為同質遷移建立 IAM 資源

RDS使用 AWS DMS 遷移您的資料。若要存取資料庫和遷移資料， 會為同質資料遷移 AWS DMS 建立無伺服器環境。在此環境中， AWS DMS 需要存取 VPC 對等互連、路由表、安全群組和其他 AWS 資源。此外， 會在 Amazon CloudWatch 中 AWS DMS 儲存每個資料遷移的日誌、指標和進度。若要建立資料遷移專案， AWS DMS 需要存取這些服務。

此外， AWS DMS 需要存取代表一組使用者登入資料的秘密，以驗證來源和目標連線的資料庫連線。

注意

透過使用從 EC2 執行個體動作遷移資料，您可以使用 RDS主控台來產生這些 IAM 資源。如果您使用主控台產生的 IAM 資源，請略過此步驟。

此程序需要下列 IAM 資源：

主題

• 為同質資料遷移建立 IAM 政策

• 為同質資料遷移建立 IAM 角色

• 建立秘密存取政策和角色

• 為 建立 IAM角色 AWS DMS 以管理 Amazon VPC

為同質資料遷移建立 IAM 政策

在此步驟中，您會建立 IAM 政策， AWS DMS 提供 Amazon EC2 和 CloudWatch 資源的存取權。接下來，請建立 IAM 角色並連接政策。

建立資料遷移的 IAM 政策

1. 登入 AWS Management Console ，並在 https：//https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

2. 在導覽窗格中，選擇政策。

3. 選擇 Create policy (建立政策)。

4. 在建立政策頁面中，選擇 JSON 索引標籤。

5. 將以下 JSON 貼至編輯器中。

   JSON

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:DescribeRouteTables",
                   "ec2:DescribeSecurityGroups",
                   "ec2:DescribeVpcPeeringConnections",
                   "ec2:DescribeVpcs",
                   "ec2:DescribePrefixLists",
                   "logs:DescribeLogGroups"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "servicequotas:GetServiceQuota"
               ],
               "Resource": "arn:aws:servicequotas:*:*:vpc/L-0EA8095F"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "logs:CreateLogGroup",
                   "logs:DescribeLogStreams"
               ],
               "Resource": "arn:aws:logs:*:*:log-group:dms-data-migration-*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "logs:CreateLogStream",
                   "logs:PutLogEvents"
               ],
               "Resource": "arn:aws:logs:*:*:log-group:dms-data-migration-*:log-stream:dms-data-migration-*"
           },
           {
               "Effect": "Allow",
               "Action": "cloudwatch:PutMetricData",
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:CreateRoute",
                   "ec2:DeleteRoute"
               ],
               "Resource": "arn:aws:ec2:*:*:route-table/*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:CreateTags"
               ],
               "Resource": [
                   "arn:aws:ec2:*:*:security-group/*",
                   "arn:aws:ec2:*:*:security-group-rule/*",
                   "arn:aws:ec2:*:*:route-table/*",
                   "arn:aws:ec2:*:*:vpc-peering-connection/*",
                   "arn:aws:ec2:*:*:vpc/*"
               ]
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:AuthorizeSecurityGroupEgress",
                   "ec2:AuthorizeSecurityGroupIngress"
               ],
               "Resource": "arn:aws:ec2:*:*:security-group-rule/*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:AuthorizeSecurityGroupEgress",
                   "ec2:AuthorizeSecurityGroupIngress",
                   "ec2:RevokeSecurityGroupEgress",
                   "ec2:RevokeSecurityGroupIngress"
               ],
               "Resource": "arn:aws:ec2:*:*:security-group/*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:AcceptVpcPeeringConnection",
                   "ec2:ModifyVpcPeeringConnectionOptions"
               ],
               "Resource": "arn:aws:ec2:*:*:vpc-peering-connection/*"
           },
           {
               "Effect": "Allow",
               "Action": "ec2:AcceptVpcPeeringConnection",
               "Resource": "arn:aws:ec2:*:*:vpc/*"
           }
       ]
   }
   

6. 選擇 Next: Tags (下一步：標籤) 和 Next: Review (下一步：檢閱)。

7. 在名稱*中輸入 HomogeneousDataMigrationsPolicy，然後選擇建立政策。

為同質資料遷移建立 IAM 角色

在此步驟中，您會建立提供存取 AWS Secrets Manager、Amazon EC2 和 CloudWatch 的 IAM 角色。

為資料遷移建立 IAM 角色

1. 登入 AWS Management Console 並開啟位於 https：//https://console.aws.amazon.com/iam/ 的 IAM 主控台。

2. 在導覽窗格中，選擇 Roles (角色)。

3. 選擇 Create Role (建立角色)。

4. 在選取受信任實體頁面上，針對信任的實體類型選擇 AWS 服務。在其他 AWS 服務的使用案例中，選擇 DMS

5. 選取 DMS 核取方塊，然後選擇下一步。

6. 在新增許可頁面上，選擇您之前建立的 HomogeneousDataMigrationsPolicy 。選擇下一步。

7. 在命名、檢閱和建立頁面上的角色名稱輸入 HomogeneousDataMigrationsRole，然後選擇建立角色。

8. 在角色頁面，針對角色名稱輸入 HomogeneousDataMigrationsRole。選擇 HomogeneousDataMigrationsRole。

9. 在 HomogeneousDataMigrationsRole 頁面上，選擇信任關係標籤。選擇編輯信任政策。

10. 在編輯信任原則頁面上，將下列 JSON 貼到編輯器中以取代現有的文字。

    JSON

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "",
                "Effect": "Allow",
                "Principal": {
                    "Service": [
                        "dms-data-migrations.amazonaws.com",
                        "dms.your_region.amazonaws.com"
                    ]
                },
                "Action": "sts:AssumeRole"
            }
        ]
    }
    

    在上述範例中，將 your_region 取代為 的名稱 AWS 區域。

    上述以資源為基礎的政策為 AWS DMS 服務主體提供根據客戶管理的 HomogeneousDataMigrationsPolicy 政策執行任務的許可。

11. 選擇更新政策。