Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de un centro de datos y una arquitectura de red diseñados para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre usted AWS y usted. El modelo de responsabilidad compartida
-
Seguridad de la nube: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la AWS nube. AWS también le proporciona servicios que puede utilizar de forma segura. Auditores independientes prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los programas de conformidad de AWS
. Para obtener más información sobre los programas de cumplimiento aplicables AWS DMS, consulte AWS los servicios clasificados por programa de cumplimiento . -
Seguridad en la nube: su responsabilidad viene determinada por el AWS servicio que utilice. Usted también es responsable de otros factores incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos aplicables.
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza AWS DMS. Los siguientes temas muestran cómo configurarlo AWS DMS para cumplir sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros AWS servicios que le ayudan a supervisar y proteger sus AWS DMS recursos.
Puede administrar el acceso a sus AWS DMS recursos y bases de datos (DBs). El método que utilice para administrar el acceso depende de la tarea de replicación que necesite realizar con AWS DMS:
-
Utilice las políticas AWS Identity and Access Management (IAM) para asignar permisos que determinen quién puede administrar AWS DMS los recursos. AWS DMS requiere que tenga los permisos adecuados si inicia sesión como IAM usuario. Por ejemplo, puede utilizar IAM para determinar quién tiene permiso para crear, describir, modificar y eliminar instancias y clústeres de bases de datos, etiquetar recursos o modificar grupos de seguridad. Para obtener más información sobre su uso IAM y uso con ella AWS DMS, consulteGestión de identidad y acceso para AWS Database Migration Service.
-
AWS DMS utiliza Secure Sockets Layer (SSL) para sus conexiones de punto final con Transport Layer Security (TLS). Para obtener más información sobre el uso deSSL/TLScon AWS DMS, consulteUtilizándolo con SSL AWS Database Migration Service.
-
AWS DMS utiliza las claves de cifrado AWS Key Management Service (AWS KMS) para cifrar el almacenamiento utilizado por la instancia de replicación y la información de conexión de su punto final. AWS DMS también utiliza claves de AWS KMS cifrado para proteger los datos de destino en reposo para los puntos de enlace de destino de Amazon S3 y Amazon Redshift. Para obtener más información, consulte Configurar una clave de cifrado y especificar los permisos AWS KMS.
-
AWS DMS siempre crea la instancia de replicación en una nube privada virtual (VPC) basada en el VPC servicio de Amazon para lograr el mayor control de acceso a la red posible. Para sus instancias de base de datos y clústeres de instancias, utilice la VPC misma instancia que su instancia de replicación o alguna adicional VPCs para que coincida con este nivel de control de acceso. Cada Amazon VPC que utilices debe estar asociado a un grupo de seguridad que tenga reglas que permitan que todo el tráfico de todos los puertos salga (salga) delVPC. Este enfoque permite la comunicación entre la instancia de replicación y los puntos de enlace de su base de datos de origen y de destino, siempre que en dichos puntos de enlace se haya activado la entrada correcta.
Para obtener más información sobre las configuraciones de red disponibles AWS DMS, consulteConfiguración de una red para una instancia de replicación. Para obtener más información sobre cómo crear una instancia de base de datos o un clúster de instancias en unVPC, consulte la documentación de seguridad y administración de clústeres de sus bases de datos de Amazon en AWS la documentación. Para obtener más información acerca de las configuraciones de red AWS DMS compatibles, consulte Configuración de una red para una instancia de replicación.
-
Para ver los registros de migración de bases de datos, necesita los permisos de Amazon CloudWatch Logs adecuados para el IAM rol que esté utilizando. Para obtener más información acerca del registro para AWS DMS, consulte Supervisión de las tareas de replicación mediante Amazon CloudWatch.
Temas
- Protección de datos en AWS Database Migration Service
- Gestión de identidad y acceso para AWS Database Migration Service
- Validación de conformidad en AWS Database Migration Service
- Resiliencia en AWS Database Migration Service
- Seguridad de la infraestructura en AWS Database Migration Service
- Control de acceso detallado mediante nombres de recursos y etiquetas
- Configurar una clave de cifrado y especificar los permisos AWS KMS
- Seguridad de red para AWS Database Migration Service
- Utilizándolo con SSL AWS Database Migration Service
- Cambio de la contraseña de la base de datos
- Uso de la autenticación Kerberos con AWS Database Migration Service
Configurar una clave de cifrado y especificar los permisos AWS KMS
AWS DMS cifra el almacenamiento utilizado por una instancia de replicación y la información de conexión del punto final. Para cifrar el almacenamiento utilizado por una instancia de replicación, AWS DMS utiliza una clave AWS Key Management Service (AWS KMS) que es exclusiva de su AWS cuenta. Puede ver y administrar esta clave con AWS KMS. Puede utilizar la clave de KMS predeterminada en su cuenta (aws/dms
) o crear una clave de KMS personalizada. Si ya posee una clave de KMS, también la puede utilizar para el cifrado.
nota
Cualquier AWS KMS clave personalizada o existente que utilice como clave de cifrado debe ser una clave simétrica. AWS DMS no admite el uso de claves de cifrado asimétricas. Para obtener más información sobre claves de cifrado simétricas y asimétricas, consulte https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html en la Guía para desarrolladores de AWS Key Management Service .
La KMS clave predeterminada (aws/dms
) se crea al lanzar una instancia de replicación por primera vez, si no ha seleccionado una KMS clave personalizada en la sección Avanzada de la página Crear instancia de replicación. Si usa la KMS clave predeterminada, los únicos permisos que debe conceder a la cuenta de IAM usuario que está utilizando para la migración son kms:ListAliases
ykms:DescribeKey
. Para obtener más información sobre el uso de la clave de KMS predeterminada, consulte IAMpermisos necesarios para su uso AWS DMS.
Para utilizar una clave de KMS personalizada, asigne permisos a la clave de KMS personalizada utilizando una de las siguientes opciones:
-
Agregue la cuenta de IAM usuario utilizada para la migración como administrador de claves o usuario clave para la clave AWS KMS personalizada. De este modo, se garantiza que se concedan AWS KMS los permisos necesarios a la cuenta IAM de usuario. Esta acción se suma a los IAM permisos que se conceden a la cuenta IAM de usuario para su uso AWS DMS. Para obtener más información sobre la concesión de permisos a un usuario clave, consulte Permitir que los usuarios clave usen la KMS clave en la Guía para AWS Key Management Service desarrolladores.
-
Si no desea añadir la cuenta de IAM usuario como administrador de claves o usuario clave para su KMS clave personalizada, añada los siguientes permisos adicionales a los IAM permisos que debe conceder a la cuenta de IAM usuario para su uso AWS DMS.
{ "Effect": "Allow", "Action": [ "kms:ListAliases", "kms:DescribeKey", "kms:CreateGrant", "kms:Encrypt", "kms:ReEncrypt*" ], "Resource": "*" },
AWS DMS también funciona con los alias KMS clave. Para obtener más información sobre cómo crear tus propias AWS KMS claves y dar a los usuarios acceso a una KMS clave, consulta la Guía para AWS KMS desarrolladores.
Si no especificas un identificador de KMS clave, AWS DMS utiliza tu clave de cifrado predeterminada. AWS KMS crea la clave de cifrado predeterminada AWS DMS para tu AWS cuenta. Su AWS cuenta tiene una clave de cifrado predeterminada diferente para cada AWS región.
Para administrar las AWS KMS claves utilizadas para cifrar sus AWS DMS recursos, utilice la AWS Key Management Service. AWS KMS combina hardware y software seguros y de alta disponibilidad para proporcionar un sistema de administración de claves adaptado a la nube. Con AWS KMSél, puede crear claves de cifrado y definir las políticas que controlan cómo se pueden utilizar estas claves.
Puede encontrarlo AWS KMS en el AWS Management Console
-
Inicia sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrela en https://console.aws.amazon.com/kms
. -
Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
-
Elija una de las siguientes opciones para trabajar con AWS KMS las teclas:
-
Para ver las claves de la cuenta que se AWS crean y administran por ti, en el panel de navegación, selecciona las claves AWS administradas.
-
Si desea ver las claves de la cuenta que usted crea y administra, elija en el panel de navegación, Claves administradas por el cliente.
-
AWS KMS es compatible AWS CloudTrail, por lo que puede auditar el uso de las claves para comprobar que las claves se utilizan de forma adecuada. AWS KMS Las claves se pueden usar en combinación con AWS DMS AWS servicios compatibles como AmazonRDS, Amazon S3, Amazon Redshift y Amazon. EBS
También puede crear AWS KMS claves personalizadas específicamente para cifrar los datos de destino de los siguientes AWS DMS puntos finales:
-
Amazon Redshift: para obtener más información, consulte Creación y uso de AWS KMS claves para cifrar los datos de destino de Amazon Redshift.
-
Amazon S3: para obtener más información, consulte Creación de AWS KMS claves para cifrar los objetos de destino de Amazon S3.
Una vez que haya creado AWS DMS los recursos con una KMS clave, no podrá cambiar la clave de cifrado de esos recursos. Asegúrese de determinar los requisitos de la clave de cifrado antes de crear AWS DMS los recursos.
Seguridad de red para AWS Database Migration Service
Los requisitos de seguridad de la red que cree al AWS Database Migration Service utilizarla dependerán de cómo la configure. Las reglas generales de seguridad de la red AWS DMS son las siguientes:
-
La instancia de replicación debe tener acceso a los puntos de enlace de origen y de destino. El grupo de seguridad de la instancia de replicación debe tener una red ACLs o reglas que permitan salir de la instancia por el puerto de la base de datos a los puntos finales de la base de datos.
-
Los puntos finales de la base de datos deben incluir reglas de red ACLs y grupos de seguridad que permitan el acceso entrante desde la instancia de replicación. Puede lograrlo mediante el grupo de seguridad de la instancia de replicación, la dirección IP privada, la dirección IP pública o la dirección pública de la NAT puerta de enlace, según su configuración.
-
Si su red usa un VPN túnel, la EC2 instancia de Amazon que actúa como NAT puerta de enlace debe usar un grupo de seguridad que tenga reglas que permitan a la instancia de replicación enviar tráfico a través de él.
De forma predeterminada, el grupo VPC de seguridad utilizado por la instancia de AWS DMS replicación tiene reglas que permiten la salida a 0.0.0.0/0 en todos los puertos. Si modifica este grupo de seguridad o utiliza su propio grupo de seguridad, la salida debe estar permitida al menos a los puntos de enlace de origen y de destino en los puertos de la base de datos respectivos.
Las configuraciones de red que puede utilizar para la migración de bases de datos requieren consideraciones de seguridad específicas:
-
Configuración con todos los componentes de migración de bases de datos en una VPC: el grupo de seguridad utilizado por los puntos de conexión debe permitir el ingreso al puerto de la base de datos desde la instancia de replicación. Asegúrese de que el grupo de seguridad utilizado por la instancia de replicación entra a los puntos de enlace. Otra opción es crear una regla en el grupo de seguridad que utilizan los puntos de enlace que otorgue acceso a la dirección IP privada de la instancia de replicación.
-
Configuración con múltiples VPCs— El grupo de seguridad utilizado por la instancia de replicación debe tener una regla para el VPC rango y el puerto de base de datos de la base de datos.
-
Configuración de una red a una VPC mediante una AWS Direct Connect VPN— un VPN túnel que permite al tráfico pasar de un túnel VPC a una instalación localVPN. En esta configuración, VPC incluye una regla de enrutamiento que envía el tráfico destinado a una dirección o rango IP específicos a un host que puede conectar el tráfico desde VPC allí al localVPN. En este caso, el NAT host incluye su propia configuración de grupo de seguridad que debe permitir el tráfico desde la dirección IP privada o el grupo de seguridad de la instancia de replicación hacia la NAT instancia.
-
Configuración de una red a una VPC mediante Internet— El grupo VPC de seguridad debe incluir reglas de enrutamiento que envíen el tráfico no destinado a ella VPC a la puerta de enlace de Internet. En esta configuración, la conexión con el punto de enlace parece provenir de la dirección IP pública de la instancia de replicación.
-
Configuración con una instancia de base de datos de RDS que no está en una VPC a una instancia de base de datos en una VPC mediante ClassicLink— Cuando la RDS instancia de base de datos de Amazon de origen o de destino no se encuentra en un grupo de seguridad VPC y no comparte un grupo de seguridad con el VPC que se encuentra la instancia de replicación, puede configurar un servidor proxy y utilizarlo ClassicLink para conectar las bases de datos de origen y destino.
-
El punto final de origen está fuera del VPC utilizado por la instancia de replicación y utiliza una NAT puerta de enlace. Puede configurar una puerta de enlace de traducción de direcciones de red (NAT) mediante una única dirección IP elástica vinculada a una única interfaz de red elástica. A continuación, esta interfaz de red elástica recibe un NAT identificador (nat-#####). Si VPC incluye una ruta predeterminada a esa NAT puerta de enlace en lugar de a la puerta de enlace de Internet, la instancia de replicación parece contactar con el punto final de la base de datos mediante la dirección IP pública de la puerta de enlace de Internet. En este caso, la entrada al punto final de la base de datos externa VPC debe permitir la entrada desde la NAT dirección en lugar de desde la dirección IP pública de la instancia de replicación.
-
VPCpuntos finales para dispositivos que no son RDBMS motores: AWS DMS no admite VPC puntos finales para dispositivos que no son motores. RDBMS
Cambio de la contraseña de la base de datos
En la mayoría de casos, cambiar la contraseña de la base de datos del punto de enlace de origen o de destino es un paso sencillo. Si necesita cambiar la contraseña de la base de datos de un punto de conexión que utiliza actualmente en una tarea de replicación o de migración, el proceso requiere algunos pasos adicionales. El procedimiento siguiente muestra cómo hacerlo.
Para cambiar la contraseña de la base de datos de un punto de enlace en una tarea de replicación o de migración
-
Inicie sesión en la AWS DMS consola AWS Management Console y ábrala en la versión https://console.aws.amazon.com/dms/2/
. Si has iniciado sesión como IAM usuario, asegúrate de tener los permisos de acceso adecuados. AWS DMS Para obtener más información sobre los permisos que se necesitan, consulte IAMpermisos necesarios para su uso AWS DMS.
-
En el panel de navegación, elija Tareas de migración de base de datos.
-
Elija la tarea que utiliza el punto de enlace cuya contraseña de la base de datos desea cambiar y, a continuación, elija Stop.
-
Mientras la tarea está parada, puede cambiar la contraseña de la base de datos del punto de enlace utilizando las herramientas nativas que utiliza para trabajar con la base de datos.
-
Vuelva a la consola DMS de administración y elija Endpoints en el panel de navegación.
-
Elija el punto de enlace de la base de datos del que ha cambiado la contraseña y, luego, elija Modify.
-
Escriba la nueva contraseña en la casilla Contraseña y, a continuación, elija Guardar.
-
En el panel de navegación, elija Tareas de migración de base de datos.
-
Elija la tarea que ha detenido anteriormente y elija Reiniciar/Reanudar.
-
Elija Reiniciar o Reanudar, en función de cómo desee continuar la tarea y, a continuación, elija Iniciar tarea.