やりたかったこと「AuroraのSnapShotをTiDB Cloudのインポート画面から読み込んでTiDBにデータ作成する」
AuroraMySQLのデータをTiDBに移行するために、まず、以下の記事を参考にDumplingでAuroraのDDLをエクスポートし、それをTiDBにインポートしました。
その後に、TiDB Cloud Dedicatedのダッシュボードのインポート機能でS3に配置したスナップショットからTiDB Cloudにデータを復元しようとしました。
なおTiDB Docの資料でTiDB Cloudにparquet fileをインポートする方法が記載されていたので、それを参考にインポートを実施しました。
この際に、S3に読み取りアクセス可能なポリシー(AmazonS3ReadOnlyAccess)をもったIAMユーザを同時に作成しており、そのIAMユーザのアクセスIDとシークレットアクセスキーをインポート画面に入力していました。
次のポリシーを持つIAMユーザーを作成します。
AmazonS3ReadOnlyAccessCreateOwnAccessKeys(必須) およびManageOwnAccessKeys(オプション)これらのポリシーは、ソース データを保存するバケットに対してのみ機能することをお勧めします。
発生した課題 Access Denied
しかし、インポートを実行するとAccess Deniedが出て失敗しました。
ただTiDB Cloudのエラー画面には具体的なエラー理由が出なかったので、PingCapのサポートの方に問い合わせを行いました。
解決「S3の対象バケットに対するKMSキーを持ったインラインポリシーをIAMユーザにアタッチする」
そこでPingCapのサポートの方から「ログの方にKMSキーでのS3の復号ができない旨のエラーが出ています」ということと「IAMユーザのポリシーに、kms:Decryptを指定してください。Resourceには対応するS3オブジェクトのKMSキーを指定してください」ということを教えてもらいました。
{
"Sid": "AllowKMSkey",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:ap-northeast-1:105880447796:key/c3046e91-fdfc-4f3a-acff-00597dd3801f"
}そこで先程のIAMユーザのポリシーを編集して、先程のJSONを追加して、Resourceに対象のS3バケットの中にある適当なファイルから対応するKMSキーのarnをコピペしました。
地味に詰まったのですが、バケットのディレクトリを見てもKMSキーは表示されないのでご注意を、、
その後、インポートをリトライしたところ、先程のエラーは出なくなりました。
参考
また、これらのAccess Deniedに関するエラー対応については以下のトラブルシューティングに記載されていとも教えていただきました。
ご参考までに
