Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Bagaimana AWS Database Migration Service bekerja dengan IAM

Mode fokus
Bagaimana AWS Database Migration Service bekerja dengan IAM - AWS Layanan Migrasi Database

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Sebelum Anda menggunakan IAM untuk mengelola akses AWS DMS, Anda harus memahami IAM fitur apa yang tersedia untuk digunakan AWS DMS. Untuk mendapatkan tampilan tingkat tinggi tentang cara AWS DMS dan AWS layanan lain bekerja denganIAM, lihat AWS layanan yang bekerja dengan IAM dalam Panduan IAM Pengguna.

Kebijakan berbasis identitas AWS DMS

Dengan kebijakan IAM berbasis identitas, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak, dan juga kondisi di mana tindakan diizinkan atau ditolak. AWS DMS mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam JSON kebijakan, lihat referensi elemen IAM JSON kebijakan di Panduan IAM Pengguna.

Tindakan

Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, principal dapat melakukan tindakan pada suatu sumber daya, dan dalam suatu syarat.

ActionElemen JSON kebijakan menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama dengan AWS API operasi terkait. Ada beberapa pengecualian, seperti tindakan khusus izin yang tidak memiliki operasi yang cocok. API Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam suatu kebijakan. Tindakan tambahan ini disebut tindakan dependen.

Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.

Tindakan kebijakan AWS DMS menggunakan awalan berikut sebelum tindakan:dms:. Misalnya, untuk memberikan izin kepada seseorang untuk membuat tugas replikasi dengan AWS DMS CreateReplicationTask API operasi, Anda menyertakan dms:CreateReplicationTask tindakan tersebut dalam kebijakan mereka. Pernyataan kebijakan harus mencakup salah satu Action atau NotAction elemen. AWS DMS mendefinisikan serangkaian tindakannya sendiri yang menggambarkan tugas yang dapat Anda lakukan dengan layanan ini.

Untuk menentukan beberapa tindakan dalam satu pernyataan, pisahkan tindakan dengan koma seperti berikut:

"Action": [ "dms:action1", "dms:action2"

Anda juga dapat menentukan beberapa tindakan menggunakan wildcard (*). Misalnya, untuk menentukan semua tindakan yang dimulai dengan kata Describe, sertakan tindakan berikut.

"Action": "dms:Describe*"

Untuk melihat daftar AWS DMS tindakan, lihat Tindakan yang Ditentukan oleh AWS Database Migration Service di Panduan IAM Pengguna.

Sumber daya

Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, principal dapat melakukan tindakan pada suatu sumber daya, dan dalam suatu syarat.

Elemen Resource JSON kebijakan menentukan objek atau objek yang tindakan tersebut berlaku. Pernyataan harus menyertakan elemen Resource atau NotResource. Sebagai praktik terbaik, tentukan sumber daya menggunakan Amazon Resource Name (ARN). Anda dapat melakukan ini untuk tindakan yang mendukung jenis sumber daya tertentu, yang dikenal sebagai izin tingkat sumber daya.

Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, misalnya operasi pencantuman, gunakan wildcard (*) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.

"Resource": "*"

AWS DMS bekerja dengan sumber daya berikut:

  • Sertifikat

  • Titik akhir

  • Langganan acara

  • Instans replikasi

  • Grup (keamanan) subnet replikasi

  • Tugas replikasi

Sumber daya atau sumber daya yang AWS DMS dibutuhkan tergantung pada tindakan atau tindakan yang Anda panggil. Anda memerlukan kebijakan yang mengizinkan tindakan ini pada sumber daya atau sumber daya terkait yang ditentukan oleh sumber ARNs daya.

Misalnya, sumber daya AWS DMS titik akhir memiliki yang berikut: ARN

arn:${Partition}:dms:${Region}:${Account}:endpoint/${InstanceId}

Untuk informasi selengkapnya tentang formatARNs, lihat Amazon Resource Names (ARNs) dan ruang nama AWS layanan.

Misalnya, untuk menentukan instance 1A2B3C4D5E6F7G8H9I0J1K2L3M titik akhir untuk us-east-2 wilayah dalam pernyataan Anda, gunakan yang berikut ARN ini.

"Resource": "arn:aws:dms:us-east-2:987654321098:endpoint/1A2B3C4D5E6F7G8H9I0J1K2L3M"

Untuk menentukan semua titik akhir milik akun tertentu, gunakan wildcard (*).

"Resource": "arn:aws:dms:us-east-2:987654321098:endpoint/*"

Beberapa AWS DMS tindakan, seperti untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (*).

"Resource": "*"

Beberapa AWS DMS API tindakan melibatkan banyak sumber daya. Misalnya, StartReplicationTask memulai dan menghubungkan tugas replikasi ke dua sumber daya endpoint database, sumber dan target, sehingga IAM pengguna harus memiliki izin untuk membaca titik akhir sumber dan menulis ke titik akhir target. Untuk menentukan beberapa sumber daya dalam pernyataan tunggal, pisahkan ARNs dengan koma.

"Resource": [ "resource1", "resource2" ]

Untuk informasi selengkapnya tentang mengontrol akses ke AWS DMS sumber daya menggunakan kebijakan, lihatMenggunakan nama sumber daya untuk mengontrol akses. Untuk melihat daftar jenis AWS DMS sumber daya dan jenis sumber dayaARNs, lihat Sumber Daya yang Ditentukan oleh AWS Database Migration Service di Panduan IAM Pengguna. Untuk mempelajari tindakan mana yang dapat Anda tentukan ARN dari setiap sumber daya, lihat Tindakan yang Ditentukan oleh AWS Database Migration Service.

Kunci syarat

Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana utama dapat melakukan tindakan pada sumber daya, dan dalam kondisi apa.

Elemen Condition (atau blok Condition) akan memungkinkan Anda menentukan kondisi yang menjadi dasar suatu pernyataan berlaku. Elemen Condition bersifat opsional. Anda dapat membuat ekspresi bersyarat yang menggunakan operator kondisi, misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta.

Jika Anda menentukan beberapa elemen Condition dalam sebuah pernyataan, atau beberapa kunci dalam elemen Condition tunggal, maka AWS akan mengevaluasinya menggunakan operasi AND logis. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS mengevaluasi kondisi menggunakan OR operasi logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan.

Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Misalnya, Anda dapat memberikan izin IAM pengguna untuk mengakses sumber daya hanya jika ditandai dengan nama IAM pengguna mereka. Untuk informasi selengkapnya, lihat elemen IAM kebijakan: variabel dan tag di Panduan IAM Pengguna.

AWS mendukung kunci kondisi global dan kunci kondisi khusus layanan. Untuk melihat semua kunci kondisi AWS global, lihat kunci konteks kondisi AWS global di Panduan IAM Pengguna.

AWS DMS mendefinisikan kumpulan kunci kondisinya sendiri dan juga mendukung penggunaan beberapa kunci kondisi global. Untuk melihat semua kunci kondisi AWS global, lihat kunci konteks kondisi AWS global di Panduan IAM Pengguna.

AWS DMS mendefinisikan satu set tag standar yang dapat Anda gunakan dalam kunci kondisi dan juga memungkinkan Anda menentukan tag kustom Anda sendiri. Untuk informasi selengkapnya, lihat Menggunakan tanda untuk mengontrol akses.

Untuk melihat daftar kunci AWS DMS kondisi, lihat Condition Keys untuk AWS Database Migration Service di Panduan IAM Pengguna. Untuk mempelajari tindakan dan sumber daya di mana Anda dapat gunakan kunci kondisi, lihat Tindakan yang Ditentukan oleh AWS Database Migration Service dan Sumber Daya yang Ditentukan oleh AWS Database Migration Service.

Contoh

Untuk melihat contoh kebijakan AWS DMS berbasis identitas, lihat. AWS Database Migration Service contoh kebijakan berbasis identitas

AWS DMS Kebijakan berbasis sumber daya

Kebijakan berbasis sumber daya adalah dokumen JSON kebijakan yang menentukan tindakan apa yang dapat dilakukan oleh prinsipal tertentu pada AWS DMS sumber daya tertentu dan dalam kondisi apa. AWS DMS mendukung kebijakan izin berbasis sumber daya untuk kunci AWS KMS enkripsi yang Anda buat untuk mengenkripsi data yang dimigrasi ke titik akhir target yang didukung. Titik akhir target yang didukung termasuk Amazon Redshift dan Amazon S3. Dengan menggunakan kebijakan berbasis sumber daya, Anda dapat memberikan izin untuk menggunakan kunci enkripsi ini ke akun lain untuk setiap titik akhir target.

Untuk mengaktifkan akses lintas akun, Anda dapat menentukan seluruh akun atau IAM entitas di akun lain sebagai prinsipal dalam kebijakan berbasis sumber daya. Menambahkan prinsipal akun silang ke kebijakan berbasis sumber daya hanya setengah dari membangun hubungan kepercayaan. Ketika prinsipal dan sumber daya berada di AWS akun yang berbeda, Anda juga harus memberikan izin entitas utama untuk mengakses sumber daya. Berikan izin dengan melampirkan kebijakan berbasis identitas ke entitas tersebut. Namun, jika kebijakan berbasis sumber daya memberikan akses ke principal dalam akun yang sama, tidak diperlukan kebijakan berbasis identitas tambahan. Untuk informasi selengkapnya, lihat Perbedaan IAM peran dari kebijakan berbasis sumber daya di Panduan Pengguna. IAM

AWS DMS Layanan ini hanya mendukung satu jenis kebijakan berbasis sumber daya yang disebut kebijakan kunci, yang dilampirkan ke kunci enkripsi. AWS KMS Kebijakan ini menentukan entitas prinsipal mana (akun, pengguna, peran, dan pengguna gabungan) yang dapat mengenkripsi data yang dimigrasikan di titik akhir target yang didukung.

Untuk mempelajari cara melampirkan kebijakan berbasis sumber daya ke kunci enkripsi yang Anda buat untuk titik akhir target yang didukung, lihat Membuat dan menggunakan AWS KMS kunci untuk mengenkripsi data target Amazon Redshift dan Membuat AWS KMS kunci untuk mengenkripsi objek target Amazon S3.

Contoh

Untuk contoh kebijakan AWS DMS berbasis sumber daya, lihat. Contoh kebijakan berbasis sumber daya untuk AWS KMS

Otorisasi berdasarkan tanda AWS DMS

Anda dapat melampirkan tag ke AWS DMS sumber daya atau meneruskan tag dalam permintaan AWS DMS. Untuk mengontrol akses berdasarkan tag, Anda memberikan informasi tag dalam elemen kondisi kebijakan menggunakandms:ResourceTag/key-name,aws:RequestTag/key-name, atau kunci aws:TagKeys kondisi. AWS DMS mendefinisikan satu set tag standar yang dapat Anda gunakan dalam kunci kondisi dan juga memungkinkan Anda untuk menentukan tag kustom Anda sendiri. Untuk informasi selengkapnya, lihat Menggunakan tanda untuk mengontrol akses.

Untuk melihat contoh kebijakan berbasis identitas yang membatasi akses ke sumber daya berdasarkan tag, lihat Mengakses sumber daya AWS DMS berdasarkan tag.

IAMperan untuk AWS DMS

IAMPeran adalah entitas dalam AWS akun Anda yang memiliki izin khusus.

Menggunakan kredensi sementara dengan AWS DMS

Anda dapat menggunakan kredensi sementara untuk masuk dengan federasi, mengambil IAM peran, atau mengambil peran lintas akun. Anda mendapatkan kredensil keamanan sementara dengan memanggil AWS STS API operasi seperti AssumeRoleatau. GetFederationToken

AWS DMS mendukung menggunakan kredensi sementara.

Peran terkait layanan

Peran terkait AWS layanan memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan muncul di akun IAM Anda dan dimiliki oleh layanan tersebut. Administrator IAM dapat melihat tetapi tidak dapat mengedit izin untuk peran yang terkait dengan layanan.

Untuk detail tentang membuat atau mengelola peran AWS DMS terkait layanan, lihat. Menggunakan peran terkait layanan

Peran layanan

Fitur ini memungkinkan layanan untuk menerima peran layanan atas nama Anda. Peran ini mengizinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di akun IAM Anda dan dimiliki oleh akun tersebut. Ini berarti bahwa administrator IAM dapat mengubah izin untuk peran ini. Namun, melakukannya mungkin merusak fungsi layanan.

AWS DMS mendukung dua jenis peran layanan yang harus Anda buat untuk menggunakan sumber atau titik akhir target tertentu:

Memilih IAM peran dalam AWS DMS

Jika Anda menggunakan AWS DMS konsol, AWS CLI atau AWS DMS API untuk migrasi database Anda, Anda harus menambahkan IAM peran tertentu ke AWS akun Anda sebelum Anda dapat menggunakan fitur AWS DMS. Dua dari peran tersebut adalah dms-vpc-role dan dms-cloudwatch-logs-role. Jika Anda menggunakan Amazon Redshift sebagai database target, Anda juga harus menambahkan IAM peran dms-access-for-endpoint ke akun Anda AWS . Untuk informasi selengkapnya, lihat Membuat IAM peran untuk digunakan dengan AWS DMS.

Manajemen identitas dan akses untuk DMS Fleet Advisor

Dengan kebijakan IAM berbasis identitas, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak, dan juga kondisi di mana tindakan diizinkan atau ditolak. DMS Fleet Advisor mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam JSON kebijakan, lihat referensi elemen IAM JSON kebijakan di Panduan IAM Pengguna.

DMSFleet Advisor menggunakan IAM peran untuk mengakses Amazon Simple Storage Service. IAMPeran adalah entitas dalam AWS akun Anda yang memiliki izin khusus. Untuk informasi selengkapnya, lihat Buat IAM sumber daya.

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.