Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Ces contrôles Security Hub évaluent le service et les ressources AWS Database Migration Service (AWS DMS).
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
Exigences connexes : NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, (21),,, (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16) NIST.800-53.r5 AC-6, (20) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.2.1, NIST.800-53.r5 SC-7 PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.2 2.1/1.3.6, PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7
Catégorie : Protéger - Configuration réseau sécurisée
Gravité : Critique
Type de ressource : AWS::DMS::ReplicationInstance
Règle AWS Config : dms-replication-not-public
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si les instances de AWS DMS réplication sont publiques. Pour ce faire, il examine la valeur du PubliclyAccessible champ.
Une instance de réplication privée possède une adresse IP privée à laquelle vous ne pouvez pas accéder en dehors du réseau de réplication. Une instance de réplication doit avoir une adresse IP privée lorsque les bases de données source et cible se trouvent sur le même réseau. Le réseau doit également être connecté au VPC de l'instance de réplication à l'aide d'un VPN AWS Direct Connect, ou d'un peering VPC. Pour en savoir plus sur les instances de réplication publiques et privées, consultez la section Instances de réplication publiques et privées dans le Guide de AWS Database Migration Service l'utilisateur.
Vous devez également vous assurer que l'accès à la configuration de votre AWS DMS instance est limité aux seuls utilisateurs autorisés. Pour ce faire, limitez les autorisations IAM des utilisateurs afin de modifier AWS DMS les paramètres et les ressources.
Correction
Vous ne pouvez pas modifier le paramètre d'accès public d'une instance de réplication DMS après l'avoir créée. Pour modifier le paramètre d'accès public, supprimez votre instance actuelle, puis recréez-la. Ne sélectionnez pas l'option Accessible au public.
[DMS.2] Les certificats DMS doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::DMS::Certificate
AWS Config règle : tagged-dms-certificate (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si un AWS DMS certificat comporte des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le certificat ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le certificat n'est associé à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.
Note
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un certificat DMS, consultez la section Ressources relatives au balisage AWS Database Migration Service dans le Guide de l'AWS Database Migration Service utilisateur.
[DMS.3] Les abonnements aux événements DMS doivent être étiquetés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::DMS::EventSubscription
AWS Config règle : tagged-dms-eventsubscription (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si un abonnement à un AWS DMS événement comporte des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si l'abonnement à l'événement ne comporte aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'abonnement à l'événement n'est associé à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.
Note
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un abonnement à un événement DMS, consultez les ressources de balisage AWS Database Migration Service dans le guide de l'AWS Database Migration Service utilisateur.
[DMS.4] Les instances de réplication DMS doivent être étiquetées
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::DMS::ReplicationInstance
AWS Config règle : tagged-dms-replicationinstance (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si une instance de AWS DMS réplication possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si l'instance de réplication ne possède aucune clé de balise ou si elle ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'instance de réplication n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.
Note
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à une instance de réplication DMS, consultez la section Ressources de balisage AWS Database Migration Service dans le Guide de l'AWS Database Migration Service utilisateur.
[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::DMS::ReplicationSubnetGroup
AWS Config règle : tagged-dms-replicationsubnetgroup (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si un groupe de sous-réseaux de AWS DMS réplication possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le groupe de sous-réseaux de réplication ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de sous-réseaux de réplication n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.
Note
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un groupe de sous-réseaux de réplication DMS, consultez la section Marquage des ressources AWS Database Migration Service dans le Guide de l'AWS Database Migration Service utilisateur.
[DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS
Exigences connexes : NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), PCI DSS v4.0.1/6.3.3
Catégorie : Identifier > Gestion des vulnérabilités, des correctifs et des versions
Gravité : Moyenne
Type de ressource : AWS::DMS::ReplicationInstance
Règle AWS Config : dms-auto-minor-version-upgrade-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la mise à niveau automatique des versions mineures est activée pour une instance de AWS DMS réplication. Le contrôle échoue si la mise à niveau automatique des versions mineures n'est pas activée pour une instance de réplication DMS.
DMS fournit une mise à niveau automatique des versions mineures de chaque moteur de réplication pris en charge afin que vous puissiez conserver votre instance up-to-date de réplication. Les versions mineures peuvent introduire de nouvelles fonctionnalités logicielles, des corrections de bogues, des correctifs de sécurité et des améliorations de performances. En activant la mise à niveau automatique des versions mineures sur les instances de réplication DMS, les mises à niveau mineures sont appliquées automatiquement pendant la période de maintenance ou immédiatement si l'option Appliquer les modifications immédiatement est sélectionnée.
Correction
Pour activer la mise à niveau automatique des versions mineures sur les instances de réplication DMS, consultez la section Modification d'une instance de réplication dans le Guide de AWS Database Migration Service l'utilisateur.
[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée
Exigences connexes : NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2
Catégorie : Identifier - Journalisation
Gravité : Moyenne
Type de ressource : AWS::DMS::ReplicationTask
Règle AWS Config : dms-replication-task-targetdb-logging
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la journalisation est activée avec le niveau de gravité minimum de LOGGER_SEVERITY_DEFAULT pour les tâches de réplication DMS TARGET_APPLY etTARGET_LOAD. Le contrôle échoue si la journalisation n'est pas activée pour ces tâches ou si le niveau de gravité minimal est inférieur àLOGGER_SEVERITY_DEFAULT.
DMS utilise Amazon CloudWatch pour enregistrer les informations pendant le processus de migration. À l'aide des paramètres des tâches de journalisation, vous pouvez spécifier les activités des composants qui sont enregistrées et la quantité d'informations enregistrées. Vous devez spécifier la journalisation pour les tâches suivantes :
TARGET_APPLY: les données et les instructions DDL sont appliquées à la base de données cible.TARGET_LOAD: les données sont chargées dans la base de données cible.
La journalisation joue un rôle essentiel dans les tâches de réplication DMS en permettant la surveillance, le dépannage, l'audit, l'analyse des performances, la détection des erreurs et la restauration, ainsi que l'analyse historique et les rapports. Il permet de garantir la réplication réussie des données entre les bases de données tout en préservant l'intégrité des données et en respectant les exigences réglementaires. Les niveaux de journalisation autres que DEFAULT sont rarement nécessaires pour ces composants lors du dépannage. Nous vous recommandons de conserver le même niveau de journalisation que DEFAULT pour ces composants, sauf demande spécifique de le modifier par Support. Un niveau de journalisation minimal de DEFAULT garantit que les messages d'information, les avertissements et les messages d'erreur sont écrits dans les journaux. Ce contrôle vérifie si le niveau de journalisation est au moins l'un des suivants pour les tâches de réplication précédentes : LOGGER_SEVERITY_DEFAULTLOGGER_SEVERITY_DEBUG, ouLOGGER_SEVERITY_DETAILED_DEBUG.
Correction
Pour activer la journalisation des tâches de réplication DMS de la base de données cible, reportez-vous à la section Affichage et gestion des journaux des AWS DMS tâches dans le Guide de AWS Database Migration Service l'utilisateur.
[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée
Exigences connexes : NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2
Catégorie : Identifier - Journalisation
Gravité : Moyenne
Type de ressource : AWS::DMS::ReplicationTask
Règle AWS Config : dms-replication-task-sourcedb-logging
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la journalisation est activée avec le niveau de gravité minimum de LOGGER_SEVERITY_DEFAULT pour les tâches de réplication DMS SOURCE_CAPTURE etSOURCE_UNLOAD. Le contrôle échoue si la journalisation n'est pas activée pour ces tâches ou si le niveau de gravité minimal est inférieur àLOGGER_SEVERITY_DEFAULT.
DMS utilise Amazon CloudWatch pour enregistrer les informations pendant le processus de migration. À l'aide des paramètres des tâches de journalisation, vous pouvez spécifier les activités des composants qui sont enregistrées et la quantité d'informations enregistrées. Vous devez spécifier la journalisation pour les tâches suivantes :
SOURCE_CAPTURE— Les données de réplication ou de capture des données de modification (CDC) en cours sont capturées à partir de la base de données ou du service source et transmises au composant deSORTERservice.SOURCE_UNLOAD— Les données sont déchargées de la base de données ou du service source pendant le chargement complet.
La journalisation joue un rôle essentiel dans les tâches de réplication DMS en permettant la surveillance, le dépannage, l'audit, l'analyse des performances, la détection des erreurs et la restauration, ainsi que l'analyse historique et les rapports. Il permet de garantir la réplication réussie des données entre les bases de données tout en préservant l'intégrité des données et en respectant les exigences réglementaires. Les niveaux de journalisation autres que DEFAULT sont rarement nécessaires pour ces composants lors du dépannage. Nous vous recommandons de conserver le même niveau de journalisation que DEFAULT pour ces composants, sauf demande spécifique de le modifier par Support. Un niveau de journalisation minimal de DEFAULT garantit que les messages d'information, les avertissements et les messages d'erreur sont écrits dans les journaux. Ce contrôle vérifie si le niveau de journalisation est au moins l'un des suivants pour les tâches de réplication précédentes : LOGGER_SEVERITY_DEFAULTLOGGER_SEVERITY_DEBUG, ouLOGGER_SEVERITY_DETAILED_DEBUG.
Correction
Pour activer la journalisation des tâches de réplication DMS de la base de données source, reportez-vous à la section Affichage et gestion des journaux des AWS DMS tâches dans le Guide de AWS Database Migration Service l'utilisateur.
[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL
Exigences associées : NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/4.2.1
Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit
Gravité : Moyenne
Type de ressource : AWS::DMS::Endpoint
Règle AWS Config : dms-endpoint-ssl-configured
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un AWS DMS point de terminaison utilise une connexion SSL. Le contrôle échoue si le terminal n'utilise pas le protocole SSL.
Les connexions SSL/TLS fournissent une couche de sécurité en chiffrant les connexions entre les instances de réplication DMS et votre base de données. L'utilisation de certificats fournit un niveau de sécurité supplémentaire en validant que la connexion est établie avec la base de données attendue. Pour ce faire, il vérifie le certificat de serveur qui est automatiquement installé sur toutes les instances de base de données que vous provisionnez. En activant la connexion SSL sur vos points de terminaison DMS, vous protégez la confidentialité des données pendant la migration.
Correction
Pour ajouter une connexion SSL à un point de terminaison DMS nouveau ou existant, consultez la section Utilisation du protocole SSL AWS Database Migration Service dans le guide de l'AWS Database Migration Service utilisateur.
[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune
Exigences associées : NIST.800-53.r5 AC-2,,, NIST.800-53.r5 AC-1 7 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-6, NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5, PCI DSS v4.0.1/7.3.1
Catégorie : Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
Gravité : Moyenne
Type de ressource : AWS::DMS::Endpoint
Règle AWS Config : dms-neptune-iam-authorization-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un AWS DMS point de terminaison pour une base de données Amazon Neptune est configuré avec l'autorisation IAM. Le contrôle échoue si l'autorisation IAM n'est pas activée sur le point de terminaison DMS.
AWS Identity and Access Management (IAM) fournit un contrôle d'accès précis sur l'ensemble du site. AWS Avec IAM, vous pouvez spécifier qui peut accéder à quels services et ressources, et dans quelles conditions. Avec les politiques IAM, vous gérez les autorisations accordées à votre personnel et à vos systèmes afin de garantir les autorisations du moindre privilège. En activant l'autorisation IAM sur les AWS DMS points de terminaison des bases de données Neptune, vous pouvez accorder des privilèges d'autorisation aux utilisateurs IAM en utilisant un rôle de service spécifié par le paramètre. ServiceAccessRoleARN
Correction
Pour activer l'autorisation IAM sur les points de terminaison DMS pour les bases de données Neptune, consultez la section Utilisation d'Amazon Neptune comme cible dans le guide de l'utilisateur. AWS Database Migration ServiceAWS Database Migration Service
[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé
Exigences connexes : NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-6 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-5, PCI DSS v4.0.1/7.3.1
Catégorie : Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
Gravité : Moyenne
Type de ressource : AWS::DMS::Endpoint
Règle AWS Config : dms-mongo-db-authentication-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un AWS DMS point de terminaison pour MongoDB est configuré avec un mécanisme d'authentification. Le contrôle échoue si aucun type d'authentification n'est défini pour le point de terminaison.
AWS Database Migration Service prend en charge deux méthodes d'authentification pour MongoDB : MONGODB-CR pour MongoDB version 2.x et SCRAM-SHA-1 pour MongoDB version 3.x ou ultérieure. Ces méthodes d'authentification sont utilisées pour authentifier et chiffrer les mots de passe MongoDB si les utilisateurs souhaitent utiliser les mots de passe pour accéder aux bases de données. L'authentification sur les AWS DMS terminaux garantit que seuls les utilisateurs autorisés peuvent accéder aux données migrées entre les bases de données et les modifier. Sans authentification appropriée, les utilisateurs non autorisés peuvent accéder à des données sensibles pendant le processus de migration. Cela peut entraîner des violations de données, des pertes de données ou d'autres incidents de sécurité.
Correction
Pour activer un mécanisme d'authentification sur les points de terminaison DMS pour MongoDB, consultez la section Utilisation de MongoDB comme source dans le guide de l'utilisateur. AWS DMSAWS Database Migration Service
[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS
Exigences connexes : NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 3, PCI DSS v4.0.1/4.2.1
Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit
Gravité : Moyenne
Type de ressource : AWS::DMS::Endpoint
Règle AWS Config : dms-redis-tls-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un AWS DMS point de terminaison pour Redis OSS est configuré avec une connexion TLS. Le contrôle échoue si le protocole TLS n'est pas activé sur le terminal.
Le protocole TLS assure end-to-end la sécurité lorsque des données sont envoyées entre des applications ou des bases de données via Internet. Lorsque vous configurez le chiffrement SSL pour votre point de terminaison DMS, il permet une communication cryptée entre les bases de données source et cible pendant le processus de migration. Cela permet d'empêcher l'écoute et l'interception de données sensibles par des acteurs malveillants. Sans cryptage SSL, il est possible d'accéder à des données sensibles, ce qui peut entraîner des violations de données, des pertes de données ou d'autres incidents de sécurité.
Correction
Pour activer une connexion TLS sur les points de terminaison DMS pour Redis, consultez la section Utilisation de Redis comme cible dans le guide de l'utilisateur AWS Database Migration Service.AWS Database Migration Service
