As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS políticas gerenciadas para AWS Database Migration Service
**Topics**
+ [AWS política gerenciada: Amazon DMSVPCManagement Role](#security-iam-awsmanpol-AmazonDMSVPCManagementRole)
+ [AWS política gerenciada: AWSDMSServerless ServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy)
+ [AWS política gerenciada: Amazon DMSCloud WatchLogsRole](#security-iam-awsmanpol-AmazonDMSCloudWatchLogsRole)
+ [AWS política gerenciada: AWSDMSFleet AdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSDMSFleetAdvisorServiceRolePolicy)
+ [AWS política gerenciada: Amazon DMSRedshift S3Role](#security-iam-awsmanpol-AmazonDMSRedshiftS3Role)
+ [AWS DMS atualizações nas políticas AWS gerenciadas](#security-iam-awsmanpol-updates)
## AWS política gerenciada: Amazon DMSVPCManagement Role
Essa política está anexada à `dms-vpc-role` função, que permite AWS DMS realizar ações em seu nome.
Essa política concede permissões ao colaborador que permitem AWS DMS gerenciar recursos de rede.
**Detalhes das permissões**
Esta política inclui as seguintes operações:
+ `ec2:CreateNetworkInterface`— AWS DMS precisa dessa permissão para criar interfaces de rede. Essas interfaces são essenciais para que a instância de replicação do AWS DMS se conecte aos bancos de dados de origem e de destino.
+ `ec2:DeleteNetworkInterface`— AWS DMS precisa dessa permissão para limpar as interfaces de rede que criou quando elas não são mais necessárias. Isso ajuda no gerenciamento de recursos e evita custos desnecessários.
+ `ec2:DescribeAvailabilityZones`: esta permissão possibilita que o AWS DMS recupere informações sobre as zonas de disponibilidade em uma região. O AWS DMS usa essas informações para garantir que os recursos sejam provisionados nas zonas corretas para redundância e disponibilidade.
+ `ec2:DescribeDhcpOptions`— AWS DMS recupera os detalhes do conjunto de opções DHCP para a VPC especificada. Essas informações são necessárias para configurar a rede corretamente para as instâncias de replicação.
+ `ec2:DescribeInternetGateways`— AWS DMS pode exigir essa permissão para entender os gateways da Internet configurados na VPC. Essas informações serão cruciais se a instância de replicação ou os bancos de dados precisarem de acesso à internet.
+ `ec2:DescribeNetworkInterfaces`— AWS DMS recupera informações sobre as interfaces de rede existentes na VPC. Essas informações são necessárias AWS DMS para configurar as interfaces de rede corretamente e garantir a conectividade de rede adequada para o processo de migração.
+ `ec2:DescribeSecurityGroups`— Grupos de segurança controlam o tráfego de entrada e saída para instâncias e recursos. AWS DMS precisa descrever grupos de segurança para configurar corretamente as interfaces de rede e garantir a comunicação adequada entre a instância de replicação e os bancos de dados.
+ `ec2:DescribeSubnets`— Essa permissão permite AWS DMS listar as sub-redes em uma VPC. AWS DMS usa essas informações para iniciar instâncias de replicação nas sub-redes apropriadas, garantindo que elas tenham a conectividade de rede necessária.
+ `ec2:DescribeVpcs`— VPCs A descrição é essencial AWS DMS para entender o ambiente de rede em que a instância de replicação e os bancos de dados residem. Isso inclui conhecer os blocos CIDR e outras configurações específicas da VPC.
+ `ec2:ModifyNetworkInterfaceAttribute`— Essa permissão é necessária AWS DMS para modificar os atributos das interfaces de rede que ela gerencia. Isso pode incluir o ajuste das configurações para garantir a conectividade e a segurança.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeDhcpOptions",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
## AWS política gerenciada: AWSDMSServerless ServiceRolePolicy
Essa política está anexada à `AWSServiceRoleForDMSServerless` função, que permite AWS DMS realizar ações em seu nome. Para obter mais informações, consulte [Função vinculada ao serviço para AWS DMS](slr-services-sl.md).
Essa política concede permissões ao colaborador que permitem AWS DMS gerenciar recursos de replicação.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ **AWS DMS**— Permite que os diretores interajam com AWS DMS os recursos.
+ **Amazon S3** — Permite que o DMS crie um bucket S3 para armazenar uma avaliação de pré-migração. O bucket do S3 é criado para um usuário por região e a respectiva política de bucket limita o acesso somente ao perfil de serviço do serviço.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "id0",
"Effect": "Allow",
"Action": [
"dms:CreateReplicationInstance",
"dms:CreateReplicationTask"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"dms:req-tag/ResourceCreatedBy": "DMSServerless"
}
}
},
{
"Sid": "id1",
"Effect": "Allow",
"Action": [
"dms:DescribeReplicationInstances",
"dms:DescribeReplicationTasks"
],
"Resource": "*"
},
{
"Sid": "id2",
"Effect": "Allow",
"Action": [
"dms:StartReplicationTask",
"dms:StopReplicationTask",
"dms:ModifyReplicationTask",
"dms:DeleteReplicationTask",
"dms:ModifyReplicationInstance",
"dms:DeleteReplicationInstance"
],
"Resource": [
"arn:aws:dms:*:*:rep:*",
"arn:aws:dms:*:*:task:*"
],
"Condition": {
"StringEqualsIgnoreCase": {
"aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
}
}
},
{
"Sid": "id3",
"Effect": "Allow",
"Action": [
"dms:TestConnection",
"dms:DeleteConnection"
],
"Resource": [
"arn:aws:dms:*:*:rep:*",
"arn:aws:dms:*:*:endpoint:*"
]
},
{
"Sid": "id4",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObject",
"s3:PutObjectTagging"
],
"Resource": [
"arn:aws:s3:::dms-serverless-premigration-results-*",
"arn:aws:s3:::dms-premigration-results-*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "id5",
"Effect": "Allow",
"Action": [
"s3:PutBucketPolicy",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:CreateBucket"
],
"Resource": [
"arn:aws:s3:::dms-serverless-premigration-results-*",
"arn:aws:s3:::dms-premigration-results-*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "id6",
"Effect": "Allow",
"Action": [
"dms:StartReplicationTaskAssessmentRun"
],
"Resource": [
"arn:aws:dms:*:*:task:*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS política gerenciada: Amazon DMSCloud WatchLogsRole
Essa política está anexada à `dms-cloudwatch-logs-role` função, que permite AWS DMS realizar ações em seu nome. Para obter mais informações, consulte [Usando funções vinculadas a serviços para AWS DMS](using-service-linked-roles.md).
Essa política concede ao colaborador permissões que permitem AWS DMS publicar registros de replicação em registros. CloudWatch
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `logs`— Permite que os diretores publiquem registros no CloudWatch Logs. Essa permissão é necessária para que AWS DMS possa ser usada CloudWatch para exibir registros de replicação.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribeOnAllLogGroups",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowDescribeOfAllLogStreamsOnDmsTasksLogGroup",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*"
]
},
{
"Sid": "AllowCreationOfDmsLogGroups",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:"
]
},
{
"Sid": "AllowCreationOfDmsLogStream",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
]
},
{
"Sid": "AllowUploadOfLogEventsToDmsLogStream",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
]
}
]
}
```
------
## AWS política gerenciada: AWSDMSFleet AdvisorServiceRolePolicy
Você não pode se vincular AWSDMSFleet AdvisorServiceRolePolicy às suas entidades do IAM. Essa política está vinculada a uma função vinculada ao serviço que permite que o AWS DMS Fleet Advisor execute ações em seu nome. Para obter mais informações, consulte [Usando funções vinculadas a serviços para AWS DMS](using-service-linked-roles.md).
Essa política concede aos colaboradores permissões que permitem que o AWS DMS Fleet Advisor publique CloudWatch métricas da Amazon.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `cloudwatch`— Permite que os diretores publiquem pontos de dados métricos na Amazon CloudWatch. Essa permissão é necessária para que o AWS DMS Fleet Advisor possa usar CloudWatch para exibir gráficos com métricas de banco de dados.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/DMS/FleetAdvisor"
}
}
}
}
```
------
## AWS política gerenciada: Amazon DMSRedshift S3Role
Essa política fornece permissões que permitem AWS DMS gerenciar as configurações do S3 para endpoints do Redshift.
**Detalhes das permissões**
Esta política inclui as seguintes operações:
+ `s3:CreateBucket`: permite que o DMS crie buckets do S3 com o prefixo “dms-”.
+ `s3:ListBucket`: permite que o DMS liste o conteúdo dos buckets do S3 com o prefixo “dms-”.
+ `s3:DeleteBucket `:permite que o DMS exclua buckets do S3 com o prefixo “dms-”.
+ `s3:GetBucketLocation`: permite que o DMS recupere a região em que um bucket do S3 está localizado.
+ `s3:GetObject`: permite que o DMS recupere objetos de buckets do S3 com o prefixo “dms-”.
+ `s3:PutObject`: permite que o DMS adicione objetos a buckets do S3 com o prefixo “dms-”.
+ `s3:DeleteObject`: permite que o DMS exclua objetos de buckets do S3 com o prefixo “dms-”.
+ `s3:GetObjectVersion`: permite que o DMS recupere versões específicas de objetos em buckets versionados.
+ `s3:GetBucketPolicy`: permite que o DMS recupere políticas de bucket.
+ `s3:PutBucketPolicy`: permite que o DMS crie ou atualize políticas de bucket.
+ `s3:GetBucketAcl`- Permite que o DMS recupere listas de controle de acesso ao bucket () ACLs
+ `s3:PutBucketVersioning`: permite que o DMS habilite ou suspenda o versionamento em buckets.
+ `s3:GetBucketVersioning`: permite que o DMS recupere o status de versionamento dos buckets.
+ `s3:PutLifecycleConfiguration`: permite que o DMS crie ou atualize regras de ciclo de vida para buckets.
+ `s3:GetLifecycleConfiguration`: permite que o DMS recupere regras de ciclo de vida configuradas para buckets.
+ `s3:DeleteBucketPolicy`: permite que o DMS exclua políticas de bucket.
Todas essas permissões se aplicam somente aos recursos com o ARN padrão: `arn:aws:s3:::dms-*`.
**Documento de política JSON**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:DeleteBucket",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:GetBucketAcl",
"s3:PutBucketVersioning",
"s3:GetBucketVersioning",
"s3:PutLifecycleConfiguration",
"s3:GetLifecycleConfiguration",
"s3:DeleteBucketPolicy"
],
"Resource": "arn:aws:s3:::dms-*"
}
]
}
```
------
## AWS DMS atualizações nas políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas AWS DMS desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico do AWS DMS documento.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy): alteração | AWS DMS atualizado `AWSDMSServerlessServiceRolePolicy` para permitir que o DMS crie buckets S3 e coloque os resultados da avaliação de pré-migração nesses buckets para tarefas de replicação não relacionadas ao DMS serverless. | 5 de novembro de 2025 |
| [Função vinculada a serviços para AWS DMS Serverless](slr-services-sl.md) — Alteração | AWS DMS atualizado `AWSDMSServerlessServiceRolePolicy` para permitir o suporte `dms:StartReplicationTaskAssessmentRun` à execução de avaliações de pré-migração. AWS DMS também atualizou a função vinculada a serviços sem servidor para criar buckets S3 e colocar os resultados da avaliação de pré-migração nesses buckets. | 14 de fevereiro de 2025 |
| [AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy): alteração | AWS DMS adicionado`dms:ModifyReplicationTask`, o que é exigido pelo AWS DMS Serverless para chamar a `ModifyReplicationTask` operação para modificar uma tarefa de replicação. AWS DMS adicionou `dms:ModifyReplicationInstance` o que é exigido pelo AWS DMS Serverless para chamar a `ModifyReplicationInstance` operação para modificar uma instância de replicação. | 17 de janeiro de 2025 |
| [DMSVPCManagementPapel da Amazon](#security-iam-awsmanpol-AmazonDMSVPCManagementRole) — Mudança | AWS DMS adicionadas `ec2:DescribeDhcpOptions` e `ec2:DescribeNetworkInterfaces` operações para AWS DMS permitir o gerenciamento das configurações de rede em seu nome. | 17 de junho de 2024 |
| [AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy) – Nova política | AWS DMS adicionou a `AWSDMSServerlessServiceRolePolicy` função para permitir AWS DMS a criação e o gerenciamento de serviços em seu nome, como a publicação de CloudWatch métricas da Amazon. | 22 de maio de 2023 |
| [Amazon DMSCloud WatchLogsRole](#security-iam-awsmanpol-AmazonDMSCloudWatchLogsRole) — Mudança | AWS DMS adicionou o ARN para recursos sem servidor a cada uma das permissões concedidas, para permitir o upload de registros de replicação de configurações de AWS DMS replicação sem servidor para Logs. CloudWatch | 22 de maio de 2023 |
| [AWSDMSFleetAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSDMSFleetAdvisorServiceRolePolicy) – Nova política | AWS DMS O Fleet Advisor adicionou uma nova política para permitir a publicação de pontos de dados métricos na Amazon CloudWatch. | 6 de março de 2023 |
| AWS DMS começou a rastrear as alterações | AWS DMS começou a rastrear as mudanças em suas políticas AWS gerenciadas. | 6 de março de 2023 |