Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
In quanto servizio gestito, AWS Database Migration Service è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta AWS Cloud Security
Utilizzate chiamate API AWS pubblicate per accedere AWS DMS attraverso la rete. I client devono supportare quanto segue:
-
Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
-
Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale IAM. O puoi utilizzare AWS Security Token Service (AWS STS) per generare credenziali di sicurezza temporanee per sottoscrivere le richieste.
Puoi richiamare queste operazioni API da qualsiasi posizione di rete. AWS DMS supporta anche politiche di accesso basate sulle risorse, che possono specificare restrizioni su azioni e risorse, ad esempio, in base all'indirizzo IP di origine. Inoltre, puoi utilizzare AWS DMS le policy per controllare l'accesso da endpoint Amazon VPC specifici o cloud privati virtuali specifici (). VPCs In effetti, questo isola l'accesso alla rete a una determinata AWS DMS risorsa solo dal VPC specifico all'interno AWS della rete. Per ulteriori informazioni sull'utilizzo delle politiche di accesso basate sulle risorse, inclusi alcuni esempi AWS DMS, vedere. Controllo granulare degli accessi tramite i nomi e i tag delle risorse
Per limitare le comunicazioni all' AWS DMS interno di un singolo VPC, puoi creare un endpoint di interfaccia VPC che ti consenta di connetterti tramite. AWS DMS AWS PrivateLink AWS PrivateLink aiuta a garantire che qualsiasi chiamata AWS DMS e i relativi risultati associati rimangano confinati al VPC specifico per il quale è stato creato l'endpoint di interfaccia. È quindi possibile specificare l'URL per questo endpoint di interfaccia come opzione con ogni AWS DMS comando eseguito utilizzando o un SDK. AWS CLI In questo modo è possibile garantire che tutte le comunicazioni AWS DMS rimangano confinate nel VPC e siano altrimenti invisibili sulla rete Internet pubblica.
Per creare un endpoint di interfaccia per accedere a DMS in un singolo VPC
Accedi a AWS Management Console e apri la console Amazon VPC all'indirizzo. https://console.aws.amazon.com/vpc/
-
Nel riquadro di navigazione scegli Endpoint. Si apre la pagina Crea endpoint, in cui è possibile creare l'endpoint di interfaccia da un VPC a. AWS DMS
-
Scegli AWS i servizi, quindi cerca e scegli un valore per Service Name, in questo caso AWS DMS nel seguente modulo.
com.amazonaws.region.dmsQui,
regioncom.amazonaws.us-west-2.dms. -
Per VPC scegli il VPC da cui creare l'endpoint di interfaccia, ad esempio
vpc-12abcd34. -
Scegli un valore per Zona di disponibilità e ID sottorete. Questi valori devono indicare una posizione in cui l'endpoint AWS DMS scelto può essere eseguito, ad esempio
us-west-2a (usw2-az1)esubnet-ab123cd4. -
Scegli Abilita nome DNS per creare l'endpoint con un nome DNS. Questo nome DNS è composto dall'ID dell'endpoint (
vpce-12abcd34efg567hij) seguito da un trattino e da una stringa casuale (ab12dc34). Questi elementi sono separati dal nome del servizio tramite un punto in ordine inverso separato da punti, convpceaggiunto (dms.us-west-2.vpce.amazonaws.com).Un esempio è
vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com. -
Per Gruppo di sicurezza scegli un gruppo da usare per l'endpoint.
Quando configuri il gruppo di sicurezza, assicurati di consentire le chiamate HTTPS in uscita. Per ulteriori informazioni, consulta Creazione dei gruppi di sicurezza nella Guida per l'utente di Amazon VPC.
-
Scegli Accesso completo o un valore personalizzato per Policy. Ad esempio, puoi scegliere una policy personalizzata simile alla seguente che limiti l'accesso dell'endpoint a determinate azioni e risorse.
{ "Statement": [ { "Action": "dms:*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": [ "dms:ModifyReplicationInstance", "dms:DeleteReplicationInstance" ], "Effect": "Deny", "Resource": "arn:aws:dms:us-west-2:<account-id>:rep:<replication-instance-id>", "Principal": "*" } ] }Qui, la policy di esempio consente qualsiasi chiamata AWS DMS API, ad eccezione dell'eliminazione o della modifica di un'istanza di replica specifica.
A questo punto puoi specificare l'opzione di un URL formato utilizzando il nome DNS creato nella fase 6. Lo si specifica per ogni comando AWS DMS CLI o operazione API per accedere all'istanza del servizio utilizzando l'endpoint di interfaccia creato. Ad esempio, potrebbe essere necessario eseguire il comando DescribeEndpoints della CLI DMS in questo VPC come mostrato di seguito.
$ aws dms describe-endpoints --endpoint-url https://vpce-12abcd34efg567hij-ab12dc34---dms---us-west-2---vpce.amazonaws.com.rproxy.goskope.comSe abiliti l'opzione DNS privato, non occorre specificare l'URL dell'endpoint nella richiesta.
Per ulteriori informazioni sulla creazione e l'utilizzo di endpoint di interfaccia VPC (inclusa l'attivazione dell'opzione DNS privato), consulta Interface VPC endpoint ()AWS PrivateLink nella Amazon VPC User Guide.
