

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建立秘密存取政策和角色
<a name="USER_DMS_migration-IAM.secret-iam-role-policy"></a>

請依照下列程序建立秘密存取政策和角色，允許 DMS 存取來源和目標資料庫的使用者憑證。

**建立秘密存取政策和角色，以允許 Amazon RDS 存取 AWS Secrets Manager 您的適當秘密**

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 AWS Identity and Access Management (IAM) 主控台。

1. 選擇**政策**，然後選擇**建立政策**。

1. 選擇 **JSON** 並輸入以下政策以啟用機密的存取和解密。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "secretsmanager:GetSecretValue",
               "Resource": "arn:aws:secretsmanager:{{us-east-1}}:{{111122223333}}:secret:SecretName-ABCDEF"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt",
                   "kms:DescribeKey"
               ],
               "Resource": "arn:aws:kms:{{us-east-1}}:111122223333:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}}"
           }
       ]
   }
   ```

------

   在這裡， `{{secret_arn}}` 是您秘密的 ARN，您可以`SecretsManagerSecretId`視需要從 取得，而 `{{kms_key_arn}}`是您用來加密秘密之 AWS KMS 金鑰的 ARN，如下列範例所示。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "secretsmanager:GetSecretValue",
               "Resource": "arn:aws:secretsmanager:us-east-2:123456789012:secret:MySQLTestSecret-qeHamH"
           },
           {
                "Effect": "Allow",
                "Action": [
                           "kms:Decrypt",
                           "kms:DescribeKey"
                         ],
                "Resource": "arn:aws:kms:us-east-2:123456789012:key/761138dc-0542-4e58-947f-4a3a8458d0fd"
           }
        ]
   }
   ```

------
**注意**  
如果您使用 建立的預設加密金鑰 AWS Secrets Manager，則不需要指定 的 AWS KMS 許可`{{kms_key_arn}}`。  
如果您希望政策提供對這兩個機密的存取權，只需為另一個 {{secret\_arn}} 指定額外的 JSON 資源對象即可。

1. 檢閱並使用易記名稱建立政策，並視需要提供說明。

1. 選擇**角色**，然後選擇**建立角色**。

1. 選擇 **AWS 服務**作為信任的實體類型。

1. 從服務清單中選擇 **DMS** 作為信任的服務，然後選擇**下一步：許可**。

1. 查詢並附加您在步驟 4 中建立的政策，然後繼續新增任何標籤並檢閱您的角色。此時，請編輯角色的信任關係，以使用您的 Amazon RDS 區域服務主體作為信任的實體。此主體的格式如下。

   ```
   dms.{{region-name}}.amazonaws.com
   ```

   其中，{{`region-name`}} 是區域的名稱，例如 `us-east-1`。因此，此區域的 Amazon RDS 區域服務主體如下。

   ```
   dms.us-east-1.amazonaws.com
   dms-data-migrations.amazonaws.com
   ```