Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sie können Ressourcennamen und Ressourcen-Tags verwenden, die auf Amazon Resource Names (ARNs) basieren, um den Zugriff auf AWS DMS Ressourcen zu verwalten. Sie tun dies, indem Sie zulässige Aktionen definieren oder bedingte Aussagen in IAM Richtlinien aufnehmen.
Verwenden von Ressourcennamen für die Zugriffskontrolle
Sie können ein IAM Benutzerkonto erstellen und auf der Grundlage der AWS DMS Ressource eine Richtlinie zuweisenARN.
Die folgende Richtlinie verweigert den Zugriff auf die AWS DMS Replikationsinstanz mit dem ARN arn:aws:dms:us-east - 1:152683116:rep: DOH67ZTOXGLIXMIHKITV
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"dms:*"
],
"Effect": "Deny",
"Resource": "arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV"
}
]
}
Bei diesem Beispiel würden bei Geltung der Richtlinie die folgenden Befehle fehschlagen:
$ aws dms delete-replication-instance
--replication-instance-arn "arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV"
A client error (AccessDeniedException) occurred when calling the DeleteReplicationInstance
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform:
dms:DeleteReplicationInstance on resource: arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV
$ aws dms modify-replication-instance
--replication-instance-arn "arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV"
A client error (AccessDeniedException) occurred when calling the ModifyReplicationInstance
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform:
dms:ModifyReplicationInstance on resource: arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV
Sie können auch Richtlinien angeben, AWS DMS die den IAM Zugriff auf Endgeräte und Replikationsaufgaben einschränken.
Die folgende Richtlinie beschränkt den Zugriff auf einen AWS DMS Endpunkt mithilfe des EndpunktsARN.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"dms:*"
],
"Effect": "Deny",
"Resource": "arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX"
}
]
}
Die folgenden Befehle schlagen beispielsweise fehl, wenn die Richtlinie, die den Endpunkt verwendet, in Kraft ARN ist.
$ aws dms delete-endpoint
--endpoint-arn "arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX"
A client error (AccessDeniedException) occurred when calling the DeleteEndpoint operation:
User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:DeleteEndpoint
on resource: arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX
$ aws dms modify-endpoint
--endpoint-arn "arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX"
A client error (AccessDeniedException) occurred when calling the ModifyEndpoint operation:
User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:ModifyEndpoint
on resource: arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX
Die folgende Richtlinie schränkt den Zugriff auf eine AWS DMS Aufgabe mithilfe der Aufgaben einARN.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"dms:*"
],
"Effect": "Deny",
"Resource": "arn:aws:dms:us-east-1:152683116:task:UO3YR4N47DXH3ATT4YMWOIT"
}
]
}
Die folgenden Befehle schlagen beispielsweise fehl, wenn die Richtlinie, die die Aufgaben verwendet, in Kraft ARN ist.
$ aws dms delete-replication-task
--replication-task-arn "arn:aws:dms:us-east-1:152683116:task:UO3YR4N47DXH3ATT4YMWOIT"
A client error (AccessDeniedException) occurred when calling the DeleteReplicationTask operation:
User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:DeleteReplicationTask
on resource: arn:aws:dms:us-east-1:152683116:task:UO3YR4N47DXH3ATT4YMWOIT
Verwendung von Tags zur Zugriffssteuerung
AWS DMS definiert eine Reihe von gemeinsamen Schlüssel-Wert-Paaren, die für die Verwendung in kundenspezifischen Richtlinien ohne zusätzliche Tagging-Anforderungen verfügbar sind. Weitere Informationen zum Markieren AWS DMS von Ressourcen finden Sie unter. Tagging von Ressourcen im AWS Database Migration Service
Im Folgenden sind die Standardtags aufgeführt, die für die Verwendung mit AWS DMS verfügbar sind:
-
aws: CurrentTime — Stellt das Datum und die Uhrzeit der Anfrage dar und ermöglicht die Beschränkung des Zugriffs auf der Grundlage zeitlicher Kriterien.
-
aws: EpochTime — Dieses Tag ähnelt dem vorhergehenden aws: CurrentTime -Tag, außer dass die aktuelle Zeit als die Anzahl der seit der Unix-Epoche verstrichenen Sekunden dargestellt wird.
-
aws: MultiFactorAuthPresent — Dies ist ein boolesches Tag, das angibt, ob die Anfrage per Multi-Faktor-Authentifizierung signiert wurde oder nicht.
-
aws: MultiFactorAuthAge — Ermöglicht den Zugriff auf das Alter des Multi-Faktor-Authentifizierungstokens (in Sekunden).
-
aws:principaltype – Bietet Zugriff auf den Prinzipaltyp (Benutzer, Konto, Verbundbenutzer usw.) für die aktuelle Anforderung.
-
aws: SourceIp — Stellt die Quell-IP-Adresse des Benutzers dar, der die Anfrage stellt.
-
aws: UserAgent — Stellt Informationen über die Client-Anwendung bereit, die eine Ressource anfordert.
-
aws:userid – Bietet Zugriff auf die ID des Benutzers, der die Anforderung ausgibt.
-
aws:username – Bietet Zugriff auf den Namen des Benutzers, der die Anforderung ausgibt.
-
dms: InstanceClass — Ermöglicht den Zugriff auf die Rechengröße der Hosts der Replikationsinstanzen.
-
dms: StorageSize — Ermöglicht den Zugriff auf die Größe des Speichervolumes (in GB).
Sie können auch eigene Tags definieren. Kundendefinierte Tags sind einfache Schlüssel-Wert-Paare, die im Tagging-Service dauerhaft gespeichert werden. AWS Sie können diese zu AWS DMS -Ressourcen hinzufügen, einschließlich Replikations-Instances, Endpunkte und Aufgaben. Diese Tags werden mithilfe von IAM „Conditional“ -Anweisungen in Richtlinien abgeglichen und mit einem bestimmten bedingten Tag referenziert. Die Tag-Schlüssel weisen das Präfix "dms", den Ressourcentyp und das "tag"-Präfix auf. Im Folgenden sehen Sie das Tag-Format.
dms:{resource type}-tag/{tag key}={tag value}
Nehmen wir beispielsweise an, Sie möchten eine Richtlinie definieren, die nur den erfolgreichen API Aufruf einer Replikationsinstanz ermöglicht, die das Tag „stage=production“ enthält. Die folgende Bedingungsanweisung stimmt mit einer Ressource mit dem angegebenen Tag überein.
"Condition":
{
"streq":
{
"dms:rep-tag/stage":"production"
}
}
Sie fügen das folgende Tag zu einer Replikations-Instance hinzu, die mit dieser Richtlinienbedingung übereinstimmt.
stage production
Zusätzlich zu den Tags, die AWS DMS Ressourcen bereits zugewiesen sind, können auch Richtlinien geschrieben werden, um die Anzahl der Tagschlüssel und -werte zu begrenzen, die auf eine bestimmte Ressource angewendet werden können. In diesem Fall ist das Tag-Präfix "req".
Mit der folgenden Richtlinienanweisung werden die Tags auf eine bestimmte Liste zulässiger Werte beschränkt, die ein Benutzer einer bestimmten Ressource zuweisen kann.
"Condition":
{
"streq":
{
"dms:rep-tag/stage": [ "production", "development", "testing" ]
}
}
Die folgenden Richtlinienbeispiele beschränken den Zugriff auf eine AWS DMS Ressource auf der Grundlage von Ressourcen-Tags.
Die folgende Richtlinie beschränkt den Zugriff auf eine Replikations-Instance, bei der der Tag-Wert "Desktop" und der Tag-Schlüssel "Env" ist:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"dms:*"
],
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringEquals": {
"dms:rep-tag/Env": [
"Desktop"
]
}
}
}
]
}
Die folgenden Befehle sind erfolgreich oder schlagen fehl, je nachdem, welche IAM Richtlinie den Zugriff einschränkt, wenn der Tagwert „Desktop“ und der Tag-Schlüssel „Env“ lautet.
$ aws dms list-tags-for-resource
--resource-name arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN
--endpoint-url http://localhost:8000
{
"TagList": [
{
"Value": "Desktop",
"Key": "Env"
}
]
}
$ aws dms delete-replication-instance
--replication-instance-arn "arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN"
A client error (AccessDeniedException) occurred when calling the DeleteReplicationInstance
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform:
dms:DeleteReplicationInstance on resource: arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN
$ aws dms modify-replication-instance
--replication-instance-arn "arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN"
A client error (AccessDeniedException) occurred when calling the ModifyReplicationInstance
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform:
dms:ModifyReplicationInstance on resource: arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN
$ aws dms add-tags-to-resource
--resource-name arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN
--tags Key=CostCenter,Value=1234
A client error (AccessDeniedException) occurred when calling the AddTagsToResource
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform:
dms:AddTagsToResource on resource: arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN
$ aws dms remove-tags-from-resource
--resource-name arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN
--tag-keys Env
A client error (AccessDeniedException) occurred when calling the RemoveTagsFromResource
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform:
dms:RemoveTagsFromResource on resource: arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN
Die folgende Richtlinie beschränkt den Zugriff auf einen AWS DMS Endpunkt, bei dem der Tagwert „Desktop“ und der Tag-Schlüssel „Env“ lautet.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"dms:*"
],
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringEquals": {
"dms:endpoint-tag/Env": [
"Desktop"
]
}
}
}
]
}
Die folgenden Befehle sind erfolgreich oder schlagen fehl, je nachdem, welche IAM Richtlinie den Zugriff einschränkt, wenn der Tagwert „Desktop“ und der Tag-Schlüssel „Env“ lautet.
$ aws dms list-tags-for-resource
--resource-name arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I
{
"TagList": [
{
"Value": "Desktop",
"Key": "Env"
}
]
}
$ aws dms delete-endpoint
--endpoint-arn "arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I"
A client error (AccessDeniedException) occurred when calling the DeleteEndpoint
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform:
dms:DeleteEndpoint on resource: arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I
$ aws dms modify-endpoint
--endpoint-arn "arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I"
A client error (AccessDeniedException) occurred when calling the ModifyEndpoint
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform:
dms:ModifyEndpoint on resource: arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I
$ aws dms add-tags-to-resource
--resource-name arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I
--tags Key=CostCenter,Value=1234
A client error (AccessDeniedException) occurred when calling the AddTagsToResource
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform:
dms:AddTagsToResource on resource: arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I
$ aws dms remove-tags-from-resource
--resource-name arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I
--tag-keys Env
A client error (AccessDeniedException) occurred when calling the RemoveTagsFromResource
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform:
dms:RemoveTagsFromResource on resource: arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I
Die folgende Richtlinie beschränkt den Zugriff auf eine Replikationsaufgabe, bei der der Tag-Wert "Desktop" und der Tag-Schlüssel "Env" ist.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"dms:*"
],
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringEquals": {
"dms:task-tag/Env": [
"Desktop"
]
}
}
}
]
}
Die folgenden Befehle sind erfolgreich oder schlagen fehl, je nachdem, welche IAM Richtlinie den Zugriff einschränkt, wenn der Tagwert „Desktop“ und der Tag-Schlüssel „Env“ lautet.
$ aws dms list-tags-for-resource
--resource-name arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3
{
"TagList": [
{
"Value": "Desktop",
"Key": "Env"
}
]
}
$ aws dms delete-replication-task
--replication-task-arn "arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3"
A client error (AccessDeniedException) occurred when calling the DeleteReplicationTask
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform:
dms:DeleteReplicationTask on resource: arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3
$ aws dms add-tags-to-resource
--resource-name arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3
--tags Key=CostCenter,Value=1234
A client error (AccessDeniedException) occurred when calling the AddTagsToResource
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform:
dms:AddTagsToResource on resource: arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3
$ aws dms remove-tags-from-resource
--resource-name arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3
--tag-keys Env
A client error (AccessDeniedException) occurred when calling the RemoveTagsFromResource
operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform:
dms:RemoveTagsFromResource on resource: arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3