AWS Database Migration Service 的操作、资源和条件键
AWS Database Migration Service(服务前缀:dms
)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。
参考:
主题
AWS Database Migration Service 定义的操作
您可以在 Action
策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI
命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。
资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource
元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限
ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。
有关下表中各列的详细信息,请参阅 操作表。
操作 | 描述 | 访问级别 | 资源类型(* 为必需) | 条件键 | 相关操作 |
---|---|---|---|---|---|
AddTagsToResource | 向 DMS 资源中添加元数据标签,包括复制实例、终端节点、安全组和迁移任务 | 标记 | |||
ApplyPendingMaintenanceAction | 将待处理的维护操作应用于资源(例如,应用于复制实例)。 | 写入 | |||
CreateEndpoint | 使用提供的设置创建终端节点 | 写入 | |||
CreateEventSubscription | 创建 AWS DMS 事件通知订阅。 | 写入 | |||
CreateReplicationInstance | 使用指定参数创建复制实例 | 写入 | |||
CreateReplicationSubnetGroup | 在给定 VPC 中的子网 ID 列表后创建复制子网组 | 写入 | |||
CreateReplicationTask | 使用指定参数创建复制任务 | 写入 | |||
DeleteCertificate | 删除指定的证书 | 写入 | |||
DeleteEndpoint | 删除指定的终端节点 | 写入 | |||
DeleteEventSubscription | 删除 AWS DMS 事件订阅。 | 写入 | |||
DeleteReplicationInstance | 删除指定的复制实例 | 写入 | |||
DeleteReplicationSubnetGroup | 删除子网组 | 写入 | |||
DeleteReplicationTask | 删除指定的复制任务 | 写入 | |||
DescribeAccountAttributes | 列出客户账户的所有 AWS DMS 属性 | Read | |||
DescribeCertificates | 提供证书的说明。 | Read | |||
DescribeConnections | 描述在复制实例与终端节点之间已建立连接的状态 | Read | |||
DescribeEndpointTypes | 返回有关可用终端节点类型的信息 | Read | |||
DescribeEndpoints | 返回有关在当前区域中用于您的账户的终端节点的信息 | Read | |||
DescribeEventCategories | 列出所有事件源类型的类别,或在指定时列出指定源类型的类别。 | Read | |||
DescribeEventSubscriptions | 列出客户账户的所有事件订阅。 | Read | |||
DescribeEvents | 列出给定源标识符和源类型的事件。 | Read | |||
DescribeOrderableReplicationInstances | 返回有关可在指定区域内创建的复制实例类型的信息。 | Read | |||
DescribeRefreshSchemasStatus | 返回 RefreshSchemas 操作的状态 | Read | |||
DescribeReplicationInstanceTaskLogs | 返回有关指定任务的任务日志的信息。 | Read | |||
DescribeReplicationInstances | 返回有关在当前区域中用于您的账户的复制实例的信息 | Read | |||
DescribeReplicationSubnetGroups | 返回有关复制子网组的信息 | Read | |||
DescribeReplicationTaskAssessmentResults | 从 Amazon S3 中返回任务评估结果。该操作始终返回最新的结果。 | Read | |||
DescribeReplicationTasks | 返回有关在当前区域中用于您的账户的复制任务的信息 | Read | |||
DescribeSchemas | 返回有关指定终端节点的架构信息 | Read | |||
DescribeTableStatistics | 返回有关数据库迁移任务的表统计数据,包括表名称、插入的行、更新的行和删除的行 | Read | |||
ImportCertificate | 上传指定的证书。 | 写入 | |||
ListTagsForResource | 列出 AWS DMS 资源的所有标签 | List | |||
ModifyEndpoint | 修改指定的终端节点 | 写入 | |||
ModifyEventSubscription | 修改现有的 AWS DMS 事件通知订阅。 | 写入 | |||
ModifyReplicationInstance | 修改复制实例以应用新设置 | 写入 | |||
ModifyReplicationSubnetGroup | 修改指定复制子网组的设置 | 写入 | |||
ModifyReplicationTask | 修改指定的复制任务。 | 写入 | |||
RebootReplicationInstance | 重新引导复制实例。重新引导将导致暂时中断,直到复制实例再次变为可用。 | 写入 | |||
RefreshSchemas | 填充指定终端节点的架构 | 写入 | |||
ReloadTables | 使用源数据重新加载目标数据库表。 | 写入 | |||
RemoveTagsFromResource | 从 DMS 资源中删除元数据标签 | 标记 | |||
StartReplicationTask | 启动复制任务 | 写入 | |||
StartReplicationTaskAssessment | 为源数据库中的不支持的数据类型启动复制任务评估。 | 写入 | |||
StopReplicationTask | 停止复制任务 | 写入 | |||
TestConnection | 测试复制实例与终端节点之间的连接 | Read | |||
AWS Database Migration Service 定义的资源类型
以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource
元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅 资源类型表。
资源类型 | 进行筛选 | 条件键 |
---|---|---|
ReplicationInstance |
arn:${Partition}:dms:${Region}:${Account}:rep:*
|
|
ReplicationTask |
arn:${Partition}:dms:${Region}:${Account}:task:*
|
|
Endpoint |
arn:${Partition}:dms:${Region}:${Account}:endpoint:*
|
|
Certificate |
arn:${Partition}:dms:${Region}:${Account}:cert:*
|
|
EventSubscription |
arn:${Partition}:dms:${Region}:${Account}:es:*
|
|
ReplicationSubnetGroup |
arn:${Partition}:dms:${Region}:${Account}:subgrp:*
|
AWS Database Migration Service 的条件键
AWS Database Migration Service 定义以下可以在 IAM 策略的 Condition
元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅 条件键表。
要查看适用于所有服务的全局条件键,请参阅可用的全局条件键。
条件键 | 描述 | 类型 |
---|---|---|
aws:RequestTag/${TagKey} | 根据在请求中是否具有标签键值对以筛选操作 | 字符串 |
aws:ResourceTag/${TagKey} | 根据附加到资源的标签键值对筛选操作 | 字符串 |
aws:TagKeys | 根据在请求中是否具有标签键以筛选操作 | 字符串 |
dms:cert-tag/${TagKey} | 根据在 Certificate 请求中是否具有标签键以筛选操作 | 字符串 |
dms:endpoint-tag/${TagKey} | 根据在 Endpoint 请求中是否具有标签键以筛选操作 | 字符串 |
dms:es-tag/${TagKey} | 根据在 EventSubscription 请求中是否具有标签键以筛选操作 | 字符串 |
dms:rep-tag/${TagKey} | 根据在 ReplicationInstance 请求中是否具有标签键以筛选操作 | 字符串 |
dms:req-tag/${TagKey} | 根据在请求中是否具有标签键值对以筛选操作 | 字符串 |
dms:subgrp-tag/${TagKey} | 根据在 ReplicationSubnetGroup 请求中是否具有标签键以筛选操作 | 字符串 |
dms:task-tag/${TagKey} | 根据在 ReplicationTask 请求中是否具有标签键以筛选操作 | 字符串 |