DMSVPCManagementPapel da Amazon AWSDMSServerlessServiceRolePolicy Amazon DMSCloud WatchLogsRole AWSDMSFleetAdvisorServiceRolePolicy Função do Amazon DMSRedshift S3 Atualizações da política

AWS políticas gerenciadas para AWS Database Migration Service

Tópicos

AWS política gerenciada: Amazon DMSVPCManagement Role
AWS política gerenciada: AWSDMSServerless ServiceRolePolicy
AWS política gerenciada: Amazon DMSCloud WatchLogsRole
AWS política gerenciada: AWSDMSFleet AdvisorServiceRolePolicy
AWS política gerenciada: Amazon DMSRedshift S3Role
AWS DMS atualizações nas políticas AWS gerenciadas

AWS política gerenciada: Amazon DMSVPCManagement Role

Essa política está anexada à dms-vpc-role função, que permite AWS DMS realizar ações em seu nome.

Essa política concede permissões ao colaborador que permitem AWS DMS gerenciar recursos de rede.

Detalhes das permissões

Esta política inclui as seguintes operações:

ec2:CreateNetworkInterface— AWS DMS precisa dessa permissão para criar interfaces de rede. Essas interfaces são essenciais para que a instância de replicação do AWS DMS se conecte aos bancos de dados de origem e de destino.
ec2:DeleteNetworkInterface— AWS DMS precisa dessa permissão para limpar as interfaces de rede que criou quando elas não são mais necessárias. Isso ajuda no gerenciamento de recursos e evita custos desnecessários.
ec2:DescribeAvailabilityZones: esta permissão possibilita que o AWS DMS recupere informações sobre as zonas de disponibilidade em uma região. O AWS DMS usa essas informações para garantir que os recursos sejam provisionados nas zonas corretas para redundância e disponibilidade.
ec2:DescribeDhcpOptions— AWS DMS recupera os detalhes do conjunto de opções DHCP para a VPC especificada. Essas informações são necessárias para configurar a rede corretamente para as instâncias de replicação.
ec2:DescribeInternetGateways— AWS DMS pode exigir essa permissão para entender os gateways da Internet configurados na VPC. Essas informações serão cruciais se a instância de replicação ou os bancos de dados precisarem de acesso à internet.
ec2:DescribeNetworkInterfaces— AWS DMS recupera informações sobre as interfaces de rede existentes na VPC. Essas informações são necessárias AWS DMS para configurar as interfaces de rede corretamente e garantir a conectividade de rede adequada para o processo de migração.
ec2:DescribeSecurityGroups— Grupos de segurança controlam o tráfego de entrada e saída para instâncias e recursos. AWS DMS precisa descrever grupos de segurança para configurar corretamente as interfaces de rede e garantir a comunicação adequada entre a instância de replicação e os bancos de dados.
ec2:DescribeSubnets— Essa permissão permite AWS DMS listar as sub-redes em uma VPC. AWS DMS usa essas informações para iniciar instâncias de replicação nas sub-redes apropriadas, garantindo que elas tenham a conectividade de rede necessária.
ec2:DescribeVpcs— VPCs A descrição é essencial AWS DMS para entender o ambiente de rede em que a instância de replicação e os bancos de dados residem. Isso inclui conhecer os blocos CIDR e outras configurações específicas da VPC.
ec2:ModifyNetworkInterfaceAttribute— Essa permissão é necessária AWS DMS para modificar os atributos das interfaces de rede que ela gerencia. Isso pode incluir o ajuste das configurações para garantir a conectividade e a segurança.

AWS política gerenciada: AWSDMSServerless ServiceRolePolicy

Essa política está anexada à AWSServiceRoleForDMSServerless função, que permite AWS DMS realizar ações em seu nome. Para obter mais informações, consulte Função vinculada a serviços para servidores sem servidor AWS DMS.

Essa política concede permissões ao colaborador que permitem AWS DMS gerenciar recursos de replicação.

Detalhes das permissões

Esta política inclui as seguintes permissões.

AWS DMS— Permite que os diretores interajam com AWS DMS os recursos.
Amazon S3 — Permite que o S3 crie um bucket do S3 para armazenar uma avaliação de pré-migração sem servidor. O resultado da avaliação de pré-migração sem servidor será armazenado com um prefixo. dms-severless-premigration-assessment-<UUID> O bucket do S3 é criado para um usuário por região e sua política de bucket limita o acesso somente à função de serviço do serviço.

JSON


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "id0",
			"Effect": "Allow",
			"Action": [
				"dms:CreateReplicationInstance",
				"dms:CreateReplicationTask"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"dms:req-tag/ResourceCreatedBy": "DMSServerless"
				}
			}
		},
		{
			"Sid": "id1",
			"Effect": "Allow",
			"Action": [
				"dms:DescribeReplicationInstances",
				"dms:DescribeReplicationTasks"
			],
			"Resource": "*"
		},
		{
			"Sid": "id2",
			"Effect": "Allow",
			"Action": [
				"dms:StartReplicationTask",
				"dms:StopReplicationTask",
				"dms:ModifyReplicationTask",
				"dms:DeleteReplicationTask",
				"dms:ModifyReplicationInstance",
				"dms:DeleteReplicationInstance"
			],
			"Resource": [
				"arn:aws:dms:*:*:rep:*",
				"arn:aws:dms:*:*:task:*"
			],
			"Condition": {
				"StringEqualsIgnoreCase": {
					"aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
				}
			}
		},
		{
			"Sid": "id3",
			"Effect": "Allow",
			"Action": [
				"dms:TestConnection",
				"dms:DeleteConnection"
			],
			"Resource": [
				"arn:aws:dms:*:*:rep:*",
				"arn:aws:dms:*:*:endpoint:*"
			]
		},
		{
			"Sid": "id4",
			"Effect": "Allow",
			"Action": [
				"s3:PutObject",
				"s3:DeleteObject",
				"s3:GetObject",
				"s3:PutObjectTagging"
			],
			"Resource": [
				"arn:aws:s3:::dms-serverless-premigration-results-*"
			],
			"Condition": {
				"StringEquals": {
					"s3:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "id5",
			"Effect": "Allow",
			"Action": [
				"s3:PutBucketPolicy",
				"s3:ListBucket",
				"s3:GetBucketLocation",
				"s3:CreateBucket"
			],
			"Resource": [
				"arn:aws:s3:::dms-serverless-premigration-results-*"
			],
			"Condition": {
				"StringEquals": {
					"s3:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "id6",
			"Effect": "Allow",
			"Action": [
				"dms:StartReplicationTaskAssessmentRun"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEqualsIgnoreCase": {
					"aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
				}
			}
		}
	]
}

AWS política gerenciada: Amazon DMSCloud WatchLogsRole

Essa política está anexada à dms-cloudwatch-logs-role função, que permite AWS DMS realizar ações em seu nome. Para obter mais informações, consulte Usar perfis vinculados a serviço do AWS DMS.

Essa política concede ao colaborador permissões que permitem AWS DMS publicar registros de replicação em registros. CloudWatch

Detalhes das permissões

Esta política inclui as seguintes permissões.

logs— Permite que os diretores publiquem registros no CloudWatch Logs. Essa permissão é necessária para que AWS DMS possa ser usada CloudWatch para exibir registros de replicação.

AWS política gerenciada: AWSDMSFleet AdvisorServiceRolePolicy

Você não pode se vincular AWSDMSFleet AdvisorServiceRolePolicy às suas entidades do IAM. Essa política está vinculada a uma função vinculada ao serviço que permite que o AWS DMS Fleet Advisor execute ações em seu nome. Para obter mais informações, consulte Usar perfis vinculados a serviço do AWS DMS.

Essa política concede aos colaboradores permissões que permitem que o AWS DMS Fleet Advisor publique CloudWatch métricas da Amazon.

Detalhes das permissões

Esta política inclui as seguintes permissões.

cloudwatch— Permite que os diretores publiquem pontos de dados métricos na Amazon CloudWatch. Essa permissão é necessária para que o AWS DMS Fleet Advisor possa usar CloudWatch para exibir gráficos com métricas de banco de dados.

AWS política gerenciada: Amazon DMSRedshift S3Role

Essa política fornece permissões que permitem AWS DMS gerenciar as configurações do S3 para endpoints do Redshift.

Detalhes das permissões

Esta política inclui as seguintes operações:

s3:CreateBucket- Permite que o DMS crie buckets S3 com o prefixo “dms-”
s3:ListBucket- Permite que o DMS liste o conteúdo dos buckets do S3 com o prefixo “dms-”
s3:DeleteBucket - Permite que o DMS exclua buckets do S3 com o prefixo “dms-”
s3:GetBucketLocation- Permite que o DMS recupere a região em que um bucket do S3 está localizado
s3:GetObject- Permite que o DMS recupere objetos de buckets do S3 com o prefixo “dms-”
s3:PutObject- Permite que o DMS adicione objetos aos buckets do S3 com o prefixo “dms-”
s3:DeleteObject- Permite que o DMS exclua objetos dos buckets do S3 com o prefixo “dms-”
s3:GetObjectVersion- Permite que o DMS recupere versões específicas de objetos em buckets versionados
s3:GetBucketPolicy- Permite que o DMS recupere políticas de bucket
s3:PutBucketPolicy- Permite que o DMS crie ou atualize políticas de bucket
s3:GetBucketAcl- Permite que o DMS recupere listas de controle de acesso ao bucket () ACLs
s3:PutBucketVersioning- Permite que o DMS ative ou suspenda o controle de versão em buckets
s3:GetBucketVersioning- Permite que o DMS recupere o status de versionamento dos buckets
s3:PutLifecycleConfiguration- Permite que o DMS crie ou atualize regras de ciclo de vida para buckets
s3:GetLifecycleConfiguration- Permite que o DMS recupere regras de ciclo de vida configuradas para buckets
s3:DeleteBucketPolicy- Permite que o DMS exclua políticas de bucket

Todas essas permissões se aplicam somente aos recursos com o padrão ARN: arn:aws:s3:::dms-*

Documento de política JSON

AWS DMS atualizações nas políticas AWS gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas AWS DMS desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico do AWS DMS documento.

Alteração	Descrição	Data
Função vinculada a serviços para AWS DMS Serverless — Alteração	AWS DMS atualizado `AWSDMSServerlessServiceRolePolicy` para permitir o suporte `dms:StartReplicationTaskAssessmentRun` à execução de avaliações de pré-migração. AWS DMS também atualizou a função vinculada a serviços sem servidor para criar buckets S3 e colocar os resultados da avaliação de pré-migração nesses buckets.	14 de fevereiro de 2025
AWSDMSServerlessServiceRolePolicy: alteração	AWS DMS adicionado`dms:ModifyReplicationTask`, o que é exigido pelo AWS DMS Serverless para chamar a `ModifyReplicationTask` operação para modificar uma tarefa de replicação. AWS DMS adicionou `dms:ModifyReplicationInstance` o que é exigido pelo AWS DMS Serverless para chamar a `ModifyReplicationInstance` operação para modificar uma instância de replicação.	17 de janeiro de 2025
DMSVPCManagementPapel da Amazon — Mudança	AWS DMS adicionadas `ec2:DescribeDhcpOptions` e `ec2:DescribeNetworkInterfaces` operações para AWS DMS permitir o gerenciamento das configurações de rede em seu nome.	17 de junho de 2024
AWSDMSServerlessServiceRolePolicy – Nova política	AWS DMS adicionou a `AWSDMSServerlessServiceRolePolicy` função para permitir AWS DMS a criação e o gerenciamento de serviços em seu nome, como a publicação de CloudWatch métricas da Amazon.	22 de maio de 2023
Amazon DMSCloud WatchLogsRole — Mudança	AWS DMS adicionou o ARN para recursos sem servidor a cada uma das permissões concedidas, para permitir o upload de registros de replicação de configurações de AWS DMS replicação sem servidor para Logs. CloudWatch	22 de maio de 2023
AWSDMSFleetAdvisorServiceRolePolicy – Nova política	AWS DMS O Fleet Advisor adicionou uma nova política para permitir a publicação de pontos de dados métricos na Amazon CloudWatch.	6 de março de 2023
AWS DMS começou a rastrear as alterações	AWS DMS começou a rastrear as mudanças em suas políticas AWS gerenciadas.	6 de março de 2023

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Prevenção contra o ataque do “substituto confuso” em todos os serviços

Validação de conformidade