Gestione delle identità e degli accessi per AWS Database Migration Service - AWSServizio di migrazione del Database
DestinatariAutenticazione con identitàGestione dell’accesso tramite policyAutorizzazioni IAM richiesteRuoli IAM per AWS DMS console, CLI e API

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione delle identità e degli accessi per AWS Database Migration Service

AWS Identity and Access Management(IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere autenticato (effettuato l'accesso) e autorizzato (disporre delle autorizzazioni) a utilizzare le risorse. AWS DMS IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.

Argomenti

Destinatari

Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:

Autenticazione con identità

L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS

Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta Come accedere all’Account AWS nella Guida per l’utente di Accedi ad AWS.

Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta AWS Signature Version 4 per le richieste API nella Guida per l’utente di IAM.

Account AWSutente root

Quando si crea unAccount AWS, si inizia con un'identità di accesso denominata utente Account AWS root che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali come utente root, consulta Attività che richiedono le credenziali dell’utente root nella Guida per l’utente di IAM.

Utenti e gruppi IAM

Un utente IAM è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. Per ulteriori informazioni, consulta Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida per l'utente IAM.

Un gruppo IAM specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta Casi d’uso per utenti IAM nella Guida per l’utente di IAM.

Ruoli IAM

Un ruolo IAM è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo passando da un ruolo utente a un ruolo IAM (console) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta Non riesco ad assumere un ruolonella Guida per l’utente di IAM.

I ruoli IAM sono utili per l'accesso federato degli utenti, le autorizzazioni utente IAM temporanee, l'accesso tra account, l'accesso tra servizi e le applicazioni in esecuzione su Amazon. EC2 Per maggiori informazioni, consultare Accesso a risorse multi-account in IAM nella Guida per l’utente IAM.

Gestione dell’accesso tramite policy

Puoi controllare l'accesso AWS creando policy e collegandole a identità o risorse. AWS Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWSvaluta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta Panoramica delle policy JSON nella Guida per l’utente IAM.

Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale principale può eseguire azioni su quali risorse e in quali condizioni.

Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.

Policy basate sull’identità

Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy definiscono le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente nella Guida per l’utente IAM.

Le policy basate su identità possono essere policy in linea (incorporate direttamente in una singola identità) o policy gestite (policy standalone collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta Scegliere tra policy gestite e policy in linea nella Guida per l’utente di IAM.

Policy basate sulle risorse

Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le policy di trust dei ruoli IAM e le policy dei bucket di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio specificare un’entità principale.

Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.

Elenchi di controllo degli accessi () ACLs

Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.

Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioni ACLs, consulta la panoramica della lista di controllo degli accessi (ACL) nella Amazon Simple Storage Service Developer Guide.

Altri tipi di policy

AWSsupporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:

  • Limiti delle autorizzazioni: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta Limiti delle autorizzazioni per le entità IAM nella Guida per l’utente di IAM.

  • Politiche di controllo del servizio (SCPs): specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare Policy di controllo dei servizi nella Guida per l’utente di AWS Organizations.

  • Politiche di controllo delle risorse (RCPs): imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta Politiche di controllo delle risorse (RCPs) nella Guida per l'AWS Organizationsutente.

  • Policy di sessione: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare Policy di sessione nella Guida per l’utente IAM.

Più tipi di policy

Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta Logica di valutazione delle policy nella IAM User Guide.

Autorizzazioni IAM necessarie per utilizzare AWS DMS

Utilizza autorizzazioni IAM e ruoli IAM determinati per usare AWS DMS. Se hai effettuato l'accesso come utente IAM e desideri utilizzarloAWS DMS, l'amministratore dell'account deve allegare la politica discussa in questa sezione all'utente, al gruppo o al ruolo IAM che utilizzi per eseguireAWS DMS. Per ulteriori informazioni sulle autorizzazioni IAM, consulta la Guida per l'utente di IAM.

La seguente politica fornisce l'accesso AWS DMS e le autorizzazioni per determinate azioni necessarie da altri servizi Amazon come IAM AWS KMS EC2, Amazon e Amazon CloudWatch. CloudWatchmonitora la AWS DMS migrazione in tempo reale e raccoglie e tiene traccia delle metriche che indicano lo stato di avanzamento della migrazione. È possibile utilizzare CloudWatch Logs per eseguire il debug dei problemi relativi a un'attività.

Nota

È possibile limitare ulteriormente l'accesso alle AWS DMS risorse utilizzando i tag. Per ulteriori informazioni sulla limitazione dell'accesso alle AWS DMS risorse mediante l'uso di tag, consulta. Controllo granulare degli accessi tramite i nomi e i tag delle risorse

JSON

{

  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "dms:*",
      "Resource": "arn:aws:dms:*:123456789012:*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:DescribeKey"
      ],
      "Resource": "arn:aws:kms:*:123456789012:key/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetRole",
        "iam:PassRole",
        "iam:CreateRole",
        "iam:AttachRolePolicy"
      ],
      "Resource": "arn:aws:iam::123456789012:role/*",
      "Condition": {
        "StringEquals": {
          "iam:PassedToService": "dms.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeVpcs",
        "ec2:DescribeInternetGateways",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeSubnets",
        "ec2:DescribeSecurityGroups",
        "ec2:ModifyNetworkInterfaceAttribute",
        "ec2:CreateNetworkInterface",
        "ec2:DeleteNetworkInterface"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloudwatch:Get*",
        "cloudwatch:List*"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams",
        "logs:FilterLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": "arn:aws:logs:*:123456789012:*"
    }
  ]
}

L'analisi di queste autorizzazioni seguenti potrebbe aiutarti a comprendere meglio il motivo per cui ciascuna di esse è necessaria.

La sezione seguente è necessaria per consentire all'utente di chiamare le operazioni AWS DMS API.

{
            "Effect": "Allow",
            "Action": "dms:*",
            "Resource": "arn:aws:dms:region:account:resourcetype/id"
}

La sezione seguente è necessaria per consentire all'utente di elencare le AWS KMS chiavi e gli alias disponibili da visualizzare nella console. Questa voce non è obbligatoria se conosci l'Amazon Resource Name (ARN) per la chiave KMS e stai utilizzando solo il AWS Command Line Interface (). AWS CLI

{
            "Effect": "Allow",
            "Action": [
                "kms:ListAliases", 
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:service:region:account:resourcetype/id"
        }

La seguente sezione è necessaria per determinati tipi di endpoint che richiedono il trasferimento dell'ARN del ruolo IAM con l'endpoint. Inoltre, se i AWS DMS ruoli richiesti non vengono creati in anticipo, la AWS DMS console può creare il ruolo. Se tutti i ruoli sono configurati in anticipo, tutto ciò di cui hai bisogno è iam:GetRole e iam:PassRole. Per ulteriori informazioni sui ruoli, consulta Creazione dei ruoli IAM da utilizzare con AWS DMS.

{
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:PassRole",
                "iam:CreateRole",
                "iam:AttachRolePolicy"
            ],
            "Resource": "arn:aws:service:region:account:resourcetype/id"
        }

La sezione seguente è obbligatoria perché è AWS DMS necessario creare l' EC2 istanza Amazon e configurare la rete per l'istanza di replica creata. Queste risorse esistono nell'account del cliente, perciò è necessaria la possibilità di eseguire tali azioni per conto del cliente.

{
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcs",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface"
            ],
            "Resource": "arn:aws:service:region:account:resourcetype/id"
        }

La seguente sezione è necessaria per consentire all'utente di visualizzare i parametri dell'istanza di replica.

{
            "Effect": "Allow",
            "Action": [
                "cloudwatch:Get*",
                "cloudwatch:List*"
            ],
            "Resource": "arn:aws:service:region:account:resourcetype/id"
        }

Questa sezione è necessaria per consentire all'utente di visualizzare i log della replica.

{
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams",
                "logs:FilterLogEvents",
                "logs:GetLogEvents"
            ],
            "Resource": "arn:aws:service:region:account:resourcetype/id"
        }

Se utilizzi la AWS DMS console, il AWS Command Line Interface (AWS CLI) o l'AWS DMSAPI per la migrazione, devi aggiungere diversi ruoli al tuo account. Per ulteriori informazioni sull'aggiunta di questi ruoli, consulta Creazione dei ruoli IAM da utilizzare con AWS DMS.

Creazione dei ruoli IAM da utilizzare con AWS DMS

Se utilizzi la AWS DMS console, l'AWS CLIo l'AWS DMSAPI per la migrazione del database, devi aggiungere tre ruoli IAM al tuo AWS account prima di poter utilizzare le funzionalità diAWS DMS. Due di questi sono dms-vpc-role e dms-cloudwatch-logs-role. Se utilizzi Amazon Redshift come database di destinazione, devi anche aggiungere il ruolo IAM dms-access-for-endpoint al tuo AWS account.

Gli aggiornamenti alle policy gestite sono automatici. Se stai usando una policy personalizzata con i ruoli IAM, assicurati di controllare periodicamente gli aggiornamenti per la policy gestita in questa documentazione. È possibile visualizzare i dettagli della policy gestita utilizzando una combinazione dei comandi get-policy e get-policy-version.

Ad esempio, il comando get-policy seguente recupera le informazioni sul ruolo IAM specificato.


aws iam get-policy --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSVPCManagementRole

Le informazioni restituite dal comando sono le seguenti.


{
    "Policy": {
        "PolicyName": "AmazonDMSVPCManagementRole",
        "PolicyId": "ANPAJHKIGMBQI4AEFFSYO",
        "Arn": "arn:aws:iam::aws:policy/service-role/AmazonDMSVPCManagementRole",
        "Path": "/service-role/",
        "DefaultVersionId": "v4",
        "AttachmentCount": 1,
        "PermissionsBoundaryUsageCount": 0,
        "IsAttachable": true,
        "Description": "Provides access to manage VPC settings for AWS managed customer configurations",
        "CreateDate": "2015-11-18T16:33:19+00:00",
        "UpdateDate": "2024-07-25T15:19:01+00:00",
        "Tags": []
    }
}

Il comando get-policy-version seguente recupera le informazioni sulla policy IAM.


aws iam get-policy-version --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSVPCManagementRole --version-id v4

Le informazioni restituite dal comando sono le seguenti.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Sid": "ExampleStatementID",
        "Effect": "Allow",
        "Action": [
            "ec2:CreateNetworkInterface",
            "ec2:DeleteNetworkInterface",
            "ec2:DescribeAvailabilityZones",
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeInternetGateways",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcs",
            "ec2:ModifyNetworkInterfaceAttribute"
        ],
        "Resource": "*"
      }
    ]
}

Gli stessi comandi possono essere utilizzati per ottenere informazioni su AmazonDMSCloudWatchLogsRole e sulla policy gestita AmazonDMSRedshiftS3Role.

Le procedure seguenti creano i ruoli IAM dms-vpc-role, dms-cloudwatch-logs-role e dms-access-for-endpoint.

Per creare il ruolo dms-vpc-role IAM da utilizzare con l'API AWS CLI or AWS DMS

  1. Crea un file JSON con la policy IAM seguente. Denominare il file JSON dmsAssumeRolePolicyDocument.json.

    JSON
    
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
   {
     "Effect": "Allow",
     "Principal": {
        "Service": "dms.amazonaws.com"
     },
   "Action": "sts:AssumeRole"
   }
 ]
}

    Crea il ruolo AWS CLI utilizzando il comando seguente.

    
aws iam create-role --role-name dms-vpc-role --assume-role-policy-document file://dmsAssumeRolePolicyDocument.json

  2. Collegare la policy AmazonDMSVPCManagementRole a dms-vpc-role utilizzando il comando seguente.

    
aws iam attach-role-policy --role-name dms-vpc-role --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSVPCManagementRole
Per creare il ruolo dms-cloudwatch-logs-role IAM da utilizzare con l'AWS DMSAPI AWS CLI or

  1. Crea un file JSON con la policy IAM seguente. Denominare il file JSON dmsAssumeRolePolicyDocument2.json.

    JSON
    
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
   {
     "Effect": "Allow",
     "Principal": {
        "Service": "dms.amazonaws.com"
     },
   "Action": "sts:AssumeRole"
   }
 ]
}

    Crea il ruolo AWS CLI utilizzando il comando seguente.

    
aws iam create-role --role-name dms-cloudwatch-logs-role --assume-role-policy-document file://dmsAssumeRolePolicyDocument2.json

  2. Collegare la policy AmazonDMSCloudWatchLogsRole a dms-cloudwatch-logs-role utilizzando il comando seguente.

    
aws iam attach-role-policy --role-name dms-cloudwatch-logs-role --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSCloudWatchLogsRole

Se utilizzi Amazon Redshift come database di destinazione, è necessario creare il ruolo IAM dms-access-for-endpoint per fornire l'accesso ad Amazon S3.

Per creare il ruolo dms-access-for-endpoint IAM da utilizzare con Amazon Redshift come database di destinazione

  1. Crea un file JSON con la policy IAM seguente. Denominare il file JSON dmsAssumeRolePolicyDocument3.json.

    JSON
    
 {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "1",
      "Effect": "Allow",
      "Principal": {
        "Service": "dms.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    },
    {
      "Sid": "2",
      "Effect": "Allow",
      "Principal": {
        "Service": "redshift.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  2. Crea il ruolo AWS CLI utilizzando il seguente comando.

    
  aws iam create-role --role-name dms-access-for-endpoint --assume-role-policy-document file://dmsAssumeRolePolicyDocument3.json

  3. Collegare la policy AmazonDMSRedshiftS3Role al ruolo dms-access-for-endpoint utilizzando il comando seguente.

    
aws iam attach-role-policy --role-name dms-access-for-endpoint \
    --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSRedshiftS3Role

Ora dovresti disporre delle politiche IAM per utilizzare l'AWS DMSAPI AWS CLI or.