创建密钥访问策略和角色 - Amazon Aurora
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

创建密钥访问策略和角色

按照以下步骤创建您的密钥访问策略和角色,允许 DMS 访问源数据库和目标数据库的用户凭证。

创建密钥访问策略和角色,以允许 Amazon RDS 访问 Amazon Secrets Manager,从而访问相应的密钥
  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Identity and Access Management(IAM)控制台:https://console.aws.amazon.com/iam/

  2. 选择策略,然后选择创建策略

  3. 选择 JSON 并输入以下策略,以启用对密钥的访问和解密。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": secret_arn, }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": kms_key_arn, } ] }

    此处,secret_arn 是密钥的 ARN,您可以根据需要从任一 SecretsManagerSecretId 中获取,kms_key_arn 是您用于加密密钥的 Amazon KMS 密钥的 ARN,如以下示例所示。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:us-east-2:123456789012:secret:MySQLTestSecret-qeHamH" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-east-2:123456789012:key/761138dc-0542-4e58-947f-4a3a8458d0fd" } ] }
    注意

    如果您使用 Amazon Secrets Manager 创建的默认加密密钥,则无需为 kms_key_arn 指定 Amazon KMS 权限。

    如果您希望策略提供对两个密钥的访问权限,只需为另一个 secret_arn 指定一个额外的 JSON 资源对象。

  4. 查看并创建具友好名称和描述(可选)的策略。

  5. 选择角色,然后选择创建角色

  6. 选择 Amazon 服务作为可信实体的类型。

  7. 从服务列表中选择 DMS 作为可信服务,然后选择下一步:权限

  8. 查找并附加您在步骤 4 中创建的策略,然后继续添加所有标签并查看角色。此刻,编辑角色的信任关系,以使用 Amazon RDS 区域服务主体作为可信实体。此主体采用以下格式。

    dms.region-name.amazonaws.com

    此处,region-name 是区域的名称,如 us-east-1。因此,此区域的 Amazon RDS 区域服务主体如下。

    dms.us-east-1.amazonaws.com dms-data-migrations.amazonaws.com