DMSVPCManagementRolle bei Amazon AWSDMSServerlessServiceRolePolicy Amazon DMSCloud WatchLogsRole AWSDMSFleetAdvisorServiceRolePolicy Amazon DMSRedshift S3-Rolle Richtlinienaktualisierungen

AWSverwaltete Richtlinien für AWS Database Migration Service

Themen

AWSverwaltete Richtlinie: Amazon DMSVPCManagement Role
AWSverwaltete Richtlinie: AWSDMSServerless ServiceRolePolicy
AWSverwaltete Richtlinie: Amazon DMSCloud WatchLogsRole
AWSverwaltete Richtlinie: AWSDMSFleet AdvisorServiceRolePolicy
AWSverwaltete Richtlinie: Amazon DMSRedshift S3Role
AWS DMSAktualisierungen der AWS verwalteten Richtlinien

AWSverwaltete Richtlinie: Amazon DMSVPCManagement Role

Diese Richtlinie ist der dms-vpc-role Rolle beigefügt, sodass AWS DMS Sie Aktionen in Ihrem Namen ausführen können.

Diese Richtlinie gewährt Mitwirkenden Berechtigungen, mit denen AWS DMS sie Netzwerkressourcen verwalten können.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Operationen:

ec2:CreateNetworkInterface— AWS DMS benötigt diese Berechtigung, um Netzwerkschnittstellen zu erstellen. Diese Schnittstellen sind unerlässlich, damit die AWS DMS Replikationsinstanz eine Verbindung zu den Quell- und Zieldatenbanken herstellen kann.
ec2:DeleteNetworkInterface— AWS DMS benötigt diese Berechtigung, um die erstellten Netzwerkschnittstellen zu bereinigen, sobald sie nicht mehr benötigt werden. Dies hilft beim Ressourcenmanagement und bei der Vermeidung unnötiger Kosten.
ec2:DescribeAvailabilityZones— Diese Berechtigung ermöglicht AWS DMS das Abrufen von Informationen über die Verfügbarkeitszonen in einer Region. AWS DMSverwendet diese Informationen, um sicherzustellen, dass Ressourcen in den richtigen Zonen bereitgestellt werden, um Redundanz und Verfügbarkeit zu gewährleisten.
ec2:DescribeDhcpOptions— AWS DMS ruft die Details des DHCP-Optionssatzes für die angegebene VPC ab. Diese Informationen sind erforderlich, um das Netzwerk für die Replikationsinstanzen korrekt zu konfigurieren.
ec2:DescribeInternetGateways— benötigt AWS DMS möglicherweise diese Berechtigung, um die in der VPC konfigurierten Internet-Gateways zu verstehen. Diese Informationen sind von entscheidender Bedeutung, wenn die Replikationsinstanz oder die Datenbanken Internetzugang benötigen.
ec2:DescribeNetworkInterfaces— AWS DMS ruft Informationen über bestehende Netzwerkschnittstellen innerhalb der VPC ab. Diese Informationen sind erforderlichAWS DMS, um die Netzwerkschnittstellen korrekt zu konfigurieren und die ordnungsgemäße Netzwerkkonnektivität für den Migrationsprozess sicherzustellen.
ec2:DescribeSecurityGroups— Sicherheitsgruppen kontrollieren den ein- und ausgehenden Datenverkehr zu Instanzen und Ressourcen. AWS DMSmuss Sicherheitsgruppen beschreiben, um Netzwerkschnittstellen korrekt zu konfigurieren und eine ordnungsgemäße Kommunikation zwischen der Replikationsinstanz und den Datenbanken sicherzustellen.
ec2:DescribeSubnets— Diese Berechtigung ermöglicht esAWS DMS, die Subnetze in einer VPC aufzulisten. AWS DMSverwendet diese Informationen, um Replikationsinstanzen in den entsprechenden Subnetzen zu starten und sicherzustellen, dass sie über die erforderliche Netzwerkkonnektivität verfügen.
ec2:DescribeVpcs— Die Beschreibung VPCs ist wichtig, um die Netzwerkumgebung AWS DMS zu verstehen, in der sich die Replikationsinstanz und die Datenbanken befinden. Dazu gehört die Kenntnis der CIDR-Blöcke und anderer VPC-spezifischer Konfigurationen.
ec2:ModifyNetworkInterfaceAttribute— Diese Berechtigung ist erforderlich, AWS DMS um die Attribute der von ihr verwalteten Netzwerkschnittstellen zu ändern. Dies könnte die Anpassung von Einstellungen beinhalten, um Konnektivität und Sicherheit zu gewährleisten.

AWSverwaltete Richtlinie: AWSDMSServerless ServiceRolePolicy

Diese Richtlinie ist der AWSServiceRoleForDMSServerless Rolle zugeordnet, sodass AWS DMS Sie Aktionen in Ihrem Namen ausführen können. Weitere Informationen finden Sie unter Servicebezogene Rolle für AWS DMS.

Diese Richtlinie gewährt Mitwirkenden Berechtigungen, mit denen AWS DMS sie Replikationsressourcen verwalten können.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

AWS DMS— Ermöglicht Prinzipalen die Interaktion mit AWS DMS Ressourcen.
Amazon S3 — Ermöglicht DMS die Erstellung eines S3-Buckets zum Speichern einer Bewertung vor der Migration. Der S3-Bucket wird für einen Benutzer pro Region erstellt und seine Bucket-Richtlinie beschränkt den Zugriff nur auf die Servicerolle des Dienstes.


{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "id0",
            "Effect": "Allow",
            "Action": [
                "dms:CreateReplicationInstance",
                "dms:CreateReplicationTask"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "dms:req-tag/ResourceCreatedBy": "DMSServerless"
                }
            }
        },
        {
            "Sid": "id1",
            "Effect": "Allow",
            "Action": [
                "dms:DescribeReplicationInstances",
                "dms:DescribeReplicationTasks"
            ],
            "Resource": "*"
        },
        {
            "Sid": "id2",
            "Effect": "Allow",
            "Action": [
                "dms:StartReplicationTask",
                "dms:StopReplicationTask",
                "dms:ModifyReplicationTask",
                "dms:DeleteReplicationTask",
                "dms:ModifyReplicationInstance",
                "dms:DeleteReplicationInstance"
            ],
            "Resource": [
                "arn:aws:dms:*:*:rep:*",
                "arn:aws:dms:*:*:task:*"
            ],
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
                }
            }
        },
        {
            "Sid": "id3",
            "Effect": "Allow",
            "Action": [
                "dms:TestConnection",
                "dms:DeleteConnection"
            ],
            "Resource": [
                "arn:aws:dms:*:*:rep:*",
                "arn:aws:dms:*:*:endpoint:*"
            ]
        },
        {
            "Sid": "id4",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:PutObjectTagging"
            ],
            "Resource": [
                "arn:aws:s3:::dms-serverless-premigration-results-*",
                "arn:aws:s3:::dms-premigration-results-*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "id5",
            "Effect": "Allow",
            "Action": [
                "s3:PutBucketPolicy",
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:CreateBucket"
            ],
            "Resource": [
                "arn:aws:s3:::dms-serverless-premigration-results-*",
                "arn:aws:s3:::dms-premigration-results-*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "id6",
            "Effect": "Allow",
            "Action": [
                "dms:StartReplicationTaskAssessmentRun"
            ],
            "Resource": [
                "arn:aws:dms:*:*:task:*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

AWSverwaltete Richtlinie: Amazon DMSCloud WatchLogsRole

Diese Richtlinie ist der dms-cloudwatch-logs-role Rolle beigefügt, sodass AWS DMS Sie Aktionen in Ihrem Namen ausführen können. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für AWS DMS.

Diese Richtlinie gewährt Mitwirkenden Berechtigungen, mit denen Replikationsprotokolle AWS DMS in Protokollen veröffentlicht werden CloudWatch können.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

logs— Ermöglicht Prinzipalen das Veröffentlichen von Protokollen in Logs. CloudWatch Diese Berechtigung ist erforderlich, damit Replikationsprotokolle angezeigt werden AWS DMS können. CloudWatch

AWSverwaltete Richtlinie: AWSDMSFleet AdvisorServiceRolePolicy

Sie können keine Verbindungen AWSDMSFleet AdvisorServiceRolePolicy zu Ihren IAM-Entitäten herstellen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es AWS DMS Fleet Advisor ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für AWS DMS.

Diese Richtlinie gewährt Mitwirkenden Berechtigungen, die es AWS DMS Fleet Advisor ermöglichen, CloudWatch Amazon-Metriken zu veröffentlichen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

cloudwatch— Ermöglicht es Prinzipalen, metrische Datenpunkte auf Amazon CloudWatch zu veröffentlichen. Diese Berechtigung ist erforderlich, damit AWS DMS Fleet Advisor Diagramme mit Datenbankmetriken anzeigen kann. CloudWatch

AWSverwaltete Richtlinie: Amazon DMSRedshift S3Role

Diese Richtlinie bietet Berechtigungen, mit denen AWS DMS S3-Einstellungen für Redshift-Endpunkte verwaltet werden können.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Operationen:

s3:CreateBucket— Ermöglicht DMS, S3-Buckets mit dem Präfix „dms-“ zu erstellen
s3:ListBucket- Ermöglicht DMS, den Inhalt von S3-Buckets mit dem Präfix „dms-“ aufzulisten
s3:DeleteBucket - Ermöglicht DMS, S3-Buckets mit dem Präfix „dms-“ zu löschen
s3:GetBucketLocation- Ermöglicht DMS, die Region abzurufen, in der sich ein S3-Bucket befindet
s3:GetObject- Ermöglicht DMS das Abrufen von Objekten aus S3-Buckets mit dem Präfix „dms-“
s3:PutObject- Ermöglicht DMS, Objekte zu S3-Buckets mit dem Präfix „dms-“ hinzuzufügen
s3:DeleteObject- Ermöglicht DMS, Objekte aus S3-Buckets mit dem Präfix „dms-“ zu löschen
s3:GetObjectVersion— Ermöglicht es DMS, bestimmte Versionen von Objekten in versionierten Buckets abzurufen
s3:GetBucketPolicy— Ermöglicht DMS das Abrufen von Bucket-Richtlinien
s3:PutBucketPolicy— Ermöglicht DMS, Bucket-Richtlinien zu erstellen oder zu aktualisieren
s3:GetBucketAcl— Ermöglicht DMS das Abrufen von Bucket-Zugriffskontrolllisten () ACLs
s3:PutBucketVersioning— Ermöglicht DMS, die Versionierung von Buckets zu aktivieren oder auszusetzen
s3:GetBucketVersioning— Ermöglicht DMS, den Versionsstatus von Buckets abzurufen
s3:PutLifecycleConfiguration- Ermöglicht DMS, Lebenszyklusregeln für Buckets zu erstellen oder zu aktualisieren
s3:GetLifecycleConfiguration— Ermöglicht es DMS, für Buckets konfigurierte Lebenszyklusregeln abzurufen
s3:DeleteBucketPolicy— Ermöglicht DMS das Löschen von Bucket-Richtlinien

Alle diese Berechtigungen gelten nur für Ressourcen mit ARN-Muster: arn:aws:s3:::dms-*

JSON-Richtliniendokument

AWS DMSAktualisierungen der AWS verwalteten Richtlinien

Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien AWS DMS seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst. Abonnieren Sie den RSS-Feed auf der Seite AWS DMS Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.

Änderungen	Beschreibung	Date
AWSDMSServerlessServiceRolePolicy— Ändern	AWS DMSwurde aktualisiert`AWSDMSServerlessServiceRolePolicy`, sodass DMS S3-Buckets erstellen und die Ergebnisse der Bewertung vor der Migration in diese Buckets für Replikationsaufgaben übernehmen kann, die nichts mit DMS Serverless zu tun haben.	5. November 2025
Servicebezogene Rolle für AWS DMS Serverless — Änderung	AWS DMSaktualisiert`AWSDMSServerlessServiceRolePolicy`, sodass nun auch die Ausführung `dms:StartReplicationTaskAssessmentRun` von Bewertungen vor der Migration unterstützt wird. AWS DMSAußerdem wurde die Rolle „Serverless Service Linked“ aktualisiert, um S3-Buckets zu erstellen und die Ergebnisse der Bewertung vor der Migration in diese Buckets zu übernehmen.	14. Februar 2025
AWSDMSServerlessServiceRolePolicy— Veränderung	AWS DMShinzugefügt`dms:ModifyReplicationTask`, was von AWS DMS Serverless benötigt wird, um den `ModifyReplicationTask` Vorgang zum Ändern einer Replikationsaufgabe aufzurufen. AWS DMShinzugefügt`dms:ModifyReplicationInstance`, was von AWS DMS Serverless benötigt wird, um den `ModifyReplicationInstance` Vorgang zum Ändern einer Replikationsinstanz aufzurufen.	17. Januar 2025
DMSVPCManagementRolle bei Amazon — Änderung	AWS DMShinzugefügt `ec2:DescribeDhcpOptions` und `ec2:DescribeNetworkInterfaces` Funktionen hinzugefügt, mit denen AWS DMS Sie die Netzwerkeinstellungen in Ihrem Namen verwalten können.	17. Juni 2024
AWSDMSServerlessServiceRolePolicy – Neue Richtlinie	AWS DMShat die `AWSDMSServerlessServiceRolePolicy` Rolle hinzugefügt, AWS DMS damit Sie in Ihrem Namen Dienste erstellen und verwalten können, z. B. die Veröffentlichung von CloudWatch Amazon-Metriken.	22. Mai 2023
Amazon DMSCloud WatchLogsRole — Veränderung	AWS DMShat den ARN für serverlose Ressourcen zu jeder der erteilten Berechtigungen hinzugefügt, um das Hochladen von AWS DMS Replikationsprotokollen aus serverlosen Replikationskonfigurationen in Logs zu ermöglichen. CloudWatch	22. Mai 2023
AWSDMSFleetAdvisorServiceRolePolicy – Neue Richtlinie	AWS DMSFleet Advisor hat eine neue Richtlinie hinzugefügt, um die Veröffentlichung von metrischen Datenpunkten auf Amazon zu ermöglichen CloudWatch.	6. März 2023
AWS DMShat begonnen, Änderungen zu verfolgen	AWS DMShat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen.	6. März 2023

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Serviceübergreifende Confused-Deputy-Prävention

Compliance-Validierung