Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comment AWS Database Migration Service fonctionne avec IAM
Avant d'utiliser IAM pour gérer l'accès àAWS DMS, vous devez comprendre quelles fonctionnalités IAM sont disponibles. AWS DMS Pour obtenir une vue d'ensemble de la façon dont AWS DMS les autres AWS services fonctionnent avec IAM, consultez la section AWSServices compatibles avec IAM dans le Guide de l'utilisateur d'IAM.
Rubriques
Politiques basées sur l’identité AWS DMS
Avec les politiques basées sur l’identité IAM, vous pouvez spécifier les actions et les ressources autorisées ou refusées, ainsi que les conditions selon lesquelles les actions sont autorisées ou refusées. AWS DMS prend en charge des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, consultez Références des éléments de politique JSON IAM dans le Guide de l'utilisateur IAM.
Actions
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.
L’élément Action d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Les actions de politique en AWS DMS cours utilisent le préfixe suivant avant l'action :dms:. Par exemple, pour autoriser quelqu'un à créer une tâche de réplication avec l'opération AWS DMS CreateReplicationTask API, vous devez inclure l'dms:CreateReplicationTaskaction dans sa politique. Les déclarations de politique doivent inclure un NotAction élément Action ou. AWS DMSdéfinit son propre ensemble d'actions décrivant les tâches que vous pouvez effectuer avec ce service.
Pour spécifier plusieurs actions dans une seule instruction, séparez-les par des virgules, comme suit :
"Action": [ "dms:action1", "dms:action2"
Vous pouvez aussi préciser plusieurs actions à l’aide de caractères génériques (*). Par exemple, pour spécifier toutes les actions qui commencent par le mot Describe, incluez l’action suivante.
"Action": "dms:Describe*"
Pour consulter la liste des AWS DMS actions, reportez-vous à la section Actions définies par AWS Database Migration Service dans le guide de l'utilisateur IAM.
Ressources
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.
L’élément de politique JSON Resource indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son Amazon Resource Name (ARN). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (*) afin d’indiquer que l’instruction s’applique à toutes les ressources.
"Resource": "*"
AWS DMSfonctionne avec les ressources suivantes :
-
Certificates
-
Points de terminaison
-
Abonnements aux événements
-
Instances de réplication
-
Groupes de sous-réseaux de réplication (sécurité)
-
Tâches de réplication
La ou les ressources AWS DMS requises dépendent de l'action ou des actions que vous invoquez. Vous avez besoin d'une politique qui autorise ces actions sur la ou les ressources associées spécifiées par la ressource ARNs.
Par exemple, une ressource de point de AWS DMS terminaison possède l'ARN suivant :
arn:${Partition}:dms:${Region}:${Account}:endpoint/${InstanceId}
Pour plus d'informations sur le format de ARNs, consultez Amazon Resource Names (ARNs) et espaces de noms AWS de services.
Par exemple, pour spécifier l'instance de point de terminaison 1A2B3C4D5E6F7G8H9I0J1K2L3M de la région us-east-2 dans votre instruction, utilisez l'ARN suivant.
"Resource": "arn:aws:dms:us-east-2:987654321098:endpoint/1A2B3C4D5E6F7G8H9I0J1K2L3M"
Pour spécifier tous les points de terminaison qui appartiennent à un compte spécifique, utilisez le caractère générique (*).
"Resource": "arn:aws:dms:us-east-2:987654321098:endpoint/*"
Certaines AWS DMS actions, telles que celles relatives à la création de ressources, ne peuvent pas être effectuées sur une ressource spécifique. Dans ces cas-là, vous devez utiliser le caractère générique (*).
"Resource": "*"
Certaines actions AWS DMS d'API impliquent plusieurs ressources. Par exemple, StartReplicationTask démarre une tâche de réplication et la connecte à deux ressources de point de terminaison de base de données (une source et une cible). Un utilisateur IAM doit donc disposer des autorisations nécessaires pour lire le point de terminaison source et écrire sur le point de terminaison cible. Pour spécifier plusieurs ressources dans une seule instruction, séparez-les ARNs par des virgules.
"Resource": [ "resource1", "resource2" ]
Pour plus d'informations sur le contrôle de l'accès aux AWS DMS ressources à l'aide de politiques, consultezUtilisation des noms de ressources pour contrôler l'accès. Pour consulter la liste des types de AWS DMS ressources et leurs caractéristiques ARNs, reportez-vous à la section Ressources définies par AWS Database Migration Service dans le guide de l'utilisateur IAM. Pour savoir grâce à quelles actions vous pouvez spécifier l’ARN de chaque ressource, consultez Actions définies par AWS Database Migration Service.
Clés de condition
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.
L’élément Condition indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des opérateurs de condition, tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de contexte de condition AWS globales dans le guide de l'utilisateur IAM.
AWS DMSdéfinit son propre ensemble de clés de condition et prend également en charge l'utilisation de certaines clés de condition globales. Pour voir toutes les clés de condition AWS globales, voir les clés de contexte de condition AWS globales dans le guide de l'utilisateur IAM.
AWS DMSdéfinit un ensemble de balises standard que vous pouvez utiliser dans ses clés de condition et vous permet également de définir vos propres balises personnalisées. Pour de plus amples informations, veuillez consulter Utilisation de balises pour contrôler l'accès.
Pour consulter la liste des clés de AWS DMS condition, reportez-vous à la section Clés de AWS Database Migration Service condition du guide de l'utilisateur IAM. Pour découvrir les actions et les ressources avec lesquelles vous pouvez utiliser une clé de condition, consultez Actions définies par AWS Database Migration Service et Ressources définies par AWS Database Migration Service.
Exemples
Pour consulter des exemples de politiques AWS DMS basées sur l'identité, consultez. AWS Database Migration Serviceexemples de politiques basées sur l'identité
AWS DMSPolitiques basées sur les ressources
Les politiques basées sur les ressources sont des documents de politique JSON qui spécifient les actions qu'un principal spécifié peut effectuer sur une AWS DMS ressource donnée et dans quelles conditions. AWS DMSprend en charge les politiques d'autorisation basées sur les ressources pour les clés de AWS KMS chiffrement que vous créez pour chiffrer les données migrées vers les points de terminaison cibles pris en charge. Les points de terminaison cibles pris en charge incluent Amazon Redshift et Amazon S3. Grâce aux stratégies basées sur les ressources, vous pouvez accorder l'autorisation d'utiliser ces clés de chiffrement à d'autres comptes pour chaque point de terminaison cible.
Pour permettre un accès comptes multiples , vous pouvez spécifier un compte entier ou des entités IAM dans un autre compte en tant que principal dans une stratégie basée sur les ressources. L’ajout d’un principal intercompte à une politique basée sur les ressources ne représente qu’une partie de l’instauration de la relation d’approbation. Lorsque le principal et la ressource se trouvent dans des AWS comptes différents, vous devez également accorder à l'entité principale l'autorisation d'accéder à la ressource. Accordez l'autorisation en attachant une stratégie basée sur les identités à l'entité. Toutefois, si une stratégie basée sur des ressources accorde l'accès à un principal dans le même compte, aucune autre stratégie basée sur l'identité n'est requise. Pour plus d’informations, consultez Différence entre les rôles IAM et les politiques basées sur une ressource dans le Guide de l’utilisateur IAM.
Le AWS DMS service ne prend en charge qu'un seul type de stratégie basée sur les ressources, appelée politique clé, qui est attachée à une clé de AWS KMS chiffrement. Cette stratégie définit les entités principales (comptes, utilisateurs, rôles et utilisateurs fédérés) qui peuvent chiffrer les données migrées sur le point de terminaison cible pris en charge.
Pour découvrir comment associer une stratégie basée sur les ressources à une clé de chiffrement que vous créez pour les points de terminaison cibles pris en charge, consultez Création et utilisation de AWS KMS clés pour chiffrer les données cibles d'Amazon Redshift et Création de AWS KMS clés pour chiffrer les objets cibles d'Amazon S3.
Exemples
Pour des exemples de politiques AWS DMS basées sur les ressources, voir. Exemples de politiques basées sur les ressources pour AWS KMS
Autorisation basée sur les balises AWS DMS
Vous pouvez associer des balises aux AWS DMS ressources ou transmettre des balises dans une demande àAWS DMS. Pour contrôler l'accès en fonction des balises, vous devez fournir les informations relatives aux balises dans l'élément de condition d'une politique à l'aide de la clé de aws:TagKeys condition dms:ResourceTag/key-nameaws:RequestTag/, ou. AWS DMSdéfinit un ensemble de balises standard que vous pouvez utiliser dans ses clés de condition et vous permet également de définir vos propres balises personnalisées. Pour de plus amples informations, veuillez consulter Utilisation de balises pour contrôler l'accès.key-name
Pour obtenir un exemple de stratégie basée sur l'identité, qui limite l'accès à une ressource en fonction des balises, consultez Accès aux ressources AWS DMS en fonction des balises.
Rôles IAM pour AWS DMS
Un rôle IAM est une entité de votre AWS compte qui possède des autorisations spécifiques.
Utilisation d'informations d'identification temporaires avec AWS DMS
Vous pouvez utiliser des informations d’identification temporaires pour vous connecter à l’aide de la fédération, endosser un rôle IAM ou encore pour endosser un rôle intercompte. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d'AWS STSAPI telles que AssumeRoleou GetFederationToken.
AWS DMSprend en charge l'utilisation d'informations d'identification temporaires.
Rôles liés à un service
Les rôles liés aux AWS services permettent aux services d'accéder aux ressources d'autres services pour effectuer une action en votre nom. Les rôles liés à un service s’affichent dans votre compte IAM et sont la propriété du service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
Pour plus de détails sur la création ou la gestion des rôles AWS DMS liés à un service, consultez. Utilisation des rôles liés à un service
Rôles du service
Cette fonction permet à un service d’endosser une fonction du service en votre nom. Ce rôle autorise le service à accéder à des ressources d’autres services pour effectuer une action en votre nom. Les rôles de service s’affichent dans votre compte IAM et sont la propriété du compte. Cela signifie qu’un administrateur IAM peut modifier les autorisations associées à ce rôle. Toutefois, une telle action peut perturber le bon fonctionnement du service.
AWS DMSprend en charge deux types de rôles de service que vous devez créer pour utiliser certains points de terminaison source ou cible :
-
Rôles autorisés à autoriser l'accès du AWS DMS aux points de terminaison source et cible suivants (ou à leurs ressources) :
-
Amazon DynamoDB en tant que cible : pour plus d’informations, consultez Conditions préalables à l'utilisation de DynamoDB comme cible pour AWS Database Migration Service.
-
OpenSearchcomme cible — Pour plus d'informations, voirConditions préalables à l'utilisation d'Amazon OpenSearch Service comme cible pour AWS Database Migration Service.
-
Amazon Kinesis en tant que cible : pour plus d’informations, consultez Conditions préalables à l'utilisation d'un flux de données Kinesis comme cible pour AWS Database Migration Service.
-
Amazon Redshift en tant que cible : vous devez créer le rôle spécifié uniquement pour créer une clé de chiffrement KMS personnalisée permettant de chiffrer les données cibles ou pour définir un compartiment S3 personnalisé dans lequel stocker les tâches intermédiaires. Pour plus d’informations, consultez Création et utilisation de AWS KMS clés pour chiffrer les données cibles d'Amazon Redshift ou Paramètres du compartiment Amazon S3.
-
Amazon S3 en tant que source ou cible : pour plus d’informations, consultez Conditions préalables à l'utilisation d'Amazon S3 comme source pour AWS DMS ou Prérequis pour l’utilisation d’Amazon S3 en tant que cible.
Par exemple, pour lire des données à partir d'un point de terminaison source S3 ou pour transférer des données vers un point de terminaison cible S3, vous devez créer un rôle de service comme condition préalable à l'accès à S3 pour chacune de ces opérations.
-
-
Rôles dotés d'autorisations requises pour utiliser la console AWS DMS, l'API AWS CLI et AWS DMS — Les deux rôles IAM que vous devez créer sont et.
dms-vpc-roledms-cloudwatch-logs-roleSi vous utilisez Amazon Redshift comme base de données cible, vous devez également créer et ajouter le rôle IAMdms-access-for-endpointà votre compte. AWS Pour de plus amples informations, veuillez consulter Création des rôles IAM à utiliser avec AWS DMS.
Choisir un rôle IAM dans AWS DMS
Si vous utilisez la console AWS DMS, AWS CLI ou l'API AWS DMS pour la migration de votre base de données, vous devez ajouter certains rôles IAM à votre AWS compte avant de pouvoir utiliser les fonctionnalités de DMS. AWS Deux d'entre eux sont dms-vpc-role et dms-cloudwatch-logs-role. Si vous utilisez Amazon Redshift comme base de données cible, vous devez également ajouter le rôle IAM dms-access-for-endpoint à votre compte. AWS Pour de plus amples informations, veuillez consulter Création des rôles IAM à utiliser avec AWS DMS.
Gestion des identités et des accès pour DMS Fleet Advisor
Avec les politiques basées sur l’identité IAM, vous pouvez spécifier des actions et des ressources autorisées ou refusées ainsi que les conditions selon lesquelles les actions sont autorisées ou refusées. DMS Fleet Advisor prend en charge des actions, ressources et clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, consultez Références des éléments de politique JSON IAM dans le Guide de l'utilisateur IAM.
DMS Fleet Advisor utilise des rôles IAM pour accéder à Amazon Simple Storage Service. Un rôle IAM est une entité de votre AWS compte qui possède des autorisations spécifiques. Pour de plus amples informations, veuillez consulter Création de ressources IAM.
