本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 的 受管政策 AWS Database Migration Service
主題
AWS 受管政策:AmazonDMSVPCManagementRole
此政策會連接到 dms-vpc-role角色, AWS DMS 允許 代表您執行動作。
此政策會授予參與者許可, AWS DMS 允許 管理網路資源。
許可詳細資訊
此政策包含下列操作:
-
ec2:CreateNetworkInterface– AWS DMS 需要此許可才能建立網路介面。這些界面對於 AWS DMS 複寫執行個體連線至來源和目標資料庫至關重要。 -
ec2:DeleteNetworkInterface- AWS DMS 需要此許可來清除不再需要的網路介面。這有助於資源管理和避免不必要的成本。 -
ec2:DescribeAvailabilityZones– 此許可允許 AWS DMS 擷取區域中可用區域的相關資訊。 AWS DMS 會使用此資訊來確保在正確的區域中佈建資源,以提供備援和可用性。 -
ec2:DescribeDhcpOptions– AWS DMS 擷取指定 VPC 的 DHCP 選項集詳細資訊。正確設定複寫執行個體的聯網需要此資訊。 -
ec2:DescribeInternetGateways– AWS DMS 可能需要此許可,才能了解 VPC 中設定的網際網路閘道。如果複寫執行個體或資料庫需要網際網路存取,此資訊至關重要。 -
ec2:DescribeNetworkInterfaces– AWS DMS 擷取 VPC 內現有網路介面的相關資訊。此資訊是正確 AWS DMS 設定網路介面並確保遷移程序具有適當網路連線的必要資訊。 -
ec2:DescribeSecurityGroups– 安全群組控制執行個體和資源的傳入和傳出流量。 AWS DMS 需要描述安全群組,以正確設定網路介面,並確保複寫執行個體與資料庫之間的適當通訊。 -
ec2:DescribeSubnets– 此許可允許 AWS DMS 列出 VPC 中的子網路。 AWS DMS 會使用此資訊在適當的子網路中啟動複寫執行個體,以確保它們具有必要的網路連線能力。 -
ec2:DescribeVpcs– 描述 VPCs 對 AWS DMS 了解複寫執行個體和資料庫所在的網路環境至關重要。這包括了解 CIDR 區塊和其他 VPC 特定組態。 -
ec2:ModifyNetworkInterfaceAttribute– 需要此許可 AWS DMS ,才能修改其管理之網路介面的屬性。這可能包括調整設定以確保連線和安全性。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:DescribeAvailabilityZones", "ec2:DescribeDhcpOptions", "ec2:DescribeInternetGateways", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:ModifyNetworkInterfaceAttribute" ], "Resource": "*" } ] }
AWS 受管政策:AWSDMSServerlessServiceRolePolicy
此政策會連接到 AWSServiceRoleForDMSServerless角色, AWS DMS 允許 代表您執行動作。如需詳細資訊,請參閱AWS DMS Serverless 的服務連結角色。
此政策會授予參與者許可, AWS DMS 允許 管理複寫資源。
許可詳細資訊
此政策包含以下許可。
-
AWS DMS – 允許主體與 AWS DMS 資源互動。
-
Amazon S3 – 允許 S3 建立 S3 儲存貯體來存放無伺服器預遷移評估。無伺服器預遷移評估結果將以
dms-severless-premigration-assessment-<UUID>字首儲存。每個區域會為一個使用者建立 S3 儲存貯體,其儲存貯體政策會將存取權限制為僅服務的服務角色。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "id0", "Effect": "Allow", "Action": [ "dms:CreateReplicationInstance", "dms:CreateReplicationTask" ], "Resource": "*", "Condition": { "StringEquals": { "dms:req-tag/ResourceCreatedBy": "DMSServerless" } } }, { "Sid": "id1", "Effect": "Allow", "Action": [ "dms:DescribeReplicationInstances", "dms:DescribeReplicationTasks" ], "Resource": "*" }, { "Sid": "id2", "Effect": "Allow", "Action": [ "dms:StartReplicationTask", "dms:StopReplicationTask", "dms:ModifyReplicationTask", "dms:DeleteReplicationTask", "dms:ModifyReplicationInstance", "dms:DeleteReplicationInstance" ], "Resource": [ "arn:aws:dms:*:*:rep:*", "arn:aws:dms:*:*:task:*" ], "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/ResourceCreatedBy": "DMSServerless" } } }, { "Sid": "id3", "Effect": "Allow", "Action": [ "dms:TestConnection", "dms:DeleteConnection" ], "Resource": [ "arn:aws:dms:*:*:rep:*", "arn:aws:dms:*:*:endpoint:*" ] }, { "Sid": "id4", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:DeleteObject", "s3:GetObject", "s3:PutObjectTagging" ], "Resource": [ "arn:aws:s3:::dms-serverless-premigration-results-*" ], "Condition": { "StringEquals": { "s3:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "id5", "Effect": "Allow", "Action": [ "s3:PutBucketPolicy", "s3:ListBucket", "s3:GetBucketLocation", "s3:CreateBucket" ], "Resource": [ "arn:aws:s3:::dms-serverless-premigration-results-*" ], "Condition": { "StringEquals": { "s3:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Sid": "id6", "Effect": "Allow", "Action": [ "dms:StartReplicationTaskAssessmentRun" ], "Resource": [ "*" ], "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/ResourceCreatedBy": "DMSServerless" } } } ] }
AWS 受管政策:AmazonDMSCloudWatchLogsRole
此政策會連接到 dms-cloudwatch-logs-role角色,允許 代表您 AWS DMS 執行動作。如需詳細資訊,請參閱使用 AWS DMS的服務連結角色。
此政策會授予參與者許可,允許 AWS DMS 將複寫日誌發佈至 CloudWatch 日誌。
許可詳細資訊
此政策包含以下許可。
-
logs– 允許主體將日誌發佈到 CloudWatch Logs。需要此許可, AWS DMS 才能使用 CloudWatch 顯示複寫日誌。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowDescribeOnAllLogGroups", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups" ], "Resource": [ "*" ] }, { "Sid": "AllowDescribeOfAllLogStreamsOnDmsTasksLogGroup", "Effect": "Allow", "Action": [ "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:*:*:log-group:dms-tasks-*", "arn:aws:logs:*:*:log-group:dms-serverless-replication-*" ] }, { "Sid": "AllowCreationOfDmsLogGroups", "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:*:*:log-group:dms-tasks-*", "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:" ] }, { "Sid": "AllowCreationOfDmsLogStream", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*", "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*" ] }, { "Sid": "AllowUploadOfLogEventsToDmsLogStream", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*", "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*" ] } ] }
AWS 受管政策:AWSDMSFleetAdvisorServiceRolePolicy
您無法將 AWSDMSFleetAdvisorServiceRolePolicy 附加至您的 IAM 實體。此政策會連接到服務連結角色,允許 AWS DMS Fleet Advisor 代表您執行動作。如需詳細資訊,請參閱使用 AWS DMS的服務連結角色。
此政策授予參與者許可,允許 AWS DMS Fleet Advisor 發佈 Amazon CloudWatch 指標。
許可詳細資訊
此政策包含以下許可。
-
cloudwatch– 允許主體將指標資料點發佈至 Amazon CloudWatch。需要此許可,Fleet Advisor AWS DMS 才能使用 CloudWatch 來顯示具有資料庫指標的圖表。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Resource": "*", "Action": "cloudwatch:PutMetricData", "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/DMS/FleetAdvisor" } } } }
AWS 受管政策:AmazonDMSRedshiftS3Role
此政策提供許可, AWS DMS 允許 管理 Redshift 端點的 S3 設定。
許可詳細資訊
此政策包含下列操作:
-
s3:CreateBucket- 允許 DMS 建立字首為 "dms-" 的 S3 儲存貯體 -
s3:ListBucket- 允許 DMS 列出字首為 "dms-" 的 S3 儲存貯體內容 -
s3:DeleteBucket- 允許 DMS 刪除字首為 "dms-" 的 S3 儲存貯體 -
s3:GetBucketLocation- 允許 DMS 擷取 S3 儲存貯體所在的區域 -
s3:GetObject- 允許 DMS 從具有「dms-」字首的 S3 儲存貯體擷取物件 -
s3:PutObject- 允許 DMS 將物件新增至字首為 "dms-" 的 S3 儲存貯體 -
s3:DeleteObject- 允許 DMS 從字首為 "dms-" 的 S3 儲存貯體中刪除物件 -
s3:GetObjectVersion- 允許 DMS 擷取版本控制儲存貯體中特定版本的物件 -
s3:GetBucketPolicy- 允許 DMS 擷取儲存貯體政策 -
s3:PutBucketPolicy- 允許 DMS 建立或更新儲存貯體政策 -
s3:GetBucketAcl- 允許 DMS 擷取儲存貯體存取控制清單 ACLs) -
s3:PutBucketVersioning- 允許 DMS 在儲存貯體上啟用或停用版本控制 -
s3:GetBucketVersioning- 允許 DMS 擷取儲存貯體的版本控制狀態 -
s3:PutLifecycleConfiguration- 允許 DMS 建立或更新儲存貯體的生命週期規則 -
s3:GetLifecycleConfiguration- 允許 DMS 擷取為儲存貯體設定的生命週期規則 -
s3:DeleteBucketPolicy- 允許 DMS 刪除儲存貯體政策
所有這些許可僅適用於具有 ARN 模式的資源: arn:aws:s3:::dms-*
JSON 政策文件
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:ListBucket", "s3:DeleteBucket", "s3:GetBucketLocation", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetObjectVersion", "s3:GetBucketPolicy", "s3:PutBucketPolicy", "s3:GetBucketAcl", "s3:PutBucketVersioning", "s3:GetBucketVersioning", "s3:PutLifecycleConfiguration", "s3:GetLifecycleConfiguration", "s3:DeleteBucketPolicy" ], "Resource": "arn:aws:s3:::dms-*" } ] }
AWS DMSAWS 受管政策的更新
檢視自此服務開始追蹤這些變更 AWS DMS 以來, AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 AWS DMS 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
|
AWS DMS 更新 |
2025 年 2 月 14 日 | |
|
AWS DMS 新增 AWS DMS Serverless 呼叫 |
2025 年 1 月 17 日 | |
|
AWS DMS 新增 |
2024 年 6 月 17 日 | |
|
AWS DMS 新增 |
2023 年 5 月 22 日 | |
|
AWS DMS 將無伺服器資源的 ARN 新增至每個授予的許可,以允許將 AWS DMS 複寫日誌從無伺服器複寫組態上傳至 CloudWatch Logs。 |
2023 年 5 月 22 日 | |
|
AWS DMS Fleet Advisor 新增了新的政策,以允許將指標資料點發佈至 Amazon CloudWatch。 |
2023 年 3 月 6 日 | |
|
AWS DMS 已開始追蹤變更 |
AWS DMS 開始追蹤其 AWS 受管政策的變更。 |
2023 年 3 月 6 日 |
