기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS 에 대한 관리형 정책 AWS Database Migration Service
**Topics**
+ [AWS 관리형 정책: AmazonDMSVPCManagementRole](#security-iam-awsmanpol-AmazonDMSVPCManagementRole)
+ [AWS 관리형 정책: AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy)
+ [AWS 관리형 정책: AmazonDMSCloudWatchLogsRole](#security-iam-awsmanpol-AmazonDMSCloudWatchLogsRole)
+ [AWS 관리형 정책: AWSDMSFleetAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSDMSFleetAdvisorServiceRolePolicy)
+ [AWS 관리형 정책: AmazonDMSRedshiftS3Role](#security-iam-awsmanpol-AmazonDMSRedshiftS3Role)
+ [AWS DMS AWS 관리형 정책에 대한 업데이트](#security-iam-awsmanpol-updates)
## AWS 관리형 정책: AmazonDMSVPCManagementRole
이 정책은 `dms-vpc-role` 역할에 연결되므로가 사용자를 대신하여 작업을 AWS DMS 수행할 수 있습니다.
이 정책은 AWS DMS 가 네트워크 리소스를 관리할 수 있는 권한을 기여자에게 부여합니다.
** 권한 세부 정보**
이 정책에는 다음 옵션이 포함됩니다.
+ `ec2:CreateNetworkInterface` - 네트워크 인터페이스를 생성하려면이 권한이 AWS DMS 필요합니다. 이러한 인터페이스는 AWS DMS 복제 인스턴스가 소스 및 대상 데이터베이스에 연결하는 데 필수적입니다.
+ `ec2:DeleteNetworkInterface` - 더 이상 필요하지 않은 네트워크 인터페이스를 정리하려면이 권한이 AWS DMS 필요합니다. 이렇게 하면 리소스 관리와 불필요한 비용 방지에 도움이 됩니다.
+ `ec2:DescribeAvailabilityZones` - 이 권한을 통해 AWS DMS 는 리전의 가용 영역에 대한 정보를 검색할 수 있습니다. AWS DMS 는 이 정보를 사용하여 중복 및 가용성을 위해 올바른 영역에 리소스를 프로비저닝합니다.
+ `ec2:DescribeDhcpOptions` –지정된 VPC에 대한 DHCP 옵션 세트 세부 정보를 AWS DMS 검색합니다. 이 정보는 복제 인스턴스에 대해 네트워킹을 올바르게 구성하는 데 필요합니다.
+ `ec2:DescribeInternetGateways` – VPC에 구성된 인터넷 게이트웨이를 이해하려면이 권한이 AWS DMS 필요할 수 있습니다. 복제 인스턴스 또는 데이터베이스에 인터넷 액세스가 필요한 경우 이 정보가 중요합니다.
+ `ec2:DescribeNetworkInterfaces` –VPC 내의 기존 네트워크 인터페이스에 대한 정보를 AWS DMS 검색합니다. 이 정보는가 네트워크 인터페이스를 올바르게 구성하고 마이그레이션 프로세스에 적절한 네트워크 연결을 보장하는 AWS DMS 데 필요합니다.
+ `ec2:DescribeSecurityGroups` - 보안 그룹은 인스턴스 및 리소스에 대한 인바운드 및 아웃바운드 트래픽을 제어 AWS DMS 합니다. 네트워크 인터페이스를 올바르게 구성하고 복제 인스턴스와 데이터베이스 간의 적절한 통신을 보장하기 위해 보안 그룹을 설명해야 합니다.
+ `ec2:DescribeSubnets` -이 권한을 통해는 VPC의 서브넷을 나열 AWS DMS 할 수 있습니다.는이 정보를 AWS DMS 사용하여 적절한 서브넷에서 복제 인스턴스를 시작하여 필요한 네트워크 연결을 보장합니다.
+ `ec2:DescribeVpcs` - VPC를 설명하는 것은 AWS DMS 가 복제 인스턴스와 데이터베이스가 있는 네트워크 환경을 이해하는 데 필수적입니다. 여기에는 CIDR 블록 및 기타 VPC별 구성에 대한 지식이 포함됩니다.
+ `ec2:ModifyNetworkInterfaceAttribute` -이 권한은가 관리하는 네트워크 인터페이스의 속성을 수정하는 AWS DMS 데 필요합니다. 여기에는 연결 및 보안을 보장하기 위한 설정 조정이 포함될 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeDhcpOptions",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
## AWS 관리형 정책: AWSDMSServerlessServiceRolePolicy
이 정책은 `AWSServiceRoleForDMSServerless` 역할에 연결되므로가 사용자를 대신하여 작업을 AWS DMS 수행할 수 있습니다. 자세한 내용은 [에 대한 서비스 연결 역할 AWS DMS](slr-services-sl.md) 단원을 참조하십시오.
이 정책은가 복제 리소스를 관리할 수 있는 권한을 기여 AWS DMS 자에게 부여합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ **AWS DMS** - 보안 주체가 AWS DMS 리소스와 상호 작용할 수 있도록 허용합니다.
+ **Amazon S3** - DMS가 S3 버킷을 생성하여 마이그레이션 전 평가를 저장할 수 있도록 허용합니다. S3 버킷은 리전당 한 명의 사용자에 대해 생성되며 해당 버킷 정책은 서비스의 서비스 역할로만 액세스를 제한합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "id0",
"Effect": "Allow",
"Action": [
"dms:CreateReplicationInstance",
"dms:CreateReplicationTask"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"dms:req-tag/ResourceCreatedBy": "DMSServerless"
}
}
},
{
"Sid": "id1",
"Effect": "Allow",
"Action": [
"dms:DescribeReplicationInstances",
"dms:DescribeReplicationTasks"
],
"Resource": "*"
},
{
"Sid": "id2",
"Effect": "Allow",
"Action": [
"dms:StartReplicationTask",
"dms:StopReplicationTask",
"dms:ModifyReplicationTask",
"dms:DeleteReplicationTask",
"dms:ModifyReplicationInstance",
"dms:DeleteReplicationInstance"
],
"Resource": [
"arn:aws:dms:*:*:rep:*",
"arn:aws:dms:*:*:task:*"
],
"Condition": {
"StringEqualsIgnoreCase": {
"aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
}
}
},
{
"Sid": "id3",
"Effect": "Allow",
"Action": [
"dms:TestConnection",
"dms:DeleteConnection"
],
"Resource": [
"arn:aws:dms:*:*:rep:*",
"arn:aws:dms:*:*:endpoint:*"
]
},
{
"Sid": "id4",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObject",
"s3:PutObjectTagging"
],
"Resource": [
"arn:aws:s3:::dms-serverless-premigration-results-*",
"arn:aws:s3:::dms-premigration-results-*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "id5",
"Effect": "Allow",
"Action": [
"s3:PutBucketPolicy",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:CreateBucket"
],
"Resource": [
"arn:aws:s3:::dms-serverless-premigration-results-*",
"arn:aws:s3:::dms-premigration-results-*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "id6",
"Effect": "Allow",
"Action": [
"dms:StartReplicationTaskAssessmentRun"
],
"Resource": [
"arn:aws:dms:*:*:task:*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS 관리형 정책: AmazonDMSCloudWatchLogsRole
이 정책은 `dms-cloudwatch-logs-role` 역할에 연결되므로가 사용자를 대신하여 작업을 AWS DMS 수행할 수 있습니다. 자세한 내용은 [에 대한 서비스 연결 역할 사용 AWS DMS](using-service-linked-roles.md) 단원을 참조하십시오.
이 정책은가 복제 로그 AWS DMS 를 CloudWatch 로그에 게시할 수 있는 권한을 기여자에게 부여합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `logs` – 위탁자가 로그를 CloudWatch Logs에 게시하도록 허용합니다. 가 CloudWatch를 AWS DMS 사용하여 복제 로그를 표시하려면이 권한이 필요합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribeOnAllLogGroups",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowDescribeOfAllLogStreamsOnDmsTasksLogGroup",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*"
]
},
{
"Sid": "AllowCreationOfDmsLogGroups",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:"
]
},
{
"Sid": "AllowCreationOfDmsLogStream",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
]
},
{
"Sid": "AllowUploadOfLogEventsToDmsLogStream",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
]
}
]
}
```
------
## AWS 관리형 정책: AWSDMSFleetAdvisorServiceRolePolicy
AWSDMSFleetAdvisorServiceRolePolicy를 IAM 엔터티에 연결할 수 없습니다. 이 정책은 AWS DMS Fleet Advisor가 사용자를 대신하여 작업을 수행할 수 있도록 서비스 연결 역할에 연결됩니다. 자세한 내용은 [에 대한 서비스 연결 역할 사용 AWS DMS](using-service-linked-roles.md) 단원을 참조하십시오.
이 정책은 AWS DMS Fleet Advisor가 Amazon CloudWatch 지표를 게시할 수 있는 기고자 권한을 부여합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `cloudwatch` – 위탁자가 Amazon CloudWatch에 지표 데이터 포인트를 게시하도록 허용합니다. 이 권한은 AWS DMS Fleet Advisor가 CloudWatch를 사용하여 데이터베이스 지표가 포함된 차트를 표시할 수 있도록 하기 위해 필요합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/DMS/FleetAdvisor"
}
}
}
}
```
------
## AWS 관리형 정책: AmazonDMSRedshiftS3Role
이 정책은가 Redshift 엔드포인트 AWS DMS 에 대한 S3 설정을 관리할 수 있는 권한을 제공합니다.
** 권한 세부 정보**
이 정책에는 다음 옵션이 포함됩니다.
+ `s3:CreateBucket` - DMS가 "dms-" 접두사가 있는 S3 버킷을 생성할 수 있도록 허용
+ `s3:ListBucket` - DMS가 "dms-" 접두사가 있는 S3 버킷의 콘텐츠를 나열할 수 있도록 허용
+ `s3:DeleteBucket `- DMS가 "dms-" 접두사가 있는 S3 버킷을 삭제하도록 허용
+ `s3:GetBucketLocation` - DMS가 S3 버킷이 위치한 리전을 검색할 수 있도록 허용
+ `s3:GetObject` - DMS가 "dms-" 접두사가 있는 S3 버킷에서 객체를 검색할 수 있도록 허용
+ `s3:PutObject` - DMS가 "dms-" 접두사를 사용하여 S3 버킷에 객체를 추가할 수 있도록 허용
+ `s3:DeleteObject` - DMS가 "dms-" 접두사가 있는 S3 버킷에서 객체를 삭제할 수 있도록 허용
+ `s3:GetObjectVersion` - DMS가 버전이 지정된 버킷에 있는 객체의 특정 버전을 검색할 수 있도록 허용
+ `s3:GetBucketPolicy` - DMS가 버킷 정책을 검색할 수 있도록 허용
+ `s3:PutBucketPolicy` - DMS가 버킷 정책을 생성하거나 업데이트하도록 허용
+ `s3:GetBucketAcl` - DMS가 버킷 액세스 제어 목록(ACL) 허용
+ `s3:PutBucketVersioning` - DMS가 버킷에서 버전 관리를 활성화하거나 일시 중지하도록 허용
+ `s3:GetBucketVersioning` - DMS가 버킷의 버전 관리 상태를 검색할 수 있도록 허용
+ `s3:PutLifecycleConfiguration` - DMS가 버킷에 대한 수명 주기 규칙을 생성하거나 업데이트하도록 허용
+ `s3:GetLifecycleConfiguration` - DMS가 버킷에 대해 구성된 수명 주기 규칙을 검색할 수 있도록 허용
+ `s3:DeleteBucketPolicy` - DMS가 버킷 정책을 삭제하도록 허용
이러한 모든 권한은 `arn:aws:s3:::dms-*` ARN 패턴이 있는 리소스에만 적용됩니다
**JSON 정책 문서**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:DeleteBucket",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:GetBucketAcl",
"s3:PutBucketVersioning",
"s3:GetBucketVersioning",
"s3:PutLifecycleConfiguration",
"s3:GetLifecycleConfiguration",
"s3:DeleteBucketPolicy"
],
"Resource": "arn:aws:s3:::dms-*"
}
]
}
```
------
## AWS DMS AWS 관리형 정책에 대한 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 AWS DMS 이후부터의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 AWS DMS 문서 기록 페이지에서 RSS 피드를 구독하세요.
| 변경 | 설명 | Date |
| --- | --- | --- |
| [AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy) – 변경 | AWS DMS DMS`AWSDMSServerlessServiceRolePolicy`가 S3 버킷을 생성하고 DMS 서버리스와 관련이 없는 복제 작업을 위해 마이그레이션 전 평가 결과를 해당 버킷에 넣을 수 있도록 업데이트되었습니다. | 2025년 11월 5일 |
| [AWS DMS 서버리스의 서비스 연결 역할 -](slr-services-sl.md) 변경 | AWS DMS `dms:StartReplicationTaskAssessmentRun`가 마이그레이션 전 평가 실행을 지원`AWSDMSServerlessServiceRolePolicy`하도록 업데이트되었습니다. AWS DMS 또한 S3 버킷을 생성하고 마이그레이션 전 평가 결과를 해당 버킷에 넣도록 서버리스 서비스 연결 역할을 업데이트했습니다. | 2025년 2월 14일 |
| [AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy) – 변경 | AWS DMS 복제 `ModifyReplicationTask` 작업을 수정하기 위해 작업을 호출하는 데 AWS DMS Serverless에 `dms:ModifyReplicationTask` 필요한가 추가되었습니다. 복제 인스턴스를 수정하기 위해 `ModifyReplicationInstance` 작업을 호출`dms:ModifyReplicationInstance`하는 데 AWS DMS Serverless에 필요한가 AWS DMS 추가되었습니다. | 2025년 1월 17일 |
| [AmazonDMSVPCManagementRole](#security-iam-awsmanpol-AmazonDMSVPCManagementRole) – 변경 | AWS DMS AWS DMS 가 사용자를 대신하여 네트워크 설정을 관리할 수 있도록 `ec2:DescribeDhcpOptions` 및 `ec2:DescribeNetworkInterfaces` 작업을 추가했습니다. | 2024년 6월 17일 |
| [AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy) – 새 정책 | AWS DMS 에서 Amazon CloudWatch 지표 게시와 같이 AWS DMS 가 사용자를 대신하여 서비스를 생성하고 관리할 수 있도록 허용하는 `AWSDMSServerlessServiceRolePolicy` 역할을 추가했습니다. | 2023년 5월 22일 |
| [AmazonDMSCloudWatchLogsRole](#security-iam-awsmanpol-AmazonDMSCloudWatchLogsRole) – 변경 사항 | AWS DMS 는 서버리스 복제 구성에서 CloudWatch Logs로 AWS DMS 복제 로그를 업로드할 수 있도록 서버리스 리소스에 대한 ARN을 부여된 각 권한에 추가했습니다. | 2023년 5월 22일 |
| [AWSDMSFleetAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSDMSFleetAdvisorServiceRolePolicy) – 새 정책 | AWS DMS Fleet Advisor는 지표 데이터 포인트를 Amazon CloudWatch에 게시할 수 있도록 허용하는 새 정책을 추가했습니다. | 2023년 3월 6일 |
| AWS DMS 에서 변경 내용 추적 시작 | AWS DMS 가 AWS 관리형 정책에 대한 변경 내용 추적을 시작했습니다. | 2023년 3월 6일 |