Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Controle de acesso minucioso com o uso de nomes de recursos e tags

Modo de foco
Controle de acesso minucioso com o uso de nomes de recursos e tags - AWS Database Migration Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Você pode usar nomes e tags de recursos com base nos Amazon Resource Names (ARNs) para gerenciar o acesso aos AWS DMS recursos. Você faz isso definindo a ação permitida ou incluindo declarações condicionais nas IAM políticas.

Usar nomes de recursos para controle de acesso

Você pode criar uma conta de IAM usuário e atribuir uma política com base na do AWS DMS recursoARN.

A política a seguir nega acesso à instância de AWS DMS replicação com o ARN arn:aws:dms:us-east- 1:152683116:rep:: DOH67ZTOXGLIXMIHKITV

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "dms:*" ], "Effect": "Deny", "Resource": "arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV" } ] }

Por exemplo, os comandos a seguir poderão falhar quando a política estiver em vigor:

$ aws dms delete-replication-instance --replication-instance-arn "arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV" A client error (AccessDeniedException) occurred when calling the DeleteReplicationInstance operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:DeleteReplicationInstance on resource: arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV $ aws dms modify-replication-instance --replication-instance-arn "arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV" A client error (AccessDeniedException) occurred when calling the ModifyReplicationInstance operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:ModifyReplicationInstance on resource: arn:aws:dms:us-east-1:152683116:rep:DOH67ZTOXGLIXMIHKITV

Você também pode especificar IAM políticas que limitam o acesso a AWS DMS endpoints e tarefas de replicação.

A política a seguir limita o acesso a um AWS DMS endpoint usando o endpoint. ARN

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "dms:*" ], "Effect": "Deny", "Resource": "arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX" } ] }

Por exemplo, os comandos a seguir falham quando a política que usa o endpoint ARN está em vigor.

$ aws dms delete-endpoint --endpoint-arn "arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX" A client error (AccessDeniedException) occurred when calling the DeleteEndpoint operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:DeleteEndpoint on resource: arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX $ aws dms modify-endpoint --endpoint-arn "arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX" A client error (AccessDeniedException) occurred when calling the ModifyEndpoint operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:ModifyEndpoint on resource: arn:aws:dms:us-east-1:152683116:endpoint:D6E37YBXTNHOA6XRQSZCUGX

A política a seguir limita o acesso a uma AWS DMS tarefa usando a da tarefaARN.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "dms:*" ], "Effect": "Deny", "Resource": "arn:aws:dms:us-east-1:152683116:task:UO3YR4N47DXH3ATT4YMWOIT" } ] }

Por exemplo, os comandos a seguir falham quando a política que usa a da tarefa ARN está em vigor.

$ aws dms delete-replication-task --replication-task-arn "arn:aws:dms:us-east-1:152683116:task:UO3YR4N47DXH3ATT4YMWOIT" A client error (AccessDeniedException) occurred when calling the DeleteReplicationTask operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:DeleteReplicationTask on resource: arn:aws:dms:us-east-1:152683116:task:UO3YR4N47DXH3ATT4YMWOIT

Uso de tags para controlar o acesso

AWS DMS define um conjunto de pares de valores-chave comuns que estão disponíveis para uso em políticas definidas pelo cliente sem nenhum requisito adicional de marcação. Para obter mais informações sobre a marcação de AWS DMS recursos, consulteMarcar recursos no AWS Database Migration Service.

A seguir, são listadas as tags padrão disponíveis para uso com AWS DMS:

  • aws: CurrentTime — Representa a data e a hora da solicitação, permitindo a restrição de acesso com base em critérios temporais.

  • aws: EpochTime — Essa tag é semelhante à CurrentTime tag aws: anterior, exceto que a hora atual é representada como o número de segundos decorridos desde a época do Unix.

  • aws: MultiFactorAuthPresent — Essa é uma tag booleana que indica se a solicitação foi assinada por meio de autenticação multifatorial.

  • aws: MultiFactorAuthAge — Fornece acesso à idade do token de autenticação multifatorial (em segundos).

  • aws:principaltype: concede acesso ao tipo de entidade principal (usuário, conta, usuário federado etc.) da solicitação atual.

  • aws: SourceIp — Representa o endereço IP de origem do usuário que está emitindo a solicitação.

  • aws: UserAgent — Fornece informações sobre o aplicativo cliente solicitando um recurso.

  • aws:userid: fornece acesso ao ID do usuário emissor da solicitação.

  • aws:username: fornece acesso ao nome do usuário emissor da solicitação.

  • dms: InstanceClass — Fornece acesso ao tamanho computacional do (s) host (s) da instância de replicação.

  • dms: StorageSize — Fornece acesso ao tamanho do volume de armazenamento (em GB).

Você também pode definir suas próprias tags. As tags definidas pelo cliente são pares simples de valores-chave que persistem no serviço de marcação. AWS Você pode adicioná-las a recursos do AWS DMS , incluindo instâncias de replicação, endpoints e tarefas. Essas tags são combinadas usando declarações IAM “condicionais” nas políticas e são referenciadas usando uma tag condicional específica. As chaves das tags têm o prefixo "dms", o tipo de recurso e o prefixo "tag". Veja o formato da tag a seguir.

dms:{resource type}-tag/{tag key}={tag value}

Por exemplo, suponha que você queira definir uma política que só permita que uma API chamada seja bem-sucedida para uma instância de replicação que contém a tag “stage=production”. A instrução·condicional a seguir corresponde a um recurso com a tag especificada.

"Condition": { "streq": { "dms:rep-tag/stage":"production" } }

Você adiciona a seguinte tag a uma instância de replicação que corresponde a essa condição de política.

stage production

Além das tags já atribuídas aos AWS DMS recursos, as políticas também podem ser escritas para limitar as chaves e os valores das tags que podem ser aplicados a um determinado recurso. Nesse caso, o prefixo da tag é "req".

Por exemplo, a seguinte instrução de política limita as tags que um usuário pode atribuir a determinado recurso a uma lista específica de valores permitidos.

"Condition": { "streq": { "dms:rep-tag/stage": [ "production", "development", "testing" ] } }

Os exemplos de políticas a seguir limitam o acesso a um AWS DMS recurso com base em tags de recursos.

A seguinte política limita o acesso a uma instância de replicação em que o valor da tag é "Desktop", e a chave de tags é "Env":

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "dms:*" ], "Effect": "Deny", "Resource": "*", "Condition": { "StringEquals": { "dms:rep-tag/Env": [ "Desktop" ] } } } ] }

Os comandos a seguir são bem-sucedidos ou falham com base na IAM política que restringe o acesso quando o valor da tag é “Desktop” e a chave da tag é “Env”.

$ aws dms list-tags-for-resource --resource-name arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN --endpoint-url http://localhost:8000 { "TagList": [ { "Value": "Desktop", "Key": "Env" } ] } $ aws dms delete-replication-instance --replication-instance-arn "arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN" A client error (AccessDeniedException) occurred when calling the DeleteReplicationInstance operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:DeleteReplicationInstance on resource: arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN $ aws dms modify-replication-instance --replication-instance-arn "arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN" A client error (AccessDeniedException) occurred when calling the ModifyReplicationInstance operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:ModifyReplicationInstance on resource: arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN $ aws dms add-tags-to-resource --resource-name arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN --tags Key=CostCenter,Value=1234 A client error (AccessDeniedException) occurred when calling the AddTagsToResource operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:AddTagsToResource on resource: arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN $ aws dms remove-tags-from-resource --resource-name arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN --tag-keys Env A client error (AccessDeniedException) occurred when calling the RemoveTagsFromResource operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:RemoveTagsFromResource on resource: arn:aws:dms:us-east-1:152683116:rep:46DHOU7JOJYOJXWDOZNFEN

A política a seguir limita o acesso a um AWS DMS endpoint em que o valor da tag é “Desktop” e a chave da tag é “Env”.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "dms:*" ], "Effect": "Deny", "Resource": "*", "Condition": { "StringEquals": { "dms:endpoint-tag/Env": [ "Desktop" ] } } } ] }

Os comandos a seguir são bem-sucedidos ou falham com base na IAM política que restringe o acesso quando o valor da tag é “Desktop” e a chave da tag é “Env”.

$ aws dms list-tags-for-resource --resource-name arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I { "TagList": [ { "Value": "Desktop", "Key": "Env" } ] } $ aws dms delete-endpoint --endpoint-arn "arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I" A client error (AccessDeniedException) occurred when calling the DeleteEndpoint operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:DeleteEndpoint on resource: arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I $ aws dms modify-endpoint --endpoint-arn "arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I" A client error (AccessDeniedException) occurred when calling the ModifyEndpoint operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:ModifyEndpoint on resource: arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I $ aws dms add-tags-to-resource --resource-name arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I --tags Key=CostCenter,Value=1234 A client error (AccessDeniedException) occurred when calling the AddTagsToResource operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:AddTagsToResource on resource: arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I $ aws dms remove-tags-from-resource --resource-name arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I --tag-keys Env A client error (AccessDeniedException) occurred when calling the RemoveTagsFromResource operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:RemoveTagsFromResource on resource: arn:aws:dms:us-east-1:152683116:endpoint:J2YCZPNGOLFY52344IZWA6I

A política a seguir limita o acesso a uma tarefa de replicação em que o valor da tag é "Desktop", e a chave da tag é "Env".

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "dms:*" ], "Effect": "Deny", "Resource": "*", "Condition": { "StringEquals": { "dms:task-tag/Env": [ "Desktop" ] } } } ] }

Os comandos a seguir são bem-sucedidos ou falham com base na IAM política que restringe o acesso quando o valor da tag é “Desktop” e a chave da tag é “Env”.

$ aws dms list-tags-for-resource --resource-name arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3 { "TagList": [ { "Value": "Desktop", "Key": "Env" } ] } $ aws dms delete-replication-task --replication-task-arn "arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3" A client error (AccessDeniedException) occurred when calling the DeleteReplicationTask operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:DeleteReplicationTask on resource: arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3 $ aws dms add-tags-to-resource --resource-name arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3 --tags Key=CostCenter,Value=1234 A client error (AccessDeniedException) occurred when calling the AddTagsToResource operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:AddTagsToResource on resource: arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3 $ aws dms remove-tags-from-resource --resource-name arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3 --tag-keys Env A client error (AccessDeniedException) occurred when calling the RemoveTagsFromResource operation: User: arn:aws:iam::152683116:user/dmstestusr is not authorized to perform: dms:RemoveTagsFromResource on resource: arn:aws:dms:us-east-1:152683116:task:RB7N24J2XBUPS3RFABZTG3
PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.