AWS の 管理ポリシー AWS Database Migration Service - AWS データベース移行サービス
AmazonDMSVPCManagementRoleAWSDMSServerlessServiceRolePolicyAmazonDMSCloudWatchLogsRoleAWSDMSFleetAdvisorServiceRolePolicyAmazonDMSRedshiftS3Roleポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS の 管理ポリシー AWS Database Migration Service

AWS マネージドポリシー: AmazonDMSVPCManagementRole

このポリシーは dms-vpc-roleロールにアタッチされ、 AWS DMS がユーザーに代わってアクションを実行できるようにします。

このポリシーは、 がネットワークリソースを管理できるようにする寄稿者アクセス許可を付与 AWS DMS します。

アクセス許可の詳細

このポリシーには、次の操作が含まれます。

  • ec2:CreateNetworkInterface – ネットワークインターフェイスを作成するには、このアクセス許可 AWS DMS が必要です。 AWS DMS レプリケーションインスタンスがソースおよびターゲットデータベースに接続するには、これらのインターフェイスは不可欠です。

  • ec2:DeleteNetworkInterface – 不要になったネットワークインターフェイスをクリーンアップするには、このアクセス許可 AWS DMS が必要です。これは、リソース管理と不必要なコストの回避に役立ちます。

  • ec2:DescribeAvailabilityZones - このアクセス許可により、 AWS DMS はリージョン内のアベイラビリティーゾーンに関する情報を取得できます。 AWS DMS はこの情報を使用して、冗長性と可用性のために正しいゾーンにリソースをプロビジョニングします。

  • ec2:DescribeDhcpOptions – 指定された VPC の DHCP オプションセットの詳細 AWS DMS を取得します。この情報は、レプリケーションインスタンスにネットワークを正しく設定するために必要です。

  • ec2:DescribeInternetGateways – VPC で設定されたインターネットゲートウェイを理解するために、このアクセス許可が必要になる AWS DMS 場合があります。この情報は、レプリケーションインスタンスまたはデータベースにインターネットアクセスが必要な場合に不可欠です。

  • ec2:DescribeNetworkInterfaces – VPC 内の既存のネットワークインターフェイスに関する情報 AWS DMS を取得します。この情報は、 AWS DMS がネットワークインターフェイスを正しく設定し、移行プロセスに適したネットワーク接続を確保するために必要です。

  • ec2:DescribeSecurityGroups – セキュリティグループは、インスタンスとリソースへのインバウンドトラフィックとアウトバウンドトラフィックを制御します。 は、ネットワークインターフェイスを正しく設定し、レプリケーションインスタンスとデータベース間の適切な通信を確保するために、セキュリティグループを記述 AWS DMS する必要があります。

  • ec2:DescribeSubnets – このアクセス許可により AWS DMS 、 は VPC 内のサブネットを一覧表示できます。 はこの情報 AWS DMS を使用して、適切なサブネットでレプリケーションインスタンスを起動し、必要なネットワーク接続を確保します。

  • ec2:DescribeVpcs - VPC の記述は、 AWS DMS がレプリケーションインスタンスとデータベースが配置されているネットワーク環境を理解するために不可欠です。これには、CIDR ブロックやその他の VPC 固有の設定を知ることが含まれます。

  • ec2:ModifyNetworkInterfaceAttribute – このアクセス許可は、 が管理するネットワークインターフェイスの属性を変更 AWS DMS するために必要です。これには、接続とセキュリティを確保するための設定の調整が含まれる場合があります。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
			"Sid": "Statement1",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface",
				"ec2:DeleteNetworkInterface",
				"ec2:DescribeAvailabilityZones",
				"ec2:DescribeDhcpOptions",
				"ec2:DescribeInternetGateways",
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeSubnets",
				"ec2:DescribeVpcs",
				"ec2:ModifyNetworkInterfaceAttribute"
			],
			"Resource": "*"
		}
    ]
}

AWS マネージドポリシー: AWSDMSServerlessServiceRolePolicy

このポリシーは AWSServiceRoleForDMSServerlessロールにアタッチされ、 AWS DMS がユーザーに代わってアクションを実行できるようにします。詳細については、「AWS DMS Serverless のサービスにリンクされたロール」を参照してください。

このポリシーは、 がレプリケーションリソースを管理できるようにする寄稿者アクセス許可を付与 AWS DMS します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • AWS DMS – プリンシパルが AWS DMS リソースとやり取りできるようにします。

  • Amazon S3 – S3 がサーバーレス移行前評価を保存するための S3 バケットを作成できるようにします。サーバーレス移行前評価の結果は、dms-severless-premigration-assessment-<UUID>プレフィックスとともに保存されます。S3 バケットはリージョンごとに 1 人のユーザーに対して作成され、そのバケットポリシーはサービスのサービスロールにのみアクセスを制限します。

JSON
{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "id0",
			"Effect": "Allow",
			"Action": [
				"dms:CreateReplicationInstance",
				"dms:CreateReplicationTask"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"dms:req-tag/ResourceCreatedBy": "DMSServerless"
				}
			}
		},
		{
			"Sid": "id1",
			"Effect": "Allow",
			"Action": [
				"dms:DescribeReplicationInstances",
				"dms:DescribeReplicationTasks"
			],
			"Resource": "*"
		},
		{
			"Sid": "id2",
			"Effect": "Allow",
			"Action": [
				"dms:StartReplicationTask",
				"dms:StopReplicationTask",
				"dms:ModifyReplicationTask",
				"dms:DeleteReplicationTask",
				"dms:ModifyReplicationInstance",
				"dms:DeleteReplicationInstance"
			],
			"Resource": [
				"arn:aws:dms:*:*:rep:*",
				"arn:aws:dms:*:*:task:*"
			],
			"Condition": {
				"StringEqualsIgnoreCase": {
					"aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
				}
			}
		},
		{
			"Sid": "id3",
			"Effect": "Allow",
			"Action": [
				"dms:TestConnection",
				"dms:DeleteConnection"
			],
			"Resource": [
				"arn:aws:dms:*:*:rep:*",
				"arn:aws:dms:*:*:endpoint:*"
			]
		},
		{
			"Sid": "id4",
			"Effect": "Allow",
			"Action": [
				"s3:PutObject",
				"s3:DeleteObject",
				"s3:GetObject",
				"s3:PutObjectTagging"
			],
			"Resource": [
				"arn:aws:s3:::dms-serverless-premigration-results-*"
			],
			"Condition": {
				"StringEquals": {
					"s3:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "id5",
			"Effect": "Allow",
			"Action": [
				"s3:PutBucketPolicy",
				"s3:ListBucket",
				"s3:GetBucketLocation",
				"s3:CreateBucket"
			],
			"Resource": [
				"arn:aws:s3:::dms-serverless-premigration-results-*"
			],
			"Condition": {
				"StringEquals": {
					"s3:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "id6",
			"Effect": "Allow",
			"Action": [
				"dms:StartReplicationTaskAssessmentRun"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEqualsIgnoreCase": {
					"aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
				}
			}
		}
	]
}

AWS マネージドポリシー: AmazonDMSCloudWatchLogsRole

このポリシーは dms-cloudwatch-logs-roleロールにアタッチされ、 AWS DMS がユーザーに代わってアクションを実行できるようにします。詳細については、「AWS DMSのサービスにリンクされたロールの使用」を参照してください。

このポリシーは、 が CloudWatch ログ AWS DMS にレプリケーションログを発行することを許可する寄稿者アクセス許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • logs – プリンシパルにログを CloudWatch Logs に公開することを許可します。このアクセス許可は、 AWS DMS が CloudWatch を使用してレプリケーションログを表示できるようにするために必要です。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDescribeOnAllLogGroups",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AllowDescribeOfAllLogStreamsOnDmsTasksLogGroup",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*"
            ]
        },
        {
            "Sid": "AllowCreationOfDmsLogGroups",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:"
            ]
        },
        {
            "Sid": "AllowCreationOfDmsLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
            ]
        },
        {
            "Sid": "AllowUploadOfLogEventsToDmsLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
            ]
        }
    ]
}

AWS マネージドポリシー: AWSDMSFleetAdvisorServiceRolePolicy

AWSDMSFleetAdvisorServiceRolePolicy を IAM エンティティにアタッチすることはできません。このポリシーは、Fleet AWS DMS Advisor がユーザーに代わってアクションを実行できるようにするサービスにリンクされたロールにアタッチされます。詳細については、「AWS DMSのサービスにリンクされたロールの使用」を参照してください。

このポリシーは、Fleet Advisor AWS DMS が Amazon CloudWatch メトリクスを発行できるようにする寄稿者アクセス許可を付与します。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • cloudwatch – プリンシパルがメトリクスのデータポイントを Amazon CloudWatch に公開することを許可します。このアクセス許可は、Fleet Advisor AWS DMS が CloudWatch を使用してデータベースメトリクスを含むグラフを表示できるようにするために必要です。

JSON
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Resource": "*",
        "Action": "cloudwatch:PutMetricData",
        "Condition": {
            "StringEquals": {
                "cloudwatch:namespace": "AWS/DMS/FleetAdvisor"
            }
        }
    }
}

AWS マネージドポリシー: AmazonDMSRedshiftS3Role

このポリシーは、 が Redshift エンドポイントの S3 設定を管理 AWS DMS できるようにするアクセス許可を提供します。

アクセス許可の詳細

このポリシーには、次の操作が含まれます。

  • s3:CreateBucket - DMS が「dms-」プレフィックスを持つ S3 バケットを作成できるようにします

  • s3:ListBucket - DMS が「dms-」プレフィックスを持つ S3 バケットの内容を一覧表示できるようにします

  • s3:DeleteBucket - DMS が「dms-」プレフィックスを持つ S3 バケットを削除できるようにします

  • s3:GetBucketLocation - DMS が S3 バケットがあるリージョンを取得できるようにします

  • s3:GetObject - DMS が「dms-」プレフィックスを持つ S3 バケットからオブジェクトを取得できるようにします

  • s3:PutObject - DMS が「dms-」プレフィックスを使用して S3 バケットにオブジェクトを追加できるようにします

  • s3:DeleteObject - DMS が「dms-」プレフィックスを持つ S3 バケットからオブジェクトを削除できるようにします

  • s3:GetObjectVersion - DMS がバージョニングされたバケット内の特定のバージョンのオブジェクトを取得できるようにします

  • s3:GetBucketPolicy - DMS がバケットポリシーを取得できるようにします

  • s3:PutBucketPolicy - DMS がバケットポリシーを作成または更新することを許可する

  • s3:GetBucketAcl - DMS がバケットアクセスコントロールリスト (ACLs) を取得できるようにします

  • s3:PutBucketVersioning - DMS がバケットのバージョニングを有効化または停止することを許可する

  • s3:GetBucketVersioning - DMS がバケットのバージョニングステータスを取得できるようにします

  • s3:PutLifecycleConfiguration - DMS がバケットのライフサイクルルールを作成または更新できるようにします

  • s3:GetLifecycleConfiguration - DMS がバケット用に設定されたライフサイクルルールを取得できるようにします

  • s3:DeleteBucketPolicy - DMS がバケットポリシーを削除することを許可する

これらのアクセス許可はすべて、ARN パターンを持つリソースにのみ適用されます。 arn:aws:s3:::dms-*

JSON ポリシードキュメント

JSON
{
  "Version": "2012-10-17", 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:ListBucket", 
        "s3:DeleteBucket",
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:PutObject",
        "s3:DeleteObject",
        "s3:GetObjectVersion",
        "s3:GetBucketPolicy",
        "s3:PutBucketPolicy",
        "s3:GetBucketAcl",
        "s3:PutBucketVersioning",
        "s3:GetBucketVersioning",
        "s3:PutLifecycleConfiguration",
        "s3:GetLifecycleConfiguration",
        "s3:DeleteBucketPolicy"
      ],
      "Resource": "arn:aws:s3:::dms-*"
    }
  ]
}

AWS DMSAWS 管理ポリシーの更新

このサービスがこれらの変更の追跡を開始 AWS DMS してからの の AWS 管理ポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、 AWS DMS ドキュメント履歴ページの RSS フィードにサブスクライブしてください。

変更 説明 日付

AWS DMS Serverless のサービスにリンクされたロール – 変更

AWS DMS が移行前評価の実行をサポートAWSDMSServerlessServiceRolePolicydms:StartReplicationTaskAssessmentRunできるように を更新しました。 AWS DMS また、サーバーレスサービスにリンクされたロールを更新して S3 バケットを作成し、移行前評価結果をそれらのバケットに配置しました。

 2025 年 2 月 14 日

AWSDMSServerlessServiceRolePolicy – 変更

AWS DMS dms:ModifyReplicationTaskは、レプリケーションタスクを変更するために ModifyReplicationTaskオペレーションを呼び出すために AWS DMS Serverless が必要とする を追加しました。 dms:ModifyReplicationInstance は、レプリケーションインスタンスを変更するために ModifyReplicationInstanceオペレーションを呼び出すために AWS DMS Serverless が必要とする AWS DMS を追加しました。

 2025年1月17日

AmazonDMSVPCManagementRole - 変更

AWS DMS がユーザーに代わってネットワーク設定を管理できるようにする ec2:DescribeDhcpOptionsおよび AWS DMS ec2:DescribeNetworkInterfacesオペレーションが追加されました。

 2024 年 6 月 17 日

AWSDMSServerlessServiceRolePolicy – 新しいポリシー

AWS DMS に、Amazon CloudWatch メトリクスの公開など、 がユーザーに代わってサービスを作成および管理 AWS DMS することを許可する AWSDMSServerlessServiceRolePolicyロールが追加されました。

 2023 年 5 月 22 日

AmazonDMSCloudWatchLogsRole – 変更

AWS DMS は、サーバーレスレプリケーション設定から CloudWatch Logs への AWS DMS レプリケーションログのアップロードを許可するために、付与された各アクセス許可にサーバーレスリソースの ARN を追加しました。

 2023 年 5 月 22 日

AWSDMSFleetAdvisorServiceRolePolicy – 新しいポリシー

AWS DMS Fleet Advisor は、メトリクスデータポイントを Amazon CloudWatch に発行できるようにする新しいポリシーを追加しました。

 2023 年 3 月 6 日

AWS DMS が変更の追跡を開始しました

AWS DMS は、 AWS 管理ポリシーの変更の追跡を開始しました。

 2023 年 3 月 6 日