本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
主题
AWS 托管策略:Amazon DMSVPCManagement 角色
该政策附属于该dms-vpc-role
角色, AWS DMS 允许您代表您执行操作。
此政策向贡献者授予 AWS DMS 允许管理网络资源的权限。
权限详细信息
此策略包括以下操作:
-
ec2:CreateNetworkInterface
— AWS DMS 需要此权限才能创建网络接口。这些接口对于 AWS DMS 复制实例连接到源和目标数据库至关重要。 -
ec2:DeleteNetworkInterface
— AWS DMS 需要此权限才能在不再需要时清理它创建的网络接口。这有助于进行资源管理并避免不必要的成本。 -
ec2:DescribeAvailabilityZones
– 此权限允许 AWS DMS 检索有关区域中可用区的信息。 AWS DMS 使用此信息来确保在正确的区域中预置资源以实现冗余和可用性。 -
ec2:DescribeDhcpOptions
— AWS DMS 检索指定 VPC 的 DHCP 选项集详细信息。为复制实例正确配置网络时需要此信息。 -
ec2:DescribeInternetGateways
— AWS DMS 可能需要此权限才能理解 VPC 中配置的互联网网关。如果复制实例或数据库需要访问互联网,则此信息至关重要。 -
ec2:DescribeNetworkInterfaces
— AWS DMS 检索 VPC 内现有网络接口的相关信息。这些信息是正确配置网络接口和确保迁移过程的正确网络连接所必需的。 AWS DMS -
ec2:DescribeSecurityGroups
— 安全组控制实例和资源的入站和出站流量。 AWS DMS 需要描述安全组,以正确配置网络接口并确保复制实例和数据库之间的正常通信。 -
ec2:DescribeSubnets
— 此权限 AWS DMS 允许列出 VPC 中的子网。 AWS DMS 使用此信息启动相应子网中的复制实例,确保它们具有必要的网络连接。 -
ec2:DescribeVpcs
— 描述 VPCs 对于 AWS DMS 了解复制实例和数据库所在的网络环境至关重要。这包括了解 CIDR 块和其他特定于 VPC 的配置。 -
ec2:ModifyNetworkInterfaceAttribute
— 修改其管理 AWS DMS 的网络接口的属性需要此权限。这可能包括调整设置以确保连接性和安全性。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeDhcpOptions",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
AWS 托管策略: AWSDMSServerlessServiceRolePolicy
该政策附属于该AWSServiceRoleForDMSServerless
角色, AWS DMS 允许您代表您执行操作。有关更多信息,请参阅 AWS DMS Serverless 的服务相关角色。
此策略向贡献者授予 AWS DMS 允许管理复制资源的权限。
权限详细信息
该策略包含以下权限。
-
dms
– 允许主体与 AWS DMS 资源进行交互。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "id0",
"Effect": "Allow",
"Action": [
"dms:CreateReplicationInstance",
"dms:CreateReplicationTask"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"dms:req-tag/ResourceCreatedBy": "DMSServerless"
}
}
},
{
"Sid": "id1",
"Effect": "Allow",
"Action": [
"dms:DescribeReplicationInstances",
"dms:DescribeReplicationTasks"
],
"Resource": "*"
},
{
"Sid": "id2",
"Effect": "Allow",
"Action": [
"dms:StartReplicationTask",
"dms:StopReplicationTask",
"dms:ModifyReplicationTask",
"dms:DeleteReplicationTask",
"dms:ModifyReplicationInstance",
"dms:DeleteReplicationInstance"
],
"Resource": [
"arn:aws:dms:*:*:rep:*",
"arn:aws:dms:*:*:task:*"
],
"Condition": {
"StringEqualsIgnoreCase": {
"aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
}
}
},
{
"Sid": "id3",
"Effect": "Allow",
"Action": [
"dms:TestConnection",
"dms:DeleteConnection"
],
"Resource": [
"arn:aws:dms:*:*:rep:*",
"arn:aws:dms:*:*:endpoint:*"
]
}
]
}
AWS 托管策略:Amazon DMSCloud WatchLogsRole
该政策附属于该dms-cloudwatch-logs-role
角色, AWS DMS 允许您代表您执行操作。有关更多信息,请参阅 将服务相关角色用于 AWS DMS。
此策略授予贡献者权限,允许 AWS DMS 他们将复制日志发布到 CloudWatch 日志。
权限详细信息
该策略包含以下权限。
-
logs
— 允许委托人将日志发布到日 CloudWatch 志。此权限是必需的,这样 AWS DMS 才能使用它 CloudWatch 来显示复制日志。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowDescribeOnAllLogGroups",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowDescribeOfAllLogStreamsOnDmsTasksLogGroup",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*"
]
},
{
"Sid": "AllowCreationOfDmsLogGroups",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:"
]
},
{
"Sid": "AllowCreationOfDmsLogStream",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
]
},
{
"Sid": "AllowUploadOfLogEventsToDmsLogStream",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
]
}
]
}
AWS
托管策略: AWSDMSFleetAdvisorServiceRolePolicy
您无法附加 AWSDMSFleetAdvisorServiceRolePolicy 到您的 IAM 实体。此政策附加到服务相关角色,该角色允许 AWS DMS Fleet Advisor 代表您执行操作。有关更多信息,请参阅 将服务相关角色用于 AWS DMS。
该政策向贡献者授予权限,允许 AWS DMS Fleet Advisor 发布亚马逊 CloudWatch 指标。
权限详细信息
该策略包含以下权限。
-
cloudwatch
— 允许委托人向 Amazon CloudWatch 发布指标数据点。此权限是必需的,这样 AWS DMS Fleet Advisor CloudWatch 才能使用它来显示包含数据库指标的图表。
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/DMS/FleetAdvisor"
}
}
}
}
AWS DMSAWS 托管策略的更新
查看 AWS DMS 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “ AWS DMS 文档历史记录” 页面上的 RSS feed。
更改 | 描述 | 日期 |
---|---|---|
AWS DMS 添加了 |
2025年1月17日 | |
AWS DMS 添加 |
2024 年 6 月 17 日 | |
AWS DMS 添加了 AWS DMS 允许代表您创建和管理服务的 |
2023 年 5 月 22 日 | |
AWS DMS 在授予的每个权限中添加了无服务器资源的 ARN,以允许将无服务器复制配置中的 AWS DMS 复制日志上传到日志。 CloudWatch |
2023 年 5 月 22 日 | |
AWS DMS Fleet Advisor 添加了一项新政策,允许向亚马逊发布指标数据点 CloudWatch。 |
2023 年 3 月 6 日 | |
AWS DMS 已开始跟踪更改 |
AWS DMS 开始跟踪其 AWS 托管策略的更改。 |
2023 年 3 月 6 日 |