Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comment AWS Database Migration Service fonctionne avec IAM
Avant IAM de gérer l'accès à AWS DMS, vous devez connaître les IAM fonctionnalités disponibles AWS DMS. Pour obtenir une vue d'ensemble du mode de fonctionnement des autres AWS services AWS DMS et des autres servicesIAM, consultez la section AWS Services compatibles IAM dans le Guide de IAM l'utilisateur.
Rubriques
AWS DMS Politiques basées sur l'identité
Avec les politiques IAM basées sur l'identité, vous pouvez spécifier les actions et les ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. AWS DMS prend en charge des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une JSON politique, consultez la référence aux éléments de IAM JSON politique dans le Guide de IAM l'utilisateur.
Actions
Les administrateurs peuvent utiliser AWS JSON des politiques pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.
L'Action
élément d'une JSON politique décrit les actions que vous pouvez utiliser pour autoriser ou refuser l'accès dans une politique. Les actions de stratégie portent généralement le même nom que l' AWS APIopération associée. Il existe certaines exceptions, telles que les actions avec autorisation uniquement qui n'ont pas d'opération correspondante. API Certaines opérations nécessitent également plusieurs actions dans une politique. Ces actions supplémentaires sont nommées actions dépendantes.
Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Les actions de politique en AWS DMS cours utilisent le préfixe suivant avant l'action :dms:
. Par exemple, pour autoriser quelqu'un à créer une tâche de réplication avec l' AWS DMS CreateReplicationTask
APIopération, vous devez inclure l'dms:CreateReplicationTask
action dans sa politique. Les déclarations de politique doivent inclure un NotAction
élément Action
ou. AWS DMS définit son propre ensemble d'actions décrivant les tâches que vous pouvez effectuer avec ce service.
Pour spécifier plusieurs actions dans une seule instruction, séparez-les par des virgules, comme suit :
"Action": [ "dms:action1", "dms:action2"
Vous pouvez aussi préciser plusieurs actions à l’aide de caractères génériques (*). Par exemple, pour spécifier toutes les actions qui commencent par le mot Describe
, incluez l’action suivante.
"Action": "dms:Describe*"
Pour consulter la liste des AWS DMS actions, reportez-vous à la section Actions définies par AWS Database Migration Service dans le guide de IAM l'utilisateur.
Ressources
Les administrateurs peuvent utiliser AWS JSON des politiques pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.
L'élément Resource
JSON de stratégie indique le ou les objets auxquels s'applique l'action. Les instructions doivent inclure un élément Resource
ou NotResource
. Il est recommandé de spécifier une ressource en utilisant son Amazon Resource Name (ARN). Vous pouvez le faire pour des actions qui prennent en charge un type de ressource spécifique, connu sous la dénomination autorisations de niveau ressource.
Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, telles que les opérations de liste, utilisez un caractère générique (*) afin d’indiquer que l’instruction s’applique à toutes les ressources.
"Resource": "*"
AWS DMS fonctionne avec les ressources suivantes :
-
Certificats
-
Points de terminaison
-
Abonnements aux événements
-
Instances de réplication
-
Groupes de sous-réseaux de réplication (sécurité)
-
Tâches de réplication
La ou les ressources AWS DMS requises dépendent de l'action ou des actions que vous invoquez. Vous avez besoin d'une politique qui autorise ces actions sur la ou les ressources associées spécifiées par la ressourceARNs.
Par exemple, une ressource de point de AWS DMS terminaison possède les caractéristiques suivantes ARN :
arn:${Partition}:dms:${Region}:${Account}:endpoint/${InstanceId}
Pour plus d'informations sur le format deARNs, consultez Amazon Resource Names (ARNs) et espaces de noms AWS de services.
Par exemple, pour spécifier l'instance de point de 1A2B3C4D5E6F7G8H9I0J1K2L3M
terminaison pour la us-east-2
région dans votre relevé, utilisez ce qui suitARN.
"Resource": "arn:aws:dms:us-east-2:987654321098:endpoint/1A2B3C4D5E6F7G8H9I0J1K2L3M"
Pour spécifier tous les points de terminaison qui appartiennent à un compte spécifique, utilisez le caractère générique (*).
"Resource": "arn:aws:dms:us-east-2:987654321098:endpoint/*"
Certaines AWS DMS actions, telles que celles relatives à la création de ressources, ne peuvent pas être effectuées sur une ressource spécifique. Dans ces cas-là, vous devez utiliser le caractère générique (*).
"Resource": "*"
Certaines AWS DMS API actions font appel à de multiples ressources. Par exemple, StartReplicationTask
démarre et connecte une tâche de réplication à deux ressources de point de terminaison de base de données, une source et une cible, de sorte qu'un IAM utilisateur doit être autorisé à lire le point de terminaison source et à écrire sur le point de terminaison cible. Pour spécifier plusieurs ressources dans une seule instruction, séparez-les ARNs par des virgules.
"Resource": [ "resource1", "resource2" ]
Pour plus d'informations sur le contrôle de l'accès aux AWS DMS ressources à l'aide de politiques, consultezUtilisation des noms de ressources pour contrôler l'accès. Pour consulter la liste des types de AWS DMS ressources et leurs caractéristiquesARNs, reportez-vous à la section Ressources définies par AWS Database Migration Service dans le guide de IAM l'utilisateur. Pour savoir avec quelles actions vous pouvez spécifier pour chaque ressource, consultez la ARN section Actions définies par AWS Database Migration Service.
Clés de condition
Les administrateurs peuvent utiliser AWS JSON des politiques pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.
L’élément Condition
(ou le bloc Condition
) vous permet de spécifier des conditions lorsqu’une instruction est appliquée. L’élément Condition
est facultatif. Vous pouvez créer des expressions conditionnelles qui utilisent des opérateurs de condition, tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande.
Si vous spécifiez plusieurs éléments Condition
dans une instruction, ou plusieurs clés dans un seul élément Condition
, AWS les évalue à l’aide d’une opération AND
logique. Si vous spécifiez plusieurs valeurs pour une seule clé de condition, AWS évalue la condition à l'aide d'une OR
opération logique. Toutes les conditions doivent être remplies avant que les autorisations associées à l’instruction ne soient accordées.
Vous pouvez aussi utiliser des variables d’espace réservé quand vous spécifiez des conditions. Par exemple, vous pouvez autoriser un IAM utilisateur à accéder à une ressource uniquement si celle-ci est étiquetée avec son nom IAM d'utilisateur. Pour plus d'informations, consultez IAMla section Éléments de politique : variables et balises dans le Guide de IAM l'utilisateur.
AWS prend en charge les clés de condition globales et les clés de condition spécifiques au service. Pour voir toutes les clés de condition AWS globales, voir les clés contextuelles de condition AWS globales dans le guide de IAM l'utilisateur.
AWS DMS définit son propre ensemble de clés de condition et prend également en charge l'utilisation de certaines clés de condition globales. Pour voir toutes les clés de condition AWS globales, voir les clés contextuelles de condition AWS globales dans le guide de IAM l'utilisateur.
AWS DMS définit un ensemble de balises standard que vous pouvez utiliser dans ses clés de condition et vous permet également de définir vos propres balises personnalisées. Pour de plus amples informations, veuillez consulter Utilisation de balises pour contrôler l'accès.
Pour consulter la liste des clés de AWS DMS condition, reportez-vous à la section Clés de AWS Database Migration Service condition du guide de IAM l'utilisateur. Pour découvrir les actions et les ressources avec lesquelles vous pouvez utiliser une clé de condition, consultez Actions définies par AWS Database Migration Service et Ressources définies par AWS Database Migration Service.
Exemples
Pour consulter des exemples de politiques AWS DMS basées sur l'identité, consultez. AWS Database Migration Service exemples de politiques basées sur l'identité
AWS DMS Politiques basées sur les ressources
Les politiques basées sur les ressources sont des documents de JSON politique qui spécifient les actions qu'un principal spécifié peut effectuer sur une AWS DMS ressource donnée et dans quelles conditions. AWS DMS prend en charge les politiques d'autorisation basées sur les ressources pour les clés de AWS KMS chiffrement que vous créez pour chiffrer les données migrées vers les points de terminaison cibles pris en charge. Les points de terminaison cibles pris en charge incluent Amazon Redshift et Amazon S3. Grâce aux stratégies basées sur les ressources, vous pouvez accorder l'autorisation d'utiliser ces clés de chiffrement à d'autres comptes pour chaque point de terminaison cible.
Pour activer l'accès entre comptes, vous pouvez spécifier un compte entier ou IAM des entités d'un autre compte comme principal dans une politique basée sur les ressources. L’ajout d’un principal entre comptes à une politique basée sur les ressources ne représente qu’une partie de l’instauration de la relation d’approbation. Lorsque le principal et la ressource se trouvent dans des AWS comptes différents, vous devez également accorder à l'entité principale l'autorisation d'accéder à la ressource. Accordez l'autorisation en attachant une stratégie basée sur les identités à l'entité. Toutefois, si une stratégie basée sur des ressources accorde l'accès à un principal dans le même compte, aucune autre stratégie basée sur l'identité n'est requise. Pour plus d'informations, consultez la section En quoi IAM les rôles diffèrent des politiques basées sur les ressources dans le Guide de l'IAMutilisateur.
Le AWS DMS service ne prend en charge qu'un seul type de stratégie basée sur les ressources, appelée politique clé, qui est attachée à une clé de AWS KMS chiffrement. Cette stratégie définit les entités principales (comptes, utilisateurs, rôles et utilisateurs fédérés) qui peuvent chiffrer les données migrées sur le point de terminaison cible pris en charge.
Pour découvrir comment associer une stratégie basée sur les ressources à une clé de chiffrement que vous créez pour les points de terminaison cibles pris en charge, consultez Création et utilisation de clés AWS KMS pour chiffrer les données cibles Amazon Redshift et Création de AWS KMS clés pour chiffrer les objets cibles d'Amazon S3.
Exemples
Pour des exemples de politiques AWS DMS basées sur les ressources, voir. Exemples de politiques basées sur les ressources pour AWS KMS
Autorisation basée sur les balises AWS DMS
Vous pouvez associer des balises aux AWS DMS ressources ou transmettre des balises dans une demande à AWS DMS. Pour contrôler l'accès en fonction des balises, vous devez fournir les informations relatives aux balises dans l'élément de condition d'une politique à l'aide de la clé de aws:TagKeys
condition dms:ResourceTag/
key-name
aws:RequestTag/
, ou. AWS DMS définit un ensemble de balises standard que vous pouvez utiliser dans ses clés de condition et vous permet également de définir vos propres balises personnalisées. Pour de plus amples informations, veuillez consulter Utilisation de balises pour contrôler l'accès.key-name
Pour obtenir un exemple de stratégie basée sur l'identité, qui limite l'accès à une ressource en fonction des balises, consultez Accès aux ressources AWS DMS en fonction des balises.
IAMrôles pour AWS DMS
Un IAMrôle est une entité de votre AWS compte qui possède des autorisations spécifiques.
Utilisation d'informations d'identification temporaires avec AWS DMS
Vous pouvez utiliser des informations d'identification temporaires pour vous connecter à la fédération, assumer un IAM rôle ou assumer un rôle entre comptes. Vous obtenez des informations d'identification de sécurité temporaires en appelant AWS STS API des opérations telles que AssumeRoleou GetFederationToken.
AWS DMS prend en charge l'utilisation d'informations d'identification temporaires.
Rôles liés à un service
Les rôles liés aux AWS services permettent aux services d'accéder aux ressources d'autres services pour effectuer une action en votre nom. Les rôles liés au service apparaissent dans votre IAM compte et appartiennent au service. Un IAM administrateur peut consulter mais pas modifier les autorisations pour les rôles liés à un service.
Pour plus de détails sur la création ou la gestion des rôles AWS DMS liés à un service, consultez. Utilisation des rôles liés aux services
Rôles de service
Cette fonction permet à un service d’endosser une fonction du service en votre nom. Ce rôle autorise le service à accéder à des ressources d’autres services pour effectuer une action en votre nom. Les rôles de service apparaissent dans votre IAM compte et sont détenus par le compte. Cela signifie qu'un IAM administrateur peut modifier les autorisations associées à ce rôle. Toutefois, une telle action peut perturber le bon fonctionnement du service.
AWS DMS prend en charge deux types de rôles de service que vous devez créer pour utiliser certains points de terminaison source ou cible :
-
Rôles autorisés à autoriser l' AWS DMSaccès aux points de terminaison source et cible suivants (ou à leurs ressources) :
-
Amazon DynamoDB en tant que cible : pour plus d’informations, consultez Prérequis pour l'utilisation de DynamoDB en tant que cible pour AWS Database Migration Service.
-
OpenSearch comme cible — Pour plus d'informations, voirConditions préalables à l'utilisation d'Amazon OpenSearch Service en tant que cible pour AWS Database Migration Service.
-
Amazon Kinesis en tant que cible : pour plus d’informations, consultez Conditions préalables à l'utilisation d'un flux de données Kinesis comme cible pour AWS Database Migration Service.
-
Amazon Redshift en tant que cible : vous devez créer le rôle spécifié uniquement pour créer une clé de KMS chiffrement personnalisée afin de chiffrer les données cibles ou pour spécifier un compartiment S3 personnalisé destiné au stockage des tâches intermédiaires. Pour plus d’informations, consultez Création et utilisation de clés AWS KMS pour chiffrer les données cibles Amazon Redshift ou Paramètres du compartiment Amazon S3.
-
Amazon S3 en tant que source ou cible : pour plus d’informations, consultez Conditions préalables à l'utilisation d'Amazon S3 comme source pour AWS DMS ou Prérequis pour l’utilisation d’Amazon S3 en tant que cible.
Par exemple, pour lire des données à partir d'un point de terminaison source S3 ou pour transférer des données vers un point de terminaison cible S3, vous devez créer un rôle de service comme condition préalable à l'accès à S3 pour chacune de ces opérations.
-
-
Rôles dotés d'autorisations requises pour utiliser le AWS CLI et AWS DMS API — IAM Les deux rôles que vous devez créer sont
dms-vpc-role
etdms-cloudwatch-logs-role
. Si vous utilisez Amazon Redshift comme base de données cible, vous devez également créer et ajouter le IAM rôledms-access-for-endpoint
à votre AWS compte. Pour de plus amples informations, veuillez consulter Création des IAM rôles à utiliser avec AWS CLI et AWS DMS API.
Choisir un IAM rôle dans AWS DMS
Si vous utilisez le AWS CLI ou AWS DMS API pour la migration de votre base de données, vous devez ajouter certains IAM rôles à votre AWS compte avant de pouvoir utiliser les fonctionnalités de AWS DMS. Deux d'entre eux sont dms-vpc-role
et dms-cloudwatch-logs-role
. Si vous utilisez Amazon Redshift comme base de données cible, vous devez également ajouter le IAM rôle dms-access-for-endpoint
à votre AWS compte. Pour de plus amples informations, veuillez consulter Création des IAM rôles à utiliser avec AWS CLI et AWS DMS API.
Gestion des identités et des accès pour DMS Fleet Advisor
Avec les politiques IAM basées sur l'identité, vous pouvez spécifier les actions et les ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. DMSFleet Advisor prend en charge des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une JSON politique, consultez la référence aux éléments de IAM JSON politique dans le Guide de IAM l'utilisateur.
DMSFleet Advisor utilise IAM des rôles pour accéder à Amazon Simple Storage Service. Un IAMrôle est une entité de votre AWS compte qui possède des autorisations spécifiques. Pour de plus amples informations, veuillez consulter Créez des IAM ressources.