Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS kebijakan terkelola untuk AWS Database Migration Service
AWS kebijakan terkelola: DMSVPCManagement Peran Amazon
Kebijakan ini dilampirkan pada dms-vpc-role peran, yang memungkinkan AWS DMS untuk melakukan tindakan atas nama Anda.
Kebijakan ini memberikan izin kontributor yang memungkinkan AWS DMS untuk mengelola sumber daya jaringan.
Detail izin
Kebijakan ini mencakup operasi berikut:
-
ec2:CreateNetworkInterface— AWS DMS membutuhkan izin ini untuk membuat antarmuka jaringan. Antarmuka ini penting untuk contoh AWS DMS replikasi untuk terhubung ke basis data sumber dan target. -
ec2:DeleteNetworkInterface— AWS DMS membutuhkan izin ini untuk membersihkan antarmuka jaringan yang dibuat setelah mereka tidak lagi diperlukan. Ini membantu dalam manajemen sumber daya dan menghindari biaya yang tidak perlu. -
ec2:DescribeAvailabilityZones— Izin ini memungkinkan AWS DMS untuk mengambil informasi tentang zona ketersediaan di suatu wilayah. AWS DMS menggunakan informasi ini untuk memastikan bahwa ia menyediakan sumber daya di zona yang benar untuk redundansi dan ketersediaan. -
ec2:DescribeDhcpOptions— AWS DMS mengambil rincian set opsi DHCP untuk VPC yang ditentukan. Informasi ini diperlukan untuk mengkonfigurasi jaringan dengan benar untuk contoh replikasi. -
ec2:DescribeInternetGateways— AWS DMS mungkin memerlukan izin ini untuk memahami gateway internet yang dikonfigurasi dalam VPC. Informasi ini sangat penting jika contoh replikasi atau database membutuhkan akses internet. -
ec2:DescribeNetworkInterfaces— AWS DMS mengambil informasi tentang antarmuka jaringan yang ada dalam VPC. Informasi ini diperlukan AWS DMS untuk mengkonfigurasi antarmuka jaringan dengan benar dan memastikan konektivitas jaringan yang tepat untuk proses migrasi. -
ec2:DescribeSecurityGroupsGrup keamanan mengontrol lalu lintas masuk dan keluar ke instans dan sumber daya. AWS DMS perlu menjelaskan kelompok keamanan untuk mengkonfigurasi antarmuka jaringan dengan benar dan memastikan komunikasi yang tepat antara contoh replikasi dan database. -
ec2:DescribeSubnets— Izin ini memungkinkan AWS DMS untuk membuat daftar subnet dalam VPC. AWS DMS menggunakan informasi ini untuk meluncurkan contoh replikasi di subnet yang sesuai, memastikan mereka memiliki konektivitas jaringan yang diperlukan. -
ec2:DescribeVpcs— Mendeskripsikan VPCs sangat penting AWS DMS untuk memahami lingkungan jaringan tempat instance replikasi dan database berada. Ini termasuk mengetahui blok CIDR dan konfigurasi khusus VPC lainnya. -
ec2:ModifyNetworkInterfaceAttribute— Izin ini diperlukan AWS DMS untuk memodifikasi atribut antarmuka jaringan yang dikelolanya. Ini dapat mencakup pengaturan penyesuaian untuk memastikan konektivitas dan keamanan.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:DescribeAvailabilityZones", "ec2:DescribeDhcpOptions", "ec2:DescribeInternetGateways", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:ModifyNetworkInterfaceAttribute" ], "Resource": "*" } ] }
AWS kebijakan terkelola: AWSDMSServerless ServiceRolePolicy
Kebijakan ini dilampirkan pada AWSServiceRoleForDMSServerless peran, yang memungkinkan AWS DMS untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Peran terkait layanan untuk Tanpa Server AWS DMS.
Kebijakan ini memberikan izin kontributor yang memungkinkan AWS DMS untuk mengelola sumber daya replikasi.
Detail izin
Kebijakan ini mencakup izin berikut.
-
AWS DMS— Memungkinkan kepala sekolah untuk berinteraksi dengan sumber daya. AWS DMS
-
Amazon S3 - Memungkinkan S3 membuat bucket S3 untuk menyimpan penilaian premi tanpa server. Hasil penilaian premi tanpa server akan disimpan dengan awalan.
dms-severless-premigration-assessment-<UUID>Bucket S3 dibuat untuk satu pengguna per Wilayah dan kebijakan bucket membatasi akses hanya ke peran layanan layanan.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "id0", "Effect": "Allow", "Action": [ "dms:CreateReplicationInstance", "dms:CreateReplicationTask" ], "Resource": "*", "Condition": { "StringEquals": { "dms:req-tag/ResourceCreatedBy": "DMSServerless" } } }, { "Sid": "id1", "Effect": "Allow", "Action": [ "dms:DescribeReplicationInstances", "dms:DescribeReplicationTasks" ], "Resource": "*" }, { "Sid": "id2", "Effect": "Allow", "Action": [ "dms:StartReplicationTask", "dms:StopReplicationTask", "dms:ModifyReplicationTask", "dms:DeleteReplicationTask", "dms:ModifyReplicationInstance", "dms:DeleteReplicationInstance" ], "Resource": [ "arn:aws:dms:*:*:rep:*", "arn:aws:dms:*:*:task:*" ], "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/ResourceCreatedBy": "DMSServerless" } } }, { "Sid": "id3", "Effect": "Allow", "Action": [ "dms:TestConnection", "dms:DeleteConnection" ], "Resource": [ "arn:aws:dms:*:*:rep:*", "arn:aws:dms:*:*:endpoint:*" ] }, { "Sid": "id4", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:DeleteObject", "s3:GetObject", "s3:PutObjectTagging" ], "Resource": [ "arn:aws:s3:::dms-serverless-premigration-results-*" ], "Condition": { "StringEquals": { "s3:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "id5", "Effect": "Allow", "Action": [ "s3:PutBucketPolicy", "s3:ListBucket", "s3:GetBucketLocation", "s3:CreateBucket" ], "Resource": [ "arn:aws:s3:::dms-serverless-premigration-results-*" ], "Condition": { "StringEquals": { "s3:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "id6", "Effect": "Allow", "Action": [ "dms:StartReplicationTaskAssessmentRun" ], "Resource": [ "*" ], "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/ResourceCreatedBy": "DMSServerless" } } } ] }
AWS kebijakan terkelola: Amazon DMSCloud WatchLogsRole
Kebijakan ini dilampirkan pada dms-cloudwatch-logs-role peran, yang memungkinkan AWS DMS untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk AWS DMS.
Kebijakan ini memberikan izin kontributor yang memungkinkan AWS DMS untuk mempublikasikan log replikasi ke log. CloudWatch
Detail izin
Kebijakan ini mencakup izin berikut.
-
logs— Memungkinkan kepala sekolah untuk mempublikasikan log ke Log. CloudWatch Izin ini diperlukan agar AWS DMS dapat digunakan CloudWatch untuk menampilkan log replikasi.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowDescribeOnAllLogGroups", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": [ "*" ] }, { "Sid": "AllowDescribeOfAllLogStreamsOnDmsTasksLogGroup", "Effect": "Allow", "Action": [ "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:*:*:log-group:dms-tasks-*", "arn:aws:logs:*:*:log-group:dms-serverless-replication-*" ] }, { "Sid": "AllowCreationOfDmsLogGroups", "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:*:*:log-group:dms-tasks-*", "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:" ] }, { "Sid": "AllowCreationOfDmsLogStream", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*", "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*" ] }, { "Sid": "AllowUploadOfLogEventsToDmsLogStream", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*", "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*" ] } ] }
AWS kebijakan terkelola: AWSDMSFleet AdvisorServiceRolePolicy
Anda tidak dapat melampirkan AWSDMSFleet AdvisorServiceRolePolicy ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan Penasihat AWS DMS Armada untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk AWS DMS.
Kebijakan ini memberikan izin kontributor yang memungkinkan AWS DMS Fleet Advisor mempublikasikan metrik Amazon. CloudWatch
Detail izin
Kebijakan ini mencakup izin berikut.
-
cloudwatch— Memungkinkan kepala sekolah untuk mempublikasikan titik data metrik ke Amazon. CloudWatch Izin ini diperlukan agar AWS DMS Fleet Advisor dapat digunakan CloudWatch untuk menampilkan bagan dengan metrik database.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Resource": "*", "Action": "cloudwatch:PutMetricData", "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/DMS/FleetAdvisor" } } } }
AWS kebijakan terkelola: Amazon DMSRedshift S3Role
Kebijakan ini memberikan izin yang memungkinkan AWS DMS untuk mengelola setelan S3 untuk titik akhir Redshift.
Detail izin
Kebijakan ini mencakup operasi berikut:
-
s3:CreateBucket- Memungkinkan DMS membuat bucket S3 dengan awalan “dms-” -
s3:ListBucket- Memungkinkan DMS untuk daftar isi ember S3 dengan awalan “dms-” -
s3:DeleteBucket- Memungkinkan DMS untuk menghapus ember S3 dengan awalan “dms-” -
s3:GetBucketLocation- Memungkinkan DMS untuk mengambil Wilayah tempat bucket S3 berada -
s3:GetObject- Memungkinkan DMS untuk mengambil objek dari ember S3 dengan awalan “dms-” -
s3:PutObject- Memungkinkan DMS untuk menambahkan objek ke ember S3 dengan awalan “dms-” -
s3:DeleteObject- Memungkinkan DMS untuk menghapus objek dari ember S3 dengan awalan “dms-” -
s3:GetObjectVersion- Memungkinkan DMS untuk mengambil versi objek tertentu dalam bucket berversi -
s3:GetBucketPolicy- Memungkinkan DMS untuk mengambil kebijakan bucket -
s3:PutBucketPolicy- Memungkinkan DMS untuk membuat atau memperbarui kebijakan bucket -
s3:GetBucketAcl- Memungkinkan DMS untuk mengambil daftar kontrol akses bucket () ACLs -
s3:PutBucketVersioning- Memungkinkan DMS untuk mengaktifkan atau menangguhkan versi pada bucket -
s3:GetBucketVersioning- Memungkinkan DMS untuk mengambil status pembuatan versi bucket -
s3:PutLifecycleConfiguration- Memungkinkan DMS untuk membuat atau memperbarui aturan siklus hidup untuk bucket -
s3:GetLifecycleConfiguration- Memungkinkan DMS untuk mengambil aturan siklus hidup yang dikonfigurasi untuk bucket -
s3:DeleteBucketPolicy- Memungkinkan DMS untuk menghapus kebijakan bucket
Semua izin ini hanya berlaku untuk sumber daya dengan pola ARN: arn:aws:s3:::dms-*
Dokumen kebijakan JSON
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:ListBucket", "s3:DeleteBucket", "s3:GetBucketLocation", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetObjectVersion", "s3:GetBucketPolicy", "s3:PutBucketPolicy", "s3:GetBucketAcl", "s3:PutBucketVersioning", "s3:GetBucketVersioning", "s3:PutLifecycleConfiguration", "s3:GetLifecycleConfiguration", "s3:DeleteBucketPolicy" ], "Resource": "arn:aws:s3:::dms-*" } ] }
AWS DMS pembaruan kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola AWS DMS sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat AWS DMS dokumen.
| Perubahan | Deskripsi | Tanggal |
|---|---|---|
|
AWS DMS diperbarui |
Februari 14, 2025 | |
|
AWS DMS ditambahkan |
Januari 17, 2025 | |
|
DMSVPCManagementPeran Amazon - Ubah |
AWS DMS ditambahkan |
Juni 17, 2024 |
|
AWSDMSServerlessServiceRolePolicy – Kebijakan baru |
AWS DMS menambahkan |
22 Mei 2023 |
|
AWS DMS menambahkan ARN untuk sumber daya tanpa server ke setiap izin yang diberikan, untuk memungkinkan mengunggah log replikasi dari konfigurasi AWS DMS replikasi tanpa server ke Log. CloudWatch |
22 Mei 2023 | |
|
AWSDMSFleetAdvisorServiceRolePolicy – Kebijakan baru |
AWS DMS Fleet Advisor menambahkan kebijakan baru untuk memungkinkan penerbitan titik data metrik ke Amazon CloudWatch. |
6 Maret 2023 |
|
AWS DMS mulai melacak perubahan |
AWS DMS mulai melacak perubahan untuk kebijakan AWS terkelolanya. |
6 Maret 2023 |
