Sicherheit in AWS Database Migration Service - AWS Database Migration Service
Festlegen eines VerschlüsselungsschlüsselsNetzwerksicherheitÄndern des Datenbankpassworts

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheit in AWS Database Migration Service

Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einem Rechenzentrum und einer Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.

Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das Modell der geteilten Verantwortung beschreibt dies als Sicherheit der Cloud und Sicherheit in der Cloud:

  • Sicherheit der Cloud — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Auditoren von Drittanbietern testen und überprüfen die Effektivität unserer Sicherheitsmaßnahmen im Rahmen der AWS -Compliance-Programme regelmäßig. Weitere Informationen zu den Compliance-Programmen, die für gelten AWS DMS, finden Sie unter AWS Services nach Compliance-Programmen.

  • Sicherheit in der Cloud — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. In Ihre Verantwortung fallen außerdem weitere Faktoren, wie z. B. die Vertraulichkeit der Daten, die Anforderungen Ihrer Organisation sowie geltende Gesetze und Vorschriften.

Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Nutzung anwenden können AWS DMS. In den folgenden Themen erfahren Sie, wie Sie die Konfiguration vornehmen AWS DMS , um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, die Ihnen bei der Überwachung und Sicherung Ihrer AWS DMS Ressourcen helfen.

Sie können den Zugriff auf Ihre AWS DMS Ressourcen und Datenbanken (DBs) verwalten. Die Methode, mit der Sie den Zugriff verwalten, hängt von der Replikationsaufgabe ab, die Sie ausführen müssen, und zwar mit AWS DMS:

  • Verwenden Sie AWS Identity and Access Management (IAM-) Richtlinien, um Berechtigungen zuzuweisen, die festlegen, wer AWS DMS Ressourcen verwalten darf. AWS DMS setzt voraus, dass Sie über die entsprechenden Berechtigungen verfügen, wenn Sie sich als IAM-Benutzer anmelden. Beispielsweise können Sie IAM verwenden, um zu bestimmen, wer DB-Instances und -Cluster erstellen, beschreiben, ändern und löschen, Ressourcen markieren oder Sicherheitsgruppen ändern darf. Weitere Informationen zu IAM und seiner Verwendung mit AWS DMS finden Sie unter. Identitäts- und Zugriffsmanagement für AWS Database Migration Service

  • AWS DMS verwendet Secure Sockets Layer (SSL) für Ihre Endpunktverbindungen mit Transport Layer Security (TLS). Weitere Informationen zur Verwendung von SSL/TLS mit finden Sie AWS DMS unter. Verwenden von SSL mit AWS Database Migration Service

  • AWS DMS verwendet AWS Key Management Service (AWS KMS) Verschlüsselungsschlüssel, um den von Ihrer Replikationsinstanz verwendeten Speicher und die zugehörigen Endpunktverbindungsinformationen zu verschlüsseln. AWS DMS verwendet auch AWS KMS Verschlüsselungsschlüssel, um Ihre Zieldaten im Ruhezustand für Amazon S3- und Amazon Redshift Redshift-Zielendpunkte zu sichern. Weitere Informationen finden Sie unter Einen Verschlüsselungsschlüssel festlegen und Berechtigungen angeben AWS KMS.

  • AWS DMS erstellt Ihre Replikationsinstanz immer in einer Virtual Private Cloud (VPC), die auf dem Amazon VPC-Service basiert, um die größtmögliche Netzwerkzugriffskontrolle zu gewährleisten. Verwenden Sie für Ihre DB-Instances und Instance-Cluster dieselbe VPC wie Ihre Replikations-Instance oder zusätzliche VPCs, um diese Zugriffskontrolle zu erreichen. Jede von Ihnen verwendete Amazon VPC muss einer Sicherheitsgruppe zugeordnet sein, die Regeln enthält, mit denen der gesamte Datenverkehr auf allen Ports die VPC verlassen kann. Dieser Ansatz ermöglicht die Kommunikation von der Replikations-Instance zu Ihren Quell- und Zieldatenbankendpunkten, sofern auf diesen Endpunkten korrekte Eingangsregeln aktiviert sind.

    Weitere Informationen zu verfügbaren Netzwerkkonfigurationen für finden Sie AWS DMS unter. Einrichten eines Netzwerks für eine Replikations-Instance Weitere Informationen zum Erstellen einer DB-Instance oder eines Instance-Clusters in einer VPC finden Sie in der Dokumentation zur Sicherheits- und Cluster-Verwaltung für Ihre Amazon-Datenbanken in der AWS -Dokumentation. Weitere Hinweise zu von AWS DMS unterstützten Netzwerkkonfigurationen finden Sie unter Einrichten eines Netzwerks für eine Replikations-Instance.

  • Um Datenbankmigrationsprotokolle anzuzeigen, benötigen Sie die entsprechenden Amazon CloudWatch Logs-Berechtigungen für die IAM-Rolle, die Sie verwenden. Weitere Informationen zur Protokollierung für AWS DMS finden Sie unter Überwachung von Replikationsaufgaben mit Amazon CloudWatch.

Themen

Einen Verschlüsselungsschlüssel festlegen und Berechtigungen angeben AWS KMS

AWS DMS verschlüsselt den von einer Replikationsinstanz verwendeten Speicher und die Verbindungsinformationen des Endpunkts. Verwendet zum Verschlüsseln des von einer Replikationsinstanz verwendeten Speichers einen AWS Key Management Service (AWS KMS) -Schlüssel, der nur für Ihr AWS Konto gilt. AWS DMS Sie können diesen Schlüssel mit AWS KMS anzeigen und verwalten. Sie können den Standard-KMS-Schlüssel in Ihrem Konto (aws/dms) verwenden oder Sie können einen benutzerdefinierten KMS-Schlüssel erstellen. Wenn Sie bereits über einen KMS-Schlüssel verfügen, können Sie auch diesen für die Verschlüsselung verwenden.

Anmerkung

Jeder benutzerdefinierte oder vorhandene AWS KMS Schlüssel, den Sie als Verschlüsselungsschlüssel verwenden, muss ein symmetrischer Schlüssel sein. AWS DMS unterstützt nicht die Verwendung von asymmetrischen Verschlüsselungsschlüsseln. Weitere Informationen zu symmetrischen und asymmetrischen Verschlüsselungsschlüsseln finden Sie unter https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html im AWS Key Management Service -Entwicklerhandbuch.

Der Standard-KMS-Schlüssel (aws/dms) wird erstellt, wenn Sie zum ersten Mal eine Replikations-Instance starten und keinen benutzerdefinierten KMS-Schlüssel aus dem Bereich Erweitert der Seite Replikations-Instance erstellen ausgewählt haben. Wenn Sie den Standard-KMS-Schlüssel verwenden, müssen Sie dem IAM-Benutzerkonto, das Sie für die Migration verwenden, nur die Berechtigungen kms:ListAliases und kms:DescribeKey erteilen. Weitere Informationen zum Verwenden des Standard-KMS-Schlüssels finden Sie unter IAMFür die Verwendung sind die erforderlichen Berechtigungen erforderlich AWS DMS.

Um einen benutzerdefinierten KMS-Schlüssel zu verwenden, weisen Sie Berechtigungen für den benutzerdefinierten KMS-Schlüssel mithilfe einer der folgenden Optionen zu:

  • Fügen Sie das für die Migration verwendete IAM-Benutzerkonto als Schlüsseladministrator oder Schlüsselbenutzer für den AWS KMS benutzerdefinierten Schlüssel hinzu. Auf diese Weise wird sichergestellt, dass dem IAM-Benutzerkonto die erforderlichen AWS KMS -Berechtigungen erteilt werden. Diese Aktion besteht zusätzlich zu den IAM-Berechtigungen, die Sie dem IAM-Benutzerkonto für die Nutzung von AWS DMS erteilen müssen. Weitere Informationen zum Erteilen von Berechtigungen für einen Schlüsselbenutzer finden Sie unter Gestattet Schlüsselbenutzern die Verwendung des KMS-Schlüssels im AWS Key Management Service -Entwicklerhandbuch.

  • Wenn Sie das IAM-Benutzerkonto nicht als Schlüsseladministrator oder Schlüsselbenutzer für Ihren benutzerdefinierten KMS-Schlüssel hinzufügen möchten, dann fügen Sie folgende zusätzliche Berechtigungen zu den IAM-Berechtigungen hinzu, die Sie dem IAM-Benutzerkonto für die Nutzung von AWS DMS erteilen müssen. 

    
{
            "Effect": "Allow",
            "Action": [
                "kms:ListAliases",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:Encrypt",
                "kms:ReEncrypt*"
            ],
            "Resource": "*"
        },

AWS DMS funktioniert auch mit KMS-Schlüsselaliasen. Weitere Informationen zum Erstellen Ihrer eigenen AWS KMS -Schlüssel und zum Gewähren des Zugriffs auf einen KMS-Schlüssel für Benutzer finden Sie im AWS KMS -Entwicklerhandbuch.

Wenn Sie keine KMS-Schlüssel-ID angeben, wird Ihr Standard-Verschlüsselungsschlüssel AWS DMS verwendet. AWS KMS erstellt den Standardverschlüsselungsschlüssel AWS DMS für Ihr AWS Konto. Ihr AWS Konto hat für jede AWS Region einen anderen Standard-Verschlüsselungsschlüssel.

Um die AWS KMS Schlüssel zu verwalten, die für die Verschlüsselung Ihrer AWS DMS Ressourcen verwendet werden, verwenden Sie den AWS Key Management Service. AWS KMS kombiniert sichere, hochverfügbare Hardware und Software, um ein für die Cloud skaliertes Schlüsselverwaltungssystem bereitzustellen. Mithilfe AWS KMS können Sie Verschlüsselungsschlüssel erstellen und die Richtlinien definieren, die steuern, wie diese Schlüssel verwendet werden können.

Sie finden AWS KMS in der AWS Management Console

  1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms.

  2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Wählen Sie eine der folgenden Optionen, um mit Schlüsseln zu arbeiten: AWS KMS

    • Um die Schlüssel in Ihrem Konto anzuzeigen, das für Sie AWS erstellt und verwaltet wird, wählen Sie im Navigationsbereich die Option AWS Verwaltete Schlüssel aus.

    • Zum Anzeigen der Schlüssel in Ihrem Konto, die Sie erstellen und verwalten, wählen Sie im Navigationsbereich Customer managed keys (Vom Kunden verwaltete Schlüssel) aus.

AWS KMS unterstützt AWS CloudTrail, sodass Sie die Verwendung von Schlüsseln überprüfen können, um sicherzustellen, dass die Schlüssel ordnungsgemäß verwendet werden. Ihre AWS KMS Schlüssel können in Kombination mit AWS DMS und unterstützten AWS Diensten wie Amazon RDS, Amazon S3, Amazon Redshift und Amazon EBS verwendet werden.

Sie können auch benutzerdefinierte AWS KMS Schlüssel speziell zur Verschlüsselung von Zieldaten für die folgenden Endpunkte erstellen: AWS DMS

Nachdem Sie Ihre AWS DMS Ressourcen mit einem KMS-Schlüssel erstellt haben, können Sie den Verschlüsselungsschlüssel für diese Ressourcen nicht mehr ändern. Stellen Sie sicher, dass Sie Ihre Anforderungen an den Verschlüsselungsschlüssel ermitteln, bevor Sie Ihre AWS DMS Ressourcen erstellen.

Netzwerksicherheit für AWS Database Migration Service

Die Sicherheitsanforderungen für das Netzwerk, das Sie bei der Verwendung erstellen, AWS Database Migration Service hängen davon ab, wie Sie das Netzwerk konfigurieren. Die allgemeinen Regeln für die Netzwerksicherheit für AWS DMS lauten wie folgt:

  • Die Replikations-Instance muss Zugriff auf die Quell- und Zielendpunkte haben. Die Sicherheitsgruppe für die Replikations-Instance muss Netzwerk-ACLs oder Regeln haben, die den Ausgang von der Instance über den Datenbankport zu den Datenbankendpunkten erlauben.

  • Datenbankendpunkte müssen Netzwerk-ACLs und Sicherheitsgruppenregeln beinhalten, die eingehenden Zugriff von der Replikations-Instance erlauben. Sie können dies mithilfe der Sicherheitsgruppe der Replikations-Instance, der privaten IP-Adresse, der öffentlichen IP-Adresse oder der öffentlichen Adresse des NAT-Gateways erreichen, je nach Konfiguration.

  • Wenn Ihr Netzwerk einen VPN-Tunnel verwendet, muss die Amazon-EC2-Instance, die als NAT-Gateway fungiert, eine Sicherheitsgruppe mit Regeln verwenden, die der Replikations-Instance erlauben, Datenverkehr durch sie zu senden.

Standardmäßig verfügt die von der AWS DMS Replikationsinstanz verwendete VPC-Sicherheitsgruppe über Regeln, die den Ausgang bis 0.0.0.0/0 an allen Ports zulassen. Wenn Sie diese Sicherheitsgruppe ändern oder Ihre eigene Sicherheitsgruppe Egress verwenden, muss der Ausgang mindestens zu den Quell- und Zielendpunkten auf den jeweiligen Datenbankports zugelassen werden.

Die Netzwerkkonfigurationen, die Sie für die Datenbankmigration verwenden können, erfordern spezifische Sicherheitsüberlegungen:

  • Konfiguration mit allen Komponenten für die Datenbankmigration in einer VPC – Die Sicherheitsgruppe, die von den Endpunkten verwendet wird, muss den Eingang über den Datenbankport von der Replikations-Instance erlauben. Stellen Sie sicher, dass die von der Replikations-Instance verwendete Sicherheitsgruppe Eingang zu den Endpunkten hat, oder Sie können eine Regel in der von den Endpunkten verwendeten Sicherheitsgruppe erstellen, die der privaten IP-Adresse der Replikations-Instance den Zugriff erlaubt.

  • Konfiguration mit mehreren VPCs – Die Sicherheitsgruppe, die von der Replikations-Instance verwendet wird, muss eine Regel für den VPC-Bereich und den DB-Port auf der Datenbank haben.

  • Konfiguration für ein Netzwerk zur VPC Verwendung AWS Direct Connect oder ein VPN – ein VPN-Tunnel, der Datenverkehr durch einen Tunnel aus der VPC in ein On-Premises-VPN erlaubt. Bei dieser Konfiguration enthält das VPC eine Routing-Regel, die Datenverkehr, der für eine IP-Adresse oder einen IP-Bereich bestimmt ist, zu einem Host sendet, der den Datenverkehr aus der VPC in das lokale VPN leiten kann. In diesem Fall verfügt der NAT-Host über eigene Sicherheitsgruppeneinstellungen, die den Datenverkehr von der privaten IP-Adresse oder Sicherheitsgruppe der Replikations-Instance zur NAT-Instance zulassen müssen.

  • Konfiguration für ein Netzwerk, das das Internet VPC nutzt – Die VPC-Sicherheitsgruppe muss Routing-Regeln enthalten, die den nicht für die VPC bestimmten Datenverkehr an das Internet-Gateway sendet. In dieser Konfiguration scheint es, dass die Verbindung zum Endpunkt von der öffentlichen IP-Adresse auf der Replikations-Instance kommt.

  • Konfiguration mit einer RDS DB-Instance, die sich nicht in einer VPC zu einer DB-Instance in einer VPC Verwendung befindet ClassicLink— Wenn sich die Amazon RDS-DB-Quell- oder Zielinstanz nicht in einer VPC befindet und auch keine Sicherheitsgruppe mit der VPC teilt, in der sich die Replikationsinstanz befindet, können Sie einen Proxy-Server einrichten und ihn verwenden, ClassicLink um die Quell- und Zieldatenbank zu verbinden.

  • Der Quellendpunkt befindet sich außerhalb der von der Replikations-Instance verwendeten VPC (über NAT-Gateway) – Sie können ein Network Address Translation (NAT)-Gateway mit einer einzelnen Elastic-IP-Adresse konfigurieren, die an eine einzelne Elastic-Network-Schnittstelle gebunden ist. Diese Elastic Network-Schnittstelle empfängt dann eine NAT-Kennung (nat- # # # # #). Wenn die VPC eine Standardroute zu diesem NAT-Gateway anstatt zum Internet-Gateway enthält, scheint die Replikations-Instance den Datenbankendpunkt mit der öffentlichen IP-Adresse des Internet-Gateways zu kontaktieren. In diesem Fall muss der Eingang zum Datenbankendpunkt außerhalb der VPC den Eingang von der NAT-Adresse anstatt von der öffentlichen IP-Adresse der Replikations-Instance erlauben.

  • VPC-Endpunkte für Nicht-RDBMS-Engines – AWS DMS unterstützt keine VPC-Endpunkte für Nicht-RDBMS-Engines.

Ändern des Datenbankpassworts

In den meisten Fällen lässt sich das Datenbankpasswort für Ihren Quell- oder Zielendpunkt einfach ändern. Wenn Sie das Datenbankkennwort für einen Endpunkt ändern müssen, den Sie derzeit in einer Migrations- oder Replikationsaufgabe verwenden, sind einige zusätzliche Schritte erforderlich. Das folgende Verfahren zeigt, wie Sie dies tun können.

So ändern Sie das Datenbankpasswort für einen Endpunkt in einer Migrations- oder Replikationsaufgabe

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS DMS Konsole unter https://console.aws.amazon.com/dms/v2/.

    Wenn Sie als IAM-Benutzer angemeldet sind, müssen Sie über die entsprechenden Berechtigungen für den Zugriff auf AWS DMS verfügen. Weitere Informationen zu den erforderlichen Berechtigungen finden Sie unter IAMFür die Verwendung sind die erforderlichen Berechtigungen erforderlich AWS DMS.

  2. Wählen Sie im Navigationsbereich die Option Datenbankmigrationsaufgaben aus.

  3. Wählen Sie die Aufgabe aus, die den Endpunkt verwendet, für den Sie das Datenbankpasswort ändern möchten, und klicken Sie dann auf Stop.

  4. Während die Aufgabe beendet wird, können Sie das Passwort der Datenbank für den Endpunkt mithilfe der nativen Tools ändern, die Sie für die Arbeit mit der Datenbank verwenden.

  5. Kehren Sie zur DMS Management Console zurück und wählen Sie im Navigationsbereich Endpoints aus.

  6. Wählen Sie den Endpunkt für die Datenbank aus, für die Sie das Passwort geändert haben, und klicken Sie dann auf Modify.

  7. Geben Sie das neue Passwort in das Feld Passwort ein und wählen Sie Ändern aus.

  8. Wählen Sie im Navigationsbereich die Option Datenbankmigrationsaufgaben aus.

  9. Wählen Sie die Aufgabe aus, die Sie zuvor gestoppt haben, und wählen Sie Neustart/Fortsetzen aus.

  10. Wählen Sie entweder Neustart oder Fortsetzen aus, je nachdem, wie Sie mit der Aufgabe fortfahren möchten, und wählen Sie dann Aufgabe starten aus.