Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Bagaimana AWS Database Migration Service bekerja dengan IAM
Sebelum Anda menggunakan IAM untuk mengelola akses AWS DMS, Anda harus memahami IAM fitur apa yang tersedia untuk digunakan AWS DMS. Untuk mendapatkan tampilan tingkat tinggi tentang cara AWS DMS dan AWS layanan lain bekerja denganIAM, lihat AWS layanan yang bekerja dengan IAM dalam Panduan IAM Pengguna.
Topik
Kebijakan berbasis identitas AWS DMS
Dengan kebijakan IAM berbasis identitas, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak, dan juga kondisi di mana tindakan diizinkan atau ditolak. AWS DMS mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam JSON kebijakan, lihat referensi elemen IAM JSON kebijakan di Panduan IAM Pengguna.
Tindakan
Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, principal dapat melakukan tindakan pada suatu sumber daya, dan dalam suatu syarat.
ActionElemen JSON kebijakan menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama dengan AWS API operasi terkait. Ada beberapa pengecualian, seperti tindakan khusus izin yang tidak memiliki operasi yang cocok. API Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam suatu kebijakan. Tindakan tambahan ini disebut tindakan dependen.
Menyertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Tindakan kebijakan AWS DMS menggunakan awalan berikut sebelum tindakan:dms:. Misalnya, untuk memberikan izin kepada seseorang untuk membuat tugas replikasi dengan AWS DMS CreateReplicationTask API operasi, Anda menyertakan dms:CreateReplicationTask tindakan tersebut dalam kebijakan mereka. Pernyataan kebijakan harus mencakup salah satu Action atau NotAction elemen. AWS DMS mendefinisikan serangkaian tindakannya sendiri yang menggambarkan tugas yang dapat Anda lakukan dengan layanan ini.
Untuk menentukan beberapa tindakan dalam satu pernyataan, pisahkan tindakan dengan koma seperti berikut:
"Action": [ "dms:action1", "dms:action2"
Anda juga dapat menentukan beberapa tindakan menggunakan wildcard (*). Misalnya, untuk menentukan semua tindakan yang dimulai dengan kata Describe, sertakan tindakan berikut.
"Action": "dms:Describe*"
Untuk melihat daftar AWS DMS tindakan, lihat Tindakan yang Ditentukan oleh AWS Database Migration Service di Panduan IAM Pengguna.
Sumber daya
Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, principal dapat melakukan tindakan pada suatu sumber daya, dan dalam suatu syarat.
Elemen Resource JSON kebijakan menentukan objek atau objek yang tindakan tersebut berlaku. Pernyataan harus menyertakan elemen Resource atau NotResource. Sebagai praktik terbaik, tentukan sumber daya menggunakan Amazon Resource Name (ARN). Anda dapat melakukan ini untuk tindakan yang mendukung jenis sumber daya tertentu, yang dikenal sebagai izin tingkat sumber daya.
Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, misalnya operasi pencantuman, gunakan wildcard (*) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
"Resource": "*"
AWS DMS bekerja dengan sumber daya berikut:
-
Sertifikat
-
Titik akhir
-
Langganan acara
-
Instans replikasi
-
Grup (keamanan) subnet replikasi
-
Tugas replikasi
Sumber daya atau sumber daya yang AWS DMS dibutuhkan tergantung pada tindakan atau tindakan yang Anda panggil. Anda memerlukan kebijakan yang mengizinkan tindakan ini pada sumber daya atau sumber daya terkait yang ditentukan oleh sumber ARNs daya.
Misalnya, sumber daya AWS DMS titik akhir memiliki yang berikut: ARN
arn:${Partition}:dms:${Region}:${Account}:endpoint/${InstanceId}
Untuk informasi selengkapnya tentang formatARNs, lihat Amazon Resource Names (ARNs) dan ruang nama AWS layanan.
Misalnya, untuk menentukan instance 1A2B3C4D5E6F7G8H9I0J1K2L3M titik akhir untuk us-east-2 wilayah dalam pernyataan Anda, gunakan yang berikut ARN ini.
"Resource": "arn:aws:dms:us-east-2:987654321098:endpoint/1A2B3C4D5E6F7G8H9I0J1K2L3M"
Untuk menentukan semua titik akhir milik akun tertentu, gunakan wildcard (*).
"Resource": "arn:aws:dms:us-east-2:987654321098:endpoint/*"
Beberapa AWS DMS tindakan, seperti untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (*).
"Resource": "*"
Beberapa AWS DMS API tindakan melibatkan banyak sumber daya. Misalnya, StartReplicationTask memulai dan menghubungkan tugas replikasi ke dua sumber daya endpoint database, sumber dan target, sehingga IAM pengguna harus memiliki izin untuk membaca titik akhir sumber dan menulis ke titik akhir target. Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma.
"Resource": [ "resource1", "resource2" ]
Untuk informasi selengkapnya tentang mengontrol akses ke AWS DMS sumber daya menggunakan kebijakan, lihatMenggunakan nama sumber daya untuk mengontrol akses. Untuk melihat daftar jenis AWS DMS sumber daya dan jenis sumber dayaARNs, lihat Sumber Daya yang Ditentukan oleh AWS Database Migration Service di Panduan IAM Pengguna. Untuk mempelajari tindakan mana yang dapat Anda tentukan ARN dari setiap sumber daya, lihat Tindakan yang Ditentukan oleh AWS Database Migration Service.
Kunci syarat
Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana utama dapat melakukan tindakan pada sumber daya, dan dalam kondisi apa.
Elemen Condition (atau blok Condition) akan memungkinkan Anda menentukan kondisi yang menjadi dasar suatu pernyataan berlaku. Elemen Condition bersifat opsional. Anda dapat membuat ekspresi bersyarat yang menggunakan operator kondisi, misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta.
Jika Anda menentukan beberapa elemen Condition dalam sebuah pernyataan, atau beberapa kunci dalam elemen Condition tunggal, maka AWS akan mengevaluasinya menggunakan operasi AND logis. Jika Anda menentukan beberapa nilai untuk satu kunci kondisi, AWS mengevaluasi kondisi menggunakan OR operasi logis. Semua kondisi harus dipenuhi sebelum izin pernyataan diberikan.
Anda juga dapat menggunakan variabel placeholder saat menentukan kondisi. Misalnya, Anda dapat memberikan izin IAM pengguna untuk mengakses sumber daya hanya jika ditandai dengan nama IAM pengguna mereka. Untuk informasi selengkapnya, lihat elemen IAM kebijakan: variabel dan tag di Panduan IAM Pengguna.
AWS mendukung kunci kondisi global dan kunci kondisi khusus layanan. Untuk melihat semua kunci kondisi AWS global, lihat kunci konteks kondisi AWS global di Panduan IAM Pengguna.
AWS DMS mendefinisikan kumpulan kunci kondisinya sendiri dan juga mendukung penggunaan beberapa kunci kondisi global. Untuk melihat semua kunci kondisi AWS global, lihat kunci konteks kondisi AWS global di Panduan IAM Pengguna.
AWS DMS mendefinisikan satu set tag standar yang dapat Anda gunakan dalam kunci kondisi dan juga memungkinkan Anda menentukan tag kustom Anda sendiri. Untuk informasi selengkapnya, lihat Menggunakan tag untuk mengontrol akses.
Untuk melihat daftar kunci AWS DMS kondisi, lihat Condition Keys untuk AWS Database Migration Service di Panduan IAM Pengguna. Untuk mempelajari tindakan dan sumber daya di mana Anda dapat gunakan kunci kondisi, lihat Tindakan yang Ditentukan oleh AWS Database Migration Service dan Sumber Daya yang Ditentukan oleh AWS Database Migration Service.
Contoh
Untuk melihat contoh kebijakan AWS DMS berbasis identitas, lihat. AWS Database Migration Service contoh kebijakan berbasis identitas
AWS DMS Kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya adalah dokumen JSON kebijakan yang menentukan tindakan apa yang dapat dilakukan oleh prinsipal tertentu pada AWS DMS sumber daya tertentu dan dalam kondisi apa. AWS DMS mendukung kebijakan izin berbasis sumber daya untuk kunci AWS KMS enkripsi yang Anda buat untuk mengenkripsi data yang dimigrasi ke titik akhir target yang didukung. Titik akhir target yang didukung termasuk Amazon Redshift dan Amazon S3. Dengan menggunakan kebijakan berbasis sumber daya, Anda dapat memberikan izin untuk menggunakan kunci enkripsi ini ke akun lain untuk setiap titik akhir target.
Untuk mengaktifkan akses lintas akun, Anda dapat menentukan seluruh akun atau IAM entitas di akun lain sebagai prinsipal dalam kebijakan berbasis sumber daya. Menambahkan prinsipal akun silang ke kebijakan berbasis sumber daya hanya setengah dari membangun hubungan kepercayaan. Ketika prinsipal dan sumber daya berada di AWS akun yang berbeda, Anda juga harus memberikan izin entitas utama untuk mengakses sumber daya. Berikan izin dengan melampirkan kebijakan berbasis identitas ke entitas tersebut. Namun, jika kebijakan berbasis sumber daya memberikan akses ke prinsipal dalam akun yang sama, tidak diperlukan kebijakan berbasis identitas tambahan. Untuk informasi selengkapnya, lihat Perbedaan IAM peran dari kebijakan berbasis sumber daya di Panduan Pengguna. IAM
AWS DMS Layanan ini hanya mendukung satu jenis kebijakan berbasis sumber daya yang disebut kebijakan kunci, yang dilampirkan ke kunci enkripsi. AWS KMS Kebijakan ini menentukan entitas prinsipal mana (akun, pengguna, peran, dan pengguna gabungan) yang dapat mengenkripsi data yang dimigrasikan di titik akhir target yang didukung.
Untuk mempelajari cara melampirkan kebijakan berbasis sumber daya ke kunci enkripsi yang Anda buat untuk titik akhir target yang didukung, lihat Membuat dan menggunakan kunci AWS KMS untuk mengenkripsi data target Amazon Redshift dan Membuat AWS KMS kunci untuk mengenkripsi objek target Amazon S3.
Contoh
Untuk contoh kebijakan AWS DMS berbasis sumber daya, lihat. Contoh kebijakan berbasis sumber daya untuk AWS KMS
Otorisasi berdasarkan tanda AWS DMS
Anda dapat melampirkan tag ke AWS DMS sumber daya atau meneruskan tag dalam permintaan AWS DMS. Untuk mengontrol akses berdasarkan tag, Anda memberikan informasi tag dalam elemen kondisi kebijakan menggunakandms:ResourceTag/,key-nameaws:RequestTag/, atau kunci key-nameaws:TagKeys kondisi. AWS DMS mendefinisikan satu set tag standar yang dapat Anda gunakan dalam kunci kondisi dan juga memungkinkan Anda untuk menentukan tag kustom Anda sendiri. Untuk informasi selengkapnya, lihat Menggunakan tag untuk mengontrol akses.
Untuk melihat contoh kebijakan berbasis identitas yang membatasi akses ke sumber daya berdasarkan tag, lihat Mengakses sumber daya AWS DMS berdasarkan tag.
IAMperan untuk AWS DMS
IAMPeran adalah entitas dalam AWS akun Anda yang memiliki izin khusus.
Menggunakan kredensi sementara dengan AWS DMS
Anda dapat menggunakan kredensi sementara untuk masuk dengan federasi, mengambil IAM peran, atau mengambil peran lintas akun. Anda mendapatkan kredensil keamanan sementara dengan memanggil AWS STS API operasi seperti AssumeRoleatau. GetFederationToken
AWS DMS mendukung menggunakan kredensi sementara.
Peran terkait layanan
Peran terkait AWS layanan memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan muncul di IAM akun Anda dan dimiliki oleh layanan. IAMAdministrator dapat melihat tetapi tidak mengedit izin untuk peran terkait layanan.
Untuk detail tentang membuat atau mengelola peran AWS DMS terkait layanan, lihat. Menggunakan peran terkait layanan
Peran layanan
Fitur ini memungkinkan layanan untuk menerima peran layanan atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di IAM akun Anda dan dimiliki oleh akun. Ini berarti bahwa IAM administrator dapat mengubah izin untuk peran ini. Namun, melakukan hal itu dapat merusak fungsionalitas layanan.
AWS DMS mendukung dua jenis peran layanan yang harus Anda buat untuk menggunakan sumber atau titik akhir target tertentu:
-
Peran dengan izin untuk mengizinkan AWS DMS akses ke sumber dan titik akhir target berikut (atau sumber dayanya):
-
Amazon DynamoDB sebagai target — Untuk informasi lebih lanjut lihat Prasyarat untuk menggunakan DynamoDB sebagai target untuk AWS Database Migration Service.
-
OpenSearch sebagai target — Untuk informasi lebih lanjut lihatPrasyarat untuk menggunakan AmazonOpenSearchLayanan sebagai targetAWS Database Migration Service.
-
Amazon Kinesis sebagai target – Untuk informasi lebih lanjut lihat Prasyarat untuk menggunakan aliran data Kinesis sebagai target AWS Database Migration Service.
-
Amazon Redshift sebagai target — Anda perlu membuat peran yang ditentukan hanya untuk membuat kunci KMS enkripsi khusus untuk mengenkripsi data target atau untuk menentukan bucket S3 khusus untuk menampung penyimpanan tugas perantara. Untuk informasi lebih lanjut, lihat Membuat dan menggunakan kunci AWS KMS untuk mengenkripsi data target Amazon Redshift atau Pengaturan bucket Amazon S3.
-
Amazon S3 sebagai sumber atau sebagai target – Untuk informasi lebih lanjut, lihat Prasyarat saat menggunakan Amazon S3 sebagai sumber untuk AWS DMS atau Prasyarat penggunaan Amazon S3 sebagai target.
Misalnya, untuk membaca data dari titik akhir sumber S3 atau untuk mendorong data ke titik akhir target S3, Anda harus membuat peran layanan sebagai prasyarat untuk mengakses S3 untuk masing-masing operasi titik akhir ini.
-
-
Peran dengan izin yang diperlukan untuk menggunakan AWS CLI dan AWS DMS API — Dua IAM peran yang perlu Anda buat adalah
dms-vpc-roledandms-cloudwatch-logs-role. Jika Anda menggunakan Amazon Redshift sebagai basis data target, Anda juga harus membuat dan menambahkan IAM perandms-access-for-endpointke akun Anda AWS . Untuk informasi selengkapnya, lihat Membuat IAM peran untuk digunakan dengan AWS CLI dan AWS DMS API.
Memilih IAM peran dalam AWS DMS
Jika Anda menggunakan AWS CLI atau AWS DMS API untuk migrasi database Anda, Anda harus menambahkan IAM peran tertentu ke AWS akun Anda sebelum Anda dapat menggunakan fitur AWS DMS. Dua dari peran tersebut adalah dms-vpc-role dan dms-cloudwatch-logs-role. Jika Anda menggunakan Amazon Redshift sebagai basis data target, Anda juga harus menambahkan IAM peran dms-access-for-endpoint ke akun Anda AWS . Untuk informasi selengkapnya, lihat Membuat IAM peran untuk digunakan dengan AWS CLI dan AWS DMS API.
Manajemen identitas dan akses untuk DMS Fleet Advisor
Dengan kebijakan IAM berbasis identitas, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak, dan juga kondisi di mana tindakan diizinkan atau ditolak. DMSFleet Advisor mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam JSON kebijakan, lihat referensi elemen IAM JSON kebijakan di Panduan IAM Pengguna.
DMSFleet Advisor menggunakan IAM peran untuk mengakses Amazon Simple Storage Service. IAMPeran adalah entitas dalam AWS akun Anda yang memiliki izin khusus. Untuk informasi selengkapnya, lihat Buat sumber daya IAM.
