Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Membuat kebijakan dan peran akses rahasia Ikuti prosedur di bawah ini untuk membuat kebijakan dan peran akses rahasia Anda yang memungkinkan DMS mengakses kredensi pengguna untuk basis data sumber dan target Anda. **Untuk membuat kebijakan dan peran akses rahasia, yang memungkinkan Amazon RDS mengakses AWS Secrets Manager untuk mengakses rahasia Anda yang sesuai** 1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Identity and Access Management (IAM) di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Pilih **Kebijakan**, lalu pilih **Buat kebijakan**. 1. Pilih **JSON** dan masukkan kebijakan berikut untuk mengaktifkan akses ke dan dekripsi rahasia Anda. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:{{us-east-1}}:{{111122223333}}:secret:SecretName-ABCDEF" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws:kms:{{us-east-1}}:111122223333:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}}" } ] } ``` ------ Di sini, `{{secret_arn}}` adalah ARN rahasia Anda, yang bisa Anda dapatkan dari yang `SecretsManagerSecretId` sesuai, dan `{{kms_key_arn}}` merupakan ARN dari AWS KMS kunci yang Anda gunakan untuk mengenkripsi rahasia Anda, seperti pada contoh berikut. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:us-east-2:123456789012:secret:MySQLTestSecret-qeHamH" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-east-2:123456789012:key/761138dc-0542-4e58-947f-4a3a8458d0fd" } ] } ``` ------ **catatan** Jika Anda menggunakan kunci enkripsi default yang dibuat oleh AWS Secrets Manager, Anda tidak perlu menentukan AWS KMS izin untuk`{{kms_key_arn}}`. Jika Anda ingin kebijakan Anda menyediakan akses ke kedua rahasia, cukup tentukan objek sumber daya JSON tambahan untuk yang lain{{secret\_arn}}. 1. Tinjau dan buat kebijakan dengan nama yang dikenal dan deskripsi opsional. 1. Pilih **Peran**, lalu pilih **Buat peran**. 1. Pilih **layanan AWS ** sebagai jenis entitas terpercaya. 1. Pilih **DMS** dari daftar layanan sebagai layanan terpercaya, lalu pilih **Berikutnya: Izin**. 1. Cari dan lampirkan kebijakan yang Anda buat di langkah 4, lalu lanjutkan dengan menambahkan tag dan tinjau peran Anda. Pada titik ini, edit hubungan kepercayaan untuk peran tersebut untuk menggunakan prinsipal layanan regional Amazon RDS Anda sebagai entitas tepercaya. Prinsipal ini memiliki format berikut. ``` dms.{{region-name}}.amazonaws.com ``` Di sini, {{`region-name`}} adalah nama wilayah Anda, seperti `us-east-1`. Dengan demikian, kepala layanan regional Amazon RDS untuk wilayah ini mengikuti. ``` dms.us-east-1.amazonaws.com dms-data-migrations.amazonaws.com ```