Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Seguridad en AWS Database Migration Service

PDF
RSS
Modo de enfoque
Seguridad en AWS Database Migration Service - AWS Database Migration Service
Configuración de una clave de cifradoSeguridad de la redCambio de la contraseña de la base de datos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de un centro de datos y una arquitectura de red diseñados para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.

La seguridad es una responsabilidad compartida entre usted AWS y usted. El modelo de responsabilidad compartida la describe como seguridad de la nube y seguridad en la nube:

  • Seguridad de la nube: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la AWS nube. AWS también le proporciona servicios que puede utilizar de forma segura. Auditores independientes prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los programas de conformidad de AWS. Para obtener más información sobre los programas de cumplimiento aplicables AWS DMS, consulte AWS los servicios clasificados por programa de cumplimiento.

  • Seguridad en la nube: su responsabilidad viene determinada por el AWS servicio que utilice. Usted también es responsable de otros factores incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos aplicables.

Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza AWS DMS. Los siguientes temas muestran cómo configurarlo AWS DMS para cumplir sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros AWS servicios que le ayudan a supervisar y proteger sus AWS DMS recursos.

Puede administrar el acceso a sus AWS DMS recursos y bases de datos (DBs). El método que utilice para administrar el acceso depende de la tarea de replicación que necesite realizar con AWS DMS:

  • Utilice políticas AWS Identity and Access Management (IAM) para asignar permisos que determinen quién puede administrar AWS DMS los recursos. AWS DMS requiere que tenga los permisos adecuados si inicia sesión como usuario de IAM. Por ejemplo, puede utilizar IAM para determinar quién tiene permiso para crear, describir, modificar y eliminar instancias y clústeres de bases de datos, etiquetar recursos o modificar grupos de seguridad. Para obtener más información sobre IAM y su uso con AWS DMS, consulte. Gestión de identidad y acceso para AWS Database Migration Service

  • AWS DMS utiliza Secure Sockets Layer (SSL) para las conexiones de sus puntos finales con Transport Layer Security (TLS). Para obtener más información sobre el uso de SSL/TLS con, consulte. AWS DMSUso de SSL con AWS Database Migration Service

  • AWS DMS utiliza claves de cifrado AWS Key Management Service (AWS KMS) para cifrar el almacenamiento utilizado por la instancia de replicación y la información de conexión de su punto final. AWS DMS también utiliza claves de AWS KMS cifrado para proteger los datos de destino en reposo para los puntos de enlace de destino de Amazon S3 y Amazon Redshift. Para obtener más información, consulte Establecer una clave de cifrado y especificar los permisos AWS KMS.

  • AWS DMS siempre crea la instancia de replicación en una nube privada virtual (VPC) basada en el servicio Amazon VPC para lograr el máximo control de acceso a la red posible. Para las instancias de base de datos y los clústeres de instancias, utilice la misma VPC que la instancia de replicación o una adicional VPCs para que coincida con este nivel de control de acceso. Cada Amazon VPC que utilice debe estar asociada a un grupo de seguridad que tenga reglas que permitan que todo el tráfico de todos los puertos salga de la VPC. Este enfoque permite la comunicación entre la instancia de replicación y los puntos de enlace de su base de datos de origen y de destino, siempre que en dichos puntos de enlace se haya activado la entrada correcta.

    Para obtener más información sobre las configuraciones de red disponibles AWS DMS, consulteConfiguración de una red para una instancia de replicación. Para obtener más información sobre la creación de una instancia de base de datos o un clúster de instancias en una VPC, consulte la documentación de seguridad y administración de clústeres para las bases de datos de Amazon en Documentación de AWS. Para obtener más información acerca de las configuraciones de red AWS DMS compatibles, consulte Configuración de una red para una instancia de replicación.

  • Para ver los registros de migración de bases de datos, necesita los permisos de Amazon CloudWatch Logs adecuados para la función de IAM que esté utilizando. Para obtener más información acerca del registro para AWS DMS, consulte Supervisión de las tareas de replicación mediante Amazon CloudWatch.

Temas

Establecer una clave de cifrado y especificar los permisos AWS KMS

AWS DMS cifra el almacenamiento utilizado por una instancia de replicación y la información de conexión del punto final. Para cifrar el almacenamiento utilizado por una instancia de replicación, AWS DMS utiliza una clave AWS Key Management Service (AWS KMS) que es exclusiva de su AWS cuenta. Puede ver y administrar esta clave con AWS KMS. Puede utilizar la clave KMS predeterminada en su cuenta (aws/dms) o crear una clave KMS personalizada. Si ya posee una clave KMS, también la puede utilizar para el cifrado.

nota

Cualquier AWS KMS clave personalizada o existente que utilice como clave de cifrado debe ser una clave simétrica. AWS DMS no admite el uso de claves de cifrado asimétricas. Para obtener más información sobre claves de cifrado simétricas y asimétricas, consulte https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html en la Guía para desarrolladores de AWS Key Management Service .

La clave KMS predeterminada (aws/dms) se crea la primera vez que lanza una instancia de replicación, si no ha seleccionado ninguna clave KMS personalizada en la sección Opciones avanzadas de la página Crear instancia de replicación. Si utiliza la clave KMS predeterminada, los únicos permisos que debe otorgar a la cuenta de usuario de IAM que utilice para la migración son kms:ListAliases y kms:DescribeKey. Para obtener más información sobre el uso de la clave KMS predeterminada, consulte Permisos de IAM necesarios para utilizar AWS DMS.

Para utilizar una clave KMS personalizada, asigne permisos a la clave KMS personalizada utilizando una de las siguientes opciones:

  • Añada la cuenta de usuario de IAM utilizada para la migración como administrador de claves o usuario clave para la clave AWS KMS personalizada. Esto le permitirá que se concedan los permisos de AWS KMS necesarios a la cuenta de usuario de IAM. Esta acción se suma a los permisos de IAM que otorga a la cuenta de usuario de IAM para utilizar AWS DMS. Para obtener más información sobre la concesión de permisos a un usuario de claves, consulte Permite a los usuarios de claves utilizar la clave de KMS en la Guía para desarrolladores de AWS Key Management Service .

  • Si no desea añadir la cuenta de usuario de IAM como administrador de claves o usuario de claves a su clave KMS personalizada, añada los siguientes permisos adicionales a los permisos de IAM que debe conceder a la cuenta de usuario de IAM para utilizar AWS DMS. 

    
{
            "Effect": "Allow",
            "Action": [
                "kms:ListAliases",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:Encrypt",
                "kms:ReEncrypt*"
            ],
            "Resource": "*"
        },

AWS DMS también funciona con los alias clave de KMS. Para obtener más información sobre cómo crear sus propias claves de AWS KMS y dar a los usuarios acceso a una clave de KMS, consulte la Guía para desarrolladores de AWS KMS.

Si no especificas un identificador de clave KMS, AWS DMS utiliza tu clave de cifrado predeterminada. AWS KMS crea la clave de cifrado predeterminada AWS DMS para tu AWS cuenta. Su AWS cuenta tiene una clave de cifrado predeterminada diferente para cada AWS región.

Para administrar las AWS KMS claves utilizadas para cifrar sus AWS DMS recursos, utilice la AWS Key Management Service. AWS KMS combina hardware y software seguros y de alta disponibilidad para proporcionar un sistema de administración de claves adaptado a la nube. Con AWS KMSél, puede crear claves de cifrado y definir las políticas que controlan cómo se pueden utilizar estas claves.

Puede encontrarlo AWS KMS en el AWS Management Console

  1. Inicia sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrela en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. Elija una de las siguientes opciones para trabajar con AWS KMS las teclas:

    • Para ver las claves de la cuenta que se AWS crean y administran por ti, en el panel de navegación, selecciona las claves AWS administradas.

    • Si desea ver las claves de la cuenta que usted crea y administra, elija en el panel de navegación, Claves administradas por el cliente.

AWS KMS es compatible AWS CloudTrail, por lo que puede auditar el uso de las claves para comprobar que las claves se utilizan de forma adecuada. AWS KMS Las claves se pueden usar en combinación con AWS DMS AWS servicios compatibles como Amazon RDS, Amazon S3, Amazon Redshift y Amazon EBS.

También puede crear AWS KMS claves personalizadas específicamente para cifrar los datos de destino de los siguientes puntos de conexión: AWS DMS

Una vez que haya creado AWS DMS los recursos con una clave de KMS, no podrá cambiar la clave de cifrado de esos recursos. Asegúrese de determinar los requisitos de la clave de cifrado antes de crear AWS DMS los recursos.

Seguridad de red para AWS Database Migration Service

Los requisitos de seguridad de la red que cree al AWS Database Migration Service utilizarla dependerán de cómo la configure. Las reglas generales de seguridad de la red AWS DMS son las siguientes:

  • La instancia de replicación debe tener acceso a los puntos de enlace de origen y de destino. El grupo de seguridad de la instancia de replicación debe tener una red ACLs o reglas que permitan salir de la instancia por el puerto de la base de datos a los puntos finales de la base de datos.

  • Los puntos finales de la base de datos deben incluir reglas de red ACLs y grupos de seguridad que permitan el acceso entrante desde la instancia de replicación. Puede hacerlo utilizando el grupo de seguridad de la instancia de replicación, la dirección IP privada, la dirección IP pública o la dirección pública de la gateway NAT, en función de su configuración.

  • Si su red usa un túnel VPN, la EC2 instancia de Amazon que actúa como puerta de enlace NAT debe usar un grupo de seguridad que tenga reglas que permitan a la instancia de replicación enviar tráfico a través de ella.

De forma predeterminada, el grupo de seguridad de VPC que usa la instancia de AWS DMS replicación tiene reglas que permiten la salida a 0.0.0.0/0 en todos los puertos. Si modifica este grupo de seguridad o utiliza su propio grupo de seguridad, la salida debe estar permitida al menos a los puntos de enlace de origen y de destino en los puertos de la base de datos respectivos.

Las configuraciones de red que puede utilizar para la migración de bases de datos requieren consideraciones de seguridad específicas:

  • Configuración con todos los componentes de migración de bases de datos en una VPC: el grupo de seguridad utilizado por los puntos de conexión debe permitir el ingreso al puerto de la base de datos desde la instancia de replicación. Asegúrese de que el grupo de seguridad utilizado por la instancia de replicación entra a los puntos de enlace. Otra opción es crear una regla en el grupo de seguridad que utilizan los puntos de enlace que otorgue acceso a la dirección IP privada de la instancia de replicación.

  • Configuración con múltiples VPCs: el grupo de seguridad utilizado por la instancia de replicación debe tener una regla para el rango de VPC y el puerto de la base de datos en la base de datos.

  • Configuración de una red a una VPC mediante una AWS Direct Connect VPN: es un túnel de VPN que permite el tráfico a través del túnel desde la VPC a una VPN en las instalaciones. En esta configuración, la VPC incluye una regla de direccionamiento que envía el tráfico destinado a una dirección IP o a un rango específico a un host que puede conectar el tráfico de la VPC con la VPN local. En este caso, el host de NAT incluye su propia configuración del grupo de seguridad que debe permitir el tráfico desde la dirección IP privada o el grupo de seguridad de la instancia de replicación a la instancia NAT.

  • Configuración de una red a una VPC mediante Internet: el grupo de seguridad de la VPC debe incluir reglas de enrutamiento que envíen el tráfico no destinado a la VPC a la puerta de enlace de Internet. En esta configuración, la conexión con el punto de enlace parece provenir de la dirección IP pública de la instancia de replicación.

  • Configuración con una instancia de base de datos de RDS que no está en una VPC a una instancia de base de datos en una VPC mediante ClassicLink— Cuando la instancia de base de datos Amazon RDS de origen o de destino no está en una VPC y no comparte un grupo de seguridad con la VPC en la que se encuentra la instancia de replicación, puede configurar un servidor proxy y ClassicLink utilizarlo para conectar las bases de datos de origen y destino.

  • El punto de conexión de origen está fuera de la VPC que utiliza la instancia de replicación y usa una puerta de enlace NAT: puede configurar una puerta de enlace de traducción de las direcciones de red (NAT) mediante una única dirección IP elástica asociada a una única interfaz de red elástica. Esta interfaz de red elástica después recibe un identificador NAT (nat- #####). Si la VPC incluye una ruta predeterminada a dicho NAT en lugar de la gateway de Internet, la instancia de replicación aparece para ponerse en contacto con el punto de enlace de la base de datos mediante la dirección IP pública de la gateway de Internet. En este caso, la entrada al punto de enlace de la base de datos fuera de la VPC debe permitir la entrada de la dirección NAT en lugar de la dirección IP pública de la instancia de replicación.

  • Puntos de conexión de VPC para motores que no sean de RDBMS: AWS DMS no es compatible con puntos de conexión de VPC para motores que no sean de RDBMS.

Cambio de la contraseña de la base de datos

En la mayoría de casos, cambiar la contraseña de la base de datos del punto de enlace de origen o de destino es un paso sencillo. Si necesita cambiar la contraseña de la base de datos de un punto de conexión que utiliza actualmente en una tarea de replicación o de migración, el proceso requiere algunos pasos adicionales. El procedimiento siguiente muestra cómo hacerlo.

Para cambiar la contraseña de la base de datos de un punto de enlace en una tarea de replicación o de migración

  1. Inicie sesión en la AWS DMS consola AWS Management Console y ábrala en la versión https://console.aws.amazon.com/dms/2/.

    Si ha iniciado sesión como usuario de IAM, asegúrese de que dispone de los permisos adecuados para acceder a AWS DMS. Para obtener más información sobre los permisos que se necesitan, consulte Permisos de IAM necesarios para utilizar AWS DMS.

  2. En el panel de navegación, elija Tareas de migración de base de datos.

  3. Elija la tarea que utiliza el punto de enlace cuya contraseña de la base de datos desea cambiar y, a continuación, elija Stop.

  4. Mientras la tarea está parada, puede cambiar la contraseña de la base de datos del punto de enlace utilizando las herramientas nativas que utiliza para trabajar con la base de datos.

  5. Vuelva a la consola de administración de DMS y elija Endpoints en el panel de navegación.

  6. Elija el punto de enlace de la base de datos del que ha cambiado la contraseña y, luego, elija Modify.

  7. Escriba la nueva contraseña en la casilla Contraseña y, a continuación, elija Guardar.

  8. En el panel de navegación, elija Tareas de migración de base de datos.

  9. Elija la tarea que ha detenido anteriormente y elija Reiniciar/Reanudar.

  10. Elija Reiniciar o Reanudar, en función de cómo desee continuar la tarea y, a continuación, elija Iniciar tarea.

En esta página

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.