Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. Model tanggung jawab bersama
-
Keamanan cloud — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara berkala menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari Program kepatuhan AWS
. Untuk mempelajari tentang program kepatuhan yang berlaku AWS DMS, lihat AWS layanan dalam cakupan berdasarkan program kepatuhan . -
Keamanan di cloud — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, termasuk sensitivitas data, persyaratan perusahaan, serta hukum dan peraturan yang berlaku.
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan AWS DMS. Topik berikut menunjukkan cara mengonfigurasi AWS DMS untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga belajar cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan AWS DMS sumber daya Anda.
Anda dapat mengelola akses ke AWS DMS sumber daya dan database Anda (DBs). Metode yang Anda gunakan untuk mengelola akses bergantung pada tugas replikasi yang perlu Anda lakukan dengan AWS DMS:
-
Gunakan AWS Identity and Access Management (IAM) kebijakan untuk menetapkan izin yang menentukan siapa yang diizinkan mengelola AWS DMS sumber daya. AWS DMS mengharuskan Anda memiliki izin yang sesuai jika Anda masuk sebagai IAM pengguna. Misalnya, Anda dapat menggunakan IAM untuk menentukan siapa yang diizinkan untuk membuat, mendeskripsikan, memodifikasi, dan menghapus instans dan cluster DB, menandai sumber daya, atau memodifikasi grup keamanan. Untuk informasi lebih lanjut tentang IAM dan menggunakannya dengan AWS DMS, lihatIdentitas dan manajemen akses untuk AWS Database Migration Service.
-
AWS DMS menggunakan Secure Sockets Layer (SSL) untuk koneksi endpoint Anda dengan Transport Layer Security (TLS). Untuk informasi lebih lanjut tentang menggunakanSSL/TLSwith AWS DMS, lihatMenggunakan SSL dengan AWS Database Migration Service.
-
AWS DMS menggunakan AWS Key Management Service (AWS KMS) kunci enkripsi untuk mengenkripsi penyimpanan yang digunakan oleh instance replikasi Anda dan informasi koneksi titik akhir. AWS DMS juga menggunakan kunci AWS KMS enkripsi untuk mengamankan data target Anda saat istirahat untuk titik akhir target Amazon S3 dan Amazon Redshift. Untuk informasi selengkapnya, lihat Menyetel kunci enkripsi dan menentukan izin AWS KMS.
-
AWS DMS selalu membuat instance replikasi Anda di cloud pribadi virtual (VPC) berdasarkan VPC layanan Amazon untuk kontrol akses jaringan sebaik mungkin. Untuk instans DB dan cluster instans Anda, gunakan yang VPC sama dengan instance replikasi Anda, atau tambahan VPCs untuk mencocokkan tingkat kontrol akses ini. Setiap Amazon VPC yang Anda gunakan harus dikaitkan dengan grup keamanan yang memiliki aturan yang memungkinkan semua lalu lintas di semua port meninggalkan (keluar). VPC Pendekatan ini memungkinkan komunikasi dari instans replikasi ke titik akhir basis data sumber dan target, selama ingress yang benar diaktifkan pada titik akhir tersebut.
Untuk informasi selengkapnya tentang konfigurasi jaringan yang tersedia AWS DMS, lihatMenyiapkan jaringan untuk instans replikasi. Untuk informasi selengkapnya tentang membuat instans DB atau cluster instans di aVPC, lihat dokumentasi keamanan dan manajemen klaster untuk database Amazon Anda di AWS dokumentasi. Untuk informasi lebih lanjut tentang konfigurasi jaringan yang didukung AWS DMS , lihat Menyiapkan jaringan untuk instans replikasi.
-
Untuk melihat log migrasi database, Anda memerlukan izin CloudWatch Log Amazon yang sesuai untuk IAM peran yang Anda gunakan. Untuk informasi lebih lanjut tentang pencatatan untuk AWS DMS, lihat Memantau tugas replikasi menggunakan Amazon CloudWatch.
Topik
- Perlindungan data di AWS Database Migration Service
- Identitas dan manajemen akses untuk AWS Database Migration Service
- Validasi kepatuhan untuk AWS Database Migration Service
- Ketahanan di AWS Database Migration Service
- Keamanan infrastruktur dalam AWS Database Migration Service
- Kontrol akses detail menggunakan nama sumber daya dan tag
- Menyetel kunci enkripsi dan menentukan izin AWS KMS
- Keamanan jaringan untuk AWS Database Migration Service
- Menggunakan SSL dengan AWS Database Migration Service
- Pengubahan kata sandi basis data
- Menggunakan Otentikasi Kerberos dengan AWS Database Migration Service
Menyetel kunci enkripsi dan menentukan izin AWS KMS
AWS DMS mengenkripsi penyimpanan yang digunakan oleh contoh replikasi dan informasi koneksi titik akhir. Untuk mengenkripsi penyimpanan yang digunakan oleh instance replikasi, AWS DMS gunakan kunci AWS Key Management Service (AWS KMS) yang unik untuk akun Anda AWS . Anda dapat melihat dan mengelola kunci ini dengan AWS KMS. Anda dapat menggunakan kunci KMS default di akun Anda (aws/dms
) atau Anda dapat membuat kunci KMS kustom. Jika Anda memiliki kunci KMS yang sudah ada, Anda juga dapat menggunakan kunci tersebut untuk enkripsi.
catatan
AWS KMS Kunci kustom atau yang sudah ada yang Anda gunakan sebagai kunci enkripsi harus berupa kunci simetris. AWS DMS tidak mendukung penggunaan kunci enkripsi asimetris. Untuk informasi lebih lanjut tentang kunci enkripsi simetris dan asimetris, lihat https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html di Panduan Developer AWS Key Management Service .
KMSKunci default (aws/dms
) dibuat saat pertama kali meluncurkan instance replikasi, jika Anda belum memilih KMS kunci kustom dari bagian Advanced pada halaman Create Replication Instance. Jika Anda menggunakan KMS kunci default, satu-satunya izin yang perlu Anda berikan ke akun IAM pengguna yang Anda gunakan untuk migrasi adalah kms:ListAliases
dankms:DescribeKey
. Untuk informasi lebih lanjut mengenai penggunaan kunci KMS default, lihat IAMizin yang diperlukan untuk menggunakan AWS DMS.
Untuk menggunakan kunci KMS kustom, tetapkan izin untuk kunci KMS kustom menggunakan salah satu opsi berikut:
-
Tambahkan akun IAM pengguna yang digunakan untuk migrasi sebagai administrator kunci atau pengguna kunci untuk kunci AWS KMS kustom. Melakukan hal ini memastikan bahwa AWS KMS izin yang diperlukan diberikan ke akun IAM pengguna. Tindakan ini merupakan tambahan dari IAM izin yang Anda berikan ke akun IAM pengguna untuk digunakan AWS DMS. Untuk informasi selengkapnya tentang pemberian izin kepada pengguna kunci, lihat Mengizinkan pengguna kunci menggunakan KMS kunci di Panduan AWS Key Management Service Pengembang.
-
Jika Anda tidak ingin menambahkan akun IAM pengguna sebagai administrator kunci atau pengguna kunci untuk KMS kunci kustom Anda, tambahkan izin tambahan berikut ke IAM izin yang harus Anda berikan ke akun IAM pengguna untuk digunakan. AWS DMS
{ "Effect": "Allow", "Action": [ "kms:ListAliases", "kms:DescribeKey", "kms:CreateGrant", "kms:Encrypt", "kms:ReEncrypt*" ], "Resource": "*" },
AWS DMS juga berfungsi dengan alias KMS kunci. Untuk informasi selengkapnya tentang membuat AWS KMS kunci Anda sendiri dan memberi pengguna akses ke KMS kunci, lihat Panduan AWS KMS Pengembang.
Jika Anda tidak menentukan pengenal KMS kunci, AWS DMS gunakan kunci enkripsi default Anda. AWS KMS membuat kunci enkripsi default AWS DMS untuk AWS akun Anda. AWS Akun Anda memiliki kunci enkripsi default yang berbeda untuk setiap AWS Wilayah.
Untuk mengelola AWS KMS kunci yang digunakan untuk mengenkripsi AWS DMS sumber daya Anda, gunakan. AWS Key Management Service AWS KMS menggabungkan perangkat keras dan perangkat lunak yang aman dan sangat tersedia untuk menyediakan sistem manajemen kunci yang diskalakan untuk cloud. Dengan menggunakan AWS KMS, Anda dapat membuat kunci enkripsi dan menentukan kebijakan yang mengontrol bagaimana kunci ini dapat digunakan.
Anda dapat menemukan AWS KMS di AWS Management Console
-
Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms
. -
Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
-
Pilih salah satu opsi berikut untuk bekerja dengan AWS KMS kunci:
-
Untuk melihat kunci di akun Anda yang AWS membuat dan mengelola untuk Anda, di panel navigasi, pilih kunci AWS terkelola.
-
Untuk melihat tombol di akun yang Anda buat dan kelola, di panel navigasi pilih CMK.
-
AWS KMS mendukung AWS CloudTrail, sehingga Anda dapat mengaudit penggunaan kunci untuk memverifikasi bahwa kunci sedang digunakan dengan tepat. AWS KMS Kunci Anda dapat digunakan dalam kombinasi dengan AWS DMS dan AWS layanan yang didukung seperti AmazonRDS, Amazon S3, Amazon Redshift, dan Amazon. EBS
Anda juga dapat membuat AWS KMS kunci khusus khusus untuk mengenkripsi data target untuk titik AWS DMS akhir berikut:
-
Amazon Redshift – Untuk informasi selengkapnya, lihat Membuat dan menggunakan AWS KMS kunci untuk mengenkripsi data target Amazon Redshift.
-
Amazon S3 – Untuk informasi selengkapnya, lihat Membuat AWS KMS kunci untuk mengenkripsi objek target Amazon S3.
Setelah Anda membuat AWS DMS sumber daya dengan KMS kunci, Anda tidak dapat mengubah kunci enkripsi untuk sumber daya tersebut. Pastikan untuk menentukan persyaratan kunci enkripsi Anda sebelum Anda membuat AWS DMS sumber daya Anda.
Keamanan jaringan untuk AWS Database Migration Service
Persyaratan keamanan untuk jaringan yang Anda buat saat menggunakan AWS Database Migration Service bergantung pada cara Anda mengkonfigurasi jaringan. Aturan umum untuk keamanan jaringan AWS DMS adalah sebagai berikut:
-
Instans replikasi harus memiliki akses ke titik akhir sumber dan target. Grup keamanan untuk instance replikasi harus memiliki jaringan ACLs atau aturan yang memungkinkan keluar dari instance keluar pada port database ke endpoint database.
-
Endpoint database harus menyertakan aturan jaringan ACLs dan grup keamanan yang memungkinkan akses masuk dari instance replikasi. Anda dapat mencapai ini menggunakan grup keamanan instans replikasi, alamat IP pribadi, alamat IP publik, atau alamat publik NAT gateway, tergantung pada konfigurasi Anda.
-
Jika jaringan Anda menggunakan VPN terowongan, EC2 instans Amazon yang bertindak sebagai NAT gateway harus menggunakan grup keamanan yang memiliki aturan yang memungkinkan instance replikasi mengirim lalu lintas melaluinya.
Secara default, grup VPC keamanan yang digunakan oleh instance AWS DMS replikasi memiliki aturan yang memungkinkan jalan keluar ke 0.0.0.0/0 di semua port. Jika Anda mengubah grup keamanan ini atau menggunakan grup keamanan Anda sendiri, keluar harus, minimal, diizinkan untuk titik akhir sumber dan target pada port basis data masing-masing.
Masing-masing konfigurasi jaringan yang dapat Anda gunakan untuk migrasi basis data memerlukan pertimbangan keamanan khusus:
-
Konfigurasi dengan semua komponen migrasi basis data dalam satu VPC - Grup keamanan yang digunakan oleh titik akhir harus mengizinkan ingress pada port basis data dari instans replikasi. Pastikan bahwa grup keamanan yang digunakan oleh instans replikasi memiliki ingress ke titik akhir, atau Anda dapat membuat aturan dalam grup keamanan yang digunakan oleh titik akhir yang memungkinkan alamat IP privat akses instans replikasi.
-
Konfigurasi dengan beberapa VPCs— Grup keamanan yang digunakan oleh instance replikasi harus memiliki aturan untuk VPC rentang dan port DB pada database.
-
Konfigurasi untuk jaringan ke VPC menggunakan AWS Direct Connect atau VPN— VPN terowongan yang memungkinkan lalu lintas VPC ke terowongan dari ke tempatVPN. Dalam konfigurasi ini, VPC menyertakan aturan perutean yang mengirimkan lalu lintas yang ditujukan untuk alamat IP tertentu atau rentang ke host yang dapat menjembatani lalu lintas dari VPC ke lokal. VPN Jika hal ini terjadi, NAT host menyertakan pengaturan Grup Keamanan sendiri yang harus mengizinkan lalu lintas dari alamat IP pribadi Instance Replikasi atau grup keamanan ke dalam NAT instans.
-
Konfigurasi untuk jaringan ke VPC menggunakan internetKelompok VPC keamanan harus menyertakan aturan routing yang mengirim lalu lintas yang tidak ditujukan untuk VPC gateway Internet. Dalam konfigurasi ini, koneksi ke titik akhir tampaknya datang dari alamat IP publik pada instans replikasi.
-
Konfigurasi dengan instans RDS DB tidak dalam VPC ke instance DB di VPC menggunakan ClassicLink— Ketika instans Amazon RDS DB sumber atau target tidak ada dalam VPC dan tidak berbagi grup keamanan dengan VPC tempat instance replikasi berada, Anda dapat mengatur server proxy dan menggunakannya ClassicLink untuk menghubungkan basis data sumber dan target.
-
Titik akhir sumber berada di luar yang VPC digunakan oleh instance replikasi dan menggunakan NAT gateway - Anda dapat mengonfigurasi gateway terjemahan alamat jaringan (NAT) menggunakan satu alamat IP Elastis yang terikat ke satu antarmuka jaringan Elastis. Antarmuka jaringan Elastis ini kemudian menerima NAT pengenal (nat-#####). Jika VPC menyertakan rute default ke NAT gateway itu alih-alih gateway internet, instance replikasi malah muncul untuk menghubungi titik akhir database menggunakan alamat IP publik dari gateway internet. Dalam hal ini, masuknya ke titik akhir database di luar VPC kebutuhan untuk mengizinkan masuknya dari NAT alamat alih-alih alamat IP publik instance replikasi.
-
VPCtitik akhir untuk RDBMS non-mesin - AWS DMS tidak mendukung VPC titik akhir untuk RDBMS non-mesin.
Pengubahan kata sandi basis data
Dalam sebagian besar situasi, mengubah kata sandi basis data untuk titik akhir sumber atau target Anda adalah hal yang mudah. Jika Anda perlu mengubah kata sandi database untuk titik akhir yang saat ini Anda gunakan dalam tugas migrasi atau replikasi, proses memerlukan beberapa langkah tambahan. Prosedur berikut menunjukkan cara melakukannya.
Untuk mengubah kata sandi basis data untuk titik akhir dalam tugas migrasi atau replikasi
-
Masuk ke AWS Management Console dan buka AWS DMS konsol di https://console.aws.amazon.com/dms/v2/
. Jika Anda masuk sebagai IAM pengguna, pastikan Anda memiliki izin yang sesuai untuk mengakses AWS DMS. Untuk informasi lebih lanjut tentang izin yang diperlukan, lihat IAMizin yang diperlukan untuk menggunakan AWS DMS.
-
Di panel navigasi, pilih Tugas migrasi database.
-
Pilih tugas yang menggunakan titik akhir yang kata sandi basis datanya ingin Anda ubah, dan kemudian pilih Berhenti.
-
Saat tugas dihentikan, Anda dapat mengubah kata sandi basis data untuk titik akhir menggunakan alat asli yang Anda gunakan untuk bekerja dengan basis data.
-
Kembali ke DMS Management Console dan pilih Endpoints dari panel navigasi.
-
Pilih titik akhir untuk basis data yang kata sandinya Anda ubah, dan kemudian pilih Modifikasi.
-
Ketik kata sandi baru di kotak Kata Sandi, lalu pilih Simpan.
-
Pilih Tugas migrasi database dari panel navigasi.
-
Pilih tugas yang Anda hentikan sebelumnya, dan pilih Restart/Resume.
-
Pilih Mulai Ulang atau Lanjutkan, tergantung pada bagaimana Anda ingin melanjutkan tugas, lalu pilih Mulai tugas.