为 Amazon DMS 中的同构数据迁移创建所需的 IAM 资源 - Amazon 数据库迁移服务
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Amazon DMS 中的同构数据迁移创建所需的 IAM 资源

要运行同构数据迁移,必须在账户中创建 IAM policy 和 IAM 角色,才能与其他 Amazon 服务进行交互。在本节中,您将创建这些必需的 IAM 资源。

为 Amazon DMS 中的同构数据迁移创建 IAM policy

为了访问数据库并迁移数据,Amazon DMS 会为同构数据迁移创建无服务器环境。在此环境中,Amazon DMS 需要访问 VPC 对等连接、路由表、安全组和其他 Amazon 资源。此外,Amazon DMS 将每个数据迁移的日志、指标和进度存储在 Amazon CloudWatch 中。要创建数据迁移项目,Amazon DMS 需要访问这些服务。

在此步骤中,创建 IAM policy,向 Amazon DMS 提供 Amazon EC2 和 CloudWatch 资源的访问权限。接下来,创建 IAM 角色并附加此策略。

为 Amazon DMS 中的同构数据迁移创建 IAM policy
  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择策略

  3. 选择创建策略

  4. 创建策略页面中,选择 JSON 选项卡。

  5. 将下面的 JSON 粘贴到编辑器中。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs", "ec2:DescribePrefixLists", "logs:DescribeLogGroups" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "servicequotas:GetServiceQuota" ], "Resource": "arn:aws:servicequotas:*:*:vpc/L-0EA8095F" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:*:*:log-group:dms-data-migration-*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:dms-data-migration-*:log-stream:dms-data-migration-*" }, { "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateRoute", "ec2:DeleteRoute" ], "Resource": "arn:aws:ec2:*:*:route-table/*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:security-group-rule/*", "arn:aws:ec2:*:*:route-table/*", "arn:aws:ec2:*:*:vpc-peering-connection/*", "arn:aws:ec2:*:*:vpc/*" ] }, { "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress" ], "Resource": "arn:aws:ec2:*:*:security-group-rule/*" }, { "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress" ], "Resource": "arn:aws:ec2:*:*:security-group/*" }, { "Effect": "Allow", "Action": [ "ec2:AcceptVpcPeeringConnection", "ec2:ModifyVpcPeeringConnectionOptions" ], "Resource": "arn:aws:ec2:*:*:vpc-peering-connection/*" }, { "Effect": "Allow", "Action": "ec2:AcceptVpcPeeringConnection", "Resource": "arn:aws:ec2:*:*:vpc/*" } ] }
  6. 选择下一步:标签下一步:审核

  7. 名称*中输入 HomogeneousDataMigrationsPolicy,然后选择创建策略

为 Amazon DMS 中的同构数据迁移创建 IAM 角色

在此步骤中,创建 IAM 角色,向 Amazon DMS 提供访问 Amazon Secrets Manager、Amazon EC2 和 CloudWatch 的权限。

为 Amazon DMS 中的同构数据迁移创建 IAM 角色
  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择角色

  3. 选择创建角色

  4. 选择可信实体页面中,在可信实体类型下选择 Amazon 服务。对于其他 Amazon 服务的应用场景,选择 DMS

  5. 选中 DMS 复选框,然后选择下一步

  6. 添加权限页面上,选择之前创建的 HomogeneousDataMigrationsPolicy。同时选择 SecretsManagerReadWrite。选择下一步

  7. 命名、检查并创建页面上,在角色名称中输入 HomogeneousDataMigrationsRole,然后选择创建角色

  8. 角色页面上,在角色名称中输入 HomogeneousDataMigrationsRole。选择 HomogeneousDataMigrationsRole

  9. HomogeneousDataMigrationsRole 页面上,选择信任关系选项卡。选择编辑信任策略

  10. 编辑信任策略页面上,将以下 JSON 粘贴到编辑器中,替换现有文本。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "dms-data-migrations.amazonaws.com", "dms.your_region.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }

    在以上示例中,请用您的 Amazon Web Services 区域名称替换 your_region

    上述基于资源的策略向 Amazon DMS 服务主体提供了根据 Amazon 托管的 SecretsManagerReadWrite 策略及客户托管的 HomogeneousDataMigrationsPolicy 策略执行任务的权限。

  11. 选择更新策略