Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione delle identità e degli accessi per AWS Database Migration Service
AWS Identity and Access Management (IAM) aiuta un Servizio AWS amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse. AWS DMS IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come AWS Database Migration Service funziona con IAM](security_iam_service-with-iam.md)
+ [AWS Database Migration Service esempi di policy basate sull'identità](security_iam_id-based-policy-examples.md)
+ [Esempi di policy basate sulle risorse per AWS KMS](security_iam_resource-based-policy-examples.md)
+ [Utilizzo dei segreti per accedere agli AWS Database Migration Service endpoint](security_iam_secretsmanager.md)
+ [Utilizzo di ruoli collegati ai servizi per AWS DMS](using-service-linked-roles.md)
+ [Risoluzione dei problemi di identità e accesso AWS Database Migration Service](security_iam_troubleshoot.md)
+ [Autorizzazioni IAM necessarie per l'uso AWS DMS](#CHAP_Security.IAMPermissions)
+ [Creazione dei ruoli IAM da utilizzare con AWS DMS](#CHAP_Security.APIRole)
+ [Prevenzione del confused deputy tra servizi](cross-service-confused-deputy-prevention.md)
+ [AWS politiche gestite per AWS Database Migration Service](security-iam-awsmanpol.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi di identità e accesso AWS Database Migration Service](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come AWS Database Migration Service funziona con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [AWS Database Migration Service esempi di policy basate sull'identità](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali come utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente di IAM*.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) per l'*utente IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Liste di controllo degli accessi () ACLs
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioni ACLs, consulta la [panoramica della lista di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Amazon Simple Storage Service Developer Guide*.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come AWS Database Migration Service funziona con IAM
Prima di utilizzare IAM per gestire l'accesso a AWS DMS, è necessario comprendere con quali funzionalità IAM è possibile utilizzare AWS DMS. Per avere una visione di alto livello di come AWS DMS e altri AWS servizi funzionano con IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
**Topics**
+ [AWS DMS politiche basate sull'identità](#security_iam_service-with-iam-id-based-policies)
+ [AWS DMS politiche basate sulle risorse](#security_iam_service-with-iam-resource-based-policies)
+ [Autorizzazione basata su tag AWS DMS](#security_iam_service-with-iam-tags)
+ [Ruoli IAM per AWS DMS](#security_iam_service-with-iam-roles)
+ [Identity and Access Management per DMS Fleet Advisor](#fa-security-iam)
## AWS DMS politiche basate sull'identità
Con le policy basate su identità IAM puoi specificare azioni e risorse consentite o rifiutate, nonché le condizioni in base alle quali le azioni sono consentite o rifiutate. AWS DMS supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta [Documentazione di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'utente IAM*.
### Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Le azioni politiche AWS DMS utilizzano il seguente prefisso prima dell'azione:. `dms:` Ad esempio, per concedere a qualcuno l'autorizzazione a creare un'attività di replica con l'operazione AWS DMS `CreateReplicationTask` API, includi l'`dms:CreateReplicationTask`azione nella sua politica. Le dichiarazioni politiche devono includere un `NotAction` elemento `Action` or. AWS DMS definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.
Per specificare più operazioni in una singola istruzione, separarle con una virgola come mostrato di seguito.
```
"Action": [
"dms:action1",
"dms:action2"
```
Puoi specificare più operazioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le operazioni che iniziano con la parola `Describe`, includi la seguente operazione.
```
"Action": "dms:Describe*"
```
Per visualizzare un elenco di AWS DMS azioni, consulta [Actions Defined by AWS Database Migration Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdatabasemigrationservice.html#awsdatabasemigrationservice-actions-as-permissions) nella *IAM User Guide*.
### Resources
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
AWS DMS funziona con le seguenti risorse:
+ Certificati
+ Endpoints
+ Abbonamenti a eventi
+ Istanze di replica
+ Gruppi di sottoreti di replica (sicurezza)
+ Attività di replica
La risorsa o le risorse AWS DMS necessarie dipendono dall'azione o dalle azioni richiamate. È necessaria una politica che consenta queste azioni sulla risorsa o sulle risorse associate specificate dalla risorsa. ARNs
Ad esempio, una risorsa AWS DMS endpoint ha il seguente ARN:
```
arn:${Partition}:dms:${Region}:${Account}:endpoint/${InstanceId}
```
Per ulteriori informazioni sul formato di ARNs, consulta [Amazon Resource Names (ARNs) e AWS service namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Ad esempio, per specificare l'istanza dell'endpoint `1A2B3C4D5E6F7G8H9I0J1K2L3M` per la regione `us-east-2` nell'istruzione, utilizza il seguente ARN.
```
"Resource": "arn:aws:dms:us-east-2:987654321098:endpoint/1A2B3C4D5E6F7G8H9I0J1K2L3M"
```
Per specificare tutti gli endpoint che appartengono a un account specifico, utilizza il carattere jolly (\$1):
```
"Resource": "arn:aws:dms:us-east-2:987654321098:endpoint/*"
```
Alcune AWS DMS azioni, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (\$1).
```
"Resource": "*"
```
Alcune azioni AWS DMS API coinvolgono più risorse. Ad esempio, `StartReplicationTask` avvia e connette un'attività di replica a due risorse endpoint del database, un'origine e una destinazione, pertanto un utente IAM deve disporre delle autorizzazioni per leggere l'endpoint di origine e scrivere nell'endpoint di destinazione. Per specificare più risorse in una singola istruzione, separale ARNs con virgole.
```
"Resource": [
"resource1",
"resource2" ]
```
Per ulteriori informazioni sul controllo dell'accesso alle AWS DMS risorse mediante le politiche, vedere[Utilizzo dei nomi delle risorse per il controllo dell'accesso](CHAP_Security.FineGrainedAccess.md#CHAP_Security.FineGrainedAccess.ResourceName). Per visualizzare un elenco dei tipi di AWS DMS risorse e relativi ARNs, consulta [Resources Defined by AWS Database Migration Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdatabasemigrationservice.html#awsdatabasemigrationservice-resources-for-iam-policies) nella *IAM User Guide*. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consulta [Operazioni definite da AWS Database Migration Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdatabasemigrationservice.html#awsdatabasemigrationservice-actions-as-permissions).
### Chiavi di condizione
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
AWS DMS definisce il proprio set di chiavi di condizione e supporta anche l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le [chiavi di contesto delle condizioni AWS globali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *Guida per l'utente IAM*.
AWS DMS definisce un set di tag standard che puoi utilizzare nelle relative chiavi di condizione e ti consente anche di definire tag personalizzati. Per ulteriori informazioni, consulta [Utilizzo dei tag per controllare l'accesso](CHAP_Security.FineGrainedAccess.md#CHAP_Security.FineGrainedAccess.Tags).
Per visualizzare un elenco di chiavi di AWS DMS condizione, consulta [Condition Keys for AWS Database Migration Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdatabasemigrationservice.html#awsdatabasemigrationservice-policy-keys) nella *IAM User Guide*. Per informazioni su azioni e risorse con cui è possibile utilizzare una chiave di condizione, consulta [Operazioni definite da AWS Database Migration Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdatabasemigrationservice.html#awsdatabasemigrationservice-actions-as-permissions) e [Risorse definite da AWS Database Migration Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdatabasemigrationservice.html#awsdatabasemigrationservice-resources-for-iam-policies).
### Esempi
Per visualizzare esempi di politiche AWS DMS basate sull'identità, consulta. [AWS Database Migration Service esempi di policy basate sull'identità](security_iam_id-based-policy-examples.md)
## AWS DMS politiche basate sulle risorse
Le politiche basate sulle risorse sono documenti di policy JSON che specificano quali azioni uno specifico principale può eseguire su una determinata risorsa e in quali condizioni. AWS DMS AWS DMS supporta politiche di autorizzazione basate sulle risorse per le chiavi di AWS KMS crittografia create per crittografare i dati migrati verso gli endpoint di destinazione supportati. Gli endpoint di destinazione supportati includono Amazon Redshift e Amazon S3. Utilizzando le policy basate su risorse, è possibile concedere l'autorizzazione per l'utilizzo di queste chiavi di crittografia ad altri account per ciascun endpoint di destinazione.
Per consentire l'accesso a più account, è possibile specificare un intero account o entità IAM in un altro account come [entità principale in una policy basata su risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). L’aggiunta di un’entità principale multi-account a una policy basata sulle risorse rappresenta solo una parte della relazione di trust. Quando il principale e la risorsa si trovano in AWS account diversi, è inoltre necessario concedere all'entità principale l'autorizzazione ad accedere alla risorsa. Concedi l'autorizzazione collegando una policy basata sull'identità all'entità. Tuttavia, se una policy basata su risorse concede l'accesso a un'entità principale nello stesso account, non sono richieste ulteriori policy basate su identità. Per ulteriori informazioni, consulta [Differenza tra i ruoli IAM e le policy basate su risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) nella *Guida per l'utente di IAM*.
Il AWS DMS servizio supporta solo un tipo di policy basata sulle risorse denominata *policy chiave, che è associata a una AWS KMS chiave* di crittografia. Questa policy definisce quali entità principali (account, utenti, ruoli e utenti federati) possono eseguire la crittografia dei dati migrati nell'endpoint di destinazione supportato.
Per informazioni su come collegare una policy basata su risorse a una chiave di crittografia creata per gli endpoint di destinazione supportati, consulta [Creazione e utilizzo di AWS KMS chiavi per crittografare i dati di destinazione di Amazon Redshift](CHAP_Target.Redshift.md#CHAP_Target.Redshift.KMSKeys) e [Creazione di AWS KMS chiavi per crittografare gli oggetti di destinazione di Amazon S3](CHAP_Target.S3.md#CHAP_Target.S3.KMSKeys).
### Esempi
Per esempi di politiche basate sulle AWS DMS risorse, vedere. [Esempi di policy basate sulle risorse per AWS KMS](security_iam_resource-based-policy-examples.md)
## Autorizzazione basata su tag AWS DMS
È possibile allegare tag alle AWS DMS risorse o passare tag in una richiesta a AWS DMS. Per controllare l'accesso in base ai tag, fornisci le informazioni sui tag nell'[elemento condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando il tasto `dms:ResourceTag/key-name``aws:RequestTag/key-name`, o `aws:TagKeys` condition. AWS DMS definisce un set di tag standard che è possibile utilizzare nelle relative chiavi di condizione e consente inoltre di definire tag personalizzati. Per ulteriori informazioni, consulta [Utilizzo dei tag per controllare l'accesso](CHAP_Security.FineGrainedAccess.md#CHAP_Security.FineGrainedAccess.Tags).
Per un esempio di policy basata su identità che limita l'accesso a una risorsa in base ai tag, consulta [Accesso alle AWS DMS risorse in base ai tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-access-resources-tags).
## Ruoli IAM per AWS DMS
Un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'entità all'interno del tuo AWS account che dispone di autorizzazioni specifiche.
### Utilizzo di credenziali temporanee con AWS DMS
Puoi utilizzare le credenziali temporanee per effettuare l'accesso utilizzando la federazione, assumere un ruolo IAM o assumere un ruolo tra più account. È possibile ottenere credenziali di sicurezza temporanee chiamando operazioni AWS STS API come [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)
AWS DMS supporta l'utilizzo di credenziali temporanee.
### Ruoli collegati ai servizi
[I ruoli collegati ai](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) AWS servizi consentono ai servizi di accedere alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi sono visualizzati nell'account IAM e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non può modificarle.
Per informazioni dettagliate sulla creazione o la gestione di ruoli AWS DMS collegati ai servizi, consulta. [Uso di ruoli collegati ai servizi](using-service-linked-roles.md)
### Ruoli dei servizi
Questa funzionalità consente a un servizio di assumere un [ruolo di servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un amministratore IAM può modificare le autorizzazioni per questo ruolo. Tuttavia, questo potrebbe pregiudicare la funzionalità del servizio.
AWS DMS supporta due tipi di ruoli di servizio che è necessario creare per utilizzare determinati endpoint di origine o destinazione:
+ Ruoli con autorizzazioni per consentire l'accesso AWS DMS ai seguenti endpoint di origine e destinazione (o alle relative risorse):
+ Amazon DynamoDB come destinazione. Per ulteriori informazioni, consulta [Prerequisiti per l'utilizzo di DynamoDB come destinazione per AWS Database Migration Service](CHAP_Target.DynamoDB.md#CHAP_Target.DynamoDB.Prerequisites).
+ OpenSearch come destinazione: per ulteriori informazioni, vedere. [Prerequisiti per l'utilizzo OpenSearch di Amazon Service come destinazione per AWS Database Migration Service](CHAP_Target.Elasticsearch.md#CHAP_Target.Elasticsearch.Prerequisites)
+ Amazon Kinesis come destinazione. Per ulteriori informazioni, consulta [Prerequisiti per l'utilizzo di un flusso di dati Kinesis come destinazione per AWS Database Migration Service](CHAP_Target.Kinesis.md#CHAP_Target.Kinesis.Prerequisites).
+ Amazon Redshift come destinazione. È necessario creare il ruolo specificato solo per generare una chiave di crittografia KMS personalizzata per crittografare i dati di destinazione o per specificare un bucket S3 personalizzato per lo storage intermedio delle attività. Per ulteriori informazioni, consulta [Creazione e utilizzo di AWS KMS chiavi per crittografare i dati di destinazione di Amazon Redshift](CHAP_Target.Redshift.md#CHAP_Target.Redshift.KMSKeys) o [Impostazioni del bucket Amazon S3](CHAP_Target.Redshift.md#CHAP_Target.Redshift.EndpointSettings.S3Buckets).
+ Amazon S3 come origine o come destinazione. Per ulteriori informazioni, consulta [Prerequisiti per l'utilizzo di Amazon S3 come sorgente per AWS DMS](CHAP_Source.S3.md#CHAP_Source.S3.Prerequisites) o [Prerequisiti per l'utilizzo di Amazon S3 come destinazione](CHAP_Target.S3.md#CHAP_Target.S3.Prerequisites).
Ad esempio, per leggere i dati da un endpoint di origine S3 o per eseguire il push dei dati a un endpoint di destinazione S3, è necessario creare un ruolo di servizio come prerequisito per accedere a S3 per ciascuna di queste operazioni di endpoint.
+ Ruoli con autorizzazioni necessarie per utilizzare la console AWS DMS, l'API DMS AWS CLI e l'API AWS DMS: i due ruoli IAM che devi creare sono e. `dms-vpc-role` `dms-cloudwatch-logs-role` Se utilizzi Amazon Redshift come database di destinazione, devi anche creare e aggiungere il ruolo IAM `dms-access-for-endpoint` al tuo AWS account. Per ulteriori informazioni, consulta [Creazione dei ruoli IAM da utilizzare con AWS DMS](security-iam.md#CHAP_Security.APIRole).
### Scelta di un ruolo IAM in AWS DMS
Se utilizzi la console AWS DMS, AWS CLI o l'API AWS DMS per la migrazione del database, devi aggiungere determinati ruoli IAM al tuo AWS account prima di poter utilizzare le funzionalità di AWS DMS. Due di questi sono `dms-vpc-role` e `dms-cloudwatch-logs-role`. Se utilizzi Amazon Redshift come database di destinazione, devi anche aggiungere il ruolo IAM `dms-access-for-endpoint` al tuo AWS account. Per ulteriori informazioni, consulta [Creazione dei ruoli IAM da utilizzare con AWS DMS](security-iam.md#CHAP_Security.APIRole).
## Identity and Access Management per DMS Fleet Advisor
Con le policy IAM basate su identità puoi specificare azioni e risorse consentite o rifiutate, nonché le condizioni in base alle quali le azioni sono consentite o rifiutate. DMS Fleet Advisor supporta specifiche azioni, risorse e chiavi di condizione. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta [Documentazione di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'utente IAM*.
DMS Fleet Advisor utilizza i ruoli IAM per accedere ad Amazon Simple Storage Service. Un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'entità all'interno del tuo AWS account che dispone di autorizzazioni specifiche. Per ulteriori informazioni, consulta [Creazione di risorse IAM](fa-resources.md#fa-resources-iam).
# AWS Database Migration Service esempi di policy basate sull'identità
Per impostazione predefinita, gli utenti e i ruoli IAM non dispongono dell'autorizzazione per creare o modificare risorse AWS DMS . Inoltre, non possono eseguire attività utilizzando l'API Console di gestione AWS AWS CLI, o. AWS Un amministratore IAM deve creare policy IAM che concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L'amministratore deve quindi allegare queste policy a utenti o IAM che richiedono tali autorizzazioni.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consultare [Creazione di policy nella scheda JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) nella *Guida per l'utente di IAM*.
**Topics**
+ [Best practice delle policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console AWS DMS](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Accesso a un bucket Amazon S3](#security_iam_id-based-policy-examples-access-one-bucket)
+ [Accesso alle AWS DMS risorse in base ai tag](#security_iam_id-based-policy-examples-access-resources-tags)
## Best practice delle policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare AWS DMS risorse nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console AWS DMS
La seguente politica consente di accedere a AWS DMS, inclusa la console AWS DMS, e specifica anche le autorizzazioni per determinate azioni necessarie da altri servizi Amazon come Amazon EC2.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "dms:*",
"Resource": "arn:aws:dms:*:123456789012:*"
},
{
"Effect": "Allow",
"Action": [
"kms:ListAliases",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:*:123456789012:key/*"
},
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:CreateRole",
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:iam::123456789012:role/*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "dms.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeInternetGateways",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:Get*",
"cloudwatch:List*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": "arn:aws:logs:*:123456789012:*"
}
]
}
```
------
L'analisi di queste autorizzazioni potrebbe aiutarti a comprendere meglio il motivo per cui ciascuna di esse è necessaria per l'uso della console.
La seguente sezione è necessaria per consentire all'utente di elencare le chiavi AWS KMS e gli alias disponibili per la visualizzazione nella console. Questa voce non è richiesta se si conosce l'ARN (Amazon Resource Name) per la chiave KMS e si sta utilizzando solo la AWS Command Line Interface (AWS CLI).
```
{
"Effect": "Allow",
"Action": [
"kms:ListAliases",
"kms:DescribeKey"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
La seguente sezione è necessaria per determinati tipi di endpoint che richiedono il trasferimento dell'ARN del ruolo con l'endpoint. Inoltre, se i AWS DMS ruoli richiesti non vengono creati in anticipo, la AWS DMS console ha la possibilità di creare il ruolo. Se tutti i ruoli sono configurati in anticipo, sono tutti necessari in `iam:GetRole` e `iam:PassRole`. Per ulteriori informazioni sui ruoli, consulta [Creazione dei ruoli IAM da utilizzare con AWS DMS](security-iam.md#CHAP_Security.APIRole).
```
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole",
"iam:CreateRole",
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
La sezione seguente è necessaria perché è AWS DMS necessario creare l'istanza Amazon EC2 e configurare la rete per l'istanza di replica creata. Queste risorse esistono nell'account del cliente, perciò è necessaria la possibilità di eseguire tali azioni per conto del cliente.
```
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeInternetGateways",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
La seguente sezione è necessaria per consentire all'utente di visualizzare i parametri dell'istanza di replica.
```
{
"Effect": "Allow",
"Action": [
"cloudwatch:Get*",
"cloudwatch:List*"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
Questa sezione è necessaria per consentire all'utente di visualizzare i log della replica.
```
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
Se utilizzi la console AWS DMS, la AWS Command Line Interface (AWS CLI) o l'API AWS DMS per la migrazione, devi aggiungere diversi ruoli al tuo account. Per ulteriori informazioni sull'aggiunta di questi ruoli, consulta [Creazione dei ruoli IAM da utilizzare con AWS DMS](security-iam.md#CHAP_Security.APIRole).
Per ulteriori informazioni sui requisiti per l'utilizzo di questa politica per accedere a AWS DMS, consulta. [Autorizzazioni IAM necessarie per l'uso AWS DMS](security-iam.md#CHAP_Security.IAMPermissions)
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Accesso a un bucket Amazon S3
AWS DMS utilizza i bucket Amazon S3 come storage intermedio per la migrazione dei database. In genere, AWS DMS gestisce i bucket S3 predefiniti per questo scopo. Tuttavia, in alcuni casi, specialmente quando si utilizza l'API AWS CLI o l'API DMS, AWS AWS DMS consente invece di specificare il proprio bucket S3. Ad esempio, puoi specificare il tuo bucket S3 per la migrazione dei dati a un endpoint di destinazione Amazon Redshift. In questo caso, è necessario creare un ruolo con autorizzazioni basate sulla policy -managed. AWS`AmazonDMSRedshiftS3Role`
L'esempio seguente mostra una versione della policy `AmazonDMSRedshiftS3Role`. Consente a AWS DMS di concedere a un utente IAM del tuo AWS account l'accesso a uno dei tuoi bucket Amazon S3. Consente inoltre all'utente di aggiungere, aggiornare ed eliminare oggetti.
Oltre ad assegnare le autorizzazioni `s3:PutObject`, `s3:GetObject` e `s3:DeleteObject` all'utente, la policy assegna anche le autorizzazioni `s3:ListAllMyBuckets`, `s3:GetBucketLocation` e `s3:ListBucket`. Queste sono le autorizzazioni aggiuntive richieste dalla console. Altre autorizzazioni consentono a AWS DMS di gestire il ciclo di vita del bucket. Inoltre, l'operazione `s3:GetObjectAcl` è necessaria per poter copiare gli oggetti.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:DeleteBucket",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:GetBucketAcl",
"s3:PutBucketVersioning",
"s3:GetBucketVersioning",
"s3:PutLifecycleConfiguration",
"s3:GetLifecycleConfiguration",
"s3:DeleteBucketPolicy"
],
"Resource": "arn:aws:s3:::dms-*"
}
]
}
```
------
Per ulteriori informazioni sulla creazione di un ruolo basato su questa policy, consulta [Impostazioni del bucket Amazon S3](CHAP_Target.Redshift.md#CHAP_Target.Redshift.EndpointSettings.S3Buckets).
## Accesso alle AWS DMS risorse in base ai tag
È possibile utilizzare le condizioni nella policy basata sulle identità per controllare l'accesso alle risorse di AWS DMS in base ai tag. Questo esempio mostra come è possibile creare una policy che consenta l'accesso a tutti gli endpoint AWS DMS. Tuttavia, l'autorizzazione viene concessa solo se il valore del tag `Owner` del database dell'endpoint è quello del nome dell'utente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "dms:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"dms:endpoint-tag/Owner": "${aws:username}"
}
}
}
]
}
```
------
Puoi allegare questa policy agli utenti IAM nel tuo account. Se un utente denominato `richard-roe` tenta di accedere a un AWS DMS endpoint, il database dell'endpoint deve essere taggato o. `Owner=richard-roe` `owner=richard-roe` In caso contrario, a questo utente viene negato l'accesso. La chiave di tag di condizione `Owner` corrisponde a `Owner` e `owner` perché i nomi delle chiavi di condizione non effettuano la distinzione tra maiuscole e minuscole. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
# Esempi di policy basate sulle risorse per AWS KMS
AWS DMS consente di creare chiavi di AWS KMS crittografia personalizzate per crittografare i dati degli endpoint di destinazione supportati. Per informazioni su come creare e collegare una policy alla chiave di crittografia creata per la crittografia dei dati di destinazione supportati, consulta [Creazione e utilizzo di AWS KMS chiavi per crittografare i dati di destinazione di Amazon Redshift](CHAP_Target.Redshift.md#CHAP_Target.Redshift.KMSKeys) e [Creazione di AWS KMS chiavi per crittografare gli oggetti di destinazione di Amazon S3](CHAP_Target.S3.md#CHAP_Target.S3.KMSKeys).
**Topics**
+ [Una policy per una chiave di AWS KMS crittografia personalizzata per crittografare i dati di destinazione di Amazon Redshift](#security_iam_resource-based-policy-examples-custom-rs-key-policy)
+ [Una politica per una chiave di AWS KMS crittografia personalizzata per crittografare i dati di destinazione di Amazon S3](#security_iam_resource-based-policy-examples-custom-s3-key-policy)
## Una policy per una chiave di AWS KMS crittografia personalizzata per crittografare i dati di destinazione di Amazon Redshift
Nell'esempio seguente viene illustrato il JSON per la policy della chiave creata per una chiave di crittografia AWS KMS per crittografare i dati di destinazione Amazon Redshift.
------
#### [ JSON ]
****
```
{
"Id": "key-consolepolicy-3",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:root"
]
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow access for Key Administrators",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:role/Admin"
]
},
"Action": [
"kms:Create*",
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*",
"kms:TagResource",
"kms:UntagResource",
"kms:ScheduleKeyDeletion",
"kms:CancelKeyDeletion"
],
"Resource": "*"
},
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:role/DMS-Redshift-endpoint-access-role"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "Allow attachment of persistent resources",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:role/DMS-Redshift-endpoint-access-role"
]
},
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
```
------
Qui è possibile vedere dove la policy della chiave fa riferimento al ruolo per accedere ai dati dell'endpoint di destinazione Amazon Redshift creati prima di generare la chiave. Nell'esempio è `DMS-Redshift-endpoint-access-role`. È inoltre possibile vedere le diverse operazioni di chiave consentite per le diverse entità principali (utenti e ruoli). Ad esempio, qualsiasi utente con `DMS-Redshift-endpoint-access-role` può crittografare, decrittografare e crittografare nuovamente i dati di destinazione. Tale utente può anche generare chiavi di dati da esportare per crittografare i dati all'esterno. AWS KMS Possono anche restituire informazioni dettagliate su una AWS KMS chiave, ad esempio la chiave appena creata. Inoltre, l'utente può gestire i collegamenti alle risorse AWS , ad esempio l'endpoint di destinazione.
## Una politica per una chiave di AWS KMS crittografia personalizzata per crittografare i dati di destinazione di Amazon S3
Nell'esempio seguente viene illustrato il JSON per la policy della chiave creata per una chiave di crittografia AWS KMS per crittografare i dati di destinazione Amazon S3.
------
#### [ JSON ]
****
```
{
"Id": "key-consolepolicy-3",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:root"
]
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow access for Key Administrators",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:role/Admin"
]
},
"Action": [
"kms:Create*",
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*",
"kms:TagResource",
"kms:UntagResource",
"kms:ScheduleKeyDeletion",
"kms:CancelKeyDeletion"
],
"Resource": "*"
},
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:role/DMS-S3-endpoint-access-role"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "Allow attachment of persistent resources",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::987654321098:role/DMS-S3-endpoint-access-role"
]
},
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
}
]
}
```
------
Qui è possibile vedere dove la policy della chiave fa riferimento al ruolo per accedere ai dati dell'endpoint di destinazione Amazon S3 creati prima di generare la chiave. Nell'esempio è `DMS-S3-endpoint-access-role`. È inoltre possibile vedere le diverse operazioni di chiave consentite per le diverse entità principali (utenti e ruoli). Ad esempio, qualsiasi utente con `DMS-S3-endpoint-access-role` può crittografare, decrittografare e crittografare nuovamente i dati di destinazione. Tale utente può anche generare chiavi di dati da esportare per crittografare i dati all'esterno. AWS KMS Possono anche restituire informazioni dettagliate su una AWS KMS chiave, ad esempio la chiave appena creata. Inoltre, l'utente può gestire il collegamento alle risorse AWS , ad esempio l'endpoint di destinazione.
# Utilizzo dei segreti per accedere agli AWS Database Migration Service endpoint
Infatti AWS DMS, un *segreto* è una chiave crittografata che è possibile utilizzare per rappresentare un set di credenziali utente per autenticare, tramite l'*autenticazione segreta*, la connessione al database per un endpoint di AWS DMS origine o di destinazione supportato. Per un endpoint Oracle che utilizza anche Oracle Automatic Storage Management (ASM), AWS DMS richiede un segreto aggiuntivo che rappresenti le credenziali utente per accedere a Oracle ASM.
È possibile creare il segreto o i segreti AWS DMS necessari per l'autenticazione segreta utilizzando un servizio per la creazione Gestione dei segreti AWS, l'archiviazione e il recupero in modo sicuro delle credenziali per accedere ad applicazioni, servizi e risorse IT nel cloud e in locale. È incluso il supporto per la rotazione periodica automatica del valore del segreto crittografato senza l'intervento dell'utente, che fornisce un ulteriore livello di sicurezza per le credenziali. L'attivazione della rotazione dei valori segreti garantisce Gestione dei segreti AWS inoltre che questa rotazione dei valori segreti avvenga senza alcun effetto sulla migrazione del database che si basa sul segreto. Per autenticare segretamente una connessione del database agli endpoint, crea un segreto e assegnane l'identità o l'ARN a `SecretsManagerSecretId`, da includere nelle impostazioni dell'endpoint. Per autenticare segretamente Oracle ASM come parte di un endpoint Oracle, crea un segreto e assegnane l'identità o l'ARN a `SecretsManagerOracleAsmSecretId`, da includere sempre nelle impostazioni dell'endpoint.
**Nota**
Non puoi usare le credenziali master gestite da Amazon RDS Aurora. Queste credenziali non includono informazioni sull'host o sulla porta, che AWS DMS devono stabilire connessioni. Crea invece un utente e un segreto nuovi. Per informazioni sulla creazione di un utente e un segreto, consulta [Utilizzo di Console di gestione AWS per creare un ruolo segreto e di accesso segreto](#security_iam_secretsmanager.console) di seguito.
Per ulteriori informazioni su Gestione dei segreti AWS, consulta [What Is AWS Secrets Manager?](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) nella *Guida Gestione dei segreti AWS per l'utente*.
AWS DMS supporta l'autenticazione segreta per i seguenti database locali o AWS gestiti sugli endpoint di origine e di destinazione supportati:
+ Amazon DocumentDB
+ IBM Db2 LUW
+ Microsoft SQL Server
+ MongoDB
+ MySQL
+ Oracle
+ PostgreSQL
+ Amazon Redshift
+ SAP ASE
Per la connessione a uno di questi database, puoi scegliere di specificare uno dei seguenti set di valori, ma non entrambi, come parte delle impostazioni dell'endpoint:
+ Valori in chiaro per autenticare la connessione al database utilizzando le impostazioni `UserName`, `Password`, `ServerName` e `Port`. Per un endpoint Oracle che utilizza anche Oracle ASM, includi valori in chiaro aggiuntivi per autenticare ASM utilizzando le impostazioni `AsmUserName`, `AsmPassword` e `AsmServerName`.
+ Autenticazione dei segreti utilizzando i valori per le impostazioni `SecretsManagerSecretId` e `SecretsManagerAccessRoleArn`. Per un endpoint Oracle che utilizza Oracle ASM, includi valori aggiuntivi per le impostazioni `SecretsManagerOracleAsmSecretId` e `SecretsManagerOracleAsmAccessRoleArn`. I valori dei segreti di queste impostazioni possono includere:
+ `SecretsManagerSecretId`: il nome della risorsa Amazon (ARN) completo, l'ARN parziale o il nome descrittivo di un segreto che hai creato per l'accesso al database degli endpoint in Gestione dei segreti AWS.
+ `SecretsManagerAccessRoleArn`— L'ARN di un ruolo di accesso segreto che hai creato in IAM per fornire AWS DMS l'accesso a questo `SecretsManagerSecretId` segreto per tuo conto.
+ `SecretsManagerOracleAsmSecretId`: il nome della risorsa Amazon (ARN) completo, l'ARN parziale o il nome descrittivo di un segreto che hai creato per l'accesso a Oracle ASM in Gestione dei segreti AWS.
+ `SecretsManagerOracleAsmAccessRoleArn`: l'ARN di un ruolo di accesso al segreto che hai creato in IAM per fornire ad AWS DMS l'accesso al segreto `SecretsManagerOracleAsmSecretId` per tuo conto.
**Nota**
Puoi anche utilizzare un singolo ruolo di accesso segreto per fornire AWS DMS l'accesso sia al `SecretsManagerSecretId` segreto che al `SecretsManagerOracleAsmSecretId` segreto. Se crei questo singolo ruolo di accesso per entrambi i segreti, assicurati di assegnare lo stesso ARN per il ruolo di accesso a entrambi `SecretsManagerAccessRoleArn` e `SecretsManagerOracleAsmAccessRoleArn`. Ad esempio, se il ruolo di accesso per entrambi i segreti ha il relativo ARN assegnato alla variabile `ARN2xsecrets`, puoi impostare le impostazioni dell'ARN come segue:
```
SecretsManagerAccessRoleArn = ARN2xsecrets;
SecretsManagerOracleAsmAccessRoleArn = ARN2xsecrets;
```
Per ulteriori informazioni sulla creazione di questi valori, consulta [Utilizzo di Console di gestione AWS per creare un ruolo segreto e di accesso segreto](#security_iam_secretsmanager.console).
Dopo aver creato e specificato le impostazioni necessarie per l'endpoint con il ruolo di accesso al segreto e il segreto, aggiorna le autorizzazioni sugli account utente che eseguono la richiesta API `CreateEndpoint` o `ModifyEndpoint` con questi dettagli del segreto. Assicurati che queste autorizzazioni dell'account includano l'`IAM:GetRole`autorizzazione sul ruolo di accesso segreto e l'`SecretsManager:DescribeSecret`autorizzazione sul segreto. AWS DMS richiede queste autorizzazioni per convalidare sia il ruolo di accesso che il relativo segreto.
**Per fornire e verificare le autorizzazioni utente richieste**
1. Accedi a Console di gestione AWS e apri la AWS Identity and Access Management console all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Scegli **Utenti**, quindi seleziona l'**ID utente** utilizzato per effettuare le chiamate API `CreateEndpoint` e `ModifyEndpoint`.
1. Nella scheda **Autorizzazioni **scegli **\$1\$1 JSON**.
1. Assicurati che l'utente disponga delle autorizzazioni mostrate di seguito.
```
{
"Statement": [{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole"
],
"Resource": "SECRET_ACCESS_ROLE_ARN"
},
{
"Effect": "Allow",
"Action": "secretsmanager:DescribeSecret",
"Resource": "SECRET_ARN"
}
]
}
```
1. Se l'utente non dispone di tali autorizzazioni, aggiungile.
1. Se utilizzi un ruolo IAM per effettuare chiamate API DMS, ripeti i passaggi precedenti per il rispettivo ruolo.
1. Apri un terminale e usa il AWS CLI per verificare che le autorizzazioni siano state fornite correttamente assumendo il ruolo o l'utente usato sopra.
1. Convalida l'autorizzazione dell'utente sull' SecretAccessRole utilizzo del comando IAM. `get-role`
```
aws iam get-role --role-name ROLE_NAME
```
Sostituisci *ROLE\$1NAME* con il nome di. `SecretsManagerAccessRole`
Se il comando restituisce un messaggio di errore, assicurati che le autorizzazioni siano state specificate correttamente.
1. Convalida l'autorizzazione dell'utente per il segreto utilizzando il comando Secrets Manager `describe-secret`.
```
aws secretsmanager describe-secret --secret-id SECRET_NAME OR SECRET_ARN --region=REGION_NAME
```
L'utente può essere il nome descrittivo, l'ARN parziale o l'ARN completo. Per ulteriori informazioni, consulta [describe-secret](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/describe-secret.html).
Se il comando restituisce un messaggio di errore, assicurati che le autorizzazioni siano state specificate correttamente.
## Utilizzo di Console di gestione AWS per creare un ruolo segreto e di accesso segreto
È possibile utilizzare il per Console di gestione AWS creare un segreto per l'autenticazione degli endpoint e per creare la politica e il ruolo che consentano l'accesso AWS DMS al segreto per conto dell'utente.
**Per creare un segreto utilizzando il comando Console di gestione AWS that AWS DMS can use per autenticare un database per le connessioni agli endpoint di origine e di destinazione**
1. Accedi a Console di gestione AWS e apri la Gestione dei segreti AWS console all'indirizzo. [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)
1. Scegli **Archivia un nuovo segreto**.
1. Nella pagina **Archivia un nuovo segreto** scegli **Altro tipo di segreti** in **Seleziona il tipo di segreto** quindi scegli **Testo in chiaro**.
**Nota**
Questa è l'unica richiesta di inserimento delle credenziali con testo in chiaro per stabilire d'ora in avanti la connessione al database degli endpoint.
1. Nel campo **Testo in chiaro**:
+ Per un segreto di cui assegni l'identità a `SecretsManagerSecretId`, immetti la seguente struttura JSON.
```
{
"username": db_username,
"password": db_user_password,
"port": db_port_number,
"host": db_server_name
}
```
**Nota**
Questo è l'elenco minimo dei membri JSON necessari per autenticare il database degli endpoint. Puoi aggiungere tutte le impostazioni degli endpoint JSON che desideri come membri JSON usando solo lettere minuscole. Tuttavia, AWS DMS ignora gli eventuali membri JSON aggiuntivi per l'autenticazione dell'endpoint.
Qui `db_username` è il nome dell'utente che accede al database, `db_user_password` è la password dell'utente del database, `db_port_number` è il numero di porta per accedere al database e `db_server_name` è il nome (indirizzo) del server di database sul Web, come nell'esempio seguente.
```
{
"username": "admin",
"password": "some_password",
"port": "8190",
"host": "oracle101.abcdefghij.us-east-1.rds.amazonaws.com"
}
```
+ Per un segreto di cui assegni l'identità a `SecretsManagerOracleAsmSecretId`, immetti la seguente struttura JSON.
```
{
"asm_user": asm_username,
"asm_password": asm_user_password,
"asm_server": asm_server_name
}
```
**Nota**
Questo è l'elenco minimo dei membri JSON necessari per autenticare Oracle ASM per un endpoint Oracle. È anche l'elenco completo che è possibile specificare in base alle impostazioni degli endpoint Oracle ASM disponibili.
Qui `asm_username` è il nome dell'utente che accede a Oracle ASM, `asm_user_password` è la password dell'utente Oracle ASM e `asm_server_name` è il nome (indirizzo) del server Oracle ASM sul Web, inclusa la porta, come nell'esempio seguente.
```
{
"asm_user": "oracle_asm_user",
"asm_password": "oracle_asm_password",
"asm_server": "oracle101.abcdefghij.us-east-1.rds.amazonaws.com:8190/+ASM"
}
```
1. Seleziona una chiave di AWS KMS crittografia per crittografare il segreto. È possibile accettare la chiave di crittografia predefinita creata per il servizio da Gestione dei segreti AWS o selezionare una AWS KMS chiave creata dall'utente.
1. Specifica un nome per fare riferimento a questo segreto e una descrizione facoltativa. Questo è il nome descrittivo che utilizzi come valore per `SecretsManagerSecretId` o `SecretsManagerOracleAsmSecretId`.
1. Se desideri abilitare la rotazione automatica nel segreto, devi selezionare o creare una AWS Lambda funzione con l'autorizzazione a ruotare le credenziali del segreto come descritto. Tuttavia, prima di impostare la rotazione automatica per utilizzare la funzione Lambda, assicurati che le impostazioni di configurazione della funzione aggiungano al valore della variabile di ambiente `EXCLUDE_CHARACTERS` i seguenti quattro caratteri.
```
;.:+{}*&,%\
```
AWS DMS non ammette questi caratteri nelle password utilizzate per le credenziali degli endpoint. La configurazione della funzione Lambda per escluderli impedisce ad Gestione dei segreti AWS di generare questi caratteri come parte dei valori della password ruotate. Dopo aver impostato la rotazione automatica per utilizzare la funzione Lambda, ruota Gestione dei segreti AWS immediatamente il segreto per convalidare la configurazione segreta.
**Nota**
A seconda della configurazione del motore di database, è possibile che il database non recuperi le credenziali ruotate. In questo caso, è necessario riavviare manualmente l'attività per aggiornare le credenziali.
1. Rivedi e archivia il tuo segreto in. Gestione dei segreti AWSÈ quindi possibile cercare ogni segreto in base al relativo nome descrittivo in Gestione dei segreti AWS, quindi recuperare l'ARN segreto come valore `SecretsManagerOracleAsmSecretId` o, se appropriato, `SecretsManagerSecretId` per autenticare l'accesso alla connessione al database degli endpoint e a Oracle ASM (se utilizzato).
**Per creare la politica di accesso segreto e il ruolo su cui impostare `SecretsManagerAccessRoleArn` o`SecretsManagerOracleAsmAccessRoleArn`, che consente di accedere AWS DMS Gestione dei segreti AWS al segreto appropriato**
1. Accedi Console di gestione AWS e apri la console AWS Identity and Access Management (IAM) all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Seleziona **Policy**, quindi scegli **Crea policy**.
1. Scegli **JSON** e inserisci la seguente policy per consentire l'accesso e la decrittografia del tuo segreto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
Qui `secret_arn` è l'ARN del tuo segreto, che puoi ottenere da `SecretsManagerSecretId` o `SecretsManagerOracleAsmSecretId`, come appropriato, e `kms_key_arn` è l'ARN della chiave AWS KMS che stai usando per crittografare il segreto, come nell'esempio seguente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:us-east-2:123456789012:secret:MySQLTestSecret-qeHamH"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-2:123456789012:key/761138dc-0542-4e58-947f-4a3a8458d0fd"
}
]
}
```
------
**Nota**
Se si utilizza la chiave di crittografia predefinita creata da Gestione dei segreti AWS, non è necessario specificare le AWS KMS autorizzazioni per`kms_key_arn`.
Se desideri che la tua policy fornisca l'accesso a entrambi i segreti, specifica semplicemente un oggetto risorsa JSON aggiuntivo per l'altro. *secret\$1arn*
Se il segreto si trova in un account diverso, il ruolo `SecretsManagerAccessRoleArn` necessita di una policy aggiuntiva per verificare il segreto tra gli account. Per questi casi d'uso, aggiungi l'azione `secretsmanager:DescribeSecret` alla policy. Per maggiori dettagli sulla configurazione di un segreto per più account, consulta [Autorizzazioni ai AWS segreti di Secrets Manager per gli utenti di un account diverso](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html).
1. Rivedi e crea la policy con un nome descrittivo e, facoltativamente, una descrizione.
1. Seleziona **Ruoli**, quindi scegli **Crea ruolo**.
1. Per il tipo di entità attendibile, scegli **Servizio AWS **.
1. Scegli **DMS** dall'elenco dei servizi come servizio attendibile, quindi seleziona **Successivo: Autorizzazioni**.
1. Cerca e collega la policy che hai creato nella fase 4, quindi procedi con l'aggiunta di eventuali tag ed esamina il ruolo. A questo punto, modifica le relazioni di trust relative al ruolo in modo da utilizzare il responsabile del servizio AWS DMS regionale come entità affidabile. Questo principale ha il seguente formato.
```
dms.region-name.amazonaws.com
```
Qui *`region-name`* è il nome della regione, ad esempio `us-east-1`. Segue quindi un responsabile del servizio AWS DMS regionale per questa regione.
```
dms.us-east-1.amazonaws.com
```
1. Dopo aver modificato l'entità attendibile per il ruolo, crea il ruolo con un nome descrittivo e, facoltativamente, una descrizione. Ora puoi cercare il nuovo ruolo in base al suo nome descrittivo in IAM, quindi recuperare il ruolo ARN come valore `SecretsManagerAccessRoleArn` o `SecretsManagerOracleAsmAccessRoleArn` per autenticare la connessione al database degli endpoint.
**Per utilizzare Secrets Manager con un'istanza di replica in una sottorete privata**
1. Crea un endpoint VPC con Secrets Manager e annota il DNS per l'endpoint. Per ulteriori informazioni sulla creazione di un endpoint VPC con Secrets Manager, consulta [Connessione a Secrets Manager tramite un endpoint VPC](https://docs.aws.amazon.com/secretsmanager/latest/userguide/vpc-endpoint-overview.html#vpc-endpoint) []()nella *Guida per l'utente di AWS Secrets Manager*.
1. Per le regole di ingresso del gruppo di sicurezza degli endpoint VPC, consenti il traffico HTTPS dall'indirizzo IP privato dell'istanza di replica o dai gruppi di sicurezza collegati alle istanze di replica.
1. Per le regole di uscita del gruppo di sicurezza dell'istanza di replica, consenti tutto il traffico per la destinazione `0.0.0.0/0`.
1. Imposta l'attributo aggiuntivo di connessione dell'endpoint `secretsManagerEndpointOverride=secretsManager endpoint DNS` per fornire il DNS dell'endpoint VPC di Secrets Manager, come illustrato nell'esempio seguente.
```
secretsManagerEndpointOverride=vpce-1234a5678b9012c-12345678.secretsmanager.eu-west-1.vpce.amazonaws.com
```
# Utilizzo di ruoli collegati ai servizi per AWS DMS
AWS Database Migration Service utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS DMS I ruoli collegati ai servizi sono predefiniti AWS DMS e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione AWS DMS perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS DMS definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS DMS Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi AWS DMS le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta [AWS Servizi compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
**Ruoli collegati ai servizi per le funzionalità AWS DMS **
**Topics**
+ [Ruoli collegati ai servizi per Fleet Advisor AWS DMS](slr-services-fa.md)
+ [Ruolo collegato al servizio per AWS DMS](slr-services-sl.md)
# Ruoli collegati ai servizi per Fleet Advisor AWS DMS
AWS DMS Fleet Advisor utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForDMSFleetAdvisor**: DMS Fleet Advisor utilizza questo ruolo collegato al servizio per gestire le metriche di Amazon. CloudWatch Questo ruolo collegato ai servizi è collegato alle seguenti policy gestite: `AWSDMSFleetAdvisorServiceRolePolicy`. Per gli aggiornamenti a questa policy, consulta [AWS politiche gestite per AWS Database Migration Service](security-iam-awsmanpol.md).
Il ruolo collegato al servizio AWSService RoleFor DMSFleet Advisor prevede che i seguenti servizi assumano il ruolo:
+ `dms-fleet-advisor.amazonaws.com`
La politica di autorizzazione dei ruoli denominata AWSDMSFleet AdvisorServiceRolePolicy consente a AWS DMS Fleet Advisor di completare le seguenti azioni sulle risorse specificate:
+ Operazione: `cloudwatch:PutMetricData` su `all AWS resources`
Questa autorizzazione consente ai mandanti di pubblicare punti dati metrici su Amazon. CloudWatch AWS DMS Fleet Advisor richiede questa autorizzazione per visualizzare grafici con metriche del database di. CloudWatch
Il seguente esempio di codice mostra la AWSDMSFleet AdvisorServiceRolePolicy politica utilizzata per creare il AWSDMSFleet AdvisorServiceRolePolicy ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/DMS/FleetAdvisor"
}
}
}
}
```
------
È necessario configurare le autorizzazioni per consentire a un'entità IAM, ad esempio un utente, un gruppo o un ruolo, di creare, modificare o eliminare un ruolo collegato ai servizi. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato al servizio per AWS DMS Fleet Advisor
Puoi utilizzare la console IAM per creare un ruolo collegato ai servizi con il caso d'uso **DMS - Fleet Advisor**. Nella AWS CLI o nell' AWS API, crea un ruolo collegato al servizio con il nome del servizio. `dms-fleet-advisor.amazonaws.com` Per ulteriori informazioni, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l’utente IAM*. Se elimini il ruolo collegato ai servizi, è possibile utilizzare lo stesso processo per crearlo nuovamente.
Assicurati di creare questo ruolo prima di creare un raccoglitore di dati. DMS Fleet Advisor utilizza questo ruolo per visualizzare grafici con le metriche di database nella Console di gestione AWS. Per ulteriori informazioni, consulta [Creazione di un raccoglitore di dati](fa-data-collectors-create.md).
## Modifica di un ruolo collegato al servizio per Fleet Advisor AWS DMS
AWS DMS non consente di modificare il ruolo collegato al servizio AWSService RoleFor DMSFleet Advisor. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per Fleet Advisor AWS DMS
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, consigliamo di eliminare il ruolo. In questo modo non hai un'entità non utilizzata che non viene monitorata o gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
**Nota**
Se il AWS DMS servizio utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare AWS DMS le risorse utilizzate dall' AWSServiceRoleForDMSFleetAdvisor**
1. Accedi a Console di gestione AWS e apri la AWS DMS console su [https://console.aws.amazon.com/dms/v2/](https://console.aws.amazon.com/dms/v2/).
1. Nel riquadro di navigazione, scegli **Raccoglitori di dati** in **Scopri**. Viene visualizzata la pagina **Raccoglitori di dati**.
1. Scegli il tuo raccoglitore di dati e seleziona **Elimina**.
1. Per confermare l'eliminazione, inserisci il nome del raccoglitore di dati nel campo di immissione del testo. Quindi, scegli **Elimina**.
**Importante**
Quando elimini un raccoglitore di dati DMS, DMS Fleet Advisor elimina dall'inventario tutti i database che hai individuato utilizzando questo raccoglitore.
Dopo aver eliminato tutti i raccoglitori di dati, puoi eliminare il ruolo collegato ai servizi.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al servizio AWSService RoleFor DMSFleet Advisor. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per i ruoli collegati ai servizi di AWS DMS Fleet Advisor
AWS DMS Fleet Advisor supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [Supportato Regioni AWS](CHAP_FleetAdvisor.md#CHAP_FleetAdvisor.SupportedRegions).
# Ruolo collegato al servizio per AWS DMS
AWS DMS utilizza il ruolo collegato al servizio denominato. **AWSServiceRoleForDMSServerless** AWS DMS utilizza questo ruolo collegato al servizio per creare e gestire AWS DMS risorse per conto dell'utente. AWS DMS utilizza questo ruolo per la gestione automatica delle istanze in modo da dover gestire solo le repliche.
Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio [AWSServiceRoleForDMSServerless](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy) considera attendibili i seguenti servizi:
+ `dms.amazonaws.com`
È necessario configurare le autorizzazioni per consentire a un'entità IAM, ad esempio un utente, un gruppo o un ruolo, di creare, modificare o eliminare un ruolo collegato ai servizi. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato al servizio per AWS DMS
Quando si avvia un'attività di replica o una valutazione preliminare alla migrazione, viene creato in modo AWS DMS programmatico un ruolo collegato al servizio. AWS DMS Puoi visualizzare questo ruolo nella console IAM. Puoi anche scegliere di creare questo ruolo manualmente. **Per creare il ruolo manualmente, utilizza la console IAM per creare un ruolo collegato al servizio con lo use case DMS.** Nella AWS CLI o nell' AWS API, crea un ruolo collegato al servizio utilizzando `dms.amazonaws.com` for the service name. Per ulteriori informazioni, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l'utente di IAM*. Se elimini il ruolo collegato ai servizi, è possibile utilizzare lo stesso processo per crearlo nuovamente.
**Nota**
Se elimini un ruolo mentre sono presenti repliche nel tuo account, la replica genera un errore.
## Modifica di un ruolo collegato al servizio per AWS DMS
AWS DMS non consente di modificare il ruolo collegato al AWSService RoleFor DMSServerless servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per AWS DMS
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, consigliamo di eliminare il ruolo. In questo modo non hai un'entità non utilizzata che non viene monitorata o gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
**Nota**
Se il AWS DMS servizio utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare AWS DMS le risorse utilizzate da AWSService RoleFor DMSServerless**
1. Accedi a Console di gestione AWS e apri la AWS DMS console nella [https://console.aws.amazon.com/dms/v2](https://console.aws.amazon.com/dms/v2/).
1. ****Nel riquadro di navigazione, scegli **Repliche senza server** in Migra dati.**** Viene visualizzata la pagina **Serverless**.
1. Seleziona la replica serverless e scegli **Elimina**.
1. Per confermare l'eliminazione, inserisci il nome della replica serverless nel campo di immissione del testo. Quindi, scegli **Elimina**.
Dopo aver eliminato tutte le repliche serverless, puoi eliminare il ruolo collegato ai servizi.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al AWSService RoleFor DMSServerless servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente IAM*.
## Regioni supportate per i ruoli collegati ai servizi AWS DMS
AWS DMS supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile.
# Risoluzione dei problemi di identità e accesso AWS Database Migration Service
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con un AWS DMS IAM.
**Topics**
+ [Non sono autorizzato a eseguire alcuna azione in AWS DMS](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Sono un amministratore e voglio consentire ad altri di accedere AWS DMS](#security_iam_troubleshoot-admin-delegate)
+ [Voglio consentire a persone esterne al mio AWS account di accedere alle mie risorse AWS DMS](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire alcuna azione in AWS DMS
Se ti Console di gestione AWS dice che non sei autorizzato a eseguire un'azione, devi contattare l'amministratore per ricevere assistenza. L'amministratore è la persona da cui si sono ricevuti il nome utente e la password.
L'errore di esempio seguente si verifica quando l'utente `mateojackson` IAM tenta di utilizzare la console per visualizzare i dettagli su un endpoint AWS DMS ma non dispone `dms: DescribeEndpoint` delle autorizzazioni.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: dms:DescribeEndpoint on resource: my-postgresql-target
```
In questo caso, Mateo chiede al suo amministratore di aggiornare le sue policy per poter accedere alla risorsa dell'endpoint `my-postgresql-target` mediante l'operazione `dms:DescribeEndpoint`.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un errore che indica che non sei autorizzato a eseguire l'operazione `iam:PassRole`, le tue policy devono essere aggiornate per poter passare un ruolo a AWS DMS.
Alcuni Servizi AWS consentono di passare un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
L'errore di esempio seguente si verifica quando un utente IAM denominato `marymajor` cerca di utilizzare la console per eseguire un'operazione in AWS DMS. Tuttavia, l'operazione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Sono un amministratore e voglio consentire ad altri di accedere AWS DMS
Per consentire ad altri di accedere AWS DMS, devi concedere l'autorizzazione alle persone o alle applicazioni che necessitano dell'accesso. Se si utilizza AWS IAM Identity Center per gestire persone e applicazioni, si assegnano set di autorizzazioni a utenti o gruppi per definirne il livello di accesso. I set di autorizzazioni creano e assegnano automaticamente le policy IAM ai ruoli IAM associati alla persona o all'applicazione. Per ulteriori informazioni, consulta [Set di autorizzazioni](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) nella *Guida per l'AWS IAM Identity Center utente*.
Se non utilizzi IAM Identity Center, devi creare entità IAM (utenti o ruoli) per le persone o le applicazioni che necessitano di accesso. Dovrai quindi collegare all'entità una policy che conceda le autorizzazioni corrette in AWS DMS. Dopo aver concesso le autorizzazioni, fornisci le credenziali all'utente o allo sviluppatore dell'applicazione. Utilizzeranno tali credenziali per accedere. AWS*Per ulteriori informazioni sulla creazione di utenti, gruppi, policy e autorizzazioni IAM, consulta [IAM Identities](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) and [Policies and permissions in IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) User Guide.*
## Voglio consentire a persone esterne al mio AWS account di accedere alle mie risorse AWS DMS
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se AWS DMS supporta queste funzionalità, consulta. [Come AWS Database Migration Service funziona con IAM](security_iam_service-with-iam.md)
+ Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente di IAM*.
## Autorizzazioni IAM necessarie per l'uso AWS DMS
Utilizza autorizzazioni IAM e ruoli IAM determinati per usare AWS DMS. Se hai effettuato l'accesso come utente IAM e desideri utilizzarlo AWS DMS, l'amministratore dell'account deve allegare la policy discussa in questa sezione all'utente, al gruppo o al ruolo IAM che utilizzi per l'esecuzione AWS DMS. Per ulteriori informazioni sulle autorizzazioni IAM, consulta la [Guida per l'utente di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html).
La seguente policy fornisce l'accesso AWS DMS e le autorizzazioni per determinate azioni necessarie da altri servizi Amazon come IAM AWS KMS, Amazon EC2 e Amazon. CloudWatch CloudWatchmonitora la AWS DMS migrazione in tempo reale e raccoglie e tiene traccia delle metriche che indicano lo stato di avanzamento della migrazione. È possibile utilizzare CloudWatch Logs per eseguire il debug dei problemi relativi a un'attività.
**Nota**
È possibile limitare ulteriormente l'accesso alle AWS DMS risorse utilizzando i tag. Per ulteriori informazioni sulla limitazione dell'accesso alle AWS DMS risorse mediante l'uso di tag, consulta. [Controllo granulare degli accessi tramite i nomi e i tag delle risorse](CHAP_Security.FineGrainedAccess.md)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "dms:*",
"Resource": "arn:aws:dms:*:123456789012:*"
},
{
"Effect": "Allow",
"Action": [
"kms:ListAliases",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:*:123456789012:key/*"
},
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole",
"iam:CreateRole",
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:iam::123456789012:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "dms.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeInternetGateways",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:Get*",
"cloudwatch:List*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": "arn:aws:logs:*:123456789012:*"
}
]
}
```
------
L'analisi di queste autorizzazioni seguenti potrebbe aiutarti a comprendere meglio il motivo per cui ciascuna di esse è necessaria.
La sezione seguente è necessaria per consentire all'utente di chiamare le operazioni AWS DMS API.
```
{
"Effect": "Allow",
"Action": "dms:*",
"Resource": "arn:aws:dms:region:account:resourcetype/id"
}
```
La sezione seguente è necessaria per consentire all'utente di elencare le AWS KMS chiavi e gli alias disponibili per la visualizzazione nella console. Questa voce non è obbligatoria se conosci l'Amazon Resource Name (ARN) per la chiave KMS e stai utilizzando solo il AWS Command Line Interface ().AWS CLI
```
{
"Effect": "Allow",
"Action": [
"kms:ListAliases",
"kms:DescribeKey"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
La seguente sezione è necessaria per determinati tipi di endpoint che richiedono il trasferimento dell'ARN del ruolo IAM con l'endpoint. Inoltre, se i AWS DMS ruoli richiesti non vengono creati in anticipo, la AWS DMS console può creare il ruolo. Se tutti i ruoli sono configurati in anticipo, tutto ciò di cui hai bisogno è `iam:GetRole` e `iam:PassRole`. Per ulteriori informazioni sui ruoli, consulta [Creazione dei ruoli IAM da utilizzare con AWS DMS](#CHAP_Security.APIRole).
```
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:PassRole",
"iam:CreateRole",
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
La sezione seguente è necessaria perché è AWS DMS necessario creare l'istanza Amazon EC2 e configurare la rete per l'istanza di replica creata. Queste risorse esistono nell'account del cliente, perciò è necessaria la possibilità di eseguire tali azioni per conto del cliente.
```
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeInternetGateways",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
La seguente sezione è necessaria per consentire all'utente di visualizzare i parametri dell'istanza di replica.
```
{
"Effect": "Allow",
"Action": [
"cloudwatch:Get*",
"cloudwatch:List*"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
Questa sezione è necessaria per consentire all'utente di visualizzare i log della replica.
```
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": "arn:aws:service:region:account:resourcetype/id"
}
```
Se utilizzi la AWS DMS console, il AWS Command Line Interface (AWS CLI) o l' AWS DMS API per la migrazione, devi aggiungere diversi ruoli al tuo account. Per ulteriori informazioni sull'aggiunta di questi ruoli, consulta [Creazione dei ruoli IAM da utilizzare con AWS DMS](#CHAP_Security.APIRole).
## Creazione dei ruoli IAM da utilizzare con AWS DMS
Se utilizzi la AWS DMS console, l' AWS CLI o l' AWS DMS API per la migrazione del database, devi aggiungere tre ruoli IAM al tuo AWS account prima di poter utilizzare le funzionalità di AWS DMS. Due di questi sono `dms-vpc-role` e `dms-cloudwatch-logs-role`. Se utilizzi Amazon Redshift come database di destinazione, devi anche aggiungere il ruolo IAM `dms-access-for-endpoint` al tuo AWS account.
Gli aggiornamenti alle policy gestite sono automatici. Se stai usando una policy personalizzata con i ruoli IAM, assicurati di controllare periodicamente gli aggiornamenti per la policy gestita in questa documentazione. È possibile visualizzare i dettagli della policy gestita utilizzando una combinazione dei comandi `get-policy` e `get-policy-version`.
Ad esempio, il comando `get-policy` seguente recupera le informazioni sul ruolo IAM specificato.
```
aws iam get-policy --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSVPCManagementRole
```
Le informazioni restituite dal comando sono le seguenti.
```
{
"Policy": {
"PolicyName": "AmazonDMSVPCManagementRole",
"PolicyId": "ANPAJHKIGMBQI4AEFFSYO",
"Arn": "arn:aws:iam::aws:policy/service-role/AmazonDMSVPCManagementRole",
"Path": "/service-role/",
"DefaultVersionId": "v4",
"AttachmentCount": 1,
"PermissionsBoundaryUsageCount": 0,
"IsAttachable": true,
"Description": "Provides access to manage VPC settings for AWS managed customer configurations",
"CreateDate": "2015-11-18T16:33:19+00:00",
"UpdateDate": "2024-07-25T15:19:01+00:00",
"Tags": []
}
}
```
Il comando `get-policy-version` seguente recupera le informazioni sulla policy IAM.
```
aws iam get-policy-version --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSVPCManagementRole --version-id v4
```
Le informazioni restituite dal comando sono le seguenti.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ExampleStatementID",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeDhcpOptions",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
Gli stessi comandi possono essere utilizzati per ottenere informazioni su `AmazonDMSCloudWatchLogsRole` e sulla policy gestita `AmazonDMSRedshiftS3Role`.
Le procedure seguenti creano i ruoli IAM `dms-vpc-role`, `dms-cloudwatch-logs-role` e `dms-access-for-endpoint`.
**Per creare il ruolo dms-vpc-role IAM da utilizzare con l'API AWS CLI or AWS DMS**
1. Crea un file JSON con la policy IAM seguente. Denominare il file JSON `dmsAssumeRolePolicyDocument.json`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "dms.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Crea il ruolo AWS CLI utilizzando il comando seguente.
```
aws iam create-role --role-name dms-vpc-role --assume-role-policy-document file://dmsAssumeRolePolicyDocument.json
```
1. Collegare la policy `AmazonDMSVPCManagementRole` a `dms-vpc-role` utilizzando il comando seguente.
```
aws iam attach-role-policy --role-name dms-vpc-role --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSVPCManagementRole
```
**Per creare il ruolo dms-cloudwatch-logs-role IAM da utilizzare con l' AWS DMS API AWS CLI or**
1. Crea un file JSON con la policy IAM seguente. Denominare il file JSON `dmsAssumeRolePolicyDocument2.json`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "dms.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Crea il ruolo AWS CLI utilizzando il comando seguente.
```
aws iam create-role --role-name dms-cloudwatch-logs-role --assume-role-policy-document file://dmsAssumeRolePolicyDocument2.json
```
1. Collegare la policy `AmazonDMSCloudWatchLogsRole` a `dms-cloudwatch-logs-role` utilizzando il comando seguente.
```
aws iam attach-role-policy --role-name dms-cloudwatch-logs-role --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSCloudWatchLogsRole
```
Se utilizzi Amazon Redshift come database di destinazione, è necessario creare il ruolo IAM `dms-access-for-endpoint` per fornire l'accesso ad Amazon S3.
**Per creare il ruolo dms-access-for-endpoint IAM da utilizzare con Amazon Redshift come database di destinazione**
1. Crea un file JSON con la policy IAM seguente. Denominare il file JSON `dmsAssumeRolePolicyDocument3.json`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Principal": {
"Service": "dms.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Sid": "2",
"Effect": "Allow",
"Principal": {
"Service": "redshift.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Crea il ruolo AWS CLI utilizzando il seguente comando.
```
aws iam create-role --role-name dms-access-for-endpoint --assume-role-policy-document file://dmsAssumeRolePolicyDocument3.json
```
1. Collegare la policy `AmazonDMSRedshiftS3Role` al ruolo `dms-access-for-endpoint` utilizzando il comando seguente.
```
aws iam attach-role-policy --role-name dms-access-for-endpoint \
--policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSRedshiftS3Role
```
Ora dovresti disporre delle politiche IAM per utilizzare l' AWS DMS API AWS CLI or.
# Prevenzione del confused deputy tra servizi
Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione tra servizi può portare al confuso problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l’accesso alle risorse dell’account.
Si consiglia di utilizzare [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)le chiavi di contesto della condizione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale nelle politiche delle risorse per limitare le autorizzazioni che AWS Database Migration Service forniscono un altro servizio alla risorsa. Se il valore `aws:SourceArn` non contiene l'ID account, ad esempio un nome dell'istanza di replica (ARN) AWS DMS , devi utilizzare entrambe le chiavi di contesto delle condizioni globali per limitare le autorizzazioni. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali e il valore `aws:SourceArn` contiene l'ID account, il valore `aws:SourceAccount` e l'account nel valore `aws:SourceArn` deve utilizzare lo stesso ID account nella stessa dichiarazione di policy. Utilizzare `aws:SourceArn` se si desidera consentire l'associazione di una sola risorsa all'accesso tra servizi. Utilizzare `aws:SourceAccount` se si desidera consentire l’associazione di qualsiasi risorsa in tale account all’uso tra servizi.
AWS DMS supporta opzioni alternative confuse a partire dalla versione 3.4.7 e successive. Per ulteriori informazioni, consulta [AWS Note di rilascio di Database Migration Service 3.4.7](CHAP_ReleaseNotes.md#CHAP_ReleaseNotes.DMS347). Se l'istanza di replica utilizza AWS DMS 3.4.6 o versione precedente, assicurati di eseguire l'aggiornamento alla versione più recente prima di impostare le opzioni "confused deputy".
Il modo più efficace per proteggersi dal problema “confused deputy” è quello di utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con l’ARN completo della risorsa. Se non si conosce l’ARN completo della risorsa o si scelgono più risorse, utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con caratteri jolly (`*`) per le parti sconosciute dell’ARN. Ad esempio, `arn:aws:dms:*:123456789012:rep:*`.
**Topics**
+ [Ruoli IAM da utilizzare con l' AWS DMS API per la prevenzione della confusione tra servizi](#cross-service-confused-deputy-prevention-dms-api)
+ [La policy IAM prevede l'archiviazione delle valutazioni preliminari in Amazon S3 per la prevenzione di "confused deputy" tra servizi](#cross-service-confused-deputy-prevention-s3)
+ [Utilizzo di Amazon DynamoDB come endpoint di destinazione per la prevenzione della confusione tra AWS DMS servizi](#cross-service-confused-deputy-prevention-dynamodb)
## Ruoli IAM da utilizzare con l' AWS DMS API per la prevenzione della confusione tra servizi
Per utilizzare l'API AWS CLI o l' AWS DMS API per la migrazione del database, devi aggiungere i ruoli `dms-vpc-role` e `dms-cloudwatch-logs-role` IAM al tuo AWS account prima di poter utilizzare le funzionalità di AWS DMS. Per ulteriori informazioni, consulta [Creazione dei ruoli IAM da utilizzare con AWS DMS](security-iam.md#CHAP_Security.APIRole).
L'esempio seguente mostra le policy per l'utilizzo del ruolo `dms-vpc-role` con l'istanza di replica `my-replication-instance`. Usa queste policy per evitare il problema del "confused deputy".
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDMSAssumeRole",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:dms:*:123456789012:*"
}
}
}
]
}
```
------
## La policy IAM prevede l'archiviazione delle valutazioni preliminari in Amazon S3 per la prevenzione di "confused deputy" tra servizi
Per archiviare i risultati della valutazione preliminare nel bucket S3, crea una policy IAM che consenta ad AWS DMS di gestire gli oggetti in Amazon S3. Per ulteriori informazioni, consulta [Creazione di risorse IAM](CHAP_Tasks.AssessmentReport.Prerequisites.md#CHAP_Tasks.AssessmentReport.Prerequisites.IAM).
L'esempio seguente mostra una politica di fiducia con condizioni sostitutive confuse impostate su un ruolo IAM che consente di accedere AWS DMS a tutte le attività e le esecuzioni di valutazione con un account utente specifico.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDMSAssumeRole",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:dms:*:123456789012:assessment-run:*",
"arn:aws:dms:*:123456789012:task:*"
]
}
}
}
]
}
```
------
## Utilizzo di Amazon DynamoDB come endpoint di destinazione per la prevenzione della confusione tra AWS DMS servizi
Per utilizzare Amazon DynamoDB come endpoint di destinazione per la migrazione del database, devi creare il ruolo IAM che AWS DMS consenta di assumere e concedere l'accesso alle tabelle DynamoDB. Quindi, usa questo ruolo quando crei l'endpoint DynamoDB di destinazione in AWS DMS. Per ulteriori informazioni, consulta [Utilizzo di Amazon DynamoDB come destinazione](CHAP_Target.DynamoDB.md).
L'esempio seguente mostra una policy di fiducia con condizioni sostitutive confuse impostate su un ruolo IAM che consente a tutti gli AWS DMS endpoint di accedere alle tabelle DynamoDB.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDMSAssumeRole",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:dms:*:123456789012:assessment-run:*",
"arn:aws:dms:*:123456789012:task:*"
]
}
}
}
]
}
```
------
# AWS politiche gestite per AWS Database Migration Service
**Topics**
+ [AWS politica gestita: Amazon DMSVPCManagement Role](#security-iam-awsmanpol-AmazonDMSVPCManagementRole)
+ [AWS politica gestita: AWSDMSServerless ServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy)
+ [AWS politica gestita: Amazon DMSCloud WatchLogsRole](#security-iam-awsmanpol-AmazonDMSCloudWatchLogsRole)
+ [AWS politica gestita: AWSDMSFleet AdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSDMSFleetAdvisorServiceRolePolicy)
+ [AWS politica gestita: Amazon DMSRedshift S3Role](#security-iam-awsmanpol-AmazonDMSRedshiftS3Role)
+ [AWS DMS aggiornamenti alle politiche AWS gestite](#security-iam-awsmanpol-updates)
## AWS politica gestita: Amazon DMSVPCManagement Role
Questa politica è allegata al `dms-vpc-role` ruolo, che consente di AWS DMS eseguire azioni per tuo conto.
Questa politica concede le autorizzazioni dei contributori che consentono di gestire le risorse AWS DMS di rete.
**Dettagli delle autorizzazioni**
Questa politica include le seguenti operazioni:
+ `ec2:CreateNetworkInterface`— AWS DMS necessita di questa autorizzazione per creare interfacce di rete. Queste interfacce sono essenziali per consentire all'istanza di AWS DMS replica di connettersi ai database di origine e di destinazione.
+ `ec2:DeleteNetworkInterface`— AWS DMS necessita di questa autorizzazione per ripulire le interfacce di rete create quando non sono più necessarie. Questo aiuta nella gestione delle risorse ed evita costi inutili.
+ `ec2:DescribeAvailabilityZones`— Questa autorizzazione consente di AWS DMS recuperare informazioni sulle zone di disponibilità in una regione. AWS DMS utilizza queste informazioni per garantire la ridondanza e la disponibilità delle risorse nelle zone corrette.
+ `ec2:DescribeDhcpOptions`— AWS DMS recupera i dettagli del set di opzioni DHCP per il VPC specificato. Queste informazioni sono necessarie per configurare correttamente la rete per le istanze di replica.
+ `ec2:DescribeInternetGateways`— AWS DMS potrebbe richiedere questa autorizzazione per comprendere i gateway Internet configurati nel VPC. Queste informazioni sono fondamentali se l'istanza o i database di replica richiedono l'accesso a Internet.
+ `ec2:DescribeNetworkInterfaces`— AWS DMS recupera informazioni sulle interfacce di rete esistenti all'interno del VPC. Queste informazioni sono necessarie AWS DMS per configurare correttamente le interfacce di rete e garantire una connettività di rete adeguata per il processo di migrazione.
+ `ec2:DescribeSecurityGroups`— I gruppi di sicurezza controllano il traffico in entrata e in uscita verso istanze e risorse. AWS DMS deve descrivere i gruppi di sicurezza per configurare correttamente le interfacce di rete e garantire una comunicazione adeguata tra l'istanza di replica e i database.
+ `ec2:DescribeSubnets`— Questa autorizzazione consente di AWS DMS elencare le sottoreti in un VPC. AWS DMS utilizza queste informazioni per avviare le istanze di replica nelle sottoreti appropriate, assicurando che abbiano la connettività di rete necessaria.
+ `ec2:DescribeVpcs`— VPCs La descrizione è essenziale per comprendere l'ambiente di rete AWS DMS in cui risiedono l'istanza di replica e i database. Ciò include la conoscenza dei blocchi CIDR e di altre configurazioni specifiche del VPC.
+ `ec2:ModifyNetworkInterfaceAttribute`— Questa autorizzazione è necessaria per modificare gli attributi delle AWS DMS interfacce di rete che gestisce. Ciò potrebbe includere la regolazione delle impostazioni per garantire la connettività e la sicurezza.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeDhcpOptions",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
## AWS politica gestita: AWSDMSServerless ServiceRolePolicy
Questa politica è allegata al `AWSServiceRoleForDMSServerless` ruolo, che consente di AWS DMS eseguire azioni per conto dell'utente. Per ulteriori informazioni, consulta [Ruolo collegato al servizio per AWS DMS](slr-services-sl.md).
Questa politica concede ai collaboratori le autorizzazioni che consentono di gestire le risorse di AWS DMS replica.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ **AWS DMS**— Consente ai responsabili di interagire con le risorse. AWS DMS
+ **Amazon S3**: consente a DMS di creare un bucket S3 per archiviare una valutazione di premigrazione. Il bucket S3 viene creato per un utente per regione e la sua politica sui bucket limita l'accesso solo al ruolo di servizio del servizio.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "id0",
"Effect": "Allow",
"Action": [
"dms:CreateReplicationInstance",
"dms:CreateReplicationTask"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"dms:req-tag/ResourceCreatedBy": "DMSServerless"
}
}
},
{
"Sid": "id1",
"Effect": "Allow",
"Action": [
"dms:DescribeReplicationInstances",
"dms:DescribeReplicationTasks"
],
"Resource": "*"
},
{
"Sid": "id2",
"Effect": "Allow",
"Action": [
"dms:StartReplicationTask",
"dms:StopReplicationTask",
"dms:ModifyReplicationTask",
"dms:DeleteReplicationTask",
"dms:ModifyReplicationInstance",
"dms:DeleteReplicationInstance"
],
"Resource": [
"arn:aws:dms:*:*:rep:*",
"arn:aws:dms:*:*:task:*"
],
"Condition": {
"StringEqualsIgnoreCase": {
"aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
}
}
},
{
"Sid": "id3",
"Effect": "Allow",
"Action": [
"dms:TestConnection",
"dms:DeleteConnection"
],
"Resource": [
"arn:aws:dms:*:*:rep:*",
"arn:aws:dms:*:*:endpoint:*"
]
},
{
"Sid": "id4",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObject",
"s3:PutObjectTagging"
],
"Resource": [
"arn:aws:s3:::dms-serverless-premigration-results-*",
"arn:aws:s3:::dms-premigration-results-*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "id5",
"Effect": "Allow",
"Action": [
"s3:PutBucketPolicy",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:CreateBucket"
],
"Resource": [
"arn:aws:s3:::dms-serverless-premigration-results-*",
"arn:aws:s3:::dms-premigration-results-*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "id6",
"Effect": "Allow",
"Action": [
"dms:StartReplicationTaskAssessmentRun"
],
"Resource": [
"arn:aws:dms:*:*:task:*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS politica gestita: Amazon DMSCloud WatchLogsRole
Questa politica è allegata al `dms-cloudwatch-logs-role` ruolo, che consente di AWS DMS eseguire azioni per tuo conto. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per AWS DMS](using-service-linked-roles.md).
Questa politica concede le autorizzazioni per i collaboratori che consentono di pubblicare i log AWS DMS di replica nei log. CloudWatch
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `logs`— Consente ai responsabili di pubblicare i log nei Logs. CloudWatch Questa autorizzazione è necessaria per poter AWS DMS essere utilizzata CloudWatch per visualizzare i registri di replica.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribeOnAllLogGroups",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowDescribeOfAllLogStreamsOnDmsTasksLogGroup",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*"
]
},
{
"Sid": "AllowCreationOfDmsLogGroups",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:"
]
},
{
"Sid": "AllowCreationOfDmsLogStream",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
]
},
{
"Sid": "AllowUploadOfLogEventsToDmsLogStream",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
]
}
]
}
```
------
## AWS politica gestita: AWSDMSFleet AdvisorServiceRolePolicy
Non puoi collegarti AWSDMSFleet AdvisorServiceRolePolicy alle tue entità IAM. Questa policy è associata a un ruolo legato al servizio che consente a AWS DMS Fleet Advisor di eseguire azioni per tuo conto. Per ulteriori informazioni, consulta [Utilizzo di ruoli collegati ai servizi per AWS DMS](using-service-linked-roles.md).
Questa politica concede le autorizzazioni per i contributori che consentono a AWS DMS Fleet Advisor di pubblicare le metriche di Amazon. CloudWatch
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `cloudwatch`— Consente ai responsabili di pubblicare punti dati metrici su Amazon. CloudWatch Questa autorizzazione è necessaria per consentire a AWS DMS Fleet Advisor di CloudWatch visualizzare grafici con metriche del database.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/DMS/FleetAdvisor"
}
}
}
}
```
------
## AWS politica gestita: Amazon DMSRedshift S3Role
Questa policy fornisce autorizzazioni che consentono di gestire le impostazioni S3 AWS DMS per gli endpoint Redshift.
**Dettagli delle autorizzazioni**
Questa politica include le seguenti operazioni:
+ `s3:CreateBucket`- Consente a DMS di creare bucket S3 con il prefisso «dms-»
+ `s3:ListBucket`- Consente a DMS di elencare il contenuto dei bucket S3 con il prefisso «dms-»
+ `s3:DeleteBucket `- Consente a DMS di eliminare i bucket S3 con il prefisso «dms-»
+ `s3:GetBucketLocation`- Consente a DMS di recuperare la regione in cui si trova un bucket S3
+ `s3:GetObject`- Consente a DMS di recuperare oggetti dai bucket S3 con il prefisso «dms-»
+ `s3:PutObject`- Consente a DMS di aggiungere oggetti ai bucket S3 con il prefisso «dms-»
+ `s3:DeleteObject`- Consente a DMS di eliminare oggetti dai bucket S3 con il prefisso «dms-»
+ `s3:GetObjectVersion`- Consente a DMS di recuperare versioni specifiche di oggetti in bucket con versioni
+ `s3:GetBucketPolicy`- Consente a DMS di recuperare le policy dei bucket
+ `s3:PutBucketPolicy`- Consente a DMS di creare o aggiornare le policy dei bucket
+ `s3:GetBucketAcl`- Consente a DMS di recuperare gli elenchi di controllo degli accessi ai bucket () ACLs
+ `s3:PutBucketVersioning`- Consente a DMS di abilitare o sospendere il controllo delle versioni sui bucket
+ `s3:GetBucketVersioning`- Consente a DMS di recuperare lo stato di versione dei bucket
+ `s3:PutLifecycleConfiguration`- Consente a DMS di creare o aggiornare le regole del ciclo di vita per i bucket
+ `s3:GetLifecycleConfiguration`- Consente a DMS di recuperare le regole del ciclo di vita configurate per i bucket
+ `s3:DeleteBucketPolicy`- Consente a DMS di eliminare le policy dei bucket
Tutte queste autorizzazioni si applicano solo alle risorse con pattern ARN: `arn:aws:s3:::dms-*`
**Documento di policy JSON**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:DeleteBucket",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:GetBucketAcl",
"s3:PutBucketVersioning",
"s3:GetBucketVersioning",
"s3:PutLifecycleConfiguration",
"s3:GetLifecycleConfiguration",
"s3:DeleteBucketPolicy"
],
"Resource": "arn:aws:s3:::dms-*"
}
]
}
```
------
## AWS DMS aggiornamenti alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite AWS DMS da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei AWS DMS documenti.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy)— Modifica | AWS DMS aggiornato `AWSDMSServerlessServiceRolePolicy` per consentire a DMS di creare bucket S3 e inserire i risultati della valutazione di premigrazione in tali bucket per attività di replica non correlate a DMS serverless. | 5 novembre 2025 |
| [Ruolo collegato ai servizi per AWS DMS](slr-services-sl.md) Serverless: modifica | AWS DMS aggiornato `AWSDMSServerlessServiceRolePolicy` per consentire di supportare l'esecuzione di `dms:StartReplicationTaskAssessmentRun` valutazioni premigratorie. AWS DMS ha inoltre aggiornato il ruolo serverless collegato ai servizi per creare bucket S3 e inserire i risultati della valutazione di premigrazione in tali bucket. | 14 febbraio 2025 |
| [AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy)— Modifica | AWS DMS aggiunto`dms:ModifyReplicationTask`, richiesto da AWS DMS Serverless per richiamare l'`ModifyReplicationTask`operazione di modifica di un'attività di replica. AWS DMS aggiunto`dms:ModifyReplicationInstance`, richiesto da AWS DMS Serverless per richiamare l'`ModifyReplicationInstance`operazione di modifica di un'istanza di replica. | 17 gennaio 2025 |
| [DMSVPCManagementRuolo di Amazon](#security-iam-awsmanpol-AmazonDMSVPCManagementRole): cambiamento | AWS DMS aggiunte `ec2:DescribeDhcpOptions` e `ec2:DescribeNetworkInterfaces` operazioni AWS DMS per consentire la gestione delle impostazioni di rete per tuo conto. | 17 giugno 2024 |
| [AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy): nuova policy | AWS DMS ha aggiunto il `AWSDMSServerlessServiceRolePolicy` ruolo AWS DMS per consentire la creazione e la gestione di servizi per tuo conto, come la pubblicazione delle CloudWatch metriche di Amazon. | 22 maggio 2023 |
| [Amazon DMSCloud WatchLogsRole](#security-iam-awsmanpol-AmazonDMSCloudWatchLogsRole) — Cambiamento | AWS DMS ha aggiunto l'ARN per le risorse serverless a ciascuna delle autorizzazioni concesse, per consentire il caricamento dei log di replica dalle configurazioni di AWS DMS replica serverless a Logs. CloudWatch | 22 maggio 2023 |
| [AWSDMSFleetAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSDMSFleetAdvisorServiceRolePolicy): nuova policy | AWS DMS Fleet Advisor ha aggiunto una nuova politica per consentire la pubblicazione dei punti dati delle metriche su Amazon CloudWatch. | 6 marzo 2023 |
| AWS DMS ha iniziato a tenere traccia delle modifiche | AWS DMS ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 6 marzo 2023 |