AWSpolíticas gestionadas para AWS Database Migration Service - AWSDatabase Migration Service
DMSVPCManagementFunción de AmazonAWSDMSServerlessServiceRolePolicyAmazon DMSCloud WatchLogsRoleAWSDMSFleetAdvisorServiceRolePolicyFunción de Amazon DMSRedshift S3Actualizaciones de políticas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWSpolíticas gestionadas para AWS Database Migration Service

AWSpolítica gestionada: Amazon DMSVPCManagement Role

Esta política está asociada al dms-vpc-role rol, lo que le AWS DMS permite realizar acciones en su nombre.

Esta política otorga a los colaboradores permisos que permiten AWS DMS administrar los recursos de la red.

Detalles de los permisos

Esta política incluye las operaciones siguientes:

  • ec2:CreateNetworkInterface— AWS DMS necesita este permiso para crear interfaces de red. Estas interfaces son esenciales para que la instancia de replicación de AWS DMS se conecte a las bases de datos de origen y de destino.

  • ec2:DeleteNetworkInterface— AWS DMS necesita este permiso para limpiar las interfaces de red que creó una vez que ya no sean necesarias. Esto ayuda a administrar los recursos y a evitar costos innecesarios.

  • ec2:DescribeAvailabilityZones: este permiso permite a AWS DMS recuperar información sobre las zonas de disponibilidad de una región. AWS DMS utiliza esta información para garantizar que aprovisiona los recursos en las zonas correctas para garantizar la redundancia y la disponibilidad.

  • ec2:DescribeDhcpOptions— AWS DMS recupera los detalles del conjunto de opciones de DHCP para la VPC especificada. Esta información es necesaria a fin de configurar la red de forma correcta para las instancias de replicación.

  • ec2:DescribeInternetGateways— AWS DMS puede necesitar este permiso para entender las pasarelas de Internet configuradas en la VPC. Esta información es crucial si la instancia de replicación o las bases de datos necesitan acceso a Internet.

  • ec2:DescribeNetworkInterfaces— AWS DMS recupera información sobre las interfaces de red existentes en la VPC. Esta información es necesaria AWS DMS para configurar las interfaces de red correctamente y garantizar una conectividad de red adecuada para el proceso de migración.

  • ec2:DescribeSecurityGroups— Los grupos de seguridad controlan el tráfico entrante y saliente a las instancias y los recursos. AWS DMSdebe describir los grupos de seguridad para configurar correctamente las interfaces de red y garantizar una comunicación adecuada entre la instancia de replicación y las bases de datos.

  • ec2:DescribeSubnets— Este permiso permite AWS DMS enumerar las subredes de una VPC. AWS DMSutiliza esta información para lanzar instancias de replicación en las subredes correspondientes, asegurándose de que tengan la conectividad de red necesaria.

  • ec2:DescribeVpcs— VPCs La descripción es esencial AWS DMS para comprender el entorno de red en el que residen la instancia de replicación y las bases de datos. Esto incluye conocer los bloques de CIDR y otras configuraciones específicas de la VPC.

  • ec2:ModifyNetworkInterfaceAttribute— Este permiso es necesario AWS DMS para modificar los atributos de las interfaces de red que administra. Puede incluir el ajuste de la configuración para garantizar la conectividad y la seguridad.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
			"Sid": "Statement1",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface",
				"ec2:DeleteNetworkInterface",
				"ec2:DescribeAvailabilityZones",
				"ec2:DescribeDhcpOptions",
				"ec2:DescribeInternetGateways",
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeSubnets",
				"ec2:DescribeVpcs",
				"ec2:ModifyNetworkInterfaceAttribute"
			],
			"Resource": "*"
		}
    ]
}

AWSpolítica gestionada: AWSDMSServerless ServiceRolePolicy

Esta política está asociada al AWSServiceRoleForDMSServerless rol, lo que le AWS DMS permite realizar acciones en su nombre. Para obtener más información, consulte Función vinculada al servicio para AWS DMS.

Esta política otorga a los colaboradores permisos que permiten AWS DMS administrar los recursos de replicación.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • AWS DMS— Permite a los directores interactuar con AWS DMS los recursos.

  • Amazon S3: permite a DMS crear un bucket de S3 para almacenar una evaluación previa a la migración. El bucket de S3 se crea para un usuario por región y su política de bucket limita el acceso únicamente al rol del servicio. 

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "id0",
            "Effect": "Allow",
            "Action": [
                "dms:CreateReplicationInstance",
                "dms:CreateReplicationTask"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "dms:req-tag/ResourceCreatedBy": "DMSServerless"
                }
            }
        },
        {
            "Sid": "id1",
            "Effect": "Allow",
            "Action": [
                "dms:DescribeReplicationInstances",
                "dms:DescribeReplicationTasks"
            ],
            "Resource": "*"
        },
        {
            "Sid": "id2",
            "Effect": "Allow",
            "Action": [
                "dms:StartReplicationTask",
                "dms:StopReplicationTask",
                "dms:ModifyReplicationTask",
                "dms:DeleteReplicationTask",
                "dms:ModifyReplicationInstance",
                "dms:DeleteReplicationInstance"
            ],
            "Resource": [
                "arn:aws:dms:*:*:rep:*",
                "arn:aws:dms:*:*:task:*"
            ],
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
                }
            }
        },
        {
            "Sid": "id3",
            "Effect": "Allow",
            "Action": [
                "dms:TestConnection",
                "dms:DeleteConnection"
            ],
            "Resource": [
                "arn:aws:dms:*:*:rep:*",
                "arn:aws:dms:*:*:endpoint:*"
            ]
        },
        {
            "Sid": "id4",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:PutObjectTagging"
            ],
            "Resource": [
                "arn:aws:s3:::dms-serverless-premigration-results-*",
                "arn:aws:s3:::dms-premigration-results-*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "id5",
            "Effect": "Allow",
            "Action": [
                "s3:PutBucketPolicy",
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:CreateBucket"
            ],
            "Resource": [
                "arn:aws:s3:::dms-serverless-premigration-results-*",
                "arn:aws:s3:::dms-premigration-results-*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "id6",
            "Effect": "Allow",
            "Action": [
                "dms:StartReplicationTaskAssessmentRun"
            ],
            "Resource": [
                "arn:aws:dms:*:*:task:*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

AWSpolítica gestionada: Amazon DMSCloud WatchLogsRole

Esta política está asociada al dms-cloudwatch-logs-role rol, lo que le AWS DMS permite realizar acciones en su nombre. Para obtener más información, consulte Cómo utilizar roles vinculados a servicios de AWS DMS.

Esta política otorga a los colaboradores permisos que AWS DMS permiten publicar registros de replicación en CloudWatch registros.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • logs— Permite a los directores publicar registros en CloudWatch Logs. Este permiso es necesario para AWS DMS poder utilizarlo CloudWatch para mostrar los registros de replicación.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowDescribeOnAllLogGroups",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AllowDescribeOfAllLogStreamsOnDmsTasksLogGroup",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*"
            ]
        },
        {
            "Sid": "AllowCreationOfDmsLogGroups",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:"
            ]
        },
        {
            "Sid": "AllowCreationOfDmsLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
            ]
        },
        {
            "Sid": "AllowUploadOfLogEventsToDmsLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
            ]
        }
    ]
}

AWSpolítica gestionada: AWSDMSFleet AdvisorServiceRolePolicy

No puede adjuntarse AWSDMSFleet AdvisorServiceRolePolicy a sus entidades de IAM. Esta política está asociada a una función vinculada al servicio que permite a AWS DMS Fleet Advisor realizar acciones en tu nombre. Para obtener más información, consulte Cómo utilizar roles vinculados a servicios de AWS DMS.

Esta política otorga a los colaboradores permisos que permiten a AWS DMS Fleet Advisor publicar CloudWatch las estadísticas de Amazon.

Detalles de los permisos

Esta política incluye los siguientes permisos.

  • cloudwatch— Permite a los directores publicar puntos de datos métricos en Amazon CloudWatch. Este permiso es necesario para que AWS DMS Fleet Advisor lo pueda utilizar CloudWatch para mostrar gráficos con métricas de bases de datos.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Resource": "*",
        "Action": "cloudwatch:PutMetricData",
        "Condition": {
            "StringEquals": {
                "cloudwatch:namespace": "AWS/DMS/FleetAdvisor"
            }
        }
    }
}

AWSpolítica gestionada: Amazon DMSRedshift S3Role

Esta política proporciona permisos que permiten administrar AWS DMS la configuración de S3 para los puntos finales de Redshift.

Detalles de los permisos

Esta política incluye las operaciones siguientes:

  • s3:CreateBucket: permite a DMS crear buckets de S3 con el prefijo “dms-”.

  • s3:ListBucket: Permite a DMS enumerar el contenido de los buckets de S3 con el prefijo “dms-”.

  • s3:DeleteBucket : permite a DMS eliminar buckets de S3 con el prefijo “dms-”.

  • s3:GetBucketLocation: permite a DMS obtener la región en la que se encuentra un bucket de S3.

  • s3:GetObject: permite a DMS obtener objetos de buckets de S3 con el prefijo “dms-”.

  • s3:PutObject: permite a DMS añadir objetos a buckets de S3 con el prefijo “dms-”.

  • s3:DeleteObject: permite a DMS eliminar objetos de los buckets de S3 con el prefijo “dms-”.

  • s3:GetObjectVersion: permite a DMS obtener versiones específicas de objetos en buckets versionados

  • s3:GetBucketPolicy: permite a DMS obtener las políticas de buckets.

  • s3:PutBucketPolicy: permite a DMS crear o actualizar políticas de buckets.

  • s3:GetBucketAcl- Permite a DMS recuperar las listas de control de acceso a los buckets () ACLs

  • s3:PutBucketVersioning: permite a DMS activar o suspender el control de versiones en los buckets.

  • s3:GetBucketVersioning: permite a DMS obtener el estado de control de versiones de los buckets.

  • s3:PutLifecycleConfiguration: permite a DMS crear o actualizar las reglas del ciclo de vida de los buckets.

  • s3:GetLifecycleConfiguration: permite a DMS obtener las reglas del ciclo de vida configuradas para los buckets.

  • s3:DeleteBucketPolicy: permite a DMS eliminar políticas de buckets.

Todos estos permisos se aplican únicamente a los recursos con un patrón ARN: arn:aws:s3:::dms-*

Documento de política de JSON

JSON
{
  "Version":"2012-10-17",		 	 	  
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:ListBucket", 
        "s3:DeleteBucket",
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:PutObject",
        "s3:DeleteObject",
        "s3:GetObjectVersion",
        "s3:GetBucketPolicy",
        "s3:PutBucketPolicy",
        "s3:GetBucketAcl",
        "s3:PutBucketVersioning",
        "s3:GetBucketVersioning",
        "s3:PutLifecycleConfiguration",
        "s3:GetLifecycleConfiguration",
        "s3:DeleteBucketPolicy"
      ],
      "Resource": "arn:aws:s3:::dms-*"
    }
  ]
}

AWS DMSactualizaciones de las políticas AWS gestionadas

Consulte los detalles sobre las actualizaciones de las políticas AWS administradas AWS DMS desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial del AWS DMS documento.

Cambio Descripción Fecha

AWSDMSServerlessServiceRolePolicy: cambio

AWS DMSactualizado AWSDMSServerlessServiceRolePolicy para permitir a DMS crear depósitos de S3 e incluir los resultados de las evaluaciones previas a la migración en esos cubos para tareas de replicación no relacionadas con el DMS sin servidor.

 5 de noviembre de 2025

Función vinculada al servicio para AWS DMS Serverless: cambio

AWS DMSactualizado AWSDMSServerlessServiceRolePolicy para permitir la ejecución de dms:StartReplicationTaskAssessmentRun evaluaciones previas a la migración. AWS DMStambién se actualizó la función vinculada a servicios sin servidor para crear depósitos de S3 e incluir los resultados de la evaluación previa a la migración en esos grupos.

 14 de febrero de 2025

AWSDMSServerlessServiceRolePolicy: cambio

AWS DMSse agregódms:ModifyReplicationTask, la cual es requerida por AWS DMS Serverless para llamar a la operación y modificar una tarea de replicaciónModifyReplicationTask. AWS DMSse agregó dms:ModifyReplicationInstance lo que AWS DMS Serverless requiere para llamar a la ModifyReplicationInstance operación y modificar una instancia de replicación.

 17 de enero de 2025

DMSVPCManagementRol de Amazon: cambio

AWS DMSagregado ec2:DescribeDhcpOptions y ec2:DescribeNetworkInterfaces operaciones que permiten AWS DMS administrar la configuración de red en su nombre.

 17 de junio de 2024

AWSDMSServerlessServiceRolePolicy: política nueva

AWS DMSagregó el AWSDMSServerlessServiceRolePolicy rol para permitir AWS DMS crear y administrar servicios en su nombre, como la publicación de CloudWatch métricas de Amazon.

 22 de mayo de 2023

Amazon DMSCloud WatchLogsRole — Cambiar

AWS DMSagregó el ARN de los recursos sin servidor a cada uno de los permisos otorgados, para permitir cargar registros de replicación desde configuraciones de AWS DMS replicación sin servidor a Logs. CloudWatch

22 de mayo de 2023

AWSDMSFleetAdvisorServiceRolePolicy: política nueva

AWS DMSFleet Advisor ha añadido una nueva política para permitir la publicación de puntos de datos métricos en Amazon CloudWatch.

 6 de marzo de 2023

AWS DMScomenzó a rastrear los cambios

AWS DMScomenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas.

 6 de marzo de 2023