View a markdown version of this page

Création d’une stratégie d’accès secrète et d’un rôle - Amazon Relational Database Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d’une stratégie d’accès secrète et d’un rôle

Suivez les procédures ci-dessous pour créer votre stratégie d’accès secrète et votre rôle permettant à DMS d’accéder aux informations d’identification utilisateur de vos bases de données source et cible.

Pour créer la politique et le rôle d'accès secret, qui permettent à Amazon RDS d'accéder AWS Secrets Manager à votre secret approprié

  1. Connectez-vous à la console Gestion des identités et des accès AWS (IAM) AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

  2. Sélectionnez Politiques, puis Créer une politique.

  3. Choisissez JSON et entrez la politique suivante pour permettre d’accéder à votre secret et de le déchiffrer.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:SecretName-ABCDEF"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ]
}

    secret_arnVoici l'ARN de votre secret, que vous pouvez obtenir de l'un ou l'autre SecretsManagerSecretId selon le cas, et kms_key_arn l'ARN de la AWS KMS clé que vous utilisez pour chiffrer votre secret, comme dans l'exemple suivant.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:us-east-2:123456789012:secret:MySQLTestSecret-qeHamH"
        },
        {
             "Effect": "Allow",
             "Action": [
                        "kms:Decrypt",
                        "kms:DescribeKey"
                      ],
             "Resource": "arn:aws:kms:us-east-2:123456789012:key/761138dc-0542-4e58-947f-4a3a8458d0fd"
        }
     ]
}
    Note

    Si vous utilisez la clé de chiffrement par défaut créée par AWS Secrets Manager, il n'est pas nécessaire de spécifier les AWS KMS autorisations pourkms_key_arn.

    Si vous souhaitez que votre politique donne accès aux deux secrets, il vous suffit de spécifier un objet de ressource JSON supplémentaire pour l'autresecret_arn.

  4. Vérifiez et créez la politique avec un nom convivial et une description facultative.

  5. Choisissez Rôles, puis Créer un rôle.

  6. Choisissez Service AWS comme type d’entité de confiance.

  7. Choisissez DMS dans la liste des services comme service de confiance, puis choisissez Suivant : Autorisations.

  8. Recherchez et attachez la politique que vous avez créée à l’étape 4, puis ajoutez des balises et passez en revue votre rôle. À ce stade, modifiez les relations d’approbation du rôle afin d’utiliser votre principal de service régional Amazon RDS comme entité de confiance. Ce principal a le format suivant.

    dms.region-name.amazonaws.com

    Ici, region-name est le nom de votre région, par exemple us-east-1. Il est suivi par un principal de service régional Amazon RDS pour cette région.

    dms.us-east-1.amazonaws.com
dms-data-migrations.amazonaws.com