Creación de recursos de IAM para migraciones homogéneas

RDS utiliza AWS DMS para migrar sus datos. Para acceder a las bases de datos y para migrar los datos, AWS DMS crea un entorno sin servidor para migraciones de datos homogéneas. En este entorno, AWS DMS requiere acceso a la interconexión de VPC, las tablas de enrutamiento, los grupos de seguridad y otros recursos de AWS. Además, AWS DMS almacena los registros, las métricas y el progreso de cada migración de datos en Amazon CloudWatch. Para crear un proyecto de migración de datos, AWS DMS necesita acceder a estos servicios.

Además, AWS DMS requiere acceso a los secretos que representan un conjunto de credenciales de usuario para autenticar la conexión de base de datos, tanto la de origen como la de destino.

nota

Con la acción Migrar datos de una instancia de EC2, puede utilizar la consola de RDS para generar estos recursos de IAM. Omita este paso si utiliza los recursos de IAM generados por la consola.

Para este procedimiento, necesita los siguientes recursos de IAM:

Temas

• Creación de una política de IAM para migraciones de datos homogéneas

• Creación de un rol de IAM para migraciones de datos homogéneas

• Creación de un rol y una política de acceso a un secreto

• Creación de un rol de IAM para que AWS DMS administre Amazon VPC

Creación de una política de IAM para migraciones de datos homogéneas

En este paso, se crea una política de IAM que proporciona a AWS DMS acceso a los recursos de Amazon EC2 y CloudWatch. Después, cree un rol de IAM y asocie esta política.

Creación de una política de IAM para una migración de datos

1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

2. En el panel de navegación, seleccione Políticas.

3. Elija Crear política.

4. En la página Crear política, elija la pestaña JSON.

5. Pegue el siguiente objeto JSON en el editor.

   JSON

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:DescribeRouteTables",
                   "ec2:DescribeSecurityGroups",
                   "ec2:DescribeVpcPeeringConnections",
                   "ec2:DescribeVpcs",
                   "ec2:DescribePrefixLists",
                   "logs:DescribeLogGroups"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "servicequotas:GetServiceQuota"
               ],
               "Resource": "arn:aws:servicequotas:*:*:vpc/L-0EA8095F"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "logs:CreateLogGroup",
                   "logs:DescribeLogStreams"
               ],
               "Resource": "arn:aws:logs:*:*:log-group:dms-data-migration-*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "logs:CreateLogStream",
                   "logs:PutLogEvents"
               ],
               "Resource": "arn:aws:logs:*:*:log-group:dms-data-migration-*:log-stream:dms-data-migration-*"
           },
           {
               "Effect": "Allow",
               "Action": "cloudwatch:PutMetricData",
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:CreateRoute",
                   "ec2:DeleteRoute"
               ],
               "Resource": "arn:aws:ec2:*:*:route-table/*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:CreateTags"
               ],
               "Resource": [
                   "arn:aws:ec2:*:*:security-group/*",
                   "arn:aws:ec2:*:*:security-group-rule/*",
                   "arn:aws:ec2:*:*:route-table/*",
                   "arn:aws:ec2:*:*:vpc-peering-connection/*",
                   "arn:aws:ec2:*:*:vpc/*"
               ]
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:AuthorizeSecurityGroupEgress",
                   "ec2:AuthorizeSecurityGroupIngress"
               ],
               "Resource": "arn:aws:ec2:*:*:security-group-rule/*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:AuthorizeSecurityGroupEgress",
                   "ec2:AuthorizeSecurityGroupIngress",
                   "ec2:RevokeSecurityGroupEgress",
                   "ec2:RevokeSecurityGroupIngress"
               ],
               "Resource": "arn:aws:ec2:*:*:security-group/*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:AcceptVpcPeeringConnection",
                   "ec2:ModifyVpcPeeringConnectionOptions"
               ],
               "Resource": "arn:aws:ec2:*:*:vpc-peering-connection/*"
           },
           {
               "Effect": "Allow",
               "Action": "ec2:AcceptVpcPeeringConnection",
               "Resource": "arn:aws:ec2:*:*:vpc/*"
           }
       ]
   }
   

6. Elija Siguiente: Etiquetas y Siguiente: Revisar.

7. Ingrese HomogeneousDataMigrationsPolicy para Nombre* y elija Crear política.

Creación de un rol de IAM para migraciones de datos homogéneas

En este paso, se crea un rol de IAM que proporciona acceso a AWS Secrets Manager, Amazon EC2 y CloudWatch.

Creación de un rol de IAM para migraciones de datos

1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

2. Seleccione Roles en el panel de navegación.

3. Elija Crear rol.

4. En la página Seleccionar entidad de confianza, para Tipo de entidad de confianza, elija Servicio de AWS. Para Casos de uso para otros servicios de AWS, elija DMS.

5. Seleccione la casilla de verificación DMS y elija Siguiente.

6. En la página Agregar permisos, elija HomogeneousDataMigrationsPolicy que haya creado anteriormente. Elija Siguiente.

7. En la página Asignar nombre, revisar y crear, ingrese HomogeneousDataMigrationsRole para Nombre del rol y elija Crear rol.

8. En la página Roles, escriba HomogeneousDataMigrationsRole para Nombre del rol. Elija HomogeneousDataMigrationsRole.

9. En la página HomogeneousDataMigrationsRole, elija la pestaña Relaciones de confianza. Elija Editar la política de confianza.

10. En la página Editar política de confianza, pegue el siguiente JSON en el editor y sustituya el texto existente.

    JSON

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "",
                "Effect": "Allow",
                "Principal": {
                    "Service": [
                        "dms-data-migrations.amazonaws.com",
                        "dms.your_region.amazonaws.com"
                    ]
                },
                "Action": "sts:AssumeRole"
            }
        ]
    }
    

    En el ejemplo anterior, sustituya your_region por el nombre de la Región de AWS.

    La política anterior basada en recursos proporciona a las entidades principales de servicios de AWS DMS permisos para realizar tareas de acuerdo con la política HomogeneousDataMigrationsPolicy administrada por el cliente.

11. Elija Actualizar política.