Un mazonDMSVPCManagement rôle AWSDMSServerlessServiceRolePolicy UN mazonDMSCloud WatchLogsRole AWSDMSFleetAdvisorServiceRolePolicy Mises à jour des politiques

AWS politiques gérées pour AWS Database Migration Service

Rubriques

AWS politique gérée : un mazonDMSVPCManagement rôle
AWS politique gérée : AWSDMSServerlessServiceRolePolicy
AWS politique gérée : A mazonDMSCloud WatchLogsRole
AWS politique gérée : AWSDMSFleetAdvisorServiceRolePolicy
AWS DMS mises à jour des politiques AWS gérées

AWS politique gérée : un mazonDMSVPCManagement rôle

Cette politique est attachée au dms-vpc-role rôle, ce qui permet d' AWS DMS effectuer des actions en votre nom.

Cette politique accorde aux contributeurs des autorisations leur permettant AWS DMS de gérer les ressources du réseau.

Détails de l’autorisation

Cette politique inclut les opérations suivantes :

ec2:CreateNetworkInterface— AWS DMS a besoin de cette autorisation pour créer des interfaces réseau. Ces interfaces sont essentielles pour que l'instance de AWS DMS réplication puisse se connecter aux bases de données source et cible.
ec2:DeleteNetworkInterface— AWS DMS a besoin de cette autorisation pour nettoyer les interfaces réseau qu'il a créées une fois qu'elles ne sont plus nécessaires. Cela permet de gérer les ressources et d'éviter des coûts inutiles.
ec2:DescribeAvailabilityZones— Cette autorisation permet AWS DMS de récupérer des informations sur les zones de disponibilité d'une région. AWS DMS utilise ces informations pour s'assurer qu'il provisionne les ressources dans les zones appropriées en termes de redondance et de disponibilité.
ec2:DescribeDhcpOptions— AWS DMS récupère les détails du jeu DHCP d'options pour le paramètre spécifiéVPC. Ces informations sont nécessaires pour configurer correctement le réseau pour les instances de réplication.
ec2:DescribeInternetGateways— AWS DMS peut avoir besoin de cette autorisation pour comprendre les passerelles Internet configurées dans leVPC. Ces informations sont cruciales si l'instance de réplication ou les bases de données ont besoin d'un accès Internet.
ec2:DescribeNetworkInterfaces— AWS DMS récupère des informations sur les interfaces réseau existantes au sein duVPC. Ces informations sont nécessaires AWS DMS pour configurer correctement les interfaces réseau et garantir une connectivité réseau appropriée pour le processus de migration.
ec2:DescribeSecurityGroups— Les groupes de sécurité contrôlent le trafic entrant et sortant vers les instances et les ressources. AWS DMS doit décrire les groupes de sécurité pour configurer correctement les interfaces réseau et garantir une bonne communication entre l'instance de réplication et les bases de données.
ec2:DescribeSubnets— Cette autorisation permet AWS DMS de répertorier les sous-réseaux dans unVPC. AWS DMS utilise ces informations pour lancer des instances de réplication dans les sous-réseaux appropriés, en s'assurant qu'elles disposent de la connectivité réseau nécessaire.
ec2:DescribeVpcs— VPCs La description est essentielle AWS DMS pour comprendre l'environnement réseau dans lequel résident l'instance de réplication et les bases de données. Cela inclut de connaître les CIDR blocs et les autres VPC configurations spécifiques.
ec2:ModifyNetworkInterfaceAttribute— Cette autorisation est requise AWS DMS pour modifier les attributs des interfaces réseau qu'il gère. Cela peut inclure le réglage des paramètres pour garantir la connectivité et la sécurité.


{
    "Version": "2012-10-17",
    "Statement": [
        {
			"Sid": "Statement1",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface",
				"ec2:DeleteNetworkInterface",
				"ec2:DescribeAvailabilityZones",
				"ec2:DescribeDhcpOptions",
				"ec2:DescribeInternetGateways",
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeSubnets",
				"ec2:DescribeVpcs",
				"ec2:ModifyNetworkInterfaceAttribute"
			],
			"Resource": "*"
		}
    ]
}

AWS politique gérée : AWSDMSServerlessServiceRolePolicy

Cette politique est attachée au AWSServiceRoleForDMSServerless rôle, ce qui permet d' AWS DMS effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Rôle lié à un service pour AWS DMS sans serveur.

Cette politique accorde aux contributeurs des autorisations leur permettant AWS DMS de gérer les ressources de réplication.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

dms— Permet aux directeurs d'interagir avec les AWS DMS ressources.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "id0",
            "Effect": "Allow",
            "Action": [
                "dms:CreateReplicationInstance",
                "dms:CreateReplicationTask"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "dms:req-tag/ResourceCreatedBy": "DMSServerless"
                }
            }
        },
        {
            "Sid": "id1",
            "Effect": "Allow",
            "Action": [
                "dms:DescribeReplicationInstances",
                "dms:DescribeReplicationTasks"
            ],
            "Resource": "*"
        },
        {
            "Sid": "id2",
            "Effect": "Allow",
            "Action": [
                "dms:StartReplicationTask",
                "dms:StopReplicationTask",
                "dms:ModifyReplicationTask",
                "dms:DeleteReplicationTask",
                "dms:ModifyReplicationInstance",
                "dms:DeleteReplicationInstance"
            ],
            "Resource": [
                "arn:aws:dms:*:*:rep:*",
                "arn:aws:dms:*:*:task:*"
            ],
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
                }
            }
        },
        {
            "Sid": "id3",
            "Effect": "Allow",
            "Action": [
                "dms:TestConnection",
                "dms:DeleteConnection"
            ],
            "Resource": [
                "arn:aws:dms:*:*:rep:*",
                "arn:aws:dms:*:*:endpoint:*"
            ]
        }
    ]
}

AWS politique gérée : A mazonDMSCloud WatchLogsRole

Cette politique est attachée au dms-cloudwatch-logs-role rôle, ce qui permet d' AWS DMS effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Utilisation des rôles liés aux services pour AWS DMS.

Cette politique accorde aux contributeurs des autorisations leur permettant AWS DMS de publier des journaux de réplication dans des CloudWatch journaux.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

logs— Permet aux principaux de publier des journaux dans CloudWatch Logs. Cette autorisation est requise pour AWS DMS pouvoir CloudWatch afficher les journaux de réplication.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDescribeOnAllLogGroups",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AllowDescribeOfAllLogStreamsOnDmsTasksLogGroup",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*"
            ]
        },
        {
            "Sid": "AllowCreationOfDmsLogGroups",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:"
            ]
        },
        {
            "Sid": "AllowCreationOfDmsLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
            ]
        },
        {
            "Sid": "AllowUploadOfLogEventsToDmsLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
            ]
        }
    ]
}

AWS politique gérée : AWSDMSFleetAdvisorServiceRolePolicy

Vous ne pouvez pas vous attacher AWSDMSFleetAdvisorServiceRolePolicy à vos IAM entités. Cette politique est associée à un rôle lié au service qui permet à AWS DMS Fleet Advisor d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Utilisation des rôles liés aux services pour AWS DMS.

Cette politique accorde aux contributeurs des autorisations qui permettent à AWS DMS Fleet Advisor de publier CloudWatch des statistiques Amazon.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

cloudwatch— Permet aux principaux de publier des points de données métriques sur Amazon CloudWatch. Cette autorisation est requise pour que AWS DMS Fleet Advisor puisse CloudWatch afficher des graphiques avec des métriques de base de données.


{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Resource": "*",
        "Action": "cloudwatch:PutMetricData",
        "Condition": {
            "StringEquals": {
                "cloudwatch:namespace": "AWS/DMS/FleetAdvisor"
            }
        }
    }
}

AWS DMS mises à jour des politiques AWS gérées

Consultez les détails des mises à jour des politiques AWS gérées AWS DMS depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS fil sur la page Historique du AWS DMS document.

Modification	Description	Date
Un mazonDMSVPCManagement rôle — Changement	AWS DMS ajoutés `ec2:DescribeDhcpOptions` et `ec2:DescribeNetworkInterfaces` opérations permettant de AWS DMS gérer les paramètres réseau en votre nom.	17 juin 2024
AWSDMSServerlessServiceRolePolicy – Nouvelle politique	AWS DMS a ajouté le `AWSDMSServerlessServiceRolePolicy` rôle pour permettre AWS DMS de créer et de gérer des services en votre nom, tels que la publication de CloudWatch statistiques Amazon.	22 mai 2023
A mazonDMSCloud WatchLogsRole — Modification	AWS DMS a ajouté ARN les ressources sans serveur à chacune des autorisations accordées, afin de permettre le téléchargement des journaux de réplication des configurations de AWS DMS réplication sans serveur vers Logs. CloudWatch	22 mai 2023
AWSDMSFleetAdvisorServiceRolePolicy – Nouvelle politique	AWS DMS Fleet Advisor a ajouté une nouvelle politique autorisant la publication de points de données métriques sur Amazon CloudWatch.	06 mars 2023
AWS DMS a commencé à suivre les modifications	AWS DMS a commencé à suivre les modifications apportées AWS à ses politiques gérées.	06 mars 2023

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Prévention du problème de l’adjoint confus entre services

Validation de la conformité