AWS Database Migration Service 的操作、资源和条件键
AWS Database Migration Service(服务前缀:dms)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。
参考:
主题
AWS Database Migration Service 定义的操作
您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI
命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。
资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限
ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。
有关下表中各列的详细信息,请参阅 操作表。
| 操作 | 描述 | 访问级别 | 资源类型(* 为必需) | 条件键 | 相关操作 |
|---|---|---|---|---|---|
| AddTagsToResource | 向 DMS 资源中添加元数据标签,包括复制实例、终端节点、安全组和迁移任务 | 标记 | |||
| ApplyPendingMaintenanceAction | 将待处理的维护操作应用于资源(例如,应用于复制实例)。 | 写入 | |||
| CreateEndpoint | 使用提供的设置创建终端节点 | 写入 | |||
| CreateEventSubscription | 创建 AWS DMS 事件通知订阅。 | 写入 | |||
| CreateReplicationInstance | 使用指定参数创建复制实例 | 写入 | |||
| CreateReplicationSubnetGroup | 在给定 VPC 中的子网 ID 列表后创建复制子网组 | 写入 | |||
| CreateReplicationTask | 使用指定参数创建复制任务 | 写入 | |||
| DeleteCertificate | 删除指定的证书 | 写入 | |||
| DeleteEndpoint | 删除指定的终端节点 | 写入 | |||
| DeleteEventSubscription | 删除 AWS DMS 事件订阅。 | 写入 | |||
| DeleteReplicationInstance | 删除指定的复制实例 | 写入 | |||
| DeleteReplicationSubnetGroup | 删除子网组 | 写入 | |||
| DeleteReplicationTask | 删除指定的复制任务 | 写入 | |||
| DescribeAccountAttributes | 列出客户账户的所有 AWS DMS 属性 | Read | |||
| DescribeCertificates | 提供证书的说明。 | Read | |||
| DescribeConnections | 描述在复制实例与终端节点之间已建立连接的状态 | Read | |||
| DescribeEndpointTypes | 返回有关可用终端节点类型的信息 | Read | |||
| DescribeEndpoints | 返回有关在当前区域中用于您的账户的终端节点的信息 | Read | |||
| DescribeEventCategories | 列出所有事件源类型的类别,或在指定时列出指定源类型的类别。 | Read | |||
| DescribeEventSubscriptions | 列出客户账户的所有事件订阅。 | Read | |||
| DescribeEvents | 列出给定源标识符和源类型的事件。 | Read | |||
| DescribeOrderableReplicationInstances | 返回有关可在指定区域内创建的复制实例类型的信息。 | Read | |||
| DescribeRefreshSchemasStatus | 返回 RefreshSchemas 操作的状态 | Read | |||
| DescribeReplicationInstanceTaskLogs | 返回有关指定任务的任务日志的信息。 | Read | |||
| DescribeReplicationInstances | 返回有关在当前区域中用于您的账户的复制实例的信息 | Read | |||
| DescribeReplicationSubnetGroups | 返回有关复制子网组的信息 | Read | |||
| DescribeReplicationTaskAssessmentResults | 从 Amazon S3 中返回任务评估结果。该操作始终返回最新的结果。 | Read | |||
| DescribeReplicationTasks | 返回有关在当前区域中用于您的账户的复制任务的信息 | Read | |||
| DescribeSchemas | 返回有关指定终端节点的架构信息 | Read | |||
| DescribeTableStatistics | 返回有关数据库迁移任务的表统计数据,包括表名称、插入的行、更新的行和删除的行 | Read | |||
| ImportCertificate | 上传指定的证书。 | 写入 | |||
| ListTagsForResource | 列出 AWS DMS 资源的所有标签 | List | |||
| ModifyEndpoint | 修改指定的终端节点 | 写入 | |||
| ModifyEventSubscription | 修改现有的 AWS DMS 事件通知订阅。 | 写入 | |||
| ModifyReplicationInstance | 修改复制实例以应用新设置 | 写入 | |||
| ModifyReplicationSubnetGroup | 修改指定复制子网组的设置 | 写入 | |||
| ModifyReplicationTask | 修改指定的复制任务。 | 写入 | |||
| RebootReplicationInstance | 重新引导复制实例。重新引导将导致暂时中断,直到复制实例再次变为可用。 | 写入 | |||
| RefreshSchemas | 填充指定终端节点的架构 | 写入 | |||
| ReloadTables | 使用源数据重新加载目标数据库表。 | 写入 | |||
| RemoveTagsFromResource | 从 DMS 资源中删除元数据标签 | 标记 | |||
| StartReplicationTask | 启动复制任务 | 写入 | |||
| StartReplicationTaskAssessment | 为源数据库中的不支持的数据类型启动复制任务评估。 | 写入 | |||
| StopReplicationTask | 停止复制任务 | 写入 | |||
| TestConnection | 测试复制实例与终端节点之间的连接 | Read | |||
AWS Database Migration Service 定义的资源类型
以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅 资源类型表。
| 资源类型 | 进行筛选 | 条件键 |
|---|---|---|
| ReplicationInstance |
arn:${Partition}:dms:${Region}:${Account}:rep:*
|
|
| ReplicationTask |
arn:${Partition}:dms:${Region}:${Account}:task:*
|
|
| Endpoint |
arn:${Partition}:dms:${Region}:${Account}:endpoint:*
|
|
| Certificate |
arn:${Partition}:dms:${Region}:${Account}:cert:*
|
|
| EventSubscription |
arn:${Partition}:dms:${Region}:${Account}:es:*
|
|
| ReplicationSubnetGroup |
arn:${Partition}:dms:${Region}:${Account}:subgrp:*
|
AWS Database Migration Service 的条件键
AWS Database Migration Service 定义以下可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅 条件键表。
要查看适用于所有服务的全局条件键,请参阅可用的全局条件键。
| 条件键 | 描述 | 类型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 根据在请求中是否具有标签键值对以筛选操作 | 字符串 |
| aws:ResourceTag/${TagKey} | 根据附加到资源的标签键值对筛选操作 | 字符串 |
| aws:TagKeys | 根据在请求中是否具有标签键以筛选操作 | 字符串 |
| dms:cert-tag/${TagKey} | 根据在 Certificate 请求中是否具有标签键以筛选操作 | 字符串 |
| dms:endpoint-tag/${TagKey} | 根据在 Endpoint 请求中是否具有标签键以筛选操作 | 字符串 |
| dms:es-tag/${TagKey} | 根据在 EventSubscription 请求中是否具有标签键以筛选操作 | 字符串 |
| dms:rep-tag/${TagKey} | 根据在 ReplicationInstance 请求中是否具有标签键以筛选操作 | 字符串 |
| dms:req-tag/${TagKey} | 根据在请求中是否具有标签键值对以筛选操作 | 字符串 |
| dms:subgrp-tag/${TagKey} | 根据在 ReplicationSubnetGroup 请求中是否具有标签键以筛选操作 | 字符串 |
| dms:task-tag/${TagKey} | 根据在 ReplicationTask 请求中是否具有标签键以筛选操作 | 字符串 |