Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Membuat kebijakan dan peran akses rahasia
Ikuti prosedur di bawah ini untuk membuat kebijakan dan peran akses rahasia Anda yang memungkinkan DMS untuk mengakses kredensi pengguna untuk basis data sumber dan target Anda.
Untuk membuat kebijakan dan peran akses rahasia, yang memungkinkan Amazon mengakses RDS AWS Secrets Manager untuk mengakses rahasia Anda yang sesuai
-
Masuk ke AWS Management Console dan buka konsol AWS Identity and Access Management (IAM) di https://console.aws.amazon.com/iam/
. -
Pilih Kebijakan, lalu pilih Buat kebijakan.
-
Pilih JSONdan masukkan kebijakan berikut untuk mengaktifkan akses dan dekripsi rahasia Anda.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource":
secret_arn
, }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource":kms_key_arn
, } ] }Di sini,
adalah rahasia Anda, yang bisa Anda dapatkan dari yangsecret_arn
SecretsManagerSecretId
sesuai, dan
merupakan AWS KMS kunci yang Anda gunakan untuk mengenkripsi rahasia Anda, seperti pada contoh berikut. ARN ARNkms_key_arn
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:us-east-2:123456789012:secret:MySQLTestSecret-qeHamH" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-east-2:123456789012:key/761138dc-0542-4e58-947f-4a3a8458d0fd" } ] }
catatan
Jika Anda menggunakan kunci enkripsi default yang dibuat oleh AWS Secrets Manager, Anda tidak perlu menentukan AWS KMS izin untuk
.kms_key_arn
Jika Anda ingin kebijakan Anda menyediakan akses ke kedua rahasia, cukup tentukan objek JSON sumber daya tambahan untuk yang lain
secret_arn
. -
Tinjau dan buat kebijakan dengan nama yang dikenal dan deskripsi opsional.
-
Pilih Peran, lalu pilih Buat peran.
-
Pilih layanan AWS sebagai jenis entitas terpercaya.
-
Pilih DMSdari daftar layanan sebagai layanan tepercaya, lalu pilih Berikutnya: Izin.
-
Cari dan lampirkan kebijakan yang Anda buat di langkah 4, lalu lanjutkan dengan menambahkan tag dan tinjau peran Anda. Pada titik ini, edit hubungan kepercayaan untuk peran tersebut untuk menggunakan prinsipal layanan RDS regional Amazon Anda sebagai entitas tepercaya. Prinsipal ini memiliki format berikut.
dms.
region-name
.amazonaws.comDi sini,
adalah nama wilayah Anda, sepertiregion-name
us-east-1
. Dengan demikian, kepala layanan RDS regional Amazon untuk wilayah ini mengikuti.dms.us-east-1.amazonaws.com dms-data-migrations.amazonaws.com