AWS políticas gerenciadas para AWS Database Migration Service - AWS Database Migration Service
Um mazonDMSVPCManagement papelAWSDMSServerlessServiceRolePolicyA mazonDMSCloud WatchLogsRoleAWSDMSFleetAdvisorServiceRolePolicyAtualizações da política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS políticas gerenciadas para AWS Database Migration Service

AWS política gerenciada: uma mazonDMSVPCManagement função

Essa política está anexada à dms-vpc-role função, que permite AWS DMS realizar ações em seu nome.

Essa política concede permissões ao colaborador que permitem AWS DMS gerenciar recursos de rede.

Detalhes da permissão

Essa política inclui as seguintes operações:

  • ec2:CreateNetworkInterface— AWS DMS precisa dessa permissão para criar interfaces de rede. Essas interfaces são essenciais para que a instância de AWS DMS replicação se conecte aos bancos de dados de origem e destino.

  • ec2:DeleteNetworkInterface— AWS DMS precisa dessa permissão para limpar as interfaces de rede que criou quando elas não são mais necessárias. Isso ajuda no gerenciamento de recursos e evita custos desnecessários.

  • ec2:DescribeAvailabilityZones— Essa permissão permite AWS DMS recuperar informações sobre as zonas de disponibilidade em uma região. AWS DMS usa essas informações para garantir que provisione recursos nas zonas corretas para redundância e disponibilidade.

  • ec2:DescribeDhcpOptions— AWS DMS recupera os detalhes do conjunto de DHCP opções para o especificadoVPC. Essas informações são necessárias para configurar a rede corretamente para as instâncias de replicação.

  • ec2:DescribeInternetGateways— AWS DMS pode exigir essa permissão para entender os gateways de internet configurados noVPC. Essas informações são cruciais se a instância de replicação ou os bancos de dados precisarem de acesso à Internet.

  • ec2:DescribeNetworkInterfaces— AWS DMS recupera informações sobre as interfaces de rede existentes noVPC. Essas informações são necessárias AWS DMS para configurar as interfaces de rede corretamente e garantir a conectividade de rede adequada para o processo de migração.

  • ec2:DescribeSecurityGroups— Grupos de segurança controlam o tráfego de entrada e saída para instâncias e recursos. AWS DMS precisa descrever grupos de segurança para configurar corretamente as interfaces de rede e garantir a comunicação adequada entre a instância de replicação e os bancos de dados.

  • ec2:DescribeSubnets— Essa permissão permite AWS DMS listar as sub-redes em um. VPC AWS DMS usa essas informações para iniciar instâncias de replicação nas sub-redes apropriadas, garantindo que elas tenham a conectividade de rede necessária.

  • ec2:DescribeVpcs— VPCs A descrição é essencial AWS DMS para entender o ambiente de rede em que a instância de replicação e os bancos de dados residem. Isso inclui conhecer os CIDR blocos e outras configurações VPC específicas.

  • ec2:ModifyNetworkInterfaceAttribute— Essa permissão é necessária AWS DMS para modificar os atributos das interfaces de rede que ela gerencia. Isso pode incluir o ajuste das configurações para garantir a conectividade e a segurança.

{
    "Version": "2012-10-17",
    "Statement": [
        {
			"Sid": "Statement1",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface",
				"ec2:DeleteNetworkInterface",
				"ec2:DescribeAvailabilityZones",
				"ec2:DescribeDhcpOptions",
				"ec2:DescribeInternetGateways",
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeSubnets",
				"ec2:DescribeVpcs",
				"ec2:ModifyNetworkInterfaceAttribute"
			],
			"Resource": "*"
		}
    ]
}

AWS política gerenciada: AWSDMSServerlessServiceRolePolicy

Essa política está anexada à AWSServiceRoleForDMSServerless função, que permite AWS DMS realizar ações em seu nome. Para obter mais informações, consulte Perfil vinculado a serviço do AWS DMS com Tecnologia Sem Servidor.

Essa política concede permissões ao colaborador que permitem AWS DMS gerenciar recursos de replicação.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • dms— Permite que os diretores interajam com AWS DMS os recursos.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "id0",
            "Effect": "Allow",
            "Action": [
                "dms:CreateReplicationInstance",
                "dms:CreateReplicationTask"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "dms:req-tag/ResourceCreatedBy": "DMSServerless"
                }
            }
        },
        {
            "Sid": "id1",
            "Effect": "Allow",
            "Action": [
                "dms:DescribeReplicationInstances",
                "dms:DescribeReplicationTasks"
            ],
            "Resource": "*"
        },
        {
            "Sid": "id2",
            "Effect": "Allow",
            "Action": [
                "dms:StartReplicationTask",
                "dms:StopReplicationTask",
                "dms:ModifyReplicationTask",
                "dms:DeleteReplicationTask",
                "dms:ModifyReplicationInstance",
                "dms:DeleteReplicationInstance"
            ],
            "Resource": [
                "arn:aws:dms:*:*:rep:*",
                "arn:aws:dms:*:*:task:*"
            ],
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
                }
            }
        },
        {
            "Sid": "id3",
            "Effect": "Allow",
            "Action": [
                "dms:TestConnection",
                "dms:DeleteConnection"
            ],
            "Resource": [
                "arn:aws:dms:*:*:rep:*",
                "arn:aws:dms:*:*:endpoint:*"
            ]
        }
    ]
}

AWS política gerenciada: A mazonDMSCloud WatchLogsRole

Essa política está anexada à dms-cloudwatch-logs-role função, que permite AWS DMS realizar ações em seu nome. Para obter mais informações, consulte Usar perfis vinculados a serviço do AWS DMS.

Essa política concede ao colaborador permissões que permitem AWS DMS publicar registros de replicação em registros. CloudWatch

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • logs— Permite que os diretores publiquem registros no CloudWatch Logs. Essa permissão é necessária para que AWS DMS possa ser usada CloudWatch para exibir registros de replicação.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDescribeOnAllLogGroups",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AllowDescribeOfAllLogStreamsOnDmsTasksLogGroup",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*"
            ]
        },
        {
            "Sid": "AllowCreationOfDmsLogGroups",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:"
            ]
        },
        {
            "Sid": "AllowCreationOfDmsLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
            ]
        },
        {
            "Sid": "AllowUploadOfLogEventsToDmsLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
            ]
        }
    ]
}

AWS política gerenciada: AWSDMSFleetAdvisorServiceRolePolicy

Você não pode se vincular AWSDMSFleetAdvisorServiceRolePolicy às suas IAM entidades. Essa política está vinculada a uma função vinculada ao serviço que permite que o AWS DMS Fleet Advisor execute ações em seu nome. Para obter mais informações, consulte Usar perfis vinculados a serviço do AWS DMS.

Essa política concede aos colaboradores permissões que permitem que o AWS DMS Fleet Advisor publique CloudWatch métricas da Amazon.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • cloudwatch— Permite que os diretores publiquem pontos de dados métricos na Amazon CloudWatch. Essa permissão é necessária para que o AWS DMS Fleet Advisor possa usar CloudWatch para exibir gráficos com métricas de banco de dados.

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Resource": "*",
        "Action": "cloudwatch:PutMetricData",
        "Condition": {
            "StringEquals": {
                "cloudwatch:namespace": "AWS/DMS/FleetAdvisor"
            }
        }
    }
}

AWS DMS atualizações nas políticas AWS gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas AWS DMS desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o RSS feed na página Histórico do AWS DMS documento.

Alteração Descrição Data

Uma mazonDMSVPCManagement função — Mudança

AWS DMS adicionadas ec2:DescribeDhcpOptions e ec2:DescribeNetworkInterfaces operações para AWS DMS permitir o gerenciamento das configurações de rede em seu nome.

 17 de junho de 2024

AWSDMSServerlessServiceRolePolicy— Nova política

AWS DMS adicionou a AWSDMSServerlessServiceRolePolicy função para permitir AWS DMS a criação e o gerenciamento de serviços em seu nome, como a publicação de CloudWatch métricas da Amazon.

 22 de maio de 2023

A mazonDMSCloud WatchLogsRole — Mudança

AWS DMS adicionou os quatro ARN recursos sem servidor a cada uma das permissões concedidas, para permitir o upload de registros de replicação de configurações de AWS DMS replicação sem servidor para Logs. CloudWatch

22 de maio de 2023

AWSDMSFleetAdvisorServiceRolePolicy— Nova política

AWS DMS O Fleet Advisor adicionou uma nova política para permitir a publicação de pontos de dados métricos na Amazon CloudWatch.

 6 de março de 2023

AWS DMS começou a rastrear alterações

AWS DMS começou a rastrear as mudanças em suas políticas AWS gerenciadas.

 6 de março de 2023