Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identitäts- und Zugriffsmanagement für AWS Database Migration Service
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Ressourcen zu verwenden. AWS DMS IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [Wie AWS Database Migration Service funktioniert mit IAM](security_iam_service-with-iam.md)
+ [AWS Database Migration Service Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)
+ [Beispiele für ressourcenbasierte Richtlinien für AWS KMS](security_iam_resource-based-policy-examples.md)
+ [Verwenden von Geheimnissen für den Zugriff auf AWS Database Migration Service Endpunkte](security_iam_secretsmanager.md)
+ [Verwenden von serviceverknüpften Rollen für AWS DMS](using-service-linked-roles.md)
+ [Fehlerbehebung bei AWS Database Migration Service Identität und Zugriff](security_iam_troubleshoot.md)
+ [Für die Verwendung sind IAM-Berechtigungen erforderlich AWS DMS](#CHAP_Security.IAMPermissions)
+ [Die IAM-Rollen zur Verwendung mit erstellen AWS DMS](#CHAP_Security.APIRole)
+ [Serviceübergreifende Confused-Deputy-Prävention](cross-service-confused-deputy-prevention.md)
+ [AWS verwaltete Richtlinien für AWS Database Migration Service](security-iam-awsmanpol.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei AWS Database Migration Service Identität und Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [Wie AWS Database Migration Service funktioniert mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [AWS Database Migration Service Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) verwenden müssen.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Zugriffskontrolllisten () ACLs
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
Amazon S3 und Amazon VPC sind Beispiele für Dienste, die Unterstützung ACLs bieten. AWS WAF Weitere Informationen finden Sie unter [Übersicht über ACLs die Zugriffskontrollliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service Developer Guide*.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# Wie AWS Database Migration Service funktioniert mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf zu verwalten AWS DMS, sollten Sie wissen, mit welchen IAM-Funktionen Sie verwenden können. AWS DMS*Einen allgemeinen Überblick darüber, wie AWS DMS und andere AWS Dienste mit IAM funktionieren, finden Sie im [AWS IAM-Benutzerhandbuch unter Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
**Topics**
+ [AWS DMS identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies)
+ [AWS DMS ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisierung auf der Grundlage von Tags AWS DMS](#security_iam_service-with-iam-tags)
+ [IAM-Rollen für AWS DMS](#security_iam_service-with-iam-roles)
+ [Identitäts- und Zugriffsverwaltung für DMS Fleet Advisor](#fa-security-iam)
## AWS DMS identitätsbasierte Richtlinien
Mit identitätsbasierten IAM-Richtlinien können Sie festlegen, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. AWS DMS unterstützt spezifische Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Aktionen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Bei Richtlinienaktionen wird vor der Aktion das folgende Präfix AWS DMS verwendet:`dms:`. Um beispielsweise jemandem die Erlaubnis zu erteilen, eine Replikationsaufgabe mit dem AWS DMS `CreateReplicationTask` API-Vorgang zu erstellen, nehmen Sie die `dms:CreateReplicationTask` Aktion in seine Richtlinie auf. Richtlinienerklärungen müssen `Action` entweder ein `NotAction` Oder-Element enthalten. AWS DMS definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Dienst ausführen können.
Um mehrere -Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie folgendermaßen durch Kommas.
```
"Action": [
"dms:action1",
"dms:action2"
```
Sie können auch Platzhalter (\$1) verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:
```
"Action": "dms:Describe*"
```
Eine Liste der AWS DMS [Aktionen finden Sie AWS Database Migration Service im *IAM-Benutzerhandbuch* unter Definierte Aktionen von](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdatabasemigrationservice.html#awsdatabasemigrationservice-actions-as-permissions).
### Ressourcen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
AWS DMS arbeitet mit den folgenden Ressourcen:
+ Zertifikate
+ Endpunkte
+ Ereignisabonnements
+ Replikations-Instances
+ Replikations-Subnetzgruppen (Sicherheit)
+ Replikationsaufgaben
Welche Ressource oder welche Ressourcen AWS DMS benötigt werden, hängt von der Aktion oder den Aktionen ab, die Sie aufrufen. Sie benötigen eine Richtlinie, die diese Aktionen für die zugeordnete oder die von der Ressource ARNs angegebenen Ressourcen zulässt.
Eine AWS DMS Endpunktressource hat beispielsweise den folgenden ARN:
```
arn:${Partition}:dms:${Region}:${Account}:endpoint/${InstanceId}
```
Weitere Informationen zum Format von ARNs finden Sie unter [Amazon Resource Names (ARNs) und AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Um beispielsweise die `1A2B3C4D5E6F7G8H9I0J1K2L3M`-Endpunkt-Instance für die `us-east-2`-Region in Ihrer Anweisung anzugeben, verwenden Sie den folgenden ARN.
```
"Resource": "arn:aws:dms:us-east-2:987654321098:endpoint/1A2B3C4D5E6F7G8H9I0J1K2L3M"
```
Um alle Endpunkte anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (\$1):
```
"Resource": "arn:aws:dms:us-east-2:987654321098:endpoint/*"
```
Einige AWS DMS Aktionen, wie z. B. die zum Erstellen von Ressourcen, können nicht für eine bestimmte Ressource ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (\$1) verwenden.
```
"Resource": "*"
```
Einige AWS DMS API-Aktionen umfassen mehrere Ressourcen. Beispielsweise startet `StartReplicationTask` eine Replikationsaufgabe und verbindet sie mit zwei Datenbankendpunktressourcen, einer Quelle und einem Ziel, sodass ein IAM-Benutzer Berechtigungen zum Lesen des Quellendpunkts und zum Schreiben auf den Zielendpunkt haben muss. Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie ARNs durch Kommas.
```
"Resource": [
"resource1",
"resource2" ]
```
Weitere Informationen zur Steuerung des Zugriffs auf AWS DMS Ressourcen mithilfe von Richtlinien finden Sie unter[Verwenden von Ressourcennamen für die Zugriffskontrolle](CHAP_Security.FineGrainedAccess.md#CHAP_Security.FineGrainedAccess.ResourceName). Eine Liste der AWS DMS Ressourcentypen und ihrer ARNs Eigenschaften finden Sie AWS Database Migration Service im *IAM-Benutzerhandbuch* unter [Defined by (Ressourcen definiert von](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdatabasemigrationservice.html#awsdatabasemigrationservice-resources-for-iam-policies)). Informationen zu den Aktionen, mit denen Sie den ARN einzelner Ressourcen angeben können, finden Sie unter [Von AWS Database Migration Service definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdatabasemigrationservice.html#awsdatabasemigrationservice-actions-as-permissions).
### Bedingungsschlüssel
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
AWS DMS definiert seinen eigenen Satz von Bedingungsschlüsseln und unterstützt auch die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
AWS DMS definiert eine Reihe von Standard-Tags, die Sie in ihren Bedingungsschlüsseln verwenden können, und ermöglicht Ihnen auch, Ihre eigenen benutzerdefinierten Tags zu definieren. Weitere Informationen finden Sie unter [Verwendung von Tags zur Zugriffssteuerung](CHAP_Security.FineGrainedAccess.md#CHAP_Security.FineGrainedAccess.Tags).
Eine Liste der AWS DMS Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für AWS Database Migration Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdatabasemigrationservice.html#awsdatabasemigrationservice-policy-keys) im *IAM-Benutzerhandbuch*. Informationen dazu, mit welchen Aktionen und Ressourcen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von AWS Database Migration Service definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdatabasemigrationservice.html#awsdatabasemigrationservice-actions-as-permissions) und [Von AWS Database Migration Service definierte Ressourcentypen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdatabasemigrationservice.html#awsdatabasemigrationservice-resources-for-iam-policies).
### Beispiele
Beispiele für AWS DMS identitätsbasierte Richtlinien finden Sie unter. [AWS Database Migration Service Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)
## AWS DMS ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die angeben, welche Aktionen ein bestimmter Prinzipal auf einer bestimmten AWS DMS Ressource ausführen kann und unter welchen Bedingungen. AWS DMS unterstützt ressourcenbasierte Berechtigungsrichtlinien für AWS KMS Verschlüsselungsschlüssel, die Sie zur Verschlüsselung von Daten erstellen, die auf unterstützte Zielendpunkte migriert wurden. Die unterstützten Ziel-Endpunkte enthalten Amazon Redshift und Amazon S3. Mithilfe ressourcenbasierter Richtlinien können Sie anderen Konten für jeden Zielendpunkt die Berechtigung zur Verwendung dieser Verschlüsselungsschlüssel erteilen.
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als [Prinzipal in einer ressourcenbasierten Richtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) angeben. Durch das Hinzufügen eines kontoübergreifenden Auftraggebers zu einer ressourcenbasierten Richtlinie ist nur die halbe Vertrauensbeziehung eingerichtet. Wenn sich der Prinzipal und die Ressource in unterschiedlichen AWS Konten befinden, müssen Sie der Prinzipalentität auch die Erlaubnis erteilen, auf die Ressource zuzugreifen. Sie erteilen Berechtigungen, indem Sie der Entität eine identitätsbasierte Richtlinie anfügen. Wenn jedoch eine ressourcenbasierte Richtlinie Zugriff auf einen Prinzipal in demselben Konto gewährt, ist keine zusätzliche identitätsbasierte Richtlinie erforderlich. Weitere Informationen finden Sie unter [Wie sich IAM-Rollen von ressourcenbasierten Richtlinien unterscheiden](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) im *IAM-Benutzerhandbuch*.
Der AWS DMS Dienst unterstützt nur eine Art von ressourcenbasierter Richtlinie, die als *Schlüsselrichtlinie* bezeichnet wird und an einen AWS KMS Verschlüsselungsschlüssel angehängt ist. Diese Richtlinie legt fest, welche Prinzipal-Entitäten (Konten, Benutzer, Rollen und verbundene Benutzer) migrierte Daten auf dem unterstützten Zielendpunkt verschlüsseln können.
Informationen zum Anfügen einer ressourcenbasierten Richtlinie an einen Verschlüsselungsschlüssel, den Sie für die unterstützten Zielendpunkte erstellen, finden Sie unter [Erstellen und Verwenden von AWS KMS Schlüsseln zur Verschlüsselung von Amazon Redshift Redshift-Zieldaten](CHAP_Target.Redshift.md#CHAP_Target.Redshift.KMSKeys) und [AWS KMS Schlüssel zur Verschlüsselung von Amazon S3 S3-Zielobjekten erstellen](CHAP_Target.S3.md#CHAP_Target.S3.KMSKeys).
### Beispiele
Beispiele für AWS DMS ressourcenbasierte Richtlinien finden Sie unter. [Beispiele für ressourcenbasierte Richtlinien für AWS KMS](security_iam_resource-based-policy-examples.md)
## Autorisierung auf der Grundlage von Tags AWS DMS
Sie können Tags an AWS DMS Ressourcen anhängen oder Tags in einer Anfrage an übergeben AWS DMS. Um den Zugriff anhand von Stichwörtern zu steuern, geben Sie Tag-Informationen im [Bedingungselement](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) einer Richtlinie mithilfe des `aws:TagKeys` Bedingungsschlüssels `dms:ResourceTag/key-name``aws:RequestTag/key-name`,, oder ein. AWS DMS definiert eine Reihe von Standardtags, die Sie in ihren Bedingungsschlüsseln verwenden können, und ermöglicht es Ihnen auch, Ihre eigenen benutzerdefinierten Tags zu definieren. Weitere Informationen finden Sie unter [Verwendung von Tags zur Zugriffssteuerung](CHAP_Security.FineGrainedAccess.md#CHAP_Security.FineGrainedAccess.Tags).
Eine identitätsbasierte Beispielrichtlinie, die den Zugriff auf eine Ressource auf Tags beschränkt, finden Sie unter [Zugriff auf AWS DMS Ressourcen auf der Grundlage von Tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-access-resources-tags).
## IAM-Rollen für AWS DMS
Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität in Ihrem AWS Konto, die über bestimmte Berechtigungen verfügt.
### Verwenden temporärer Anmeldeinformationen mit AWS DMS
Sie können temporäre Anmeldeinformationen verwenden, um sich mit dem Verbund anzumelden, eine IAM-Rolle zu übernehmen oder eine kontoübergreifende Rolle zu übernehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder aufrufen [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
AWS DMS unterstützt die Verwendung temporärer Anmeldeinformationen.
### Service-verknüpfte Rollen
Mit [dienstbezogenen Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) können AWS Dienste auf Ressourcen in anderen Diensten zugreifen, um eine Aktion in Ihrem Namen auszuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.
Einzelheiten zum Erstellen oder Verwalten von AWS DMS dienstbezogenen Rollen finden Sie unter. [Verwenden von servicegebundenen Rollen](using-service-linked-roles.md)
### Servicerollen
Dieses Feature ermöglicht einem Service das Annehmen einer [Servicerolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Dies bedeutet, dass ein IAM-Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.
AWS DMS unterstützt zwei Arten von Servicerollen, die Sie erstellen müssen, um bestimmte Quell- oder Zielendpunkte verwenden zu können:
+ Rollen mit Berechtigungen, um AWS DMS-Zugriff auf die folgenden Quell- und Zielendpunkte (oder deren Ressourcen) zu gewähren:
+ Amazon DynamoDB als Ziel – weitere Informationen finden Sie unter [Voraussetzungen für die Verwendung von DynamoDB als Ziel für AWS Database Migration Service](CHAP_Target.DynamoDB.md#CHAP_Target.DynamoDB.Prerequisites).
+ OpenSearch als Ziel — Weitere Informationen finden Sie unter. [Voraussetzungen für die Verwendung von Amazon OpenSearch Service als Ziel für AWS Database Migration Service](CHAP_Target.Elasticsearch.md#CHAP_Target.Elasticsearch.Prerequisites)
+ Amazon Kinesis als Ziel – weitere Informationen finden Sie unter [Voraussetzungen für die Verwendung eines Kinesis-Datenstroms als Ziel für AWS Database Migration Service](CHAP_Target.Kinesis.md#CHAP_Target.Kinesis.Prerequisites).
+ Amazon Redshift als Ziel – Sie müssen die angegebene Rolle nur zum Erstellen eines benutzerdefinierten KMS-Verschlüsselungsschlüssels zum Verschlüsseln der Zieldaten oder zum Angeben eines benutzerdefinierten S3-Buckets für Zwischenaufgabenspeicher erstellen. Für weitere Informationen siehe [Erstellen und Verwenden von AWS KMS Schlüsseln zur Verschlüsselung von Amazon Redshift Redshift-Zieldaten](CHAP_Target.Redshift.md#CHAP_Target.Redshift.KMSKeys) oder [Einstellungen von Amazon-S3-Buckets](CHAP_Target.Redshift.md#CHAP_Target.Redshift.EndpointSettings.S3Buckets).
+ Amazon S3 als Quelle oder als Ziel – weitere Informationen finden Sie unter [Voraussetzungen für die Verwendung von Amazon S3 als Quelle für AWS DMS](CHAP_Source.S3.md#CHAP_Source.S3.Prerequisites) oder [Voraussetzungen für die Verwendung von Amazon S3 als Ziel](CHAP_Target.S3.md#CHAP_Target.S3.Prerequisites).
Um beispielsweise Daten von einem S3-Quellendpunkt zu lesen oder Daten an einen S3-Zielendpunkt zu übertragen, müssen Sie eine Servicerolle als Voraussetzung für den Zugriff auf S3 für jede dieser Endpunktoperationen erstellen.
+ Rollen mit erforderlichen Berechtigungen für die Verwendung der AWS DMS-Konsole, der AWS CLI und der AWS DMS-API — Zwei IAM-Rollen, die Sie erstellen müssen, sind und. `dms-vpc-role` `dms-cloudwatch-logs-role` Wenn Sie Amazon Redshift als Zieldatenbank verwenden, müssen Sie auch die IAM-Rolle erstellen und `dms-access-for-endpoint` zu Ihrem AWS Konto hinzufügen. Weitere Informationen finden Sie unter [Die IAM-Rollen zur Verwendung mit erstellen AWS DMS](security-iam.md#CHAP_Security.APIRole).
### Auswahl einer IAM-Rolle in AWS DMS
Wenn Sie die AWS DMS-Konsole, die AWS CLI oder die AWS DMS-API für Ihre Datenbankmigration verwenden, müssen Sie Ihrem AWS Konto bestimmte IAM-Rollen hinzufügen, bevor Sie die Funktionen von DMS nutzen können. AWS Zwei dieser Optionen sind `dms-vpc-role` und `dms-cloudwatch-logs-role`. Wenn Sie Amazon Redshift als Zieldatenbank verwenden, müssen Sie Ihrem AWS Konto auch die IAM-Rolle `dms-access-for-endpoint` hinzufügen. Weitere Informationen finden Sie unter [Die IAM-Rollen zur Verwendung mit erstellen AWS DMS](security-iam.md#CHAP_Security.APIRole).
## Identitäts- und Zugriffsverwaltung für DMS Fleet Advisor
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. DMS Fleet Advisor unterstützt spezifische Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
DMS Fleet Advisor verwendet IAM-Rollen, um auf Amazon Simple Storage Service zuzugreifen. Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität innerhalb Ihres AWS Kontos, die über bestimmte Berechtigungen verfügt. Weitere Informationen finden Sie unter [Erstellen von IAM-Ressourcen](fa-resources.md#fa-resources-iam).
# AWS Database Migration Service Beispiele für identitätsbasierte Richtlinien
IAM-Benutzer besitzen keine Berechtigungen zum Erstellen oder Ändern von AWS DMS -Ressourcen. Sie können auch keine Aufgaben mit der AWS-Managementkonsole AWS CLI, oder AWS API ausführen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den IAM-Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von Richtlinien auf der JSON-Registerkarte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Konsole AWS DMS](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Zugreifen auf einen Amazon-S3-Bucket](#security_iam_id-based-policy-examples-access-one-bucket)
+ [Zugriff auf AWS DMS Ressourcen auf der Grundlage von Tags](#security_iam_id-based-policy-examples-access-resources-tags)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand AWS DMS Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Konsole AWS DMS
Die folgende Richtlinie gewährt Ihnen Zugriff auf AWS DMS, einschließlich der AWS DMS-Konsole, und legt auch Berechtigungen für bestimmte Aktionen fest, die von anderen Amazon-Services wie Amazon EC2 benötigt werden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "dms:*",
"Resource": "arn:aws:dms:*:123456789012:*"
},
{
"Effect": "Allow",
"Action": [
"kms:ListAliases",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:*:123456789012:key/*"
},
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:CreateRole",
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:iam::123456789012:role/*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "dms.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeInternetGateways",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:Get*",
"cloudwatch:List*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": "arn:aws:logs:*:123456789012:*"
}
]
}
```
------
Eine Aufschlüsselung dieser Berechtigungen kann Ihnen helfen, besser zu verstehen, warum alle für die Verwendung der Konsole erforderlichen Berechtigungen erforderlich sind.
Der folgende Abschnitt ist erforderlich, damit die Benutzer berechtigt sind, ihre verfügbaren AWS KMS -Schlüssel und den Alias für die Anzeige in der Konsole aufzulisten. Dieser Eintrag ist nicht erforderlich, wenn Sie den Amazon-Ressourcennamen (ARN) für den KMS-Schlüssel kennen und nur die AWS Command Line Interface (AWS CLI) verwenden.
```
{
"Effect": "Allow",
"Action": [
"kms:ListAliases",
"kms:DescribeKey"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
Der folgende Abschnitt ist für bestimmte Endpunkttypen erforderlich, die die Übergabe eines Rollen-ARN mit dem Endpunkt erfordern. Wenn die erforderlichen AWS DMS Rollen nicht im Voraus erstellt wurden, kann die AWS DMS Konsole die Rolle außerdem erstellen. Wenn alle Rollen vorab konfiguriert werden, muss dies innerhalb von `iam:GetRole` und `iam:PassRole` geschehen. Weitere Informationen zu Rollen finden Sie unter [Die IAM-Rollen zur Verwendung mit erstellen AWS DMS](security-iam.md#CHAP_Security.APIRole).
```
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole",
"iam:CreateRole",
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
Der folgende Abschnitt ist AWS DMS erforderlich, da die Amazon EC2 EC2-Instance erstellt und das Netzwerk für die erstellte Replikationsinstanz konfiguriert werden muss. Diese Ressourcen sind im Konto des Kunden vorhanden, deshalb muss es möglich sein, diese Aktionen im Namen des Kunden auszuführen.
```
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeInternetGateways",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
Der folgende Abschnitt ist erforderlich, damit der Benutzer Replikations-Instance-Metriken anzeigen kann.
```
{
"Effect": "Allow",
"Action": [
"cloudwatch:Get*",
"cloudwatch:List*"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
Dieser Abschnitt ist erforderlich, damit der Benutzer Replikationsprotokolle anzeigen kann.
```
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
Wenn Sie die AWS DMS-Konsole, die AWS Command Line Interface (AWS CLI) oder die AWS DMS-API für Ihre Migration verwenden, müssen Sie Ihrem Konto mehrere Rollen hinzufügen. Weitere Informationen zum Hinzufügen dieser Rollen finden Sie unter [Die IAM-Rollen zur Verwendung mit erstellen AWS DMS](security-iam.md#CHAP_Security.APIRole).
Weitere Informationen zu den Anforderungen für die Verwendung dieser Richtlinie für den Zugriff auf AWS DMS finden Sie unter. [Für die Verwendung sind IAM-Berechtigungen erforderlich AWS DMS](security-iam.md#CHAP_Security.IAMPermissions)
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der AWS CLI API oder. AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Zugreifen auf einen Amazon-S3-Bucket
AWS DMS verwendet Amazon S3 S3-Buckets als Zwischenspeicher für die Datenbankmigration. In der Regel verwaltet AWS DMS Standard-S3-Buckets für diesen Zweck. In bestimmten Fällen, insbesondere wenn Sie die AWS CLI oder die AWS DMS-API verwenden, können Sie mit DMS jedoch AWS stattdessen Ihren eigenen S3-Bucket angeben. Sie können beispielsweise einen eigenen S3-Bucket für die Migration von Daten zu einem Amazon-Redshift-Zielendpunkt angeben. In diesem Fall müssen Sie eine Rolle mit Berechtigungen erstellen, die auf der verwalteten Richtlinie basieren AWS. `AmazonDMSRedshiftS3Role`
Das folgende Beispiel zeigt eine Version der Richtlinie `AmazonDMSRedshiftS3Role`. Damit kann AWS DMS einem IAM-Benutzer in Ihrem AWS Konto Zugriff auf einen Ihrer Amazon S3 S3-Buckets gewähren. Außerdem kann der Benutzer Objekte hinzufügen, aktualisieren und löschen.
Zusätzlich zum Erteilen der Berechtigungen `s3:PutObject`, `s3:GetObject` und `s3:DeleteObject` für den Benutzer, gewährt die Richtlinie die Berechtigungen `s3:ListAllMyBuckets`, `s3:GetBucketLocation` und `s3:ListBucket`. Dies sind die zusätzlichen Berechtigungen, die von der Konsole benötigt werden. Andere Berechtigungen ermöglichen es AWS DMS, den Bucket-Lebenszyklus zu verwalten. Außerdem ist die `s3:GetObjectAcl`-Aktion erforderlich, um Objekte kopieren zu können.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:DeleteBucket",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:GetBucketAcl",
"s3:PutBucketVersioning",
"s3:GetBucketVersioning",
"s3:PutLifecycleConfiguration",
"s3:GetLifecycleConfiguration",
"s3:DeleteBucketPolicy"
],
"Resource": "arn:aws:s3:::dms-*"
}
]
}
```
------
Weitere Informationen zum Erstellen einer Rolle auf der Grundlage dieser Richtlinie finden Sie unter [Einstellungen von Amazon-S3-Buckets](CHAP_Target.Redshift.md#CHAP_Target.Redshift.EndpointSettings.S3Buckets).
## Zugriff auf AWS DMS Ressourcen auf der Grundlage von Tags
Sie können in Ihrer identitätsbasierten Richtlinie Bedingungen für die Steuerung des Zugriffs auf AWS DMS -Ressourcen auf der Basis von Tags verwenden. Dieses Beispiel zeigt, wie Sie eine Richtlinie erstellen könnten, die den Zugriff auf alle AWS DMS-Endpunkte ermöglicht. Die Berechtigung wird jedoch nur gewährt, wenn der Wert des Endpunktdatenbank-Tags `Owner` der Name des Benutzers ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "dms:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"dms:endpoint-tag/Owner": "${aws:username}"
}
}
}
]
}
```
------
Sie können diese Richtlinie den IAM-Benutzern in Ihrem Konto anfügen. Wenn ein Benutzer mit diesem Namen `richard-roe` versucht, auf einen AWS DMS Endpunkt zuzugreifen, muss die Endpunktdatenbank mit oder gekennzeichnet `Owner=richard-roe` werden. `owner=richard-roe` Andernfalls wird diesem Benutzer der Zugriff verweigert. Der Tag-Schlüssel `Owner` der Bedingung stimmt sowohl mit `Owner` als auch mit `owner` überein, da die Namen von Bedingungsschlüsseln nicht zwischen Groß- und Kleinschreibung unterscheiden. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
# Beispiele für ressourcenbasierte Richtlinien für AWS KMS
AWS Mit DMS können Sie benutzerdefinierte AWS KMS Verschlüsselungsschlüssel erstellen, um unterstützte Zielendpunktdaten zu verschlüsseln. Informationen zum Erstellen und Anfügen einer Schlüsselrichtlinie an den Verschlüsselungsschlüssel, den Sie für die unterstützte Verschlüsselung von Zieldaten erstellen, finden Sie unter [Erstellen und Verwenden von AWS KMS Schlüsseln zur Verschlüsselung von Amazon Redshift Redshift-Zieldaten](CHAP_Target.Redshift.md#CHAP_Target.Redshift.KMSKeys) und [AWS KMS Schlüssel zur Verschlüsselung von Amazon S3 S3-Zielobjekten erstellen](CHAP_Target.S3.md#CHAP_Target.S3.KMSKeys).
**Topics**
+ [Eine Richtlinie für einen benutzerdefinierten AWS KMS Verschlüsselungsschlüssel zur Verschlüsselung von Amazon Redshift Redshift-Zieldaten](#security_iam_resource-based-policy-examples-custom-rs-key-policy)
+ [Eine Richtlinie für einen benutzerdefinierten AWS KMS Verschlüsselungsschlüssel zur Verschlüsselung von Amazon S3 S3-Zieldaten](#security_iam_resource-based-policy-examples-custom-s3-key-policy)
## Eine Richtlinie für einen benutzerdefinierten AWS KMS Verschlüsselungsschlüssel zur Verschlüsselung von Amazon Redshift Redshift-Zieldaten
Das folgende Beispiel zeigt den JSON für die Schlüsselrichtlinie, die für einen AWS KMS -Verschlüsselungsschlüssel erstellt wurde, den Sie zum Verschlüsseln von Amazon-Redshift-Zieldaten erstellen.
------
#### [ JSON ]
****
```
{
"Id": "key-consolepolicy-3",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:root"
]
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow access for Key Administrators",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:role/Admin"
]
},
"Action": [
"kms:Create*",
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*",
"kms:TagResource",
"kms:UntagResource",
"kms:ScheduleKeyDeletion",
"kms:CancelKeyDeletion"
],
"Resource": "*"
},
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:role/DMS-Redshift-endpoint-access-role"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "Allow attachment of persistent resources",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:role/DMS-Redshift-endpoint-access-role"
]
},
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
```
------
Hier können Sie sehen, wo die Schlüsselrichtlinie auf die Rolle für den Zugriff auf Amazon-Redshift-Zielendpunktdaten verweist, die Sie vor dem Erstellen des Schlüssels erstellt haben. Im Beispiel ist dies `DMS-Redshift-endpoint-access-role`. Sie können auch die verschiedenen Schlüsselaktionen sehen, die für die verschiedenen Prinzipale (Benutzer und Rollen) zulässig sind. Beispielsweise kann jeder Benutzer mit `DMS-Redshift-endpoint-access-role` die Zieldaten verschlüsseln, entschlüsseln und neu verschlüsseln. Ein solcher Benutzer kann auch Datenschlüssel für den Export generieren, um die Daten außerhalb von zu verschlüsseln. AWS KMS Sie können auch detaillierte Informationen zu einem AWS KMS Schlüssel zurückgeben, z. B. zu dem Schlüssel, den Sie gerade erstellt haben. Darüber hinaus kann ein solcher Benutzer Anhänge an AWS -Ressourcen verwalten, z. B. den Zielendpunkt.
## Eine Richtlinie für einen benutzerdefinierten AWS KMS Verschlüsselungsschlüssel zur Verschlüsselung von Amazon S3 S3-Zieldaten
Das folgende Beispiel zeigt den JSON für die Schlüsselrichtlinie, die für einen AWS KMS -Verschlüsselungsschlüssel erstellt wurde, den Sie zum Verschlüsseln von Amazon-S3-Zieldaten erstellen.
------
#### [ JSON ]
****
```
{
"Id": "key-consolepolicy-3",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:root"
]
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow access for Key Administrators",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:role/Admin"
]
},
"Action": [
"kms:Create*",
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*",
"kms:TagResource",
"kms:UntagResource",
"kms:ScheduleKeyDeletion",
"kms:CancelKeyDeletion"
],
"Resource": "*"
},
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:role/DMS-S3-endpoint-access-role"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "Allow attachment of persistent resources",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:role/DMS-S3-endpoint-access-role"
]
},
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
```
------
Hier können Sie sehen, wo die Schlüsselrichtlinie auf die Rolle für den Zugriff auf Amazon-S3-Zielendpunktdaten verweist, die Sie vor dem Erstellen des Schlüssels erstellt haben. Im Beispiel ist dies `DMS-S3-endpoint-access-role`. Sie können auch die verschiedenen Schlüsselaktionen sehen, die für die verschiedenen Prinzipale (Benutzer und Rollen) zulässig sind. Beispielsweise kann jeder Benutzer mit `DMS-S3-endpoint-access-role` die Zieldaten verschlüsseln, entschlüsseln und neu verschlüsseln. Ein solcher Benutzer kann auch Datenschlüssel für den Export generieren, um die Daten außerhalb von zu verschlüsseln. AWS KMS Sie können auch detaillierte Informationen zu einem AWS KMS Schlüssel zurückgeben, z. B. zu dem Schlüssel, den Sie gerade erstellt haben. Darüber hinaus kann ein solcher Benutzer Anhänge an AWS -Ressourcen verwalten, z. B. den Zielendpunkt.
# Verwenden von Geheimnissen für den Zugriff auf AWS Database Migration Service Endpunkte
Denn ein *Geheimnis* ist ein verschlüsselter Schlüssel AWS DMS, den Sie verwenden können, um eine Reihe von Benutzeranmeldeinformationen darzustellen, um die Datenbankverbindung für einen unterstützten AWS DMS Quell- oder Zielendpunkt durch *geheime Authentifizierung* zu authentifizieren. Für einen Oracle-Endpunkt, der auch Oracle Automatic Storage Management (ASM) verwendet, ist ein zusätzliches Geheimnis AWS DMS erforderlich, das die Benutzeranmeldedaten für den Zugriff auf Oracle ASM darstellt.
Sie können den oder die geheimen Schlüssel, die für die geheime Authentifizierung AWS DMS erforderlich sind AWS Secrets Manager, mithilfe eines Dienstes erstellen, mit dem Anmeldeinformationen für den Zugriff auf Anwendungen, Dienste und IT-Ressourcen in der Cloud und vor Ort sicher erstellt, gespeichert und abgerufen werden können. Dies umfasst die Unterstützung der automatischen regelmäßigen Rotation des verschlüsselten Secret-Werts ohne Ihr Eingreifen, wodurch zusätzliche Sicherheit für Ihre Anmeldeinformationen gewährleistet wird. Wenn Sie die Rotation geheimer Werte aktivieren, wird AWS Secrets Manager auch sichergestellt, dass diese geheime Wertrotation ohne Auswirkungen auf Datenbankmigrationen erfolgt, die auf dem Geheimnis beruhen. Um eine Endpunkt-Datenbankverbindung verborgen zu authentifizieren, erstellen Sie ein Secret, dessen Identität oder ARN Sie `SecretsManagerSecretId` zuweisen und das Sie in Ihre Endpunkteinstellungen aufnehmen. Um Oracle ASM als Teil eines Oracle-Endpunkts verborgen zu authentifizieren, erstellen Sie ein Secret, dessen Identität oder ARN Sie `SecretsManagerOracleAsmSecretId` zuweisen und das Sie in Ihre Endpunkteinstellungen aufnehmen.
**Anmerkung**
Sie können keine von Amazon RDS Aurora verwalteten Master-Anmeldeinformationen verwenden. Diese Anmeldeinformationen enthalten keine Host- oder Portinformationen, die AWS DMS zum Herstellen von Verbindungen erforderlich sind. Erstellen Sie stattdessen einen neuen Benutzer und ein neues Secret. Informationen zum Erstellen eines Benutzers und eines Secrets finden Sie im Folgenden unter [Verwenden Sie die AWS-Managementkonsole , um eine geheime und geheime Zugriffsrolle zu erstellen](#security_iam_secretsmanager.console).
Weitere Informationen finden Sie AWS Secrets Manager unter [Was ist AWS Secrets Manager?](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) im *AWS Secrets Manager Benutzerhandbuch*.
AWS DMS unterstützt die geheime Authentifizierung für die folgenden lokalen oder AWS verwalteten Datenbanken auf unterstützten Quell- und Zielendpunkten:
+ Amazon DocumentDB
+ IBM Db2 (LUW)
+ Microsoft SQL Server
+ MongoDB
+ MySQL
+ Oracle
+ PostgreSQL
+ Amazon Redshift
+ SAP ASE
Um eine Verbindung zu einer dieser Datenbanken herzustellen, können Sie einen der folgenden Werte, aber nicht beide, als Teil Ihrer Endpunkteinstellungen eingeben:
+ Klartext-Werte zur Authentifizierung der Datenbankverbindung mithilfe der Einstellungen `UserName`, `Password`, `ServerName` und `Port`. Fügen Sie für einen Oracle-Endpunkt, der auch Oracle ASM verwendet, zusätzliche Klartext-Werte hinzu, um ASM mithilfe der Einstellungen `AsmUserName`, `AsmPassword` und `AsmServerName` zu authentifizieren.
+ Secret-Authentifizierung mit Werten für die Einstellungen `SecretsManagerSecretId` und `SecretsManagerAccessRoleArn`. Fügen Sie für einen Oracle-Endpunkt, der Oracle ASM verwendet, zusätzliche Werte für die Einstellungen `SecretsManagerOracleAsmSecretId` und `SecretsManagerOracleAsmAccessRoleArn` hinzu. Die Secret-Werte für diese Einstellungen können Folgendes beinhalten für:
+ `SecretsManagerSecretId` – den vollständigen Amazon-Ressourcennamen (ARN), einen Teil des ARN oder den Anzeigenamen eines Secrets, das Sie für den Endpunktdatenbank-Zugriff in AWS Secrets Manager erstellt haben.
+ `SecretsManagerAccessRoleArn`— Der ARN einer geheimen Zugriffsrolle, die Sie in IAM erstellt haben, um in Ihrem Namen AWS DMS Zugriff auf dieses `SecretsManagerSecretId` Geheimnis zu gewähren.
+ `SecretsManagerOracleAsmSecretId` – den vollständigen Amazon-Ressourcennamen (ARN), einen Teil des ARN oder den Anzeigenamen eines Secrets, das Sie für den Zugriff auf Oracle SAM in AWS Secrets Manager erstellt haben.
+ `SecretsManagerOracleAsmAccessRoleArn` – den ARN einer geheimen Zugriffsrolle, die Sie in IAM erstellt haben, um AWS DMS in Ihrem Namen Zugriff auf dieses `SecretsManagerOracleAsmSecretId`-Secret zu gewähren.
**Anmerkung**
Sie können auch eine einzelne geheime Zugriffsrolle verwenden, um Zugriff sowohl AWS DMS auf das Geheimnis als auch auf das `SecretsManagerSecretId` Geheimnis zu gewähren. `SecretsManagerOracleAsmSecretId` Wenn Sie diese einzelne geheime Zugriffsrolle für beide Secrets erstellen, müssen Sie `SecretsManagerAccessRoleArn` und `SecretsManagerOracleAsmAccessRoleArn` denselben ARN für diese Zugriffsrolle zuweisen. Wenn beispielsweise der ARN Ihrer geheimen Zugriffsrolle für beide Secrets der Variablen `ARN2xsecrets` zugewiesen ist, können Sie diese ARN-Einstellungen wie folgt festlegen:
```
SecretsManagerAccessRoleArn = ARN2xsecrets;
SecretsManagerOracleAsmAccessRoleArn = ARN2xsecrets;
```
Weitere Informationen zum Erstellen dieser Werte finden Sie unter [Verwenden Sie die AWS-Managementkonsole , um eine geheime und geheime Zugriffsrolle zu erstellen](#security_iam_secretsmanager.console).
Nachdem Sie das erforderliche Secret und die Endpunkteinstellungen für die geheime Zugriffsrolle für Ihre Endpunkte erstellt und angegeben haben, aktualisieren Sie die Berechtigungen für die Benutzerkonten, die die API-Anfrage `CreateEndpoint` oder `ModifyEndpoint` ausführen werden, mit diesen Secret-Informationen. Stellen Sie sicher, dass diese Kontoberechtigungen die `IAM:GetRole` Erlaubnis für die geheime Zugriffsrolle und die `SecretsManager:DescribeSecret` Berechtigung für den geheimen Zugriff beinhalten. AWS DMS benötigt diese Berechtigungen, um sowohl die Zugriffsrolle als auch ihren geheimen Schlüssel zu überprüfen.
**So können Sie die erforderlichen Benutzerberechtigungen bereitstellen und überprüfen**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Identity and Access Management Konsole unter[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie **Benutzer** und dann die **Benutzer-ID** aus, die für die API-Aufrufe `CreateEndpoint` und `ModifyEndpoint` verwendet wird.
1. Wählen Sie auf der Registerkarte **Berechtigungen** die Option **\$1\$1 JSON** aus.
1. Vergewissern Sie sich, dass der Benutzer über die im Folgenden angezeigten Berechtigungen verfügt:
```
{
"Statement": [{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole"
],
"Resource": "SECRET_ACCESS_ROLE_ARN"
},
{
"Effect": "Allow",
"Action": "secretsmanager:DescribeSecret",
"Resource": "SECRET_ARN"
}
]
}
```
1. Wenn der Benutzer nicht über diese Berechtigungen verfügt, fügen Sie sie hinzu.
1. Wenn Sie eine IAM-Rolle für DMS-API-Aufrufe verwenden, wiederholen Sie die obigen Schritte für die entsprechende Rolle.
1. Öffnen Sie ein Terminal und überprüfen Sie AWS CLI mit dem, ob die Berechtigungen korrekt erteilt wurden, indem Sie die oben verwendete Rolle oder den Benutzer annehmen.
1. Überprüfen Sie die Benutzerberechtigungen für die SecretAccessRole Verwendung des `get-role` IAM-Befehls.
```
aws iam get-role --role-name ROLE_NAME
```
Ersetzen Sie *ROLE\$1NAME* durch den Namen von. `SecretsManagerAccessRole`
Wenn der Befehl eine Fehlermeldung zurückgibt, stellen Sie sicher, dass die Berechtigungen korrekt erteilt wurden.
1. Überprüfen Sie die Benutzerberechtigung für das Secret mithilfe des Secrets-Manager-Befehls `describe-secret`.
```
aws secretsmanager describe-secret --secret-id SECRET_NAME OR SECRET_ARN --region=REGION_NAME
```
Der Benutzer kann der Anzeigename, ein Teil des ARN oder der vollständige ARN sein. Weitere Informationen finden Sie unter [describe-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/describe-secret.html).
Wenn der Befehl eine Fehlermeldung zurückgibt, stellen Sie sicher, dass die Berechtigungen korrekt erteilt wurden.
## Verwenden Sie die AWS-Managementkonsole , um eine geheime und geheime Zugriffsrolle zu erstellen
Sie können die verwenden AWS-Managementkonsole , um ein Geheimnis für die Endpunktauthentifizierung zu erstellen und die Richtlinie und Rolle zu erstellen, die den Zugriff auf das Geheimnis in Ihrem Namen ermöglichen AWS DMS .
**Um ein Geheimnis zu erstellen AWS-Managementkonsole , das zur Authentifizierung einer Datenbank für Quell- und Zielendpunktverbindungen verwendet werden AWS DMS kann**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Secrets Manager Konsole unter[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Wählen Sie **Store a new secret** (Ein neues Secret speichern).
1. Wählen Sie unter **Secret-Typ auswählen** auf der Seite **Ein neues Secret speichern** die Option **Anderer Secret-Typ** und anschließend **Klartext** aus.
**Anmerkung**
Dies ist die einzige Stelle, an der Sie ab diesem Zeitpunkt Klartext-Anmeldeinformationen eingeben müssen, um eine Verbindung zu Ihrer Endpunktdatenbank herzustellen.
1. Im Feld **Klartext**:
+ Geben Sie für ein Secret, dessen Identität Sie `SecretsManagerSecretId` zuweisen, die folgende JSON-Struktur ein.
```
{
"username": db_username,
"password": db_user_password,
"port": db_port_number,
"host": db_server_name
}
```
**Anmerkung**
Diese Liste enthält die für die Authentifizierung der Endpunktdatenbank mindestens erforderlichen JSON-Elemente. Sie können zusätzliche JSON-Endpunkteinstellungen als JSON-Elemente in Kleinbuchstaben hinzufügen, wenn Sie möchten. AWS DMS ignoriert jedoch alle zusätzlichen JSON-Elemente für die Endpunktauthentifizierung.
Hier ist `db_username` der Name des Benutzers, der auf die Datenbank zugreift, `db_user_password` ist das Passwort des Datenbankbenutzers, `db_port_number` die Portnummer für den Zugriff auf die Datenbank und `db_server_name` der Name (die Adresse) des Datenbankservers im Internet, wie im folgenden Beispiel gezeigt.
```
{
"username": "admin",
"password": "some_password",
"port": "8190",
"host": "oracle101.abcdefghij.us-east-1.rds.amazonaws.com"
}
```
+ Geben Sie für ein Secret, dessen Identität Sie `SecretsManagerOracleAsmSecretId` zuweisen, die folgende JSON-Struktur ein.
```
{
"asm_user": asm_username,
"asm_password": asm_user_password,
"asm_server": asm_server_name
}
```
**Anmerkung**
Diese Liste enthält die für die Authentifizierung von Oracle ASM für einen Oracle-Endpunkt mindestens erforderlichen JSON-Elemente. Darüber hinaus ist dies die vollständige Liste, die Sie auf der Grundlage der verfügbaren Oracle-ASM-Endpunkteinstellungen angeben können.
Hier ist `asm_username` der Name des Benutzers, der auf Oracle ASM zugreift, `asm_user_password` das Passwort des Oracle-ASM-Benutzers und `asm_server_name` der Name (die Adresse) des Oracle-ASM-Servers im Internet, einschließlich des Ports, wie im folgenden Beispiel gezeigt.
```
{
"asm_user": "oracle_asm_user",
"asm_password": "oracle_asm_password",
"asm_server": "oracle101.abcdefghij.us-east-1.rds.amazonaws.com:8190/+ASM"
}
```
1. Wählen Sie einen AWS KMS Verschlüsselungsschlüssel aus, um das Geheimnis zu verschlüsseln. Sie können den Standard-Verschlüsselungsschlüssel akzeptieren, der von für Ihren Dienst erstellt wurde, AWS Secrets Manager oder einen AWS KMS Schlüssel auswählen, den Sie selbst erstellen.
1. Geben Sie einen Namen für den Verweis auf dieses Secret und eine optionale Beschreibung an. Dies ist der Anzeigename, den Sie als Wert für `SecretsManagerSecretId` oder `SecretsManagerOracleAsmSecretId` verwenden.
1. Wenn Sie die automatische Rotation für den geheimen Schlüssel aktivieren möchten, müssen Sie eine AWS Lambda Funktion auswählen oder erstellen, die berechtigt ist, die Anmeldeinformationen für den geheimen Schlüssel wie beschrieben rotieren zu lassen. Bevor Sie jedoch die automatische Rotation für die Verwendung Ihrer Lambda-Funktion einrichten, müssen Sie sicherstellen, dass die Konfigurationseinstellungen für die Funktion dem Wert der Umgebungsvariablen `EXCLUDE_CHARACTERS` die folgenden vier Zeichen hinzufügen.
```
;.:+{}*&,%\
```
AWS DMS erlaubt diese Zeichen nicht in Passwörtern, die für Endpunkt-Anmeldeinformationen verwendet werden. Wenn Sie Ihre Lambda-Funktion so konfigurieren, dass sie ausgeschlossen werden, generiert AWS Secrets Manager diese Zeichen nicht als Teil der rotierten Passwortwerte. Nachdem Sie die automatische Rotation für die Verwendung Ihrer Lambda-Funktion eingerichtet haben, wird das Geheimnis AWS Secrets Manager sofort rotiert, um Ihre geheime Konfiguration zu validieren.
**Anmerkung**
Je nach der Konfiguration Ihrer Datenbank-Engine ruft Ihre Datenbank die rotierten Anmeldeinformationen möglicherweise nicht ab. In diesem Fall müssen Sie die Aufgabe manuell neu starten, um die Anmeldeinformationen zu aktualisieren.
1. Überprüfen und speichern Sie Ihr Geheimnis in. AWS Secrets Manager Sie können dann jedes Geheimnis anhand seines benutzerfreundlichen Namens in nachschlagen und dann den geheimen ARN als Wert für `SecretsManagerSecretId` oder `SecretsManagerOracleAsmSecretId` nach Bedarf abrufen AWS Secrets Manager, um den Zugriff auf Ihre Endpunkt-Datenbankverbindung und Oracle ASM (falls verwendet) zu authentifizieren.
**Um die geheime Zugriffsrichtlinie und Rolle zu erstellen, mit der Sie Ihr `SecretsManagerAccessRoleArn` oder festlegen können`SecretsManagerOracleAsmAccessRoleArn`, was AWS DMS den AWS Secrets Manager Zugriff auf Ihr entsprechendes Geheimnis ermöglicht**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Identity and Access Management (IAM-) Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie **Richtlinien** und anschließend **Richtlinie erstellen** aus.
1. Wählen Sie **JSON** aus und geben Sie die folgende Richtlinie ein, um den Zugriff auf Ihr Secret und dessen Entschlüsselung zu ermöglichen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
Hier ist `secret_arn` der ARN Ihres Secrets, den Sie wie erforderlich von `SecretsManagerSecretId` oder `SecretsManagerOracleAsmSecretId` abrufen können, und `kms_key_arn` der ARN des AWS KMS -Schlüssels, mit dem Sie Ihr Secret verschlüsseln, wie im folgenden Beispiel gezeigt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:us-east-2:123456789012:secret:MySQLTestSecret-qeHamH"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-2:123456789012:key/761138dc-0542-4e58-947f-4a3a8458d0fd"
}
]
}
```
------
**Anmerkung**
Wenn Sie den standardmäßigen Verschlüsselungsschlüssel verwenden AWS Secrets Manager, der von erstellt wurde, müssen Sie die AWS KMS Berechtigungen für `kms_key_arn` nicht angeben.
Wenn Sie möchten, dass Ihre Richtlinie Zugriff auf beide Geheimnisse gewährt, geben Sie einfach ein zusätzliches JSON-Ressourcenobjekt für das andere an*secret\$1arn*.
Wenn sich Ihr Secret in einem anderen Konto befindet, benötigt die Rolle `SecretsManagerAccessRoleArn` eine zusätzliche Richtlinie, um das kontoübergreifende Secret zu überprüfen. Fügen Sie der Richtlinie in solchen Anwendungsfällen die Aktion `secretsmanager:DescribeSecret` hinzu. Weitere Informationen zur Einrichtung eines kontoübergreifenden Geheimnisses finden Sie unter [Berechtigungen für AWS Secrets Manager Manager-Geheimnisse für Benutzer in einem anderen Konto](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html).
1. Überprüfen und erstellen Sie die Richtlinie mit einem Anzeigenamen und einer optionalen Beschreibung.
1. Wählen Sie **Rollen** und anschließend **Rolle erstellen** aus.
1. Wählen Sie als Typ der vertrauenswürdigen Entität **AWS -Service** aus.
1. Wählen Sie in der Liste der Services **DMS** als vertrauenswürdigen Service aus und wählen Sie dann **Weiter: Berechtigungen** aus.
1. Suchen Sie nach der Richtlinie, die Sie in Schritt 4 erstellt haben, und fügen Sie sie an. Fügen Sie dann alle Tags hinzu und überprüfen Sie Ihre Rolle. Bearbeiten Sie an dieser Stelle die Vertrauensstellungen für die Rolle, sodass Ihr AWS DMS regionaler Dienstprinzipal als vertrauenswürdige Entität verwendet wird. Dieser Prinzipal weist das folgende Format auf:
```
dms.region-name.amazonaws.com
```
Hier ist *`region-name`* der Name Ihrer Region, z. B. `us-east-1`. Somit folgt ein AWS DMS regionaler Service Principal für diese Region.
```
dms.us-east-1.amazonaws.com
```
1. Nachdem Sie die vertrauenswürdige Entität für die Rolle bearbeitet haben, erstellen Sie die Rolle mit einem Anzeigenamen und einer optionalen Beschreibung. Sie können Ihre neue Rolle jetzt anhand ihres Anzeigenamens in IAM suchen und dann den Rollen-ARN als Wert für `SecretsManagerAccessRoleArn` oder `SecretsManagerOracleAsmAccessRoleArn` abrufen, um Ihre Endpunkt-Datenbankverbindung zu authentifizieren.
**So verwenden Sie Secrets Manager mit einer Replikations-Instance in einem privaten Subnetz**
1. Erstellen Sie einen Secrets-Manager-VPC-Endpunkt und notieren Sie sich das DNS für den Endpunkt. Weitere Informationen zum Erstellen eines Secrets-Manager-VPC-Endpunkts finden Sie unter [Connecting to Secrets Manager through a VPC endpoint](https://docs.aws.amazon.com/secretsmanager/latest/userguide/vpc-endpoint-overview.html#vpc-endpoint) []() im *Benutzerhandbuch für AWS Secrets Manager*.
1. Lassen Sie für die Eingangsregeln für VPC-Endpunkt-Sicherheitsgruppen HTTPS-Verkehr von der privaten IP-Adresse oder den Sicherheitsgruppen der Replikationsinstanz zu, die an Replikationsinstanzen angehängt sind.
1. Lassen Sie für die Ausgangsregeln für die Sicherheitsgruppe der Replikations-Instance den gesamten Datenverkehr für das Ziel `0.0.0.0/0` zu.
1. Legen Sie das zusätzliche Verbindungsattribut `secretsManagerEndpointOverride=secretsManager endpoint DNS` des Endpunkts fest, um das DNS des Secrets-Manager-VPC-Endpunkts bereitzustellen, wie im folgenden Beispiel gezeigt.
```
secretsManagerEndpointOverride=vpce-1234a5678b9012c-12345678.secretsmanager.eu-west-1.vpce.amazonaws.com
```
# Verwenden von serviceverknüpften Rollen für AWS DMS
AWS Database Migration Service verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. AWS DMS Mit Diensten verknüpfte Rollen sind vordefiniert AWS DMS und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine dienstbezogene Rolle AWS DMS erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS DMS definiert die Berechtigungen ihrer dienstbezogenen Rollen und AWS DMS kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dadurch werden Ihre AWS DMS Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.
**Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte Dienstverknüpfte Rollen nach den Diensten, für die **Ja steht**.** Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
**Serviceverknüpfte Rollen für Funktionen AWS DMS **
**Topics**
+ [Servicebezogene Rollen für AWS DMS Fleet Advisor](slr-services-fa.md)
+ [Servicebezogene Rolle für AWS DMS](slr-services-sl.md)
# Servicebezogene Rollen für AWS DMS Fleet Advisor
AWS DMS Fleet Advisor verwendet die servicebezogene Rolle namens **AWSServiceRoleForDMSFleetAdvisor** — DMS Fleet Advisor verwendet diese servicebezogene Rolle zur Verwaltung von Amazon-Metriken. CloudWatch Diese verwaltete Richtlinie ist mit der folgenden serviceverknüpften Rolle verbunden: `AWSDMSFleetAdvisorServiceRolePolicy`. Aktualisierungen dieser Richtlinie finden Sie unter [AWS verwaltete Richtlinien für AWS Database Migration Service](security-iam-awsmanpol.md).
Die servicebezogene Rolle des AWSService RoleFor DMSFleet Beraters vertraut darauf, dass die folgenden Dienste diese Rolle übernehmen:
+ `dms-fleet-advisor.amazonaws.com`
Die genannte Rollenberechtigungsrichtlinie AWSDMSFleet AdvisorServiceRolePolicy ermöglicht es AWS DMS Fleet Advisor, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ Aktion: `cloudwatch:PutMetricData` für `all AWS resources`
Diese Berechtigung ermöglicht es Principals, metrische Datenpunkte auf Amazon CloudWatch zu veröffentlichen. AWS DMS Fleet Advisor benötigt diese Berechtigung, um Diagramme mit Datenbankmetriken von CloudWatch anzuzeigen.
Das folgende Codebeispiel zeigt die AWSDMSFleet AdvisorServiceRolePolicy Richtlinie, mit der Sie die AWSDMSFleet AdvisorServiceRolePolicy Rolle erstellen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/DMS/FleetAdvisor"
}
}
}
}
```
------
Sie müssen Berechtigungen konfigurieren, damit eine IAM-Entität (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Eine serviceverknüpfte Rolle für AWS DMS Fleet Advisor erstellen
Sie können die IAM-Konsole verwenden, um eine serviceverknüpfte Rolle mit dem Anwendungsfall **DMS – Fleet Advisor** zu erstellen. Erstellen Sie in der AWS CLI oder der AWS API eine dienstbezogene Rolle mit dem `dms-fleet-advisor.amazonaws.com` Dienstnamen. Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.
Erstellen Sie diese Rolle unbedingt, bevor Sie einen Datensammler erstellen. DMS Fleet Advisor verwendet diese Rolle, um Diagramme mit Datenbankmetriken in der AWS-Managementkonsole anzuzeigen. Weitere Informationen finden Sie unter [Erstellen eines Datenkollektors](fa-data-collectors-create.md).
## Bearbeiten einer dienstbezogenen Rolle für Fleet Advisor AWS DMS
AWS DMS erlaubt es Ihnen nicht, die servicebezogene AWSService RoleFor DMSFleet Advisor-Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer dienstbezogenen Rolle für Fleet Advisor AWS DMS
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Dadurch haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
**Anmerkung**
Wenn der AWS DMS Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Um vom AWSService RoleFor DMSFleet Advisor verwendete AWS DMS Ressourcen zu löschen**
1. Melden Sie sich bei [https://console.aws.amazon.com/dms/v2/](https://console.aws.amazon.com/dms/v2/) an AWS-Managementkonsole und öffnen Sie die AWS DMS Konsole.
1. Wählen Sie im Navigationsbereich **Datensammler** unter **Entdecken** aus. Die Seite **Datensammler** wird geöffnet.
1. Wählen Sie Ihren Datensammler aus und klicken Sie auf **Löschen**.
1. Geben Sie den Namen des Datensammlers in das Texteingabefeld ein, um den Löschvorgang zu bestätigen. Wählen Sie dann **Löschen** aus.
**Wichtig**
Wenn Sie einen DMS-Datensammler löschen, löscht DMS Fleet Advisor alle Datenbanken aus dem Inventar, die Sie mit diesem Sammler entdeckt haben.
Nachdem Sie alle Datensammelpunkte gelöscht haben, können Sie die serviceverknüpfte Rolle löschen.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API, um die AWS CLI mit dem Service verknüpfte AWSService RoleFor DMSFleet Advisor-Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für dienstbezogene AWS DMS Fleet Advisor-Rollen
AWS DMS Fleet Advisor unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter [Unterstützt AWS-Regionen](CHAP_FleetAdvisor.md#CHAP_FleetAdvisor.SupportedRegions).
# Servicebezogene Rolle für AWS DMS
AWS DMS verwendet die angegebene dienstbezogene Rolle. **AWSServiceRoleForDMSServerless** AWS DMS verwendet diese dienstbezogene Rolle, um AWS DMS Ressourcen in Ihrem Namen zu erstellen und zu verwalten. AWS DMS verwendet diese Rolle für die automatische Instanzverwaltung, sodass Sie nur Replikationen verwalten müssen.
Die serviceverknüpfte Rolle [AWSServiceRoleForDMSServerless](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy) vertraut darauf, dass die folgenden Services die Rolle annehmen:
+ `dms.amazonaws.com`
Sie müssen Berechtigungen konfigurieren, damit eine IAM-Entität (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen einer serviceverknüpften Rolle für AWS DMS
Wenn Sie eine Replikationsaufgabe oder eine Bewertung vor der Migration starten, wird AWS DMS programmgesteuert eine AWS DMS dienstbezogene Rolle erstellt. Sie können diese Rolle in der IAM-Konsole anzeigen. Sie können diese Rolle auch manuell erstellen. **Um die Rolle manuell zu erstellen, verwenden Sie die IAM-Konsole, um eine serviceverknüpfte Rolle mit dem DMS-Anwendungsfall zu erstellen.** Erstellen Sie in der AWS CLI oder der AWS API eine serviceverknüpfte Rolle, die Sie `dms.amazonaws.com` für den Dienstnamen verwenden. Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.
**Anmerkung**
Wenn Sie eine Rolle löschen, obwohl in Ihrem Konto Replikationen vorhanden sind, führt die Replikation zu einem Fehler.
## Bearbeiten einer dienstbezogenen Rolle für AWS DMS
AWS DMS erlaubt es Ihnen nicht, die AWSService RoleFor DMSServerless dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer dienstbezogenen Rolle für AWS DMS
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Dadurch haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
**Anmerkung**
Wenn der AWS DMS Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Um AWS DMS Ressourcen zu löschen, die verwendet werden von AWSService RoleFor DMSServerless**
1. Melden Sie sich bei [https://console.aws.amazon.com/dms/v2](https://console.aws.amazon.com/dms/v2/) an AWS-Managementkonsole und öffnen Sie die AWS DMS Konsole.
1. Wählen Sie im Navigationsbereich unter Daten ****migrieren**** die Option **Serverlose Replikationen** aus. Die Seite **Serverless** wird geöffnet.
1. Wählen Sie Ihre Serverless-Replikation und dann **Löschen** aus.
1. Geben Sie den Namen der Serverless-Replikation in das Texteingabefeld ein, um das Löschen zu bestätigen. Wählen Sie dann **Löschen** aus.
Nachdem Sie alle Serverless-Replikationen gelöscht haben, können Sie die serviceverknüpfte Rolle löschen.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die serviceverknüpfte Rolle zu löschen. AWSService RoleFor DMSServerless Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für serviceverknüpfte Rollen AWS DMS
AWS DMS unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist.
# Fehlerbehebung bei AWS Database Migration Service Identität und Zugriff
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit AWS DMS und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion durchzuführen in AWS DMS](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, IAM auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich bin Administrator und möchte anderen Zugriff gewähren AWS DMS](#security_iam_troubleshoot-admin-delegate)
+ [Ich möchte Personen außerhalb meines Kontos den Zugriff auf meine AWS Ressourcen ermöglichen AWS DMS](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion durchzuführen in AWS DMS
Wenn Ihnen AWS-Managementkonsole mitgeteilt wird, dass Sie nicht berechtigt sind, eine Aktion durchzuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator ist die Person, die Ihnen Ihren Benutzernamen und Ihr Passwort zur Verfügung gestellt hat.
Der folgende Beispielfehler tritt auf, wenn der `mateojackson` IAM-Benutzer versucht, die Konsole zu verwenden, um Details zu einem AWS DMS-Endpunkt anzuzeigen, aber nicht über die entsprechenden Berechtigungen `dms: DescribeEndpoint` verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: dms:DescribeEndpoint on resource: my-postgresql-target
```
In diesem Fall bittet Mateo seinen Administrator, seine Richtlinien zu aktualisieren, um ihm den Zugriff auf die `my-postgresql-target`-Endpunktressource mit der `dms:DescribeEndpoint`-Aktion zu ermöglichen.
## Ich bin nicht berechtigt, IAM auszuführen: PassRole
Wenn Sie die Fehlermeldung erhalten, dass Sie nicht zum Durchführen der `iam:PassRole`-Aktion autorisiert sind, müssen Ihre Richtlinien aktualisiert werden, um eine Rolle an AWS DMSübergeben zu können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in AWS DMS auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich bin Administrator und möchte anderen Zugriff gewähren AWS DMS
Um anderen den Zugriff zu ermöglichen AWS DMS, müssen Sie den Personen oder Anwendungen, die Zugriff benötigen, die entsprechenden Berechtigungen erteilen. Wenn Sie Personen und Anwendungen verwalten, weisen Sie Benutzern oder Gruppen Berechtigungssätze zu, um deren Zugriffsebene zu definieren. AWS IAM Identity Center Mit Berechtigungssätzen werden automatisch IAM-Richtlinien erstellt und den IAM-Rollen zugewiesen, die der Person oder Anwendung zugeordnet sind. Weitere Informationen finden Sie im *AWS IAM Identity Center Benutzerhandbuch* unter [Berechtigungssätze](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html).
Wenn Sie IAM Identity Center nicht verwenden, müssen Sie IAM-Entitäten (Benutzer oder Rollen) für die Personen oder Anwendungen erstellen, die Zugriff benötigen. Anschließend müssen Sie der Entität eine Richtlinie anfügen, die dieser die korrekten Berechtigungen in AWS DMS gewährt. Nachdem die Berechtigungen erteilt wurden, stellen Sie dem Benutzer oder Anwendungsentwickler die Anmeldeinformationen zur Verfügung. Sie werden diese Anmeldeinformationen für den Zugriff verwenden AWS. *Weitere Informationen zum Erstellen von IAM-Benutzern, -Gruppen, -Richtlinien und -Berechtigungen finden Sie im [IAM-Benutzerhandbuch unter IAM-Identitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) [sowie Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).*
## Ich möchte Personen außerhalb meines Kontos den Zugriff auf meine AWS Ressourcen ermöglichen AWS DMS
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob diese Funktionen AWS DMS unterstützt werden, finden Sie unter. [Wie AWS Database Migration Service funktioniert mit IAM](security_iam_service-with-iam.md)
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Für die Verwendung sind IAM-Berechtigungen erforderlich AWS DMS
Sie verwenden bestimmte IAM-Berechtigungen und IAM-Rollen zur Verwendung von AWS DMS. Wenn Sie als IAM-Benutzer angemeldet sind und diese verwenden möchten AWS DMS, muss Ihr Kontoadministrator die in diesem Abschnitt beschriebene Richtlinie dem IAM-Benutzer, der Gruppe oder der Rolle zuordnen, die Sie für die Ausführung verwenden. AWS DMS Weitere Informationen zu IAM-Berechtigungen finden Sie im [IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html).
Die folgende Richtlinie gewährt Ihnen Zugriff auf und auch Berechtigungen für bestimmte Aktionen AWS DMS, die von anderen Amazon-Services wie IAM AWS KMS, Amazon EC2 und Amazon benötigt werden. CloudWatch CloudWatchüberwacht Ihre AWS DMS Migration in Echtzeit und sammelt und verfolgt Metriken, die den Fortschritt Ihrer Migration angeben. Sie können CloudWatch Logs verwenden, um Probleme mit einer Aufgabe zu debuggen.
**Anmerkung**
Sie können den Zugriff auf AWS DMS Ressourcen mithilfe von Tagging weiter einschränken. Weitere Informationen zur Beschränkung des Zugriffs auf AWS DMS Ressourcen mithilfe von Tagging finden Sie unter. [Differenzierte Zugriffskontrolle mit Ressourcennamen und Ressourcen-Tags](CHAP_Security.FineGrainedAccess.md)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "dms:*",
"Resource": "arn:aws:dms:*:123456789012:*"
},
{
"Effect": "Allow",
"Action": [
"kms:ListAliases",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:*:123456789012:key/*"
},
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole",
"iam:CreateRole",
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:iam::123456789012:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "dms.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeInternetGateways",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:Get*",
"cloudwatch:List*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": "arn:aws:logs:*:123456789012:*"
}
]
}
```
------
Die Aufschlüsselung dieser Berechtigungen hilft Ihnen zu verstehen, warum die einzelnen Berechtigungen nötig sind.
Der folgende Abschnitt ist erforderlich, damit der Benutzer AWS DMS API-Operationen aufrufen kann.
```
{
"Effect": "Allow",
"Action": "dms:*",
"Resource": "arn:aws:dms:region:account:resourcetype/id"
}
```
Der folgende Abschnitt ist erforderlich, damit der Benutzer seine verfügbaren AWS KMS Schlüssel und Alias für die Anzeige in der Konsole auflisten kann. Dieser Eintrag ist nicht erforderlich, wenn Sie den Amazon-Ressourcennamen (ARN) für den KMS-Schlüssel kennen und nur den AWS Command Line Interface (AWS CLI) verwenden.
```
{
"Effect": "Allow",
"Action": [
"kms:ListAliases",
"kms:DescribeKey"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
Der folgende Abschnitt ist für bestimmte Endpunkttypen erforderlich, die die Übergabe eines IAM-Rollen-ARN mit dem Endpunkt erfordern. Wenn die erforderlichen AWS DMS Rollen nicht im Voraus erstellt wurden, kann die AWS DMS Konsole die Rolle außerdem erstellen. Wenn alle Rollen vorab konfiguriert werden, sind nur `iam:GetRole` und `iam:PassRole` erforderlich. Weitere Informationen zu Rollen finden Sie unter [Die IAM-Rollen zur Verwendung mit erstellen AWS DMS](#CHAP_Security.APIRole).
```
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole",
"iam:CreateRole",
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
Der folgende Abschnitt ist AWS DMS erforderlich, da die Amazon EC2 EC2-Instance erstellt und das Netzwerk für die erstellte Replikationsinstanz konfiguriert werden muss. Diese Ressourcen sind im Konto des Kunden vorhanden, deshalb muss es möglich sein, diese Aktionen im Namen des Kunden auszuführen.
```
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeInternetGateways",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
Der folgende Abschnitt ist erforderlich, damit der Benutzer Replikations-Instance-Metriken anzeigen kann.
```
{
"Effect": "Allow",
"Action": [
"cloudwatch:Get*",
"cloudwatch:List*"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
Dieser Abschnitt ist erforderlich, damit der Benutzer Replikationsprotokolle anzeigen kann.
```
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
Wenn Sie die AWS DMS Konsole, die AWS Command Line Interface (AWS CLI) oder die AWS DMS API für Ihre Migration verwenden, müssen Sie Ihrem Konto mehrere Rollen hinzufügen. Weitere Informationen zum Hinzufügen dieser Rollen finden Sie unter [Die IAM-Rollen zur Verwendung mit erstellen AWS DMS](#CHAP_Security.APIRole).
## Die IAM-Rollen zur Verwendung mit erstellen AWS DMS
Wenn Sie die AWS DMS Konsole, die AWS CLI oder die AWS DMS API für Ihre Datenbankmigration verwenden, müssen Sie Ihrem AWS Konto drei IAM-Rollen hinzufügen, bevor Sie die Funktionen von verwenden können. AWS DMS Zwei dieser Optionen sind `dms-vpc-role` und `dms-cloudwatch-logs-role`. Wenn Sie Amazon Redshift als Zieldatenbank verwenden, müssen Sie Ihrem AWS Konto auch die IAM-Rolle `dms-access-for-endpoint` hinzufügen.
Aktualisierungen zu verwalteten Richtlinien erfolgen automatisch. Wenn Sie eine benutzerdefinierte Richtlinie mit den IAM-Rollen verwenden, stellen Sie sicher, dass Sie regelmäßig überprüfen, ob Aktualisierungen für die verwaltete Richtlinie in dieser Dokumentation vorliegen. Sie können die Details der verwalteten Richtlinie anzeigen, indem Sie eine Kombination der Befehle `get-policy` und `get-policy-version` verwenden.
Der folgende `get-policy`-Befehl ruft beispielsweise Informationen über die angegebene IAM-Rolle ab.
```
aws iam get-policy --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSVPCManagementRole
```
Die von dem Befehl zurückgegebenen Informationen sind wie folgt.
```
{
"Policy": {
"PolicyName": "AmazonDMSVPCManagementRole",
"PolicyId": "ANPAJHKIGMBQI4AEFFSYO",
"Arn": "arn:aws:iam::aws:policy/service-role/AmazonDMSVPCManagementRole",
"Path": "/service-role/",
"DefaultVersionId": "v4",
"AttachmentCount": 1,
"PermissionsBoundaryUsageCount": 0,
"IsAttachable": true,
"Description": "Provides access to manage VPC settings for AWS managed customer configurations",
"CreateDate": "2015-11-18T16:33:19+00:00",
"UpdateDate": "2024-07-25T15:19:01+00:00",
"Tags": []
}
}
```
Mit dem folgenden `get-policy-version`-Befehl werden IAM-Richtlinieninformationen abgerufen.
```
aws iam get-policy-version --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSVPCManagementRole --version-id v4
```
Die von dem Befehl zurückgegebenen Informationen sind wie folgt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ExampleStatementID",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeDhcpOptions",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
Sie können dieselben Befehle verwenden, um Informationen über `AmazonDMSCloudWatchLogsRole` und die `AmazonDMSRedshiftS3Role`-verwaltete Richtlinie abrufen.
Mit den folgenden Verfahren werden die IAM-Rollen `dms-vpc-role`, `dms-cloudwatch-logs-role` und `dms-access-for-endpoint` erstellt.
**Um die dms-vpc-role IAM-Rolle für die Verwendung mit der API oder zu erstellen AWS CLI AWS DMS**
1. Erstellen Sie eine JSON-Datei mit der folgenden IAM-Richtlinie. Weisen Sie der JSON-Datei die Bezeichnung `dmsAssumeRolePolicyDocument.json` zu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "dms.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Erstellen Sie die Rolle AWS CLI mithilfe des folgenden Befehls.
```
aws iam create-role --role-name dms-vpc-role --assume-role-policy-document file://dmsAssumeRolePolicyDocument.json
```
1. Fügen Sie die Richtlinie `AmazonDMSVPCManagementRole` mithilfe des folgenden Befehls an `dms-vpc-role` an.
```
aws iam attach-role-policy --role-name dms-vpc-role --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSVPCManagementRole
```
**Um die dms-cloudwatch-logs-role IAM-Rolle für die Verwendung mit der API AWS CLI oder AWS DMS zu erstellen**
1. Erstellen Sie eine JSON-Datei mit der folgenden IAM-Richtlinie. Weisen Sie der JSON-Datei die Bezeichnung `dmsAssumeRolePolicyDocument2.json` zu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "dms.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Erstellen Sie die Rolle AWS CLI mithilfe des folgenden Befehls.
```
aws iam create-role --role-name dms-cloudwatch-logs-role --assume-role-policy-document file://dmsAssumeRolePolicyDocument2.json
```
1. Fügen Sie die Richtlinie `AmazonDMSCloudWatchLogsRole` mithilfe des folgenden Befehls an `dms-cloudwatch-logs-role` an.
```
aws iam attach-role-policy --role-name dms-cloudwatch-logs-role --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSCloudWatchLogsRole
```
Wenn Sie Amazon Redshift als Zieldatenbank verwenden, müssen Sie die IAM-Rolle `dms-access-for-endpoint` erstellen, um den Zugriff auf Amazon S3 zu ermöglichen.
**Um die dms-access-for-endpoint IAM-Rolle für die Verwendung mit Amazon Redshift als Zieldatenbank zu erstellen**
1. Erstellen Sie eine JSON-Datei mit der folgenden IAM-Richtlinie. Weisen Sie der JSON-Datei die Bezeichnung `dmsAssumeRolePolicyDocument3.json` zu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Principal": {
"Service": "dms.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Sid": "2",
"Effect": "Allow",
"Principal": {
"Service": "redshift.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Erstellen Sie die Rolle AWS CLI mithilfe des folgenden Befehls.
```
aws iam create-role --role-name dms-access-for-endpoint --assume-role-policy-document file://dmsAssumeRolePolicyDocument3.json
```
1. Fügen Sie die Richtlinie `AmazonDMSRedshiftS3Role` mithilfe des folgenden Befehls an die Rolle `dms-access-for-endpoint` an.
```
aws iam attach-role-policy --role-name dms-access-for-endpoint \
--policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSRedshiftS3Role
```
Sie sollten jetzt über die IAM-Richtlinien für die Verwendung der AWS CLI AWS DMS OR-API verfügen.
# Serviceübergreifende Confused-Deputy-Prävention
Das Confused-Deputy-Problem ist ein Sicherheitsproblem, bei dem eine juristische Stelle, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine privilegiertere juristische Stelle zwingen kann, die Aktion auszuführen. In AWS, dienstübergreifender Identitätswechsel kann zum Problem des verwirrten Stellvertreters führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der *Anruf-Dienst*) einen anderen Dienst anruft (den *aufgerufenen Dienst*). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben.
Wir empfehlen, die Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die der AWS Database Migration Service Ressource einen anderen Dienst gewähren. Wenn der `aws:SourceArn`-Wert nicht die Konto-ID enthält, z. B. einen AWS DMS -Replikations-Instance-Namen (ARN), müssen Sie beide globalen Bedingungskontext-Schlüssel verwenden, um Berechtigungen einzuschränken. Wenn Sie beide globale Bedingungskontextschlüssel verwenden und der `aws:SourceArn`-Wert die Konto-ID enthält, müssen der `aws:SourceAccount`-Wert und das Konto im `aws:SourceArn`-Wert dieselbe Konto-ID verwenden, wenn sie in der gleichen Richtlinienanweisung verwendet wird. Verwenden Sie `aws:SourceArn`, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten. Verwenden Sie `aws:SourceAccount`, wenn Sie zulassen möchten, dass Ressourcen in diesem Konto mit der betriebsübergreifenden Verwendung verknüpft werden.
AWS DMS unterstützt Confused Deputy Options ab Version 3.4.7 und höher. Weitere Informationen finden Sie unter [AWS Versionshinweise zu Database Migration Service 3.4.7](CHAP_ReleaseNotes.md#CHAP_ReleaseNotes.DMS347). Wenn Ihre Replikations-Instance AWS DMS Version 3.4.6 oder niedriger verwendet, stellen Sie sicher, dass Sie auf die neueste Version aktualisieren, bevor Sie die Confused-Deputy-Optionen festlegen.
Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels `aws:SourceArn` mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Kontextbedingungsschlüssel `aws:SourceArn` mit Platzhalterzeichen (`*`) für die unbekannten Teile des ARN. Beispiel, `arn:aws:dms:*:123456789012:rep:*`.
**Topics**
+ [IAM-Rollen, die zusammen mit der AWS DMS API verwendet werden können, um dienstübergreifend Verwirrung bei Stellvertretern zu vermeiden](#cross-service-confused-deputy-prevention-dms-api)
+ [IAM-Richtlinie zur Speicherung von Preflight-Bewertungen in Amazon S3 zur serviceübergreifenden Vermeidung des Confused-Deputy-Problems](#cross-service-confused-deputy-prevention-s3)
+ [Verwendung von Amazon DynamoDB als Zielendpunkt AWS DMS zur dienstübergreifenden Prävention verwirrter Stellvertreter](#cross-service-confused-deputy-prevention-dynamodb)
## IAM-Rollen, die zusammen mit der AWS DMS API verwendet werden können, um dienstübergreifend Verwirrung bei Stellvertretern zu vermeiden
Um die AWS CLI oder die AWS DMS API für Ihre Datenbankmigration zu verwenden, müssen Sie Ihrem AWS Konto die Rollen `dms-vpc-role` und die `dms-cloudwatch-logs-role` IAM-Rollen hinzufügen, bevor Sie die Funktionen von verwenden können. AWS DMS Weitere Informationen finden Sie unter [Die IAM-Rollen zur Verwendung mit erstellen AWS DMS](security-iam.md#CHAP_Security.APIRole).
Das folgende Beispiel zeigt Richtlinien für die Verwendung der `dms-vpc-role`-Rolle mit der `my-replication-instance`-Replikations-Instance. Verwenden Sie diese Richtlinien, um das Confused-Deputy-Problem zu verhindern.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDMSAssumeRole",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:dms:*:123456789012:*"
}
}
}
]
}
```
------
## IAM-Richtlinie zur Speicherung von Preflight-Bewertungen in Amazon S3 zur serviceübergreifenden Vermeidung des Confused-Deputy-Problems
Um die Ergebnisse der Vorabbeurteilung in Ihrem S3-Bucket zu speichern, erstellen Sie eine IAM-Richtlinie, die AWS DMS die Verwaltung von Objekten in Amazon S3 ermöglicht. Weitere Informationen finden Sie unter [Erstellen von IAM-Ressourcen](CHAP_Tasks.AssessmentReport.Prerequisites.md#CHAP_Tasks.AssessmentReport.Prerequisites.IAM).
Das folgende Beispiel zeigt eine Vertrauensrichtlinie mit verwirrten stellvertretenden Bedingungen, die für eine IAM-Rolle festgelegt sind und AWS DMS den Zugriff auf alle Aufgaben und Bewertungsläufe unter einem bestimmten Benutzerkonto ermöglichen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDMSAssumeRole",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:dms:*:123456789012:assessment-run:*",
"arn:aws:dms:*:123456789012:task:*"
]
}
}
}
]
}
```
------
## Verwendung von Amazon DynamoDB als Zielendpunkt AWS DMS zur dienstübergreifenden Prävention verwirrter Stellvertreter
Um Amazon DynamoDB als Zielendpunkt für Ihre Datenbankmigration zu verwenden, müssen Sie die IAM-Rolle erstellen, die es ermöglicht, Zugriff auf die DynamoDB-Tabellen AWS DMS zu übernehmen und zu gewähren. Verwenden Sie dann diese Rolle, wenn Sie Ihren DynamoDB-Zielendpunkt in AWS DMS erstellen. Weitere Informationen finden Sie unter [Verwenden von Amazon DynamoDB als Ziel](CHAP_Target.DynamoDB.md).
Das folgende Beispiel zeigt eine Vertrauensrichtlinie mit verwirrten stellvertretenden Bedingungen, die für eine IAM-Rolle festgelegt sind, die allen AWS DMS Endpunkten den Zugriff auf DynamoDB-Tabellen ermöglicht.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDMSAssumeRole",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:dms:*:123456789012:assessment-run:*",
"arn:aws:dms:*:123456789012:task:*"
]
}
}
}
]
}
```
------
# AWS verwaltete Richtlinien für AWS Database Migration Service
**Topics**
+ [AWS verwaltete Richtlinie: Amazon DMSVPCManagement Role](#security-iam-awsmanpol-AmazonDMSVPCManagementRole)
+ [AWS verwaltete Richtlinie: AWSDMSServerless ServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy)
+ [AWS verwaltete Richtlinie: Amazon DMSCloud WatchLogsRole](#security-iam-awsmanpol-AmazonDMSCloudWatchLogsRole)
+ [AWS verwaltete Richtlinie: AWSDMSFleet AdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSDMSFleetAdvisorServiceRolePolicy)
+ [AWS verwaltete Richtlinie: Amazon DMSRedshift S3Role](#security-iam-awsmanpol-AmazonDMSRedshiftS3Role)
+ [AWS DMS Aktualisierungen der AWS verwalteten Richtlinien](#security-iam-awsmanpol-updates)
## AWS verwaltete Richtlinie: Amazon DMSVPCManagement Role
Diese Richtlinie ist der `dms-vpc-role` Rolle beigefügt, sodass AWS DMS Sie Aktionen in Ihrem Namen ausführen können.
Diese Richtlinie gewährt Mitwirkenden Berechtigungen, mit denen AWS DMS sie Netzwerkressourcen verwalten können.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Operationen:
+ `ec2:CreateNetworkInterface`— AWS DMS benötigt diese Berechtigung, um Netzwerkschnittstellen zu erstellen. Diese Schnittstellen sind unerlässlich, damit die AWS DMS Replikationsinstanz eine Verbindung zu den Quell- und Zieldatenbanken herstellen kann.
+ `ec2:DeleteNetworkInterface`— AWS DMS benötigt diese Berechtigung, um die erstellten Netzwerkschnittstellen zu bereinigen, sobald sie nicht mehr benötigt werden. Dies hilft beim Ressourcenmanagement und bei der Vermeidung unnötiger Kosten.
+ `ec2:DescribeAvailabilityZones`— Diese Berechtigung ermöglicht AWS DMS das Abrufen von Informationen über die Verfügbarkeitszonen in einer Region. AWS DMS verwendet diese Informationen, um sicherzustellen, dass Ressourcen in den richtigen Zonen bereitgestellt werden, um Redundanz und Verfügbarkeit zu gewährleisten.
+ `ec2:DescribeDhcpOptions`— AWS DMS ruft die Details des DHCP-Optionssatzes für die angegebene VPC ab. Diese Informationen sind erforderlich, um das Netzwerk für die Replikationsinstanzen korrekt zu konfigurieren.
+ `ec2:DescribeInternetGateways`— benötigt AWS DMS möglicherweise diese Berechtigung, um die in der VPC konfigurierten Internet-Gateways zu verstehen. Diese Informationen sind von entscheidender Bedeutung, wenn die Replikationsinstanz oder die Datenbanken Internetzugang benötigen.
+ `ec2:DescribeNetworkInterfaces`— AWS DMS ruft Informationen über bestehende Netzwerkschnittstellen innerhalb der VPC ab. Diese Informationen sind erforderlich AWS DMS , um die Netzwerkschnittstellen korrekt zu konfigurieren und die ordnungsgemäße Netzwerkkonnektivität für den Migrationsprozess sicherzustellen.
+ `ec2:DescribeSecurityGroups`— Sicherheitsgruppen kontrollieren den ein- und ausgehenden Datenverkehr zu Instanzen und Ressourcen. AWS DMS muss Sicherheitsgruppen beschreiben, um Netzwerkschnittstellen korrekt zu konfigurieren und eine ordnungsgemäße Kommunikation zwischen der Replikationsinstanz und den Datenbanken sicherzustellen.
+ `ec2:DescribeSubnets`— Diese Berechtigung ermöglicht es AWS DMS , die Subnetze in einer VPC aufzulisten. AWS DMS verwendet diese Informationen, um Replikationsinstanzen in den entsprechenden Subnetzen zu starten und sicherzustellen, dass sie über die erforderliche Netzwerkkonnektivität verfügen.
+ `ec2:DescribeVpcs`— Die Beschreibung VPCs ist wichtig, um die Netzwerkumgebung AWS DMS zu verstehen, in der sich die Replikationsinstanz und die Datenbanken befinden. Dazu gehört die Kenntnis der CIDR-Blöcke und anderer VPC-spezifischer Konfigurationen.
+ `ec2:ModifyNetworkInterfaceAttribute`— Diese Berechtigung ist erforderlich, AWS DMS um die Attribute der von ihr verwalteten Netzwerkschnittstellen zu ändern. Dies könnte die Anpassung von Einstellungen beinhalten, um Konnektivität und Sicherheit zu gewährleisten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeDhcpOptions",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AWSDMSServerless ServiceRolePolicy
Diese Richtlinie ist der `AWSServiceRoleForDMSServerless` Rolle zugeordnet, sodass AWS DMS Sie Aktionen in Ihrem Namen ausführen können. Weitere Informationen finden Sie unter [Servicebezogene Rolle für AWS DMS](slr-services-sl.md).
Diese Richtlinie gewährt Mitwirkenden Berechtigungen, mit denen AWS DMS sie Replikationsressourcen verwalten können.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ **AWS DMS**— Ermöglicht Prinzipalen die Interaktion mit AWS DMS Ressourcen.
+ **Amazon S3** — Ermöglicht DMS die Erstellung eines S3-Buckets zum Speichern einer Bewertung vor der Migration. Der S3-Bucket wird für einen Benutzer pro Region erstellt und seine Bucket-Richtlinie beschränkt den Zugriff nur auf die Servicerolle des Dienstes.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "id0",
"Effect": "Allow",
"Action": [
"dms:CreateReplicationInstance",
"dms:CreateReplicationTask"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"dms:req-tag/ResourceCreatedBy": "DMSServerless"
}
}
},
{
"Sid": "id1",
"Effect": "Allow",
"Action": [
"dms:DescribeReplicationInstances",
"dms:DescribeReplicationTasks"
],
"Resource": "*"
},
{
"Sid": "id2",
"Effect": "Allow",
"Action": [
"dms:StartReplicationTask",
"dms:StopReplicationTask",
"dms:ModifyReplicationTask",
"dms:DeleteReplicationTask",
"dms:ModifyReplicationInstance",
"dms:DeleteReplicationInstance"
],
"Resource": [
"arn:aws:dms:*:*:rep:*",
"arn:aws:dms:*:*:task:*"
],
"Condition": {
"StringEqualsIgnoreCase": {
"aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
}
}
},
{
"Sid": "id3",
"Effect": "Allow",
"Action": [
"dms:TestConnection",
"dms:DeleteConnection"
],
"Resource": [
"arn:aws:dms:*:*:rep:*",
"arn:aws:dms:*:*:endpoint:*"
]
},
{
"Sid": "id4",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObject",
"s3:PutObjectTagging"
],
"Resource": [
"arn:aws:s3:::dms-serverless-premigration-results-*",
"arn:aws:s3:::dms-premigration-results-*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "id5",
"Effect": "Allow",
"Action": [
"s3:PutBucketPolicy",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:CreateBucket"
],
"Resource": [
"arn:aws:s3:::dms-serverless-premigration-results-*",
"arn:aws:s3:::dms-premigration-results-*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "id6",
"Effect": "Allow",
"Action": [
"dms:StartReplicationTaskAssessmentRun"
],
"Resource": [
"arn:aws:dms:*:*:task:*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS verwaltete Richtlinie: Amazon DMSCloud WatchLogsRole
Diese Richtlinie ist der `dms-cloudwatch-logs-role` Rolle beigefügt, sodass AWS DMS Sie Aktionen in Ihrem Namen ausführen können. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für AWS DMS](using-service-linked-roles.md).
Diese Richtlinie gewährt Mitwirkenden Berechtigungen, mit denen Replikationsprotokolle AWS DMS in Protokollen veröffentlicht werden CloudWatch können.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `logs`— Ermöglicht Prinzipalen das Veröffentlichen von Protokollen in Logs. CloudWatch Diese Berechtigung ist erforderlich, damit Replikationsprotokolle angezeigt werden AWS DMS können. CloudWatch
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribeOnAllLogGroups",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowDescribeOfAllLogStreamsOnDmsTasksLogGroup",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*"
]
},
{
"Sid": "AllowCreationOfDmsLogGroups",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:"
]
},
{
"Sid": "AllowCreationOfDmsLogStream",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
]
},
{
"Sid": "AllowUploadOfLogEventsToDmsLogStream",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
]
}
]
}
```
------
## AWS verwaltete Richtlinie: AWSDMSFleet AdvisorServiceRolePolicy
Sie können keine Verbindungen AWSDMSFleet AdvisorServiceRolePolicy zu Ihren IAM-Entitäten herstellen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es AWS DMS Fleet Advisor ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für AWS DMS](using-service-linked-roles.md).
Diese Richtlinie gewährt Mitwirkenden Berechtigungen, die es AWS DMS Fleet Advisor ermöglichen, CloudWatch Amazon-Metriken zu veröffentlichen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `cloudwatch`— Ermöglicht es Prinzipalen, metrische Datenpunkte auf Amazon CloudWatch zu veröffentlichen. Diese Berechtigung ist erforderlich, damit AWS DMS Fleet Advisor Diagramme mit Datenbankmetriken anzeigen kann. CloudWatch
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/DMS/FleetAdvisor"
}
}
}
}
```
------
## AWS verwaltete Richtlinie: Amazon DMSRedshift S3Role
Diese Richtlinie bietet Berechtigungen, mit denen AWS DMS S3-Einstellungen für Redshift-Endpunkte verwaltet werden können.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Operationen:
+ `s3:CreateBucket`— Ermöglicht DMS, S3-Buckets mit dem Präfix „dms-“ zu erstellen
+ `s3:ListBucket`- Ermöglicht DMS, den Inhalt von S3-Buckets mit dem Präfix „dms-“ aufzulisten
+ `s3:DeleteBucket `- Ermöglicht DMS, S3-Buckets mit dem Präfix „dms-“ zu löschen
+ `s3:GetBucketLocation`- Ermöglicht DMS, die Region abzurufen, in der sich ein S3-Bucket befindet
+ `s3:GetObject`- Ermöglicht DMS das Abrufen von Objekten aus S3-Buckets mit dem Präfix „dms-“
+ `s3:PutObject`- Ermöglicht DMS, Objekte zu S3-Buckets mit dem Präfix „dms-“ hinzuzufügen
+ `s3:DeleteObject`- Ermöglicht DMS, Objekte aus S3-Buckets mit dem Präfix „dms-“ zu löschen
+ `s3:GetObjectVersion`— Ermöglicht es DMS, bestimmte Versionen von Objekten in versionierten Buckets abzurufen
+ `s3:GetBucketPolicy`— Ermöglicht DMS das Abrufen von Bucket-Richtlinien
+ `s3:PutBucketPolicy`— Ermöglicht DMS, Bucket-Richtlinien zu erstellen oder zu aktualisieren
+ `s3:GetBucketAcl`— Ermöglicht DMS das Abrufen von Bucket-Zugriffskontrolllisten () ACLs
+ `s3:PutBucketVersioning`— Ermöglicht DMS, die Versionierung von Buckets zu aktivieren oder auszusetzen
+ `s3:GetBucketVersioning`— Ermöglicht DMS, den Versionsstatus von Buckets abzurufen
+ `s3:PutLifecycleConfiguration`- Ermöglicht DMS, Lebenszyklusregeln für Buckets zu erstellen oder zu aktualisieren
+ `s3:GetLifecycleConfiguration`— Ermöglicht es DMS, für Buckets konfigurierte Lebenszyklusregeln abzurufen
+ `s3:DeleteBucketPolicy`— Ermöglicht DMS das Löschen von Bucket-Richtlinien
Alle diese Berechtigungen gelten nur für Ressourcen mit ARN-Muster: `arn:aws:s3:::dms-*`
**JSON-Richtliniendokument**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:DeleteBucket",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:GetBucketAcl",
"s3:PutBucketVersioning",
"s3:GetBucketVersioning",
"s3:PutLifecycleConfiguration",
"s3:GetLifecycleConfiguration",
"s3:DeleteBucketPolicy"
],
"Resource": "arn:aws:s3:::dms-*"
}
]
}
```
------
## AWS DMS Aktualisierungen der AWS verwalteten Richtlinien
Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien, die AWS DMS seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden. Abonnieren Sie den RSS-Feed auf der Seite AWS DMS Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy)— Ändern | AWS DMS wurde aktualisiert`AWSDMSServerlessServiceRolePolicy`, sodass DMS S3-Buckets erstellen und die Ergebnisse der Bewertung vor der Migration für Replikationsaufgaben, die nichts mit DMS Serverless zu tun haben, in diese Buckets eintragen kann. | 5. November 2025 |
| [Servicebezogene Rolle für AWS DMS Serverless](slr-services-sl.md) — Änderung | AWS DMS aktualisiert`AWSDMSServerlessServiceRolePolicy`, sodass nun auch die Ausführung `dms:StartReplicationTaskAssessmentRun` von Bewertungen vor der Migration unterstützt wird. AWS DMS Außerdem wurde die Rolle „Serverless Service Linked“ aktualisiert, um S3-Buckets zu erstellen und die Ergebnisse der Bewertung vor der Migration in diese Buckets zu übernehmen. | 14. Februar 2025 |
| [AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy)— Veränderung | AWS DMS hinzugefügt`dms:ModifyReplicationTask`, was von AWS DMS Serverless benötigt wird, um den `ModifyReplicationTask` Vorgang zum Ändern einer Replikationsaufgabe aufzurufen. AWS DMS hinzugefügt`dms:ModifyReplicationInstance`, was von AWS DMS Serverless benötigt wird, um den `ModifyReplicationInstance` Vorgang zum Ändern einer Replikationsinstanz aufzurufen. | 17. Januar 2025 |
| [DMSVPCManagementRolle bei Amazon](#security-iam-awsmanpol-AmazonDMSVPCManagementRole) — Änderung | AWS DMS hinzugefügt `ec2:DescribeDhcpOptions` und `ec2:DescribeNetworkInterfaces` Funktionen hinzugefügt, mit denen AWS DMS Sie die Netzwerkeinstellungen in Ihrem Namen verwalten können. | 17. Juni 2024 |
| [AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy) – Neue Richtlinie | AWS DMS hat die `AWSDMSServerlessServiceRolePolicy` Rolle hinzugefügt, AWS DMS damit Sie in Ihrem Namen Dienste erstellen und verwalten können, z. B. die Veröffentlichung von CloudWatch Amazon-Metriken. | 22. Mai 2023 |
| [Amazon DMSCloud WatchLogsRole](#security-iam-awsmanpol-AmazonDMSCloudWatchLogsRole) — Veränderung | AWS DMS hat den ARN für serverlose Ressourcen zu jeder der erteilten Berechtigungen hinzugefügt, um das Hochladen von AWS DMS Replikationsprotokollen aus serverlosen Replikationskonfigurationen in Logs zu ermöglichen. CloudWatch | 22. Mai 2023 |
| [AWSDMSFleetAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSDMSFleetAdvisorServiceRolePolicy) – Neue Richtlinie | AWS DMS Fleet Advisor hat eine neue Richtlinie hinzugefügt, um die Veröffentlichung von metrischen Datenpunkten auf Amazon zu ermöglichen CloudWatch. | 6. März 2023 |
| AWS DMS hat begonnen, Änderungen zu verfolgen | AWS DMS hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen. | 6. März 2023 |