AWS Database Migration Service 的操作、资源和条件键 - AWS Identity and Access Management
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS Database Migration Service 的操作、资源和条件键

AWS Database Migration Service(服务前缀:dms)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

AWS Database Migration Service 定义的操作

您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。

有关下表中各列的详细信息,请参阅 操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AddTagsToResource 向 DMS 资源中添加元数据标签,包括复制实例、终端节点、安全组和迁移任务 标记

Certificate

Endpoint

EventSubscription

ReplicationInstance

ReplicationSubnetGroup

ReplicationTask

aws:RequestTag/${TagKey}

aws:TagKeys

dms:req-tag/${TagKey}

ApplyPendingMaintenanceAction 将待处理的维护操作应用于资源(例如,应用于复制实例)。 写入

ReplicationInstance*

CreateEndpoint 使用提供的设置创建终端节点 写入

aws:RequestTag/${TagKey}

aws:TagKeys

dms:req-tag/${TagKey}

CreateEventSubscription 创建 AWS DMS 事件通知订阅。 写入

aws:RequestTag/${TagKey}

aws:TagKeys

dms:req-tag/${TagKey}

CreateReplicationInstance 使用指定参数创建复制实例 写入

aws:RequestTag/${TagKey}

aws:TagKeys

dms:req-tag/${TagKey}

CreateReplicationSubnetGroup 在给定 VPC 中的子网 ID 列表后创建复制子网组 写入

aws:RequestTag/${TagKey}

aws:TagKeys

dms:req-tag/${TagKey}

CreateReplicationTask 使用指定参数创建复制任务 写入

Endpoint*

ReplicationInstance*

aws:RequestTag/${TagKey}

aws:TagKeys

dms:req-tag/${TagKey}

DeleteCertificate 删除指定的证书 写入

Certificate*

DeleteEndpoint 删除指定的终端节点 写入

Endpoint*

DeleteEventSubscription 删除 AWS DMS 事件订阅。 写入

EventSubscription*

DeleteReplicationInstance 删除指定的复制实例 写入

ReplicationInstance*

DeleteReplicationSubnetGroup 删除子网组 写入

ReplicationSubnetGroup*

DeleteReplicationTask 删除指定的复制任务 写入

ReplicationTask*

DescribeAccountAttributes 列出客户账户的所有 AWS DMS 属性 Read
DescribeCertificates 提供证书的说明。 Read
DescribeConnections 描述在复制实例与终端节点之间已建立连接的状态 Read
DescribeEndpointTypes 返回有关可用终端节点类型的信息 Read
DescribeEndpoints 返回有关在当前区域中用于您的账户的终端节点的信息 Read
DescribeEventCategories 列出所有事件源类型的类别,或在指定时列出指定源类型的类别。 Read
DescribeEventSubscriptions 列出客户账户的所有事件订阅。 Read
DescribeEvents 列出给定源标识符和源类型的事件。 Read
DescribeOrderableReplicationInstances 返回有关可在指定区域内创建的复制实例类型的信息。 Read
DescribeRefreshSchemasStatus 返回 RefreshSchemas 操作的状态 Read

Endpoint*

DescribeReplicationInstanceTaskLogs 返回有关指定任务的任务日志的信息。 Read

ReplicationInstance*

aws:ResourceTag/${TagKey}

aws:TagKeys

DescribeReplicationInstances 返回有关在当前区域中用于您的账户的复制实例的信息 Read
DescribeReplicationSubnetGroups 返回有关复制子网组的信息 Read
DescribeReplicationTaskAssessmentResults 从 Amazon S3 中返回任务评估结果。该操作始终返回最新的结果。 Read

ReplicationTask

DescribeReplicationTasks 返回有关在当前区域中用于您的账户的复制任务的信息 Read
DescribeSchemas 返回有关指定终端节点的架构信息 Read

Endpoint*

DescribeTableStatistics 返回有关数据库迁移任务的表统计数据,包括表名称、插入的行、更新的行和删除的行 Read

ReplicationTask*

ImportCertificate 上传指定的证书。 写入

aws:RequestTag/${TagKey}

aws:TagKeys

ListTagsForResource 列出 AWS DMS 资源的所有标签 List

Certificate

Endpoint

EventSubscription

ReplicationInstance

ReplicationSubnetGroup

ReplicationTask

ModifyEndpoint 修改指定的终端节点 写入

Endpoint*

Certificate

ModifyEventSubscription 修改现有的 AWS DMS 事件通知订阅。 写入
ModifyReplicationInstance 修改复制实例以应用新设置 写入

ReplicationInstance*

ModifyReplicationSubnetGroup 修改指定复制子网组的设置 写入
ModifyReplicationTask 修改指定的复制任务。 写入

ReplicationTask*

RebootReplicationInstance 重新引导复制实例。重新引导将导致暂时中断,直到复制实例再次变为可用。 写入

ReplicationInstance*

RefreshSchemas 填充指定终端节点的架构 写入

Endpoint*

ReplicationInstance*

ReloadTables 使用源数据重新加载目标数据库表。 写入

ReplicationTask*

RemoveTagsFromResource 从 DMS 资源中删除元数据标签 标记

Certificate

Endpoint

EventSubscription

ReplicationInstance

ReplicationSubnetGroup

ReplicationTask

aws:TagKeys

StartReplicationTask 启动复制任务 写入

ReplicationTask*

StartReplicationTaskAssessment 为源数据库中的不支持的数据类型启动复制任务评估。 写入

ReplicationTask*

StopReplicationTask 停止复制任务 写入

ReplicationTask*

TestConnection 测试复制实例与终端节点之间的连接 Read

Endpoint*

ReplicationInstance*

AWS Database Migration Service 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅 资源类型表

资源类型 进行筛选 条件键
ReplicationInstance arn:${Partition}:dms:${Region}:${Account}:rep:*

aws:ResourceTag/${TagKey}

dms:rep-tag/${TagKey}

ReplicationTask arn:${Partition}:dms:${Region}:${Account}:task:*

aws:ResourceTag/${TagKey}

dms:task-tag/${TagKey}

Endpoint arn:${Partition}:dms:${Region}:${Account}:endpoint:*

aws:ResourceTag/${TagKey}

dms:endpoint-tag/${TagKey}

Certificate arn:${Partition}:dms:${Region}:${Account}:cert:*

aws:ResourceTag/${TagKey}

dms:cert-tag/${TagKey}

EventSubscription arn:${Partition}:dms:${Region}:${Account}:es:*

aws:ResourceTag/${TagKey}

dms:es-tag/${TagKey}

ReplicationSubnetGroup arn:${Partition}:dms:${Region}:${Account}:subgrp:*

aws:ResourceTag/${TagKey}

dms:subgrp-tag/${TagKey}

AWS Database Migration Service 的条件键

AWS Database Migration Service 定义以下可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅 条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 根据在请求中是否具有标签键值对以筛选操作 字符串
aws:ResourceTag/${TagKey} 根据附加到资源的标签键值对筛选操作 字符串
aws:TagKeys 根据在请求中是否具有标签键以筛选操作 字符串
dms:cert-tag/${TagKey} 根据在 Certificate 请求中是否具有标签键以筛选操作 字符串
dms:endpoint-tag/${TagKey} 根据在 Endpoint 请求中是否具有标签键以筛选操作 字符串
dms:es-tag/${TagKey} 根据在 EventSubscription 请求中是否具有标签键以筛选操作 字符串
dms:rep-tag/${TagKey} 根据在 ReplicationInstance 请求中是否具有标签键以筛选操作 字符串
dms:req-tag/${TagKey} 根据在请求中是否具有标签键值对以筛选操作 字符串
dms:subgrp-tag/${TagKey} 根据在 ReplicationSubnetGroup 请求中是否具有标签键以筛选操作 字符串
dms:task-tag/${TagKey} 根据在 ReplicationTask 请求中是否具有标签键以筛选操作 字符串