Keamanan infrastruktur dalam AWS Database Migration Service - AWS Database Migration Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Keamanan infrastruktur dalam AWS Database Migration Service

Sebagai layanan terkelola, AWS Database Migration Service dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat Keamanan AWS Cloud. Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat Perlindungan Infrastruktur dalam Kerangka Kerja yang AWS Diarsiteksikan dengan Baik Pilar Keamanan.

Anda menggunakan API panggilan yang AWS dipublikasikan untuk mengakses AWS DMS melalui jaringan. Klien harus mendukung hal-hal berikut:

  • Keamanan Lapisan Transportasi (TLS). Kami membutuhkan TLS 1.2 dan merekomendasikan TLS 1.3.

  • Suite cipher dengan kerahasiaan maju yang sempurna (PFS) seperti (Ephemeral Diffie-Hellman) atau DHE (Elliptic Curve Ephemeral Diffie-Hellman). ECDHE Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.

Selain itu, permintaan harus ditandatangani dengan menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan IAM prinsipal. Atau Anda dapat menggunakan AWS Security Token Service (AWS STS) untuk menghasilkan kredensial keamanan sementara untuk menandatangani permintaan.

Anda dapat memanggil API operasi ini dari lokasi jaringan mana pun. AWS DMS juga mendukung kebijakan akses berbasis sumber daya, yang dapat menentukan pembatasan tindakan dan sumber daya, misalnya, berdasarkan alamat IP sumber. Selain itu, Anda dapat menggunakan AWS DMS kebijakan untuk mengontrol akses dari VPC titik akhir Amazon tertentu atau cloud pribadi virtual tertentu (VPCs). Secara efektif, ini mengisolasi akses jaringan ke AWS DMS sumber daya tertentu hanya dari yang spesifik VPC dalam AWS jaringan. Untuk informasi selengkapnya tentang penggunaan kebijakan akses berbasis sumber daya dengan AWS DMS, termasuk contoh, lihat. Kontrol akses detail menggunakan nama sumber daya dan tag

Untuk membatasi komunikasi Anda dengan AWS DMS dalam satuVPC, Anda dapat membuat titik akhir VPC antarmuka yang memungkinkan Anda terhubung ke AWS DMS melalui. AWS PrivateLink AWS PrivateLink membantu memastikan bahwa setiap panggilan ke AWS DMS dan hasil yang terkait tetap terbatas pada spesifik VPC yang titik akhir antarmuka Anda dibuat. Anda kemudian dapat menentukan URL titik akhir antarmuka ini sebagai opsi dengan setiap AWS DMS perintah yang Anda jalankan menggunakan AWS CLI atau. SDK Melakukan hal ini membantu memastikan bahwa seluruh komunikasi Anda AWS DMS tetap terbatas pada VPC dan sebaliknya tidak terlihat oleh internet publik.

Untuk membuat titik akhir antarmuka untuk diakses DMS dalam satu VPC

  1. Masuk ke AWS Management Console dan buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/.

  2. Dari panel navigasi, pilih Titik akhir. Ini membuka halaman Buat titik akhir, di mana Anda dapat membuat titik akhir antarmuka dari a VPC ke. AWS DMS

  3. Pilih AWS layanan, lalu cari dan pilih nilai untuk Nama Layanan, dalam hal ini AWS DMS dalam formulir berikut.

    com.amazonaws.region.dms

    Di sini, region menentukan AWS Wilayah tempat AWS DMS berjalan, misalnyacom.amazonaws.us-west-2.dms.

  4. Untuk VPC, pilih VPC untuk membuat titik akhir antarmuka dari, misalnyavpc-12abcd34.

  5. Pilih nilai untuk Availability Zone dan untuk ID subnet. Nilai-nilai ini harus menunjukkan lokasi di mana titik akhir AWS DMS Anda dapat berjalan, misalnya us-west-2a (usw2-az1) dan subnet-ab123cd4.

  6. Pilih Aktifkan DNS nama untuk membuat titik akhir dengan DNS nama. DNSNama ini terdiri dari endpoint ID (vpce-12abcd34efg567hij) yang diberi tanda hubung dengan string acak (). ab12dc34 Ini dipisahkan dari nama layanan oleh sebuah titik dalam urutan yang dipisahkan titik terbalik, dengan penambahan vpce (dms.us-west-2.vpce.amazonaws.com).

    Contohnya vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com.

  7. Untuk Grup keamanan, pilih grup yang akan digunakan untuk titik akhir.

    Saat Anda mengatur grup keamanan, pastikan untuk mengizinkan HTTPS panggilan keluar dari dalamnya. Untuk informasi selengkapnya, lihat Membuat grup keamanan di Panduan VPC Pengguna Amazon.

  8. Pilih Akses Penuh atau nilai kustom untuk Kebijakan. Misalnya, Anda mungkin memilih kebijakan kustom yang serupa dengan kebijakan berikut ini yang membatasi akses titik akhir Anda ke tindakan dan sumber daya tertentu.

    {
  "Statement": [
    {
      "Action": "dms:*",
      "Effect": "Allow",
      "Resource": "*",
      "Principal": "*"
    },
    {
      "Action": [
        "dms:ModifyReplicationInstance",
        "dms:DeleteReplicationInstance"
      ],
      "Effect": "Deny",
      "Resource": "arn:aws:dms:us-west-2:<account-id>:rep:<replication-instance-id>",
      "Principal": "*"
    }
  ]
}

    Di sini, kebijakan sampel mengizinkan AWS DMS API panggilan apa pun, kecuali untuk menghapus atau memodifikasi instance replikasi tertentu.

Anda sekarang dapat menentukan yang URL terbentuk menggunakan DNS nama yang dibuat pada langkah 6 sebagai opsi. Anda menentukan ini untuk setiap AWS DMS CLI perintah atau API operasi untuk mengakses instance layanan menggunakan titik akhir antarmuka yang dibuat. Misalnya, Anda mungkin menjalankan DMS CLI perintah DescribeEndpoints dalam hal ini VPC seperti yang ditunjukkan berikut.

$ aws dms describe-endpoints --endpoint-url https://vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com

Jika Anda mengaktifkan DNS opsi pribadi, Anda tidak perlu menentukan titik akhir URL dalam permintaan.

Untuk informasi selengkapnya tentang membuat dan menggunakan titik akhir VPC antarmuka (termasuk mengaktifkan DNS opsi pribadi), lihat VPCTitik akhir Antarmuka (AWS PrivateLink) di Panduan Pengguna Amazon VPC.