本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 的托管策略 AWS Database Migration Service
**Topics**
+ [
## AWS 托管策略:Amazon DMSVPCManagement 角色
](#security-iam-awsmanpol-AmazonDMSVPCManagementRole)
+ [
## AWS 托管策略: AWSDMSServerlessServiceRolePolicy
](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy)
+ [
## AWS 托管策略:Amazon DMSCloud WatchLogsRole
](#security-iam-awsmanpol-AmazonDMSCloudWatchLogsRole)
+ [
## AWS 托管策略: AWSDMSFleetAdvisorServiceRolePolicy
](#security-iam-awsmanpol-AWSDMSFleetAdvisorServiceRolePolicy)
+ [
## AWS 托管策略:亚马逊 DMSRedshift S3Role
](#security-iam-awsmanpol-AmazonDMSRedshiftS3Role)
+ [
## AWS DMS AWS 托管策略的更新
](#security-iam-awsmanpol-updates)
## AWS 托管策略:Amazon DMSVPCManagement 角色
该政策附属于该`dms-vpc-role`角色, AWS DMS 允许您代表您执行操作。
此政策向贡献者授予 AWS DMS 允许管理网络资源的权限。
**权限详细信息**
此策略包括以下操作:
+ `ec2:CreateNetworkInterface`— AWS DMS 需要此权限才能创建网络接口。这些接口对于 AWS DMS 复制实例连接到源和目标数据库至关重要。
+ `ec2:DeleteNetworkInterface`— AWS DMS 需要此权限才能在不再需要时清理它创建的网络接口。这有助于进行资源管理并避免不必要的成本。
+ `ec2:DescribeAvailabilityZones` – 此权限允许 AWS DMS 检索有关区域中可用区的信息。 AWS DMS 使用此信息来确保在正确的区域中预置资源以实现冗余和可用性。
+ `ec2:DescribeDhcpOptions`— AWS DMS 检索指定 VPC 的 DHCP 选项集详细信息。为复制实例正确配置网络时需要此信息。
+ `ec2:DescribeInternetGateways`— AWS DMS 可能需要此权限才能理解 VPC 中配置的互联网网关。如果复制实例或数据库需要访问互联网,则此信息至关重要。
+ `ec2:DescribeNetworkInterfaces`— AWS DMS 检索 VPC 内现有网络接口的相关信息。这些信息是正确配置网络接口和确保迁移过程的正确网络连接所必需的。 AWS DMS
+ `ec2:DescribeSecurityGroups`— 安全组控制实例和资源的入站和出站流量。 AWS DMS 需要描述安全组,以正确配置网络接口并确保复制实例和数据库之间的正常通信。
+ `ec2:DescribeSubnets`— 此权限 AWS DMS 允许列出 VPC 中的子网。 AWS DMS 使用此信息启动相应子网中的复制实例,确保它们具有必要的网络连接。
+ `ec2:DescribeVpcs`— 描述 VPCs 对于 AWS DMS 了解复制实例和数据库所在的网络环境至关重要。这包括了解 CIDR 块和其他特定于 VPC 的配置。
+ `ec2:ModifyNetworkInterfaceAttribute`— 修改其管理 AWS DMS 的网络接口的属性需要此权限。这可能包括调整设置以确保连接性和安全性。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeDhcpOptions",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管策略: AWSDMSServerlessServiceRolePolicy
该政策附属于该`AWSServiceRoleForDMSServerless`角色, AWS DMS 允许您代表您执行操作。有关更多信息,请参阅 [的服务相关角色 AWS DMS](slr-services-sl.md)。
此策略向贡献者授予 AWS DMS 允许管理复制资源的权限。
**权限详细信息**
该策略包含以下权限。
+ **AWS DMS**— 允许委托人与 AWS DMS 资源进行交互。
+ **Amazon S3** — 允许 DMS 创建 S3 存储桶来存储迁移前评估。S3 存储桶是为每个区域的一个用户创建的,其存储桶策略将访问权限限制为只能访问该服务的服务角色。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "id0",
"Effect": "Allow",
"Action": [
"dms:CreateReplicationInstance",
"dms:CreateReplicationTask"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"dms:req-tag/ResourceCreatedBy": "DMSServerless"
}
}
},
{
"Sid": "id1",
"Effect": "Allow",
"Action": [
"dms:DescribeReplicationInstances",
"dms:DescribeReplicationTasks"
],
"Resource": "*"
},
{
"Sid": "id2",
"Effect": "Allow",
"Action": [
"dms:StartReplicationTask",
"dms:StopReplicationTask",
"dms:ModifyReplicationTask",
"dms:DeleteReplicationTask",
"dms:ModifyReplicationInstance",
"dms:DeleteReplicationInstance"
],
"Resource": [
"arn:aws:dms:*:*:rep:*",
"arn:aws:dms:*:*:task:*"
],
"Condition": {
"StringEqualsIgnoreCase": {
"aws:ResourceTag/ResourceCreatedBy": "DMSServerless"
}
}
},
{
"Sid": "id3",
"Effect": "Allow",
"Action": [
"dms:TestConnection",
"dms:DeleteConnection"
],
"Resource": [
"arn:aws:dms:*:*:rep:*",
"arn:aws:dms:*:*:endpoint:*"
]
},
{
"Sid": "id4",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObject",
"s3:PutObjectTagging"
],
"Resource": [
"arn:aws:s3:::dms-serverless-premigration-results-*",
"arn:aws:s3:::dms-premigration-results-*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "id5",
"Effect": "Allow",
"Action": [
"s3:PutBucketPolicy",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:CreateBucket"
],
"Resource": [
"arn:aws:s3:::dms-serverless-premigration-results-*",
"arn:aws:s3:::dms-premigration-results-*"
],
"Condition": {
"StringEquals": {
"s3:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "id6",
"Effect": "Allow",
"Action": [
"dms:StartReplicationTaskAssessmentRun"
],
"Resource": [
"arn:aws:dms:*:*:task:*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS 托管策略:Amazon DMSCloud WatchLogsRole
该政策附属于该`dms-cloudwatch-logs-role`角色, AWS DMS 允许您代表您执行操作。有关更多信息,请参阅 [将服务相关角色用于 AWS DMS](using-service-linked-roles.md)。
此策略向贡献者授予允许 AWS DMS 向日志发布复制 CloudWatch 日志的权限。
**权限详细信息**
该策略包含以下权限。
+ `logs`— 允许委托人将日志发布到日 CloudWatch 志。此权限是必需的,这样 AWS DMS 才能使用它 CloudWatch 来显示复制日志。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribeOnAllLogGroups",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowDescribeOfAllLogStreamsOnDmsTasksLogGroup",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*"
]
},
{
"Sid": "AllowCreationOfDmsLogGroups",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:"
]
},
{
"Sid": "AllowCreationOfDmsLogStream",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
]
},
{
"Sid": "AllowUploadOfLogEventsToDmsLogStream",
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:dms-tasks-*:log-stream:dms-task-*",
"arn:aws:logs:*:*:log-group:dms-serverless-replication-*:log-stream:dms-serverless-*"
]
}
]
}
```
------
## AWS 托管策略: AWSDMSFleetAdvisorServiceRolePolicy
您无法附加 AWSDMSFleetAdvisorServiceRolePolicy 到您的 IAM 实体。此政策附加到服务相关角色,该角色允许 AWS DMS Fleet Advisor 代表您执行操作。有关更多信息,请参阅 [将服务相关角色用于 AWS DMS](using-service-linked-roles.md)。
该政策向贡献者授予权限,允许 AWS DMS Fleet Advisor 发布亚马逊 CloudWatch 指标。
**权限详细信息**
该策略包含以下权限。
+ `cloudwatch`— 允许委托人向 Amazon CloudWatch 发布指标数据点。此权限是必需的,这样 AWS DMS Fleet Advisor CloudWatch 才能使用它来显示包含数据库指标的图表。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/DMS/FleetAdvisor"
}
}
}
}
```
------
## AWS 托管策略:亚马逊 DMSRedshift S3Role
此策略提供的权限允许 AWS DMS 管理 Redshift 终端节点的 S3 设置。
**权限详细信息**
此策略包括以下操作:
+ `s3:CreateBucket` - 允许 DMS 创建带有“dms-”前缀的 S3 存储桶
+ `s3:ListBucket` - 允许 DMS 列出带有“dms-”前缀的 S3 存储桶的内容
+ `s3:DeleteBucket ` - 允许 DMS 删除带有“dms-”前缀的 S3 存储桶
+ `s3:GetBucketLocation` - 允许 DMS 检索 S3 存储桶所在的区域
+ `s3:GetObject` - 允许 DMS 从带有“dms-”前缀的 S3 存储桶中检索对象
+ `s3:PutObject` - 允许 DMS 向带有“dms-”前缀的 S3 存储桶添加对象
+ `s3:DeleteObject` - 允许 DMS 从带有“dms-”前缀的 S3 存储桶中删除对象
+ `s3:GetObjectVersion` - 允许 DMS 检索受版本控制的存储桶中特定版本的对象
+ `s3:GetBucketPolicy` - 允许 DMS 检索存储桶策略
+ `s3:PutBucketPolicy` - 允许 DMS 创建或更新存储桶策略
+ `s3:GetBucketAcl`-允许 DMS 检索存储桶访问控制列表 () ACLs
+ `s3:PutBucketVersioning` - 允许 DMS 在存储桶上启用或暂停版本控制
+ `s3:GetBucketVersioning` - 允许 DMS 检索存储桶的版本控制状态
+ `s3:PutLifecycleConfiguration` - 允许 DMS 为存储分区创建或更新生命周期规则
+ `s3:GetLifecycleConfiguration` - 允许 DMS 检索为存储桶配置的生命周期规则
+ `s3:DeleteBucketPolicy` - 允许 DMS 删除存储桶策略
所有这些权限仅适用于具有 ARN 模式的资源:`arn:aws:s3:::dms-*`
**JSON 策略文档**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:DeleteBucket",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:GetBucketAcl",
"s3:PutBucketVersioning",
"s3:GetBucketVersioning",
"s3:PutLifecycleConfiguration",
"s3:GetLifecycleConfiguration",
"s3:DeleteBucketPolicy"
],
"Resource": "arn:aws:s3:::dms-*"
}
]
}
```
------
## AWS DMS AWS 托管策略的更新
查看 AWS DMS 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。要获得有关此页面变更的自动提醒,请订阅 “ AWS DMS 文档历史记录” 页面上的 RSS feed。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy) – 更改 | AWS DMS 更新`AWSDMSServerlessServiceRolePolicy`为允许 DMS 创建 S3 存储桶,并将与 DMS 无服务器无关的复制任务的迁移前评估结果放入这些存储桶中。 | 2025 年 11 月 5 日 |
| [AWS DMS 无服务器的服务相关角色](slr-services-sl.md)-更改 | AWS DMS 已更新`AWSDMSServerlessServiceRolePolicy``dms:StartReplicationTaskAssessmentRun`以支持运行迁移前评估。 AWS DMS 还更新了无服务器服务相关角色以创建 S3 存储桶并将迁移前评估结果放入这些存储桶。 | 2025 年 2 月 14 日 |
| [AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy) – 更改 | AWS DMS 添加了 `dms:ModifyReplicationTask` S AWS DMS erverless 需要它才能调用修改复制任务的`ModifyReplicationTask`操作。 AWS DMS 添加了 `dms:ModifyReplicationInstance` S AWS DMS erverless 需要它才能调用`ModifyReplicationInstance`操作来修改复制实例。 | 2025 年 1 月 17 日 |
| [Amazon DMSVPCManagement 角色](#security-iam-awsmanpol-AmazonDMSVPCManagementRole)-更改 | AWS DMS 添加`ec2:DescribeDhcpOptions`了 AWS DMS 允许代表您管理网络设置的`ec2:DescribeNetworkInterfaces`操作。 | 2024 年 6 月 17 日 |
| [AWSDMSServerlessServiceRolePolicy](#security-iam-awsmanpol-AWSDMSServerlessServiceRolePolicy):新策略 | AWS DMS 添加了 AWS DMS 允许代表您创建和管理服务的`AWSDMSServerlessServiceRolePolicy`角色,例如发布 Amazon CloudWatch 指标。 | 2023 年 5 月 22 日 |
| [亚马逊 DMSCloud WatchLogsRole](#security-iam-awsmanpol-AmazonDMSCloudWatchLogsRole) — 改变 | AWS DMS 在授予的每个权限中添加了无服务器资源的 ARN,以允许将无服务器复制配置中的 AWS DMS 复制日志上传到日志。 CloudWatch | 2023 年 5 月 22 日 |
| [AWSDMSFleetAdvisorServiceRolePolicy](#security-iam-awsmanpol-AWSDMSFleetAdvisorServiceRolePolicy):新策略 | AWS DMS Fleet Advisor 添加了一项新政策,允许向亚马逊发布指标数据点 CloudWatch。 | 2023 年 3 月 6 日 |
| AWS DMS 已开始跟踪更改 | AWS DMS 开始跟踪其 AWS 托管策略的更改。 | 2023 年 3 月 6 日 |