Ações, recursos e chaves de condição do AWS Database Migration Service - Referência de autorização do serviço

Ações, recursos e chaves de condição do AWS Database Migration Service

O AWS Database Migration Service (prefixo de serviço: dms) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso em políticas de permissão do IAM.

Referências:

Ações definidas pelo AWS Database Migration Service

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Resource types (Tipos de recursos) indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma declaração com essa ação. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você especificar um ARN de permissão no nível do recurso em uma instrução que esteja usando essa ação, ele deverá ser desse tipo. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um, mas não o outro.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações Descrição Nível de acesso Tipos de recursos (*necessários) Chaves de condição Ações dependentes
AddTagsToResource Concede permissão para adicionar etiquetas de metadados a recursos DMS, incluindo instâncias de replicação, endpoints, grupos de segurança e tarefas de migração Marcação

Certificate

Endpoint

EventSubscription

ReplicationInstance

ReplicationSubnetGroup

ReplicationTask

aws:RequestTag/${TagKey}

aws:TagKeys

dms:req-tag/${TagKey}

ApplyPendingMaintenanceAction Concede permissão para aplicar uma ação de manutenção pendente a um recurso (por exemplo, a uma instância de replicação) Write

ReplicationInstance*

CancelReplicationTaskAssessmentRun Concede permissão para cancelar uma única execução de avaliação de pré-migração Write

ReplicationTaskAssessmentRun*

CreateEndpoint Concede permissão para criar um endpoint usando as configurações fornecidas Write

aws:RequestTag/${TagKey}

aws:TagKeys

dms:req-tag/${TagKey}

CreateEventSubscription Concede permissão para criar uma assinatura de notificação de evento do AWS DMS Write

aws:RequestTag/${TagKey}

aws:TagKeys

dms:req-tag/${TagKey}

CreateReplicationInstance Concede permissão para criar uma instância de replicação usando os parâmetros especificados Write

aws:RequestTag/${TagKey}

aws:TagKeys

dms:req-tag/${TagKey}

CreateReplicationSubnetGroup Concede permissão para criar um grupo de sub-redes de replicação com uma lista de IDs de sub-rede em uma VPC Write

aws:RequestTag/${TagKey}

aws:TagKeys

dms:req-tag/${TagKey}

CreateReplicationTask Concede permissão para criar uma tarefa de replicação usando os parâmetros especificados Write

Endpoint*

ReplicationInstance*

aws:RequestTag/${TagKey}

aws:TagKeys

dms:req-tag/${TagKey}

DeleteCertificate Concede permissão para excluir o certificado especificado Write

Certificate*

DeleteConnection Concede permissão para excluir a conexão especificada entre uma instância de replicação e um endpoint. Write

Endpoint*

ReplicationInstance*

DeleteEndpoint Concede permissão para excluir o endpoint especificado Write

Endpoint*

DeleteEventSubscription Concede permissão para excluir uma assinatura de evento do AWS DMS Write

EventSubscription*

DeleteReplicationInstance Concede permissão para excluir a instância de replicação especificada Write

ReplicationInstance*

DeleteReplicationSubnetGroup Concede permissão para excluir um grupo de sub-redes Write

ReplicationSubnetGroup*

DeleteReplicationTask Concede permissão para excluir a tarefa de replicação especificada Write

ReplicationTask*

DeleteReplicationTaskAssessmentRun Concede permissão para excluir o registro de uma única execução de avaliação de pré-migração Write

ReplicationTaskAssessmentRun*

DescribeAccountAttributes Concede permissão para listar todos os atributos do AWS DMS para uma conta de cliente Read
DescribeApplicableIndividualAssessments Concede permissão para listar avaliações individuais que você pode especificar para uma nova execução de avaliação de pré-migração Read

ReplicationInstance

ReplicationTask

DescribeCertificates Concede permissão para fornecer uma descrição do certificado Read
DescribeConnections Concede permissão para descrever o status das conexões que foram feitas entre a instância de replicação e um endpoint Read
DescribeEndpointSettings Concede permissão para retornar as possíveis configurações de endpoint disponíveis quando você cria um endpoint para um mecanismo de banco de dados específico Read
DescribeEndpointTypes Concede permissão para retornar informações sobre o tipo de endpoints disponíveis Read
DescribeEndpoints Concede permissão para retornar informações sobre os endpoints da sua conta na região atual Read
DescribeEventCategories Concede permissão para listar categorias para todos os tipos de origem de eventos ou, se especificado, para um tipo de origem especificado Read
DescribeEventSubscriptions Concede permissão para listar todas as assinaturas de eventos de uma conta de cliente Read
DescribeEvents Concede permissão para listar eventos para um determinado identificador de origem e tipo de origem Read
DescribeOrderableReplicationInstances Concede permissão para retornar informações sobre os tipos de instância de replicação que podem ser criados na região especificada Read
DescribeRefreshSchemasStatus Concede permissão para retornar o status da operação RefreshSchemas Read

Endpoint*

DescribeReplicationInstanceTaskLogs Concede permissão para retornar informações sobre os logs de tarefas para a tarefa especificada Read

ReplicationInstance*

aws:ResourceTag/${TagKey}

aws:TagKeys

DescribeReplicationInstances Concede permissão para retornar informações sobre instâncias de replicação para sua conta na região atual Read
DescribeReplicationSubnetGroups Concede permissão para retornar informações sobre os grupos de sub-redes de replicação Read
DescribeReplicationTaskAssessmentResults Concede permissão para retornar os resultados mais recentes da avaliação de tarefas do Amazon S3 Read

ReplicationTask

DescribeReplicationTaskAssessmentRuns Concede permissão para retornar uma lista paginada de execuções de avaliação de pré-migração com base nas configurações de filtro Read

ReplicationInstance

ReplicationTask

ReplicationTaskAssessmentRun

DescribeReplicationTaskIndividualAssessments Concede permissão para retornar uma lista paginada de avaliações individuais com base nas configurações de filtro Read

ReplicationTask

ReplicationTaskAssessmentRun

DescribeReplicationTasks Concede permissão para retornar informações sobre tarefas de replicação para sua conta na região atual Read
DescribeSchemas Concede permissão para retornar informações sobre o esquema para o endpoint especificado Read

Endpoint*

DescribeTableStatistics Concede permissão para retornar estatísticas de tabela na tarefa de migração do banco de dados, incluindo nome da tabela, linhas inseridas, linhas atualizadas e linhas excluídas Read

ReplicationTask*

ImportCertificate Concede permissão para enviar o certificado especificado Write

aws:RequestTag/${TagKey}

aws:TagKeys

ListTagsForResource Concede permissão para listar todas as etiquetas de um recurso do AWS DMS Read

Certificate

Endpoint

EventSubscription

ReplicationInstance

ReplicationSubnetGroup

ReplicationTask

ModifyEndpoint Concede permissão para modificar o endpoint especificado Write

Endpoint*

Certificate

ModifyEventSubscription Concede permissão para modificar uma assinatura de notificação de evento do AWS DMS existente Write
ModifyReplicationInstance Concede permissão para modificar a instância de replicação para aplicar novas configurações Write

ReplicationInstance*

ModifyReplicationSubnetGroup Concede permissão para modificar as configurações do grupo de sub-redes de replicação especificado Write
ModifyReplicationTask Concede permissão para modificar a tarefa de replicação especificada Write

ReplicationTask*

MoveReplicationTask Concede permissão para transferir a tarefa de replicação especificada para outra instância de replicação. Write

ReplicationInstance*

ReplicationTask*

RebootReplicationInstance Concede permissão para reiniciar uma instância de replicação. A reinicialização resulta em uma interrupção momentânea, até que a instância de replicação fique disponível novamente Write

ReplicationInstance*

RefreshSchemas Concede permissão para preencher o esquema para o endpoint especificado Write

Endpoint*

ReplicationInstance*

ReloadTables Concede permissão para recarregar a tabela do banco de dados de destino com os dados de origem Write

ReplicationTask*

RemoveTagsFromResource Concede permissão para remover etiquetas de metadados de um recurso DMS Marcação

Certificate

Endpoint

EventSubscription

ReplicationInstance

ReplicationSubnetGroup

ReplicationTask

aws:TagKeys

StartReplicationTask Concede permissão para iniciar a tarefa de replicação Write

ReplicationTask*

StartReplicationTaskAssessment Concede permissão para iniciar a avaliação da tarefa de replicação para tipos de dados não suportados no banco de dados de origem Write

ReplicationTask*

StartReplicationTaskAssessmentRun Concede permissão para iniciar uma nova avaliação de pré-migração para uma ou mais avaliações individuais de uma tarefa de migração Write

ReplicationTask*

StopReplicationTask Concede permissão para interromper a tarefa de replicação Write

ReplicationTask*

TestConnection Concede permissão para testar a conexão entre a instância de replicação e o endpoint Read

Endpoint*

ReplicationInstance*

Tipos de recursos definidos pelo AWS Database Migration Service

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Tipos de recursos ARN Chaves de condição
Certificate arn:${Partition}:dms:${Region}:${Account}:cert:*

aws:ResourceTag/${TagKey}

dms:cert-tag/${TagKey}

Endpoint arn:${Partition}:dms:${Region}:${Account}:endpoint:*

aws:ResourceTag/${TagKey}

dms:endpoint-tag/${TagKey}

EventSubscription arn:${Partition}:dms:${Region}:${Account}:es:*

aws:ResourceTag/${TagKey}

dms:es-tag/${TagKey}

ReplicationInstance arn:${Partition}:dms:${Region}:${Account}:rep:*

aws:ResourceTag/${TagKey}

dms:rep-tag/${TagKey}

ReplicationSubnetGroup arn:${Partition}:dms:${Region}:${Account}:subgrp:*

aws:ResourceTag/${TagKey}

dms:subgrp-tag/${TagKey}

ReplicationTask arn:${Partition}:dms:${Region}:${Account}:task:*

aws:ResourceTag/${TagKey}

dms:task-tag/${TagKey}

ReplicationTaskAssessmentRun arn:${Partition}:dms:${Region}:${Account}:assessment-run:*
ReplicationTaskIndividualAssessment arn:${Partition}:dms:${Region}:${Account}:individual-assessment:*

Chaves de condição do AWS Database Migration Service

O AWS Database Migration Service define as seguintes chaves de condição que podem ser usadas no elemento Condition de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.

Chaves de condição Descrição Type
aws:RequestTag/${TagKey} Filtra ações com base na presença de pares de chave-valor da etiqueta na solicitação String
aws:ResourceTag/${TagKey} Filtra ações com base nos pares de chave-valor da etiqueta anexados ao recurso String
aws:TagKeys Filtra o acesso com base na presença de chaves da etiqueta na solicitação ArrayOfString
dms:cert-tag/${TagKey} Filtra o acesso com base na presença de chaves da etiqueta na solicitação de certificado String
dms:endpoint-tag/${TagKey} Filtra o acesso com base na presença de chaves da etiqueta na solicitação de endpoint String
dms:es-tag/${TagKey} Filtra o acesso com base na presença de chaves da etiqueta na solicitação de EventSubscription String
dms:rep-tag/${TagKey} Filtra o acesso com base na presença de chaves da etiqueta na solicitação de ReplicationInstance String
dms:req-tag/${TagKey} Filtra o acesso com base na presença de pares de chave-valor da etiqueta na solicitação String
dms:subgrp-tag/${TagKey} Filtra o acesso com base na presença de chaves da etiqueta na solicitação de ReplicationSubnetGroup String
dms:task-tag/${TagKey} Filtra o acesso com base na presença de chaves da etiqueta na solicitação de ReplicationTask String