Sicherheit in AWS Database Migration Service - AWS Database Migration Service
Festlegen eines VerschlüsselungsschlüsselsNetzwerksicherheitÄndern des Datenbankpassworts

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheit in AWS Database Migration Service

Cloud-Sicherheit hat bei AWS höchste Priorität. Als AWS-Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die eingerichtet wurde, um die Anforderungen der anspruchsvollsten Organisationen in puncto Sicherheit zu erfüllen.

Sicherheit ist eine übergreifende Verantwortlichkeit zwischen AWS und Ihnen. Das Modell der geteilten Verantwortung beschreibt dies als Sicherheit der Cloud und Sicherheit in der Cloud:

  • Sicherheit der Cloud – AWS ist dafür verantwortlich, die Infrastruktur zu schützen, mit der AWS-Services in der AWS-Cloud ausgeführt werden. AWS stellt Ihnen außerdem Services bereit, die Sie sicher nutzen können. Auditoren von Drittanbietern testen und überprüfen die Effektivität unserer Sicherheitsmaßnahmen im Rahmen der AWS-Compliance-Programme regelmäßig. Informationen zu den Compliance-Programmen, die für AWS DMS gelten, finden Sie unter Vom Compliance-Programm abgedeckte AWS-Services.

  • Sicherheit in der Cloud – Ihr Verantwortungsumfang wird durch den AWS-Service bestimmt, den Sie verwenden. In Ihre Verantwortung fallen außerdem weitere Faktoren, wie z. B. die Vertraulichkeit der Daten, die Anforderungen Ihrer Organisation sowie geltende Gesetze und Vorschriften.

Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der geteilten Verantwortung bei der Verwendung von AWS DMS einsetzen können. Die folgenden Themen veranschaulichen, wie Sie AWS DMS zur Erfüllung Ihrer Sicherheits- und Compliance-Ziele konfigurieren können. Sie erfahren außerdem, wie Sie andere AWS-Services verwenden, um Ihre AWS DMS-Ressourcen zu überwachen und zu schützen.

Sie können den Zugriff auf Ihre AWS DMS-Ressourcen und Ihre Datenbanken (DBs) verwalten. Die Methode, die Sie zum Verwalten des Zugriffs verwenden, hängt von der Replikationsaufgabe ab, die Sie mit AWS DMS ausführen müssen:

  • Verwenden Sie AWS Identity and Access Management (IAM)-Richtlinien, um Berechtigungen zuzuweisen, die bestimmen, wer AWS DMS-Ressourcen verwalten darf. AWS DMS erfordert, dass Sie über die entsprechenden Berechtigungen verfügen, wenn Sie sich als IAM-Benutzer anmelden. Beispielsweise können Sie IAM verwenden, um zu bestimmen, wer DB-Instances und -Cluster erstellen, beschreiben, ändern und löschen, Ressourcen markieren oder Sicherheitsgruppen ändern darf. Weitere Informationen zu IAM und seiner Verwendung mit AWS DMS finden Sie unter Identity and Access Management für AWS Database Migration Service.

  • AWS DMS verwendet Secure Sockets Layer (SSL) für Ihre Endpunktverbindungen mit Transport Layer Security (TLS). Weitere Informationen zur Verwendung von SSL/TLS mit AWS DMS finden Sie unter Verwenden von SSL mit AWS Database Migration Service.

  • AWS DMS verwendet AWS Key Management Service (AWS KMS)-Verschlüsselungsschlüssel, um den von Ihrer Replikations-Instance verwendeten Speicher und deren Endpunktverbindungsinformationen zu verschlüsseln. AWS DMS verwendet auch AWS KMS-Verschlüsselungsschlüssel, um Ihre Zieldaten im Ruhezustand für Amazon-S3- und Amazon-Redshift-Zielendpunkte zu sichern. Weitere Informationen finden Sie unter Einrichten eines Verschlüsselungsschlüssels und Angeben von AWS KMS-Berechtigungen.

  • AWS DMS erstellt Ihre Replikations-Instance immer in einer Virtual Private Cloud (VPC) basierend auf dem Amazon-VPC-Service für die größtmögliche Netzwerkzugriffskontrolle. Verwenden Sie für Ihre DB-Instances und Instance-Cluster dieselbe VPC wie Ihre Replikations-Instance oder zusätzliche VPCs, um diese Zugriffskontrolle zu erreichen. Jede von Ihnen verwendete Amazon VPC muss einer Sicherheitsgruppe zugeordnet sein, die Regeln enthält, mit denen der gesamte Datenverkehr auf allen Ports die VPC verlassen kann. Dieser Ansatz ermöglicht die Kommunikation von der Replikations-Instance zu Ihren Quell- und Zieldatenbankendpunkten, sofern auf diesen Endpunkten korrekte Eingangsregeln aktiviert sind.

    Weitere Hinweise zu verfügbaren Netzwerkkonfigurationen für AWS DMS finden Sie unter Einrichten eines Netzwerks für eine Replikations-Instance. Weitere Informationen zum Erstellen einer DB-Instance oder eines Instance-Clusters in einer VPC finden Sie in der Dokumentation zur Sicherheits- und Cluster-Verwaltung für Ihre Amazon-Datenbanken in der AWS-Dokumentation. Weitere Hinweise zu von AWS DMS unterstützten Netzwerkkonfigurationen finden Sie unter Einrichten eines Netzwerks für eine Replikations-Instance.

  • Wenn Sie Datenbankmigrationsprotokolle anzeigen möchten, müssen Sie über die entsprechenden Amazon-CloudWatch-Logs-Berechtigungen für die IAM-Rolle, die Sie verwenden, verfügen. Weitere Informationen zur Protokollierung für AWS DMS finden Sie unter Überwachen von Replikationsaufgaben mit Amazon CloudWatch.

Themen

Einrichten eines Verschlüsselungsschlüssels und Angeben von AWS KMS-Berechtigungen

AWS DMS verschlüsselt den von einer Replikations-Instance verwendeten Speicher und die Verbindungsinformationen für den Endpunkt. Um den von einer Replikations-Instance verwendeten Speicher zu verschlüsseln, verwendet AWS DMS einen AWS Key Management Service (AWS KMS)-Schlüssel, der nur für Ihr AWS-Konto gültig ist. Sie können diesen Schlüssel mit AWS KMS anzeigen und verwalten. Sie können den Standard-KMS-Schlüssel in Ihrem Konto (aws/dms) verwenden oder Sie können einen benutzerdefinierten KMS-Schlüssel erstellen. Wenn Sie bereits über einen KMS-Schlüssel verfügen, können Sie auch diesen für die Verschlüsselung verwenden.

Anmerkung

Jeder benutzerdefinierte oder vorhandene AWS KMS-Schlüssel, den Sie als Verschlüsselungsschlüssel verwenden, muss ein symmetrischer Schlüssel sein. AWS DMS unterstützt die Verwendung asymmetrischer Verschlüsselungsschlüssel nicht. Weitere Informationen zu symmetrischen und asymmetrischen Verschlüsselungsschlüsseln finden Sie unter https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html im AWS Key Management Service-Entwicklerhandbuch.

Der Standard-KMS-Schlüssel (aws/dms) wird erstellt, wenn Sie zum ersten Mal eine Replikations-Instance starten und keinen benutzerdefinierten KMS-Schlüssel aus dem Bereich Erweitert der Seite Replikations-Instance erstellen ausgewählt haben. Wenn Sie den Standard-KMS-Schlüssel verwenden, müssen Sie dem IAM-Benutzerkonto, das Sie für die Migration verwenden, nur die Berechtigungen kms:ListAliases und kms:DescribeKey erteilen. Weitere Informationen zum Verwenden des Standard-KMS-Schlüssels finden Sie unter Erforderliche IAM-Berechtigungen zur Verwendung von AWS DMS.

Um einen benutzerdefinierten KMS-Schlüssel zu verwenden, weisen Sie Berechtigungen für den benutzerdefinierten KMS-Schlüssel mithilfe einer der folgenden Optionen zu:

  • Fügen Sie das IAM-Benutzerkonto, das für die Migration verwendet wird, als Schlüsseladministrator oder Schlüsselbenutzer für den benutzerdefinierten AWS KMS-Schlüssel hinzu. Auf diese Weise wird sichergestellt, dass dem IAM-Benutzerkonto die erforderlichen AWS KMS-Berechtigungen erteilt werden. Diese Aktion besteht zusätzlich zu den IAM-Berechtigungen, die Sie dem IAM-Benutzerkonto für die Nutzung von AWS DMS erteilen müssen. Weitere Informationen zum Erteilen von Berechtigungen für einen Schlüsselbenutzer finden Sie unter Gestattet Schlüsselbenutzern die Verwendung des KMS-Schlüssels im AWS Key Management Service-Entwicklerhandbuch.

  • Wenn Sie das IAM-Benutzerkonto nicht als Schlüsseladministrator oder Schlüsselbenutzer für Ihren benutzerdefinierten KMS-Schlüssel hinzufügen möchten, dann fügen Sie folgende zusätzliche Berechtigungen zu den IAM-Berechtigungen hinzu, die Sie dem IAM-Benutzerkonto für die Nutzung von AWS DMS erteilen müssen. 

    
{
            "Effect": "Allow",
            "Action": [
                "kms:ListAliases",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:Encrypt",
                "kms:ReEncrypt*"
            ],
            "Resource": "*"
        },

AWS DMS funktioniert auch mit KMS-Schlüsselaliassen. Weitere Informationen zum Erstellen Ihrer eigenen AWS KMS-Schlüssel und zum Gewähren des Zugriffs auf einen KMS-Schlüssel für Benutzer finden Sie im AWS KMS-Entwicklerhandbuch.

Wenn Sie keine KMS-Schlüsselkennung angeben, verwendet AWS DMS Ihren Standardverschlüsselungsschlüssel. AWS KMS erstellt den Standardverschlüsselungsschlüssel für AWS DMS für Ihr AWS-Konto. Ihr AWS-Konto verfügt für jede AWS-Region über einen anderen Standardverschlüsselungsschlüssel.

Verwenden Sie zur Verwaltung der AWS KMS-Schlüssel für die Verschlüsselung Ihrer AWS DMS-Ressourcen den AWS Key Management Service. AWS KMS kombiniert sichere, hoch verfügbare Hard- und Software, um ein System für die Schlüsselverwaltung bereitzustellen, das für die Cloud skaliert ist. Mit AWS KMS können Sie Verschlüsselungsschlüssel erstellen und Richtlinien definieren, die steuern, wie diese Schlüssel verwendet werden können.

Sie finden AWS KMS in der AWS Management Console

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Key Management Service (AWS KMS)-Konsole unter https://console.aws.amazon.com/kms.

  2. Wenn Sie die AWS-Region ändern möchten, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Wählen Sie eine der folgenden Optionen, um mit AWS KMS-Schlüsseln zu arbeiten:

    • Um die Schlüssel in Ihrem Konto anzuzeigen, die AWS für Sie erstellt und verwaltet, wählen Sie im Navigationsbereich AWS managed keys (AWS-verwaltete Schlüssel) aus.

    • Zum Anzeigen der Schlüssel in Ihrem Konto, die Sie erstellen und verwalten, wählen Sie im Navigationsbereich Customer managed keys (Vom Kunden verwaltete Schlüssel) aus.

AWS KMS unterstützt AWS CloudTrail, so dass Sie die Schlüsselverwendung prüfen und sicherstellen können, dass die Schlüssel korrekt verwendet werden. Ihre AWS KMS-Schlüssel können in Kombination mit AWS DMS und unterstützten AWS-Services wie Amazon RDS, Amazon S3, Amazon Redshift und Amazon EBS verwendet werden.

Sie können auch benutzerdefinierte AWS KMS-Schlüssel speziell zum Verschlüsseln von Zieldaten für die folgenden AWS DMS-Endpunkte erstellen:

Nachdem Sie Ihre AWS DMS-Ressourcen mit einem KMS-Schlüssel erstellt haben, können Sie den Verschlüsselungsschlüssel für diese Ressourcen nicht mehr ändern. Stellen Sie sicher, die Anforderungen für Ihre Verschlüsselungsschlüssel zu definieren, bevor Sie Ihre AWS DMS-Ressourcen erstellen.

Netzwerksicherheit für AWS Database Migration Service

Die Sicherheitsanforderungen für das Netzwerk, das Sie erstellen, wenn Sie AWS Database Migration Service verwenden, hängen davon ab, wie Sie das Netzwerk konfigurieren. Die allgemeinen Regeln zur Netzwerksicherheit für AWS DMS lauten wie folgt:

  • Die Replikations-Instance muss Zugriff auf die Quell- und Zielendpunkte haben. Die Sicherheitsgruppe für die Replikations-Instance muss Netzwerk-ACLs oder Regeln haben, die den Ausgang von der Instance über den Datenbankport zu den Datenbankendpunkten erlauben.

  • Datenbankendpunkte müssen Netzwerk-ACLs und Sicherheitsgruppenregeln beinhalten, die eingehenden Zugriff von der Replikations-Instance erlauben. Sie können dies mithilfe der Sicherheitsgruppe der Replikations-Instance, der privaten IP-Adresse, der öffentlichen IP-Adresse oder der öffentlichen Adresse des NAT-Gateways erreichen, je nach Konfiguration.

  • Wenn Ihr Netzwerk einen VPN-Tunnel verwendet, muss die Amazon-EC2-Instance, die als NAT-Gateway fungiert, eine Sicherheitsgruppe mit Regeln verwenden, die der Replikations-Instance erlauben, Datenverkehr durch sie zu senden.

Standardmäßig hat die VPC-Sicherheitsgruppe, die von der AWS DMS-Replikations-Instance verwendet wird, Regeln, die den Ausgang zu 0.0.0.0/0 auf allen Ports erlauben. Wenn Sie diese Sicherheitsgruppe ändern oder Ihre eigene Sicherheitsgruppe Egress verwenden, muss der Ausgang mindestens zu den Quell- und Zielendpunkten auf den jeweiligen Datenbankports zugelassen werden.

Die Netzwerkkonfigurationen, die Sie für die Datenbankmigration verwenden können, erfordern spezifische Sicherheitsüberlegungen:

  • Konfiguration mit allen Datenbankmigrationskomponenten in einer VPC – Die Sicherheitsgruppe, die von den Endpunkten verwendet wird, muss den Eingang über den Datenbankport von der Replikations-Instance erlauben. Stellen Sie sicher, dass die von der Replikations-Instance verwendete Sicherheitsgruppe Eingang zu den Endpunkten hat, oder Sie können eine Regel in der von den Endpunkten verwendeten Sicherheitsgruppe erstellen, die der privaten IP-Adresse der Replikations-Instance den Zugriff erlaubt.

  • Konfiguration mit mehreren VPCs – Die Sicherheitsgruppe, die von der Replikations-Instance verwendet wird, muss eine Regel für den VPC-Bereich und den DB-Port auf der Datenbank haben.

  • Konfiguration für ein Netzwerk zu einer VPC unter Verwendung AWS Direct Connect eines VPN – ein VPN-Tunnel, der Datenverkehr durch einen Tunnel aus der VPC in ein On-Premises-VPN erlaubt. Bei dieser Konfiguration enthält das VPC eine Routing-Regel, die Datenverkehr, der für eine IP-Adresse oder einen IP-Bereich bestimmt ist, zu einem Host sendet, der den Datenverkehr aus der VPC in das lokale VPN leiten kann. In diesem Fall verfügt der NAT-Host über eigene Sicherheitsgruppeneinstellungen, die den Datenverkehr von der privaten IP-Adresse oder Sicherheitsgruppe der Replikations-Instance zur NAT-Instance zulassen müssen.

  • Konfiguration für ein Netzwerk zu einer VPC über das Internet – Die VPC-Sicherheitsgruppe muss Routing-Regeln enthalten, die den nicht für die VPC bestimmten Datenverkehr an das Internet-Gateway sendet. In dieser Konfiguration scheint es, dass die Verbindung zum Endpunkt von der öffentlichen IP-Adresse auf der Replikations-Instance kommt.

  • Konfiguration mit einer RDS-DB-Instance, die sich nicht in einer VPC befindet, zu einer DB-Instance in einer VPC mit ClassicLink – Wenn die Amazon-RDS-Quell- oder Ziel-DB-Instance sich nicht in einer VPC befindet und keine Sicherheitsgruppe mit der VPC teilt, in der sich die Replikations-Instance befindet, können Sie einen Proxy-Server einrichten und ClassicLink verwenden, um die Quell- und Zieldatenbanken zu verbinden.

  • Der Quellendpunkt befindet sich außerhalb der von der Replikations-Instance verwendeten VPC (über NAT-Gateway) – Sie können ein Network Address Translation (NAT)-Gateway mit einer einzelnen Elastic-IP-Adresse konfigurieren, die an eine einzelne Elastic-Network-Schnittstelle gebunden ist. Diese Elastic Network-Schnittstelle empfängt dann eine NAT-Kennung (nat- # # # # #). Wenn die VPC eine Standardroute zu diesem NAT-Gateway anstatt zum Internet-Gateway enthält, scheint die Replikations-Instance den Datenbankendpunkt mit der öffentlichen IP-Adresse des Internet-Gateways zu kontaktieren. In diesem Fall muss der Eingang zum Datenbankendpunkt außerhalb der VPC den Eingang von der NAT-Adresse anstatt von der öffentlichen IP-Adresse der Replikations-Instance erlauben.

  • VPC-Endpunkte für Nicht-RDBMS-Engines – AWS DMS unterstützt keine VPC-Endpunkte für Nicht-RDBMS-Engines.

Ändern des Datenbankpassworts

In den meisten Fällen lässt sich das Datenbankpasswort für Ihren Quell- oder Zielendpunkt einfach ändern. Falls Sie das Datenbankpasswort für einen Endpunkt ändern müssen, den Sie gegenwärtig in einer Migrations- oder Replikationsaufgabe verwenden, ist der Prozess etwas komplexer. Das folgende Verfahren zeigt, wie Sie dies tun können.

So ändern Sie das Datenbankpasswort für einen Endpunkt in einer Migrations- oder Replikationsaufgabe

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS DMS-Konsole unter https://console.aws.amazon.com/dms/v2/.

    Wenn Sie als IAM-Benutzer angemeldet sind, müssen Sie über die entsprechenden Berechtigungen für den Zugriff auf AWS DMS verfügen. Weitere Informationen zu den erforderlichen Berechtigungen finden Sie unter Erforderliche IAM-Berechtigungen zur Verwendung von AWS DMS.

  2. Wählen Sie im Navigationsbereich die Option Datenbankmigrationsaufgaben aus.

  3. Wählen Sie die Aufgabe aus, die den Endpunkt verwendet, für den Sie das Datenbankpasswort ändern möchten, und klicken Sie dann auf Stop.

  4. Während die Aufgabe beendet wird, können Sie das Passwort der Datenbank für den Endpunkt mithilfe der nativen Tools ändern, die Sie für die Arbeit mit der Datenbank verwenden.

  5. Kehren Sie zur DMS Management Console zurück und wählen Sie im Navigationsbereich Endpoints aus.

  6. Wählen Sie den Endpunkt für die Datenbank aus, für die Sie das Passwort geändert haben, und klicken Sie dann auf Modify.

  7. Geben Sie das neue Passwort in das Feld Passwort ein und wählen Sie Ändern aus.

  8. Wählen Sie im Navigationsbereich die Option Datenbankmigrationsaufgaben aus.

  9. Wählen Sie die Aufgabe aus, die Sie zuvor gestoppt haben, und wählen Sie Neustart/Fortsetzen aus.

  10. Wählen Sie entweder Neustart oder Fortsetzen aus, je nachdem, wie Sie mit der Aufgabe fortfahren möchten, und wählen Sie dann Aufgabe starten aus.