本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 如何 AWS Database Migration Service 与 IAM 配合使用
在使用 IAM 管理访问权限之前 AWS DMS,您应该了解哪些可用的 IAM 功能 AWS DMS。要全面了解如何 AWS DMS 和其他 AWS 服务与 IAM 配合使用,请参阅 IAM *用户指南中的与 IAM* [配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
**Topics**
+ [AWS DMS 基于身份的策略](#security_iam_service-with-iam-id-based-policies)
+ [AWS DMS 基于资源的政策](#security_iam_service-with-iam-resource-based-policies)
+ [基于 AWS DMS 标签的授权](#security_iam_service-with-iam-tags)
+ [的 IAM 角色适用于 AWS DMS](#security_iam_service-with-iam-roles)
+ [适用于 DMS Fleet Advisor 的身份和访问管理](#fa-security-iam)
## AWS DMS 基于身份的策略
使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源,并指定在什么条件下允许或拒绝操作。 AWS DMS 支持特定操作、资源和条件键。要了解在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)**。
### 操作
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
正在执行的策略操作在操作前 AWS DMS 使用以下前缀:`dms:`. 例如,要授予某人使用 AWS DMS `CreateReplicationTask` API 操作创建复制任务的权限,您需要将该`dms:CreateReplicationTask`操作包含在他们的策略中。策略声明必须包含`Action`或`NotAction`元素。 AWS DMS 定义了它自己的一组操作,这些操作描述了您可以使用此服务执行的任务。
要在单个语句中指定多项 操作,请使用逗号将它们隔开,如下所示。
```
"Action": [
"dms:action1",
"dms:action2"
```
您也可以使用通配符 (\$1) 指定多个操作。例如,要指定以单词 `Describe` 开头的所有操作,请包括以下操作。
```
"Action": "dms:Describe*"
```
要查看 AWS DMS 操作列表,请参阅 *IAM 用户指南 AWS Database Migration Service*中的[定义操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdatabasemigrationservice.html#awsdatabasemigrationservice-actions-as-permissions)。
### 资源
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。
```
"Resource": "*"
```
AWS DMS 适用于以下资源:
+ 证书
+ 端点
+ 事件订阅
+ 复制实例
+ 复制子网(安全)组
+ 复制任务
所需的一个或多个 AWS DMS 资源取决于您调用的一个或多个操作。您需要一个允许对关联资源或该资源指定的资源执行这些操作的策略 ARNs。
例如, AWS DMS 终端节点资源具有以下 ARN:
```
arn:${Partition}:dms:${Region}:${Account}:endpoint/${InstanceId}
```
有关格式的更多信息 ARNs,请参阅 [Amazon 资源名称 (ARNs) 和 AWS 服务命名空间](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。
例如,要在语句中指定 `us-east-2` 区域的 `1A2B3C4D5E6F7G8H9I0J1K2L3M` 端点实例,请使用以下 ARN。
```
"Resource": "arn:aws:dms:us-east-2:987654321098:endpoint/1A2B3C4D5E6F7G8H9I0J1K2L3M"
```
要指定特定账户包含的所有端点,请使用通配符(\$1)。
```
"Resource": "arn:aws:dms:us-east-2:987654321098:endpoint/*"
```
某些 AWS DMS 操作(例如创建资源的操作)无法对特定资源执行。在这些情况下,您必须使用通配符(\$1)。
```
"Resource": "*"
```
某些 AWS DMS API 操作涉及多个资源。例如,`StartReplicationTask` 启动复制任务并将其连接到两个数据库端点资源(一个源和一个目标),因此 IAM 用户必须具有读取源端点和写入目标端点的权限。要在单个语句中指定多个资源,请 ARNs 用逗号分隔。
```
"Resource": [
"resource1",
"resource2" ]
```
有关使用策略控制 AWS DMS 资源访问权限的更多信息,请参阅[使用资源名称控制访问](CHAP_Security.FineGrainedAccess.md#CHAP_Security.FineGrainedAccess.ResourceName)。要查看 AWS DMS 资源类型及其列表 ARNs,请参阅 *IAM 用户指南 AWS Database Migration Service*中的[由定义的资源](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdatabasemigrationservice.html#awsdatabasemigrationservice-resources-for-iam-policies)。要了解您可以在哪些操作中指定每个资源的 ARN,请参阅 [AWS Database Migration Service定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdatabasemigrationservice.html#awsdatabasemigrationservice-actions-as-permissions)。
### 条件键
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
AWS DMS 定义自己的条件键集,还支持使用一些全局条件键。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
AWS DMS 定义了一组可以在其条件键中使用的标准标签,还允许您定义自己的自定义标签。有关更多信息,请参阅 [使用标签控制访问](CHAP_Security.FineGrainedAccess.md#CHAP_Security.FineGrainedAccess.Tags)。
要查看 AWS DMS 条件键列表,请参阅 *IAM 用户指南 AWS Database Migration Service*中的[条件密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdatabasemigrationservice.html#awsdatabasemigrationservice-policy-keys)。要了解可以对哪些操作和资源使用条件键,请参阅 [AWS Database Migration Service定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdatabasemigrationservice.html#awsdatabasemigrationservice-actions-as-permissions)和 [AWS Database Migration Service定义的资源](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdatabasemigrationservice.html#awsdatabasemigrationservice-resources-for-iam-policies)。
### 示例
要查看 AWS DMS 基于身份的策略的示例,请参阅。[AWS Database Migration Service 基于身份的策略示例](security_iam_id-based-policy-examples.md)
## AWS DMS 基于资源的政策
基于资源的策略是 JSON 策略文档,用于指定委托人可以对给定 AWS DMS 资源执行哪些操作以及在什么条件下可以执行哪些操作。 AWS DMS 支持针对您创建的 AWS KMS 加密密钥的基于资源的权限策略,这些密钥用于加密迁移到支持的目标端点的数据。支持的目标端点包括 Amazon Redshift 和 Amazon S3。通过使用基于资源的策略,您可以向每个目标端点的其他账户授予使用这些加密密钥的权限。
要启用跨账户访问,您可以将整个账户或其他账户中的 IAM 实体指定为[基于资源的策略中的委托人](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。将跨账户主体添加到基于资源的策略只是建立信任关系工作的一半而已。当委托人和资源位于不同的 AWS 账户中时,您还必须向委托人实体授予访问资源的权限。通过将基于身份的策略附加到实体以授予权限。但是,如果基于资源的策略向同一个账户中的主体授予访问权限,则不需要额外的基于身份的策略。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 角色与基于资源的策略有何不同](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html)。
该 AWS DMS 服务仅支持一种基于资源的策略,即*密钥策略,该策略*附加到 AWS KMS 加密密钥。此策略定义哪些委托人实体(账户、用户、角色和联合身份用户)可以对支持的目标端点上的迁移数据进行加密。
要了解如何将基于资源的策略附加到为支持的目标端点创建的加密密钥,请参阅 [创建和使用 AWS KMS 密钥对亚马逊 Redshift 目标数据进行加密](CHAP_Target.Redshift.md#CHAP_Target.Redshift.KMSKeys) 和 [创建用于加密 Amazon S3 目标对象的 AWS KMS 密钥](CHAP_Target.S3.md#CHAP_Target.S3.KMSKeys)。
### 示例
有关 AWS DMS 基于资源的策略的示例,请参阅[基于资源的策略示例 AWS KMS](security_iam_resource-based-policy-examples.md)。
## 基于 AWS DMS 标签的授权
您可以为 AWS DMS 资源附加标签或在请求中传递标签 AWS DMS。要根据标签控制访问权限,您可以使用`dms:ResourceTag/key-name``aws:RequestTag/key-name`、或[条件键在策略的`aws:TagKeys`条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。 AWS DMS 定义了一组可以在其条件键中使用的标准标签,还允许您定义自己的自定义标签。有关更多信息,请参阅 [使用标签控制访问](CHAP_Security.FineGrainedAccess.md#CHAP_Security.FineGrainedAccess.Tags)。
有关基于标签限制资源访问权的基于身份的策略示例,请参阅[根据标签访问 AWS DMS 资源](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-access-resources-tags)。
## 的 IAM 角色适用于 AWS DMS
I [AM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您的 AWS 账户中具有特定权限的实体。
### 将临时证书与 AWS DMS
您可以使用临时凭证进行联合身份登录、代入 IAM 角色或代入跨账户角色。您可以通过调用[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)或之类的 AWS STS API 操作来获得临时安全证书[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)。
AWS DMS 支持使用临时证书。
### 服务关联角色
[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)允许 AWS 服务访问其他服务中的资源以代表您完成操作。服务关联角色显示在 IAM 账户中,并归该服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。
有关创建或管理 AWS DMS 服务相关角色的详细信息,请参阅[使用服务关联角色](using-service-linked-roles.md)。
### 服务角色
此功能允许服务代表您担任[服务角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在 IAM 账户中,并归该账户所有。这意味着,IAM 管理员可以更改该角色的权限。但是,这样做可能会中断服务的功能。
AWS DMS 支持两种类型的服务角色,您必须创建这些角色才能使用某些源端点或目标端点:
+ 具有允许 AWS DMS 访问以下源端点和目标端点(或其资源)权限的角色:
+ Amazon DynamoDB(作为目标)– 有关更多信息,请参阅[使用 DynamoDB 作为目标的先决条件 AWS Database Migration Service](CHAP_Target.DynamoDB.md#CHAP_Target.DynamoDB.Prerequisites)。
+ OpenSearch 作为目标 — 有关更多信息,请参阅[使用亚马逊 OpenSearch 服务作为目标的先决条件 AWS Database Migration Service](CHAP_Target.Elasticsearch.md#CHAP_Target.Elasticsearch.Prerequisites)。
+ Amazon Kinesis(作为目标)– 有关更多信息,请参阅[使用 Kinesis 数据流作为目标的先决条件 AWS Database Migration Service](CHAP_Target.Kinesis.md#CHAP_Target.Kinesis.Prerequisites)。
+ Amazon Redshift(作为目标)– 仅当创建自定义 KMS 加密密钥以便加密目标数据,或者指定自定义 S3 存储桶以便保留中间任务存储时,才需要创建指定角色。有关更多信息,请参阅[创建和使用 AWS KMS 密钥对亚马逊 Redshift 目标数据进行加密](CHAP_Target.Redshift.md#CHAP_Target.Redshift.KMSKeys)或 [Amazon S3 存储桶设置](CHAP_Target.Redshift.md#CHAP_Target.Redshift.EndpointSettings.S3Buckets)。
+ Amazon S3(作为源或目标)– 有关更多信息,请参阅[使用 Amazon S3 作为来源的先决条件 AWS DMS](CHAP_Source.S3.md#CHAP_Source.S3.Prerequisites)或[将 Amazon S3 作为目标的先决条件](CHAP_Target.S3.md#CHAP_Target.S3.Prerequisites)。
例如,要从 S3 源端点读取数据或将数据推送到 S3 目标端点,您必须创建服务角色作为针对其中的每个端点操作访问 S3 的先决条件。
+ 拥有使用 AWS DMS 控制台、 AWS CLI 和 AWS DMS API 所需的权限的角色 — 您需要创建的两个 IAM 角色是`dms-vpc-role`和。`dms-cloudwatch-logs-role`如果您使用 Amazon Redshift 作为目标数据库,则还必须创建 IAM 角色并将其`dms-access-for-endpoint`添加到您的 AWS 账户。有关更多信息,请参阅 [创建要与一起使用的 IAM 角色 AWS DMS](security-iam.md#CHAP_Security.APIRole)。
### 在中选择 IAM 角色 AWS DMS
如果您使用 AWS DMS 控制台、 AWS CLI 或 AWS DMS API 进行数据库迁移,则必须先向 AWS 账户添加某些 IAM 角色,然后才能使用 DMS 的 AWS 功能。其中两个角色为 `dms-vpc-role` 和 `dms-cloudwatch-logs-role`。如果您使用 Amazon Redshift 作为目标数据库,则还必须将 IAM 角色`dms-access-for-endpoint`添加到您的 AWS 账户。有关更多信息,请参阅 [创建要与一起使用的 IAM 角色 AWS DMS](security-iam.md#CHAP_Security.APIRole)。
## 适用于 DMS Fleet Advisor 的身份和访问管理
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源,以及允许或拒绝操作的条件。DMS Fleet Advisor 支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)**。
DMS Fleet Advisor 使用 IAM 角色访问 Amazon Simple Storage Service。I [AM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您的 AWS 账户中具有特定权限的实体。有关更多信息,请参阅 [创建 IAM 资源](fa-resources.md#fa-resources-iam)。