このトピックで説明されているように RAM 権限付与を構成すると、DTS はデータ移行または同期のために他の Alibaba Cloud アカウントの VPC にアクセスできます。これにより、他の Alibaba Cloud アカウントの専用回線を介してアクセスされる自己管理データベースを、現在のアカウントのクラウドデータベースに移行または同期できます。
前提条件
-
専用回線に関連付けられている Alibaba Cloud アカウントは、DTS の RAM ロールにクラウド リソースへのアクセスを承認しています。詳細については、「DTS にクラウド リソースへのアクセス権を付与する」をご参照ください。
-
ソースデータベースと宛先データベースの両方について、Alibaba Cloud アカウント(プライマリアカウント)を使用して ページと セキュリティ設定 ページにアクセスします。ページの右側で [アカウント ID] を取得します。
背景情報
ローカル IDC またはサードパーティクラウドは、専用回線、VPN Gateway、または Smart Access Gateway を介して Alibaba Cloud に接続されています。ここで、ローカル IDC またはサードパーティクラウドの自己管理データベースを、VPC を介して別の Alibaba Cloud アカウントのクラウドデータベースに転送する必要があります。
DTS を使用して Alibaba Cloud アカウント間で VPC 内の自己管理データベースを転送する前に、専用回線に関連付けられている Alibaba Cloud アカウントで RAM 権限付与を構成します。また、宛先インスタンスが属するクラウドアカウント(プライマリアカウント)を信頼できるアカウントとして設定し、関連するクラウド リソースへのアクセスを承認します。
注意事項
VPC 内の自己管理データベースをソースデータベースとして使用する場合(アクセス方法 が Express Connect、VPN Gateway、または Smart Access Gateway)、複数アカウント機能がサポートされています。ただし、自己管理データベースが宛先のときは、この機能はサポートされていません。サポートされているデータベースの一覧については、「サポートされているデータベース」をご参照ください。
ステップ 1:RAM ロールを作成し、DTS のデフォルトのロール権限を付与する
-
専用回線に関連付けられている Alibaba Cloud アカウントを使用して、RAM コンソール にログオンします。
重要RAM ユーザー(サブアカウント)を使用している場合、DTS タスクの作成時に承認エラーが発生する可能性があります。
左側のナビゲーションウィンドウで、 を選択します。
重要を選択しないでください。これを行うと、DTS がデータベース インスタンスにアクセスできなくなり、エラーが発生します。
-
[ロール] ページで、[ロールの作成] をクリックします。
-
[ロールの作成] パネルで、信頼できるエンティティとして [alibaba Cloud アカウント] を選択し、[次へ] をクリックします。
[権限] タブで、[詳細な権限] をクリックします。
-
[詳細な承認] パネルで、RAM ロールの詳細な承認を実行できます。
-
[ポリシー タイプ] を [システム ポリシー] として選択します。
[ポリシー名] を入力します。この例では、[aliyundtsrolepolicy] が指定されています。
[OK] をクリックします。
-
ステップ 2:RAM ロールに Alibaba Cloud アカウントの VPC へのアクセスを承認する
-
専用回線に関連付けられている Alibaba Cloud アカウントを使用して、RAM コンソール にログオンします。
重要RAM ユーザー(サブアカウント)を使用している場合、DTS タスクの作成時に承認エラーが発生する可能性があります。
左側のナビゲーションウィンドウで、 を選択します。
重要を選択しないでください。これを行うと、DTS がデータベース インスタンスにアクセスできなくなり、エラーが発生します。
-
ステップ 1 で作成した RAM ロールを探し、対応する RAM ロール名をクリックします。
-
RAM ロールの承認を追加します。
-
[権限管理] タブで、[承認の追加] をクリックできます。
-
[承認の追加] パネルで、承認の詳細を構成します。
-
リソース範囲を選択します。
この例では、[アカウント レベル] を選択します。詳細については、「RAM ロールを承認する」をご参照ください。
[ポリシー] セクションで、ドロップダウン リストから [システム ポリシー] を選択します。
-
ポリシーを選択します。
検索ボックスに [aliyunvpcreadonlyaccess] と入力して検索し、ポリシー名をクリックして [選択済みポリシー] 領域に追加します。
[権限の付与] をクリックします。
-
-
承認が成功したら、[閉じる] をクリックします。
-
-
RAM ロールの信頼ポリシーを変更します。
[信頼ポリシー] タブをクリックします。
[信頼ポリシーの編集] をクリックします。
ポリシーテキストを次のサンプルコードに置き換えます。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::<Alibaba Cloud アカウント ID>:root" ], "Service": [ "<Alibaba Cloud アカウント ID>@dts.aliyuncs.com" ] } } ], "Version": "1" }-
サンプルコード内の 2 つの
<Alibaba Cloud アカウント ID>を、宛先データベースが属する Alibaba Cloud アカウントの ID に置き換えます。 [信頼ポリシードキュメントの保存] をクリックします。
DTS タスクの構成
このプロシージャでは、同期タスクを例として使用して、Alibaba Cloud アカウント間の DTS タスクの構成手順について説明します。
-
宛先データベースに関連付けられている Alibaba Cloud アカウント(プライマリアカウント)を使用して、ソースデータベースとターゲットデータベースの設定 ページにアクセスします。
次のいずれかの方法を使用して データ同期 ページに移動し、データ同期インスタンスが存在するリージョンを選択します。
DTS コンソール
DTS コンソール にログオンします。
左側のナビゲーションウィンドウで、データ同期 をクリックします。
ページの左上隅で、データ同期インスタンスが存在するリージョンを選択します。
DMS コンソール
説明実際の操作は、DMS コンソールのモードとレイアウトによって異なる場合があります。詳細については、「シンプルモード」および「DMS コンソールのレイアウトとスタイルをカスタマイズする」をご参照ください。
DMS コンソール にログオンします。
上部のナビゲーションバーで、ポインターを [データ開発] に重ね、 を選択します。
データ同期タスク の右側にあるドロップダウン リストから、データ同期インスタンスが存在するリージョンを選択します。
タスクの作成 をクリックして、タスク構成ページに移動します。
-
ソースデータベース情報を構成します。
主要なパラメーターの構成方法は、次の表に示されています。
構成
説明
既存の接続情報の選択
この例では構成は不要です。
データベースタイプ
実際の状況に応じて選択します。
アクセス方法
Express Connect、VPN Gateway、または Smart Access Gateway を選択します。
インスタンスのリージョン
実際の状況に応じて選択します。
Alibaba Cloud アカウント間でデータを複製
○ オプションを選択します。
Alibaba Cloud アカウント
ソースデータベースが属する Alibaba Cloud アカウント(プライマリアカウント)の ID を入力します。
RAM ロール名
ソースデータベースが属する Alibaba Cloud アカウント(プライマリアカウント)で作成された RAM ロール名(つまり、ステップ 1 で作成された RAM ロール名)を入力します。
接続中の VPC
実際の状況に応じて選択します。
説明選択中にエラーが発生した場合は、「一般的なエラー」で解決策を確認してください。
-
実際の状況に応じて、その他および後続の構成を完了し、関連する構成ドキュメントを参照してください。