Membuat sumber daya IAM untuk migrasi homogen

RDS menggunakan AWS DMS untuk memigrasikan data Anda. Untuk mengakses database dan memigrasikan data, AWS DMS buat lingkungan tanpa server untuk migrasi data yang homogen. Dalam lingkungan ini, AWS DMS memerlukan akses ke peering VPC, tabel rute, grup keamanan, dan sumber daya lainnya. AWS Selain itu, AWS DMS menyimpan log, metrik, dan kemajuan untuk setiap migrasi data di Amazon CloudWatch. Untuk membuat proyek migrasi data, AWS DMS perlu akses ke layanan ini.

Juga, AWS DMS memerlukan akses ke rahasia yang respresent satu set kredensi pengguna untuk mengotentikasi koneksi database untuk sumber dan koneksi target.

catatan

Dengan menggunakan tindakan Migrasi data dari EC2 instance, Anda dapat menggunakan konsol RDS untuk menghasilkan sumber daya IAM ini. Lewati langkah ini jika Anda menggunakan sumber daya IAM yang dihasilkan konsol.

Anda memerlukan sumber daya IAM berikut untuk proses ini:

Topik

• Membuat kebijakan IAM untuk migrasi data homogen

• Membuat peran IAM untuk migrasi data homogen

• Membuat kebijakan dan peran akses rahasia

• Membuat IAM peran AWS DMS untuk mengelola Amazon VPC

Membuat kebijakan IAM untuk migrasi data homogen

Pada langkah ini, Anda membuat kebijakan IAM yang menyediakan AWS DMS akses ke Amazon EC2 dan CloudWatch sumber daya. Selanjutnya, buat peran IAM dan lampirkan kebijakan ini.

Untuk membuat kebijakan IAM untuk migrasi data

1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

2. Di panel navigasi, pilih Kebijakan.

3. Pilih Buat kebijakan.

4. Di halaman Buat kebijakan, pilih tab JSON.

5. Tempelkan JSON berikut ke editor.

   JSON

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:DescribeRouteTables",
                   "ec2:DescribeSecurityGroups",
                   "ec2:DescribeVpcPeeringConnections",
                   "ec2:DescribeVpcs",
                   "ec2:DescribePrefixLists",
                   "logs:DescribeLogGroups"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "servicequotas:GetServiceQuota"
               ],
               "Resource": "arn:aws:servicequotas:*:*:vpc/L-0EA8095F"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "logs:CreateLogGroup",
                   "logs:DescribeLogStreams"
               ],
               "Resource": "arn:aws:logs:*:*:log-group:dms-data-migration-*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "logs:CreateLogStream",
                   "logs:PutLogEvents"
               ],
               "Resource": "arn:aws:logs:*:*:log-group:dms-data-migration-*:log-stream:dms-data-migration-*"
           },
           {
               "Effect": "Allow",
               "Action": "cloudwatch:PutMetricData",
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:CreateRoute",
                   "ec2:DeleteRoute"
               ],
               "Resource": "arn:aws:ec2:*:*:route-table/*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:CreateTags"
               ],
               "Resource": [
                   "arn:aws:ec2:*:*:security-group/*",
                   "arn:aws:ec2:*:*:security-group-rule/*",
                   "arn:aws:ec2:*:*:route-table/*",
                   "arn:aws:ec2:*:*:vpc-peering-connection/*",
                   "arn:aws:ec2:*:*:vpc/*"
               ]
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:AuthorizeSecurityGroupEgress",
                   "ec2:AuthorizeSecurityGroupIngress"
               ],
               "Resource": "arn:aws:ec2:*:*:security-group-rule/*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:AuthorizeSecurityGroupEgress",
                   "ec2:AuthorizeSecurityGroupIngress",
                   "ec2:RevokeSecurityGroupEgress",
                   "ec2:RevokeSecurityGroupIngress"
               ],
               "Resource": "arn:aws:ec2:*:*:security-group/*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:AcceptVpcPeeringConnection",
                   "ec2:ModifyVpcPeeringConnectionOptions"
               ],
               "Resource": "arn:aws:ec2:*:*:vpc-peering-connection/*"
           },
           {
               "Effect": "Allow",
               "Action": "ec2:AcceptVpcPeeringConnection",
               "Resource": "arn:aws:ec2:*:*:vpc/*"
           }
       ]
   }
   

6. Pilih Berikutnya: Tag dan Berikutnya: Tinjau.

7. Masukkan HomogeneousDataMigrationsPolicy Nama*, dan pilih Buat kebijakan.

Membuat peran IAM untuk migrasi data homogen

Pada langkah ini, Anda membuat peran IAM yang menyediakan akses ke AWS Secrets Manager, Amazon EC2, dan CloudWatch.

Untuk membuat peran IAM untuk migrasi data

1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

2. Di panel navigasi, pilih Peran.

3. Pilih Buat peran.

4. Pada halaman Pilih entitas tepercaya, untuk jenis entitas tepercaya, pilih AWS Layanan. Untuk kasus penggunaan untuk AWS layanan lain, pilih DMS.

5. Pilih kotak centang DMS dan pilih Berikutnya.

6. Pada halaman Tambahkan izin, pilih HomogeneousDataMigrationsPolicyyang Anda buat sebelumnya. Pilih Berikutnya.

7. Pada halaman Nama, tinjau, dan buat, masukkan HomogeneousDataMigrationsRole nama Peran, dan pilih Buat peran.

8. Pada halaman Peran, masukkan nama HomogeneousDataMigrationsRole Peran. Pilih HomogeneousDataMigrationsRole.

9. Pada HomogeneousDataMigrationsRolehalaman, pilih tab Trust relationship. Pilih Edit kebijakan kepercayaan.

10. Pada halaman Edit kebijakan kepercayaan, tempelkan JSON berikut ke editor, ganti teks yang ada.

    JSON

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "",
                "Effect": "Allow",
                "Principal": {
                    "Service": [
                        "dms-data-migrations.amazonaws.com",
                        "dms.your_region.amazonaws.com"
                    ]
                },
                "Action": "sts:AssumeRole"
            }
        ]
    }
    

    Pada contoh sebelumnya, ganti your_region dengan nama Anda. Wilayah AWS

    Kebijakan berbasis sumber daya sebelumnya memberikan izin kepada prinsipal AWS DMS layanan untuk melakukan tugas sesuai dengan kebijakan yang dikelola pelanggan. HomogeneousDataMigrationsPolicy

11. Pilih Perbarui kebijakan.