AWSpolitiques gérées pour AWS Database Migration Service - AWSService de Migration de Base de Données
DMSVPCManagementRôle AmazonAWSDMSServerlessServiceRolePolicyAmazon DMSCloud WatchLogsRoleAWSDMSFleetAdvisorServiceRolePolicyRôle Amazon DMSRedshift S3Mises à jour des politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWSpolitiques gérées pour AWS Database Migration Service

AWSpolitique gérée : Amazon DMSVPCManagement Role

Cette politique est attachée au dms-vpc-role rôle, ce qui permet d'AWS DMSeffectuer des actions en votre nom.

Cette politique accorde aux contributeurs des autorisations leur permettant AWS DMS de gérer les ressources du réseau.

Détails de l’autorisation

Cette politique inclut les opérations suivantes :

  • ec2:CreateNetworkInterface— AWS DMS a besoin de cette autorisation pour créer des interfaces réseau. Ces interfaces sont essentielles pour que l'instance de AWS DMS réplication puisse se connecter aux bases de données source et cible.

  • ec2:DeleteNetworkInterface— AWS DMS a besoin de cette autorisation pour nettoyer les interfaces réseau qu'il a créées une fois qu'elles ne sont plus nécessaires. Cela permet de gérer les ressources et d'éviter des coûts inutiles.

  • ec2:DescribeAvailabilityZones— Cette autorisation permet AWS DMS de récupérer des informations sur les zones de disponibilité d'une région. AWS DMSutilise ces informations pour s'assurer qu'il provisionne les ressources dans les zones appropriées en termes de redondance et de disponibilité.

  • ec2:DescribeDhcpOptions— AWS DMS récupère les détails du jeu d'options DHCP pour le VPC spécifié. Ces informations sont nécessaires pour configurer correctement le réseau pour les instances de réplication.

  • ec2:DescribeInternetGateways— AWS DMS peut avoir besoin de cette autorisation pour comprendre les passerelles Internet configurées dans le VPC. Ces informations sont cruciales si l'instance de réplication ou les bases de données ont besoin d'un accès Internet.

  • ec2:DescribeNetworkInterfaces— AWS DMS récupère des informations sur les interfaces réseau existantes au sein du VPC. Ces informations sont nécessaires AWS DMS pour configurer correctement les interfaces réseau et garantir une connectivité réseau appropriée pour le processus de migration.

  • ec2:DescribeSecurityGroups— Les groupes de sécurité contrôlent le trafic entrant et sortant vers les instances et les ressources. AWS DMSdoit décrire les groupes de sécurité pour configurer correctement les interfaces réseau et garantir une bonne communication entre l'instance de réplication et les bases de données.

  • ec2:DescribeSubnets— Cette autorisation permet de AWS DMS répertorier les sous-réseaux d'un VPC. AWS DMSutilise ces informations pour lancer des instances de réplication dans les sous-réseaux appropriés, en s'assurant qu'elles disposent de la connectivité réseau nécessaire.

  • ec2:DescribeVpcs— VPCs La description est essentielle AWS DMS pour comprendre l'environnement réseau dans lequel résident l'instance de réplication et les bases de données. Cela inclut la connaissance des blocs CIDR et des autres configurations spécifiques au VPC.

  • ec2:ModifyNetworkInterfaceAttribute— Cette autorisation est requise AWS DMS pour modifier les attributs des interfaces réseau qu'il gère. Cela peut inclure le réglage des paramètres pour garantir la connectivité et la sécurité.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
			"Sid": "Statement1",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface",
				"ec2:DeleteNetworkInterface",
				"ec2:DescribeAvailabilityZones",
				"ec2:DescribeDhcpOptions",
				"ec2:DescribeInternetGateways",
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeSubnets",
				"ec2:DescribeVpcs",
				"ec2:ModifyNetworkInterfaceAttribute"
			],
			"Resource": "*"
		}
    ]
}

AWSpolitique gérée : AWSDMSServerless ServiceRolePolicy

Cette politique est attachée au AWSServiceRoleForDMSServerless rôle, ce qui permet d'AWS DMSeffectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Rôle lié à un service pour AWS DMS.

Cette politique accorde aux contributeurs des autorisations leur permettant AWS DMS de gérer les ressources de réplication.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • AWS DMS— Permet aux directeurs d'interagir avec les AWS DMS ressources.

  • Amazon S3 — Permet à DMS de créer un compartiment S3 pour stocker une évaluation préalable à la migration. Le compartiment S3 est créé pour un utilisateur par région et sa politique de compartiment limite l'accès au seul rôle de service du service. 

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "id0",
            "Effect": "Allow",
            "Action": [
                "dms:CreateReplicationInstance",
                "dms:CreateReplicationTask"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "dms:req-tag/ResourceCreatedBy": "DMSServerless"
                }
            }
        },
        {
            "Sid": "id1",
            "Effect": "Allow",
            "Action": [
                "dms:DescribeReplicationInstances",
                "dms:DescribeReplicationTasks"
            ],
            "Resource": "*"
        },
        {
            "Sid": "id2",
            "Effect": "Allow",
            "Action": [
                "dms:StartReplicationTask",
                "dms:StopReplicationTask",
                "dms:ModifyReplicationTask",
                "dms:DeleteReplicationTask",
                "dms:ModifyReplicationInstance",
                "dms:DeleteReplicationInstance"
            ],
            "Resource": [
                "arn:aws:dms:*:*:rep:*",
                "arn:aws:dms:*:*:task:*"
            ],
            "Condition": {
                "StringEqualsIgnoreCase": {
                    "aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
                }
            }
        },
        {
            "Sid": "id3",
            "Effect": "Allow",
            "Action": [
                "dms:TestConnection",
                "dms:DeleteConnection"
            ],
            "Resource": [
                "arn:aws:dms:*:*:rep:*",
                "arn:aws:dms:*:*:endpoint:*"
            ]
        },
        {
            "Sid": "id4",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:PutObjectTagging"
            ],
            "Resource": [
                "arn:aws:s3:::dms-serverless-premigration-results-*",
                "arn:aws:s3:::dms-premigration-results-*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "id5",
            "Effect": "Allow",
            "Action": [
                "s3:PutBucketPolicy",
                "s3:ListBucket",
                "s3:GetBucketLocation",
                "s3:CreateBucket"
            ],
            "Resource": [
                "arn:aws:s3:::dms-serverless-premigration-results-*",
                "arn:aws:s3:::dms-premigration-results-*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "id6",
            "Effect": "Allow",
            "Action": [
                "dms:StartReplicationTaskAssessmentRun"
            ],
            "Resource": [
                "arn:aws:dms:*:*:task:*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        }
    ]
}

AWSpolitique gérée : Amazon DMSCloud WatchLogsRole

Cette politique est attachée au dms-cloudwatch-logs-role rôle, ce qui permet d'AWS DMSeffectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Utilisation des rôles liés à un service pour AWS DMS.

Cette politique accorde aux contributeurs des autorisations leur permettant AWS DMS de publier des journaux de réplication dans des CloudWatch journaux.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • logs— Permet aux principaux de publier des journaux dans CloudWatch Logs. Cette autorisation est requise pour AWS DMS pouvoir CloudWatch afficher les journaux de réplication.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowDescribeOnAllLogGroups",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AllowDescribeOfAllLogStreamsOnDmsTasksLogGroup",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*"
            ]
        },
        {
            "Sid": "AllowCreationOfDmsLogGroups",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:"
            ]
        },
        {
            "Sid": "AllowCreationOfDmsLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
            ]
        },
        {
            "Sid": "AllowUploadOfLogEventsToDmsLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
            ]
        }
    ]
}

AWSpolitique gérée : AWSDMSFleet AdvisorServiceRolePolicy

Vous ne pouvez pas vous associer AWSDMSFleet AdvisorServiceRolePolicy à vos entités IAM. Cette politique est associée à un rôle lié au service qui permet à AWS DMS Fleet Advisor d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Utilisation des rôles liés à un service pour AWS DMS.

Cette politique accorde aux contributeurs des autorisations qui permettent à AWS DMS Fleet Advisor de publier CloudWatch des statistiques Amazon.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • cloudwatch— Permet aux principaux de publier des points de données métriques sur Amazon CloudWatch. Cette autorisation est requise pour que AWS DMS Fleet Advisor puisse CloudWatch afficher des graphiques avec des métriques de base de données.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Resource": "*",
        "Action": "cloudwatch:PutMetricData",
        "Condition": {
            "StringEquals": {
                "cloudwatch:namespace": "AWS/DMS/FleetAdvisor"
            }
        }
    }
}

AWSpolitique gérée : Amazon DMSRedshift S3Role

Cette politique fournit des autorisations qui permettent AWS DMS de gérer les paramètres S3 pour les points de terminaison Redshift.

Détails de l’autorisation

Cette politique inclut les opérations suivantes :

  • s3:CreateBucket- Permet à DMS de créer des compartiments S3 avec le préfixe « dms- »

  • s3:ListBucket- Permet à DMS de répertorier le contenu des compartiments S3 avec le préfixe « dms- »

  • s3:DeleteBucket - Permet à DMS de supprimer les compartiments S3 avec le préfixe « dms- »

  • s3:GetBucketLocation- Permet à DMS de récupérer la région où se trouve un compartiment S3

  • s3:GetObject- Permet à DMS de récupérer des objets dans des compartiments S3 avec le préfixe « dms- »

  • s3:PutObject- Permet à DMS d'ajouter des objets aux compartiments S3 avec le préfixe « dms- »

  • s3:DeleteObject- Permet à DMS de supprimer des objets des compartiments S3 avec le préfixe « dms- »

  • s3:GetObjectVersion- Permet à DMS de récupérer des versions spécifiques d'objets dans des compartiments versionnés

  • s3:GetBucketPolicy- Permet au DMS de récupérer les politiques relatives aux compartiments

  • s3:PutBucketPolicy- Permet à DMS de créer ou de mettre à jour des politiques de compartiment

  • s3:GetBucketAcl- Permet au DMS de récupérer les listes de contrôle d'accès aux compartiments () ACLs

  • s3:PutBucketVersioning- Permet à DMS d'activer ou de suspendre la gestion des versions sur les buckets

  • s3:GetBucketVersioning- Permet à DMS de récupérer le statut de version des buckets

  • s3:PutLifecycleConfiguration- Permet au DMS de créer ou de mettre à jour des règles de cycle de vie pour les buckets

  • s3:GetLifecycleConfiguration- Permet au DMS de récupérer les règles de cycle de vie configurées pour les buckets

  • s3:DeleteBucketPolicy- Permet à DMS de supprimer les politiques relatives aux compartiments

Toutes ces autorisations s'appliquent uniquement aux ressources avec un modèle ARN : arn:aws:s3:::dms-*

Document de politique JSON

JSON
{
  "Version":"2012-10-17",		 	 	  
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:ListBucket", 
        "s3:DeleteBucket",
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:PutObject",
        "s3:DeleteObject",
        "s3:GetObjectVersion",
        "s3:GetBucketPolicy",
        "s3:PutBucketPolicy",
        "s3:GetBucketAcl",
        "s3:PutBucketVersioning",
        "s3:GetBucketVersioning",
        "s3:PutLifecycleConfiguration",
        "s3:GetLifecycleConfiguration",
        "s3:DeleteBucketPolicy"
      ],
      "Resource": "arn:aws:s3:::dms-*"
    }
  ]
}

AWS DMSmises à jour des politiques AWS gérées

Consultez les détails des mises à jour des politiques AWS gérées AWS DMS depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page Historique du AWS DMS document.

Modifier Description Date

AWSDMSServerlessServiceRolePolicy— Modification

AWS DMSmis AWSDMSServerlessServiceRolePolicy à jour pour permettre à DMS de créer des compartiments S3 et de placer les résultats de l'évaluation préalable à la migration dans ces compartiments pour les tâches de réplication non liées au DMS sans serveur.

 5 novembre 2025

Rôle lié à un service pour AWS DMS Serverless — Modifier

AWS DMSmis à jour AWSDMSServerlessServiceRolePolicy pour permettre de dms:StartReplicationTaskAssessmentRun prendre en charge l'exécution d'évaluations de prémigration. AWS DMSa également mis à jour le rôle lié aux services sans serveur afin de créer des compartiments S3 et de placer les résultats de l'évaluation préalable à la migration dans ces compartiments.

 14 février 2025

AWSDMSServerlessServiceRolePolicy— Modification

AWS DMSajoutédms:ModifyReplicationTask, ce qui est requis par AWS DMS Serverless pour appeler l'ModifyReplicationTaskopération de modification d'une tâche de réplication. AWS DMSajoutédms:ModifyReplicationInstance, ce qui est requis par AWS DMS Serverless pour appeler ModifyReplicationInstance l'opération de modification d'une instance de réplication.

 17 janvier 2025

Amazon DMSVPCManagement Role — Modifier

AWS DMSajoutés ec2:DescribeDhcpOptions et ec2:DescribeNetworkInterfaces opérations permettant de AWS DMS gérer les paramètres réseau en votre nom.

 17 juin 2024

AWSDMSServerlessServiceRolePolicy : nouvelle politique

AWS DMSa ajouté le AWSDMSServerlessServiceRolePolicy rôle pour permettre AWS DMS de créer et de gérer des services en votre nom, tels que la publication de CloudWatch statistiques Amazon.

 22 mai 2023

Amazon DMSCloud WatchLogsRole — Modifier

AWS DMSa ajouté l'ARN pour les ressources sans serveur à chacune des autorisations accordées, afin de permettre le téléchargement des journaux de AWS DMS réplication des configurations de réplication sans serveur vers Logs. CloudWatch

22 mai 2023

AWSDMSFleetAdvisorServiceRolePolicy : nouvelle politique

AWS DMSFleet Advisor a ajouté une nouvelle politique autorisant la publication de points de données métriques sur Amazon CloudWatch.

 06 mars 2023

AWS DMSa commencé à suivre les modifications

AWS DMSa commencé à suivre les modifications apportées AWS à ses politiques gérées.

 06 mars 2023