringEquals": {
					"s3:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "id5",
			"Effect": "Allow",
			"Action": [
				"s3:PutBucketPolicy",
				"s3:ListBucket",
				"s3:GetBucketLocation",
				"s3:CreateBucket"
			],
			"Resource": [
				"arn:aws:s3:::dms-serverless-premigration-results-*"
			],
			"Condition": {
				"StringEquals": {
					"s3:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "id6",
			"Effect": "Allow",
			"Action": [
				"dms:StartReplicationTaskAssessmentRun"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEqualsIgnoreCase": {
					"aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
				}
			}
		}
	]
}

AWS verwaltete Richtlinie: Amazon DMSCloud WatchLogsRole

Diese Richtlinie ist der dms-cloudwatch-logs-role Rolle beigefügt, sodass AWS DMS Sie Aktionen in Ihrem Namen ausführen können. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für AWS DMS.

Diese Richtlinie gewährt Mitwirkenden Berechtigungen, mit denen Replikationsprotokolle AWS DMS in Protokollen veröffentlicht werden CloudWatch können.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • logs— Ermöglicht Prinzipalen das Veröffentlichen von Protokollen in Logs. CloudWatch Diese Berechtigung ist erforderlich, damit Sie CloudWatch Replikationsprotokolle anzeigen AWS DMS können.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDescribeOnAllLogGroups",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AllowDescribeOfAllLogStreamsOnDmsTasksLogGroup",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*"
            ]
        },
        {
            "Sid": "AllowCreationOfDmsLogGroups",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:"
            ]
        },
        {
            "Sid": "AllowCreationOfDmsLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
            ]
        },
        {
            "Sid": "AllowUploadOfLogEventsToDmsLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
            ]
        }
    ]
}

AWS verwaltete Richtlinie: AWSDMSFleet AdvisorServiceRolePolicy

Sie können keine Verbindungen AWSDMSFleet AdvisorServiceRolePolicy zu Ihren IAM-Entitäten herstellen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es AWS DMS Fleet Advisor ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für AWS DMS.

Diese Richtlinie gewährt Mitwirkenden Berechtigungen, die es AWS DMS Fleet Advisor ermöglichen, CloudWatch Amazon-Metriken zu veröffentlichen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

  • cloudwatch— Ermöglicht es Prinzipalen, metrische Datenpunkte auf Amazon CloudWatch zu veröffentlichen. Diese Berechtigung ist erforderlich, damit AWS DMS Fleet Advisor Diagramme mit Datenbankmetriken anzeigen kann. CloudWatch

JSON
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Resource": "*",
        "Action": "cloudwatch:PutMetricData",
        "Condition": {
            "StringEquals": {
                "cloudwatch:namespace": "AWS/DMS/FleetAdvisor"
            }
        }
    }
}

AWS verwaltete Richtlinie: Amazon DMSRedshift S3Role

Diese Richtlinie bietet Berechtigungen, mit denen AWS DMS S3-Einstellungen für Redshift-Endpunkte verwaltet werden können.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Operationen:

  • s3:CreateBucket— Ermöglicht DMS, S3-Buckets mit dem Präfix „dms-“ zu erstellen

  • s3:ListBucket- Ermöglicht DMS, den Inhalt von S3-Buckets mit dem Präfix „dms-“ aufzulisten

  • s3:DeleteBucket - Ermöglicht DMS, S3-Buckets mit dem Präfix „dms-“ zu löschen

  • s3:GetBucketLocation- Ermöglicht DMS, die Region abzurufen, in der sich ein S3-Bucket befindet

  • s3:GetObject- Ermöglicht DMS das Abrufen von Objekten aus S3-Buckets mit dem Präfix „dms-“

  • s3:PutObject- Ermöglicht DMS, Objekte zu S3-Buckets mit dem Präfix „dms-“ hinzuzufügen

  • s3:DeleteObject- Ermöglicht DMS, Objekte aus S3-Buckets mit dem Präfix „dms-“ zu löschen

  • s3:GetObjectVersion— Ermöglicht es DMS, bestimmte Versionen von Objekten in versionierten Buckets abzurufen

  • s3:GetBucketPolicy— Ermöglicht DMS das Abrufen von Bucket-Richtlinien

  • s3:PutBucketPolicy— Ermöglicht DMS, Bucket-Richtlinien zu erstellen oder zu aktualisieren

  • s3:GetBucketAcl— Ermöglicht DMS das Abrufen von Bucket-Zugriffskontrolllisten () ACLs

  • s3:PutBucketVersioning— Ermöglicht DMS, die Versionierung von Buckets zu aktivieren oder auszusetzen

  • s3:GetBucketVersioning— Ermöglicht DMS, den Versionsstatus von Buckets abzurufen

  • s3:PutLifecycleConfiguration- Ermöglicht DMS, Lebenszyklusregeln für Buckets zu erstellen oder zu aktualisieren

  • s3:GetLifecycleConfiguration— Ermöglicht es DMS, für Buckets konfigurierte Lebenszyklusregeln abzurufen

  • s3:DeleteBucketPolicy— Ermöglicht DMS das Löschen von Bucket-Richtlinien

Alle diese Berechtigungen gelten nur für Ressourcen mit ARN-Muster: arn:aws:s3:::dms-*

JSON-Richtliniendokument

JSON
{
  "Version": "2012-10-17", 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:ListBucket", 
        "s3:DeleteBucket",
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:PutObject",
        "s3:DeleteObject",
        "s3:GetObjectVersion",
        "s3:GetBucketPolicy",
        "s3:PutBucketPolicy",
        "s3:GetBucketAcl",
        "s3:PutBucketVersioning",
        "s3:GetBucketVersioning",
        "s3:PutLifecycleConfiguration",
        "s3:GetLifecycleConfiguration",
        "s3:DeleteBucketPolicy"
      ],
      "Resource": "arn:aws:s3:::dms-*"
    }
  ]
}

AWS DMS Aktualisierungen der AWS verwalteten Richtlinien

Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien, die AWS DMS seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden. Abonnieren Sie den RSS-Feed auf der Seite AWS DMS Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.

Änderung Beschreibung Datum

Dienstbezogene Rolle für AWS DMS Serverless — Ändern

AWS DMS aktualisiertAWSDMSServerlessServiceRolePolicy, sodass nun auch die Ausführung dms:StartReplicationTaskAssessmentRun von Bewertungen vor der Migration unterstützt wird. AWS DMS Außerdem wurde die Rolle „Serverless Service Linked“ aktualisiert, um S3-Buckets zu erstellen und die Ergebnisse der Bewertung vor der Migration in diese Buckets zu übernehmen.

 14. Februar 2025

AWSDMSServerlessServiceRolePolicy— Veränderung

AWS DMS hinzugefügtdms:ModifyReplicationTask, was von AWS DMS Serverless benötigt wird, um den ModifyReplicationTask Vorgang zum Ändern einer Replikationsaufgabe aufzurufen. AWS DMS hinzugefügtdms:ModifyReplicationInstance, was von AWS DMS Serverless benötigt wird, um den ModifyReplicationInstance Vorgang zum Ändern einer Replikationsinstanz aufzurufen.

 17. Januar 2025

DMSVPCManagementRolle bei Amazon — Änderung

AWS DMS hinzugefügt ec2:DescribeDhcpOptions und ec2:DescribeNetworkInterfaces Funktionen hinzugefügt, mit denen AWS DMS Sie die Netzwerkeinstellungen in Ihrem Namen verwalten können.

 17. Juni 2024

AWSDMSServerlessServiceRolePolicy – Neue Richtlinie

AWS DMS hat die AWSDMSServerlessServiceRolePolicy Rolle hinzugefügt, AWS DMS damit Sie in Ihrem Namen Dienste erstellen und verwalten können, z. B. die Veröffentlichung von CloudWatch Amazon-Metriken.

 22. Mai 2023

Amazon DMSCloud WatchLogsRole — Veränderung

AWS DMS hat den ARN für serverlose Ressourcen zu jeder der erteilten Berechtigungen hinzugefügt, um das Hochladen von AWS DMS Replikationsprotokollen aus serverlosen Replikationskonfigurationen in Logs zu ermöglichen. CloudWatch

22. Mai 2023

AWSDMSFleetAdvisorServiceRolePolicy – Neue Richtlinie

AWS DMS Fleet Advisor hat eine neue Richtlinie hinzugefügt, um die Veröffentlichung von metrischen Datenpunkten auf Amazon zu ermöglichen CloudWatch.

 6. März 2023

AWS DMS hat begonnen, Änderungen zu verfolgen

AWS DMS hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen.

 6. März 2023