本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Database Migration Service 的動作、資源和條件索引鍵
AWS Database Migration Service (服務字首:dms) 提供下列服務特有的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視可供此服務使用的 API 操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
主題
AWS Database Migration Service 定義的動作
您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。在政策中使用動作時,通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
動作資料表的存取層級欄說明動作的分類方式 (列出、讀取、許可管理或標記)。此分類可協助您了解在政策中使用某動作時,該動作授予您的存取層級。如需存取層級的詳細資訊,請參閱政策摘要中的存取層級。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取,則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
動作資料表的相依動作欄會顯示成功呼叫動作所需的其他許可。除了 動作本身的許可之外,還可能需要這些許可。當動作指定相依動作時,這些相依性可能適用於針對該動作定義的其他資源,而不只是資料表中列出的第一個資源。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| AddTagsToResource | 准許將中繼資料標籤新增至 DMS 資源,包括複寫執行個體、端點、安全群組和遷移任務 | 標記 | |||
| ApplyPendingMaintenanceAction | 准許將擱置中維護動作套用至資源 (例如,複寫執行個體)。 | 寫入 | |||
| AssociateExtensionPack | 准許關聯延伸套件 | 寫入 | |||
| BatchStartRecommendations | 准許啟動最多 20 個來源資料庫分析,以便為每個來源資料庫建議目標引擎 | 寫入 | |||
| CancelReplicationTaskAssessmentRun | 准許取消單一預先遷移評定執行 | 寫入 | |||
| CreateDataMigration | 准許使用提供的設定來建立資料庫遷移 | 寫入 |
iam:PassRole |
||
| CreateDataProvider | 准許使用提供的設定建立資料提供者 | 寫入 |
iam:PassRole |
||
| CreateEndpoint | 准許使用提供的設定建立端點 | 寫入 |
iam:PassRole |
||
| CreateEventSubscription | 准許建立 DMS AWS 事件通知訂閱 | 寫入 | |||
| CreateFleetAdvisorCollector | 准許使用指定參數來建立 Fleet Advisor 收集器 | 寫入 |
iam:PassRole |
||
| CreateInstanceProfile | 准許使用提供的設定建立執行個體設定檔 | 寫入 |
iam:PassRole |
||
| CreateMigrationProject | 准許使用提供的設定建立遷移專案 | 寫入 |
iam:PassRole |
||
| CreateReplicationConfig | 准許使用提供的設定來建立複寫組態 | 寫入 | |||
| CreateReplicationInstance | 准許使用指定參數建立複寫執行個體 | 寫入 |
iam:PassRole |
||
| CreateReplicationSubnetGroup | 准許根據 VPC 中的子網路 ID 清單建立複寫子網路群組 | 寫入 | |||
| CreateReplicationTask | 准許使用指定參數建立複寫任務 | 寫入 | |||
| DeleteCertificate | 准許刪除指定憑證 | 寫入 | |||
| DeleteConnection | 准許刪除複寫執行個體和端點之間的指定連線 | 寫入 | |||
| DeleteDataMigration | 准許刪除指定的資料庫遷移 | 寫入 | |||
| DeleteDataProvider | 准許刪除指定的資料提供者 | 寫入 | |||
| DeleteEndpoint | 准許刪除指定端點 | 寫入 | |||
| DeleteEventSubscription | 准許刪除 DMS AWS 事件訂閱 | 寫入 | |||
| DeleteFleetAdvisorCollector | 准許刪除指定的 Fleet Advisor 收集器 | 寫入 | |||
| DeleteFleetAdvisorDatabases | 准許刪除指定的 Fleet Advisor 資料庫 | 寫入 | |||
| DeleteInstanceProfile | 授予許可來刪除指定的執行個體描述檔 | 寫入 | |||
| DeleteMigrationProject | 准許刪除指定的遷移專案 | 寫入 | |||
| DeleteReplicationConfig | 准許刪除指定複寫組態 | 寫入 | |||
| DeleteReplicationInstance | 准許刪除指定複寫執行個體 | 寫入 | |||
| DeleteReplicationSubnetGroup | 准許刪除子網路群組 | 寫入 | |||
| DeleteReplicationTask | 准許刪除指定複寫任務 | 寫入 | |||
| DeleteReplicationTaskAssessmentRun | 准許刪除單一預先遷移評定執行記錄 | 寫入 | |||
| DescribeAccountAttributes | 准許列出客戶帳戶的所有 AWS DMS 屬性 | 閱讀 | |||
| DescribeApplicableIndividualAssessments | 准許列出您可以為新的預先遷移評定執行指定的個別評定 | 讀取 | |||
| DescribeCertificates | 准許提供憑證描述 | 讀取 | |||
| DescribeConnections | 准許描述複寫執行個體與端點之間已建立之連線狀態 | 閱讀 | |||
| DescribeConversionConfiguration | 准許傳回 DMS Schema Conversion 專案組態的相關資訊 | 閱讀 | |||
| DescribeDataMigrations | 准許傳回指定區域中帳戶的資料庫遷移相關資訊 | 閱讀 | |||
| DescribeEndpointSettings | 當您為指定資料庫引擎建立端點時,准許傳回可能的端點設定 | 閱讀 | |||
| DescribeEndpointTypes | 准許傳回可用端點類型相關資訊 | 讀取 | |||
| DescribeEndpoints | 准許傳回目前區域中帳戶端點相關資訊 | 閱讀 | |||
| DescribeEngineVersions | 准許傳回 DMS 複寫執行個體的可用版本相關資訊 | 閱讀 | |||
| DescribeEventCategories | 准許列出所有事件來源類型或特定來源類型 (如已指定) 的類別清單 | 讀取 | |||
| DescribeEventSubscriptions | 准許列出客戶帳戶所有訂閱描述 | 讀取 | |||
| DescribeEvents | 准許列出指定來源識別碼和來源類型事件 | 閱讀 | |||
| DescribeFleetAdvisorCollectors | 准許根據篩選條件設定,傳回帳戶中 Fleet Advisor 收集器的分頁清單 | 閱讀 | |||
| DescribeFleetAdvisorDatabases | 准許根據篩選條件設定,傳回帳戶中 Fleet Advisor 資料庫的分頁清單 | 閱讀 | |||
| DescribeFleetAdvisorLsaAnalysis | 准許傳回 Fleet Advisor 收集器產生的大規模評估 (LSA) 分析的描述分頁清單 | 閱讀 | |||
| DescribeFleetAdvisorSchemaObjectSummary | 准許根據篩選條件設定,傳回 Fleet Advisor 收集器探索的結構描述的描述分頁清單 | 閱讀 | |||
| DescribeFleetAdvisorSchemas | 准許根據篩選條件設定,傳回 Fleet Advisor 收集器探索的結構描述分頁清單 | 閱讀 | |||
| DescribeMetadataModelImports | 准許傳回遷移專案的啟動中繼資料模型匯入操作相關資訊 | 閱讀 | |||
| DescribeOrderableReplicationInstances | 准許傳回可在指定區域中建立的複寫執行個體類型相關資訊 | 閱讀 | |||
| DescribePendingMaintenanceActions | 准許傳回待定維護動作的相關資訊 | 閱讀 | |||
| DescribeRecommendationLimitations | 准許傳回目標 AWS 引擎建議之限制描述的分頁清單 | 閱讀 | |||
| DescribeRecommendations | 准許傳回來源資料庫目標引擎建議描述的分頁清單 | 閱讀 | |||
| DescribeRefreshSchemasStatus | 准許傳回 RefreshSchemas 操作狀態 | 閱讀 | |||
| DescribeReplicationConfigs | 准許描述複寫組態 | 閱讀 | |||
| DescribeReplicationInstanceTaskLogs | 准許傳回指定任務的任務日誌相關資訊 | 讀取 | |||
| DescribeReplicationInstances | 准許傳回目前區域中帳戶的複寫執行個體相關資訊 | 讀取 | |||
| DescribeReplicationSubnetGroups | 准許傳回複寫子網路群組相關資訊 | 閱讀 | |||
| DescribeReplicationTableStatistics | 准許描述複製表格統計資料 | 閱讀 | |||
| DescribeReplicationTaskAssessmentResults | 准許從 Amazon S3 傳回最新任務評定結果 | 讀取 | |||
| DescribeReplicationTaskAssessmentRuns | 准許傳回根據篩選條件設定執行的預先遷移評定分頁清單 | 讀取 | |||
| DescribeReplicationTaskIndividualAssessments | 准許根據篩選條件設定傳回個別評定分頁清單 | 讀取 | |||
| DescribeReplicationTasks | 准許傳回目前區域中帳戶的複寫任務相關資訊 | 閱讀 | |||
| DescribeReplications | 准許描述複寫 | 閱讀 | |||
| DescribeSchemas | 准許傳回指定端點結構描述相關資訊 | 讀取 | |||
| DescribeTableStatistics | 准許傳回資料庫遷移任務的資料表統計資料,包括資料表名稱、插入的列數、更新的列數和刪除的列數 | 閱讀 | |||
| ExportMetadataModelAssessment | 准許匯出指定中繼資料模型評估 | 寫入 | |||
| ImportCertificate | 准許上傳指定憑證 | 寫入 | |||
| ListDataProviders | 准許列出資料提供者的 AWS DMS 屬性 | 閱讀 | |||
| ListExtensionPacks | 准許列出延伸套件的 AWS DMS 屬性 | 閱讀 | |||
| ListInstanceProfiles | 准許列出執行個體描述檔的 AWS DMS 屬性 | 閱讀 | |||
| ListMetadataModelAssessmentActionItems [僅限許可] | 准許列出中繼資料模型評估動作項目的 AWS DMS 屬性。請注意。儘管此動作需要 StartMetadataModelImport,但後者目前並未授權所描述的結構描述轉換操作 | 閱讀 |
dms:StartMetadataModelImport |
||
| ListMetadataModelAssessments | 准許列出中繼資料模型評估的 AWS DMS 屬性 | 閱讀 | |||
| ListMetadataModelConversions | 准許列出中繼資料模型轉換的 AWS DMS 屬性 | 閱讀 | |||
| ListMetadataModelExports | 准許列出中繼資料模型匯出的 AWS DMS 屬性 | 閱讀 | |||
| ListMigrationProjects | 准許列出遷移專案的 AWS DMS 屬性。請注意。儘管此動作需要 DescribeMigrationProjects 和 DescribeConversionConfiguration,但這兩個必要動作目前並未授權所描述的結構描述轉換操作 | 閱讀 |
dms:DescribeConversionConfiguration |
||
| ListTagsForResource | 准許列出 AWS DMS 資源的所有標籤 | 閱讀 | |||
| ModifyDataMigration | 准許修改指定的資料庫遷移 | 寫入 |
iam:PassRole |
||
| ModifyEndpoint | 准許修改指定端點 | 寫入 |
iam:PassRole |
||
| ModifyEventSubscription | 准許修改現有的 AWS DMS 事件通知訂閱 | 寫入 | |||
| ModifyFleetAdvisorCollector [僅限許可] | 准許修改指定的 Fleet Advisor 收集器名稱和描述 | 寫入 | |||
| ModifyFleetAdvisorCollectorStatuses [僅限許可] | 准許修改指定的 Fleet Advisor 收集器狀態 | 寫入 | |||
| ModifyReplicationConfig | 准許修改指定複寫組態 | 寫入 | |||
| ModifyReplicationInstance | 准許修改複寫執行個體以套用新設定 | 寫入 | |||
| ModifyReplicationSubnetGroup | 准許修改指定複寫子網路群組設定 | 寫入 | |||
| ModifyReplicationTask | 准許修改指定複寫任務 | 寫入 | |||
| MoveReplicationTask | 准許將指定複寫工作移至不同複寫執行個體 | 寫入 | |||
| RebootReplicationInstance | 准許重新啟動複寫執行個體 重新啟動會導致暫時中斷,直到複寫執行個體再次變成可用為止 | 寫入 | |||
| RefreshSchemas | 准許填入指定端點結構描述 | 寫入 | |||
| ReloadReplicationTables | 准許使用複寫的來源來重新載入目標資料庫資料表 | 寫入 | |||
| ReloadTables | 准許使用來源資料重新載入目標資料庫資料表 | 寫入 | |||
| RemoveTagsFromResource | 准許將中繼資料標籤從 DMS 資源中移除 | 標記 | |||
| RunFleetAdvisorLsaAnalysis | 准許對帳戶中的每個 Fleet Advisor 收集器執行大規模評估 (LSA) 分析 | 寫入 | |||
| StartDataMigration | 准許啟動資料庫遷移 | 寫入 | |||
| StartMetadataModelAssessment | 准許啟動新的中繼資料模型評估 | 寫入 | |||
| StartMetadataModelConversion | 准許啟動新的中繼資料模型轉換 | 寫入 | |||
| StartMetadataModelExportAsScripts | 准許啟動新的中繼資料模型匯出 (匯出為指令碼) | 寫入 | |||
| StartMetadataModelExportToTarget | 准許啟動新的中繼資料模型匯出 (匯出至目標) | 寫入 | |||
| StartMetadataModelImport | 准許啟動新的中繼資料模型匯出 | 寫入 | |||
| StartRecommendations | 准許啟動來源資料庫分析,以提供目標引擎建議 | 寫入 | |||
| StartReplication | 准許啟動複寫 | 寫入 | |||
| StartReplicationTask | 准許啟動複寫任務 | 寫入 | |||
| StartReplicationTaskAssessment | 准許針對來源資料庫中不支援的資料類型,開始複寫任務評定 | 寫入 | |||
| StartReplicationTaskAssessmentRun | 准許針對遷移任務的一個或多個個別評定,開始新的預先遷移評定執行 | 寫入 |
iam:PassRole |
||
| StopDataMigration | 准許停止資料庫遷移 | 寫入 | |||
| StopReplication | 准許停止複寫 | 寫入 | |||
| StopReplicationTask | 准許停止複寫任務 | 寫入 | |||
| TestConnection | 准許測試複寫執行個體與端點之間連線 | 閱讀 | |||
| UpdateConversionConfiguration | 准許更新轉換組態 | 寫入 | |||
| UpdateDataProvider | 准許更新指定的資料提供者 | 寫入 | |||
| UpdateInstanceProfile | 准許更新指定的執行個體設定檔 | 寫入 | |||
| UpdateMigrationProject | 准許更新指定的遷移專案 | 寫入 | |||
| UpdateSubscriptionsToEventBridge | 准許將 DMS 訂閱遷移至 Eventbridge | 寫入 | |||
| UploadFileMetadataList [僅限許可] | 准許將檔案上傳至 Amazon S3 儲存貯體 | 寫入 |
AWS Database Migration Service 定義的資源類型
此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| Certificate |
arn:${Partition}:dms:${Region}:${Account}:cert:*
|
|
| DataProvider |
arn:${Partition}:dms:${Region}:${Account}:data-provider:*
|
|
| DataMigration |
arn:${Partition}:dms:${Region}:${Account}:data-migration:*
|
|
| Endpoint |
arn:${Partition}:dms:${Region}:${Account}:endpoint:*
|
|
| EventSubscription |
arn:${Partition}:dms:${Region}:${Account}:es:*
|
|
| InstanceProfile |
arn:${Partition}:dms:${Region}:${Account}:instance-profile:*
|
|
| MigrationProject |
arn:${Partition}:dms:${Region}:${Account}:migration-project:*
|
|
| ReplicationConfig |
arn:${Partition}:dms:${Region}:${Account}:replication-config:*
|
|
| ReplicationInstance |
arn:${Partition}:dms:${Region}:${Account}:rep:*
|
|
| ReplicationSubnetGroup |
arn:${Partition}:dms:${Region}:${Account}:subgrp:*
|
|
| ReplicationTask |
arn:${Partition}:dms:${Region}:${Account}:task:*
|
|
| ReplicationTaskAssessmentRun |
arn:${Partition}:dms:${Region}:${Account}:assessment-run:*
|
|
| ReplicationTaskIndividualAssessment |
arn:${Partition}:dms:${Region}:${Account}:individual-assessment:*
|
AWS Database Migration Service 的條件索引鍵
AWS Database Migration Service 定義下列條件索引鍵,可用於 IAM 政策的 Condition元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表。
若要檢視所有 服務可用的全域條件索引鍵,請參閱AWS 全域條件內容索引鍵。
| 條件索引鍵 | 描述 | 類型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 依請求中的標籤鍵值對是否存在篩選存取權 | 字串 |
| aws:ResourceTag/${TagKey} | 依連接到資源的標籤鍵值對是否存在篩選存取權 | 字串 |
| aws:TagKeys | 依請求中是否存在標籤索引鍵來篩選存取 | ArrayOfString |
| dms:assessment-run-tag/${TagKey} | 依 AssessmentRun 請求中是否存在標籤鍵值對來篩選存取權 | String |
| dms:cert-tag/${TagKey} | 依憑證請求中的標籤鍵值對是否存在篩選存取權 | String |
| dms:data-migration-tag/${TagKey} | 依 DataMigration 請求中是否存在標籤鍵值對來篩選存取權 | String |
| dms:data-provider-tag/${TagKey} | 依 DataProvider 請求中是否存在標籤鍵值對來篩選存取權 | String |
| dms:endpoint-tag/${TagKey} | 依端點請求中的標籤鍵值對是否存在篩選存取權 | String |
| dms:es-tag/${TagKey} | 依 EventSubscription 請求中的標籤鍵值對是否存在篩選存取權 | String |
| dms:individual-assessment-tag/${TagKey} | 依 IndividualAssessment 請求中存在的標籤鍵/值對篩選存取權 | String |
| dms:instance-profile-tag/${TagKey} | 依 InstanceProfile 請求中是否存在標籤鍵值對來篩選存取權 | String |
| dms:migration-project-tag/${TagKey} | 依 MigrationProject 請求中是否存在標籤鍵值對來篩選存取權 | String |
| dms:rep-tag/${TagKey} | 依 ReplicationInstance 請求中的標籤鍵值對是否存在篩選存取權 | String |
| dms:replication-config-tag/${TagKey} | 依 ReplicationConfig 請求中的標籤鍵值對是否存在來篩選存取權 | String |
| dms:req-tag/${TagKey} | 依給定的請求中的標籤鍵值對是否存在篩選存取權 | String |
| dms:subgrp-tag/${TagKey} | 依 ReplicationSubnetGroup 請求中的標籤鍵值對是否存在篩選存取權 | String |
| dms:task-tag/${TagKey} | 依 ReplicationTask 請求中的標籤鍵值對是否存在篩選存取權 | String |
