# Criação de uma política de acesso secreto e um perfil Siga os procedimentos abaixo para criar sua política de acesso secreto e seu perfil que permitem que o DMS acesse as credenciais do usuário para os bancos de dados de origem e destino. **Como criar a política de acesso secreto e o perfil, que permite que o Amazon RDS acesse o AWS Secrets Manager para acessar o segredo apropriado** 1. Faça login no Console de gerenciamento da AWS e abra o console do AWS Identity and Access Management (IAM) em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Escolha **Políticas** e **Criar política**. 1. Escolha **JSON** e insira a política a seguir para ativar o acesso e a descriptografia do segredo. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:{{us-east-1}}:{{111122223333}}:secret:SecretName-ABCDEF" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws:kms:{{us-east-1}}:111122223333:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}}" } ] } ``` ------ Aqui, `{{secret_arn}}` é o ARN do segredo, que é possível obter de `SecretsManagerSecretId` conforme apropriado, e `{{kms_key_arn}}` é o ARN da chave do AWS KMS que você está utilizando para criptografar o segredo, como no exemplo a seguir. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:us-east-2:123456789012:secret:MySQLTestSecret-qeHamH" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-east-2:123456789012:key/761138dc-0542-4e58-947f-4a3a8458d0fd" } ] } ``` ------ **nota** Se você utilizar a chave de criptografia padrão criada pelo AWS Secrets Manager, não precisará especificar as permissões do AWS KMS para `{{kms_key_arn}}`. Se quiser que a política forneça acesso aos dois segredos, basta especificar um objeto de recurso JSON adicional para o outro {{secret\_arn}}. 1. Revise e crie a política com um nome amigável e uma descrição opcional. 1. Escolha **Funções** e **Criar função**. 1. Escolha **Serviço da AWS** como o tipo de entidade confiável. 1. Escolha **DMS** na lista de serviços como o serviço confiável e escolha **Próximo: Permissões**. 1. Pesquise e anexe a política que criada na etapa 4 e continue para adicionar quaisquer tags e revisar o perfil. Nesse ponto, edite as relações de confiança do perfil para utilizar a entidade principal do serviço Amazon RDS regional como a entidade confiável. Essa entidade principal tem o seguinte formato. ``` dms.{{region-name}}.amazonaws.com ``` Aqui, {{`region-name`}} é nome da sua região, como `us-east-1`. Desse modo, segue uma entidade principal do serviço Amazon RDS regional para essa região. ``` dms.us-east-1.amazonaws.com dms-data-migrations.amazonaws.com ```