Gestion des identités et des accès pour AWS Database Migration Service - AWSService de Migration de Base de Données
Public cibléAuthentification par des identitésGestion de l’accès à l’aide de politiquesAutorisations IAM nécessairesRôles IAM pour la AWS DMS console, la CLI et l'API

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des identités et des accès pour AWS Database Migration Service

Gestion des identités et des accès AWS(IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être authentifié (connecté) et autorisé (autorisé) à utiliser AWS DMS les ressources. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.

Rubriques

Public ciblé

La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :

Authentification par des identités

L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS

Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez Connexion à votre Compte AWS dans le Guide de l’utilisateur Connexion à AWS.

Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez Signature AWS Version 4 pour les demandes d’API dans le Guide de l’utilisateur IAM.

Compte AWSutilisateur root

Lorsque vous créez unCompte AWS, vous commencez par une seule identité de connexion appelée utilisateur Compte AWS root qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez Tâches qui requièrent les informations d’identification de l’utilisateur racine dans le Guide de l’utilisateur IAM.

Utilisateurs et groupes IAM

Un utilisateur IAM est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires dans le guide de l'utilisateur IAM.

Les groupes IAM spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez Cas d’utilisation pour les utilisateurs IAM dans le Guide de l’utilisateur IAM.

Rôles IAM

Un rôle IAM est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en passant d'un rôle d'utilisateur à un rôle IAM (console) ou en appelant une opération d'AWSAPI AWS CLI ou d'API. Pour plus d’informations, consultez Méthodes pour endosser un rôle dans le Guide de l’utilisateur IAM.

Les rôles IAM sont utiles pour l'accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès entre comptes, les accès entre services et pour les applications exécutées sur Amazon. EC2 Pour plus d’informations, consultez Accès intercompte aux ressources dans IAM dans le Guide de l’utilisateur IAM.

Gestion de l’accès à l’aide de politiques

Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWSévalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez Vue d’ensemble des politiques JSON dans le Guide de l’utilisateur IAM.

À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.

Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.

Politiques basées sur l’identité

Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez Définition d’autorisations IAM personnalisées avec des politiques gérées par le client dans le Guide de l’utilisateur IAM.

Les politiques basées sur l’identité peuvent être des politiques intégrées (intégrées directement dans une seule identité) ou des politiques gérées (politiques autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez Choix entre les politiques gérées et les politiques en ligne dans le Guide de l’utilisateur IAM.

Politiques basées sur les ressources

Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent les politiques de confiance de rôle IAM et les stratégies de compartiment Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez spécifier un principal dans une politique basée sur les ressources.

Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.

Listes de contrôle d'accès (ACLs)

Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.

Amazon S3 et AWS WAF Amazon VPC sont des exemples de services compatibles. ACLs Pour en savoir plus ACLs, consultez la présentation de la liste de contrôle d'accès (ACL) dans le guide du développeur Amazon Simple Storage Service.

Autres types de politique

AWSprend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :

  • Limites d’autorisations : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez Limites d’autorisations pour des entités IAM dans le Guide de l’utilisateur IAM.

  • Politiques de contrôle des services (SCPs) — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dansAWS Organizations. Pour plus d’informations, consultez Politiques de contrôle de service dans le Guide de l’utilisateur AWS Organizations.

  • Politiques de contrôle des ressources (RCPs) : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir Politiques de contrôle des ressources (RCPs) dans le guide de AWS Organizations l'utilisateur.

  • Politiques de session : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez Politiques de session dans le Guide de l’utilisateur IAM.

Plusieurs types de politique

Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section Logique d'évaluation des politiques dans le guide de l'utilisateur IAM.

Autorisations IAM nécessaires pour utiliser AWS DMS

Vous devez utiliser certaines autorisations et certains rôles IAM pour pouvoir utiliser AWS DMS. Si vous êtes connecté en tant qu'utilisateur IAM et que vous souhaitez l'utiliserAWS DMS, l'administrateur de votre compte doit associer la politique décrite dans cette section à l'utilisateur, au groupe ou au rôle IAM que vous utilisez pour exécuter. AWS DMS Pour plus d'informations sur les autorisations IAM, consultez le Guide de l'utilisateur IAM.

La politique suivante vous donne accès à d'autres services Amazon tels que IAMAWS DMS, Amazon et AmazonAWS KMS, ainsi que des autorisations pour effectuer certaines actions nécessaires. EC2 CloudWatch CloudWatchsurveille votre AWS DMS migration en temps réel et collecte et suit les indicateurs qui indiquent la progression de votre migration. Vous pouvez utiliser CloudWatch les journaux pour résoudre les problèmes liés à une tâche.

Note

Vous pouvez restreindre davantage l'accès aux AWS DMS ressources à l'aide du balisage. Pour plus d'informations sur la restriction de l'accès aux AWS DMS ressources à l'aide du balisage, consultezContrôle précis des accès à l'aide des noms de ressources et des balises.

JSON

{

  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "dms:*",
      "Resource": "arn:aws:dms:*:123456789012:*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:*:123456789012:key/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetRole",
        "iam:PassRole",
        "iam:CreateRole",
        "iam:AttachRolePolicy"
      ],
      "Resource": "arn:aws:iam::123456789012:role/*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "dms.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeVpcs",
        "ec2:DescribeInternetGateways",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeSubnets",
        "ec2:DescribeSecurityGroups",
        "ec2:ModifyNetworkInterfaceAttribute",
        "ec2:CreateNetworkInterface",
        "ec2:DeleteNetworkInterface"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloudwatch:Get*",
        "cloudwatch:List*"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams",
        "logs:FilterLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": "arn:aws:logs:*:123456789012:*"
    }
  ]
}

L’analyse des autorisations suivantes peut vous aider à mieux comprendre pourquoi chacune d’elles est nécessaire.

La section suivante est requise pour permettre à l'utilisateur d'appeler des opérations AWS DMS d'API.

{
            "Effect": "Allow",
            "Action": "dms:*",
            "Resource": "arn:aws:dms:region:account:resourcetype/id"
}

La section suivante est requise pour permettre à l'utilisateur de répertorier ses AWS KMS clés et alias disponibles à afficher dans la console. Cette entrée n'est pas obligatoire si vous connaissez le nom de ressource Amazon (ARN) de la clé KMS et que vous utilisez uniquement le AWS Command Line Interface (AWS CLI).

{
            "Effect": "Allow",
            "Action": [
                "kms:ListAliases", 
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:service:region:account:resourcetype/id"
        }

La section suivante est requise lorsque certains types de points de terminaison nécessitent la transmission de l'ARN d'un rôle IAM avec le point de terminaison. En outre, si les AWS DMS rôles requis ne sont pas créés à l'avance, la AWS DMS console peut créer le rôle. Si tous les rôles sont configurés à l'avance, seuls iam:GetRole et iam:PassRole sont nécessaires. Pour plus d'informations sur les rôles , consultez Création des rôles IAM à utiliser avec AWS DMS.

{
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:PassRole",
                "iam:CreateRole",
                "iam:AttachRolePolicy"
            ],
            "Resource": "arn:aws:service:region:account:resourcetype/id"
        }

La section suivante est obligatoire car elle AWS DMS doit créer l' EC2 instance Amazon et configurer le réseau pour l'instance de réplication créée. Comme ces ressources existent dans le compte du client, il est obligatoire de pouvoir effectuer ces actions au nom du client.

{
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface"
            ],
            "Resource": "arn:aws:service:region:account:resourcetype/id"
        }

La section suivante est obligatoire pour permettre à l'utilisateur d'afficher les métriques de l'instance de réplication.

{
            "Effect": "Allow",
            "Action": [
                "cloudwatch:Get*",
                "cloudwatch:List*"
            ],
            "Resource": "arn:aws:service:region:account:resourcetype/id"
        }

Cette section est obligatoire pour permettre à l'utilisateur d'afficher les journaux de réplication.

{
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams",
                "logs:FilterLogEvents",
                "logs:GetLogEvents"
            ],
            "Resource": "arn:aws:service:region:account:resourcetype/id"
        }

Si vous utilisez la AWS DMS console, le AWS Command Line Interface (AWS CLI) ou l'AWS DMSAPI pour votre migration, vous devez ajouter plusieurs rôles à votre compte. Pour plus d'informations sur l'ajout de ces rôles, consultez Création des rôles IAM à utiliser avec AWS DMS.

Création des rôles IAM à utiliser avec AWS DMS

Si vous utilisez la AWS DMS console, AWS CLI ou l'AWS DMSAPI pour la migration de votre base de données, vous devez ajouter trois rôles IAM à votre AWS compte avant de pouvoir utiliser les fonctionnalités deAWS DMS. Deux d'entre eux sont dms-vpc-role et dms-cloudwatch-logs-role. Si vous utilisez Amazon Redshift comme base de données cible, vous devez également ajouter le rôle IAM dms-access-for-endpoint à votre compte. AWS

Les mises à jour des stratégies gérées sont automatiques. Si vous utilisez une stratégie personnalisée avec les rôles IAM, veillez à vérifier régulièrement la disponibilité des mises à jour de la stratégie gérée dans cette documentation. Vous pouvez afficher les détails de la stratégie gérée grâce à une combinaison des commandes get-policy et get-policy-version.

Par exemple, la commande get-policy suivante récupère les informations relatives au rôle IAM spécifié.


aws iam get-policy --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSVPCManagementRole

Les informations renvoyées par la commande sont les suivantes.


{
    "Policy": {
        "PolicyName": "AmazonDMSVPCManagementRole",
        "PolicyId": "ANPAJHKIGMBQI4AEFFSYO",
        "Arn": "arn:aws:iam::aws:policy/service-role/AmazonDMSVPCManagementRole",
        "Path": "/service-role/",
        "DefaultVersionId": "v4",
        "AttachmentCount": 1,
        "PermissionsBoundaryUsageCount": 0,
        "IsAttachable": true,
        "Description": "Provides access to manage VPC settings for AWS managed customer configurations",
        "CreateDate": "2015-11-18T16:33:19+00:00",
        "UpdateDate": "2024-07-25T15:19:01+00:00",
        "Tags": []
    }
}

La commande get-policy-version suivante récupère les informations relatives à la stratégie IAM.


aws iam get-policy-version --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSVPCManagementRole --version-id v4

Les informations renvoyées par la commande sont les suivantes.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Sid": "ExampleStatementID",
        "Effect": "Allow",
        "Action": [
            "ec2:CreateNetworkInterface",
            "ec2:DeleteNetworkInterface",
            "ec2:DescribeAvailabilityZones",
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeInternetGateways",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcs",
            "ec2:ModifyNetworkInterfaceAttribute"
        ],
        "Resource": "*"
      }
    ]
}

Vous pouvez utiliser les mêmes commandes pour obtenir des informations sur la stratégie gérée AmazonDMSCloudWatchLogsRole et AmazonDMSRedshiftS3Role.

Les procédures suivantes créent les rôles IAM dms-vpc-role, dms-cloudwatch-logs-role et dms-access-for-endpoint.

Pour créer le rôle dms-vpc-role IAM à utiliser avec l'API AWS CLI or AWS DMS

  1. Créez un fichier JSON contenant la politique IAM suivante. Nommez le fichier JSON dmsAssumeRolePolicyDocument.json.

    JSON
    
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
   {
     "Effect": "Allow",
     "Principal": {
        "Service": "dms.amazonaws.com"
     },
   "Action": "sts:AssumeRole"
   }
 ]
}

    Créez le rôle à l'AWS CLIaide de la commande suivante.

    
aws iam create-role --role-name dms-vpc-role --assume-role-policy-document file://dmsAssumeRolePolicyDocument.json

  2. Attachez la stratégie AmazonDMSVPCManagementRole à dms-vpc-role en utilisant la commande suivante.

    
aws iam attach-role-policy --role-name dms-vpc-role --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSVPCManagementRole
Pour créer le rôle dms-cloudwatch-logs-role IAM à utiliser avec l'API AWS CLI or AWS DMS

  1. Créez un fichier JSON contenant la politique IAM suivante. Nommez le fichier JSON dmsAssumeRolePolicyDocument2.json.

    JSON
    
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
   {
     "Effect": "Allow",
     "Principal": {
        "Service": "dms.amazonaws.com"
     },
   "Action": "sts:AssumeRole"
   }
 ]
}

    Créez le rôle à l'AWS CLIaide de la commande suivante.

    
aws iam create-role --role-name dms-cloudwatch-logs-role --assume-role-policy-document file://dmsAssumeRolePolicyDocument2.json

  2. Attachez la stratégie AmazonDMSCloudWatchLogsRole à dms-cloudwatch-logs-role en utilisant la commande suivante.

    
aws iam attach-role-policy --role-name dms-cloudwatch-logs-role --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSCloudWatchLogsRole

Si vous utilisez Amazon Redshift en tant que base de données cible, vous devez créer le rôle IAM dms-access-for-endpoint pour fournir l’accès à Amazon S3.

Pour créer le rôle dms-access-for-endpoint IAM à utiliser avec Amazon Redshift en tant que base de données cible

  1. Créez un fichier JSON contenant la politique IAM suivante. Nommez le fichier JSON dmsAssumeRolePolicyDocument3.json.

    JSON
    
 {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "1",
      "Effect": "Allow",
      "Principal": {
        "Service": "dms.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    },
    {
      "Sid": "2",
      "Effect": "Allow",
      "Principal": {
        "Service": "redshift.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  2. Créez le rôle à l'AWS CLIaide de la commande suivante.

    
  aws iam create-role --role-name dms-access-for-endpoint --assume-role-policy-document file://dmsAssumeRolePolicyDocument3.json

  3. Attachez la stratégie AmazonDMSRedshiftS3Role au rôle dms-access-for-endpoint en utilisant la commande suivante.

    
aws iam attach-role-policy --role-name dms-access-for-endpoint \
    --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSRedshiftS3Role

Vous devriez maintenant avoir mis en place les politiques IAM pour utiliser l'AWS DMSAPI AWS CLI or.