View a markdown version of this page

Creazione di un ruolo e una policy di accesso ai segreti - Amazon Relational Database Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di un ruolo e una policy di accesso ai segreti

Le procedure seguenti consentono di creare un ruolo e una policy di accesso ai segreti che consentano a DMS di accedere alle credenziali utente per i database di origine e di destinazione.

Per creare la politica e il ruolo di accesso segreti, che consentano ad Amazon RDS di accedere Gestione dei segreti AWS per accedere al segreto appropriato

  1. Accedi Console di gestione AWS e apri la console AWS Identity and Access Management (IAM) all'indirizzo https://console.aws.amazon.com/iam/.

  2. Seleziona Policy, quindi scegli Crea policy.

  3. Scegli JSON e inserisci la seguente policy per consentire l'accesso e la decrittografia del tuo segreto.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:SecretName-ABCDEF"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ]
}

    secret_arnEcco l'ARN del tuo segreto, che puoi ottenere da entrambi SecretsManagerSecretId a seconda dei casi, ed kms_key_arn è l'ARN della AWS KMS chiave che stai usando per crittografare il tuo segreto, come nell'esempio seguente.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:us-east-2:123456789012:secret:MySQLTestSecret-qeHamH"
        },
        {
             "Effect": "Allow",
             "Action": [
                        "kms:Decrypt",
                        "kms:DescribeKey"
                      ],
             "Resource": "arn:aws:kms:us-east-2:123456789012:key/761138dc-0542-4e58-947f-4a3a8458d0fd"
        }
     ]
}
    Nota

    Se si utilizza la chiave di crittografia predefinita creata da Gestione dei segreti AWS, non è necessario specificare le AWS KMS autorizzazioni per. kms_key_arn

    Se desideri che la tua policy fornisca l'accesso a entrambi i segreti, specifica semplicemente un oggetto risorsa JSON aggiuntivo per l'altro. secret_arn

  4. Rivedi e crea la policy con un nome descrittivo e, facoltativamente, una descrizione.

  5. Seleziona Ruoli, quindi scegli Crea ruolo.

  6. Per il tipo di entità attendibile, scegli Servizio AWS .

  7. Scegli DMS dall'elenco dei servizi come servizio attendibile, quindi seleziona Successivo: Autorizzazioni.

  8. Cerca e collega la policy che hai creato nella fase 4, quindi procedi con l'aggiunta di eventuali tag ed esamina il ruolo. A questo punto, modifica le relazioni di trust per il ruolo in modo da utilizzare il principale del servizio regionale Amazon RDS come entità attendibile. Questo principale ha il seguente formato.

    dms.region-name.amazonaws.com

    Qui region-name è il nome della regione, ad esempio us-east-1. Segue quindi il principale del servizio regionale Amazon RDS per questa Regione.

    dms.us-east-1.amazonaws.com
dms-data-migrations.amazonaws.com