Creazione di una politica e di un ruolo di accesso segreti - Amazon Relational Database Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di una politica e di un ruolo di accesso segreti

Segui le procedure seguenti per creare la politica e il ruolo di accesso segreti che consentano a DMS di accedere alle credenziali utente per i database di origine e di destinazione.

Per creare la politica e il ruolo di accesso segreti, che consentano ad Amazon RDS di accedere AWS Secrets Manager per accedere al segreto appropriato

  1. Accedi AWS Management Console e apri la console AWS Identity and Access Management (IAM) all'indirizzo https://console.aws.amazon.com/iam/.

  2. Seleziona Policy, quindi scegli Crea policy.

  3. Scegli JSON e inserisci la seguente policy per consentire l'accesso e la decrittografia del tuo segreto.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:SecretName-ABCDEF"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ]
}

    secret_arnEcco l'ARN del tuo segreto, che puoi ottenere da entrambi SecretsManagerSecretId a seconda dei casi, ed kms_key_arn è l'ARN della AWS KMS chiave che stai usando per crittografare il tuo segreto, come nell'esempio seguente.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:us-east-2:123456789012:secret:MySQLTestSecret-qeHamH"
        },
        {
             "Effect": "Allow",
             "Action": [
                        "kms:Decrypt",
                        "kms:DescribeKey"
                      ],
             "Resource": "arn:aws:kms:us-east-2:123456789012:key/761138dc-0542-4e58-947f-4a3a8458d0fd"
        }
     ]
}
    Nota

    Se si utilizza la chiave di crittografia predefinita creata da AWS Secrets Manager, non è necessario specificare le AWS KMS autorizzazioni per. kms_key_arn

    Se desideri che la tua policy fornisca l'accesso a entrambi i segreti, specifica semplicemente un oggetto risorsa JSON aggiuntivo per l'altro. secret_arn

  4. Rivedi e crea la policy con un nome descrittivo e, facoltativamente, una descrizione.

  5. Seleziona Ruoli, quindi scegli Crea ruolo.

  6. Per il tipo di entità attendibile, scegli Servizio AWS .

  7. Scegli DMS dall'elenco dei servizi come servizio attendibile, quindi seleziona Successivo: Autorizzazioni.

  8. Cerca e collega la policy che hai creato nella fase 4, quindi procedi con l'aggiunta di eventuali tag ed esamina il ruolo. A questo punto, modifica le relazioni di trust per il ruolo in modo da utilizzare il responsabile del servizio regionale Amazon RDS come entità affidabile. Questo principale ha il seguente formato.

    dms.region-name.amazonaws.com

    Qui region-name è il nome della regione, ad esempio us-east-1. Pertanto, segue un servizio regionale Amazon RDS principale per questa regione.

    dms.us-east-1.amazonaws.com
dms-data-migrations.amazonaws.com