Keamanan di AWS Database Migration Service - AWS Layanan Migrasi Database

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Keamanan di AWS Database Migration Service

Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.

Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. Model tanggung jawab bersama menjelaskan hal ini sebagai keamanan cloud dan keamanan dalam cloud:

  • Keamanan cloud — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara berkala menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari Program kepatuhan AWS. Untuk mempelajari tentang program kepatuhan yang berlaku AWS DMS, lihat AWS layanan dalam cakupan berdasarkan program kepatuhan.

  • Keamanan di cloud — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, termasuk sensitivitas data, persyaratan perusahaan, serta hukum dan peraturan yang berlaku.

Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan AWS DMS. Topik berikut menunjukkan cara mengonfigurasi AWS DMS untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga belajar cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan AWS DMS sumber daya Anda.

Anda dapat mengelola akses ke AWS DMS sumber daya dan database (DB) Anda. Metode yang Anda gunakan untuk mengelola akses bergantung pada tugas replikasi yang perlu Anda lakukan dengan AWS DMS:

  • Gunakan kebijakan AWS Identity and Access Management (IAM) untuk menetapkan izin yang menentukan siapa yang diizinkan mengelola sumber daya. AWS DMS AWS DMS mengharuskan Anda memiliki izin yang sesuai jika Anda masuk sebagai pengguna IAM. Misalnya, Anda dapat menggunakan IAM untuk menentukan siapa yang diperbolehkan untuk membuat, menjelaskan, memodifikasi, dan menghapus instans dan klaster DB, menandai sumber daya, atau memodifikasi grup keamanan. Untuk informasi lebih lanjut tentang IAM dan menggunakannya dengan AWS DMS, lihatManajemen identitas dan akses untuk AWS Database Migration Service.

  • AWS DMS menggunakan Secure Sockets Layer (SSL) untuk koneksi endpoint Anda dengan Transport Layer Security (TLS). Untuk informasi lebih lanjut tentang menggunakan SSL/TLS dengan, lihat. AWS DMSMenggunakan SSL dengan AWS Database Migration Service

  • AWS DMS menggunakan AWS Key Management Service (AWS KMS) kunci enkripsi untuk mengenkripsi penyimpanan yang digunakan oleh instance replikasi Anda dan informasi koneksi titik akhir. AWS DMS juga menggunakan kunci AWS KMS enkripsi untuk mengamankan data target Anda saat istirahat untuk titik akhir target Amazon S3 dan Amazon Redshift. Untuk informasi selengkapnya, lihat Menyetel kunci enkripsi dan menentukan izin AWS KMS.

  • AWS DMS selalu membuat instance replikasi Anda di virtual private cloud (VPC) berdasarkan layanan Amazon VPC untuk kontrol akses jaringan sebaik mungkin. Untuk instans DB Anda dan instans klaster, gunakan VPC yang sama dengan instans replikasi Anda, atau VPC tambahan agar sesuai dengan tingkat kontrol akses. Setiap Amazon VPC yang Anda gunakan harus dikaitkan dengan grup keamanan yang memiliki aturan yang mengizinkan semua lalu lintas di semua port untuk meninggalkan (keluar) VPC. Pendekatan ini memungkinkan komunikasi dari instans replikasi ke titik akhir basis data sumber dan target, selama ingress yang benar diaktifkan pada titik akhir tersebut.

    Untuk informasi selengkapnya tentang konfigurasi jaringan yang tersedia AWS DMS, lihatMenyiapkan jaringan untuk instans replikasi. Untuk informasi lebih lanjut tentang pembuatan instans DB atau instans klaster di VPC, lihat dokumentasi manajemen keamanan dan klaster untuk basis data Amazon Anda di AWS dokumentasi. Untuk informasi lebih lanjut tentang konfigurasi jaringan yang didukung AWS DMS , lihat Menyiapkan jaringan untuk instans replikasi.

  • Untuk melihat log migrasi database, Anda memerlukan izin CloudWatch Log Amazon yang sesuai untuk peran IAM yang Anda gunakan. Untuk informasi lebih lanjut tentang pencatatan untuk AWS DMS, lihat Memantau tugas replikasi menggunakan Amazon CloudWatch.

Menyetel kunci enkripsi dan menentukan izin AWS KMS

AWS DMS mengenkripsi penyimpanan yang digunakan oleh contoh replikasi dan informasi koneksi titik akhir. Untuk mengenkripsi penyimpanan yang digunakan oleh instance replikasi, AWS DMS gunakan kunci AWS Key Management Service (AWS KMS) yang unik untuk akun Anda AWS . Anda dapat melihat dan mengelola kunci ini dengan AWS KMS. Anda dapat menggunakan kunci KMS default di akun Anda (aws/dms) atau Anda dapat membuat kunci KMS kustom. Jika Anda memiliki kunci KMS yang ada, Anda juga dapat menggunakan kunci itu untuk enkripsi.

catatan

AWS KMS Kunci kustom atau yang sudah ada yang Anda gunakan sebagai kunci enkripsi harus berupa kunci simetris. AWS DMS tidak mendukung penggunaan kunci enkripsi asimetris. Untuk informasi lebih lanjut tentang kunci enkripsi simetris dan asimetris, lihat https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html di Panduan Developer AWS Key Management Service .

Kunci KMS default (aws/dms) dibuat saat pertama kali meluncurkan instance replikasi, jika Anda belum memilih kunci KMS kustom dari bagian Advanced pada halaman Create Replication Instance. Jika Anda menggunakan kunci KMS default, satu-satunya izin yang perlu Anda berikan ke akun pengguna IAM yang Anda gunakan untuk migrasi adalah dan. kms:ListAliases kms:DescribeKey Untuk informasi selengkapnya tentang menggunakan kunci KMS default, lihatIAMizin yang diperlukan untuk menggunakan AWS DMS.

Untuk menggunakan kunci KMS kustom, tetapkan izin untuk kunci KMS kustom menggunakan salah satu opsi berikut:

  • Tambahkan akun pengguna IAM yang digunakan untuk migrasi sebagai administrator kunci atau pengguna kunci untuk kunci AWS KMS kustom. Melakukan hal ini memastikan bahwa izin AWS KMS yang diperlukan diberikan ke akun pengguna IAM. Tindakan ini sebagai tambahan untuk izin IAM yang Anda berikan ke akun pengguna IAM untuk menggunakan AWS DMS. Untuk informasi selengkapnya tentang pemberian izin kepada pengguna kunci, lihat Mengizinkan pengguna kunci menggunakan kunci KMS di Panduan PengembangAWS Key Management Service .

  • Jika Anda tidak ingin menambahkan akun pengguna IAM sebagai administrator kunci atau pengguna kunci untuk kunci KMS kustom Anda, tambahkan izin tambahan berikut ke izin IAM yang harus Anda berikan ke akun pengguna IAM untuk digunakan. AWS DMS

    { "Effect": "Allow", "Action": [ "kms:ListAliases", "kms:DescribeKey", "kms:CreateGrant", "kms:Encrypt", "kms:ReEncrypt*" ], "Resource": "*" },

AWS DMS juga bekerja dengan alias kunci KMS. Untuk informasi selengkapnya tentang membuat AWS KMS kunci Anda sendiri dan memberi pengguna akses ke kunci KMS, lihat Panduan AWS KMS Pengembang.

Jika Anda tidak menentukan pengenal kunci KMS, maka AWS DMS gunakan kunci enkripsi default Anda. AWS KMS membuat kunci enkripsi default AWS DMS untuk AWS akun Anda. AWS Akun Anda memiliki kunci enkripsi default yang berbeda untuk setiap AWS Wilayah.

Untuk mengelola AWS KMS kunci yang digunakan untuk mengenkripsi AWS DMS sumber daya Anda, gunakan. AWS Key Management Service AWS KMS menggabungkan perangkat keras dan perangkat lunak yang aman dan sangat tersedia untuk menyediakan sistem manajemen kunci yang diskalakan untuk cloud. Dengan menggunakan AWS KMS, Anda dapat membuat kunci enkripsi dan menentukan kebijakan yang mengontrol bagaimana kunci ini dapat digunakan.

Anda dapat menemukan AWS KMS di AWS Management Console
  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Pilih salah satu opsi berikut untuk bekerja dengan AWS KMS kunci:

    • Untuk melihat kunci di akun Anda yang AWS membuat dan mengelola untuk Anda, di panel navigasi, pilih kunci AWS terkelola.

    • Untuk melihat tombol di akun yang Anda buat dan kelola, di panel navigasi pilih CMK.

AWS KMS mendukung AWS CloudTrail, sehingga Anda dapat mengaudit penggunaan kunci untuk memverifikasi bahwa kunci sedang digunakan dengan tepat. AWS KMS Kunci Anda dapat digunakan dalam kombinasi dengan AWS DMS dan AWS layanan yang didukung seperti Amazon RDS, Amazon S3, Amazon Redshift, dan Amazon EBS.

Anda juga dapat membuat AWS KMS kunci khusus khusus untuk mengenkripsi data target untuk titik AWS DMS akhir berikut:

Setelah Anda membuat AWS DMS sumber daya dengan kunci KMS, Anda tidak dapat mengubah kunci enkripsi untuk sumber daya tersebut. Pastikan untuk menentukan persyaratan kunci enkripsi Anda sebelum Anda membuat AWS DMS sumber daya Anda.

Keamanan jaringan untuk AWS Database Migration Service

Persyaratan keamanan untuk jaringan yang Anda buat saat menggunakan AWS Database Migration Service bergantung pada cara Anda mengkonfigurasi jaringan. Aturan umum untuk keamanan jaringan AWS DMS adalah sebagai berikut:

  • Instans replikasi harus memiliki akses ke titik akhir sumber dan target. Grup keamanan untuk instans replikasi harus memiliki ACL jaringan atau aturan yang mengizinkan keluar dari instans pada port basis data untuk titik akhir basis data.

  • Titik akhir basis data harus mencakup ACL jaringan dan aturan grup keamanan yang mengizinkan akses masuk dari instans replikasi. Anda dapat mencapai hal ini menggunakan grup keamanan instans replikasi, alamat IP privat, alamat IP publik, atau alamat publik gateway NAT, tergantung pada konfigurasi Anda.

  • Jika jaringan Anda menggunakan terowongan VPN, instans Amazon EC2 yang bertindak sebagai gateway NAT harus menggunakan grup keamanan yang memiliki aturan yang mengizinkan instans replikasi untuk mengirim lalu lintas melalui grup tersebut.

Secara default, grup keamanan VPC yang digunakan oleh instance AWS DMS replikasi memiliki aturan yang memungkinkan jalan keluar ke 0.0.0.0/0 di semua port. Jika Anda mengubah grup keamanan ini atau menggunakan grup keamanan Anda sendiri, keluar harus, minimal, diizinkan untuk titik akhir sumber dan target pada port basis data masing-masing.

Masing-masing konfigurasi jaringan yang dapat Anda gunakan untuk migrasi basis data memerlukan pertimbangan keamanan khusus:

  • Konfigurasi dengan semua komponen migrasi database dalam satu VPC - Grup keamanan yang digunakan oleh titik akhir harus mengizinkan ingress pada port basis data dari instans replikasi. Pastikan bahwa grup keamanan yang digunakan oleh instans replikasi memiliki ingress ke titik akhir, atau Anda dapat membuat aturan dalam grup keamanan yang digunakan oleh titik akhir yang memungkinkan alamat IP privat akses instans replikasi.

  • Konfigurasi dengan beberapa VPCs – Grup keamanan yang digunakan oleh instans replikasi harus memiliki aturan untuk rentang VPC dan port DB pada basis data.

  • Konfigurasi untuk jaringan untuk VPC menggunakan AWS Direct Connect atau VPN – terowongan VPN memungkinkan lalu lintas ke terowongan dari VPC ke VPN on premise. Dalam konfigurasi ini, VPC mencakup aturan perutean yang mengirimkan lalu lintas yang ditujukan untuk alamat atau rentang IP tertentu ke host yang dapat menjembatani lalu lintas dari VPC ke VPN on premise. Dalam kasus ini, host NAT mencakup pengaturan Grup Keamanan sendiri yang harus mengizinkan lalu lintas dari alamat IP privat Instans Replikasi atau grup keamanan ke instans NAT.

  • Konfigurasi untuk jaringan untuk VPC menggunakan internet – Grup keamanan VPC harus mencakup aturan perutean yang mengirim lalu lintas yang tidak ditujukan untuk VPC ke gateway Internet. Dalam konfigurasi ini, koneksi ke titik akhir tampaknya datang dari alamat IP publik pada instans replikasi.

  • Konfigurasi dengan instans RDS DB tidak dalam instance VPC to DB dalam VPC penggunaan ClassicLink— Ketika sumber atau target instans Amazon RDS DB tidak ada dalam VPC dan tidak berbagi grup keamanan dengan VPC tempat instance replikasi berada, Anda dapat mengatur server proxy dan ClassicLink menggunakannya untuk menghubungkan basis data sumber dan target.

  • Titik akhir sumber berada di luar VPC yang digunakan oleh instans replikasi dan menggunakan gateway NAT – Anda dapat mengonfigurasi gateway penerjemahan alamat jaringan (NAT) menggunakan alamat IP Elastis tunggal yang terikat ke antarmuka jaringan Elastis tunggal. Antarmuka jaringan elastis ini kemudian menerima pengidentifikasi NAT (nat-#####). Jika VPC mencakup rute default ke gateway NAT tersebut alih-alih gateway internet, maka instans replikasi muncul untuk menghubungi titik akhir basis data menggunakan alamat IP publik gateway internet. Dalam kasus ini, ingress ke titik akhir basis data di luar VPC perlu mengizinkan ingress dari alamat NAT alih-alih alamat IP publik instans replikasi.

  • VPC endpoint untuk mesin non-RDBMS – AWS DMS tidak mendukung VPC endpoint untuk mesin non-RDBMS.

Pengubahan kata sandi basis data

Dalam sebagian besar situasi, mengubah kata sandi basis data untuk titik akhir sumber atau target Anda adalah hal yang mudah. Jika Anda perlu mengubah kata sandi database untuk titik akhir yang saat ini Anda gunakan dalam tugas migrasi atau replikasi, proses memerlukan beberapa langkah tambahan. Prosedur berikut menunjukkan cara melakukannya.

Untuk mengubah kata sandi basis data untuk titik akhir dalam tugas migrasi atau replikasi
  1. Masuk ke AWS Management Console dan buka AWS DMS konsol di https://console.aws.amazon.com/dms/v2/.

    Jika Anda masuk sebagai pengguna IAM, pastikan Anda memiliki izin yang sesuai untuk mengakses AWS DMS. Untuk informasi lebih lanjut tentang izin yang diperlukan, lihat IAMizin yang diperlukan untuk menggunakan AWS DMS.

  2. Di panel navigasi, pilih Tugas migrasi database.

  3. Pilih tugas yang menggunakan titik akhir yang kata sandi basis datanya ingin Anda ubah, dan kemudian pilih Berhenti.

  4. Saat tugas dihentikan, Anda dapat mengubah kata sandi basis data untuk titik akhir menggunakan alat asli yang Anda gunakan untuk bekerja dengan basis data.

  5. Kembali ke Konsol Manajemen DMS dan pilih Titik akhir dari panel navigasi.

  6. Pilih titik akhir untuk basis data yang kata sandinya Anda ubah, dan kemudian pilih Modifikasi.

  7. Ketik kata sandi baru di kotak Kata Sandi, lalu pilih Simpan.

  8. Pilih Tugas migrasi database dari panel navigasi.

  9. Pilih tugas yang Anda hentikan sebelumnya, dan pilih Restart/Resume.

  10. Pilih Mulai Ulang atau Lanjutkan, tergantung pada bagaimana Anda ingin melanjutkan tugas, lalu pilih Mulai tugas.