翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS の 管理ポリシー AWS Database Migration Service
**Topics**
+ [AWS マネージドポリシー: AmazonDMSVPCManagementRole](#security-iam-awsmanpol-AmazonDMSVPCManagementRole)
+ [AWS マネージドポリシー: AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy)
+ [AWS マネージドポリシー: AmazonDMSCloudWatchLogsRole](#security-iam-awsmanpol-AmazonDMSCloudWatchLogsRole)
+ [AWS マネージドポリシー: AWSDMSFleetAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSDMSFleetAdvisorServiceRolePolicy)
+ [AWS マネージドポリシー: AmazonDMSRedshiftS3Role](#security-iam-awsmanpol-AmazonDMSRedshiftS3Role)
+ [AWS DMS AWS 管理ポリシーの更新](#security-iam-awsmanpol-updates)
## AWS マネージドポリシー: AmazonDMSVPCManagementRole
このポリシーは `dms-vpc-role`ロールにアタッチされ、 がユーザーに代わってアクションを実行 AWS DMS できるようにします。
このポリシーは、 がネットワークリソースを管理できるようにする寄稿者アクセス許可を付与 AWS DMS します。
**アクセス許可の詳細**
このポリシーには、次の操作が含まれます。
+ `ec2:CreateNetworkInterface` – ネットワークインターフェイスを作成するには、このアクセス許可 AWS DMS が必要です。 AWS DMS レプリケーションインスタンスがソースおよびターゲットデータベースに接続するには、これらのインターフェイスは不可欠です。
+ `ec2:DeleteNetworkInterface` – 不要になったネットワークインターフェイスをクリーンアップするには、このアクセス許可 AWS DMS が必要です。これは、リソース管理と不必要なコストの回避に役立ちます。
+ `ec2:DescribeAvailabilityZones` - このアクセス許可により、 AWS DMS はリージョン内のアベイラビリティーゾーンに関する情報を取得できます。 AWS DMS はこの情報を使用して、冗長性と可用性のために正しいゾーンにリソースをプロビジョニングします。
+ `ec2:DescribeDhcpOptions` – 指定された VPC の DHCP オプションセットの詳細 AWS DMS を取得します。この情報は、レプリケーションインスタンスにネットワークを正しく設定するために必要です。
+ `ec2:DescribeInternetGateways` – VPC で設定されたインターネットゲートウェイを理解するために、このアクセス許可が必要になる AWS DMS 場合があります。この情報は、レプリケーションインスタンスまたはデータベースにインターネットアクセスが必要な場合に不可欠です。
+ `ec2:DescribeNetworkInterfaces` – VPC 内の既存のネットワークインターフェイスに関する情報 AWS DMS を取得します。この情報は、 AWS DMS がネットワークインターフェイスを正しく設定し、移行プロセスに適したネットワーク接続を確保するために必要です。
+ `ec2:DescribeSecurityGroups` – セキュリティグループは、インスタンスとリソースへのインバウンドトラフィックとアウトバウンドトラフィックを制御します。 は、ネットワークインターフェイスを正しく設定し、レプリケーションインスタンスとデータベース間の適切な通信を確保するために、セキュリティグループを記述 AWS DMS する必要があります。
+ `ec2:DescribeSubnets` – このアクセス許可により AWS DMS 、 は VPC 内のサブネットを一覧表示できます。 はこの情報 AWS DMS を使用して、適切なサブネットでレプリケーションインスタンスを起動し、必要なネットワーク接続を確保します。
+ `ec2:DescribeVpcs` - VPC の記述は、 AWS DMS がレプリケーションインスタンスとデータベースが配置されているネットワーク環境を理解するために不可欠です。これには、CIDR ブロックやその他の VPC 固有の設定を知ることが含まれます。
+ `ec2:ModifyNetworkInterfaceAttribute` – このアクセス許可は、 が管理するネットワークインターフェイスの属性を変更 AWS DMS するために必要です。これには、接続とセキュリティを確保するための設定の調整が含まれる場合があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeDhcpOptions",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
## AWS マネージドポリシー: AWSDMSServerlessServiceRolePolicy
このポリシーは `AWSServiceRoleForDMSServerless`ロールにアタッチされ、 がユーザーに代わってアクションを実行 AWS DMS できるようにします。詳細については、「[のサービスにリンクされたロール AWS DMS](slr-services-sl.md)」を参照してください。
このポリシーは、 がレプリケーションリソースを管理できるようにする寄稿者アクセス許可を付与 AWS DMS します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ **AWS DMS** – プリンシパルが AWS DMS リソースとやり取りできるようにします。
+ **Amazon S3** – DMS が移行前評価を保存するための S3 バケットを作成できるようにします。S3 バケットはリージョンごとに 1 人のユーザーに対して作成され、そのバケットポリシーはアクセスをサービスのサービスロールのみに制限します。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "id0",
"Effect": "Allow",
"Action": [
"dms:CreateReplicationInstance",
"dms:CreateReplicationTask"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"dms:req-tag/ResourceCreatedBy": "DMSServerless"
}
}
},
{
"Sid": "id1",
"Effect": "Allow",
"Action": [
"dms:DescribeReplicationInstances",
"dms:DescribeReplicationTasks"
],
"Resource": "*"
},
{
"Sid": "id2",
"Effect": "Allow",
"Action": [
"dms:StartReplicationTask",
"dms:StopReplicationTask",
"dms:ModifyReplicationTask",
"dms:DeleteReplicationTask",
"dms:ModifyReplicationInstance",
"dms:DeleteReplicationInstance"
],
"Resource": [
"arn:aws:dms:*:*:rep:*",
"arn:aws:dms:*:*:task:*"
],
"Condition": {
"StringEqualsIgnoreCase": {
"aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
}
}
},
{
"Sid": "id3",
"Effect": "Allow",
"Action": [
"dms:TestConnection",
"dms:DeleteConnection"
],
"Resource": [
"arn:aws:dms:*:*:rep:*",
"arn:aws:dms:*:*:endpoint:*"
]
},
{
"Sid": "id4",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObject",
"s3:PutObjectTagging"
],
"Resource": [
"arn:aws:s3:::dms-serverless-premigration-results-*",
"arn:aws:s3:::dms-premigration-results-*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "id5",
"Effect": "Allow",
"Action": [
"s3:PutBucketPolicy",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:CreateBucket"
],
"Resource": [
"arn:aws:s3:::dms-serverless-premigration-results-*",
"arn:aws:s3:::dms-premigration-results-*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "id6",
"Effect": "Allow",
"Action": [
"dms:StartReplicationTaskAssessmentRun"
],
"Resource": [
"arn:aws:dms:*:*:task:*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS マネージドポリシー: AmazonDMSCloudWatchLogsRole
このポリシーは `dms-cloudwatch-logs-role`ロールにアタッチされ、 がユーザーに代わってアクションを実行 AWS DMS できるようにします。詳細については、「[のサービスにリンクされたロールの使用 AWS DMS](using-service-linked-roles.md)」を参照してください。
このポリシーは、 が CloudWatch Logs AWS DMS にレプリケーションログを発行できるようにする寄稿者アクセス許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `logs` – プリンシパルにログを CloudWatch Logs に公開することを許可します。このアクセス許可は、 AWS DMS が CloudWatch を使用してレプリケーションログを表示できるようにするために必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribeOnAllLogGroups",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowDescribeOfAllLogStreamsOnDmsTasksLogGroup",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*"
]
},
{
"Sid": "AllowCreationOfDmsLogGroups",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:"
]
},
{
"Sid": "AllowCreationOfDmsLogStream",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
]
},
{
"Sid": "AllowUploadOfLogEventsToDmsLogStream",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
]
}
]
}
```
------
## AWS マネージドポリシー: AWSDMSFleetAdvisorServiceRolePolicy
AWSDMSFleetAdvisorServiceRolePolicy を IAM エンティティにアタッチすることはできません。このポリシーは、Fleet AWS DMS Advisor がユーザーに代わってアクションを実行できるようにするサービスにリンクされたロールにアタッチされます。詳細については、「[のサービスにリンクされたロールの使用 AWS DMS](using-service-linked-roles.md)」を参照してください。
このポリシーは、Fleet Advisor AWS DMS が Amazon CloudWatch メトリクスを発行できるようにする寄稿者アクセス許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `cloudwatch` – プリンシパルがメトリクスのデータポイントを Amazon CloudWatch に公開することを許可します。このアクセス許可は、Fleet Advisor AWS DMS が CloudWatch を使用してデータベースメトリクスを含むグラフを表示できるようにするために必要です。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/DMS/FleetAdvisor"
}
}
}
}
```
------
## AWS マネージドポリシー: AmazonDMSRedshiftS3Role
このポリシーは、 が Redshift エンドポイントの S3 設定を管理 AWS DMS できるようにするアクセス許可を提供します。
**アクセス許可の詳細**
このポリシーには、次の操作が含まれます。
+ `s3:CreateBucket` - DMS が「dms-」プレフィックスを持つ S3 バケットを作成することを許可します
+ `s3:ListBucket` - DMS が「dms-」プレフィックスを持つ S3 バケットの内容を一覧表示することを許可します
+ `s3:DeleteBucket ` - DMS が「dms-」プレフィックスを持つ S3 バケットを削除することを許可します
+ `s3:GetBucketLocation` - DMS が S3 バケットがあるリージョンを取得することを許可します
+ `s3:GetObject` - DMS が「dms-」プレフィックスを持つ S3 バケットからオブジェクトを取得することを許可します
+ `s3:PutObject` - DMS が「dms-」プレフィックスを使用して S3 バケットにオブジェクトを追加することを許可します
+ `s3:DeleteObject` - DMS が「dms-」プレフィックスを持つ S3 バケットからオブジェクトを削除することを許可します
+ `s3:GetObjectVersion` - DMS がバージョニングされたバケット内の特定のバージョンのオブジェクトを取得することを許可します
+ `s3:GetBucketPolicy` - DMS がバケットポリシーを取得することを許可します
+ `s3:PutBucketPolicy` - DMS がバケットポリシーを作成または更新することを許可します
+ `s3:GetBucketAcl` - DMS がバケットアクセスコントロールリスト (ACL) を取得することを許可します
+ `s3:PutBucketVersioning` - DMS がバケットのバージョニングを有効化または停止することを許可します
+ `s3:GetBucketVersioning` - DMS がバケットのバージョニングステータスを取得することを許可します
+ `s3:PutLifecycleConfiguration` - DMS がバケットのライフサイクルルールを作成または更新することを許可します
+ `s3:GetLifecycleConfiguration` - DMS がバケット用に設定されたライフサイクルルールを取得することを許可します
+ `s3:DeleteBucketPolicy` - DMS がバケットポリシーを削除することを許可します
これらのアクセス許可はすべて、ARN パターン「`arn:aws:s3:::dms-*`」を持つリソースにのみ適用されます。
**JSON ポリシードキュメント**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:DeleteBucket",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:GetBucketAcl",
"s3:PutBucketVersioning",
"s3:GetBucketVersioning",
"s3:PutLifecycleConfiguration",
"s3:GetLifecycleConfiguration",
"s3:DeleteBucketPolicy"
],
"Resource": "arn:aws:s3:::dms-*"
}
]
}
```
------
## AWS DMS AWS 管理ポリシーの更新
このサービスがこれらの変更の追跡を開始 AWS DMS してからの の AWS 管理ポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、 AWS DMS ドキュメント履歴ページの RSS フィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy) – 変更 | AWS DMS が更新され`AWSDMSServerlessServiceRolePolicy`、DMS が S3 バケットを作成し、DMS サーバーレスに関連しないレプリケーションタスクの移行前評価結果をそれらのバケットに配置することができるようになりました。 | 2025 年 11 月 5 日 |
| [AWS DMS Serverless のサービスにリンクされたロール](slr-services-sl.md) – 変更 | AWS DMS は`AWSDMSServerlessServiceRolePolicy`、移行前評価の実行をサポート`dms:StartReplicationTaskAssessmentRun`できるように更新されました。 AWS DMS また、サーバーレスサービスにリンクされたロールを更新して S3 バケットを作成し、移行前評価結果をそれらのバケットに配置しました。 | 2025 年 2 月 14 日 |
| [AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy) – 変更 | AWS DMS `dms:ModifyReplicationTask`は、レプリケーションタスクを変更するために `ModifyReplicationTask`オペレーションを呼び出すために AWS DMS Serverless が必要とする を追加しました。 `dms:ModifyReplicationInstance` は、レプリケーションインスタンスを変更するために `ModifyReplicationInstance`オペレーションを呼び出すために AWS DMS Serverless が必要とする AWS DMS を追加しました。 | 2025 年 1 月 17 日 |
| [AmazonDMSVPCManagementRole](#security-iam-awsmanpol-AmazonDMSVPCManagementRole) - 変更 | AWS DMS がユーザーに代わってネットワーク設定を管理できるようにする `ec2:DescribeDhcpOptions`および AWS DMS `ec2:DescribeNetworkInterfaces`オペレーションが追加されました。 | 2024 年 6 月 17 日 |
| [AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy) – 新しいポリシー | AWS DMS に、Amazon CloudWatch メトリクスの公開など、 がユーザーに代わってサービスを作成および管理 AWS DMS することを許可する `AWSDMSServerlessServiceRolePolicy`ロールが追加されました。 | 2023 年 5 月 22 日 |
| [AmazonDMSCloudWatchLogsRole](#security-iam-awsmanpol-AmazonDMSCloudWatchLogsRole) – 変更 | AWS DMS は、サーバーレスレプリケーション設定から CloudWatch Logs への AWS DMS レプリケーションログのアップロードを許可するために、付与された各アクセス許可にサーバーレスリソースの ARN を追加しました。 | 2023 年 5 月 22 日 |
| [AWSDMSFleetAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSDMSFleetAdvisorServiceRolePolicy) – 新しいポリシー | AWS DMS Fleet Advisor は、メトリクスデータポイントを Amazon CloudWatch に発行できるようにする新しいポリシーを追加しました。 | 2023 年 3 月 6 日 |
| AWS DMS が変更の追跡を開始しました | AWS DMS は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2023 年 3 月 6 日 |