AWSkebijakan terkelola untuk AWS Database Migration Service - AWSLayanan Migrasi Database
DMSVPCManagementPeran AmazonAWSDMSServerlessServiceRolePolicyAmazon DMSCloud WatchLogsRoleAWSDMSFleetAdvisorServiceRolePolicyAmazon DMSRedshift S3PeranPembaruan kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWSkebijakan terkelola untuk AWS Database Migration Service

AWSkebijakan terkelola: DMSVPCManagement Peran Amazon

Kebijakan ini dilampirkan pada dms-vpc-role peran, yang memungkinkan AWS DMS untuk melakukan tindakan atas nama Anda.

Kebijakan ini memberikan izin kontributor yang memungkinkan AWS DMS untuk mengelola sumber daya jaringan.

Detail izin

Kebijakan ini mencakup operasi berikut:

  • ec2:CreateNetworkInterface— AWS DMS membutuhkan izin ini untuk membuat antarmuka jaringan. Antarmuka ini penting untuk contoh AWS DMS replikasi untuk terhubung ke basis data sumber dan target.

  • ec2:DeleteNetworkInterface— AWS DMS membutuhkan izin ini untuk membersihkan antarmuka jaringan yang dibuat setelah mereka tidak lagi diperlukan. Ini membantu dalam manajemen sumber daya dan menghindari biaya yang tidak perlu.

  • ec2:DescribeAvailabilityZones— Izin ini memungkinkan AWS DMS untuk mengambil informasi tentang zona ketersediaan di suatu wilayah. AWS DMSmenggunakan informasi ini untuk memastikan bahwa ia menyediakan sumber daya di zona yang benar untuk redundansi dan ketersediaan.

  • ec2:DescribeDhcpOptions— AWS DMS mengambil rincian set opsi DHCP untuk VPC yang ditentukan. Informasi ini diperlukan untuk mengkonfigurasi jaringan dengan benar untuk contoh replikasi.

  • ec2:DescribeInternetGateways— AWS DMS mungkin memerlukan izin ini untuk memahami gateway internet yang dikonfigurasi dalam VPC. Informasi ini sangat penting jika contoh replikasi atau database membutuhkan akses internet.

  • ec2:DescribeNetworkInterfaces— AWS DMS mengambil informasi tentang antarmuka jaringan yang ada dalam VPC. Informasi ini diperlukan AWS DMS untuk mengkonfigurasi antarmuka jaringan dengan benar dan memastikan konektivitas jaringan yang tepat untuk proses migrasi.

  • ec2:DescribeSecurityGroupsGrup keamanan mengontrol lalu lintas masuk dan keluar ke instans dan sumber daya. AWS DMSperlu menjelaskan kelompok keamanan untuk mengkonfigurasi antarmuka jaringan dengan benar dan memastikan komunikasi yang tepat antara contoh replikasi dan database.

  • ec2:DescribeSubnets— Izin ini memungkinkan AWS DMS untuk membuat daftar subnet dalam VPC. AWS DMSmenggunakan informasi ini untuk meluncurkan contoh replikasi di subnet yang sesuai, memastikan mereka memiliki konektivitas jaringan yang diperlukan.

  • ec2:DescribeVpcs— Mendeskripsikan VPCs sangat penting AWS DMS untuk memahami lingkungan jaringan tempat instance replikasi dan database berada. Ini termasuk mengetahui blok CIDR dan konfigurasi khusus VPC lainnya.

  • ec2:ModifyNetworkInterfaceAttribute— Izin ini diperlukan AWS DMS untuk memodifikasi atribut antarmuka jaringan yang dikelolanya. Ini dapat mencakup pengaturan penyesuaian untuk memastikan konektivitas dan keamanan.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
			"Sid": "Statement1",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface",
				"ec2:DeleteNetworkInterface",
				"ec2:DescribeAvailabilityZones",
				"ec2:DescribeDhcpOptions",
				"ec2:DescribeInternetGateways",
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeSubnets",
				"ec2:DescribeVpcs",
				"ec2:ModifyNetworkInterfaceAttribute"
			],
			"Resource": "*"
		}
    ]
}

AWSkebijakan terkelola: AWSDMSServerless ServiceRolePolicy

Kebijakan ini dilampirkan pada AWSServiceRoleForDMSServerless peran, yang memungkinkan AWS DMS untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Peran terkait layanan untuk AWS DMS.

Kebijakan ini memberikan izin kontributor yang memungkinkan AWS DMS untuk mengelola sumber daya replikasi.

Detail izin

Kebijakan ini mencakup izin berikut.

  • AWS DMS— Memungkinkan kepala sekolah untuk berinteraksi dengan sumber daya. AWS DMS

  • Amazon S3 - Memungkinkan DMS membuat bucket S3 untuk menyimpan penilaian premi. Bucket S3 dibuat untuk satu pengguna per Wilayah dan kebijakan bucket membatasi akses hanya ke peran layanan layanan. 

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "id0",
            "Effect": "Allow",
            "Action": [
                "dms:CreateReplicationInstance",
                "dms:CreateReplicationTask"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "dms:req-tag/ResourceCreatedBy": "DMSServerless"
                }
            }
        },
        {
            "Sid": "id1",
            "Effect": "Allow",
            "Action": [
                "dms:DescribeReplicationInstances",
                "dms:DescribeReplicationTasks"
            ],
            "Resource": "*"
        },
        {
            "Sid": "id2",
            "Effect": "Allow",
            "Action": [
                "dms:StartReplicationTask",
                "dms:StopReplicationTask",
                "dms:ModifyReplicationTask",
                "dms:DeleteReplicationTask",
                "dms:ModifyReplicationInstance",
                "dms:DeleteReplicationInstance"
            ],
            "Resource": [
                "arn:aws:dms:*:*:rep:*",
                "arn:aws:dms:*:*:task:*"
            ],
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
                }
            }
        },
        {
            "Sid": "id3",
            "Effect": "Allow",
            "Action": [
                "dms:TestConnection",
                "dms:DeleteConnection"
            ],
            "Resource": [
                "arn:aws:dms:*:*:rep:*",
                "arn:aws:dms:*:*:endpoint:*"
            ]
        },
        {
            "Sid": "id4",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:PutObjectTagging"
            ],
            "Resource": [
                "arn:aws:s3:::dms-serverless-premigration-results-*",
                "arn:aws:s3:::dms-premigration-results-*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "id5",
            "Effect": "Allow",
            "Action": [
                "s3:PutBucketPolicy",
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:CreateBucket"
            ],
            "Resource": [
                "arn:aws:s3:::dms-serverless-premigration-results-*",
                "arn:aws:s3:::dms-premigration-results-*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "id6",
            "Effect": "Allow",
            "Action": [
                "dms:StartReplicationTaskAssessmentRun"
            ],
            "Resource": [
                "arn:aws:dms:*:*:task:*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

AWSkebijakan terkelola: Amazon DMSCloud WatchLogsRole

Kebijakan ini dilampirkan pada dms-cloudwatch-logs-role peran, yang memungkinkan AWS DMS untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk AWS DMS.

Kebijakan ini memberikan izin kontributor yang memungkinkan AWS DMS untuk mempublikasikan log replikasi ke log. CloudWatch

Detail izin

Kebijakan ini mencakup izin berikut.

  • logs— Memungkinkan kepala sekolah untuk mempublikasikan log ke Log. CloudWatch Izin ini diperlukan agar AWS DMS dapat digunakan CloudWatch untuk menampilkan log replikasi.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowDescribeOnAllLogGroups",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AllowDescribeOfAllLogStreamsOnDmsTasksLogGroup",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*"
            ]
        },
        {
            "Sid": "AllowCreationOfDmsLogGroups",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:"
            ]
        },
        {
            "Sid": "AllowCreationOfDmsLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
            ]
        },
        {
            "Sid": "AllowUploadOfLogEventsToDmsLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
            ]
        }
    ]
}

AWSkebijakan terkelola: AWSDMSFleet AdvisorServiceRolePolicy

Anda tidak dapat melampirkan AWSDMSFleet AdvisorServiceRolePolicy ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan Penasihat AWS DMS Armada untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk AWS DMS.

Kebijakan ini memberikan izin kontributor yang memungkinkan AWS DMS Fleet Advisor mempublikasikan metrik Amazon. CloudWatch

Detail izin

Kebijakan ini mencakup izin berikut.

  • cloudwatch— Memungkinkan kepala sekolah untuk mempublikasikan titik data metrik ke Amazon. CloudWatch Izin ini diperlukan agar AWS DMS Fleet Advisor dapat digunakan CloudWatch untuk menampilkan bagan dengan metrik database.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Resource": "*",
        "Action": "cloudwatch:PutMetricData",
        "Condition": {
            "StringEquals": {
                "cloudwatch:namespace": "AWS/DMS/FleetAdvisor"
            }
        }
    }
}

AWSkebijakan terkelola: Amazon DMSRedshift S3Role

Kebijakan ini memberikan izin yang memungkinkan AWS DMS untuk mengelola setelan S3 untuk titik akhir Redshift.

Detail izin

Kebijakan ini mencakup operasi berikut:

  • s3:CreateBucket- Memungkinkan DMS membuat bucket S3 dengan awalan “dms-”

  • s3:ListBucket- Memungkinkan DMS untuk daftar isi ember S3 dengan awalan “dms-”

  • s3:DeleteBucket - Memungkinkan DMS untuk menghapus ember S3 dengan awalan “dms-”

  • s3:GetBucketLocation- Memungkinkan DMS untuk mengambil Wilayah tempat bucket S3 berada

  • s3:GetObject- Memungkinkan DMS untuk mengambil objek dari ember S3 dengan awalan “dms-”

  • s3:PutObject- Memungkinkan DMS untuk menambahkan objek ke ember S3 dengan awalan “dms-”

  • s3:DeleteObject- Memungkinkan DMS untuk menghapus objek dari ember S3 dengan awalan “dms-”

  • s3:GetObjectVersion- Memungkinkan DMS untuk mengambil versi objek tertentu dalam bucket berversi

  • s3:GetBucketPolicy- Memungkinkan DMS untuk mengambil kebijakan bucket

  • s3:PutBucketPolicy- Memungkinkan DMS untuk membuat atau memperbarui kebijakan bucket

  • s3:GetBucketAcl- Memungkinkan DMS untuk mengambil daftar kontrol akses bucket () ACLs

  • s3:PutBucketVersioning- Memungkinkan DMS untuk mengaktifkan atau menangguhkan versi pada bucket

  • s3:GetBucketVersioning- Memungkinkan DMS untuk mengambil status pembuatan versi bucket

  • s3:PutLifecycleConfiguration- Memungkinkan DMS untuk membuat atau memperbarui aturan siklus hidup untuk bucket

  • s3:GetLifecycleConfiguration- Memungkinkan DMS untuk mengambil aturan siklus hidup yang dikonfigurasi untuk bucket

  • s3:DeleteBucketPolicy- Memungkinkan DMS untuk menghapus kebijakan bucket

Semua izin ini hanya berlaku untuk sumber daya dengan pola ARN: arn:aws:s3:::dms-*

Dokumen kebijakan JSON

JSON
{
  "Version":"2012-10-17",		 	 	  
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:ListBucket", 
        "s3:DeleteBucket",
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:PutObject",
        "s3:DeleteObject",
        "s3:GetObjectVersion",
        "s3:GetBucketPolicy",
        "s3:PutBucketPolicy",
        "s3:GetBucketAcl",
        "s3:PutBucketVersioning",
        "s3:GetBucketVersioning",
        "s3:PutLifecycleConfiguration",
        "s3:GetLifecycleConfiguration",
        "s3:DeleteBucketPolicy"
      ],
      "Resource": "arn:aws:s3:::dms-*"
    }
  ]
}

AWS DMSpembaruan kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola AWS DMS sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat AWS DMS dokumen.

Ubah Deskripsi Date

AWSDMSServerlessServiceRolePolicy— Ubah

AWS DMSdiperbarui AWSDMSServerlessServiceRolePolicy untuk memungkinkan DMS membuat bucket S3 dan memasukkan hasil penilaian premi ke dalam bucket tersebut untuk tugas replikasi yang tidak terkait dengan DMS tanpa server.

 November 5, 2025

Peran terkait layanan untuk Tanpa AWS DMS Server - Perubahan

AWS DMSdiperbarui AWSDMSServerlessServiceRolePolicy dms:StartReplicationTaskAssessmentRun untuk memungkinkan mendukung menjalankan penilaian premi. AWS DMSjuga memperbarui peran terkait layanan tanpa server untuk membuat bucket S3 dan memasukkan hasil penilaian premi ke dalam bucket tersebut.

 Februari 14, 2025

AWSDMSServerlessServiceRolePolicy— Ubah

AWS DMSditambahkan dms:ModifyReplicationTask yang diperlukan oleh AWS DMS Serverless untuk memanggil ModifyReplicationTask operasi untuk memodifikasi tugas replikasi. AWS DMSditambahkan dms:ModifyReplicationInstance yang diperlukan oleh AWS DMS Serverless untuk memanggil ModifyReplicationInstance operasi untuk memodifikasi contoh replikasi.

 Januari 17, 2025

DMSVPCManagementPeran Amazon - Ubah

AWS DMSditambahkan ec2:DescribeDhcpOptions dan ec2:DescribeNetworkInterfaces operasi AWS DMS untuk memungkinkan mengelola pengaturan jaringan atas nama Anda.

 Juni 17, 2024

AWSDMSServerlessServiceRolePolicy – Kebijakan baru

AWS DMSmenambahkan AWSDMSServerlessServiceRolePolicy peran AWS DMS untuk memungkinkan membuat dan mengelola layanan atas nama Anda, seperti menerbitkan CloudWatch metrik Amazon.

 22 Mei 2023

Amazon DMSCloud WatchLogsRole - Ubah

AWS DMSmenambahkan ARN untuk sumber daya tanpa server ke setiap izin yang diberikan, untuk memungkinkan mengunggah log replikasi dari konfigurasi AWS DMS replikasi tanpa server ke Log. CloudWatch

22 Mei 2023

AWSDMSFleetAdvisorServiceRolePolicy – Kebijakan baru

AWS DMSFleet Advisor menambahkan kebijakan baru untuk memungkinkan penerbitan titik data metrik ke Amazon CloudWatch.

 6 Maret 2023

AWS DMSmulai melacak perubahan

AWS DMSmulai melacak perubahan untuk kebijakan yang AWS dikelola.

 6 Maret 2023