本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS 的 受管政策 AWS Database Migration Service
**Topics**
+ [AWS 受管政策:AmazonDMSVPCManagementRole](#security-iam-awsmanpol-AmazonDMSVPCManagementRole)
+ [AWS 受管政策:AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy)
+ [AWS 受管政策:AmazonDMSCloudWatchLogsRole](#security-iam-awsmanpol-AmazonDMSCloudWatchLogsRole)
+ [AWS 受管政策:AWSDMSFleetAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSDMSFleetAdvisorServiceRolePolicy)
+ [AWS 受管政策:AmazonDMSRedshiftS3Role](#security-iam-awsmanpol-AmazonDMSRedshiftS3Role)
+ [AWS DMS AWS 受管政策的更新](#security-iam-awsmanpol-updates)
## AWS 受管政策:AmazonDMSVPCManagementRole
此政策會連接到 `dms-vpc-role`角色, AWS DMS 允許 代表您執行動作。
此政策會授予參與者許可, AWS DMS 允許 管理網路資源。
**許可詳細資訊**
此政策包含下列操作:
+ `ec2:CreateNetworkInterface` – AWS DMS 需要此許可才能建立網路介面。這些界面對於 AWS DMS 複寫執行個體連線至來源和目標資料庫至關重要。
+ `ec2:DeleteNetworkInterface` - AWS DMS 需要此許可來清除不再需要的網路介面。這有助於資源管理和避免不必要的成本。
+ `ec2:DescribeAvailabilityZones` – 此許可允許 AWS DMS 擷取區域中可用區域的相關資訊。 AWS DMS 會使用此資訊來確保在正確的區域中佈建資源,以提供備援和可用性。
+ `ec2:DescribeDhcpOptions` – AWS DMS 擷取指定 VPC 的 DHCP 選項集詳細資訊。正確設定複寫執行個體的聯網需要此資訊。
+ `ec2:DescribeInternetGateways` – AWS DMS 可能需要此許可,才能了解 VPC 中設定的網際網路閘道。如果複寫執行個體或資料庫需要網際網路存取,此資訊至關重要。
+ `ec2:DescribeNetworkInterfaces` – AWS DMS 擷取 VPC 內現有網路介面的相關資訊。此資訊是 AWS DMS 正確設定網路介面並確保適當網路連線以進行遷移程序的必要資訊。
+ `ec2:DescribeSecurityGroups` – 安全群組控制執行個體和資源的傳入和傳出流量。 AWS DMS 需要描述安全群組,以正確設定網路介面,並確保複寫執行個體與資料庫之間的適當通訊。
+ `ec2:DescribeSubnets` – 此許可允許 AWS DMS 列出 VPC 中的子網路。 AWS DMS 會使用此資訊在適當的子網路中啟動複寫執行個體,以確保它們具有必要的網路連線能力。
+ `ec2:DescribeVpcs` – 描述 VPCs 對 AWS DMS 了解複寫執行個體和資料庫所在的網路環境至關重要。這包括了解 CIDR 區塊和其他 VPC 特定組態。
+ `ec2:ModifyNetworkInterfaceAttribute` – 需要此許可 AWS DMS 才能修改其管理之網路介面的屬性。這可能包括調整設定以確保連線和安全性。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeDhcpOptions",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
## AWS 受管政策:AWSDMSServerlessServiceRolePolicy
此政策會連接到 `AWSServiceRoleForDMSServerless`角色, AWS DMS 允許 代表您執行動作。如需詳細資訊,請參閱[的服務連結角色 AWS DMS](slr-services-sl.md)。
此政策會授予參與者許可, AWS DMS 允許 管理複寫資源。
**許可詳細資訊**
此政策包含以下許可。
+ **AWS DMS** – 允許主體與 AWS DMS 資源互動。
+ **Amazon S3** – 允許 DMS 建立 S3 儲存貯體來存放預遷移評估。每個區域會為一個使用者建立 S3 儲存貯體,其儲存貯體政策會將存取權限制為僅服務的服務角色。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "id0",
"Effect": "Allow",
"Action": [
"dms:CreateReplicationInstance",
"dms:CreateReplicationTask"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"dms:req-tag/ResourceCreatedBy": "DMSServerless"
}
}
},
{
"Sid": "id1",
"Effect": "Allow",
"Action": [
"dms:DescribeReplicationInstances",
"dms:DescribeReplicationTasks"
],
"Resource": "*"
},
{
"Sid": "id2",
"Effect": "Allow",
"Action": [
"dms:StartReplicationTask",
"dms:StopReplicationTask",
"dms:ModifyReplicationTask",
"dms:DeleteReplicationTask",
"dms:ModifyReplicationInstance",
"dms:DeleteReplicationInstance"
],
"Resource": [
"arn:aws:dms:*:*:rep:*",
"arn:aws:dms:*:*:task:*"
],
"Condition": {
"StringEqualsIgnoreCase": {
"aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
}
}
},
{
"Sid": "id3",
"Effect": "Allow",
"Action": [
"dms:TestConnection",
"dms:DeleteConnection"
],
"Resource": [
"arn:aws:dms:*:*:rep:*",
"arn:aws:dms:*:*:endpoint:*"
]
},
{
"Sid": "id4",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObject",
"s3:PutObjectTagging"
],
"Resource": [
"arn:aws:s3:::dms-serverless-premigration-results-*",
"arn:aws:s3:::dms-premigration-results-*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "id5",
"Effect": "Allow",
"Action": [
"s3:PutBucketPolicy",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:CreateBucket"
],
"Resource": [
"arn:aws:s3:::dms-serverless-premigration-results-*",
"arn:aws:s3:::dms-premigration-results-*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "id6",
"Effect": "Allow",
"Action": [
"dms:StartReplicationTaskAssessmentRun"
],
"Resource": [
"arn:aws:dms:*:*:task:*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS 受管政策:AmazonDMSCloudWatchLogsRole
此政策會連接到 `dms-cloudwatch-logs-role`角色, AWS DMS 允許 代表您執行動作。如需詳細資訊,請參閱[使用 的服務連結角色 AWS DMS](using-service-linked-roles.md)。
此政策會授予參與者許可,允許 AWS DMS 將複寫日誌發佈至 CloudWatch 日誌。
**許可詳細資訊**
此政策包含以下許可。
+ `logs` – 允許主體將日誌發佈到 CloudWatch Logs。需要此許可,以便 AWS DMS 可以使用 CloudWatch 顯示複寫日誌。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribeOnAllLogGroups",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowDescribeOfAllLogStreamsOnDmsTasksLogGroup",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*"
]
},
{
"Sid": "AllowCreationOfDmsLogGroups",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:"
]
},
{
"Sid": "AllowCreationOfDmsLogStream",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
]
},
{
"Sid": "AllowUploadOfLogEventsToDmsLogStream",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
]
}
]
}
```
------
## AWS 受管政策:AWSDMSFleetAdvisorServiceRolePolicy
您無法將 AWSDMSFleetAdvisorServiceRolePolicy 附加至您的 IAM 實體。此政策會連接到服務連結角色,允許 AWS DMS Fleet Advisor 代表您執行動作。如需詳細資訊,請參閱[使用 的服務連結角色 AWS DMS](using-service-linked-roles.md)。
此政策授予參與者許可,允許 AWS DMS Fleet Advisor 發佈 Amazon CloudWatch 指標。
**許可詳細資訊**
此政策包含以下許可。
+ `cloudwatch` – 允許主體將指標資料點發佈至 Amazon CloudWatch。需要此許可,Fleet Advisor AWS DMS 才能使用 CloudWatch 顯示具有資料庫指標的圖表。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/DMS/FleetAdvisor"
}
}
}
}
```
------
## AWS 受管政策:AmazonDMSRedshiftS3Role
此政策提供許可, AWS DMS 允許 管理 Redshift 端點的 S3 設定。
**許可詳細資訊**
此政策包含下列操作:
+ `s3:CreateBucket` - 允許 DMS 建立字首為 "dms-" 的 S3 儲存貯體
+ `s3:ListBucket` - 允許 DMS 列出字首為 "dms-" 的 S3 儲存貯體內容
+ `s3:DeleteBucket `- 允許 DMS 刪除字首為 "dms-" 的 S3 儲存貯體
+ `s3:GetBucketLocation` - 允許 DMS 擷取 S3 儲存貯體所在的區域
+ `s3:GetObject` - 允許 DMS 從字首為 "dms-" 的 S3 儲存貯體擷取物件
+ `s3:PutObject` - 允許 DMS 將物件新增至字首為 "dms-" 的 S3 儲存貯體
+ `s3:DeleteObject` - 允許 DMS 從字首為 "dms-" 的 S3 儲存貯體中刪除物件
+ `s3:GetObjectVersion` - 允許 DMS 擷取版本控制儲存貯體中特定版本的物件
+ `s3:GetBucketPolicy` - 允許 DMS 擷取儲存貯體政策
+ `s3:PutBucketPolicy` - 允許 DMS 建立或更新儲存貯體政策
+ `s3:GetBucketAcl` - 允許 DMS 擷取儲存貯體存取控制清單 ACLs)
+ `s3:PutBucketVersioning` - 允許 DMS 在儲存貯體上啟用或停用版本控制
+ `s3:GetBucketVersioning` - 允許 DMS 擷取儲存貯體的版本控制狀態
+ `s3:PutLifecycleConfiguration` - 允許 DMS 建立或更新儲存貯體的生命週期規則
+ `s3:GetLifecycleConfiguration` - 允許 DMS 擷取為儲存貯體設定的生命週期規則
+ `s3:DeleteBucketPolicy` - 允許 DMS 刪除儲存貯體政策
所有這些許可僅適用於具有 ARN 模式的資源: `arn:aws:s3:::dms-*`
**JSON 政策文件**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:DeleteBucket",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:GetBucketAcl",
"s3:PutBucketVersioning",
"s3:GetBucketVersioning",
"s3:PutLifecycleConfiguration",
"s3:GetLifecycleConfiguration",
"s3:DeleteBucketPolicy"
],
"Resource": "arn:aws:s3:::dms-*"
}
]
}
```
------
## AWS DMS AWS 受管政策的更新
檢視自此服務開始追蹤這些變更 AWS DMS 以來, AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 AWS DMS 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy) – 變更 | AWS DMS 已更新`AWSDMSServerlessServiceRolePolicy`以允許 DMS 建立 S3 儲存貯體,並將預遷移評估結果放入這些儲存貯體,用於與 DMS 無伺服器無關的複寫任務。 | 2025 年 11 月 5 日 |
| [AWS DMS Serverless 的服務連結角色](slr-services-sl.md) – 變更 | AWS DMS 更新 `AWSDMSServerlessServiceRolePolicy` `dms:StartReplicationTaskAssessmentRun`以允許 支援執行預遷移評估。 AWS DMS 也更新了無伺服器服務連結角色以建立 S3 儲存貯體,並將預遷移評估結果放入這些儲存貯體。 | 2025 年 2 月 14 日 |
| [AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy) – 變更 | AWS DMS 新增 AWS DMS Serverless 呼叫 `ModifyReplicationTask`操作以修改複寫任務`dms:ModifyReplicationTask`所需的 。 AWS DMS 新增 AWS DMS Serverless `dms:ModifyReplicationInstance` 呼叫 `ModifyReplicationInstance`操作以修改複寫執行個體所需的 。 | 2025 年 1 月 17 日 |
| [AmazonDMSVPCManagementRole](#security-iam-awsmanpol-AmazonDMSVPCManagementRole) – 變更 | AWS DMS 新增 `ec2:DescribeDhcpOptions`和 `ec2:DescribeNetworkInterfaces`操作, AWS DMS 以允許 代表您管理網路設定。 | 2024 年 6 月 17 日 |
| [AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy) – 新政策 | AWS DMS 新增 `AWSDMSServerlessServiceRolePolicy`角色, AWS DMS 以允許 代表您建立和管理 服務,例如發佈 Amazon CloudWatch 指標。 | 2023 年 5 月 22 日 |
| [AmazonDMSCloudWatchLogsRole](#security-iam-awsmanpol-AmazonDMSCloudWatchLogsRole) – 變更 | AWS DMS 已將無伺服器資源的 ARN 新增至每個授予的許可,以允許將 AWS DMS 複寫日誌從無伺服器複寫組態上傳至 CloudWatch Logs。 | 2023 年 5 月 22 日 |
| [AWSDMSFleetAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSDMSFleetAdvisorServiceRolePolicy) – 新政策 | AWS DMS Fleet Advisor 新增了新的政策,以允許將指標資料點發佈至 Amazon CloudWatch。 | 2023 年 3 月 6 日 |
| AWS DMS 開始追蹤變更 | AWS DMS 已開始追蹤其 AWS 受管政策的變更。 | 2023 年 3 月 6 日 |