Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Création d’une stratégie d’accès secrète et d’un rôle Suivez les procédures ci-dessous pour créer votre stratégie d’accès secrète et votre rôle permettant à DMS d’accéder aux informations d’identification utilisateur de vos bases de données source et cible. **Pour créer la politique et le rôle d'accès secret, qui permettent à Amazon RDS d'accéder AWS Secrets Manager à votre secret approprié** 1. Connectez-vous à la console Gestion des identités et des accès AWS (IAM) AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse. 1. Sélectionnez **Politiques**, puis **Créer une politique**. 1. Choisissez **JSON** et entrez la politique suivante pour permettre d’accéder à votre secret et de le déchiffrer. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:{{us-east-1}}:{{111122223333}}:secret:SecretName-ABCDEF" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws:kms:{{us-east-1}}:111122223333:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}}" } ] } ``` ------ `{{secret_arn}}`Voici l'ARN de votre secret, que vous pouvez obtenir de l'un ou l'autre `SecretsManagerSecretId` selon le cas, et `{{kms_key_arn}}` l'ARN de la AWS KMS clé que vous utilisez pour chiffrer votre secret, comme dans l'exemple suivant. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:us-east-2:123456789012:secret:MySQLTestSecret-qeHamH" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-east-2:123456789012:key/761138dc-0542-4e58-947f-4a3a8458d0fd" } ] } ``` ------ **Note** Si vous utilisez la clé de chiffrement par défaut créée par AWS Secrets Manager, il n'est pas nécessaire de spécifier les AWS KMS autorisations pour`{{kms_key_arn}}`. Si vous souhaitez que votre politique donne accès aux deux secrets, il vous suffit de spécifier un objet de ressource JSON supplémentaire pour l'autre{{secret\_arn}}. 1. Vérifiez et créez la politique avec un nom convivial et une description facultative. 1. Choisissez **Rôles**, puis **Créer un rôle**. 1. Choisissez **Service AWS ** comme type d’entité de confiance. 1. Choisissez **DMS** dans la liste des services comme service de confiance, puis choisissez **Suivant : Autorisations**. 1. Recherchez et attachez la politique que vous avez créée à l’étape 4, puis ajoutez des balises et passez en revue votre rôle. À ce stade, modifiez les relations d’approbation du rôle afin d’utiliser votre principal de service régional Amazon RDS comme entité de confiance. Ce principal a le format suivant. ``` dms.{{region-name}}.amazonaws.com ``` Ici, {{`region-name`}} est le nom de votre région, par exemple `us-east-1`. Il est suivi par un principal de service régional Amazon RDS pour cette région. ``` dms.us-east-1.amazonaws.com dms-data-migrations.amazonaws.com ```