Cumplimiento de los requisitos previos para trabajar con la conversión de esquemas de DMS - AWS Database Migration Service
Creación de una VPCCree un bucket de S3Almacenar credenciales en Secrets ManagerCrear políticas de IAMCree roles de IAM

Cumplimiento de los requisitos previos para trabajar con la conversión de esquemas de DMS

Para configurar la conversión de esquemas del DMS, lleve a cabo las siguientes tareas. A continuación, puede configurar un perfil de instancia, agregar proveedores de datos y crear un proyecto de migración.

Crear una VPC en función de Amazon VPC

En este paso, se crea una nube privada virtual (VPC) en la Cuenta de AWS. Esta VPC se basa en el servicio de Amazon Virtual Private Cloud (Amazon VPC) y contiene los recursos de AWS.

Creación de una VPC para la conversión de esquemas del DMS

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. Seleccione Creación de VPC.

  3. En la página Crear VPC, ingrese los siguientes ajustes:

    • Recursos para crear: VPC y más

    • Generación automática de etiquetas de nombre: elija Generar automáticamente e ingrese un nombre único a nivel mundial. Por ejemplo, escriba . sc-vpc.

    • IPv4 CIDR block (Bloque de CIDR IPv10.0.1.0/24

    • Puertas de enlace NAT: en 1 AZ

    • VPC endpoints (Puntos de conexión de VPC): ninguna

  4. Mantenga el resto de los ajustes tal y como están y, a continuación, elija Crear VPC.

  5. Elija subredes y anote los ID de subredes públicas y privadas.

    Para conectarse a las bases de datos de Amazon RDS, cree un grupo de subredes que incluya subredes públicas.

    Para conectarse a las bases de datos en las instalaciones, cree un grupo de subredes que incluya subredes privadas. Para obtener más información, consulte Creación de un perfil de instancia para la conversión de esquemas de DMS.

  6. Elija Puertas de enlace NAT. Elija la puerta de enlace NAT y anote la dirección IP elástica.

    Configure la red para asegurarse de que AWS DMS pueda acceder a la base de datos en las instalaciones de origen desde esta dirección IP pública de la puerta de enlace NAT. Para obtener más información, consulte Uso de una conexión de Internet a una VPC.

Utilice esta VPC cuando cree el perfil de instancia y las bases de datos de destino en Amazon RDS.

Crear un bucket de Amazon S3

Para almacenar información del proyecto de migración, cree un bucket de Amazon S3. La conversión de esquemas del DMS utiliza este bucket de Amazon S3 para guardar elementos como informes de evaluación, código SQL convertido, información sobre los objetos del esquema de la base de datos, etc.

Creación de un bucket de Amazon S3 para la conversión de esquemas del DMS

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

  2. Elija Crear bucket.

  3. En la página Crear un bucket, seleccione un nombre único a nivel mundial para el bucket de S3. Por ejemplo, escriba . sc-s3-bucket.

  4. Para Región de AWS, elija la región.

  5. Para Control de versiones de bucket, elija Habilitar.

  6. Mantenga el resto de los ajustes tal y como están y, a continuación, elija Crear bucket.

nota

La Conversión de esquemas (SC) de DMS solo funciona con buckets de S3 que utilizan el cifrado del servidor con claves administradas por Amazon S3 (SSE-S3). Otras configuraciones de cifrado, como el cifrado del servidor con AWS KMS (SSE-KMS), las claves proporcionadas por el cliente (SSE-C) o el cifrado del cliente, actualmente no son compatibles con SC y le impiden acceder al bucket de S3. Si utiliza un método de cifrado diferente, debe crear un bucket de S3 independiente con SSE-S3 para usarlo con Conversión de esquemas de DMS.

Almacenar credenciales de base de datos en AWS Secrets Manager

Almacene las credenciales de las bases de datos de origen y destino en AWS Secrets Manager. Asegúrese de replicar estos secretos en la Región de AWS. La conversión de esquemas del DMS utiliza estos secretos para conectarse a las bases de datos del proyecto de migración.

Almacenamiento de las credenciales de la base de datos en AWS Secrets Manager

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Secrets Manager en https://console.aws.amazon.com/secretsmanager/.

  2. Elija Almacenar un secreto nuevo.

  3. Se abre la página Elegir el tipo de secreto. En Secret type (Tipo secreto), elija el tipo de credenciales de base de datos que desea almacenar:

    • Credenciales para la base de datos de Amazon RDS: elija esta opción para almacenar las credenciales de la base de datos de Amazon RDS. Para Credenciales, ingrese las credenciales de la base de datos. En Database (Base de datos), elija la base de datos.

    • Credenciales para otra base de datos: elija esta opción para almacenar las credenciales de las bases de datos de origen de Oracle o SQL Server. Para Credenciales, ingrese las credenciales de la base de datos.

    • Otro tipo de secreto: elija esta opción para almacenar solo el nombre de usuario y la contraseña para conectarse a la base de datos. Elija Agregar fila para agregar dos pares clave-valor. Asegúrese de utilizar username y password para los nombres de claves. Para los valores relacionados con estas claves, ingrese las credenciales de la base de datos.

  4. Para Clave de cifrado, elija la clave AWS KMS que Secrets Manager utiliza para cifrar el valor secreto. Elija Siguiente.

  5. En la página Configurar secreto, ingrese un nombre de secreto descriptivo. Por ejemplo, ingrese sc-source-secret o sc-target-secret.

  6. Elija Replicar secreto y, a continuación, para Región de AWS elija la región. Elija Siguiente.

  7. En la página Configurar rotación, elija Siguiente.

  8. En la página Revisar, revise los detalles del secreto y, a continuación, elija Almacenar.

Para almacenar las credenciales de las bases de datos de origen y destino, repita estos pasos.

Crear políticas de IAM

Cómo crear una política de IAM para Conversión de esquemas de DMS para acceder a Amazon S3

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Políticas.

  3. Elija Crear política.

  4. En la página Seleccionar servicio, elija Amazon S3 en la lista.

  5. En la sección Acciones permitidas, elija PutObject, GetObject, GetObjectVersion, GetBucketVersioning, GetBucketLocation o ListBucket.

  6. En los Recursos, especifique el ARN del bucket que ha creado en la sección anterior. Elija Siguiente.

  7. En la página Revisar y crear, introduzca un nombre descriptivo. Por ejemplo: sc-s3-policy. A continuación, seleccione Crear política.

Cómo crear una política de IAM para Conversión de esquemas de DMS para acceder a AWS Secrets Manager

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Políticas.

  3. Elija Crear política.

  4. En la página Seleccionar servicio, elija Secrets Manager en la lista.

  5. Elija Siguiente. Se abre la página Agregar permisos.

  6. En la sección Acciones permitidas, elija GetSecretValue y DescribeSecret.

  7. En la página Revisar y crear, introduzca un nombre descriptivo. Por ejemplo: sc-secrets-manager-policy. A continuación, seleccione Crear política.

Cree roles de IAM

Cree roles de AWS Identity and Access Management (IAM) para usarlos en el proyecto de migración. La conversión de esquemas del DMS utiliza estos roles de IAM para acceder al bucket de Amazon S3 y a las credenciales de base de datos almacenadas en AWS Secrets Manager.

Creación de un rol de IAM que proporcione acceso al bucket de Amazon S3

  1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en https://console.aws.amazon.com/iam/.

  2. Seleccione Roles en el panel de navegación.

  3. Elija Crear rol.

  4. En la página Seleccionar tipo de entidad de confianza, elija Servicio de AWS. Elija DMS.

  5. Elija Siguiente. Se abre la página Agregar permisos.

  6. Para políticas de filtrado, ingrese S3. Elija la política sc-s3-policy que ha creado en la sección anterior.

  7. Elija Siguiente. Se abre la página Nombrar, revisar y crear.

  8. Para Nombre de rol, ingrese un nombre descriptivo. Por ejemplo, escriba . sc-s3-role. Seleccione Crear rol.

  9. En la página Roles, escriba sc-s3-role para Nombre del rol. Elija sc-s3-role.

  10. En la página sc-s3-role, elija la pestaña Relaciones de confianza. Elija Editar la política de confianza.

  11. Esta entidad principal de servicio regional de AWS DMS tiene el formato siguiente:

    dms.region-name.amazonaws.com

    Reemplace region-name por el nombre de su región, por ejemplo us-east-1: el siguiente ejemplo de código muestra la entidad principal de la región us-east-1:

    dms.us-east-1.amazonaws.com

    En el siguiente código de ejemplo se muestra una política de confianza para acceder a la conversión de esquemas de AWS DMS:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "dms.us-east-1.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
Creación de un rol de IAM que proporciona acceso a AWS Secrets Manager

  1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en https://console.aws.amazon.com/iam/.

  2. Seleccione Roles en el panel de navegación.

  3. Elija Crear rol.

  4. En la página Seleccionar tipo de entidad de confianza, elija Servicio de AWS. Elija DMS.

  5. Elija Siguiente. Se abre la página Agregar permisos.

  6. Para políticas de filtrado, ingrese s3. Elija la política sc-secrets-manager-policy que ha creado en la sección anterior.

  7. Elija Siguiente. Se abre la página Nombrar, revisar y crear.

  8. Para Nombre de rol, ingrese un nombre descriptivo. Por ejemplo, escriba . sc-secrets-manager-role. Seleccione Crear rol.

  9. En la página Roles, escriba sc-secrets-manager-role para Nombre del rol. Elija sc-secrets-manager-role.

  10. En la página sc-secrets-manager-role, elija la pestaña de relaciones de confianza. Elija Editar la política de confianza.

  11. En la página Editar política de confianza, edite las relaciones de confianza del rol para usar schema-conversion.dms.amazonaws.com y la entidad principal de servicio regional de AWS DMS como entidades de confianza. Esta entidad principal de servicio regional de AWS DMS tiene el formato siguiente:

    dms.region-name.amazonaws.com

    Reemplace region-name por el nombre de su región, por ejemplo us-east-1: el siguiente ejemplo de código muestra la entidad principal de la región us-east-1:

    dms.us-east-1.amazonaws.com

    En el siguiente código de ejemplo se muestra una política de confianza para acceder a la conversión de esquemas de AWS DMS:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "dms.us-east-1.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
Cómo crear el rol de IAM dms-vpc-role para usarlo en la CLI AWS o la API de AWS DMS

  1. Cree un archivo JSON con la política de IAM siguiente. Asigne el nombre al archivo JSON dmsAssumeRolePolicyDocument.json.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "dms.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    A continuación, cree el rol en la CLI de AWS utilizando el siguiente comando:

    aws iam create-role --role-name dms-vpc-role --assume-role-policy-document file://dmsAssumeRolePolicyDocument.json

  2. Asocie la política AmazonDMSVPCManagementRole a dms-vpc-role utilizando el siguiente comando:

    aws iam attach-role-policy --role-name dms-vpc-role --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSVPCManagementRole
Cómo crear el rol de IAM dms-cloudwatch-logs-role para usarlo en la CLI AWS o la API de AWS DMS

  1. Cree un archivo JSON con la política de IAM siguiente. Asigne el nombre al archivo JSON dmsAssumeRolePolicyDocument2.json.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "dms.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    A continuación, cree el rol en la CLI de AWS utilizando el siguiente comando:

    aws iam create-role --role-name dms-cloudwatch-logs-role --assume-role-policy-document file://dmsAssumeRolePolicyDocument2.json

  2. Asocie la política AmazonDMSCloudWatchLogsRole a dms-cloudwatch-logs-role utilizando el siguiente comando:

    aws iam attach-role-policy --role-name dms-cloudwatch-logs-role --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSCloudWatchLogsRole