本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为同构数据迁移创建所需的IAM资源 Amazon DMS
要运行同构数据迁移,您必须在账户中创建IAM策略和IAM角色才能与其他 Amazon 服务进行交互。在本节中,您将创建这些必需的IAM资源。
为同构数据迁移创建IAM策略 Amazon DMS
要访问您的数据库和迁移数据,请为同构数据迁移 Amazon DMS 创建一个无服务器环境。在此环境中, Amazon DMS 需要访问对VPC等互连、路由表、安全组和其他 Amazon 资源。此外,还会在 Amazon 中 Amazon DMS 存储每次数据迁移的日志、指标和进度 CloudWatch。要创建数据迁移项目, Amazon DMS 需要访问这些服务。
在此步骤中,您将创建一项提供 Amazon DMS 对 Amazon EC2 和 CloudWatch 资源的访问权限的IAM策略。接下来,创建一个IAM角色并附加此策略。
要在中创建同构数据迁移IAM策略 Amazon DMS
登录 Amazon Web Services Management Console 并打开IAM控制台,网址为https://console.aws.amazon.com/iam/
。 在导航窗格中,选择策略。
选择创建策略。
在创建策略页面中,选择JSON选项卡。
将以下内容粘贴JSON到编辑器中。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs", "ec2:DescribePrefixLists", "logs:DescribeLogGroups" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "servicequotas:GetServiceQuota" ], "Resource": "arn:aws:servicequotas:*:*:vpc/L-0EA8095F" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:*:*:log-group:dms-data-migration-*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:dms-data-migration-*:log-stream:dms-data-migration-*" }, { "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateRoute", "ec2:DeleteRoute" ], "Resource": "arn:aws:ec2:*:*:route-table/*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:security-group-rule/*", "arn:aws:ec2:*:*:route-table/*", "arn:aws:ec2:*:*:vpc-peering-connection/*", "arn:aws:ec2:*:*:vpc/*" ] }, { "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress" ], "Resource": "arn:aws:ec2:*:*:security-group-rule/*" }, { "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress" ], "Resource": "arn:aws:ec2:*:*:security-group/*" }, { "Effect": "Allow", "Action": [ "ec2:AcceptVpcPeeringConnection", "ec2:ModifyVpcPeeringConnectionOptions" ], "Resource": "arn:aws:ec2:*:*:vpc-peering-connection/*" }, { "Effect": "Allow", "Action": "ec2:AcceptVpcPeeringConnection", "Resource": "arn:aws:ec2:*:*:vpc/*" } ] }
选择下一步:标签和下一步:审核。
在名称*中输入
HomogeneousDataMigrationsPolicy
,然后选择创建策略。
在中为同构数据迁移创建IAM角色 Amazon DMS
在此步骤中,您将创建一个提供对 Amazon Secrets Manager EC2、Amazon 和 Amazon DMS 的访问权限的IAM角色 CloudWatch。
在中创建用于同构数据迁移的IAM角色 Amazon DMS
登录 Amazon Web Services Management Console 并打开IAM控制台,网址为https://console.aws.amazon.com/iam/
。 在导航窗格中,选择角色。
选择创建角色。
在选择可信实体页面中,在可信实体类型下选择 Amazon 服务。对于其他 Amazon 服务的用例,请选择DMS。
选中该DMS复选框并选择 “下一步”。
在添加权限页面上 HomogeneousDataMigrationsPolicy,选择您之前创建的权限。另外,选择SecretsManagerReadWrite。选择下一步。
在命名、检查并创建页面上,在角色名称中输入
HomogeneousDataMigrationsRole
,然后选择创建角色。在角色页面上,在角色名称中输入
HomogeneousDataMigrationsRole
。选择HomogeneousDataMigrationsRole。在HomogeneousDataMigrationsRole页面上,选择信任关系选项卡。选择编辑信任策略。
在编辑信任策略页面上,JSON将以下内容粘贴到编辑器中,替换现有文本。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "dms-data-migrations.amazonaws.com", "dms.
your_region
.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }在前面的示例中,替换
your_region
用你的名字 Amazon Web Services 区域。上述基于资源的策略为 Amazon DMS 服务委托人提供了根据托管策略SecretsManagerReadWrite和客户 Amazon 托管策略执行任务的权限。HomogeneousDataMigrationsPolicy
选择更新策略。