AWS DMS での同種データ移行に必要な IAMリソースの作成 - AWS Database Migration Service
IAM ポリシーの作成IAM ロールの作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS DMS での同種データ移行に必要な IAMリソースの作成

同種データ移行を実行するには、その他の AWS サービスと連携するための IAM ポリシーと IAM ロールをアカウントに作成する必要があります。このセクションでは、このような必要となる IAM リソースを作成します。

AWS DMS での同種データ移行のための IAM ポリシーの作成

データベースにアクセスしてデータを移行するために、AWS DMS は同種データ移行用のサーバーレス環境を作成します。AWS DMS はこの環境で、VPC ピアリング、ルートテーブル、セキュリティグループ、その他の AWS リソースにアクセスする必要があります。また、AWS DMS は、各データ移行のログ、メトリクス、進行状況を Amazon CloudWatch に保存します。データ移行プロジェクトを作成するには、AWS DMS がこのようなサービスにアクセスする必要があります。

このステップでは、AWS DMS に Amazon EC2 と CloudWatch のリソースへのアクセスを付与する IAM ポリシーを作成します。その後、IAM ロールを作成して、このポリシーをアタッチします。

AWS DMS での同種データ移行のために IAM ポリシーを作成するには

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで、[ポリシー] を選択します。

  3. [ポリシーの作成] を選択します。

  4. [ポリシーの作成] ページで、[JSON] タブをクリックします。

  5. 次の JSON コードをエディタに貼り付けます。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcPeeringConnections",
                "ec2:DescribeVpcs",
                "ec2:DescribePrefixLists",
                "logs:DescribeLogGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "servicequotas:GetServiceQuota"
            ],
            "Resource": "arn:aws:servicequotas:*:*:vpc/L-0EA8095F"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:DescribeLogStreams"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:dms-data-migration-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:dms-data-migration-*:log-stream:dms-data-migration-*"
        },
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateRoute",
                "ec2:DeleteRoute"
            ],
            "Resource": "arn:aws:ec2:*:*:route-table/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:security-group-rule/*",
                "arn:aws:ec2:*:*:route-table/*",
                "arn:aws:ec2:*:*:vpc-peering-connection/*",
                "arn:aws:ec2:*:*:vpc/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress"
            ],
            "Resource": "arn:aws:ec2:*:*:security-group-rule/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress"
            ],
            "Resource": "arn:aws:ec2:*:*:security-group/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AcceptVpcPeeringConnection",
                "ec2:ModifyVpcPeeringConnectionOptions"
            ],
            "Resource": "arn:aws:ec2:*:*:vpc-peering-connection/*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:AcceptVpcPeeringConnection",
            "Resource": "arn:aws:ec2:*:*:vpc/*"
        }
    ]
}

  6. [次へ: タグ][次へ: 確認] の順に選択します。

  7. [名前*] には HomogeneousDataMigrationsPolicy と入力して、[ポリシーを作成] をクリックします。

AWS DMS での同種データ移行のための IAM ロールの作成

このステップでは、AWS DMS に AWS Secrets Manager、Amazon EC2、CloudWatch へのアクセスを付与する IAM ロールを作成します。

AWS DMSでの同種データ移行用の IAM ロールを作成するには

  1. AWS Management Console にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Roles] (ロール) を選択します。

  3. [Create role] を選択します。

  4. [信頼されたエンティティを選択] ページの [信頼されたエンティティタイプ] では、AWS[サービス] を選択します。[その他の AWS サービスのユースケース] では、[DMS] を選択します。

  5. [DMS] チェックボックスをオンにして、[次へ] をクリックします。

  6. [許可を追加] ページで、作成した [HomogeneousDataMigrationsPolicy] を選択します。[SecretsManagerReadWrite] も選択します。[Next] を選択します。

  7. [名前、確認、および作成] ページで、[ロール名]HomogeneousDataMigrationsRole と入力して、[ロールの作成] をクリックします。

  8. [ロール] ページの [ロール名] には、HomogeneousDataMigrationsRole と入力します。[HomogeneousDataMigrationsRole] を選択します。

  9. [HomogeneousDataMigrationsRole] ページで、[信頼関係] タブをクリックします。[信頼ポリシーを編集] を選択します。

  10. [信頼ポリシーを編集] ページで、次の JSON コードをエディタに貼り付けて、既存のテキストを置き換えます。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "dms-data-migrations.amazonaws.com",
                    "dms.your_region.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    上記の例の your_region は独自の AWS リージョン ユーザー名に置き換えます。

    上記のリソースベースのポリシーは、AWS マネージドの SecretsManagerReadWrite と カスタマーマネージドの HomogeneousDataMigrationsPolicy ポリシーに沿ってタスクを実行するアクセス許可を AWS DMS サービスプリンシパルに付与します。

  11. [ポリシーの更新] を選択します。