Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Sebagai layanan terkelola, AWS Database Migration Service dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat Keamanan AWS Cloud
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses AWS DMS melalui jaringan. Klien harus mendukung hal-hal berikut:
-
Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
-
Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
Selain itu, permintaan harus ditandatangani menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan prinsipal IAM. Atau Anda dapat menggunakan AWS Security Token Service (AWS STS) untuk menghasilkan kredensial keamanan sementara untuk menandatangani permintaan.
Anda dapat memanggil operasi API ini dari lokasi jaringan mana pun. AWS DMS juga mendukung kebijakan akses berbasis sumber daya, yang dapat menentukan pembatasan tindakan dan sumber daya, misalnya, berdasarkan alamat IP sumber. Selain itu, Anda dapat menggunakan AWS DMS kebijakan untuk mengontrol akses dari titik akhir VPC Amazon tertentu atau cloud pribadi virtual tertentu (). VPCs Secara efektif, ini mengisolasi akses jaringan ke AWS DMS sumber daya tertentu hanya dari VPC tertentu dalam AWS jaringan. Untuk informasi selengkapnya tentang penggunaan kebijakan akses berbasis sumber daya dengan AWS DMS, termasuk contoh, lihat. Kontrol akses detail menggunakan nama sumber daya dan tag
Untuk membatasi komunikasi Anda dengan AWS DMS dalam satu VPC, Anda dapat membuat titik akhir antarmuka VPC yang memungkinkan Anda terhubung ke melalui. AWS DMS AWS PrivateLink AWS PrivateLink membantu memastikan bahwa setiap panggilan ke AWS DMS dan hasil yang terkait tetap terbatas pada VPC tertentu tempat titik akhir antarmuka Anda dibuat. Anda kemudian dapat menentukan URL untuk titik akhir antarmuka ini sebagai opsi dengan setiap AWS DMS perintah yang Anda jalankan menggunakan AWS CLI atau SDK. Melakukan hal ini membantu memastikan bahwa seluruh komunikasi Anda AWS DMS tetap terbatas pada VPC dan sebaliknya tidak terlihat oleh internet publik.
Untuk membuat titik akhir antarmuka untuk mengakses DMS di VPC tunggal
Masuk ke AWS Management Console dan buka konsol VPC Amazon di. https://console.aws.amazon.com/vpc/
-
Dari panel navigasi, pilih Titik akhir. Ini membuka halaman Buat titik akhir, tempat Anda dapat membuat titik akhir antarmuka dari VPC ke. AWS DMS
-
Pilih AWS layanan, lalu cari dan pilih nilai untuk Nama Layanan, dalam hal ini AWS DMS dalam formulir berikut.
com.amazonaws.region.dmsDi sini,
regioncom.amazonaws.us-west-2.dms. -
Untuk VPC, pilih VPC untuk membuat titik akhir antarmuka, misalnya
vpc-12abcd34. -
Pilih nilai untuk Availability Zone dan untuk ID subnet. Nilai-nilai ini harus menunjukkan lokasi di mana titik akhir AWS DMS Anda dapat berjalan, misalnya
us-west-2a (usw2-az1)dansubnet-ab123cd4. -
Pilih Aktifkan nama DNS untuk membuat titik akhir dengan nama DNS. Nama DNS ini terdiri dari ID titik akhir (
vpce-12abcd34efg567hij) yang ditulis dengan tanda hubung dengan string acak (ab12dc34). Ini dipisahkan dari nama layanan oleh sebuah titik dalam urutan yang dipisahkan titik terbalik, dengan penambahanvpce(dms.us-west-2.vpce.amazonaws.com).Contohnya
vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com. -
Untuk Grup keamanan, pilih grup yang akan digunakan untuk titik akhir.
Saat Anda mengatur grup keamanan, pastikan untuk mengizinkan panggilan HTTPS ke luar dari dalamnya. Untuk informasi lebih lanjut, lihat Membuat grup keamanan di Panduan Pengguna Amazon VPC.
-
Pilih Akses Penuh atau nilai kustom untuk Kebijakan. Misalnya, Anda mungkin memilih kebijakan kustom yang serupa dengan kebijakan berikut ini yang membatasi akses titik akhir Anda ke tindakan dan sumber daya tertentu.
{ "Statement": [ { "Action": "dms:*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": [ "dms:ModifyReplicationInstance", "dms:DeleteReplicationInstance" ], "Effect": "Deny", "Resource": "arn:aws:dms:us-west-2:<account-id>:rep:<replication-instance-id>", "Principal": "*" } ] }Di sini, kebijakan sampel mengizinkan panggilan AWS DMS API apa pun, kecuali untuk menghapus atau memodifikasi instance replikasi tertentu.
Sekarang Anda dapat menentukan URL yang dibentuk menggunakan nama DNS yang dibuat pada langkah 6 sebagai sebuah opsi. Anda menentukan ini untuk setiap perintah AWS DMS CLI atau operasi API untuk mengakses instance layanan menggunakan titik akhir antarmuka yang dibuat. Misalnya, Anda dapat menjalankan perintah DMS CLI DescribeEndpoints dalam VPC ini seperti yang ditunjukkan berikut ini.
$ aws dms describe-endpoints --endpoint-url https://vpce-12abcd34efg567hij-ab12dc34---dms---us-west-2---vpce.amazonaws.com.rproxy.goskope.comJika Anda mengaktifkan opsi DNS privat, Anda tidak perlu menentukan URL titik akhir dalam permintaan.
Untuk informasi selengkapnya tentang membuat dan menggunakan titik akhir antarmuka VPC (termasuk mengaktifkan opsi DNS pribadi), lihat Titik akhir VPC Antarmuka () di AWS PrivateLink Panduan Pengguna Amazon VPC.
