适用于 Amazon Database Migration Service 的 Amazon 托管策略 - Amazon Database Migration Service
AmazonDMSVPCManagementRoleAWSDMSServerlessServiceRolePolicyAmazonDMSCloudWatchLogsRoleAWSDMSFleetAdvisorServiceRolePolicyAmazonDMSRedshiftS3Role策略更新
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

适用于 Amazon Database Migration Service 的 Amazon 托管策略

Amazon 托管策略:AmazonDMSVPCManagementRole

此策略附加到 dms-vpc-role 角色,允许 Amazon DMS 代表您执行操作。

此策略向贡献者授予允许 Amazon DMS 管理网络资源的权限。

权限详细信息

此策略包括以下操作:

  • ec2:CreateNetworkInterface – Amazon DMS 需要此权限来创建网络接口。这些接口对于 Amazon DMS 复制实例连接到源和目标数据库至关重要。

  • ec2:DeleteNetworkInterface – Amazon DMS 需要此权限来清理它所创建的不再需要的网络接口。这有助于进行资源管理并避免不必要的成本。

  • ec2:DescribeAvailabilityZones – 此权限允许 Amazon DMS 检索有关区域中可用区的信息。Amazon DMS 使用此信息来确保在正确的区域中预置资源以实现冗余和可用性。

  • ec2:DescribeDhcpOptions – Amazon DMS 检索指定 VPC 的 DHCP 选项集详细信息。为复制实例正确配置网络时需要此信息。

  • ec2:DescribeInternetGateways – Amazon DMS 可能需要此权限以了解 VPC 中配置的互联网网关。如果复制实例或数据库需要访问互联网,则此信息至关重要。

  • ec2:DescribeNetworkInterfaces – Amazon DMS 检索有关 VPC 内现有网络接口的信息。Amazon DMS 需要此信息来正确配置网络接口并确保迁移过程的网络连接正确。

  • ec2:DescribeSecurityGroups – 安全组负责控制实例和资源的入站和出站流量。Amazon DMS 需要描述安全组,以正确配置网络接口并确保复制实例和数据库之间的通信正常。

  • ec2:DescribeSubnets – 此权限允许 Amazon DMS 列出 VPC 中的子网。Amazon DMS 使用此信息启动相应子网中的复制实例,确保它们具有必要的网络连接。

  • ec2:DescribeVpcs – 描述 VPC 对于 Amazon DMS 了解复制实例和数据库所在的网络环境至关重要。这包括了解 CIDR 块和其他特定于 VPC 的配置。

  • ec2:ModifyNetworkInterfaceAttribute – Amazon DMS 修改其管理的网络接口的属性时需要此权限。这可能包括调整设置以确保连接性和安全性。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
			"Sid": "Statement1",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface",
				"ec2:DeleteNetworkInterface",
				"ec2:DescribeAvailabilityZones",
				"ec2:DescribeDhcpOptions",
				"ec2:DescribeInternetGateways",
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeSubnets",
				"ec2:DescribeVpcs",
				"ec2:ModifyNetworkInterfaceAttribute"
			],
			"Resource": "*"
		}
    ]
}

Amazon 托管策略:AWSDMSServerlessServiceRolePolicy

此策略附加到 AWSServiceRoleForDMSServerless 角色,允许 Amazon DMS 代表您执行操作。有关更多信息,请参阅 Amazon DMS Serverless 的服务相关角色

此策略向贡献者授予允许 Amazon DMS 管理复制资源的权限。

权限详细信息

该策略包含以下权限。

  • Amazon DMS – 允许主体与 Amazon DMS 资源进行交互。

  • Amazon S3 – 允许 S3 创建 S3 存储桶,用于存储无服务器迁移前评测。无服务器迁移前评测结果将以 dms-severless-premigration-assessment-<UUID> 前缀存储。S3 存储桶是为每个区域的一个用户创建的,其存储桶策略将访问权限限制为只能访问该服务的服务角色。

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "id0",
			"Effect": "Allow",
			"Action": [
				"dms:CreateReplicationInstance",
				"dms:CreateReplicationTask"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"dms:req-tag/ResourceCreatedBy": "DMSServerless"
				}
			}
		},
		{
			"Sid": "id1",
			"Effect": "Allow",
			"Action": [
				"dms:DescribeReplicationInstances",
				"dms:DescribeReplicationTasks"
			],
			"Resource": "*"
		},
		{
			"Sid": "id2",
			"Effect": "Allow",
			"Action": [
				"dms:StartReplicationTask",
				"dms:StopReplicationTask",
				"dms:ModifyReplicationTask",
				"dms:DeleteReplicationTask",
				"dms:ModifyReplicationInstance",
				"dms:DeleteReplicationInstance"
			],
			"Resource": [
				"arn:aws:dms:*:*:rep:*",
				"arn:aws:dms:*:*:task:*"
			],
			"Condition": {
				"StringEqualsIgnoreCase": {
					"aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
				}
			}
		},
		{
			"Sid": "id3",
			"Effect": "Allow",
			"Action": [
				"dms:TestConnection",
				"dms:DeleteConnection"
			],
			"Resource": [
				"arn:aws:dms:*:*:rep:*",
				"arn:aws:dms:*:*:endpoint:*"
			]
		},
		{
			"Sid": "id4",
			"Effect": "Allow",
			"Action": [
				"s3:PutObject",
				"s3:DeleteObject",
				"s3:GetObject",
				"s3:PutObjectTagging"
			],
			"Resource": [
				"arn:aws:s3:::dms-serverless-premigration-results-*"
			],
			"Condition": {
				"StringEquals": {
					"s3:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "id5",
			"Effect": "Allow",
			"Action": [
				"s3:PutBucketPolicy",
				"s3:ListBucket",
				"s3:GetBucketLocation",
				"s3:CreateBucket"
			],
			"Resource": [
				"arn:aws:s3:::dms-serverless-premigration-results-*"
			],
			"Condition": {
				"StringEquals": {
					"s3:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		},
		{
			"Sid": "id6",
			"Effect": "Allow",
			"Action": [
				"dms:StartReplicationTaskAssessmentRun"
			],
			"Resource": [
				"*"
			],
			"Condition": {
				"StringEqualsIgnoreCase": {
					"aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
				}
			}
		}
	]
}

Amazon 托管策略:AmazonDMSCloudWatchLogsRole

此策略附加到 dms-cloudwatch-logs-role 角色,允许 Amazon DMS 代表您执行操作。有关更多信息,请参阅将服务相关角色用于 Amazon DMS

此策略向贡献者授予允许 Amazon DMS 将复制日志发布到 CloudWatch Logs 的权限。

权限详细信息

该策略包含以下权限。

  • logs – 允许主体将日志发布到 CloudWatch Logs。Amazon DMS 需要此权限才能使用 CloudWatch 显示复制日志。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowDescribeOnAllLogGroups",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "AllowDescribeOfAllLogStreamsOnDmsTasksLogGroup",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*"
            ]
        },
        {
            "Sid": "AllowCreationOfDmsLogGroups",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:"
            ]
        },
        {
            "Sid": "AllowCreationOfDmsLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
            ]
        },
        {
            "Sid": "AllowUploadOfLogEventsToDmsLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
                "arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
            ]
        }
    ]
}

Amazon 托管策略:AWSDMSFleetAdvisorServiceRolePolicy

您不能将 AWSDMSFleetAdvisorServiceRolePolicy 附加到 IAM 实体。此策略可附加到允许 Amazon DMS 代表您执行操作的服务相关角色。有关更多信息,请参阅 将服务相关角色用于 Amazon DMS

此策略向贡献者授予允许 Amazon DMS Fleet Advisor 发布 Amazon CloudWatch 指标的权限。

权限详细信息

该策略包含以下权限。

  • cloudwatch – 允许主体将指标数据点发布到 Amazon CloudWatch。必须具备此权限,Amazon DMS Fleet Advisor 才能使用 CloudWatch 显示数据库指标图表。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Resource": "*",
        "Action": "cloudwatch:PutMetricData",
        "Condition": {
            "StringEquals": {
                "cloudwatch:namespace": "AWS/DMS/FleetAdvisor"
            }
        }
    }
}

Amazon 托管策略:AmazonDMSRedshiftS3Role

此策略提供的权限允许 Amazon DMS 管理 Redshift 端点的 S3 设置。

权限详细信息

此策略包括以下操作:

  • s3:CreateBucket - 允许 DMS 创建带有“dms-”前缀的 S3 存储桶

  • s3:ListBucket - 允许 DMS 列出带有“dms-”前缀的 S3 存储桶的内容

  • s3:DeleteBucket - 允许 DMS 删除带有“dms-”前缀的 S3 存储桶

  • s3:GetBucketLocation - 允许 DMS 检索 S3 存储桶所在的区域

  • s3:GetObject - 允许 DMS 从带有“dms-”前缀的 S3 存储桶中检索对象

  • s3:PutObject - 允许 DMS 向带有“dms-”前缀的 S3 存储桶添加对象

  • s3:DeleteObject - 允许 DMS 从带有“dms-”前缀的 S3 存储桶中删除对象

  • s3:GetObjectVersion - 允许 DMS 检索受版本控制的存储桶中特定版本的对象

  • s3:GetBucketPolicy - 允许 DMS 检索存储桶策略

  • s3:PutBucketPolicy - 允许 DMS 创建或更新存储桶策略

  • s3:GetBucketAcl - 允许 DMS 检索存储桶访问控制列表(ACL)

  • s3:PutBucketVersioning - 允许 DMS 在存储桶上启用或暂停版本控制

  • s3:GetBucketVersioning - 允许 DMS 检索存储桶的版本控制状态

  • s3:PutLifecycleConfiguration - 允许 DMS 为存储分区创建或更新生命周期规则

  • s3:GetLifecycleConfiguration - 允许 DMS 检索为存储桶配置的生命周期规则

  • s3:DeleteBucketPolicy - 允许 DMS 删除存储桶策略

所有这些权限仅适用于具有 ARN 模式的资源:arn:aws:s3:::dms-*

JSON 策略文档

JSON
{
  "Version":"2012-10-17",		 	 	  
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:CreateBucket",
        "s3:ListBucket", 
        "s3:DeleteBucket",
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:PutObject",
        "s3:DeleteObject",
        "s3:GetObjectVersion",
        "s3:GetBucketPolicy",
        "s3:PutBucketPolicy",
        "s3:GetBucketAcl",
        "s3:PutBucketVersioning",
        "s3:GetBucketVersioning",
        "s3:PutLifecycleConfiguration",
        "s3:GetLifecycleConfiguration",
        "s3:DeleteBucketPolicy"
      ],
      "Resource": "arn:aws:s3:::dms-*"
    }
  ]
}

对 Amazon 托管策略的 Amazon DMS 更新

查看有关 Amazon DMS 的 Amazon 托管策略更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的自动提示,请订阅Amazon DMS 文档历史记录页面上的 RSS 信息源。

更改 描述 日期

Amazon DMS Serverless 的服务相关角色 – 更改

Amazon DMS 更新了 AWSDMSServerlessServiceRolePolicy 以允许 dms:StartReplicationTaskAssessmentRun 支持运行迁移前评测。Amazon DMS 还更新了无服务器服务相关角色,以创建 S3 存储桶并将迁移前评测结果放入这些存储桶。

 2025 年 2 月 14 日

AWSDMSServerlessServiceRolePolicy – 更改

Amazon DMS 添加了 dms:ModifyReplicationTask,Amazon DMS Serverless 需要它才能调用 ModifyReplicationTask 操作,从而修改复制任务。Amazon DMS 添加了 dms:ModifyReplicationInstance,Amazon DMS Serverless 需要它才能调用 ModifyReplicationInstance 操作,从而修改复制实例。

 2025 年 1 月 17 日

AmazonDMSVPCManagementRole – 更改

Amazon DMS 添加了 ec2:DescribeDhcpOptionsec2:DescribeNetworkInterfaces 操作以允许 Amazon DMS 代表您管理网络设置。

 2024 年 6 月 17 日

AWSDMSServerlessServiceRolePolicy – 新策略

Amazon DMS 添加了 AWSDMSServerlessServiceRolePolicy 角色,允许 Amazon DMS 代表您创建和管理服务,如发布 Amazon CloudWatch 指标。

 2023 年 5 月 22 日

AmazonDMSCloudWatchLogsRole – 更改

Amazon DMS 将无服务器资源 ARN 添加到授予的每个权限中,以允许将 Amazon DMS 复制日志从无服务器复制配置上传到 CloudWatch Logs。

 2023 年 5 月 22 日

AWSDMSFleetAdvisorServiceRolePolicy – 新策略

Amazon DMS Fleet Advisor 添加了新策略,允许将指标数据点发布到 Amazon CloudWatch。

 2023 年 3 月 6 日

Amazon DMS 开启了跟踪更改

Amazon DMS 为其 Amazon 托管策略开启了跟踪更改。

 2023 年 3 月 6 日