Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Seguridad de la infraestructura en AWS Database Migration Service

Modo de enfoque
Seguridad de la infraestructura en AWS Database Migration Service - AWS Database Migration Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Como se trata de un servicio administrado, AWS Database Migration Service está protegido por la seguridad de red global de AWS. Para obtener información sobre los servicios de seguridad de AWS y cómo AWSprotege la infraestructura, consulte Seguridad en la nube de AWS. Para diseñar su entorno de AWS con las prácticas recomendadas de seguridad de infraestructura, consulte Protección de la infraestructura en Portal de seguridad de AWS Well‐Architected Framework.

Puede utilizar llamadas a la API publicadas en AWS para obtener acceso a AWS DMS a través de la red. Los clientes deben admitir lo siguiente:

  • Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.

  • Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.

Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad de seguridad de IAM principal. También puede utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

Puede llamar a estas operaciones de la API desde cualquier ubicación de red. AWS DMS también admite políticas de acceso basadas en recursos, que pueden especificar restricciones sobre acciones y recursos, por ejemplo, en función de la dirección IP de origen. También puede utilizar las políticas de AWS DMS para controlar el acceso desde puntos de conexión específicos de Amazon VPC o nubes privadas virtuales (VPC) específicas. Este proceso aísla con eficacia el acceso de red a un recurso de AWS DMS determinado únicamente desde la VPC específica de la red de AWS. Para obtener más información sobre el uso de políticas de acceso basadas en recursos con AWS DMS, incluidos ejemplos, consulte Control de acceso detallado mediante nombres de recursos y etiquetas.

Para limitar las comunicaciones con AWS DMS dentro de una sola VPC, puede crear un punto de conexión de interfaz de VPC que le permita conectarse a AWS DMS través de AWS PrivateLink. AWS PrivateLink ayuda a garantizar que cualquier llamada a AWS DMS y los resultados asociados permanezcan limitados a la VPC específica para la que se creó el punto de conexión de la interfaz. A continuación, puede especificar la URL de este punto de conexión de la interfaz como opción con cada comando AWS DMS que ejecute mediante AWS CLI o un SDK. Esto ayuda a garantizar que todas las comunicaciones con AWS DMS permanezcan limitadas a la VPC y, de lo contrario, sean invisibles para la Internet pública.

Creación de un punto de conexión de interfaz para acceder al DMS en una sola VPC
  1. Inicie sesión en la AWS Management Console y abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Puntos de conexión. Esto abre la página Crear puntos de conexión, en la que puede crear el punto de conexión de la interfaz desde una VPC a AWS DMS.

  3. Elija Servicios de AWS y, a continuación, busque y elija un valor para el nombre del servicio, en este caso AWS DMS del siguiente formulario.

    com.amazonaws.region.dms

    Aquí, region especifica la región de AWS en la que se ejecuta AWS DMS, por ejemplo, com.amazonaws.us-west-2.dms.

  4. Para VPC, elija la VPC para la que crear el punto de conexión de la interfaz, por ejemplo vpc-12abcd34.

  5. Elija un valor para Zona de disponibilidad y para ID de subred. Estos valores deben indicar una ubicación en la que se pueda ejecutar el punto de conexión de AWS DMS elegido, por ejemplo, us-west-2a (usw2-az1) y subnet-ab123cd4.

  6. Elija Habilitar nombre de DNS para crear el punto de conexión con un nombre de DNS. Este nombre de DNS consta del ID del punto de conexión (vpce-12abcd34efg567hij) separado por guiones y una cadena aleatoria (ab12dc34). Se separan del nombre del servicio por un punto en el orden inverso de separación por puntos, con vpce agregado (dms.us-west-2.vpce.amazonaws.com).

    Un ejemplo es vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com.

  7. Para Grupo de seguridad, elija un grupo de seguridad que usar para el punto de conexión.

    Cuando configure el grupo de seguridad, asegúrese de permitir las llamadas HTTPS salientes desde su interior. Para obtener más información, consulte Creación de grupos de seguridad en la Guía del usuario de Amazon VPC.

  8. Elija Acceso total o un valor personalizado para la política. Por ejemplo, puede elegir una política personalizada similar a la siguiente que restrinja el acceso del punto de conexión a determinadas acciones y recursos.

    { "Statement": [ { "Action": "dms:*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": [ "dms:ModifyReplicationInstance", "dms:DeleteReplicationInstance" ], "Effect": "Deny", "Resource": "arn:aws:dms:us-west-2:<account-id>:rep:<replication-instance-id>", "Principal": "*" } ] }

    En este caso, el ejemplo de política permite cualquier llamada a la API de AWS DMS, excepto eliminar o modificar una instancia de replicación específica.

Ahora puede especificar una URL formada con el nombre de DNS creado en el paso 6 como opción. Debe especificar esto para cada comando de la CLI de AWS DMS u operación de la API para acceder a la instancia de servicio mediante el punto de conexión de la interfaz creado. Por ejemplo, es posible que ejecute el comando DescribeEndpoints de la CLI de DMS en esta VPC como se muestra a continuación.

$ aws dms describe-endpoints --endpoint-url https://vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com

Si ha habilitado la opción de DNS privado, no es necesario que especifique la URL del punto de conexión en la solicitud.

Para obtener más información sobre la creación y el uso de puntos de conexión de la interfaz de VPC (incluida la habilitación de la opción de DNS privada), consulte los puntos de conexión de VPC de interfaz (AWS PrivateLink) en la Guía del usuario de Amazon VPC.

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.