为同构数据迁移创建所需的IAM资源 Amazon DMS - Amazon 数据库迁移服务
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为同构数据迁移创建所需的IAM资源 Amazon DMS

要运行同构数据迁移,您必须在账户中创建IAM策略和IAM角色才能与其他 Amazon 服务进行交互。在本节中,您将创建这些必需的IAM资源。

为同构数据迁移创建IAM策略 Amazon DMS

要访问您的数据库和迁移数据,请为同构数据迁移 Amazon DMS 创建一个无服务器环境。在此环境中, Amazon DMS 需要访问对VPC等互连、路由表、安全组和其他 Amazon 资源。此外,还会在 Amazon 中 Amazon DMS 存储每次数据迁移的日志、指标和进度 CloudWatch。要创建数据迁移项目, Amazon DMS 需要访问这些服务。

在此步骤中,您将创建一项提供 Amazon DMS 对 Amazon EC2 和 CloudWatch 资源的访问权限的IAM策略。接下来,创建一个IAM角色并附加此策略。

要在中创建同构数据迁移IAM策略 Amazon DMS
  1. 登录 Amazon Web Services Management Console 并打开IAM控制台,网址为https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择策略

  3. 选择创建策略

  4. 创建策略页面中,选择JSON选项卡。

  5. 将以下内容粘贴JSON到编辑器中。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs", "ec2:DescribePrefixLists", "logs:DescribeLogGroups" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "servicequotas:GetServiceQuota" ], "Resource": "arn:aws:servicequotas:*:*:vpc/L-0EA8095F" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:*:*:log-group:dms-data-migration-*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:dms-data-migration-*:log-stream:dms-data-migration-*" }, { "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateRoute", "ec2:DeleteRoute" ], "Resource": "arn:aws:ec2:*:*:route-table/*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:security-group-rule/*", "arn:aws:ec2:*:*:route-table/*", "arn:aws:ec2:*:*:vpc-peering-connection/*", "arn:aws:ec2:*:*:vpc/*" ] }, { "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress" ], "Resource": "arn:aws:ec2:*:*:security-group-rule/*" }, { "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress" ], "Resource": "arn:aws:ec2:*:*:security-group/*" }, { "Effect": "Allow", "Action": [ "ec2:AcceptVpcPeeringConnection", "ec2:ModifyVpcPeeringConnectionOptions" ], "Resource": "arn:aws:ec2:*:*:vpc-peering-connection/*" }, { "Effect": "Allow", "Action": "ec2:AcceptVpcPeeringConnection", "Resource": "arn:aws:ec2:*:*:vpc/*" } ] }
  6. 选择下一步:标签下一步:审核

  7. 名称*中输入 HomogeneousDataMigrationsPolicy,然后选择创建策略

在中为同构数据迁移创建IAM角色 Amazon DMS

在此步骤中,您将创建一个提供对 Amazon Secrets Manager EC2、Amazon 和 Amazon DMS 的访问权限的IAM角色 CloudWatch。

在中创建用于同构数据迁移的IAM角色 Amazon DMS
  1. 登录 Amazon Web Services Management Console 并打开IAM控制台,网址为https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择角色

  3. 选择创建角色

  4. 选择可信实体页面中,在可信实体类型下选择 Amazon 服务对于其他 Amazon 服务的用例,请选择DMS

  5. 选中该DMS复选框并选择 “下一步”。

  6. 添加权限页面上 HomogeneousDataMigrationsPolicy,选择您之前创建的权限。另外,选择SecretsManagerReadWrite。选择下一步

  7. 命名、检查并创建页面上,在角色名称中输入 HomogeneousDataMigrationsRole,然后选择创建角色

  8. 角色页面上,在角色名称中输入 HomogeneousDataMigrationsRole。选择HomogeneousDataMigrationsRole

  9. HomogeneousDataMigrationsRole页面上,选择信任关系选项卡。选择编辑信任策略

  10. 编辑信任策略页面上,JSON将以下内容粘贴到编辑器中,替换现有文本。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "dms-data-migrations.amazonaws.com", "dms.your_region.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }

    在前面的示例中,替换 your_region 用你的名字 Amazon Web Services 区域。

    上述基于资源的策略为 Amazon DMS 服务委托人提供了根据托管策略SecretsManagerReadWrite和客户 Amazon 托管策略执行任务的权限。HomogeneousDataMigrationsPolicy

  11. 选择更新策略