Création de ressources IAM pour des migrations homogènes - Amazon Relational Database Service
Création d’une politique IAMCréation d’un rôle IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création de ressources IAM pour des migrations homogènes

RDS les utilise AWS DMS pour migrer vos données. Pour accéder à vos bases de données et migrer les données, AWS DMS créez un environnement sans serveur pour des migrations de données homogènes. Dans cet environnement, AWS DMS nécessite un accès au peering VPC, aux tables de routage, aux groupes de sécurité et à d'autres ressources. AWS AWS DMS Stocke également les journaux, les statistiques et la progression de chaque migration de données sur Amazon CloudWatch. Pour créer un projet de migration de données, il AWS DMS faut avoir accès à ces services.

AWS DMS Nécessite également l'accès aux secrets qui représentent un ensemble d'informations d'identification utilisateur pour authentifier la connexion à la base de données pour les connexions source et cible.

Note

En utilisant l'action Migrer les données depuis l' EC2 instance, vous pouvez utiliser la console RDS pour générer ces ressources IAM. Ignorez cette étape si vous utilisez les ressources IAM générées par la console.

Vous avez besoin des ressources IAM suivantes pour ce processus :

Rubriques

Création d'une politique IAM pour des migrations de données homogènes

Au cours de cette étape, vous créez une politique IAM qui donne accès AWS DMS à Amazon EC2 et à ses CloudWatch ressources. Ensuite, créez un rôle IAM et attachez cette politique.

Pour créer une politique IAM pour la migration des données

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le volet de navigation, choisissez Politiques.

  3. Choisissez Create Policy (Créer une politique).

  4. Sur la page Créer une politique, choisissez l’onglet JSON.

  5. Collez le code JSON suivant dans l’éditeur.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcPeeringConnections",
                "ec2:DescribeVpcs",
                "ec2:DescribePrefixLists",
                "logs:DescribeLogGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "servicequotas:GetServiceQuota"
            ],
            "Resource": "arn:aws:servicequotas:*:*:vpc/L-0EA8095F"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:DescribeLogStreams"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:dms-data-migration-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:dms-data-migration-*:log-stream:dms-data-migration-*"
        },
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateRoute",
                "ec2:DeleteRoute"
            ],
            "Resource": "arn:aws:ec2:*:*:route-table/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:security-group-rule/*",
                "arn:aws:ec2:*:*:route-table/*",
                "arn:aws:ec2:*:*:vpc-peering-connection/*",
                "arn:aws:ec2:*:*:vpc/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress"
            ],
            "Resource": "arn:aws:ec2:*:*:security-group-rule/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress"
            ],
            "Resource": "arn:aws:ec2:*:*:security-group/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AcceptVpcPeeringConnection",
                "ec2:ModifyVpcPeeringConnectionOptions"
            ],
            "Resource": "arn:aws:ec2:*:*:vpc-peering-connection/*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:AcceptVpcPeeringConnection",
            "Resource": "arn:aws:ec2:*:*:vpc/*"
        }
    ]
}

  6. Choisissez Next: Tags (Suivant : Balises), puis Next: Review (Suivant : Vérification).

  7. Entrez HomogeneousDataMigrationsPolicy pour Nom*, puis choisissez Créer une politique.

Création d'un rôle IAM pour des migrations de données homogènes

Au cours de cette étape, vous créez un rôle IAM qui donne accès à AWS Secrets Manager Amazon EC2 et CloudWatch.

Pour créer un rôle IAM pour les migrations de données

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le panneau de navigation, choisissez Roles (Rôles).

  3. Sélectionnez Create role (Créer un rôle).

  4. Sur la page Sélectionner une entité de confiance, pour Type d’entité approuvée, choisissez Service AWS . Pour Cas d’utilisation d’autres services AWS , choisissez DMS.

  5. Cochez la case DMS et choisissez Suivant.

  6. Sur la page Ajouter des autorisations, choisissez HomogeneousDataMigrationsPolicycelle que vous avez créée auparavant. Choisissez Suivant.

  7. Sur la page Nommer, vérifier et créer, entrez HomogeneousDataMigrationsRole pour Nom du rôle et choisissez Créer un rôle.

  8. Sur la page Rôles, entrez HomogeneousDataMigrationsRole pour Nom du rôle. Sélectionnez HomogeneousDataMigrationsRole.

  9. Sur la HomogeneousDataMigrationsRolepage, choisissez l'onglet Relations de confiance. Choisissez Edit trust policy (Modifier la politique d’approbation).

  10. Sur la page Modifier la politique d’approbation, collez le code JSON suivant dans l’éditeur en remplaçant le texte existant.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "dms-data-migrations.amazonaws.com",
                    "dms.your_region.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    Dans l'exemple précédent, remplacez your_region par le nom de votre Région AWS.

    La politique basée sur les ressources précédente donne aux responsables de AWS DMS service les autorisations nécessaires pour effectuer des tâches conformément à la politique gérée par le client. HomogeneousDataMigrationsPolicy

  11. Choisissez Mettre à jour une politique.