Erstellung von IAM-Ressourcen für homogene Migrationen

RDS verwendet AWS DMS , um Ihre Daten zu migrieren. Damit Sie auf Ihre Datenbanken zugreifen und Daten migrieren können, AWS DMS wird eine serverlose Umgebung für homogene Datenmigrationen geschaffen. In dieser Umgebung ist Zugriff auf VPC-Peering, Routing-Tabellen, Sicherheitsgruppen und andere AWS Ressourcen AWS DMS erforderlich. AWS DMS Speichert außerdem Protokolle, Metriken und den Fortschritt für jede Datenmigration in Amazon CloudWatch. Um ein Datenmigrationsprojekt zu erstellen, AWS DMS ist Zugriff auf diese Dienste erforderlich.

AWS DMS Erfordert außerdem Zugriff auf die Geheimnisse, die eine Reihe von Benutzeranmeldeinformationen darstellen, um die Datenbankverbindung für die Quell- und Zielverbindung zu authentifizieren.

Anmerkung

Mithilfe der Aktion Daten aus EC2 Instance migrieren können Sie die RDS-Konsole verwenden, um diese IAM-Ressourcen zu generieren. Überspringen Sie diesen Schritt, wenn Sie die von der Konsole generierten IAM-Ressourcen verwenden.

Für diesen Prozess benötigen Sie die folgenden IAM-Ressourcen:

Themen

• Erstellung einer IAM-Richtlinie für homogene Datenmigrationen

• Eine IAM-Rolle für homogene Datenmigrationen erstellen

• Eine geheime Zugriffsrichtlinie und -rolle erstellen

• Eine IAM Rolle für die Verwaltung AWS DMS von Amazon erstellen VPC

Erstellung einer IAM-Richtlinie für homogene Datenmigrationen

In diesem Schritt erstellen Sie eine IAM-Richtlinie, die den Zugriff auf Amazon EC2 und CloudWatch Ressourcen ermöglicht AWS DMS . Anschließend erstellen Sie eine IAM-Rolle und fügen dieser diese Richtlinie an.

Um eine IAM-Richtlinie für die Datenmigration zu erstellen

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

2. Wählen Sie im Navigationsbereich Richtlinien.

3. Wählen Sie Richtlinie erstellen aus.

4. Wählen Sie auf der Seite Richtlinie erstellen die Registerkarte JSON aus.

5. Fügen Sie den folgenden JSON-Code in den Editor ein.

   JSON

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:DescribeRouteTables",
                   "ec2:DescribeSecurityGroups",
                   "ec2:DescribeVpcPeeringConnections",
                   "ec2:DescribeVpcs",
                   "ec2:DescribePrefixLists",
                   "logs:DescribeLogGroups"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "servicequotas:GetServiceQuota"
               ],
               "Resource": "arn:aws:servicequotas:*:*:vpc/L-0EA8095F"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "logs:CreateLogGroup",
                   "logs:DescribeLogStreams"
               ],
               "Resource": "arn:aws:logs:*:*:log-group:dms-data-migration-*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "logs:CreateLogStream",
                   "logs:PutLogEvents"
               ],
               "Resource": "arn:aws:logs:*:*:log-group:dms-data-migration-*:log-stream:dms-data-migration-*"
           },
           {
               "Effect": "Allow",
               "Action": "cloudwatch:PutMetricData",
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:CreateRoute",
                   "ec2:DeleteRoute"
               ],
               "Resource": "arn:aws:ec2:*:*:route-table/*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:CreateTags"
               ],
               "Resource": [
                   "arn:aws:ec2:*:*:security-group/*",
                   "arn:aws:ec2:*:*:security-group-rule/*",
                   "arn:aws:ec2:*:*:route-table/*",
                   "arn:aws:ec2:*:*:vpc-peering-connection/*",
                   "arn:aws:ec2:*:*:vpc/*"
               ]
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:AuthorizeSecurityGroupEgress",
                   "ec2:AuthorizeSecurityGroupIngress"
               ],
               "Resource": "arn:aws:ec2:*:*:security-group-rule/*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:AuthorizeSecurityGroupEgress",
                   "ec2:AuthorizeSecurityGroupIngress",
                   "ec2:RevokeSecurityGroupEgress",
                   "ec2:RevokeSecurityGroupIngress"
               ],
               "Resource": "arn:aws:ec2:*:*:security-group/*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:AcceptVpcPeeringConnection",
                   "ec2:ModifyVpcPeeringConnectionOptions"
               ],
               "Resource": "arn:aws:ec2:*:*:vpc-peering-connection/*"
           },
           {
               "Effect": "Allow",
               "Action": "ec2:AcceptVpcPeeringConnection",
               "Resource": "arn:aws:ec2:*:*:vpc/*"
           }
       ]
   }
   

6. Wählen Sie Weiter: Tags und Weiter: Prüfen aus.

7. Geben Sie unter Name* HomogeneousDataMigrationsPolicy ein und wählen Sie dann Richtlinie erstellen aus.

Eine IAM-Rolle für homogene Datenmigrationen erstellen

In diesem Schritt erstellen Sie eine IAM-Rolle, die Zugriff auf AWS Secrets Manager Amazon EC2 und CloudWatch bietet.

Um eine IAM-Rolle für Datenmigrationen zu erstellen

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

2. Wählen Sie im Navigationsbereich Rollen aus.

3. Wählen Sie Create role (Rolle erstellen) aus.

4. Wählen Sie auf der Seite Vertrauenswürdige Entität auswählen unter Typ der vertrauenswürdigen Entität die Option AWS -Service aus. Unter Anwendungsfälle für andere AWS -Services wählen Sie DMS.

5. Markieren Sie das Kontrollkästchen DMS und wählen Sie Weiter.

6. Wählen Sie auf der Seite „Berechtigungen hinzufügen“ HomogeneousDataMigrationsPolicydie Option aus, die Sie zuvor erstellt haben. Wählen Sie Weiter aus.

7. Geben Sie auf der Seite Rollenname festlegen und überprüfen HomogeneousDataMigrationsRole für Rollenname ein und wählen Sie Rolle erstellen aus.

8. Geben Sie auf der Seite Rollen HomogeneousDataMigrationsRole für Rollenname ein. Wählen Sie HomogeneousDataMigrationsRole.

9. Wählen Sie auf der HomogeneousDataMigrationsRoleSeite die Registerkarte Vertrauensbeziehungen aus. Wählen Sie Vertrauensrichtlinie bearbeiten aus.

10. Fügen Sie auf der Seite Vertrauensrichtlinie bearbeiten den folgenden JSON-Code in den Editor ein und ersetzen Sie den vorhandenen Text.

    JSON

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "",
                "Effect": "Allow",
                "Principal": {
                    "Service": [
                        "dms-data-migrations.amazonaws.com",
                        "dms.your_region.amazonaws.com"
                    ]
                },
                "Action": "sts:AssumeRole"
            }
        ]
    }
    

    Ersetzen Sie es im vorherigen Beispiel your_region durch den Namen Ihres AWS-Region.

    Die oben genannte ressourcenbasierte Richtlinie gewährt AWS DMS Service Principals Berechtigungen zur Ausführung von Aufgaben gemäß der vom Kunden verwalteten Richtlinie. HomogeneousDataMigrationsPolicy

11. Wählen Sie Richtlinie aktualisieren.