DMSVPCManagementRôle Amazon AWSDMSServerlessServiceRolePolicy Amazon DMSCloud WatchLogsRole AWSDMSFleetAdvisorServiceRolePolicy Rôle Amazon DMSRedshift S3 Mises à jour des politiques

AWS politiques gérées pour AWS Database Migration Service

Rubriques

AWS politique gérée : Amazon DMSVPCManagement Role
AWS politique gérée : AWSDMSServerless ServiceRolePolicy
AWS politique gérée : Amazon DMSCloud WatchLogsRole
AWS politique gérée : AWSDMSFleet AdvisorServiceRolePolicy
AWS politique gérée : Amazon DMSRedshift S3Role
AWS DMS mises à jour des politiques AWS gérées

AWS politique gérée : Amazon DMSVPCManagement Role

Cette politique est attachée au dms-vpc-role rôle, ce qui permet d' AWS DMS effectuer des actions en votre nom.

Cette politique accorde aux contributeurs des autorisations leur permettant AWS DMS de gérer les ressources du réseau.

Détails de l’autorisation

Cette politique inclut les opérations suivantes :

ec2:CreateNetworkInterface— AWS DMS a besoin de cette autorisation pour créer des interfaces réseau. Ces interfaces sont essentielles pour que l'instance de AWS DMS réplication puisse se connecter aux bases de données source et cible.
ec2:DeleteNetworkInterface— AWS DMS a besoin de cette autorisation pour nettoyer les interfaces réseau qu'il a créées une fois qu'elles ne sont plus nécessaires. Cela permet de gérer les ressources et d'éviter des coûts inutiles.
ec2:DescribeAvailabilityZones— Cette autorisation permet AWS DMS de récupérer des informations sur les zones de disponibilité d'une région. AWS DMS utilise ces informations pour s'assurer qu'il provisionne les ressources dans les zones appropriées en termes de redondance et de disponibilité.
ec2:DescribeDhcpOptions— AWS DMS récupère les détails du jeu d'options DHCP pour le VPC spécifié. Ces informations sont nécessaires pour configurer correctement le réseau pour les instances de réplication.
ec2:DescribeInternetGateways— AWS DMS peut avoir besoin de cette autorisation pour comprendre les passerelles Internet configurées dans le VPC. Ces informations sont cruciales si l'instance de réplication ou les bases de données ont besoin d'un accès Internet.
ec2:DescribeNetworkInterfaces— AWS DMS récupère des informations sur les interfaces réseau existantes au sein du VPC. Ces informations sont nécessaires AWS DMS pour configurer correctement les interfaces réseau et garantir une connectivité réseau appropriée pour le processus de migration.
ec2:DescribeSecurityGroups— Les groupes de sécurité contrôlent le trafic entrant et sortant vers les instances et les ressources. AWS DMS doit décrire les groupes de sécurité pour configurer correctement les interfaces réseau et garantir une bonne communication entre l'instance de réplication et les bases de données.
ec2:DescribeSubnets— Cette autorisation permet de AWS DMS répertorier les sous-réseaux d'un VPC. AWS DMS utilise ces informations pour lancer des instances de réplication dans les sous-réseaux appropriés, en s'assurant qu'elles disposent de la connectivité réseau nécessaire.
ec2:DescribeVpcs— VPCs La description est essentielle AWS DMS pour comprendre l'environnement réseau dans lequel résident l'instance de réplication et les bases de données. Cela inclut la connaissance des blocs CIDR et des autres configurations spécifiques au VPC.
ec2:ModifyNetworkInterfaceAttribute— Cette autorisation est requise AWS DMS pour modifier les attributs des interfaces réseau qu'il gère. Cela peut inclure le réglage des paramètres pour garantir la connectivité et la sécurité.


{
    "Version": "2012-10-17",
    "Statement": [
        {
			"Sid": "Statement1",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface",
				"ec2:DeleteNetworkInterface",
				"ec2:DescribeAvailabilityZones",
				"ec2:DescribeDhcpOptions",
				"ec2:DescribeInternetGateways",
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeSubnets",
				"ec2:DescribeVpcs",
				"ec2:ModifyNetworkInterfaceAttribute"
			],
			"Resource": "*"
		}
    ]
}

AWS politique gérée : AWSDMSServerless ServiceRolePolicy

Cette politique est attachée au AWSServiceRoleForDMSServerless rôle, ce qui permet d' AWS DMS effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Rôle lié à un service pour Serverless AWS DMS.

Cette politique accorde aux contributeurs des autorisations leur permettant AWS DMS de gérer les ressources de réplication.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

AWS DMS— Permet aux directeurs d'interagir avec les AWS DMS ressources.
Amazon S3 — Permet à S3 de créer un compartiment S3 pour stocker une évaluation de prémigration sans serveur. Le résultat de l'évaluation de la prémigration sans serveur sera stocké avec un dms-severless-premigration-assessment-<UUID> préfixe. Le compartiment S3 est créé pour un utilisateur par région et sa politique de compartiment limite l'accès au seul rôle de service du service.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "id0",
			"Effect": "Allow",
			"Action": [
				"dms:CreateReplicationInstance",
				"dms:CreateReplicationTask"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"dms:req-tag/ResourceCreatedBy": "DMSServerless"
				}
			}
		},
		{
			"Sid": "id1",
			"Effect": "Allow",
			"Action": [
				"dms:DescribeReplicationInstances",
				"dms:DescribeReplicationTasks"
			],
			"Resource": "*"
		},
		{
			"Sid": "id2",
			"Effect": "Allow",
			"Action": [
				"dms:StartReplicationTask",
				"dms:StopReplicationTask",
				"dms:ModifyReplicationTask",
				"dms:DeleteReplicationTask",
				"dms:ModifyReplicationInstance",
				"dms:DeleteReplicationInstance"
			],
			"Resource": [
				"arn:aws:dms:*:*:rep:*",
				"arn:aws:dms:*:*:task:*"
			],
			"Condition": {
				"StringEqualsIgnoreCase": {
					"aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
				}
			}
		},
		{
			"Sid": "id3",
			"Effect": "Allow",
			"Action": [
				"dms:TestConnection",
				"dms:DeleteConnection"
			],
			"Resource": [
				"arn:aws:dms:*:*:rep:*",
				"arn:aws:dms:*:*:endpoint:*"
			]
		},
		{
			"Sid": "id4",
			"Effect": "Allow",
			"Action": [
				"s3:PutObject",
				"s3:DeleteObject",
				"s3:GetObject",
				"s3:PutObjectTagging"
			],
			"Resource": [
				"arn:aws:s3:::dms-serverless-premigration-results-*"
			],
			"Condition": {
				"StringEquals": {
					"s3:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "id5",
			"Effect": "Allow",
			"Action": [
				"s3:PutBucketPolicy",
				"s3:ListBucket",
				"s3:GetBucketLocation",
				"s3:CreateBucket"
			],
			"Resource": [
				"arn:aws:s3:::dms-serverless-premigration-results-*"
			],
			"Condition": {
				"StringEquals": {
					"s3:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "id6",
			"Effect": "Allow",
			"Action": [
				"dms:StartReplicationTaskAssessmentRun"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEqualsIgnoreCase": {
					"aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
				}
			}
		}
	]
}

AWS politique gérée : Amazon DMSCloud WatchLogsRole

Cette politique est attachée au dms-cloudwatch-logs-role rôle, ce qui permet d' AWS DMS effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Utilisation des rôles liés aux services pour AWS DMS.

Cette politique accorde aux contributeurs des autorisations leur permettant AWS DMS de publier des journaux de réplication dans des CloudWatch journaux.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

logs— Permet aux principaux de publier des journaux dans CloudWatch Logs. Cette autorisation est requise pour AWS DMS pouvoir CloudWatch afficher les journaux de réplication.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDescribeOnAllLogGroups",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AllowDescribeOfAllLogStreamsOnDmsTasksLogGroup",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*"
            ]
        },
        {
            "Sid": "AllowCreationOfDmsLogGroups",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:"
            ]
        },
        {
            "Sid": "AllowCreationOfDmsLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
            ]
        },
        {
            "Sid": "AllowUploadOfLogEventsToDmsLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
            ]
        }
    ]
}

AWS politique gérée : AWSDMSFleet AdvisorServiceRolePolicy

Vous ne pouvez pas vous associer AWSDMSFleet AdvisorServiceRolePolicy à vos entités IAM. Cette politique est associée à un rôle lié au service qui permet à AWS DMS Fleet Advisor d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Utilisation des rôles liés aux services pour AWS DMS.

Cette politique accorde aux contributeurs des autorisations qui permettent à AWS DMS Fleet Advisor de publier CloudWatch des statistiques Amazon.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

cloudwatch— Permet aux principaux de publier des points de données métriques sur Amazon CloudWatch. Cette autorisation est requise pour que AWS DMS Fleet Advisor puisse afficher des graphiques avec CloudWatch les métriques de la base de données.


{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Resource": "*",
        "Action": "cloudwatch:PutMetricData",
        "Condition": {
            "StringEquals": {
                "cloudwatch:namespace": "AWS/DMS/FleetAdvisor"
            }
        }
    }
}

AWS politique gérée : Amazon DMSRedshift S3Role

Cette politique fournit des autorisations qui permettent AWS DMS de gérer les paramètres S3 pour les points de terminaison Redshift.

Détails de l’autorisation

Cette politique inclut les opérations suivantes :

s3:CreateBucket- Permet à DMS de créer des compartiments S3 avec le préfixe « dms- »
s3:ListBucket- Permet à DMS de répertorier le contenu des compartiments S3 avec le préfixe « dms- »
s3:DeleteBucket - Permet à DMS de supprimer les compartiments S3 avec le préfixe « dms- »
s3:GetBucketLocation- Permet à DMS de récupérer la région où se trouve un compartiment S3
s3:GetObject- Permet à DMS de récupérer des objets dans des compartiments S3 avec le préfixe « dms- »
s3:PutObject- Permet à DMS d'ajouter des objets aux compartiments S3 avec le préfixe « dms- »
s3:DeleteObject- Permet à DMS de supprimer des objets des compartiments S3 avec le préfixe « dms- »
s3:GetObjectVersion- Permet à DMS de récupérer des versions spécifiques d'objets dans des compartiments versionnés
s3:GetBucketPolicy- Permet au DMS de récupérer les politiques relatives aux compartiments
s3:PutBucketPolicy- Permet à DMS de créer ou de mettre à jour des politiques de compartiment
s3:GetBucketAcl- Permet au DMS de récupérer les listes de contrôle d'accès aux compartiments () ACLs
s3:PutBucketVersioning- Permet à DMS d'activer ou de suspendre la gestion des versions sur les buckets
s3:GetBucketVersioning- Permet à DMS de récupérer le statut de version des buckets
s3:PutLifecycleConfiguration- Permet au DMS de créer ou de mettre à jour des règles de cycle de vie pour les buckets
s3:GetLifecycleConfiguration- Permet au DMS de récupérer les règles de cycle de vie configurées pour les buckets
s3:DeleteBucketPolicy- Permet à DMS de supprimer les politiques relatives aux compartiments

Toutes ces autorisations s'appliquent uniquement aux ressources avec un modèle ARN : arn:aws:s3:::dms-*

Document de politique JSON


{
  "Version": "2012-10-17", 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:ListBucket", 
        "s3:DeleteBucket",
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:PutObject",
        "s3:DeleteObject",
        "s3:GetObjectVersion",
        "s3:GetBucketPolicy",
        "s3:PutBucketPolicy",
        "s3:GetBucketAcl",
        "s3:PutBucketVersioning",
        "s3:GetBucketVersioning",
        "s3:PutLifecycleConfiguration",
        "s3:GetLifecycleConfiguration",
        "s3:DeleteBucketPolicy"
      ],
      "Resource": "arn:aws:s3:::dms-*"
    }
  ]
}

AWS DMS mises à jour des politiques AWS gérées

Consultez les détails des mises à jour des politiques AWS gérées AWS DMS depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page Historique du AWS DMS document.

Modification	Description	Date
Rôle lié à un service pour AWS DMS Serverless — Modifier	AWS DMS mis `AWSDMSServerlessServiceRolePolicy` à jour pour permettre `dms:StartReplicationTaskAssessmentRun` de prendre en charge les évaluations de prémigration. AWS DMS a également mis à jour le rôle lié aux services sans serveur afin de créer des compartiments S3 et de placer les résultats de l'évaluation préalable à la migration dans ces compartiments.	14 février 2025
AWSDMSServerlessServiceRolePolicy— Modification	AWS DMS ajouté`dms:ModifyReplicationTask`, ce qui est requis par AWS DMS Serverless pour appeler l'`ModifyReplicationTask`opération de modification d'une tâche de réplication. AWS DMS ajouté`dms:ModifyReplicationInstance`, ce qui est requis par AWS DMS Serverless pour appeler `ModifyReplicationInstance` l'opération de modification d'une instance de réplication.	17 janvier 2025
Amazon DMSVPCManagement Role — Modifier	AWS DMS ajoutés `ec2:DescribeDhcpOptions` et `ec2:DescribeNetworkInterfaces` opérations permettant de AWS DMS gérer les paramètres réseau en votre nom.	17 juin 2024
AWSDMSServerlessServiceRolePolicy : nouvelle politique	AWS DMS a ajouté le `AWSDMSServerlessServiceRolePolicy` rôle pour permettre AWS DMS de créer et de gérer des services en votre nom, tels que la publication de CloudWatch statistiques Amazon.	22 mai 2023
Amazon DMSCloud WatchLogsRole — Modifier	AWS DMS a ajouté l'ARN pour les ressources sans serveur à chacune des autorisations accordées, afin de permettre le téléchargement des journaux de AWS DMS réplication des configurations de réplication sans serveur vers Logs. CloudWatch	22 mai 2023
AWSDMSFleetAdvisorServiceRolePolicy : nouvelle politique	AWS DMS Fleet Advisor a ajouté une nouvelle politique autorisant la publication de points de données métriques sur Amazon CloudWatch.	06 mars 2023
AWS DMS a commencé à suivre les modifications	AWS DMS a commencé à suivre les modifications apportées AWS à ses politiques gérées.	06 mars 2023

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Prévention du problème de l’adjoint confus entre services

Validation de conformité