Création d'une politique et d'un rôle d'accès secrets - Amazon Relational Database Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'une politique et d'un rôle d'accès secrets

Suivez les procédures ci-dessous pour créer votre politique d'accès secret et votre rôle permettant à DMS d'accéder aux informations d'identification utilisateur de vos bases de données source et cible.

Pour créer la politique et le rôle d'accès secret, qui permettent à Amazon RDS d'accéder AWS Secrets Manager à votre secret approprié

  1. Connectez-vous à la console AWS Identity and Access Management (IAM) AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

  2. Sélectionnez Politiques, puis Créer une politique.

  3. Choisissez JSON et entrez la politique suivante pour permettre d’accéder à votre secret et de le déchiffrer.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:SecretName-ABCDEF"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ]
}

    secret_arnVoici l'ARN de votre secret, que vous pouvez obtenir de l'un ou l'autre SecretsManagerSecretId selon le cas, et kms_key_arn l'ARN de la AWS KMS clé que vous utilisez pour chiffrer votre secret, comme dans l'exemple suivant.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:us-east-2:123456789012:secret:MySQLTestSecret-qeHamH"
        },
        {
             "Effect": "Allow",
             "Action": [
                        "kms:Decrypt",
                        "kms:DescribeKey"
                      ],
             "Resource": "arn:aws:kms:us-east-2:123456789012:key/761138dc-0542-4e58-947f-4a3a8458d0fd"
        }
     ]
}
    Note

    Si vous utilisez la clé de chiffrement par défaut créée par AWS Secrets Manager, il n'est pas nécessaire de spécifier les AWS KMS autorisations pourkms_key_arn.

    Si vous souhaitez que votre politique donne accès aux deux secrets, il vous suffit de spécifier un objet de ressource JSON supplémentaire pour l'autresecret_arn.

  4. Vérifiez et créez la politique avec un nom convivial et une description facultative.

  5. Choisissez Rôles, puis Créer un rôle.

  6. Choisissez Service AWS comme type d’entité de confiance.

  7. Choisissez DMS dans la liste des services comme service de confiance, puis choisissez Suivant : Autorisations.

  8. Recherchez et attachez la politique que vous avez créée à l’étape 4, puis ajoutez des balises et passez en revue votre rôle. À ce stade, modifiez les relations de confiance pour le rôle afin d'utiliser votre principal de service régional Amazon RDS comme entité de confiance. Ce principal a le format suivant.

    dms.region-name.amazonaws.com

    Ici, region-name est le nom de votre région, par exemple us-east-1. Voici donc un principe de service régional Amazon RDS pour cette région.

    dms.us-east-1.amazonaws.com
dms-data-migrations.amazonaws.com