Pré-requisitos completos para trabalhar com a DMS Schema Conversion - AWS Database Migration Service
Crie uma VPCCrie um bucket do S3Armazenar as credenciais no Secrets ManagerCriar políticas do IAMCriar perfis do IAM

Pré-requisitos completos para trabalhar com a DMS Schema Conversion

Para configurar a DMS Schema Conversion, conclua as tarefas a seguir. É possível configurar um perfil de instância, adicionar provedores de dados e criar um projeto de migração.

Criar uma VPC com base em uma Amazon VPC

Nesta etapa, você cria uma nuvem privada virtual (VPC) na sua Conta da AWS. Essa VPC é baseada no serviço Amazon Virtual Private Cloud (Amazon VPC) e contém os seus recursos da AWS.

Como criar uma VPC para a DMS Schema Conversion

  1. Faça login no Console de gerenciamento da AWS e abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. Escolha Criar VPC.

  3. Na página Criar VPC, insira as seguintes configurações:

    • Recursos a serem criados: VPC e mais

    • Geração automática da etiqueta de nome: escolha Gerar automaticamente e insira um nome globalmente exclusivo. Por exemplo, digite sc-vpc.

    • IPv4 CIDR block (Bloco CIDR IPv10.0.1.0/24

    • Gateways NAT: em uma AZ

    • Endpoints da VPC: Nenhum

  4. Mantenha o restante das configurações como padrão e escolha Criar VPC.

  5. Escolha Sub-redes e anote os IDs das sub-redes pública e privada.

    Para conectar-se aos bancos de dados do Amazon RDS, crie um grupo de sub-redes que inclua sub-redes públicas.

    Para conectar-se aos bancos de dados on-premises, crie um grupo de sub-redes que inclua sub-redes privadas. Para obter mais informações, consulte Criar um perfil de instância para a DMS Schema Conversion.

  6. Escolha Gateways NAT. Escolha o Gateway NAT e anote o Endereço IP elástico.

    Configure a rede para que o AWS DMS possa acessar o banco de dados on-premises de origem nesse endereço IP público do gateway NAT. Para obter mais informações, consulte Utilizar uma conexão de internet com uma VPC.

Utilize essa VPC ao criar o perfil de instância e os bancos de dados de destino no Amazon RDS.

Criar um bucket do Amazon S3

Para armazenar as informações do projeto de migração, crie um bucket do Amazon S3. A DMS Schema Conversion utiliza esse bucket do Amazon S3 para salvar itens, como relatórios de avaliação, código SQL convertido, informações sobre objetos do esquema de banco de dados e assim por diante.

Como criar um bucket do Amazon S3 para a DMS Schema Conversion

  1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. Escolha Criar bucket.

  3. Na página Criar bucket, selecione um nome globalmente exclusivo para o bucket do S3. Por exemplo, digite sc-s3-bucket.

  4. Em Região da AWS, escolha a região.

  5. Em Versionamento de bucket, escolha Ativar.

  6. Mantenha o restante das configurações como padrão e escolha Criar bucket.

nota

A Conversão de Esquema (SC) do DMS funciona somente com buckets do S3 que usam criptografia no lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3). Outras configurações de criptografia, como criptografia do lado do servidor com o AWS KMS (SSE-KMS), chaves fornecidas pelo cliente (SSE-C) ou criptografia do lado do cliente, no momento não são permitidas pela SC e impedem que esse recurso acesse o bucket do S3. Se estiver usando um método de criptografia diferente, você deverá criar um bucket do S3 separado com SSE-S3 para uso com a Conversão de Esquema do DMS.

Armazenar as credenciais do banco de dados no AWS Secrets Manager

Armazene as credenciais do banco de dados de origem e de destino no AWS Secrets Manager. Replique esses segredos para a Região da AWS. A DMS Schema Conversion utiliza esses segredos para conectar-se aos bancos de dados no projeto de migração.

Como armazenar as credenciais do banco de dados no AWS Secrets Manager

  1. Faça login no Console de gerenciamento da AWS e abra o console do AWS Secrets Manager em https://console.aws.amazon.com/secretsmanager/.

  2. Selecione Armazenar um novo segredo.

  3. A página Escolher tipo de segredo é aberta. Em Secret type (Tipo de segredo), escolha o tipo de credenciais de banco de dados a armazenar:

    • Credenciais para o banco de dados Amazon RDS: escolha essa opção para armazenar as credenciais do banco de dados Amazon RDS. Em Credenciais, insira as credenciais do banco de dados. Em Database (Banco de dados), escolha seu banco de dados.

    • Credenciais para outro banco de dados: escolha essa opção para armazenar credenciais para os bancos de dados Oracle ou SQL Server de origem. Em Credenciais, insira as credenciais do banco de dados.

    • Outro tipo de segredo: escolha essa opção para armazenar somente o nome e a senha do usuário para conexão ao banco de dados. Escolha Adicionar linha para adicionar dois pares de chave-valor. Utilize username e password para os nomes de chaves. Para os valores relacionados a essas chaves, insira as credenciais do banco de dados.

  4. Em Chave de criptografia, escolha o AWS KMS que o Secrets Manager utiliza para criptografar o valor do segredo. Escolha Próximo.

  5. Na página Configurar segredo, insira um Nome de segredo descritivo. Por exemplo, insira sc-source-secret ou sc-target-secret.

  6. Escolha Replicar segredo e, em Região da AWS, escolha a região. Escolha Próximo.

  7. Na página Configurar alternância, escolha Próximo.

  8. Na página Revisar, revise os detalhes do segredo e escolha Armazenar.

Para armazenar as credenciais dos bancos de dados de origem e de destino, repita essas etapas.

Criar políticas do IAM

Como criar uma política do IAM para que a Conversão de Esquema do DMS acesse o Amazon S3

  1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Políticas.

  3. Selecione Criar política.

  4. Na página Selecionar serviço, escolha Amazon S3 na lista.

  5. Em Ações permitidas, escolha PutObject, GetObject, GetObjectVersion, GetBucketVersioning, GetBucketLocation e ListBucket.

  6. Em Recursos, especifique o ARN do bucket criado na seção anterior. Escolha Próximo.

  7. Na página Analisar e criar, insira um nome e nome descritivo. Por exemplo: sc-s3-policy. Em seguida, selecione Criar política.

Como criar uma política do IAM para que a Conversão de Esquema do DMS acesse o AWS Secrets Manager

  1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Políticas.

  3. Selecione Criar política.

  4. Na página Selecionar serviço, escolha Secrets Manager na lista.

  5. Escolha Próximo. A página Adicionar permissões é aberta.

  6. Em Ações permitidas, escolha: GetSecretValue e DescribeSecret.

  7. Na página Analisar e criar, insira um nome e nome descritivo. Por exemplo: sc-secrets-manager-policy. Em seguida, selecione Criar política.

Criar perfis do IAM

Crie perfis do AWS Identity and Access Management (IAM) para utilização no projeto de migração. A DMS Schema Conversion utiliza esses perfis do IAM para acessar as credenciais do bucket e do banco de dados do Amazon S3 armazenadas no AWS Secrets Manager.

Como criar um perfil do IAM que fornece acesso ao bucket do Amazon S3

  1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Perfis.

  3. Escolha Criar Perfil.

  4. Na página Selecionar tipo de entidade confiável, escolha Serviço da AWS. Escolha DMS.

  5. Escolha Próximo. A página Adicionar permissões é aberta.

  6. Em Políticas de filtro, insira S3. Selecione a política sc-s3-policy que o console criou na seção anterior.

  7. Escolha Próximo. A página Nomear, revisar e criar é aberta.

  8. Em Nome do perfil, insira um nome descritivo. Por exemplo, digite sc-s3-role. Selecione Criar perfil.

  9. Na página Perfis, insira sc-s3-role em Nome do perfil. Escolha sc-s3-role.

  10. Na página sc-s3-role, escolha a guia Relações de confiança. Selecione Edit trust policy (Editar política de confiança).

  11. A entidade principal de serviço regional do AWS DMS tem o seguinte formato:

    dms.region-name.amazonaws.com

    Substitua region-name pelo nome da sua região, como us-east-1. O seguinte exemplo de código mostra a entidade principal da região us-east-1:

    dms.us-east-1.amazonaws.com

    O seguinte exemplo de código mostra uma política de confiança para acessar a Conversão de Esquema do AWS DMS:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "dms.us-east-1.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
Como criar um perfil do IAM que fornece acesso ao AWS Secrets Manager

  1. Faça login no Console de gerenciamento da AWS e abra o console do IAM, em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Perfis.

  3. Escolha Criar Perfil.

  4. Na página Selecionar tipo de entidade confiável, escolha Serviço da AWS. Escolha DMS.

  5. Escolha Próximo. A página Adicionar permissões é aberta.

  6. Em Políticas de filtro, insira s3. Selecione a política sc-secrets-manager-policy que o console criou na seção anterior.

  7. Escolha Próximo. A página Nomear, revisar e criar é aberta.

  8. Em Nome do perfil, insira um nome descritivo. Por exemplo, digite sc-secrets-manager-role. Selecione Criar perfil.

  9. Na página Perfis, insira sc-secrets-manager-role em Nome do perfil. Escolha sc-secrets-manager-role.

  10. Na página sc-secrets-manager-role, escolha a guia Relações de confiança. Selecione Edit trust policy (Editar política de confiança).

  11. Na página Editar política de confiança, edite as relações de confiança do perfil para utilizar schema-conversion.dms.amazonaws.com e a entidade principal do serviço regional do AWS DMS como entidades confiáveis. Essa entidade principal de serviço regional do AWS DMS tem o seguinte formato:

    dms.region-name.amazonaws.com

    Substitua region-name pelo nome da sua região, como us-east-1. O seguinte exemplo de código mostra a entidade principal da região us-east-1:

    dms.us-east-1.amazonaws.com

    O seguinte exemplo de código mostra uma política de confiança para acessar a Conversão de Esquema do AWS DMS:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "dms.us-east-1.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
Como criar um perfil do IAM dms-vpc-role para uso com a AWS CLI ou a API do AWS DMS

  1. Crie um arquivo JSON com a seguinte política do IAM. Nomeie o arquivo como .json dmsAssumeRolePolicyDocument.json.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "dms.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    Em seguida, crie o perfil por meio da AWS CLI usando o seguinte comando:

    aws iam create-role --role-name dms-vpc-role --assume-role-policy-document file://dmsAssumeRolePolicyDocument.json

  2. Anexe a política AmazonDMSVPCManagementRole a dms-vpc-role usando o seguinte comando:

    aws iam attach-role-policy --role-name dms-vpc-role --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSVPCManagementRole
Como criar um perfil do IAM dms-cloudwatch-logs-role para uso com a AWS CLI ou a API do AWS DMS

  1. Crie um arquivo JSON com a seguinte política do IAM. Nomeie o arquivo como .json dmsAssumeRolePolicyDocument2.json.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "dms.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    Em seguida, crie o perfil por meio da AWS CLI usando o seguinte comando:

    aws iam create-role --role-name dms-cloudwatch-logs-role --assume-role-policy-document file://dmsAssumeRolePolicyDocument2.json

  2. Anexe a política AmazonDMSCloudWatchLogsRole a dms-cloudwatch-logs-role usando o seguinte comando:

    aws iam attach-role-policy --role-name dms-cloudwatch-logs-role --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSCloudWatchLogsRole