Creazione di risorse IAM per migrazioni omogenee - Amazon Relational Database Service
Creazione di policy IAMCreazione di un ruolo IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di risorse IAM per migrazioni omogenee

RDS utilizza AWS DMS per migrare i dati. Per accedere ai database e migrare i dati, AWS DMS crea un ambiente senza server per migrazioni di dati omogenee. In questo ambiente, AWS DMS richiede l'accesso al peering VPC, alle tabelle di routing, ai gruppi di sicurezza e ad altre risorse. AWS Inoltre, AWS DMS archivia log, metriche e progressi per ogni migrazione di dati in Amazon. CloudWatch Per creare un progetto di migrazione dei dati, è AWS DMS necessario accedere a questi servizi.

Inoltre, AWS DMS richiede l'accesso ai segreti che rappresentano un set di credenziali utente per autenticare la connessione al database per la connessione di origine e di destinazione.

Nota

Utilizzando l'azione Migra dati dall' EC2 istanza, è possibile utilizzare la console RDS per generare queste risorse IAM. Salta questo passaggio se utilizzi le risorse IAM generate dalla console.

Per questo processo sono necessarie le seguenti risorse IAM:

Argomenti

Creazione di una policy IAM per migrazioni di dati omogenee

In questa fase, crei una policy IAM che fornisce l'accesso AWS DMS ad Amazon EC2 e alle CloudWatch risorse. Quindi, crea un ruolo IAM e collegalo alla policy.

Per creare una policy IAM per la migrazione dei dati

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, scegli Policy.

  3. Scegliere Create Policy (Crea policy).

  4. Nella pagina Crea policy seleziona la scheda JSON.

  5. Incolla il seguente JSON nell'editor.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcPeeringConnections",
                "ec2:DescribeVpcs",
                "ec2:DescribePrefixLists",
                "logs:DescribeLogGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "servicequotas:GetServiceQuota"
            ],
            "Resource": "arn:aws:servicequotas:*:*:vpc/L-0EA8095F"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:DescribeLogStreams"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:dms-data-migration-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:dms-data-migration-*:log-stream:dms-data-migration-*"
        },
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateRoute",
                "ec2:DeleteRoute"
            ],
            "Resource": "arn:aws:ec2:*:*:route-table/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:security-group-rule/*",
                "arn:aws:ec2:*:*:route-table/*",
                "arn:aws:ec2:*:*:vpc-peering-connection/*",
                "arn:aws:ec2:*:*:vpc/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress"
            ],
            "Resource": "arn:aws:ec2:*:*:security-group-rule/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress"
            ],
            "Resource": "arn:aws:ec2:*:*:security-group/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AcceptVpcPeeringConnection",
                "ec2:ModifyVpcPeeringConnectionOptions"
            ],
            "Resource": "arn:aws:ec2:*:*:vpc-peering-connection/*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:AcceptVpcPeeringConnection",
            "Resource": "arn:aws:ec2:*:*:vpc/*"
        }
    ]
}

  6. Scegli Next: Tags (Successivo: Tag) e Next: Review (Successivo: Rivedi).

  7. Immetti HomogeneousDataMigrationsPolicy per Nome* e scegli Crea policy.

Creazione di un ruolo IAM per migrazioni di dati omogenee

In questa fase, crei un ruolo IAM che fornisce l'accesso a AWS Secrets Manager EC2, Amazon e CloudWatch.

Per creare un ruolo IAM per le migrazioni dei dati

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, seleziona Roles (Ruoli).

  3. Selezionare Create role (Crea ruolo).

  4. Nella pagina Seleziona un'entità attendibile scegli Servizio AWS per Tipo di entità attendibile. Per Casi d'uso per altri servizi AWS scegli DMS.

  5. Seleziona la casella di controllo DMS e scegli Successivo.

  6. Nella pagina Aggiungi autorizzazioni, scegli HomogeneousDataMigrationsPolicyquello che hai creato in precedenza. Scegli Next (Successivo).

  7. Nella pagina Nomina, verifica e crea immetti HomogeneousDataMigrationsRole per Nome ruolo e scegli Crea ruolo.

  8. Nella pagina Ruoli immetti HomogeneousDataMigrationsRole per Nome ruolo. Scegli HomogeneousDataMigrationsRole.

  9. Nella HomogeneousDataMigrationsRolepagina, scegli la scheda Relazioni di fiducia. Seleziona Modifica policy di attendibilità.

  10. Nella pagina Modifica policy di attendibilità incolla il seguente codice JSON nell'editor, sostituendo il testo esistente.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "dms-data-migrations.amazonaws.com",
                    "dms.your_region.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    Nell'esempio precedente, sostituisci your_region con il nome del tuo Regione AWS.

    La precedente politica basata sulle risorse fornisce ai responsabili del AWS DMS servizio le autorizzazioni per eseguire attività in base alla politica gestita dal cliente. HomogeneousDataMigrationsPolicy

  11. Scegli Aggiorna policy.