本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Database Migration Service 的操作、资源和条件键
Amazon Database Migration Service(服务前缀:dms)提供以下特定于服务的资源、操作和条件上下文密钥,供在 IAM 权限策略中使用。
参考:
主题
Amazon Database Migration Service 定义的操作
您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 Amazon中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。
“操作” 表的 “访问级别” 列描述了如何对操作进行分类(列出、读取、权限管理或标记)。此分类可以帮助您了解当您在策略中使用操作时,相应操作授予的访问级别。有关访问级别的更多信息,请参阅策略摘要中的访问级别。
操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。
操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。
注意
资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。
有关下表中各列的详细信息,请参阅操作表。
| 操作 | 描述 | 访问级别 | 资源类型(* 为必需) | 条件键 | 相关操作 |
|---|---|---|---|---|---|
| AddTagsToResource | 授予向 DMS 资源(包括复制实例、终端节点、安全组和迁移任务)添加元数据标签的权限 | Tagging | |||
| ApplyPendingMaintenanceAction | 授予将待处理的维护操作应用于资源(例如,应用于复制实例)的权限 | 写入 | |||
| AssociateExtensionPack | 授予权限以关联扩展包 | 写入 | |||
| BatchStartRecommendations | 授予权限以开始分析最多 20 个源数据库,从而为每个源数据库推荐目标引擎 | 写入 | |||
| CancelReplicationTaskAssessmentRun | 授予取消单个迁移前评估运行的权限 | 写入 | |||
| CreateDataMigration | 授予使用提供的设置创建数据库迁移的权限 | 写入 |
iam:PassRole |
||
| CreateDataProvider | 授予权限以使用提供的设置创建数据提供程序 | 写入 |
iam:PassRole |
||
| CreateEndpoint | 授予使用提供的设置创建终端节点的权限 | 写入 |
iam:PassRole |
||
| CreateEventSubscription | 授予创建 Amazon DMS 事件通知订阅的权限 | 写入 | |||
| CreateFleetAdvisorCollector | 授予使用指定参数创建 Fleet Advisor 收集器的权限 | 写入 |
iam:PassRole |
||
| CreateInstanceProfile | 授予权限以使用提供的设置创建实例配置文件 | 写入 |
iam:PassRole |
||
| CreateMigrationProject | 授予权限以使用提供的设置创建迁移项目 | 写入 |
iam:PassRole |
||
| CreateReplicationConfig | 授予使用提供的设置创建复制配置的权限 | 写入 | |||
| CreateReplicationInstance | 授予使用指定参数创建复制实例的权限 | 写入 |
iam:PassRole |
||
| CreateReplicationSubnetGroup | 根据 VPC 中的子网列表,授予创建复制子网组 IDs 的权限 | 写入 | |||
| CreateReplicationTask | 授予使用指定参数创建复制任务的权限 | Write | |||
| DeleteCertificate | 授予删除指定证书的权限 | Write | |||
| DeleteConnection | 授予删除复制实例和终端节点之间的指定连接的权限 | 写入 | |||
| DeleteDataMigration | 授予删除指定的数据库迁移的权限 | 写入 | |||
| DeleteDataProvider | 授予权限以删除指定的数据提供程序 | 写入 | |||
| DeleteEndpoint | 授予删除指定终端节点的权限 | 写入 | |||
| DeleteEventSubscription | 授予删除 Amazon DMS 活动订阅的权限 | 写入 | |||
| DeleteFleetAdvisorCollector | 授予删除指定 Fleet Advisor 收集器的权限 | 写入 | |||
| DeleteFleetAdvisorDatabases | 授予删除指定 Fleet Advisor 数据库的权限 | 写入 | |||
| DeleteInstanceProfile | 授予权限以删除指定的实例配置文件 | 写入 | |||
| DeleteMigrationProject | 授予权限以删除指定的迁移项目 | 写入 | |||
| DeleteReplicationConfig | 授予删除指定的复制配置的权限 | 写入 | |||
| DeleteReplicationInstance | 授予删除指定复制实例的权限 | Write | |||
| DeleteReplicationSubnetGroup | 授予删除子网组的权限 | Write | |||
| DeleteReplicationTask | 授予删除指定复制任务的权限 | Write | |||
| DeleteReplicationTaskAssessmentRun | 授予删除单个迁移前评估运行记录的权限 | 写入 | |||
| DescribeAccountAttributes | 授予列出客户账户所有 Amazon DMS 属性的权限 | 读取 | |||
| DescribeApplicableIndividualAssessments | 授予列出可为新迁移前评估运行指定的单个评估的权限 | Read | |||
| DescribeCertificates | 授予提供证书描述的权限 | Read | |||
| DescribeConnections | 授予描述在复制实例与终端节点之间已建立的连接状态的权限 | 读取 | |||
| DescribeConversionConfiguration | 授予返回有关 DMS 架构转换项目配置信息的权限 | 读取 | |||
| DescribeDataMigrations | 授予返回指定区域中您账户的数据库迁移信息的权限 | 读取 | |||
| DescribeEndpointSettings | 授予在为特定数据库引擎创建终端节点时返回可能的终端节点设置的权限 | 读取 | |||
| DescribeEndpointTypes | 授予返回有关可用终端节点类型的信息的权限 | Read | |||
| DescribeEndpoints | 授予返回有关当前区域账户终端节点信息的权限 | 读取 | |||
| DescribeEngineVersions | 授予权限以返回 DMS 复制实例可用版本的相关信息 | 读取 | |||
| DescribeEventCategories | 授予列出所有事件源类型的类别(或如果指定,则列出指定源类型的类别)的权限 | Read | |||
| DescribeEventSubscriptions | 授予列出客户账户的所有订阅描述的权限 | Read | |||
| DescribeEvents | 授予列出给定源标识符和源类型事件的权限 | 读取 | |||
| DescribeFleetAdvisorCollectors | 授予根据筛选条件设置返回账户中 Fleet Advisor 收集器分页列表的权限 | 读取 | |||
| DescribeFleetAdvisorDatabases | 授予根据筛选条件设置返回账户中 Fleet Advisor 数据库分页列表的权限 | 读取 | |||
| DescribeFleetAdvisorLsaAnalysis | 授予返回由 Fleet Advisor 收集器生成的大规模评估 (LSA) 分析描述的分页列表的权限 | 读取 | |||
| DescribeFleetAdvisorSchemaObjectSummary | 授予返回 Fleet Advisor 收集器根据筛选条件设置发现的架构描述的分页列表的权限 | 读取 | |||
| DescribeFleetAdvisorSchemas | 授予返回 Fleet Advisor 收集器根据筛选条件设置发现的架构分页列表的权限 | 读取 | |||
| DescribeMetadataModelImports | 授予返回有关启动迁移项目元数据模型导入操作信息的权限 | 读取 | |||
| DescribeOrderableReplicationInstances | 授予返回有关可在指定区域内创建的复制实例类型信息的权限 | 读取 | |||
| DescribePendingMaintenanceActions | 授予返回待处理维护操作相关信息的权限 | 读取 | |||
| DescribeRecommendationLimitations | 授予返回目标 Amazon 引擎推荐的限制描述的分页列表的权限 | 读取 | |||
| DescribeRecommendations | 授予权限以返回源数据库的目标引擎推荐说明的分页列表 | 读取 | |||
| DescribeRefreshSchemasStatus | 授予返回 RefreshSchemas 操作状态的权限 | 读取 | |||
| DescribeReplicationConfigs | 授予描述复制配置的权限 | 读取 | |||
| DescribeReplicationInstanceTaskLogs | 授予返回有关指定任务的任务日志信息的权限 | Read | |||
| DescribeReplicationInstances | 授予返回有关当前区域中账户的复制实例信息的权限 | Read | |||
| DescribeReplicationSubnetGroups | 授予返回有关复制子网组信息的权限 | 读取 | |||
| DescribeReplicationTableStatistics | 授予描述复制表统计信息的权限 | 读取 | |||
| DescribeReplicationTaskAssessmentResults | 授予从 Amazon S3 返回最新任务评估结果的权限 | Read | |||
| DescribeReplicationTaskAssessmentRuns | 授予根据过滤器设置返回迁移前评估运行的分页列表的权限 | Read | |||
| DescribeReplicationTaskIndividualAssessments | 授予根据筛选条件设置返回单个评估的分页列表的权限 | Read | |||
| DescribeReplicationTasks | 授予返回有关您账户在当前区域的复制任务信息的权限 | 读取 | |||
| DescribeReplications | 授予描述复制的权限 | 读取 | |||
| DescribeSchemas | 授予返回有关指定终端节点的架构信息的权限 | Read | |||
| DescribeTableStatistics | 授予返回有关数据库迁移任务的表统计数据(包括表名称、插入的行、更新的行和删除的行)的权限 | 读取 | |||
| ExportMetadataModelAssessment | 授予权限以导出指定的元数据模型评估 | 写入 | |||
| ImportCertificate | 授予上传指定证书的权限 | 写入 | |||
| ListDataProviders | 授予列出数据提供者的 Amazon DMS 属性的权限 | 读取 | |||
| ListExtensionPacks | 授予列出扩展 Amazon 包的 DMS 属性的权限 | 读取 | |||
| ListInstanceProfiles | 授予列出实例配置 Amazon 文件的 DMS 属性的权限 | 读取 | |||
| ListMetadataModelAssessmentActionItems [仅权限] | 授予列出元数据模型评估措施项的 Amazon DMS 属性的权限。注意。尽管需要执行此操作 StartMetadataModelImport,但后者目前并未授权上述架构转换操作 | 读取 |
dms:StartMetadataModelImport |
||
| ListMetadataModelAssessments | 授予列出元数据模型评估的 Amazon DMS 属性的权限 | 读取 | |||
| ListMetadataModelConversions | 授予列出元数据模型转换的 Amazon DMS 属性的权限 | 读取 | |||
| ListMetadataModelExports | 授予列出元数据模型导出的 Amazon DMS 属性的权限 | 读取 | |||
| ListMigrationProjects | 授予列出迁移项目的 Amazon DMS 属性的权限。注意。尽管此操作需要 DescribeMigrationProjects 和 DescribeConversionConfiguration,但这两个必需的操作目前都未授权上述架构转换操作 | 读取 |
dms:DescribeConversionConfiguration |
||
| ListTagsForResource | 授予列出 Amazon DMS 资源所有标签的权限 | 读取 | |||
| ModifyDataMigration | 授予修改指定的数据库迁移的权限 | 写入 |
iam:PassRole |
||
| ModifyEndpoint | 授予权限以修改指定端点 | 写入 |
iam:PassRole |
||
| ModifyEventSubscription | 授予修改现有 Amazon DMS 事件通知订阅的权限 | 写入 | |||
| ModifyFleetAdvisorCollector [仅权限] | 授予修改指定 Fleet Advisor 收集器的名称和描述的权限 | 写入 | |||
| ModifyFleetAdvisorCollectorStatuses [仅权限] | 授予修改指定 Fleet Advisor 收集器状态的权限 | 写入 | |||
| ModifyReplicationConfig | 授予修改指定的复制配置的权限 | 写入 | |||
| ModifyReplicationInstance | 授予修改复制实例以应用新设置的权限 | Write | |||
| ModifyReplicationSubnetGroup | 授予修改指定复制子网组设置的权限 | Write | |||
| ModifyReplicationTask | 授予修改指定复制任务的权限 | Write | |||
| MoveReplicationTask | 授予将指定复制任务移动到其他复制实例的权限 | Write | |||
| RebootReplicationInstance | 授予重启复制实例的权限。重启将导致暂时中断,直到复制实例再次变为可用 | Write | |||
| RefreshSchemas | 授予为指定终端节点填充架构的权限 | 写入 | |||
| ReloadReplicationTables | 授予使用复制源重新加载目标数据库表的权限 | 写入 | |||
| ReloadTables | 授予使用源数据重新加载目标数据库表的权限 | Write | |||
| RemoveTagsFromResource | 授予从 DMS 资源中删除元数据标签的权限 | 标记 | |||
| RunFleetAdvisorLsaAnalysis | 授予对账户中的每个 Fleet Advisor 收集器进行大规模评估 (LSA) 分析的权限 | 写入 | |||
| StartDataMigration | 授予启动数据库迁移的权限 | 写入 | |||
| StartMetadataModelAssessment | 授予权限以启动元数据模型的新评估 | 写入 | |||
| StartMetadataModelConversion | 授予权限以启动元数据模型的新转换 | 写入 | |||
| StartMetadataModelExportAsScripts | 授予权限以将元数据模型的新导出作为脚本启动 | 写入 | |||
| StartMetadataModelExportToTarget | 授予权限以将元数据模型的新导出启动到目标 | 写入 | |||
| StartMetadataModelImport | 授予权限以启动元数据模型的新导入 | 写入 | |||
| StartRecommendations | 授予权限以启动对源数据库的分析,从而提供目标引擎的建议 | 写入 | |||
| StartReplication | 授予启动复制的权限 | 写入 | |||
| StartReplicationTask | 授予启动复制任务的权限 | Write | |||
| StartReplicationTaskAssessment | 授予为源数据库中的不支持的数据类型启动复制任务评估的权限 | Write | |||
| StartReplicationTaskAssessmentRun | 授予为迁移任务的一个或多个单独评估启动新的迁移前评估运行的权限 | 写入 |
iam:PassRole |
||
| StopDataMigration | 授予停止数据库迁移的权限 | 写入 | |||
| StopReplication | 授予停止复制的权限 | 写入 | |||
| StopReplicationTask | 授予停止复制任务的权限 | Write | |||
| TestConnection | 授予测试复制实例和终端节点之间连接的权限 | 读取 | |||
| UpdateConversionConfiguration | 授予权限以更新转换配置 | 写入 | |||
| UpdateDataProvider | 授予权限以更新指定的数据提供程序 | 写入 | |||
| UpdateInstanceProfile | 授予权限以更新指定的实例配置文件 | 写入 | |||
| UpdateMigrationProject | 授予权限以更新指定的迁移项目 | 写入 | |||
| UpdateSubscriptionsToEventBridge | 授予将 DMS 订阅迁移到 Eventbridge 的权限 | 写入 | |||
| UploadFileMetadataList [仅权限] | 授予将文件上传到 Amazon S3 桶的权限 | 写入 |
Amazon Database Migration Service 定义的资源类型
以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表。
| 资源类型 | ARN | 条件键 |
|---|---|---|
| Certificate |
arn:${Partition}:dms:${Region}:${Account}:cert:*
|
|
| DataProvider |
arn:${Partition}:dms:${Region}:${Account}:data-provider:*
|
|
| DataMigration |
arn:${Partition}:dms:${Region}:${Account}:data-migration:*
|
|
| Endpoint |
arn:${Partition}:dms:${Region}:${Account}:endpoint:*
|
|
| EventSubscription |
arn:${Partition}:dms:${Region}:${Account}:es:*
|
|
| InstanceProfile |
arn:${Partition}:dms:${Region}:${Account}:instance-profile:*
|
|
| MigrationProject |
arn:${Partition}:dms:${Region}:${Account}:migration-project:*
|
|
| ReplicationConfig |
arn:${Partition}:dms:${Region}:${Account}:replication-config:*
|
|
| ReplicationInstance |
arn:${Partition}:dms:${Region}:${Account}:rep:*
|
|
| ReplicationSubnetGroup |
arn:${Partition}:dms:${Region}:${Account}:subgrp:*
|
|
| ReplicationTask |
arn:${Partition}:dms:${Region}:${Account}:task:*
|
|
| ReplicationTaskAssessmentRun |
arn:${Partition}:dms:${Region}:${Account}:assessment-run:*
|
|
| ReplicationTaskIndividualAssessment |
arn:${Partition}:dms:${Region}:${Account}:individual-assessment:*
|
Amazon Database Migration Service 的条件键
Amazon Database Migration Service 定义了以下可用于 IAM 策略Condition元素的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表。
要查看所有服务均可用的全局条件键,请参阅Amazon 全局条件上下文密钥。
| 条件键 | 描述 | 类型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 根据在请求中是否具有标签键值对来筛选访问权限 | 字符串 |
| aws:ResourceTag/${TagKey} | 按是否存在附加到资源的标签键值对筛选访问权限 | 字符串 |
| aws:TagKeys | 根据在请求中是否具有标签键来筛选访问 | ArrayOfString |
| dms:assessment-run-tag/${TagKey} | 根据请求中是否存在标签键值对来筛选访问权限 AssessmentRun | 字符串 |
| dms:cert-tag/${TagKey} | 根据在 Certificate 请求中是否具有标签键值对来筛选访问权限 | 字符串 |
| dms:data-migration-tag/${TagKey} | 根据请求中是否存在标签键值对来筛选访问权限 DataMigration | 字符串 |
| dms:data-provider-tag/${TagKey} | 根据请求中是否存在标签键值对来筛选访问权限 DataProvider | 字符串 |
| dms:endpoint-tag/${TagKey} | 根据在 Endpoint 请求中是否具有标签键值对来筛选访问权限 | 字符串 |
| dms:es-tag/${TagKey} | 根据请求中是否存在标签键值对来筛选访问权限 EventSubscription | 字符串 |
| dms:individual-assessment-tag/${TagKey} | 根据请求中是否存在标签键值对来筛选访问权限 IndividualAssessment | 字符串 |
| dms:instance-profile-tag/${TagKey} | 根据请求中是否存在标签键值对来筛选访问权限 InstanceProfile | 字符串 |
| dms:migration-project-tag/${TagKey} | 根据请求中是否存在标签键值对来筛选访问权限 MigrationProject | 字符串 |
| dms:rep-tag/${TagKey} | 根据请求中是否存在标签键值对来筛选访问权限 ReplicationInstance | 字符串 |
| dms:replication-config-tag/${TagKey} | 根据请求中是否存在标签键值对来筛选访问权限 ReplicationConfig | 字符串 |
| dms:req-tag/${TagKey} | 根据在给定请求中是否具有标签键值对来筛选访问权限 | 字符串 |
| dms:subgrp-tag/${TagKey} | 根据请求中是否存在标签键值对来筛选访问权限 ReplicationSubnetGroup | 字符串 |
| dms:task-tag/${TagKey} | 根据请求中是否存在标签键值对来筛选访问权限 ReplicationTask | 字符串 |