Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol akses detail menggunakan nama sumber daya dan tag
Anda dapat menggunakan nama sumber daya dan tag sumber daya berdasarkan Amazon Resource Names (ARN) untuk mengelola akses ke AWS DMS sumber daya. Anda melakukan ini dengan mendefinisikan tindakan yang diizinkan atau memasukkan pernyataan bersyarat dalam kebijakan IAM.
Menggunakan nama sumber daya untuk mengontrol akses
Anda dapat membuat akun pengguna IAM dan menetapkan kebijakan berdasarkan ARN sumber daya AWS DMS .
Kebijakan berikut menolak akses ke instance replikasi dengan ARN arn:aws:dms:us-east- AWS DMS 1:152683116:rep:doh67ztoxglixmihkitv:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "dms:*" ], "Effect": "Deny", "Resource": "arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV" } ] }
Sebagai contoh, perintah berikut gagal ketika kebijakan berlaku.
$ aws dms delete-replication-instance --replication-instance-arn "arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV" A client error (AccessDeniedException) occurred when calling the DeleteReplicationInstance operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:DeleteReplicationInstance on resource: arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV $ aws dms modify-replication-instance --replication-instance-arn "arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV" A client error (AccessDeniedException) occurred when calling the ModifyReplicationInstance operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:ModifyReplicationInstance on resource: arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV
Anda juga dapat menentukan kebijakan IAM yang membatasi akses ke AWS DMS titik akhir dan tugas replikasi.
Kebijakan berikut membatasi akses ke AWS DMS titik akhir menggunakan ARN titik akhir.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "dms:*" ], "Effect": "Deny", "Resource": "arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX" } ] }
Sebagai contoh, perintah berikut gagal ketika kebijakan menggunakan ARN titik akhir tersebut berlaku.
$ aws dms delete-endpoint --endpoint-arn "arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX" A client error (AccessDeniedException) occurred when calling the DeleteEndpoint operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:DeleteEndpoint on resource: arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX $ aws dms modify-endpoint --endpoint-arn "arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX" A client error (AccessDeniedException) occurred when calling the ModifyEndpoint operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:ModifyEndpoint on resource: arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX
Kebijakan berikut membatasi akses ke AWS DMS tugas menggunakan ARN tugas.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "dms:*" ], "Effect": "Deny", "Resource": "arn:aws:dms:us-east-1:152683116:task:UO3YR4N47DXH3ATT4YMWOIT" } ] }
Sebagai contoh, perintah berikut gagal ketika kebijakan menggunakan ARN tugas tersebut berlaku.
$ aws dms delete-replication-task --replication-task-arn "arn:aws:dms:us-east-1:152683116:task:UO3YR4N47DXH3ATT4YMWOIT" A client error (AccessDeniedException) occurred when calling the DeleteReplicationTask operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:DeleteReplicationTask on resource: arn:aws:dms:us-east-1:152683116:task:UO3YR4N47DXH3ATT4YMWOIT
Menggunakan tag untuk mengontrol akses
AWS DMS mendefinisikan satu set pasangan kunci-nilai umum yang tersedia untuk digunakan dalam kebijakan yang ditetapkan pelanggan tanpa persyaratan penandaan tambahan. Untuk informasi selengkapnya tentang menandai AWS DMS sumber daya, lihatPenandaan sumber daya di AWS Database Migration Service.
Berikut ini mencantumkan tag standar yang tersedia untuk digunakan dengan AWS DMS:
-
aws: CurrentTime — Merupakan tanggal dan waktu permintaan, memungkinkan pembatasan akses berdasarkan kriteria temporal.
-
aws: EpochTime — Tag ini mirip dengan CurrentTime tag aws: sebelumnya, kecuali bahwa waktu saat ini direpresentasikan sebagai jumlah detik yang telah berlalu sejak zaman Unix.
-
aws: MultiFactorAuthPresent — Ini adalah tag Boolean yang menunjukkan apakah permintaan ditandatangani melalui otentikasi multi-faktor atau tidak.
-
aws: MultiFactorAuthAge — Menyediakan akses ke usia token otentikasi multi-faktor (dalam hitungan detik).
-
aws:principaltype - Menyediakan akses ke jenis prinsipal (pengguna, akun, pengguna gabungan, dll) untuk permintaan saat ini.
-
aws: SourceIp — Merupakan alamat ip sumber untuk pengguna yang mengeluarkan permintaan.
-
aws: UserAgent — Menyediakan informasi tentang aplikasi klien yang meminta sumber daya.
-
aws:userid - Menyediakan akses ke ID dari pengguna yang mengeluarkan permintaan.
-
aws:username - Menyediakan akses ke nama pengguna yang mengeluarkan permintaan.
-
dms: InstanceClass — Menyediakan akses ke ukuran komputasi host instance replikasi.
-
dms: StorageSize — Menyediakan akses ke ukuran volume penyimpanan (dalam GB).
Anda juga dapat menentukan tag Anda sendiri. Tag yang ditentukan pelanggan adalah pasangan nilai kunci sederhana yang bertahan dalam layanan penandaan. AWS Anda dapat menambahkan ini ke sumber daya AWS DMS , termasuk instans replikasi, titik akhir, dan tugas. Tag ini dicocokkan dengan menggunakan pernyataan "bersyarat" IAM dalam kebijakan, dan direferensikan menggunakan tag bersyarat tertentu. Kunci tag diawali dengan "dms", jenis sumber daya, dan prefiks "tag". Berikut ini menunjukkan format tag.
dms:{resource type}-tag/{tag key}={tag value}
Sebagai contoh, misalkan Anda ingin menentukan kebijakan yang hanya mengizinkan panggilan API berhasil untuk instans replikasi yang berisi tag "stage=production". Pernyataan bersyarat berikut cocok dengan sumber daya dengan tag yang diberikan.
"Condition": { "streq": { "dms:rep-tag/stage":"production" } }
Anda menambahkan tag berikut ke instans replikasi yang cocok dengan syarat kebijakan ini.
stage production
Selain tag yang telah ditetapkan ke AWS DMS sumber daya, kebijakan juga dapat ditulis untuk membatasi kunci tag dan nilai yang dapat diterapkan ke sumber daya tertentu. Dalam hal ini, prefiks tag adalah "req".
Sebagai contoh, pernyataan kebijakan berikut membatasi tag yang dapat ditetapkan pengguna ke sumber daya tertentu untuk daftar tertentu dari nilai yang diizinkan.
"Condition": { "streq": { "dms:rep-tag/stage": [ "production", "development", "testing" ] } }
Contoh kebijakan berikut membatasi akses ke AWS DMS sumber daya berdasarkan tag sumber daya.
Kebijakan berikut membatasi akses ke instans replikasi di mana nilai tag adalah "Desktop" dan kunci tag adalah "Env":
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "dms:*" ], "Effect": "Deny", "Resource": "*", "Condition": { "StringEquals": { "dms:rep-tag/Env": [ "Desktop" ] } } } ] }
Perintah berikut berhasil atau gagal berdasarkan kebijakan IAM yang membatasi akses ketika nilai tag adalah "Desktop" dan kunci tag adalah "Env".
$ aws dms list-tags-for-resource --resource-name arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN --endpoint-url http://localhost:8000 { "TagList": [ { "Value": "Desktop", "Key": "Env" } ] } $ aws dms delete-replication-instance --replication-instance-arn "arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN" A client error (AccessDeniedException) occurred when calling the DeleteReplicationInstance operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:DeleteReplicationInstance on resource: arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN $ aws dms modify-replication-instance --replication-instance-arn "arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN" A client error (AccessDeniedException) occurred when calling the ModifyReplicationInstance operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:ModifyReplicationInstance on resource: arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN $ aws dms add-tags-to-resource --resource-name arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN --tags Key=CostCenter,Value=1234 A client error (AccessDeniedException) occurred when calling the AddTagsToResource operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:AddTagsToResource on resource: arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN $ aws dms remove-tags-from-resource --resource-name arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN --tag-keys Env A client error (AccessDeniedException) occurred when calling the RemoveTagsFromResource operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:RemoveTagsFromResource on resource: arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN
Kebijakan berikut membatasi akses ke AWS DMS titik akhir di mana nilai tag adalah “Desktop” dan kunci tag adalah “Env”.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "dms:*" ], "Effect": "Deny", "Resource": "*", "Condition": { "StringEquals": { "dms:endpoint-tag/Env": [ "Desktop" ] } } } ] }
Perintah berikut berhasil atau gagal berdasarkan kebijakan IAM yang membatasi akses ketika nilai tag adalah "Desktop" dan kunci tag adalah "Env".
$ aws dms list-tags-for-resource --resource-name arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I { "TagList": [ { "Value": "Desktop", "Key": "Env" } ] } $ aws dms delete-endpoint --endpoint-arn "arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I" A client error (AccessDeniedException) occurred when calling the DeleteEndpoint operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:DeleteEndpoint on resource: arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I $ aws dms modify-endpoint --endpoint-arn "arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I" A client error (AccessDeniedException) occurred when calling the ModifyEndpoint operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:ModifyEndpoint on resource: arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I $ aws dms add-tags-to-resource --resource-name arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I --tags Key=CostCenter,Value=1234 A client error (AccessDeniedException) occurred when calling the AddTagsToResource operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:AddTagsToResource on resource: arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I $ aws dms remove-tags-from-resource --resource-name arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I --tag-keys Env A client error (AccessDeniedException) occurred when calling the RemoveTagsFromResource operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:RemoveTagsFromResource on resource: arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I
Kebijakan berikut membatasi akses ke tugas replikasi di mana nilai tag adalah "Desktop" dan kunci tag adalah "Env".
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "dms:*" ], "Effect": "Deny", "Resource": "*", "Condition": { "StringEquals": { "dms:task-tag/Env": [ "Desktop" ] } } } ] }
Perintah berikut berhasil atau gagal berdasarkan kebijakan IAM yang membatasi akses ketika nilai tag adalah "Desktop" dan kunci tag adalah "Env".
$ aws dms list-tags-for-resource --resource-name arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3 { "TagList": [ { "Value": "Desktop", "Key": "Env" } ] } $ aws dms delete-replication-task --replication-task-arn "arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3" A client error (AccessDeniedException) occurred when calling the DeleteReplicationTask operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:DeleteReplicationTask on resource: arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3 $ aws dms add-tags-to-resource --resource-name arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3 --tags Key=CostCenter,Value=1234 A client error (AccessDeniedException) occurred when calling the AddTagsToResource operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:AddTagsToResource on resource: arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3 $ aws dms remove-tags-from-resource --resource-name arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3 --tag-keys Env A client error (AccessDeniedException) occurred when calling the RemoveTagsFromResource operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:RemoveTagsFromResource on resource: arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3
