Sécurité de l'infrastructure dans AWS Database Migration Service - AWS Service de Migration de Base de Données

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité de l'infrastructure dans AWS Database Migration Service

En tant que service géré, AWS Database Migration Service est protégé par les procédures de sécurité du réseau mondial AWS. Pour plus d'informations sur les services de sécurité AWS et la manière dont AWS protège l'infrastructure, consultez la section Sécurité du cloud AWS. Pour concevoir votre environnement AWS en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section Protection de l'infrastructure dans le Security Pillar AWS Well‐Architected Framework (Pilier de sécurité de l'infrastructure Well‐Architected Framework).

Vous utilisez les appels d'API publiés AWS pour accéder à AWS DMS via le réseau. Les clients doivent prendre en charge les éléments suivants :

  • Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et nous recommandons TLS 1.3.

  • Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

En outre, les demandes doivent être signées à l'aide d'un ID de clé d'accès et d'une clé d'accès secrète associée à un principal IAM. Vous pouvez également utiliser AWS Security Token Service (AWS STS) pour générer des informations d'identification de sécurité temporaires et signer les demandes.

Vous pouvez appeler ces opérations d'API à partir de n'importe quel emplacement réseau. AWS DMS prend également en charge les stratégies d'accès basées sur les ressources, qui peuvent spécifier des restrictions sur les actions et les ressources, par exemple, en fonction de l'adresse IP source. De plus, vous pouvez utiliser des politiques AWS DMS pour contrôler l'accès à partir de points de terminaison Amazon VPC spécifiques ou de clouds privés virtuels (VPC) spécifiques. En effet, cela permet d'isoler l'accès réseau vers une ressource AWS DMS donnée depuis le VPC spécifique uniquement au sein du réseau AWS. Pour plus d'informations sur l'utilisation de stratégies d'accès basées sur les ressources avec AWS DMS, avec des exemples à l'appui, consultez Contrôle précis des accès à l'aide des noms de ressources et des balises.

Pour limiter vos communications avec AWS DMS au sein d'un seul VPC, vous pouvez créer un point de terminaison d'interface VPC qui vous permettra de vous connecter à AWS DMS via AWS PrivateLink. AWS PrivateLink permet de garantir que tout appel à AWS DMS et ses résultats associés resteront confinés dans le VPC spécifique pour lequel votre point de terminaison d'interface est créé. Vous pouvez ensuite spécifier l'URL de ce point de terminaison d'interface en tant qu'option pour chaque commande AWS DMS que vous exécutez à l'aide d'AWS CLI ou d'un kit SDK. Cela permet de garantir que l'ensemble de vos communications avec AWS DMS resteront confinées dans le VPC et seront autrement invisibles sur le réseau Internet public.

Pour créer un point de terminaison d'interface afin d'accéder à DMS dans un seul VPC

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Points de terminaison. Cela ouvre la page Créer des points de terminaison, où vous pouvez créer le point de terminaison d'interface d'un VPC à AWS DMS.

  3. Choisissez Services AWS, puis recherchez et choisissez une valeur pour Nom du service, dans ce cas AWS DMS sous la forme suivante.

    com.amazonaws.region.dms

    Ici, region spécifie la région AWS dans laquelle AWS DMS s'exécute, par exemple com.amazonaws.us-west-2.dms.

  4. Pour VPC, choisissez le VPC à partir duquel créer le point de terminaison d'interface, par exemple vpc-12abcd34.

  5. Choisissez une valeur pour Zone de disponibilité et pour ID de sous-réseau. Ces valeurs doivent indiquer un emplacement où le point de terminaison AWS DMS que vous avez choisi peut s'exécuter, par exemple us-west-2a (usw2-az1) et subnet-ab123cd4.

  6. Choisissez Activer le nom DNS pour créer le point de terminaison avec un nom DNS. Ce nom DNS se compose de l'identifiant du point de terminaison (vpce-12abcd34efg567hij) accompagné d'un trait d'union et d'une chaîne aléatoire (ab12dc34). Ils sont séparés du nom du service par un point dans l'ordre inverse séparé par des points, avec l'ajout de vpce (dms.us-west-2.vpce.amazonaws.com).

    Par exemple : vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com.

  7. Pour Groupe de sécurité, choisissez un groupe à utiliser pour le point de terminaison.

    Lorsque vous configurez votre groupe de sécurité, assurez-vous d'autoriser les appels HTTPS sortants en provenance de celui-ci. Pour plus d'informations, consultez Création de groupes de sécurité dans le Guide de l'utilisateur Amazon VPC.

  8. Choisissez Accès complet ou une valeur personnalisée pour Politique. Par exemple, vous pouvez choisir une politique personnalisée similaire à la suivante qui restreint l'accès du point de terminaison à certaines actions et ressources.

    {
  "Statement": [
    {
      "Action": "dms:*",
      "Effect": "Allow",
      "Resource": "*",
      "Principal": "*"
    },
    {
      "Action": [
        "dms:ModifyReplicationInstance",
        "dms:DeleteReplicationInstance"
      ],
      "Effect": "Deny",
      "Resource": "arn:aws:dms:us-west-2:<account-id>:rep:<replication-instance-id>",
      "Principal": "*"
    }
  ]
}

    Ici, l'exemple de politique autorise n'importe quel appel d'API AWS DMS, à l'exception de la suppression ou de la modification d'une instance de réplication spécifique.

Vous pouvez désormais spécifier une URL formée à l'aide du nom DNS créé à l'étape 6 en option. Vous la spécifiez pour chaque commande CLI AWS DMS ou opération d'API afin d'accéder à l'instance du service à l'aide du point de terminaison d'interface créé. Par exemple, vous pouvez exécuter la commande CLI DMS DescribeEndpoints dans ce VPC comme indiqué ci-dessous.

$ aws dms describe-endpoints --endpoint-url https://vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com

Si vous activez l'option de DNS privé, vous n'avez pas à spécifier l'URL du point de terminaison dans la demande.

Pour plus d'informations sur la création et l'utilisation des points de terminaison d'interface de VPC (y compris l'activation de l'option de DNS privé), consultez Points de terminaison de VPC d'interface (AWS PrivateLink) dans le Guide de l'utilisateur Amazon VPC.