Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Differenzierte Zugriffskontrolle mit Ressourcennamen und Ressourcen-Tags

Fokusmodus
Differenzierte Zugriffskontrolle mit Ressourcennamen und Ressourcen-Tags - AWS Database Migration Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sie können Ressourcennamen und Ressourcen-Tags verwenden, die auf Amazon Resource Names (ARNs) basieren, um den Zugriff auf AWS DMS Ressourcen zu verwalten. Sie tun dies, indem Sie zulässige Aktionen definieren oder bedingte Aussagen in IAM Richtlinien aufnehmen.

Verwenden von Ressourcennamen für die Zugriffskontrolle

Sie können ein IAM Benutzerkonto erstellen und auf der Grundlage der AWS DMS Ressource eine Richtlinie zuweisenARN.

Die folgende Richtlinie verweigert den Zugriff auf die AWS DMS Replikationsinstanz mit dem ARN arn:aws:dms:us-east - 1:152683116:rep: DOH67ZTOXGLIXMIHKITV

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "dms:*" ], "Effect": "Deny", "Resource": "arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV" } ] }

Bei diesem Beispiel würden bei Geltung der Richtlinie die folgenden Befehle fehschlagen:

$ aws dms delete-replication-instance --replication-instance-arn "arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV" A client error (AccessDeniedException) occurred when calling the DeleteReplicationInstance operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:DeleteReplicationInstance on resource: arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV $ aws dms modify-replication-instance --replication-instance-arn "arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV" A client error (AccessDeniedException) occurred when calling the ModifyReplicationInstance operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:ModifyReplicationInstance on resource: arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV

Sie können auch Richtlinien angeben, AWS DMS die den IAM Zugriff auf Endgeräte und Replikationsaufgaben einschränken.

Die folgende Richtlinie beschränkt den Zugriff auf einen AWS DMS Endpunkt mithilfe des EndpunktsARN.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "dms:*" ], "Effect": "Deny", "Resource": "arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX" } ] }

Die folgenden Befehle schlagen beispielsweise fehl, wenn die Richtlinie, die den Endpunkt verwendet, in Kraft ARN ist.

$ aws dms delete-endpoint --endpoint-arn "arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX" A client error (AccessDeniedException) occurred when calling the DeleteEndpoint operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:DeleteEndpoint on resource: arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX $ aws dms modify-endpoint --endpoint-arn "arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX" A client error (AccessDeniedException) occurred when calling the ModifyEndpoint operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:ModifyEndpoint on resource: arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX

Die folgende Richtlinie schränkt den Zugriff auf eine AWS DMS Aufgabe mithilfe der Aufgaben einARN.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "dms:*" ], "Effect": "Deny", "Resource": "arn:aws:dms:us-east-1:152683116:task:UO3YR4N47DXH3ATT4YMWOIT" } ] }

Die folgenden Befehle schlagen beispielsweise fehl, wenn die Richtlinie, die die Aufgaben verwendet, in Kraft ARN ist.

$ aws dms delete-replication-task --replication-task-arn "arn:aws:dms:us-east-1:152683116:task:UO3YR4N47DXH3ATT4YMWOIT" A client error (AccessDeniedException) occurred when calling the DeleteReplicationTask operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:DeleteReplicationTask on resource: arn:aws:dms:us-east-1:152683116:task:UO3YR4N47DXH3ATT4YMWOIT

Verwendung von Tags zur Zugriffssteuerung

AWS DMS definiert eine Reihe von gemeinsamen Schlüssel-Wert-Paaren, die für die Verwendung in kundenspezifischen Richtlinien ohne zusätzliche Tagging-Anforderungen verfügbar sind. Weitere Informationen zum Markieren AWS DMS von Ressourcen finden Sie unter. Tagging von Ressourcen im AWS Database Migration Service

Im Folgenden sind die Standardtags aufgeführt, die für die Verwendung mit AWS DMS verfügbar sind:

  • aws: CurrentTime — Stellt das Datum und die Uhrzeit der Anfrage dar und ermöglicht die Beschränkung des Zugriffs auf der Grundlage zeitlicher Kriterien.

  • aws: EpochTime — Dieses Tag ähnelt dem vorhergehenden aws: CurrentTime -Tag, außer dass die aktuelle Zeit als die Anzahl der seit der Unix-Epoche verstrichenen Sekunden dargestellt wird.

  • aws: MultiFactorAuthPresent — Dies ist ein boolesches Tag, das angibt, ob die Anfrage per Multi-Faktor-Authentifizierung signiert wurde oder nicht.

  • aws: MultiFactorAuthAge — Ermöglicht den Zugriff auf das Alter des Multi-Faktor-Authentifizierungstokens (in Sekunden).

  • aws:principaltype – Bietet Zugriff auf den Prinzipaltyp (Benutzer, Konto, Verbundbenutzer usw.) für die aktuelle Anforderung.

  • aws: SourceIp — Stellt die Quell-IP-Adresse des Benutzers dar, der die Anfrage stellt.

  • aws: UserAgent — Stellt Informationen über die Client-Anwendung bereit, die eine Ressource anfordert.

  • aws:userid – Bietet Zugriff auf die ID des Benutzers, der die Anforderung ausgibt.

  • aws:username – Bietet Zugriff auf den Namen des Benutzers, der die Anforderung ausgibt.

  • dms: InstanceClass — Ermöglicht den Zugriff auf die Rechengröße der Hosts der Replikationsinstanzen.

  • dms: StorageSize — Ermöglicht den Zugriff auf die Größe des Speichervolumes (in GB).

Sie können auch eigene Tags definieren. Kundendefinierte Tags sind einfache Schlüssel-Wert-Paare, die im Tagging-Service dauerhaft gespeichert werden. AWS Sie können diese zu AWS DMS -Ressourcen hinzufügen, einschließlich Replikations-Instances, Endpunkte und Aufgaben. Diese Tags werden mithilfe von IAM „Conditional“ -Anweisungen in Richtlinien abgeglichen und mit einem bestimmten bedingten Tag referenziert. Die Tag-Schlüssel weisen das Präfix "dms", den Ressourcentyp und das "tag"-Präfix auf. Im Folgenden sehen Sie das Tag-Format.

dms:{resource type}-tag/{tag key}={tag value}

Nehmen wir beispielsweise an, Sie möchten eine Richtlinie definieren, die nur den erfolgreichen API Aufruf einer Replikationsinstanz ermöglicht, die das Tag „stage=production“ enthält. Die folgende Bedingungsanweisung stimmt mit einer Ressource mit dem angegebenen Tag überein.

"Condition": { "streq": { "dms:rep-tag/stage":"production" } }

Sie fügen das folgende Tag zu einer Replikations-Instance hinzu, die mit dieser Richtlinienbedingung übereinstimmt.

stage production

Zusätzlich zu den Tags, die AWS DMS Ressourcen bereits zugewiesen sind, können auch Richtlinien geschrieben werden, um die Anzahl der Tagschlüssel und -werte zu begrenzen, die auf eine bestimmte Ressource angewendet werden können. In diesem Fall ist das Tag-Präfix "req".

Mit der folgenden Richtlinienanweisung werden die Tags auf eine bestimmte Liste zulässiger Werte beschränkt, die ein Benutzer einer bestimmten Ressource zuweisen kann.

"Condition": { "streq": { "dms:rep-tag/stage": [ "production", "development", "testing" ] } }

Die folgenden Richtlinienbeispiele beschränken den Zugriff auf eine AWS DMS Ressource auf der Grundlage von Ressourcen-Tags.

Die folgende Richtlinie beschränkt den Zugriff auf eine Replikations-Instance, bei der der Tag-Wert "Desktop" und der Tag-Schlüssel "Env" ist:

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "dms:*" ], "Effect": "Deny", "Resource": "*", "Condition": { "StringEquals": { "dms:rep-tag/Env": [ "Desktop" ] } } } ] }

Die folgenden Befehle sind erfolgreich oder schlagen fehl, je nachdem, welche IAM Richtlinie den Zugriff einschränkt, wenn der Tagwert „Desktop“ und der Tag-Schlüssel „Env“ lautet.

$ aws dms list-tags-for-resource --resource-name arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN --endpoint-url http://localhost:8000 { "TagList": [ { "Value": "Desktop", "Key": "Env" } ] } $ aws dms delete-replication-instance --replication-instance-arn "arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN" A client error (AccessDeniedException) occurred when calling the DeleteReplicationInstance operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:DeleteReplicationInstance on resource: arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN $ aws dms modify-replication-instance --replication-instance-arn "arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN" A client error (AccessDeniedException) occurred when calling the ModifyReplicationInstance operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:ModifyReplicationInstance on resource: arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN $ aws dms add-tags-to-resource --resource-name arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN --tags Key=CostCenter,Value=1234 A client error (AccessDeniedException) occurred when calling the AddTagsToResource operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:AddTagsToResource on resource: arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN $ aws dms remove-tags-from-resource --resource-name arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN --tag-keys Env A client error (AccessDeniedException) occurred when calling the RemoveTagsFromResource operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:RemoveTagsFromResource on resource: arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN

Die folgende Richtlinie beschränkt den Zugriff auf einen AWS DMS Endpunkt, bei dem der Tagwert „Desktop“ und der Tag-Schlüssel „Env“ lautet.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "dms:*" ], "Effect": "Deny", "Resource": "*", "Condition": { "StringEquals": { "dms:endpoint-tag/Env": [ "Desktop" ] } } } ] }

Die folgenden Befehle sind erfolgreich oder schlagen fehl, je nachdem, welche IAM Richtlinie den Zugriff einschränkt, wenn der Tagwert „Desktop“ und der Tag-Schlüssel „Env“ lautet.

$ aws dms list-tags-for-resource --resource-name arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I { "TagList": [ { "Value": "Desktop", "Key": "Env" } ] } $ aws dms delete-endpoint --endpoint-arn "arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I" A client error (AccessDeniedException) occurred when calling the DeleteEndpoint operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:DeleteEndpoint on resource: arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I $ aws dms modify-endpoint --endpoint-arn "arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I" A client error (AccessDeniedException) occurred when calling the ModifyEndpoint operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:ModifyEndpoint on resource: arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I $ aws dms add-tags-to-resource --resource-name arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I --tags Key=CostCenter,Value=1234 A client error (AccessDeniedException) occurred when calling the AddTagsToResource operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:AddTagsToResource on resource: arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I $ aws dms remove-tags-from-resource --resource-name arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I --tag-keys Env A client error (AccessDeniedException) occurred when calling the RemoveTagsFromResource operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:RemoveTagsFromResource on resource: arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I

Die folgende Richtlinie beschränkt den Zugriff auf eine Replikationsaufgabe, bei der der Tag-Wert "Desktop" und der Tag-Schlüssel "Env" ist.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "dms:*" ], "Effect": "Deny", "Resource": "*", "Condition": { "StringEquals": { "dms:task-tag/Env": [ "Desktop" ] } } } ] }

Die folgenden Befehle sind erfolgreich oder schlagen fehl, je nachdem, welche IAM Richtlinie den Zugriff einschränkt, wenn der Tagwert „Desktop“ und der Tag-Schlüssel „Env“ lautet.

$ aws dms list-tags-for-resource --resource-name arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3 { "TagList": [ { "Value": "Desktop", "Key": "Env" } ] } $ aws dms delete-replication-task --replication-task-arn "arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3" A client error (AccessDeniedException) occurred when calling the DeleteReplicationTask operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:DeleteReplicationTask on resource: arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3 $ aws dms add-tags-to-resource --resource-name arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3 --tags Key=CostCenter,Value=1234 A client error (AccessDeniedException) occurred when calling the AddTagsToResource operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:AddTagsToResource on resource: arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3 $ aws dms remove-tags-from-resource --resource-name arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3 --tag-keys Env A client error (AccessDeniedException) occurred when calling the RemoveTagsFromResource operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:RemoveTagsFromResource on resource: arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3
DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.