AWSの 管理ポリシーAWS Database Migration Service - AWSデータベース移行サービス
AmazonDMSVPCManagementRoleAWSDMSServerlessServiceRolePolicyAmazonDMSCloudWatchLogsRoleAWSDMSFleetAdvisorServiceRolePolicyAmazonDMSRedshiftS3Roleポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWSの 管理ポリシーAWS Database Migration Service

AWSマネージドポリシー: AmazonDMSVPCManagementRole

このポリシーは dms-vpc-roleロールにアタッチされ、 がユーザーに代わってアクションを実行AWS DMSできるようにします。

このポリシーは、 がネットワークリソースを管理できるようにする寄稿者アクセス許可を付与AWS DMSします。

アクセス許可の詳細

このポリシーには、次の操作が含まれます。

  • ec2:CreateNetworkInterface – ネットワークインターフェイスを作成するには、このアクセス許可AWS DMSが必要です。AWS DMS レプリケーションインスタンスがソースおよびターゲットデータベースに接続するには、これらのインターフェイスは不可欠です。

  • ec2:DeleteNetworkInterface – 不要になったネットワークインターフェイスをクリーンアップするには、このアクセス許可AWS DMSが必要です。これは、リソース管理と不必要なコストの回避に役立ちます。

  • ec2:DescribeAvailabilityZones - このアクセス許可により、AWS DMS はリージョン内のアベイラビリティーゾーンに関する情報を取得できます。AWS DMS はこの情報を使用して、冗長性と可用性のために正しいゾーンにリソースをプロビジョニングします。

  • ec2:DescribeDhcpOptions – 指定された VPC の DHCP オプションセットの詳細AWS DMSを取得します。この情報は、レプリケーションインスタンスにネットワークを正しく設定するために必要です。

  • ec2:DescribeInternetGateways – VPC で設定されたインターネットゲートウェイを理解するために、このアクセス許可が必要になるAWS DMS場合があります。この情報は、レプリケーションインスタンスまたはデータベースにインターネットアクセスが必要な場合に不可欠です。

  • ec2:DescribeNetworkInterfaces – VPC 内の既存のネットワークインターフェイスに関する情報AWS DMSを取得します。この情報は、 AWS DMSがネットワークインターフェイスを正しく設定し、移行プロセスに適したネットワーク接続を確保するために必要です。

  • ec2:DescribeSecurityGroups – セキュリティグループは、インスタンスとリソースへのインバウンドトラフィックとアウトバウンドトラフィックを制御します。 は、ネットワークインターフェイスを正しく設定し、レプリケーションインスタンスとデータベース間の適切な通信を確保するために、セキュリティグループを記述AWS DMSする必要があります。

  • ec2:DescribeSubnets – このアクセス許可によりAWS DMS、 は VPC 内のサブネットを一覧表示できます。 は、この情報AWS DMSを使用して適切なサブネットでレプリケーションインスタンスを起動し、必要なネットワーク接続を確保します。

  • ec2:DescribeVpcs - VPC の記述は、AWS DMS がレプリケーションインスタンスとデータベースが配置されているネットワーク環境を理解するために不可欠です。これには、CIDR ブロックやその他の VPC 固有の設定を知ることが含まれます。

  • ec2:ModifyNetworkInterfaceAttribute – このアクセス許可は、 が管理するネットワークインターフェイスの属性を変更AWS DMSするために必要です。これには、接続とセキュリティを確保するための設定の調整が含まれる場合があります。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
			"Sid": "Statement1",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface",
				"ec2:DeleteNetworkInterface",
				"ec2:DescribeAvailabilityZones",
				"ec2:DescribeDhcpOptions",
				"ec2:DescribeInternetGateways",
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeSubnets",
				"ec2:DescribeVpcs",
				"ec2:ModifyNetworkInterfaceAttribute"
			],
			"Resource": "*"
		}
    ]
}

AWSマネージドポリシー: AWSDMSServerlessServiceRolePolicy

このポリシーは AWSServiceRoleForDMSServerlessロールにアタッチされ、 がユーザーに代わってアクションを実行AWS DMSできるようにします。詳細については、「のサービスにリンクされたロールAWS DMS」を参照してください。

このポリシーは、 がレプリケーションリソースを管理できるようにする寄稿者アクセス許可を付与AWS DMSします。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • AWS DMS – プリンシパルが AWS DMSリソースとやり取りできるようにします。

  • Amazon S3 – DMS が移行前評価を保存するための S3 バケットを作成できるようにします。S3 バケットはリージョンごとに 1 人のユーザーに対して作成され、そのバケットポリシーはアクセスをサービスのサービスロールのみに制限します。

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "id0",
            "Effect": "Allow",
            "Action": [
                "dms:CreateReplicationInstance",
                "dms:CreateReplicationTask"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "dms:req-tag/ResourceCreatedBy": "DMSServerless"
                }
            }
        },
        {
            "Sid": "id1",
            "Effect": "Allow",
            "Action": [
                "dms:DescribeReplicationInstances",
                "dms:DescribeReplicationTasks"
            ],
            "Resource": "*"
        },
        {
            "Sid": "id2",
            "Effect": "Allow",
            "Action": [
                "dms:StartReplicationTask",
                "dms:StopReplicationTask",
                "dms:ModifyReplicationTask",
                "dms:DeleteReplicationTask",
                "dms:ModifyReplicationInstance",
                "dms:DeleteReplicationInstance"
            ],
            "Resource": [
                "arn:aws:dms:*:*:rep:*",
                "arn:aws:dms:*:*:task:*"
            ],
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
                }
            }
        },
        {
            "Sid": "id3",
            "Effect": "Allow",
            "Action": [
                "dms:TestConnection",
                "dms:DeleteConnection"
            ],
            "Resource": [
                "arn:aws:dms:*:*:rep:*",
                "arn:aws:dms:*:*:endpoint:*"
            ]
        },
        {
            "Sid": "id4",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:PutObjectTagging"
            ],
            "Resource": [
                "arn:aws:s3:::dms-serverless-premigration-results-*",
                "arn:aws:s3:::dms-premigration-results-*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "id5",
            "Effect": "Allow",
            "Action": [
                "s3:PutBucketPolicy",
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:CreateBucket"
            ],
            "Resource": [
                "arn:aws:s3:::dms-serverless-premigration-results-*",
                "arn:aws:s3:::dms-premigration-results-*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "id6",
            "Effect": "Allow",
            "Action": [
                "dms:StartReplicationTaskAssessmentRun"
            ],
            "Resource": [
                "arn:aws:dms:*:*:task:*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

AWSマネージドポリシー: AmazonDMSCloudWatchLogsRole

このポリシーは dms-cloudwatch-logs-roleロールにアタッチされ、 がユーザーに代わってアクションを実行AWS DMSできるようにします。詳細については、「AWS DMS のサービスにリンクされたロールの使用」を参照してください。

このポリシーは、 が CloudWatch ログAWS DMSにレプリケーションログを発行できるようにする寄稿者アクセス許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • logs – プリンシパルにログを CloudWatch Logs に公開することを許可します。このアクセス許可は、 AWS DMSが CloudWatch を使用してレプリケーションログを表示できるようにするために必要です。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowDescribeOnAllLogGroups",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AllowDescribeOfAllLogStreamsOnDmsTasksLogGroup",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*"
            ]
        },
        {
            "Sid": "AllowCreationOfDmsLogGroups",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:"
            ]
        },
        {
            "Sid": "AllowCreationOfDmsLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
            ]
        },
        {
            "Sid": "AllowUploadOfLogEventsToDmsLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
            ]
        }
    ]
}

AWS マネージドポリシー: AWSDMSFleetAdvisorServiceRolePolicy

AWSDMSFleetAdvisorServiceRolePolicy を IAM エンティティにアタッチすることはできません。このポリシーは、Fleet AWS DMSAdvisor がユーザーに代わってアクションを実行できるようにするサービスにリンクされたロールにアタッチされます。詳細については、「AWS DMS のサービスにリンクされたロールの使用」を参照してください。

このポリシーは、Fleet Advisor AWS DMSが Amazon CloudWatch メトリクスを発行できるようにする寄稿者アクセス許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • cloudwatch – プリンシパルがメトリクスのデータポイントを Amazon CloudWatch に公開することを許可します。このアクセス許可は、Fleet Advisor AWS DMSが CloudWatch を使用してデータベースメトリクスを含むグラフを表示できるようにするために必要です。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Resource": "*",
        "Action": "cloudwatch:PutMetricData",
        "Condition": {
            "StringEquals": {
                "cloudwatch:namespace": "AWS/DMS/FleetAdvisor"
            }
        }
    }
}

AWSマネージドポリシー: AmazonDMSRedshiftS3Role

このポリシーは、 が Redshift エンドポイントの S3 設定を管理AWS DMSできるようにするアクセス許可を提供します。

アクセス許可の詳細

このポリシーには、次の操作が含まれます。

  • s3:CreateBucket - DMS が「dms-」プレフィックスを持つ S3 バケットを作成することを許可します

  • s3:ListBucket - DMS が「dms-」プレフィックスを持つ S3 バケットの内容を一覧表示することを許可します

  • s3:DeleteBucket - DMS が「dms-」プレフィックスを持つ S3 バケットを削除することを許可します

  • s3:GetBucketLocation - DMS が S3 バケットがあるリージョンを取得することを許可します

  • s3:GetObject - DMS が「dms-」プレフィックスを持つ S3 バケットからオブジェクトを取得することを許可します

  • s3:PutObject - DMS が「dms-」プレフィックスを使用して S3 バケットにオブジェクトを追加することを許可します

  • s3:DeleteObject - DMS が「dms-」プレフィックスを持つ S3 バケットからオブジェクトを削除することを許可します

  • s3:GetObjectVersion - DMS がバージョニングされたバケット内の特定のバージョンのオブジェクトを取得することを許可します

  • s3:GetBucketPolicy - DMS がバケットポリシーを取得することを許可します

  • s3:PutBucketPolicy - DMS がバケットポリシーを作成または更新することを許可します

  • s3:GetBucketAcl - DMS がバケットアクセスコントロールリスト (ACL) を取得することを許可します

  • s3:PutBucketVersioning - DMS がバケットのバージョニングを有効化または停止することを許可します

  • s3:GetBucketVersioning - DMS がバケットのバージョニングステータスを取得することを許可します

  • s3:PutLifecycleConfiguration - DMS がバケットのライフサイクルルールを作成または更新することを許可します

  • s3:GetLifecycleConfiguration - DMS がバケット用に設定されたライフサイクルルールを取得することを許可します

  • s3:DeleteBucketPolicy - DMS がバケットポリシーを削除することを許可します

これらのアクセス許可はすべて、ARN パターン「arn:aws:s3:::dms-*」を持つリソースにのみ適用されます。

JSON ポリシードキュメント

JSON
{
  "Version":"2012-10-17",		 	 	  
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:ListBucket", 
        "s3:DeleteBucket",
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:PutObject",
        "s3:DeleteObject",
        "s3:GetObjectVersion",
        "s3:GetBucketPolicy",
        "s3:PutBucketPolicy",
        "s3:GetBucketAcl",
        "s3:PutBucketVersioning",
        "s3:GetBucketVersioning",
        "s3:PutLifecycleConfiguration",
        "s3:GetLifecycleConfiguration",
        "s3:DeleteBucketPolicy"
      ],
      "Resource": "arn:aws:s3:::dms-*"
    }
  ]
}

AWS DMSAWS管理ポリシーの更新

このサービスがこれらの変更の追跡を開始AWS DMSしてからの の AWS管理ポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、AWS DMSドキュメント履歴ページの RSS フィードにサブスクライブしてください。

変更 説明 日付

AWSDMSServerlessServiceRolePolicy – 変更

AWS DMSが更新されAWSDMSServerlessServiceRolePolicy、DMS が S3 バケットを作成し、DMS サーバーレスに関連しないレプリケーションタスクの移行前評価結果をそれらのバケットに配置することができるようになりました。

 2025 年 11 月 5 日

AWS DMSServerless のサービスにリンクされたロール – 変更

AWS DMSはAWSDMSServerlessServiceRolePolicy、移行前評価の実行をサポートdms:StartReplicationTaskAssessmentRunできるように更新されました。AWS DMSまた、 はサーバーレスサービスにリンクされたロールを更新して S3 バケットを作成し、移行前評価結果をそれらのバケットに配置しました。

 2025 年 2 月 14 日

AWSDMSServerlessServiceRolePolicy – 変更

AWS DMSdms:ModifyReplicationTaskは、レプリケーションタスクを変更するために ModifyReplicationTaskオペレーションを呼び出すために AWS DMSServerless が必要とする を追加しました。 dms:ModifyReplicationInstance は、レプリケーションインスタンスを変更するために ModifyReplicationInstanceオペレーションを呼び出すために AWS DMSServerless が必要とする AWS DMSを追加しました。

 2025 年 1 月 17 日

AmazonDMSVPCManagementRole - 変更

AWS DMSがユーザーに代わってネットワーク設定を管理できるようにする ec2:DescribeDhcpOptionsおよび AWS DMSec2:DescribeNetworkInterfacesオペレーションが追加されました。

 2024 年 6 月 17 日

AWSDMSServerlessServiceRolePolicy – 新しいポリシー

AWS DMSに、Amazon CloudWatch メトリクスの公開など、 がユーザーに代わってサービスを作成および管理AWS DMSすることを許可する AWSDMSServerlessServiceRolePolicyロールが追加されました。

 2023 年 5 月 22 日

AmazonDMSCloudWatchLogsRole – 変更

AWS DMSは、サーバーレスレプリケーション設定から CloudWatch Logs へのAWS DMSレプリケーションログのアップロードを許可するために、付与された各アクセス許可にサーバーレスリソースの ARN を追加しました。

 2023 年 5 月 22 日

AWSDMSFleetAdvisorServiceRolePolicy – 新しいポリシー

AWS DMSFleet Advisor は、メトリクスデータポイントを Amazon CloudWatch に発行できるようにする新しいポリシーを追加しました。

 2023 年 3 月 6 日

AWS DMSが変更の追跡を開始しました

AWS DMSは、 AWS管理ポリシーの変更の追跡を開始しました。

 2023 年 3 月 6 日