为 AWS DMS 中的同构数据迁移创建所需的 IAM 资源
要运行同构数据迁移,必须在账户中创建 IAM policy 和 IAM 角色,才能与其他 AWS 服务进行交互。在本节中,您将创建这些必需的 IAM 资源。
为 AWS DMS 中的同构数据迁移创建 IAM policy
为了访问数据库并迁移数据,AWS DMS 会为同构数据迁移创建无服务器环境。在此环境中,AWS DMS 需要访问 VPC 对等连接、路由表、安全组和其他 AWS 资源。此外,AWS DMS 将每个数据迁移的日志、指标和进度存储在 Amazon CloudWatch 中。要创建数据迁移项目,AWS DMS 需要访问这些服务。
在此步骤中,创建 IAM policy,向 AWS DMS 提供 Amazon EC2 和 CloudWatch 资源的访问权限。接下来,创建 IAM 角色并附加此策略。
为 AWS DMS 中的同构数据迁移创建 IAM policy
登录到 AWS Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 在导航窗格中,选择策略。
选择创建策略。
在创建策略页面中,选择 JSON 选项卡。
将下面的 JSON 粘贴到编辑器中。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs", "ec2:DescribePrefixLists", "logs:DescribeLogGroups" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "servicequotas:GetServiceQuota" ], "Resource": "arn:aws:servicequotas:*:*:vpc/L-0EA8095F" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:*:*:log-group:dms-data-migration-*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:dms-data-migration-*:log-stream:dms-data-migration-*" }, { "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateRoute", "ec2:DeleteRoute" ], "Resource": "arn:aws:ec2:*:*:route-table/*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:security-group-rule/*", "arn:aws:ec2:*:*:route-table/*", "arn:aws:ec2:*:*:vpc-peering-connection/*", "arn:aws:ec2:*:*:vpc/*" ] }, { "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress" ], "Resource": "arn:aws:ec2:*:*:security-group-rule/*" }, { "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress" ], "Resource": "arn:aws:ec2:*:*:security-group/*" }, { "Effect": "Allow", "Action": [ "ec2:AcceptVpcPeeringConnection", "ec2:ModifyVpcPeeringConnectionOptions" ], "Resource": "arn:aws:ec2:*:*:vpc-peering-connection/*" }, { "Effect": "Allow", "Action": "ec2:AcceptVpcPeeringConnection", "Resource": "arn:aws:ec2:*:*:vpc/*" } ] }选择下一步:标签和下一步:审核。
在名称*中输入
HomogeneousDataMigrationsPolicy,然后选择创建策略。
为 AWS DMS 中的同构数据迁移创建 IAM 角色
在此步骤中,创建 IAM 角色,向 AWS DMS 提供访问 AWS Secrets Manager、Amazon EC2 和 CloudWatch 的权限。
为 AWS DMS 中的同构数据迁移创建 IAM 角色
登录 AWS Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 在导航窗格中,选择角色。
选择创建角色。
在选择可信实体页面中,在可信实体类型下选择 AWS 服务。对于其他 AWS 服务的应用场景,选择 DMS。
选中 DMS 复选框,然后选择下一步。
在添加权限页面上,选择之前创建的 HomogeneousDataMigrationsPolicy。同时选择 SecretsManagerReadWrite。选择下一步。
在命名、检查并创建页面上,在角色名称中输入
HomogeneousDataMigrationsRole,然后选择创建角色。在角色页面上,在角色名称中输入
HomogeneousDataMigrationsRole。选择 HomogeneousDataMigrationsRole。在 HomogeneousDataMigrationsRole 页面上,选择信任关系选项卡。选择编辑信任策略。
在编辑信任策略页面上,将以下 JSON 粘贴到编辑器中,替换现有文本。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "dms-data-migrations.amazonaws.com", "dms.your_region.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }在以上示例中,请用您的 AWS 区域名称替换
your_region。上述基于资源的策略向 AWS DMS 服务主体提供了根据 AWS 托管的 SecretsManagerReadWrite 策略及客户托管的 HomogeneousDataMigrationsPolicy 策略执行任务的权限。
选择更新策略。
