AmazonDMSVPCManagementRole AWSDMSServerlessServiceRolePolicy AmazonDMSCloudWatchLogsRole AWSDMSFleetAdvisorServiceRolePolicy Actualizaciones de políticas

Políticas administradas de AWS para AWS Database Migration Service

Temas

Política administrada de AWS: AmazonDMSVPCManagementRole
Política administrada de AWS: AWSDMSServerlessServiceRolePolicy
Política administrada de AWS: AmazonDMSCloudWatchLogsRole
Política administrada de AWS: AWSDMSFleetAdvisorServiceRolePolicy
Actualizaciones de AWS DMS para las políticas administradas de AWS

Política administrada de AWS: AmazonDMSVPCManagementRole

Esta política está adjunta al rol dms-vpc-role, que permite a AWS DMS realizar acciones en su nombre.

Esta política otorga a los colaboradores permisos que dejan a AWS DMS administrar los recursos de red.

Detalles de los permisos

Esta política incluye las operaciones siguientes:

ec2:CreateNetworkInterface: AWS DMS necesita este permiso para crear interfaces de red. Estas interfaces son esenciales para que la instancia de replicación de AWS DMS se conecte a las bases de datos de origen y de destino.
ec2:DeleteNetworkInterface: AWS DMS necesita este permiso para limpiar las interfaces de red que ha creado cuando ya no sean necesarias. Esto ayuda a administrar los recursos y a evitar costos innecesarios.
ec2:DescribeAvailabilityZones: este permiso permite a AWS DMS recuperar información sobre las zonas de disponibilidad de una región. AWS DMS utiliza esta información para garantizar que aprovisiona los recursos en las zonas correctas para garantizar la redundancia y la disponibilidad.
ec2:DescribeDhcpOptions: AWS DMS recupera los detalles del conjunto de opciones de DHCP para la VPC especificada. Esta información es necesaria a fin de configurar la red de forma correcta para las instancias de replicación.
ec2:DescribeInternetGateways: AWS DMS puede necesitar este permiso para entender las puertas de enlace de Internet configuradas en la VPC. Esta información es crucial si la instancia de replicación o las bases de datos necesitan acceso a Internet.
ec2:DescribeNetworkInterfaces: AWS DMS recupera información sobre las interfaces de red existentes en la VPC. Esta información es necesaria para que AWS DMS configure las interfaces de red de forma correcta y garantice una conectividad de red adecuada para el proceso de migración.
ec2:DescribeSecurityGroups: los grupos de seguridad controlan el tráfico entrante y saliente de las instancias y los recursos. AWS DMS debe describir los grupos de seguridad para configurar de forma correcta las interfaces de red y garantizar una comunicación adecuada entre la instancia de replicación y las bases de datos.
ec2:DescribeSubnets: con este permiso, AWS DMS puede enumerar las subredes de una VPC. AWS DMS utiliza esta información a fin de lanzar instancias de replicación en las subredes adecuadas, para lo que se asegura de que tengan la conectividad de red necesaria.
ec2:DescribeVpcs: la descripción de las VPC es esencial para AWS DMS a fin de comprender el entorno de red en el que residen la instancia de replicación y las bases de datos. Esto incluye conocer los bloques de CIDR y otras configuraciones específicas de la VPC.
ec2:ModifyNetworkInterfaceAttribute: este permiso es necesario para que AWS DMS modifique los atributos de las interfaces de red que administra. Puede incluir el ajuste de la configuración para garantizar la conectividad y la seguridad.


{
    "Version": "2012-10-17",
    "Statement": [
        {
			"Sid": "Statement1",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface",
				"ec2:DeleteNetworkInterface",
				"ec2:DescribeAvailabilityZones",
				"ec2:DescribeDhcpOptions",
				"ec2:DescribeInternetGateways",
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeSubnets",
				"ec2:DescribeVpcs",
				"ec2:ModifyNetworkInterfaceAttribute"
			],
			"Resource": "*"
		}
    ]
}

Política administrada de AWS: AWSDMSServerlessServiceRolePolicy

Esta política está adjunta al rol AWSServiceRoleForDMSServerless, que permite a AWS DMS realizar acciones en su nombre. Para obtener más información, consulte Rol vinculado al servicio de AWS DMS sin servidor.

Esta política otorga a los contribuidores permisos que dejan a AWS DMS administrar los recursos de replicación.

Detalles de los permisos

Esta política incluye los siguientes permisos.

dms: permite a las entidades principales interactuar con los recursos de AWS DMS.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "id0",
            "Effect": "Allow",
            "Action": [
                "dms:CreateReplicationInstance",
                "dms:CreateReplicationTask"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "dms:req-tag/ResourceCreatedBy": "DMSServerless"
                }
            }
        },
        {
            "Sid": "id1",
            "Effect": "Allow",
            "Action": [
                "dms:DescribeReplicationInstances",
                "dms:DescribeReplicationTasks"
            ],
            "Resource": "*"
        },
        {
            "Sid": "id2",
            "Effect": "Allow",
            "Action": [
                "dms:StartReplicationTask",
                "dms:StopReplicationTask",
                "dms:ModifyReplicationTask",
                "dms:DeleteReplicationTask",
                "dms:ModifyReplicationInstance",
                "dms:DeleteReplicationInstance"
            ],
            "Resource": [
                "arn:aws:dms:*:*:rep:*",
                "arn:aws:dms:*:*:task:*"
            ],
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
                }
            }
        },
        {
            "Sid": "id3",
            "Effect": "Allow",
            "Action": [
                "dms:TestConnection",
                "dms:DeleteConnection"
            ],
            "Resource": [
                "arn:aws:dms:*:*:rep:*",
                "arn:aws:dms:*:*:endpoint:*"
            ]
        }
    ]
}

Política administrada de AWS: AmazonDMSCloudWatchLogsRole

Esta política está adjunta al rol dms-cloudwatch-logs-role, que permite a AWS DMS realizar acciones en su nombre. Para obtener más información, consulte Uso de roles vinculados a servicios de AWS DMS.

Esta política concede a los colaboradores permisos que dejan a AWS DMS publicar registros de replicación en registros de CloudWatch.

Detalles de los permisos

Esta política incluye los siguientes permisos.

logs: permite a las entidades principales publicar registros en registros de CloudWatch. Este permiso es necesario para que AWS DMS pueda utilizar CloudWatch para mostrar los registros de replicación.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDescribeOnAllLogGroups",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AllowDescribeOfAllLogStreamsOnDmsTasksLogGroup",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*"
            ]
        },
        {
            "Sid": "AllowCreationOfDmsLogGroups",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:"
            ]
        },
        {
            "Sid": "AllowCreationOfDmsLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
            ]
        },
        {
            "Sid": "AllowUploadOfLogEventsToDmsLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
            ]
        }
    ]
}

Política administrada de AWS: AWSDMSFleetAdvisorServiceRolePolicy

No puede asociar AWSDMSFleetAdvisorServiceRolePolicy a las entidades de IAM. Esta política está adjunta a un rol vinculado a un servicio que permite a AWS DMS Fleet Advisor realizar acciones en su nombre. Para obtener más información, consulte Uso de roles vinculados a servicios de AWS DMS.

Esta política otorga a los contribuidores permisos que dejan a AWS DMS Fleet Advisor publicar métricas de Amazon CloudWatch.

Detalles de los permisos

Esta política incluye los siguientes permisos.

cloudwatch: permite que las entidades principales publiquen puntos de datos métricos en Amazon CloudWatch. Este permiso es necesario para que AWS DMS Fleet Advisor pueda utilizar CloudWatch para mostrar gráficos con métricas de bases de datos.


{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Resource": "*",
        "Action": "cloudwatch:PutMetricData",
        "Condition": {
            "StringEquals": {
                "cloudwatch:namespace": "AWS/DMS/FleetAdvisor"
            }
        }
    }
}

Actualizaciones de AWS DMS para las políticas administradas de AWS

Consulte los detalles relativos a las actualizaciones de las políticas administradas de AWS para AWS DMS desde que este servicio empezara a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de historial de documentos AWS DMS.

Cambio	Descripción	Fecha
AmazonDMSVPCManagementRole: cambio	AWS DMS ha agregado las operaciones `ec2:DescribeDhcpOptions` y `ec2:DescribeNetworkInterfaces` que permiten a AWS DMS administrar la configuración de red en su nombre.	17 de junio de 2024
AWSDMSServerlessServiceRolePolicy: nueva política	AWS DMS ha agregado el rol `AWSDMSServerlessServiceRolePolicy` para permitir a AWS DMS crear y administrar servicios en su nombre, como la publicación de métricas de Amazon CloudWatch.	22 de mayo de 2023
AmazonDMSCloudWatchLogsRole: cambiar	AWS DMS ha agregado el ARN de los recursos sin servidor a cada uno de los permisos concedidos, a fin de permitir cargar los registros de replicación de AWS DMS desde las configuraciones de replicación sin servidor en registros de CloudWatch.	22 de mayo de 2023
AWSDMSFleetAdvisorServiceRolePolicy: nueva política	AWS DMS Fleet Advisor ha agregado una nueva política para permitir publicar puntos de datos de métricas en Amazon CloudWatch.	6 de marzo de 2023
AWS DMS comenzó el seguimiento de los cambios	AWS DMS comenzó el seguimiento de los cambios de las políticas administradas de AWS.	6 de marzo de 2023

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Prevención de la sustitución confusa entre servicios

Validación de conformidad