Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
En tant que service géré, AWS Database Migration Service il est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section Sécurité du AWS cloud
Vous utilisez des appels d'API AWS publiés pour accéder AWS DMS via le réseau. Les clients doivent prendre en charge les éléments suivants :
-
Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
-
Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
En outre, les demandes doivent être signées à l’aide d’un ID de clé d’accès et d’une clé d’accès secrète associée à un principal IAM. Vous pouvez également utiliser AWS Security Token Service (AWS STS) pour générer des informations d’identification de sécurité temporaires et signer les demandes.
Vous pouvez appeler ces opérations d'API depuis n'importe quel emplacement du réseau. AWS DMS prend également en charge les politiques d'accès basées sur les ressources, qui peuvent spécifier des restrictions sur les actions et les ressources, par exemple en fonction de l'adresse IP source. En outre, vous pouvez utiliser des AWS DMS politiques pour contrôler l'accès depuis des points de terminaison Amazon VPC spécifiques ou des clouds privés virtuels spécifiques (). VPCs En fait, cela isole l'accès réseau à une AWS DMS ressource donnée uniquement du VPC spécifique au sein AWS du réseau. Pour plus d'informations sur l'utilisation de politiques d'accès basées sur les ressources avec AWS DMS, notamment des exemples, voir. Contrôle précis des accès à l'aide des noms de ressources et des balises
Pour limiter vos communications AWS DMS au sein d'un seul VPC, vous pouvez créer un point de terminaison d'interface VPC auquel vous pouvez vous connecter via. AWS DMS AWS PrivateLink AWS PrivateLink permet de garantir que tout appel AWS DMS et les résultats associés restent confinés au VPC spécifique pour lequel le point de terminaison de votre interface est créé. Vous pouvez ensuite spécifier l'URL de ce point de terminaison d'interface en tant qu'option pour chaque AWS DMS commande que vous exécutez à l'aide du SDK AWS CLI ou d'un SDK. Cela permet de garantir que l'ensemble de vos communications AWS DMS reste confiné au VPC et soit autrement invisible pour l'Internet public.
Pour créer un point de terminaison d’interface afin d’accéder à DMS dans un seul VPC
Connectez-vous à la console Amazon VPC AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/vpc/
-
Dans le volet de navigation, choisissez Points de terminaison. Cela ouvre la page Créer des points de terminaison, où vous pouvez créer le point de terminaison d'interface d'un AWS DMS VPC à.
-
Choisissez AWS les services, puis recherchez et choisissez une valeur pour le nom du service, dans ce cas AWS DMS sous la forme suivante.
com.amazonaws.region.dmsregioncom.amazonaws.us-west-2.dms. -
Pour VPC, choisissez le VPC à partir duquel créer le point de terminaison d’interface, par exemple
vpc-12abcd34. -
Choisissez une valeur pour Zone de disponibilité et pour ID de sous-réseau. Ces valeurs doivent indiquer un emplacement où le point de terminaison AWS DMS que vous avez choisi peut s’exécuter, par exemple
us-west-2a (usw2-az1)etsubnet-ab123cd4. -
Choisissez Activer le nom DNS pour créer le point de terminaison avec un nom DNS. Ce nom DNS se compose de l’identifiant du point de terminaison (
vpce-12abcd34efg567hij) accompagné d’un trait d’union et d’une chaîne aléatoire (ab12dc34). Ils sont séparés du nom du service par un point dans l’ordre inverse séparé par des points, avec l’ajout devpce(dms.us-west-2.vpce.amazonaws.com).Par exemple :
vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com. -
Pour Groupe de sécurité, choisissez un groupe à utiliser pour le point de terminaison.
Lorsque vous configurez votre groupe de sécurité, assurez-vous d’autoriser les appels HTTPS sortants en provenance de celui-ci. Pour plus d’informations, consultez Création de groupes de sécurité dans le Guide de l’utilisateur Amazon VPC.
-
Choisissez Accès complet ou une valeur personnalisée pour Politique. Par exemple, vous pouvez choisir une politique personnalisée similaire à la suivante qui restreint l’accès du point de terminaison à certaines actions et ressources.
{ "Statement": [ { "Action": "dms:*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": [ "dms:ModifyReplicationInstance", "dms:DeleteReplicationInstance" ], "Effect": "Deny", "Resource": "arn:aws:dms:us-west-2:<account-id>:rep:<replication-instance-id>", "Principal": "*" } ] }Ici, l'exemple de politique autorise n'importe quel appel AWS DMS d'API, à l'exception de la suppression ou de la modification d'une instance de réplication spécifique.
Vous pouvez désormais spécifier une URL formée à l’aide du nom DNS créé à l’étape 6 en option. Vous le spécifiez pour chaque commande AWS DMS CLI ou opération d'API permettant d'accéder à l'instance de service à l'aide du point de terminaison d'interface créé. Par exemple, vous pouvez exécuter la commande CLI DMS DescribeEndpoints dans ce VPC comme indiqué ci-dessous.
$ aws dms describe-endpoints --endpoint-url https://vpce-12abcd34efg567hij-ab12dc34---dms---us-west-2---vpce.amazonaws.com.rproxy.goskope.comSi vous activez l’option de DNS privé, vous n’avez pas à spécifier l’URL du point de terminaison dans la demande.
Pour plus d'informations sur la création et l'utilisation des points de terminaison d'interface VPC (y compris l'activation de l'option DNS privé), consultez la section Points de terminaison VPC d'interface () dans AWS PrivateLink le guide de l'utilisateur Amazon VPC.
