Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Creazione di un ruolo e una policy di accesso ai segreti Le procedure seguenti consentono di creare un ruolo e una policy di accesso ai segreti che consentano a DMS di accedere alle credenziali utente per i database di origine e di destinazione. **Per creare la politica e il ruolo di accesso segreti, che consentano ad Amazon RDS di accedere Gestione dei segreti AWS per accedere al segreto appropriato** 1. Accedi Console di gestione AWS e apri la console AWS Identity and Access Management (IAM) all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Seleziona **Policy**, quindi scegli **Crea policy**. 1. Scegli **JSON** e inserisci la seguente policy per consentire l'accesso e la decrittografia del tuo segreto. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:SecretName-ABCDEF" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ] } ``` ------ `secret_arn`Ecco l'ARN del tuo segreto, che puoi ottenere da entrambi `SecretsManagerSecretId` a seconda dei casi, ed `kms_key_arn` è l'ARN della AWS KMS chiave che stai usando per crittografare il tuo segreto, come nell'esempio seguente. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:us-east-2:123456789012:secret:MySQLTestSecret-qeHamH" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-east-2:123456789012:key/761138dc-0542-4e58-947f-4a3a8458d0fd" } ] } ``` ------ **Nota** Se si utilizza la chiave di crittografia predefinita creata da Gestione dei segreti AWS, non è necessario specificare le AWS KMS autorizzazioni per. `kms_key_arn` Se desideri che la tua policy fornisca l'accesso a entrambi i segreti, specifica semplicemente un oggetto risorsa JSON aggiuntivo per l'altro. *secret\$1arn* 1. Rivedi e crea la policy con un nome descrittivo e, facoltativamente, una descrizione. 1. Seleziona **Ruoli**, quindi scegli **Crea ruolo**. 1. Per il tipo di entità attendibile, scegli **Servizio AWS **. 1. Scegli **DMS** dall'elenco dei servizi come servizio attendibile, quindi seleziona **Successivo: Autorizzazioni**. 1. Cerca e collega la policy che hai creato nella fase 4, quindi procedi con l'aggiunta di eventuali tag ed esamina il ruolo. A questo punto, modifica le relazioni di trust per il ruolo in modo da utilizzare il principale del servizio regionale Amazon RDS come entità attendibile. Questo principale ha il seguente formato. ``` dms.region-name.amazonaws.com ``` Qui *`region-name`* è il nome della regione, ad esempio `us-east-1`. Segue quindi il principale del servizio regionale Amazon RDS per questa Regione. ``` dms.us-east-1.amazonaws.com dms-data-migrations.amazonaws.com ```