Vollständige Voraussetzungen für die Arbeit mit der DMS-Schemakonvertierung - AWS Database Migration Service
Erstellen einer VPCErstellen eines S3-BucketsAnmeldeinformationen im Secrets Manager speichernIAM-Richtlinien erstellenErstellen Sie IAM-Rollen

Vollständige Voraussetzungen für die Arbeit mit der DMS-Schemakonvertierung

Führen Sie die folgenden Aufgaben aus, um DMS Schema Conversion einzurichten. Anschließend können Sie ein Instance-Profil einrichten, Datenanbieter hinzufügen und ein Migrationsprojekt erstellen.

Erstellen einer VPC basierend auf Amazon VPC

In diesem Schritt erstellen Sie eine virtuelle private Cloud (VPC) in Ihrem AWS-Konto. Diese VPC basiert auf dem Service Amazon Virtual Private Cloud (Amazon VPC) und enthält Ihre AWS -Ressourcen.

So erstellen Sie eine VPC für DMS Schema Conversion

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie VPC erstellen aus.

  3. Geben Sie auf der Seite VPC erstellen die folgenden Einstellungen ein:

    • Zu erstellende RessourcenVPC und mehr

    • Automatische Generierung des Namens-Tags – Wählen Sie Automatisch generieren aus und geben Sie einen global eindeutigen Namen ein. Geben Sie z. B. ei sc-vpc.

    • IPv4 CIDR-Block10.0.1.0/24

    • NAT-GatewaysIn 1 AZ

    • VPC endpoints (VPC-Endpunkte) – None (Keine)

  4. Behalten Sie die übrigen Einstellungen unverändert bei und wählen Sie dann VPC erstellen aus.

  5. Wählen Sie Subnetze und notieren Sie sich Ihr öffentliches und privates Subnetz. IDs

    Um eine Verbindung mit Ihren Amazon-RDS-Datenbanken herzustellen, erstellen Sie eine Subnetzgruppe, die öffentliche Subnetze enthält.

    Um eine Verbindung mit Ihren On-Premises-Datenbanken herzustellen, erstellen Sie eine Subnetzgruppe, die private Subnetze enthält. Weitere Informationen finden Sie unter Erstellen Sie ein Instanzprofil für die DMS-Schemakonvertierung.

  6. Wählen Sie NAT-Gateways aus. Wählen Sie Ihr NAT-Gateway aus und notieren Sie sich Ihre Elastic IP-Adresse.

    Konfigurieren Sie Ihr Netzwerk so, dass AWS DMS Sie über die öffentliche IP-Adresse dieses NAT-Gateways auf Ihre lokale Quelldatenbank zugreifen können. Weitere Informationen finden Sie unter Verwenden einer Internetverbindung zu einer VPC.

Verwenden Sie diese VPC, wenn Sie Ihr Instance-Profil und Ihre Zieldatenbanken in Amazon RDS erstellen.

Erstellen Sie einen Amazon S3 S3-Bucket

Erstellen Sie einen Amazon-S3-Bucket, in dem Informationen zu Ihrem Migrationsprojekt gespeichert werden sollen. DMS Schema Conversion verwendet diesen Amazon-S3-Bucket zum Speichern von Elementen wie Bewertungsberichten, konvertiertem SQL-Code, Informationen zu Datenbankschema-Objekten usw.

So erstellen Sie einen Amazon-S3-Bucket für DMS Schema Conversion

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter https://console.aws.amazon.com/s3/.

  2. Wählen Sie Create Bucket (Bucket erstellen) aus.

  3. Wählen Sie auf der Seite Bucket erstellen einen global eindeutigen Namen für Ihren S3-Bucket aus. Geben Sie z. B. ei sc-s3-bucket.

  4. Wählen Sie für AWS-Region Ihre Region aus.

  5. Wählen Sie für Bucket-Versionsverwaltung die Option Aktivieren aus.

  6. Behalten Sie die übrigen Einstellungen unverändert bei und wählen Sie dann Bucket erstellen aus.

Anmerkung

DMS Schema Conversion (SC) funktioniert nur mit S3-Buckets, die serverseitige Verschlüsselung mit Amazon S3-Managed Keys (SSE-S3) verwenden. Andere Verschlüsselungskonfigurationen, darunter serverseitige Verschlüsselung mit AWS KMS (SSE-KMS), vom Kunden bereitgestellte Schlüssel (SSE-C) oder clientseitige Verschlüsselung, werden derzeit von SC nicht unterstützt und verhindern, dass SC auf den S3-Bucket zugreift. Wenn Sie eine andere Verschlüsselungsmethode verwenden, müssen Sie einen separaten S3-Bucket mit SSE-S3 für die Verwendung mit der DMS-Schemakonvertierung erstellen.

Speichern Sie Datenbankanmeldeinformationen in AWS Secrets Manager

Speichern Sie Ihre Quell- und Zieldatenbankanmeldedaten in AWS Secrets Manager. Stellen Sie sicher, dass Sie diese Geheimnisse auf Ihre AWS-Region replizieren. DMS Schema Conversion verwendet diese Secrets, um eine Verbindung mit Ihren Datenbanken im Migrationsprojekt herzustellen.

Um Ihre Datenbankanmeldedaten zu speichern in AWS Secrets Manager

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Secrets Manager Konsole unter https://console.aws.amazon.com/secretsmanager/.

  2. Wählen Sie Store a new secret (Ein neues Secret speichern).

  3. Die Seite Geheimnis-Typ auswählen wird geöffnet. Wählen Sie als Secret-Typ den Typ der zu speichernden Datenbank-Anmeldeinformation aus:

    • Anmeldeinformationen für eine Amazon-RDS-Datenbank – Wählen Sie diese Option, um Anmeldeinformationen für Ihre Amazon-RDS-Datenbank zu speichern. Geben Sie als Anmeldeinformationen die Anmeldeinformationen für Ihre Datenbank ein. Als Datenbank wählen Sie Ihre Datenbank aus.

    • Anmeldeinformationen für eine andere Datenbank – Wählen Sie diese Option, um Anmeldeinformationen für Ihre Oracle- oder SQL-Server-Quelldatenbanken zu speichern. Geben Sie als Anmeldeinformationen die Anmeldeinformationen für Ihre Datenbank ein.

    • Anderer Geheimnistyp – Wählen Sie diese Option, um nur den Benutzernamen und das Passwort für die Verbindung mit Ihrer Datenbank zu speichern. Wählen Sie Zeile hinzufügen aus, um zwei Schlüssel-Wert-Paare hinzuzufügen. Stellen Sie sicher, dass Sie username und password für die Schlüsselnamen verwenden. Geben Sie für Werte, die sich auf diese Schlüssel beziehen, die Anmeldeinformationen für Ihre Datenbank ein.

  4. Wählen Sie unter Verschlüsselungsschlüssel den AWS KMS Schlüssel aus, mit dem Secrets Manager den geheimen Wert verschlüsselt. Wählen Sie Weiter aus.

  5. Geben Sie auf der Seite Geheimnis konfigurieren einen aussagekräftigen Wert für Secret-Name ein. Geben Sie beispielsweise sc-source-secret als sc-target-secret ein.

  6. Wählen Sie Replizieren von Secrets und anschließend für AWS-Region Ihre Region aus. Wählen Sie Weiter aus.

  7. Wählen Sie auf der Seite Konfigurieren der Rotation die Option Weiter aus.

  8. Prüfen Sie auf der Seite Review (Prüfen) die Secret-Details und wählen Sie Store (Speichern).

Wiederholen Sie diese Schritte, um Anmeldeinformationen für Ihre Quell- und Zieldatenbanken zu speichern.

IAM-Richtlinien erstellen

So erstellen Sie eine IAM-Richtlinie für die DMS-Schemakonvertierung für den Zugriff auf Amazon S3

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich Richtlinien.

  3. Wählen Sie Richtlinie erstellen aus.

  4. Wählen Sie auf der Seite Service auswählen Amazon S3 aus der Liste aus.

  5. Wählen Sie unter Zulässige Aktionen die Option PutObjectGetObject,GetObjectVersion,GetBucketVersioning,GetBucketLocation, ausListBucket.

  6. Geben Sie in den Ressourcen den ARN des Buckets an, den Sie im vorherigen Abschnitt erstellt haben. Wählen Sie Weiter aus.

  7. Geben Sie auf der Seite Überprüfen und erstellen einen aussagekräftigen Namen ein. Beispiel: sc-s3-policy. Wählen Sie dann Richtlinie erstellen aus.

Um eine IAM-Richtlinie für den Zugriff auf die DMS-Schemakonvertierung zu erstellen AWS Secrets Manager

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich Richtlinien.

  3. Wählen Sie Richtlinie erstellen aus.

  4. Wählen Sie auf der Seite Service auswählen die Option Secrets Manager aus der Liste aus.

  5. Wählen Sie Weiter aus. Die Seite Berechtigungen hinzufügen wird geöffnet.

  6. Wählen Sie unter Zulässige Aktionen die Option: GetSecretValue und ausDescribeSecret.

  7. Geben Sie auf der Seite Überprüfen und erstellen einen aussagekräftigen Namen ein. Beispiel: sc-secrets-manager-policy. Wählen Sie dann Richtlinie erstellen aus.

Erstellen von IAM-Rollen

Erstellen Sie AWS Identity and Access Management (IAM) -Rollen zur Verwendung in Ihrem Migrationsprojekt. DMS Schema Conversion verwendet diese IAM-Rollen für den Zugriff auf Ihren Amazon-S3-Bucket und Ihre in AWS Secrets Manager gespeicherten Datenbank-Anmeldeinformationen.

So erstellen Sie eine IAM-Rolle, die Zugriff auf Ihren Amazon-S3-Bucket ermöglicht

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich Rollen aus.

  3. Wählen Sie Create role (Rolle erstellen) aus.

  4. Wählen Sie auf der Seite Vertrauenswürdige Entitäten auswählen die Option AWS -Service aus. Wählen Sie DMS aus.

  5. Wählen Sie Weiter aus. Die Seite Berechtigungen hinzufügen wird geöffnet.

  6. Geben Sie für Filterrichtlinien den Wert S3 ein. Wählen Sie die Richtlinie sc-s3-policy aus, die Sie im vorherigen Abschnitt erstellt haben.

  7. Wählen Sie Weiter aus. Die Seite Name, prüfen und erstellen wird geöffnet.

  8. Geben Sie für Rollenname einen beschreibenden Namen ein. Geben Sie z. B. ei sc-s3-role. Wählen Sie Rolle erstellen aus.

  9. Geben Sie auf der Seite Rollen sc-s3-role für Rollenname ein. Wählen Sie sc-s3-role aus.

  10. Wählen Sie auf der Seite sc-s3-role die Registerkarte Vertrauensstellungen aus. Wählen Sie Vertrauensrichtlinie bearbeiten aus.

  11. Dieser AWS DMS regionale Dienstleiter hat das folgende Format:

    dms.region-name.amazonaws.com

    region-nameErsetzen Sie ihn durch den Namen Ihrer Region, z. B.us-east-1: Das folgende Codebeispiel zeigt den Prinzipal für die us-east-1 Region:

    dms.us-east-1.amazonaws.com

    Das folgende Codebeispiel zeigt eine Vertrauensrichtlinie für den Zugriff auf die AWS DMS Schemakonvertierung:

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "dms.us-east-1.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
Um eine IAM-Rolle zu erstellen, die Zugriff bietet auf AWS Secrets Manager

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich Rollen aus.

  3. Wählen Sie Create role (Rolle erstellen) aus.

  4. Wählen Sie auf der Seite Vertrauenswürdige Entitäten auswählen die Option AWS -Service aus. Wählen Sie DMS aus.

  5. Wählen Sie Weiter aus. Die Seite Berechtigungen hinzufügen wird geöffnet.

  6. Geben Sie für Filterrichtlinien den Wert s3 ein. Wählen Sie sc-secrets-manager-policydie aus, die Sie im vorherigen Abschnitt erstellt haben.

  7. Wählen Sie Weiter aus. Die Seite Name, prüfen und erstellen wird geöffnet.

  8. Geben Sie für Rollenname einen beschreibenden Namen ein. Geben Sie z. B. ei sc-secrets-manager-role. Wählen Sie Rolle erstellen aus.

  9. Geben Sie auf der Seite Rollen sc-secrets-manager-role für Rollenname ein. Wählen Sie sc-secrets-manager-role.

  10. Wählen Sie auf der sc-secrets-manager-roleSeite die Registerkarte Vertrauensbeziehungen aus. Wählen Sie Vertrauensrichtlinie bearbeiten aus.

  11. Bearbeiten Sie auf der Seite Vertrauensrichtlinie bearbeiten die Vertrauensbeziehungen für die zu verwendende Rolle schema-conversion.dms.amazonaws.com und Ihren AWS DMS regionalen Dienstprinzipal als vertrauenswürdige Entitäten. Dieser AWS DMS regionale Dienstprinzipal hat das folgende Format:

    dms.region-name.amazonaws.com

    region-nameErsetzen Sie ihn durch den Namen Ihrer Region, z. B.us-east-1: Das folgende Codebeispiel zeigt den Prinzipal für die us-east-1 Region:

    dms.us-east-1.amazonaws.com

    Das folgende Codebeispiel zeigt eine Vertrauensrichtlinie für den Zugriff auf die AWS DMS Schemakonvertierung:

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "dms.us-east-1.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
So erstellen Sie die dms-vpc-role IAM-Rolle für die Verwendung mit der AWS CLI oder API AWS DMS

  1. Erstellen Sie eine JSON-Datei mit der folgenden IAM-Richtlinie. Weisen Sie der JSON-Datei die Bezeichnung dmsAssumeRolePolicyDocument.json zu.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "dms.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    Erstellen Sie dann die Rolle mithilfe der AWS CLI mit dem folgenden Befehl:

    aws iam create-role --role-name dms-vpc-role --assume-role-policy-document file://dmsAssumeRolePolicyDocument.json

  2. Hängen Sie die AmazonDMSVPCManagementRole Richtlinie dms-vpc-role mit dem folgenden Befehl an:

    aws iam attach-role-policy --role-name dms-vpc-role --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSVPCManagementRole
So erstellen Sie die dms-cloudwatch-logs-role IAM-Rolle für die Verwendung mit der AWS CLI oder API AWS DMS

  1. Erstellen Sie eine JSON-Datei mit der folgenden IAM-Richtlinie. Weisen Sie der JSON-Datei die Bezeichnung dmsAssumeRolePolicyDocument2.json zu.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "dms.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    Erstellen Sie dann die Rolle mithilfe der AWS CLI mit dem folgenden Befehl:

    aws iam create-role --role-name dms-cloudwatch-logs-role --assume-role-policy-document file://dmsAssumeRolePolicyDocument2.json

  2. Hängen Sie die AmazonDMSCloudWatchLogsRole Richtlinie dms-cloudwatch-logs-role mit dem folgenden Befehl an:

    aws iam attach-role-policy --role-name dms-cloudwatch-logs-role --policy-arn arn:aws:iam::aws:policy/service-role/AmazonDMSCloudWatchLogsRole