建立同質IAM資料移轉所需的資源 AWS DMS - AWS 資料庫遷移服務

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立同質IAM資料移轉所需的資源 AWS DMS

若要執行同質資料移轉,您必須在帳戶中建立IAM政策和IAM角色,才能與其他 AWS 服務互動。在本節中,您將建立這些必要IAM資源。

在中建立同質資料移轉的IAM原則 AWS DMS

若要存取資料庫並移轉資料,請為同質資料移轉 AWS DMS 建立無伺服器環境。在此環境中, AWS DMS 需要存取VPC對等互連、路由表、安全性群組和其他 AWS 資源。此外,還可以在 Amazon 中 AWS DMS 存放每個資料遷移的日誌、指標和進度 CloudWatch。若要建立資料移轉專案, AWS DMS 需要存取這些服務。

在此步驟中,您會建立可存取 Amazon EC2 和 CloudWatch 資源的IAM政策。 AWS DMS 接下來,建立IAM角色並附加此原則。

若要在中建立同質資料移轉的IAM原則 AWS DMS
  1. 登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇政策

  3. 選擇 Create policy (建立政策)。

  4. 在 [建立原則] 頁面中,選擇索JSON引標籤。

  5. JSON將以下內容粘貼到編輯器中。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs", "ec2:DescribePrefixLists", "logs:DescribeLogGroups" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "servicequotas:GetServiceQuota" ], "Resource": "arn:aws:servicequotas:*:*:vpc/L-0EA8095F" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:*:*:log-group:dms-data-migration-*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:dms-data-migration-*:log-stream:dms-data-migration-*" }, { "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateRoute", "ec2:DeleteRoute" ], "Resource": "arn:aws:ec2:*:*:route-table/*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:security-group-rule/*", "arn:aws:ec2:*:*:route-table/*", "arn:aws:ec2:*:*:vpc-peering-connection/*", "arn:aws:ec2:*:*:vpc/*" ] }, { "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress" ], "Resource": "arn:aws:ec2:*:*:security-group-rule/*" }, { "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress" ], "Resource": "arn:aws:ec2:*:*:security-group/*" }, { "Effect": "Allow", "Action": [ "ec2:AcceptVpcPeeringConnection", "ec2:ModifyVpcPeeringConnectionOptions" ], "Resource": "arn:aws:ec2:*:*:vpc-peering-connection/*" }, { "Effect": "Allow", "Action": "ec2:AcceptVpcPeeringConnection", "Resource": "arn:aws:ec2:*:*:vpc/*" } ] }
  6. 選擇 Next: Tags (下一步:標籤) 和 Next: Review (下一步:檢閱)。

  7. 名稱*中輸入 HomogeneousDataMigrationsPolicy,然後選擇建立政策

建立同質資料移轉的IAM角色 AWS DMS

在此步驟IAM中,您會建立可存 AWS Secrets Manager取 Amazon EC2 和 CloudWatch. AWS DMS

若要在中建立同質資料移轉的IAM角色 AWS DMS
  1. 登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Roles (角色)。

  3. 選擇 Create Role (建立角色)。

  4. 選取受信任實體頁面上,針對信任的實體類型選擇 AWS 服務。對於其他 AWS 服務的使用案例,請選擇DMS

  5. 選取DMS核取方塊,然後選擇「下一步」。

  6. 在 [新增權限] 頁面上,選擇您HomogeneousDataMigrationsPolicy之前建立的權限。另外,選擇SecretsManagerReadWrite。選擇 Next (下一步)

  7. 命名、檢閱和建立頁面上的角色名稱輸入 HomogeneousDataMigrationsRole,然後選擇建立角色

  8. 角色頁面,針對角色名稱輸入 HomogeneousDataMigrationsRole。選擇HomogeneousDataMigrationsRole

  9. HomogeneousDataMigrationsRole頁面上,選擇「信任關係」標籤。選擇編輯信任政策

  10. 在 [編輯信任原則] 頁面上,JSON將下列項目貼到編輯器中,取代現有的文字。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "dms-data-migrations.amazonaws.com", "dms.your_region.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }

    在上述範例中,取代 your_region 用你的名字 AWS 區域.

    先前以資源為基礎的策略為 AWS DMS 服務主體提供了根據 AWS 受管理SecretsManagerReadWrite和客戶管HomogeneousDataMigrationsPolicy理策略執行任務的權限。

  11. 選擇更新政策