本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
請依照下列程序建立您的秘密存取政策和角色,DMS允許 存取來源和目標資料庫的使用者登入資料。
建立秘密存取政策和角色,讓 Amazon RDS能夠存取 AWS Secrets Manager 您的適當秘密
-
登入 AWS Management Console ,並在 開啟 AWS Identity and Access Management (IAM) 主控台https://console.aws.amazon.com/iam/
。 -
選擇政策,然後選擇建立政策。
-
選擇JSON並輸入下列政策,以啟用對秘密的存取和解密。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource":
secret_arn
, }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource":kms_key_arn
, } ] }這裡
是秘密ARN的 ,您可以secret_arn
SecretsManagerSecretId
視需要從中取得,而
是您用來加密秘密ARN的 AWS KMS 金鑰的 ,如下列範例所示。kms_key_arn
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:us-east-2:123456789012:secret:MySQLTestSecret-qeHamH" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-east-2:123456789012:key/761138dc-0542-4e58-947f-4a3a8458d0fd" } ] }
注意
如果您使用 建立的預設加密金鑰 AWS Secrets Manager,則不必指定 的 AWS KMS 許可
。kms_key_arn
如果您想要您的政策提供存取這兩個秘密的權限,只要為另一個 指定額外的JSON資源物件即可
secret_arn
。 -
檢閱並使用易記名稱建立政策,並視需要提供說明。
-
選擇角色,然後選擇建立角色。
-
選擇 AWS 服務作為信任的實體類型。
-
DMS 從服務清單中選擇 做為信任的服務,然後選擇下一步:許可。
-
查詢並附加您在步驟 4 中建立的政策,然後繼續新增任何標籤並檢閱您的角色。此時,請編輯角色的信任關係,以使用您的 Amazon RDS區域服務委託人做為信任實體。此主體的格式如下。
dms.
region-name
.amazonaws.com其中,
是區域的名稱,例如region-name
us-east-1
。因此,此區域的 Amazon RDS區域服務主體如下。dms.us-east-1.amazonaws.com dms-data-migrations.amazonaws.com