Sicurezza in AWS Database Migration Service - AWS Servizio di migrazione del Database
Impostazione di una chiave di crittografiaSicurezza di reteModifica della password del database

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sicurezza in AWS Database Migration Service

La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.

La sicurezza è una responsabilità condivisa tra AWS te e te. Il modello di responsabilità condivisa descrive questo come sicurezza del cloud e sicurezza nel cloud:

  • Sicurezza del cloud: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori di terze parti testano e verificano regolarmente l'efficacia della sicurezza come parte dei programmi di conformitàAWS. Per maggiori informazioni sui programmi di conformità applicabili AWS DMS, consulta la sezione AWS Servizi rientranti nell'ambito del programma di conformità.

  • Sicurezza nel cloud: la tua responsabilità è determinata dal AWS servizio che utilizzi. L'utente è anche responsabile per altri fattori, tra cui la riservatezza dei dati, i requisiti dell'azienda, nonché le leggi e le normative applicabili.

Questa documentazione ti aiuta a capire come applicare il modello di responsabilità condivisa durante l'utilizzo AWS DMS. I seguenti argomenti mostrano come eseguire la configurazione AWS DMS per soddisfare gli obiettivi di sicurezza e conformità. Imparerai anche a utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere AWS DMS le tue risorse.

Puoi gestire l'accesso alle tue AWS DMS risorse e ai tuoi database (DB). Il metodo utilizzato per gestire l'accesso dipende dall'attività di replica da eseguire con: AWS DMS

  • Utilizza le policy AWS Identity and Access Management (IAM) per assegnare le autorizzazioni che determinano chi è autorizzato a gestire le risorse. AWS DMS AWS DMS richiede che tu disponga delle autorizzazioni appropriate se accedi come utente IAM. Ad esempio, puoi utilizzare IAM per determinare chi è autorizzato a creare, descrivere, modificare ed eliminare cluster e istanze database, applicare tag alle risorse oppure modificare i gruppi di sicurezza. Per ulteriori informazioni su IAM e sul suo utilizzo con AWS DMS, consultaGestione delle identità e degli accessi per AWS Database Migration Service.

  • AWS DMS utilizza Secure Sockets Layer (SSL) per le connessioni degli endpoint con Transport Layer Security (TLS). Per ulteriori informazioni sull'utilizzo di SSL/TLS con, consulta. AWS DMSUtilizzo di SSL con AWS Database Migration Service

  • AWS DMS utilizza le chiavi di crittografia AWS Key Management Service (AWS KMS) per crittografare lo storage utilizzato dall'istanza di replica e le relative informazioni di connessione all'endpoint. AWS DMS utilizza anche chiavi di AWS KMS crittografia per proteggere i dati di destinazione inattivi per gli endpoint di destinazione Amazon S3 e Amazon Redshift. Per ulteriori informazioni, consulta Impostazione di una chiave di crittografia e specificazione delle autorizzazioni AWS KMS.

  • AWS DMS crea sempre la tua istanza di replica in un cloud privato virtuale (VPC) basato sul servizio Amazon VPC per il massimo controllo possibile degli accessi alla rete. Per le istanze database e i cluster di istanza, utilizza lo stesso VPC dell'istanza di replica o VPC aggiuntivi per corrispondere a questo livello di controllo dell'accesso. Ciascun Amazon VPC utilizzato deve essere associato a un gruppo di sicurezza che dispone di regole che consentono l'uscita di tutto il traffico su tutte le porte dal VPC. Questo approccio consente la comunicazione dall'istanza di replica agli endpoint dei database di origine e di destinazione, purché su tali endpoint sia abilitato l'ingresso corretto.

    Per ulteriori informazioni sulle configurazioni di rete disponibili per, consulta. AWS DMSConfigurazione di una rete per un'istanza di replica Per ulteriori informazioni sulla creazione di un'istanza database o di un cluster di istanza in un VPC, consulta la documentazione relativa alla sicurezza e alla gestione dei cluster per i database Amazon nella Documentazione AWS. Per ulteriori informazioni sulle configurazioni di rete supportate da AWS DMS , consulta Configurazione di una rete per un'istanza di replica.

  • Per visualizzare i log di migrazione del database, sono necessarie le autorizzazioni Amazon CloudWatch Logs appropriate per il ruolo IAM che stai utilizzando. Per ulteriori informazioni sulla registrazione per AWS DMS, consulta Monitoraggio delle attività di replica usando Amazon CloudWatch.

Argomenti

Impostazione di una chiave di crittografia e specificazione delle autorizzazioni AWS KMS

AWS DMS crittografa lo storage utilizzato da un'istanza di replica e le informazioni di connessione all'endpoint. Per crittografare lo storage utilizzato da un'istanza di replica, AWS DMS utilizza una chiave AWS Key Management Service (AWS KMS) univoca per l'account. AWS È possibile visualizzare e gestire questa chiave con. AWS KMS Puoi utilizzare la chiave KMS predefinita nel tuo account (aws/dms) o puoi creare una chiave KMS personalizzata. Per la crittografia, puoi anche utilizzare un'eventuale chiave KMS esistente.

Nota

Qualsiasi chiave personalizzata o esistente utilizzata come AWS KMS chiave di crittografia deve essere una chiave simmetrica. AWS DMS non supporta l'uso di chiavi di crittografia asimmetriche. Per ulteriori informazioni sulle chiavi di crittografia simmetriche e asimmetriche, consulta https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html nella Guida per gli sviluppatori di AWS Key Management Service .

La chiave KMS predefinita (aws/dms) viene creata quando avvii per la prima volta un'istanza di replica se non hai selezionato una chiave KMS personalizzata nella sezione Avanzato della pagina Crea istanza di replica. Se utilizzi la chiave KMS predefinita, le sole autorizzazioni da concedere all'account utente IAM utilizzato per la migrazione sono kms:ListAliases e kms:DescribeKey. Per ulteriori informazioni su come utilizzare la chiave KMS predefinita, consulta Autorizzazioni IAM necessarie per utilizzare AWS DMS.

Per usare una chiave KMS personalizzata, assegna le autorizzazioni per la chiave KMS personalizzata utilizzando una delle opzioni riportate di seguito:

  • Aggiungi l'account utente IAM utilizzato per la migrazione come amministratore chiave o utente chiave per la AWS KMS chiave personalizzata. Ciò assicura che le necessarie autorizzazioni AWS KMS vengano concesse all'account utente IAM. Questa operazione si aggiunge alle autorizzazioni IAM che devi concedere all'account utente IAM per l'utilizzo di AWS DMS. Per ulteriori informazioni sull'assegnazione delle autorizzazioni all'utente di una chiave, consulta Consente agli utenti della chiave di utilizzare la chiave KMS nella Guida per gli sviluppatori di AWS Key Management Service .

  • Se non desideri aggiungere l'account utente IAM come amministratore della chiave o utente della chiave per la chiave KMS personalizzata, aggiungi le seguenti autorizzazioni aggiuntive alle autorizzazioni IAM che devi concedere all'account utente IAM per l'utilizzo di AWS DMS. 

    
{
            "Effect": "Allow",
            "Action": [
                "kms:ListAliases",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:Encrypt",
                "kms:ReEncrypt*"
            ],
            "Resource": "*"
        },

AWS DMS funziona anche con gli alias delle chiavi KMS. Per ulteriori informazioni sulla creazione delle chiavi AWS KMS e sull'assegnazione agli utenti dell'accesso a una chiave KMS, consulta la Guida per gli sviluppatori di AWS KMS.

Se non specifichi un identificatore di chiave KMS, AWS DMS utilizza la chiave di crittografia predefinita. AWS KMS crea la chiave di crittografia predefinita AWS DMS per il tuo AWS account. Il tuo AWS account ha una chiave di crittografia predefinita diversa per ogni AWS regione.

Per gestire le AWS KMS chiavi utilizzate per crittografare le AWS DMS risorse, utilizza il AWS Key Management Service. AWS KMS combina hardware e software sicuri e ad alta disponibilità per fornire un sistema di gestione delle chiavi scalabile per il cloud. Utilizzando AWS KMS, è possibile creare chiavi di crittografia e definire le politiche che controllano il modo in cui tali chiavi possono essere utilizzate.

È possibile trovare AWS KMS nel AWS Management Console

  1. Accedi AWS Management Console e apri la console AWS Key Management Service (AWS KMS) all'indirizzo https://console.aws.amazon.com/kms.

  2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

  3. Scegliete una delle seguenti opzioni per lavorare con i tasti: AWS KMS

    • Per visualizzare le chiavi dell'account che AWS crea e gestisce per te, nel riquadro di navigazione, scegli chiavi AWS gestite.

    • Per visualizzare le chiavi nell'account creato e gestito dall'utente, nel riquadro di navigazione, seleziona Chiavi gestite dal cliente.

AWS KMS supporta AWS CloudTrail, in modo da poter controllare l'utilizzo delle chiavi per verificare che le chiavi vengano utilizzate in modo appropriato. AWS KMS Le tue chiavi possono essere utilizzate in combinazione con AWS DMS AWS servizi supportati come Amazon RDS, Amazon S3, Amazon Redshift e Amazon EBS.

Puoi anche creare AWS KMS chiavi personalizzate specificamente per crittografare i dati di destinazione per i seguenti endpoint: AWS DMS

Dopo aver creato le AWS DMS risorse con una chiave KMS, non puoi modificare la chiave di crittografia per tali risorse. Assicurati di determinare i requisiti della chiave di crittografia prima di creare AWS DMS le tue risorse.

Sicurezza di rete per AWS Database Migration Service

I requisiti di sicurezza per la rete che crei durante l'utilizzo AWS Database Migration Service dipendono da come configuri la rete. Le regole generali per la sicurezza della rete per AWS DMS sono le seguenti:

  • L'istanza di replica deve avere accesso agli endpoint di origine e di destinazione. Il gruppo di sicurezza per l'istanza di replica deve avere liste di controllo degli accessi di rete o regole che consentono l'uscita dall'istanza sulla porta del database agli endpoint del database.

  • Gli endpoint del database devono includere le liste di controllo degli accessi di rete e le regole dei gruppi di sicurezza che consentono l'accesso in entrata dall'istanza di replica. Puoi ottenere tutto questo utilizzando il gruppo di sicurezza dell'istanza di replica, l'indirizzo IP privato, l'indirizzo IP pubblico o l'indirizzo pubblico del gateway NAT, a seconda della configurazione.

  • Se la rete utilizza un tunnel VPN, l'istanza Amazon EC2 che agisce come gateway NAT deve utilizzare un gruppo di sicurezza con regole che consentono all'istanza di replica di inviare il traffico attraverso tale tunnel.

Per impostazione predefinita, il gruppo di sicurezza VPC utilizzato dall'istanza di AWS DMS replica dispone di regole che consentono l'uscita a 0.0.0.0/0 su tutte le porte. Se modifichi il gruppo di sicurezza o utilizzi il tuo gruppo di sicurezza, l'uscita deve quantomeno essere consentita verso gli endpoint di origine e di destinazione sulle rispettive porte del database.

Ogni configurazione di rete che puoi utilizzare per la migrazione del database richiede considerazioni di sicurezza specifiche:

  • Configurazione con tutti i componenti di migrazione del database in un VPC: il gruppo di sicurezza utilizzato dagli endpoint deve consentire l'ingresso sulla porta del database dall'istanza di replica. Assicurati che il gruppo di sicurezza utilizzato dall'istanza di replica abbia ingresso agli endpoint; in caso contrario, puoi creare una regola nel gruppo di sicurezza utilizzato dagli endpoint, che autorizzi l'indirizzo IP privato dell'accesso all'istanza di replica.

  • Configurazione con più VPC: il gruppo di sicurezza utilizzato dall'istanza di replica deve avere una regola per l'intervallo VPC e la porta sul database.

  • Configurazione per una rete verso un VPC utilizzando AWS Direct Connect o una VPN: un tunnel VPN che consente il tunneling del traffico dal VPC a una VPN on-premise. In questa configurazione, il VPC include una regola di routing che invia il traffico destinato a un determinato indirizzo IP o intervallo a un host che può eseguire il bridging del traffico dal VPC al VPN locale. In questo caso, l'host NAT include le proprie impostazioni del gruppo di sicurezza che devono consentire il traffico dall'indirizzo IP privato o dal gruppo di sicurezza dell'istanza di replica all'istanza NAT.

  • Configurazione di una rete per un VPC mediante Internet: il gruppo di sicurezza VPC deve includere regole di instradamento che inviano al gateway Internet il traffico non destinato al VPC. In questa configurazione, la connessione all'endpoint viene eseguita dall'indirizzo IP pubblico sull'istanza di replica.

  • Configurazione con un'istanza DB RDS non in un VPC su un'istanza DB in un VPC utilizzando ClassicLink— Quando l'istanza database Amazon RDS di origine o di destinazione non si trova in un VPC e non condivide un gruppo di sicurezza con il VPC in cui si trova l'istanza di replica, è possibile configurare un server proxy e ClassicLink utilizzarlo per connettere i database di origine e di destinazione.

  • L'endpoint di origine si trova all'esterno del VPC utilizzato dall'istanza di replica e usa un gateway NAT: puoi configurare un gateway Network Address Translation (NAT) utilizzando un singolo indirizzo IP elastico associato a un'unica interfaccia di rete elastica. Questa interfaccia di rete elastica, riceve quindi un identificatore NAT (nat-#####). Se il VPC include una route predefinita a quel gateway NAT anziché al gateway Internet, l'istanza di replica viene invece visualizzata per contattare l'endpoint del database utilizzando l'indirizzo IP pubblico del gateway Internet. In questo caso, l'ingresso all'endpoint del database all'esterno del VPC deve consentire l'ingresso dall'indirizzo NAT anziché dall'indirizzo IP pubblico dell'istanza di replica.

  • Endpoint VPC per motori non RDBMS: AWS DMS non supporta endpoint VPC per motori non RDBMS.

Modifica della password del database

Nella maggior parte dei casi, la modifica della password del database per l'endpoint di origine o di destinazione è semplice. Se è necessario modificare la password del database per un endpoint che si sta attualmente utilizzando per un'attività di migrazione o replica, il processo richiede alcuni passaggi aggiuntivi. La procedura seguente descrive come farlo.

Per modificare la password del database per un endpoint in un'attività di migrazione o replica

  1. Accedi AWS Management Console e apri la AWS DMS console all'indirizzo https://console.aws.amazon.com/dms/v2/.

    Se hai eseguito l'accesso come utente IAM, verifica di disporre delle autorizzazioni appropriate per accedere a AWS DMS. Per ulteriori informazioni sulle autorizzazioni richieste, consulta Autorizzazioni IAM necessarie per utilizzare AWS DMS.

  2. Dal riquadro di navigazione, scegli Attività di migrazione del database.

  3. Scegliere l'attività che utilizza l'endpoint di cui modificare la password, quindi scegliere Stop (Interrompi).

  4. Mentre l'attività è interrotta, è possibile modificare la password del database dell'endpoint utilizzando gli strumenti nativi utilizzati per gestire il database.

  5. Tornare alla console di gestione DMS e scegliere Endpoints (Endpoint) dal riquadro di navigazione.

  6. Scegliere l'endpoint del database di cui è stata modificata la password, quindi scegliere Modify (Modifica).

  7. Digita la nuova password nel riquadro Password, quindi scegli Salva.

  8. Dal riquadro di navigazione, scegli Attività di migrazione del database.

  9. Scegli l'attività precedentemente interrotta, quindi seleziona Riavvia/Riprendi.

  10. Scegli Riavvia o Riprendi, a seconda di come vuoi continuare l'attività, quindi seleziona Avvia attività.