Acciones, recursos y claves de condición para AWS Database Migration Service - Referencia de autorizaciones de servicio

Acciones, recursos y claves de condición para AWS Database Migration Service

AWS Database Migration Service (prefijo de servicio: dms) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos del servicio para usarse en las políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS Database Migration Service

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de recursos en una instrucción mediante esta acción, deberá ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AddTagsToResource Otorga permiso para agregar etiquetas de metadatos a recursos de DMS, incluidas instancias de replicación, puntos de enlace, grupos de seguridad y tareas de migración. Etiquetado

Certificate

Endpoint

EventSubscription

ReplicationInstance

ReplicationSubnetGroup

ReplicationTask

aws:RequestTag/${TagKey}

aws:TagKeys

dms:req-tag/${TagKey}

ApplyPendingMaintenanceAction Otorga permiso para aplicar una acción de mantenimiento pendiente a un recurso (por ejemplo, a una instancia de replicación). Write

ReplicationInstance*

CancelReplicationTaskAssessmentRun Otorga permiso para cancelar una única ejecución de evaluación previa a la migración. Write

ReplicationTaskAssessmentRun*

CreateEndpoint Otorga permiso para crear un punto de enlace utilizando la configuración proporcionada. Write

aws:RequestTag/${TagKey}

aws:TagKeys

dms:req-tag/${TagKey}

CreateEventSubscription Otorga permiso para crear una suscripción a notificaciones de eventos de AWS DMS. Write

aws:RequestTag/${TagKey}

aws:TagKeys

dms:req-tag/${TagKey}

CreateReplicationInstance Otorga permiso para crear una instancia de replicación utilizando los parámetros especificados. Write

aws:RequestTag/${TagKey}

aws:TagKeys

dms:req-tag/${TagKey}

CreateReplicationSubnetGroup Otorga permiso para crear un grupo de subred de replicación dada una lista de los ID de subred en una VPC. Write

aws:RequestTag/${TagKey}

aws:TagKeys

dms:req-tag/${TagKey}

CreateReplicationTask Otorga permiso para crear una tarea de replicación utilizando los parámetros especificados. Write

Endpoint*

ReplicationInstance*

aws:RequestTag/${TagKey}

aws:TagKeys

dms:req-tag/${TagKey}

DeleteCertificate Otorga permiso para eliminar el certificado especificado. Write

Certificate*

DeleteConnection Otorga permiso para eliminar la conexión especificada entre una instancia de reproducción y un punto de enlace. Write

Endpoint*

ReplicationInstance*

DeleteEndpoint Otorga permiso para eliminar el punto de enlace especificado. Write

Endpoint*

DeleteEventSubscription Otorga permiso para eliminar una suscripción a un evento de AWS DMS. Write

EventSubscription*

DeleteReplicationInstance Otorga permiso para eliminar la instancia de replicación especificada. Write

ReplicationInstance*

DeleteReplicationSubnetGroup Otorga permiso para eliminar un grupo de subredes. Write

ReplicationSubnetGroup*

DeleteReplicationTask Otorga permiso para eliminar la tarea de replicación especificada. Write

ReplicationTask*

DeleteReplicationTaskAssessmentRun Otorga permiso para eliminar el registro de una única ejecución de evaluación previa a la migración. Write

ReplicationTaskAssessmentRun*

DescribeAccountAttributes Otorga permiso para mostrar una lista de todos los atributos de AWS DMS para una cuenta de cliente. Read
DescribeApplicableIndividualAssessments Otorga permiso para mostrar una lista de evaluaciones individuales que puede especificar para una nueva ejecución de evaluación previa a la migración. Read

ReplicationInstance

ReplicationTask

DescribeCertificates Otorga permiso para proporcionar una descripción del certificado. Read
DescribeConnections Otorga permiso para describir el estado de las conexiones que se han realizado entre la instancia de replicación y un punto de enlace. Lectura
DescribeEndpointSettings Otorga permiso para devolver la posible configuración de punto de enlace disponible al crear un punto de enlace para un motor de base de datos específico Lectura
DescribeEndpointTypes Otorga permiso para devolver información sobre el tipo de puntos de enlace disponibles. Read
DescribeEndpoints Otorga permiso para devolver información sobre los puntos de enlace de su cuenta en la región actual. Read
DescribeEventCategories Otorga permiso para mostrar una lista de categorías de todos los tipos de origen de eventos o, si se especifica, para tipo de origen especificado. Read
DescribeEventSubscriptions Otorga permiso para mostrar una lista de todas las descripciones de suscripción de una cuenta de cliente. Read
DescribeEvents Otorga permiso para mostrar una lista de eventos para un identificador de origen y tipo de origen determinados. Read
DescribeOrderableReplicationInstances Otorga permiso para devolver información sobre los tipos de instancias de replicación que se pueden crear en la región especificada. Read
DescribeRefreshSchemasStatus Otorga permiso para devolver el estado de la operación RefreshSchemas. Read

Endpoint*

DescribeReplicationInstanceTaskLogs Otorga permiso para devolver información sobre los registros de tareas de la tarea especificada. Read

ReplicationInstance*

aws:ResourceTag/${TagKey}

aws:TagKeys

DescribeReplicationInstances Otorga permiso para devolver información sobre las instancias de replicación para su cuenta en la región actual. Read
DescribeReplicationSubnetGroups Otorga permiso para devolver información sobre los grupos de subred de replicación. Read
DescribeReplicationTaskAssessmentResults Otorga permiso para devolver los últimos resultados de evaluación de tareas de Amazon S3. Read

ReplicationTask

DescribeReplicationTaskAssessmentRuns Otorga permiso para devolver una lista paginada de ejecuciones de evaluación previa a la migración en función de la configuración del filtro. Read

ReplicationInstance

ReplicationTask

ReplicationTaskAssessmentRun

DescribeReplicationTaskIndividualAssessments Otorga permiso para devolver una lista paginada de evaluaciones individuales en función de la configuración del filtro. Read

ReplicationTask

ReplicationTaskAssessmentRun

DescribeReplicationTasks Otorga permiso para devolver información sobre tareas de replicación de su cuenta en la región actual. Read
DescribeSchemas Otorga permiso para devolver información sobre el esquema del punto de enlace especificado. Read

Endpoint*

DescribeTableStatistics Otorga permiso para devolver las estadísticas de la tabla en la tarea de migración de la base de datos, incluido el nombre de la tabla, las filas insertadas, las filas actualizadas y las filas eliminadas. Read

ReplicationTask*

ImportCertificate Otorga permiso para cargar el certificado especificado. Write

aws:RequestTag/${TagKey}

aws:TagKeys

ListTagsForResource Otorga permiso para mostrar una lista de todas las etiquetas para un recurso de AWS DMS. Lectura

Certificate

Endpoint

EventSubscription

ReplicationInstance

ReplicationSubnetGroup

ReplicationTask

ModifyEndpoint Otorga permiso para modificar el punto de enlace especificado. Write

Endpoint*

Certificate

ModifyEventSubscription Otorga permiso para modificar una suscripción existente a notificaciones de eventos de AWS DMS. Write
ModifyReplicationInstance Otorga permiso para modificar la instancia de replicación para aplicar una nueva configuración. Write

ReplicationInstance*

ModifyReplicationSubnetGroup Otorga permiso para modificar la configuración del grupo de subred de replicación especificado. Write
ModifyReplicationTask Otorga permiso para modificar la tarea de replicación especificada. Write

ReplicationTask*

MoveReplicationTask Otorga permiso para mover la tarea de reproducción especificada a una instancia de reproducción diferente. Write

ReplicationInstance*

ReplicationTask*

RebootReplicationInstance Otorga permiso para reiniciar una instancia de replicación. El reinicio produce una interrupción momentánea, hasta que la instancia de replicación vuelva a estar disponible. Write

ReplicationInstance*

RefreshSchemas Otorga permiso para rellenar el esquema del punto de enlace especificado. Write

Endpoint*

ReplicationInstance*

ReloadTables Otorga permiso para volver a cargar la tabla de base de datos de destino con los datos de origen. Write

ReplicationTask*

RemoveTagsFromResource Otorga permiso para eliminar etiquetas de metadatos de un recurso de DMS. Etiquetado

Certificate

Endpoint

EventSubscription

ReplicationInstance

ReplicationSubnetGroup

ReplicationTask

aws:TagKeys

StartReplicationTask Otorga permiso para comenzar la tarea de replicación. Write

ReplicationTask*

StartReplicationTaskAssessment Otorga permiso para comenzar la evaluación de la tarea de replicación de los tipos de datos no admitidos en la base de datos de origen. Write

ReplicationTask*

StartReplicationTaskAssessmentRun Otorga permiso para comenzar una nueva ejecución de evaluación previa a la migración para una o más evaluaciones individuales de una tarea de migración. Write

ReplicationTask*

StopReplicationTask Otorga permiso para detener la tarea de replicación. Write

ReplicationTask*

TestConnection Otorga permiso para probar la conexión entre la instancia de replicación y el punto de enlace. Read

Endpoint*

ReplicationInstance*

Tipos de recursos definidos por AWS Database Migration Service

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
Certificate arn:${Partition}:dms:${Region}:${Account}:cert:*

aws:ResourceTag/${TagKey}

dms:cert-tag/${TagKey}

Endpoint arn:${Partition}:dms:${Region}:${Account}:endpoint:*

aws:ResourceTag/${TagKey}

dms:endpoint-tag/${TagKey}

EventSubscription arn:${Partition}:dms:${Region}:${Account}:es:*

aws:ResourceTag/${TagKey}

dms:es-tag/${TagKey}

ReplicationInstance arn:${Partition}:dms:${Region}:${Account}:rep:*

aws:ResourceTag/${TagKey}

dms:rep-tag/${TagKey}

ReplicationSubnetGroup arn:${Partition}:dms:${Region}:${Account}:subgrp:*

aws:ResourceTag/${TagKey}

dms:subgrp-tag/${TagKey}

ReplicationTask arn:${Partition}:dms:${Region}:${Account}:task:*

aws:ResourceTag/${TagKey}

dms:task-tag/${TagKey}

ReplicationTaskAssessmentRun arn:${Partition}:dms:${Region}:${Account}:assessment-run:*
ReplicationTaskIndividualAssessment arn:${Partition}:dms:${Region}:${Account}:individual-assessment:*

Claves de condición para AWS Database Migration Service

AWS Database Migration Service define las siguientes claves de condición que pueden utilizarse en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra acciones en función de la presencia de pares de clave-valor de etiqueta en la solicitud. Cadena
aws:ResourceTag/${TagKey} Filtra acciones en función de pares de clave-valor de etiqueta adjuntados al recurso Cadena
aws:TagKeys Filtra el acceso en función de la presencia de claves de etiqueta en la solicitud ArrayOfString
dms:cert-tag/${TagKey} Filtra el acceso en función de la presencia de claves de etiquetas en la solicitud de Certificate. Cadena
dms:endpoint-tag/${TagKey} Filtra el acceso en función de la presencia de claves de etiqueta en la solicitud de Endpoint. Cadena
dms:es-tag/${TagKey} Filtra el acceso en función de la presencia de claves de etiqueta en la solicitud de EventSubscription. Cadena
dms:rep-tag/${TagKey} Filtra el acceso en función de la presencia de claves de etiqueta en la solicitud de ReplicationInstance. Cadena
dms:req-tag/${TagKey} Filtra acciones en función de la presencia de pares de clave-valor de etiqueta en la solicitud Cadena
dms:subgrp-tag/${TagKey} Filtra el acceso en función de la presencia de claves de etiqueta en la solicitud de ReplicationSubnetGroup. Cadena
dms:task-tag/${TagKey} Filtra el acceso en función de la presencia de claves de etiqueta en la solicitud de ReplicationTask. Cadena