Eine geheime Zugriffsrichtlinie und -rolle erstellen - Amazon Relational Database Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Eine geheime Zugriffsrichtlinie und -rolle erstellen

Gehen Sie wie folgt vor, um Ihre geheime Zugriffsrichtlinie und Rolle zu erstellen, die es DMS ermöglichen, auf die Benutzeranmeldeinformationen für Ihre Quell- und Zieldatenbanken zuzugreifen.

Um die geheime Zugriffsrichtlinie und Rolle zu erstellen, die Amazon RDS den AWS Secrets Manager Zugriff auf Ihr entsprechendes Geheimnis ermöglicht

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS Identity and Access Management (IAM-) Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie Richtlinien und anschließend Richtlinie erstellen aus.

  3. Wählen Sie JSON aus und geben Sie die folgende Richtlinie ein, um den Zugriff auf Ihr Secret und dessen Entschlüsselung zu ermöglichen.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:SecretName-ABCDEF"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ]
}

    Hier secret_arn ist der ARN Ihres Geheimnisses, den Sie je nach SecretsManagerSecretId Bedarf von beiden abrufen können, und kms_key_arn der ARN des AWS KMS Schlüssels, mit dem Sie Ihr Geheimnis verschlüsseln, wie im folgenden Beispiel.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:us-east-2:123456789012:secret:MySQLTestSecret-qeHamH"
        },
        {
             "Effect": "Allow",
             "Action": [
                        "kms:Decrypt",
                        "kms:DescribeKey"
                      ],
             "Resource": "arn:aws:kms:us-east-2:123456789012:key/761138dc-0542-4e58-947f-4a3a8458d0fd"
        }
     ]
}
    Anmerkung

    Wenn Sie den standardmäßigen Verschlüsselungsschlüssel verwenden AWS Secrets Manager, der von erstellt wurde, müssen Sie die AWS KMS Berechtigungen für kms_key_arn nicht angeben.

    Wenn Sie möchten, dass Ihre Richtlinie Zugriff auf beide Geheimnisse gewährt, geben Sie einfach ein zusätzliches JSON-Ressourcenobjekt für das andere ansecret_arn.

  4. Überprüfen und erstellen Sie die Richtlinie mit einem Anzeigenamen und einer optionalen Beschreibung.

  5. Wählen Sie Rollen und anschließend Rolle erstellen aus.

  6. Wählen Sie als Typ der vertrauenswürdigen Entität AWS -Service aus.

  7. Wählen Sie in der Liste der Services DMS als vertrauenswürdigen Service aus und wählen Sie dann Weiter: Berechtigungen aus.

  8. Suchen Sie nach der Richtlinie, die Sie in Schritt 4 erstellt haben, und fügen Sie sie an. Fügen Sie dann alle Tags hinzu und überprüfen Sie Ihre Rolle. Bearbeiten Sie jetzt die Vertrauensbeziehungen für die Rolle, um Ihren Amazon RDS Regional Service Principal als vertrauenswürdige Entität zu verwenden. Dieser Prinzipal weist das folgende Format auf:

    dms.region-name.amazonaws.com

    Hier ist region-name der Name Ihrer Region, z. B. us-east-1. Somit folgt ein regionaler Amazon RDS-Servicechef für diese Region.

    dms.us-east-1.amazonaws.com
dms-data-migrations.amazonaws.com