mazonDMSVPCManagementPeran AWSDMSServerlessServiceRolePolicy A mazonDMSCloud WatchLogsRole AWSDMSFleetAdvisorServiceRolePolicy Pembaruan kebijakan

AWS kebijakan terkelola untuk AWS Database Migration Service

Topik

AWS kebijakan terkelola: mazonDMSVPCManagement Peran
AWS kebijakan terkelola: AWSDMSServerlessServiceRolePolicy
AWS kebijakan terkelola: A mazonDMSCloud WatchLogsRole
AWS kebijakan terkelola: AWSDMSFleetAdvisorServiceRolePolicy
AWS DMS pembaruan kebijakan AWS terkelola

AWS kebijakan terkelola: mazonDMSVPCManagement Peran

Kebijakan ini melekat pada dms-vpc-role peran, yang memungkinkan AWS DMS untuk melakukan tindakan atas nama Anda.

Kebijakan ini memberikan izin kontributor yang memungkinkan AWS DMS untuk mengelola sumber daya jaringan.

Detail izin

Kebijakan ini mencakup operasi berikut:

ec2:CreateNetworkInterface— AWS DMS membutuhkan izin ini untuk membuat antarmuka jaringan. Antarmuka ini penting untuk contoh AWS DMS replikasi untuk terhubung ke database sumber dan target.
ec2:DeleteNetworkInterface— AWS DMS membutuhkan izin ini untuk membersihkan antarmuka jaringan yang dibuat setelah mereka tidak lagi diperlukan. Ini membantu dalam manajemen sumber daya dan menghindari biaya yang tidak perlu.
ec2:DescribeAvailabilityZones— Izin ini memungkinkan AWS DMS untuk mengambil informasi tentang zona ketersediaan di suatu wilayah. AWS DMS menggunakan informasi ini untuk memastikan bahwa ia menyediakan sumber daya di zona yang benar untuk redundansi dan ketersediaan.
ec2:DescribeDhcpOptions— AWS DMS mengambil rincian DHCP pilihan set untuk yang ditentukanVPC. Informasi ini diperlukan untuk mengkonfigurasi jaringan dengan benar untuk contoh replikasi.
ec2:DescribeInternetGateways— AWS DMS mungkin memerlukan izin ini untuk memahami gateway internet yang dikonfigurasi di. VPC Informasi ini sangat penting jika contoh replikasi atau database membutuhkan akses internet.
ec2:DescribeNetworkInterfaces— AWS DMS mengambil informasi tentang antarmuka jaringan yang ada di dalam. VPC Informasi ini diperlukan AWS DMS untuk mengkonfigurasi antarmuka jaringan dengan benar dan memastikan konektivitas jaringan yang tepat untuk proses migrasi.
ec2:DescribeSecurityGroupsGrup keamanan mengontrol lalu lintas masuk dan keluar ke instans dan sumber daya. AWS DMS perlu menjelaskan kelompok keamanan untuk mengkonfigurasi antarmuka jaringan dengan benar dan memastikan komunikasi yang tepat antara contoh replikasi dan database.
ec2:DescribeSubnets— Izin ini memungkinkan AWS DMS untuk membuat daftar subnet dalam file. VPC AWS DMS menggunakan informasi ini untuk meluncurkan contoh replikasi di subnet yang sesuai, memastikan mereka memiliki konektivitas jaringan yang diperlukan.
ec2:DescribeVpcs— Menjelaskan VPCs sangat penting AWS DMS untuk memahami lingkungan jaringan tempat instance replikasi dan database berada. Ini termasuk mengetahui CIDR blok dan konfigurasi VPC spesifik lainnya.
ec2:ModifyNetworkInterfaceAttribute— Izin ini diperlukan AWS DMS untuk memodifikasi atribut antarmuka jaringan yang dikelolanya. Ini dapat mencakup pengaturan penyesuaian untuk memastikan konektivitas dan keamanan.


{
    "Version": "2012-10-17",
    "Statement": [
        {
			"Sid": "Statement1",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface",
				"ec2:DeleteNetworkInterface",
				"ec2:DescribeAvailabilityZones",
				"ec2:DescribeDhcpOptions",
				"ec2:DescribeInternetGateways",
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeSubnets",
				"ec2:DescribeVpcs",
				"ec2:ModifyNetworkInterfaceAttribute"
			],
			"Resource": "*"
		}
    ]
}

AWS kebijakan terkelola: AWSDMSServerlessServiceRolePolicy

Kebijakan ini melekat pada AWSServiceRoleForDMSServerless peran, yang memungkinkan AWS DMS untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Peran terkait layanan untuk Tanpa Server AWS DMS.

Kebijakan ini memberikan izin kontributor yang memungkinkan AWS DMS untuk mengelola sumber daya replikasi.

Detail izin

Kebijakan ini mencakup izin berikut.

dms— Memungkinkan kepala sekolah untuk berinteraksi dengan sumber daya. AWS DMS


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "id0",
            "Effect": "Allow",
            "Action": [
                "dms:CreateReplicationInstance",
                "dms:CreateReplicationTask"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "dms:req-tag/ResourceCreatedBy": "DMSServerless"
                }
            }
        },
        {
            "Sid": "id1",
            "Effect": "Allow",
            "Action": [
                "dms:DescribeReplicationInstances",
                "dms:DescribeReplicationTasks"
            ],
            "Resource": "*"
        },
        {
            "Sid": "id2",
            "Effect": "Allow",
            "Action": [
                "dms:StartReplicationTask",
                "dms:StopReplicationTask",
                "dms:ModifyReplicationTask",
                "dms:DeleteReplicationTask",
                "dms:ModifyReplicationInstance",
                "dms:DeleteReplicationInstance"
            ],
            "Resource": [
                "arn:aws:dms:*:*:rep:*",
                "arn:aws:dms:*:*:task:*"
            ],
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
                }
            }
        },
        {
            "Sid": "id3",
            "Effect": "Allow",
            "Action": [
                "dms:TestConnection",
                "dms:DeleteConnection"
            ],
            "Resource": [
                "arn:aws:dms:*:*:rep:*",
                "arn:aws:dms:*:*:endpoint:*"
            ]
        }
    ]
}

AWS kebijakan terkelola: A mazonDMSCloud WatchLogsRole

Kebijakan ini melekat pada dms-cloudwatch-logs-role peran, yang memungkinkan AWS DMS untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk AWS DMS.

Kebijakan ini memberikan izin kontributor yang memungkinkan AWS DMS untuk mempublikasikan log replikasi ke log. CloudWatch

Detail izin

Kebijakan ini mencakup izin berikut.

logs— Memungkinkan kepala sekolah untuk mempublikasikan log ke Log. CloudWatch Izin ini diperlukan agar AWS DMS dapat digunakan CloudWatch untuk menampilkan log replikasi.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDescribeOnAllLogGroups",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AllowDescribeOfAllLogStreamsOnDmsTasksLogGroup",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*"
            ]
        },
        {
            "Sid": "AllowCreationOfDmsLogGroups",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:"
            ]
        },
        {
            "Sid": "AllowCreationOfDmsLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
            ]
        },
        {
            "Sid": "AllowUploadOfLogEventsToDmsLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
            ]
        }
    ]
}

AWS kebijakan terkelola: AWSDMSFleetAdvisorServiceRolePolicy

Anda tidak dapat melampirkan AWSDMSFleetAdvisorServiceRolePolicy ke IAM entitas Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan Penasihat AWS DMS Armada untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk AWS DMS.

Kebijakan ini memberikan izin kontributor yang memungkinkan AWS DMS Fleet Advisor mempublikasikan metrik Amazon. CloudWatch

Detail izin

Kebijakan ini mencakup izin berikut.

cloudwatch— Memungkinkan kepala sekolah untuk mempublikasikan titik data metrik ke Amazon. CloudWatch Izin ini diperlukan agar AWS DMS Fleet Advisor dapat digunakan CloudWatch untuk menampilkan bagan dengan metrik database.


{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Resource": "*",
        "Action": "cloudwatch:PutMetricData",
        "Condition": {
            "StringEquals": {
                "cloudwatch:namespace": "AWS/DMS/FleetAdvisor"
            }
        }
    }
}

AWS DMS pembaruan kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola AWS DMS sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan RSS feed di halaman Riwayat AWS DMS dokumen.

Perubahan	Deskripsi	Tanggal
mazonDMSVPCManagementPeran - Perubahan	AWS DMS ditambahkan `ec2:DescribeDhcpOptions` dan `ec2:DescribeNetworkInterfaces` operasi AWS DMS untuk memungkinkan mengelola pengaturan jaringan atas nama Anda.	Juni 17, 2024
AWSDMSServerlessServiceRolePolicy – Kebijakan baru	AWS DMS menambahkan `AWSDMSServerlessServiceRolePolicy` peran AWS DMS untuk memungkinkan membuat dan mengelola layanan atas nama Anda, seperti menerbitkan CloudWatch metrik Amazon.	22 Mei 2023
A mazonDMSCloud WatchLogsRole - Perubahan	AWS DMS menambahkan sumber daya ARN for tanpa server ke setiap izin yang diberikan, untuk memungkinkan mengunggah log replikasi dari konfigurasi AWS DMS replikasi tanpa server ke Log. CloudWatch	22 Mei 2023
AWSDMSFleetAdvisorServiceRolePolicy – Kebijakan baru	AWS DMS Fleet Advisor menambahkan kebijakan baru untuk memungkinkan penerbitan titik data metrik ke Amazon CloudWatch.	6 Maret 2023
AWS DMS mulai melacak perubahan	AWS DMS mulai melacak perubahan untuk kebijakan yang AWS dikelola.	6 Maret 2023

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Pencegahan confused deputy lintas layanan

Validasi kepatuhan