기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
의 클라우드 보안 AWS 이 최우선 순위입니다. AWS 고객은 가장 보안에 민감한 조직의 요구 사항을 충족하도록 구축된 데이터 센터 및 네트워크 아키텍처의 이점을 누릴 수 있습니다.
보안은 AWS 와 사용자 간의 공동 책임입니다. 공동 책임 모델
-
클라우드 보안 - AWS 는 클라우드에서 AWS AWS 서비스를 실행하는 인프라를 보호할 책임이 있습니다. AWS 또한는 안전하게 사용할 수 있는 서비스를 제공합니다. 서드 파티 감사원은 정기적으로 AWS 규정 준수 프로그램
의 일환으로 보안 효과를 테스트하고 검증합니다. 에 적용되는 규정 준수 프로그램에 대한 자세한 내용은 AWS 규정 준수 프로그램별 범위 내 서비스를 AWS DMS참조하세요. -
클라우드의 보안 - 사용자의 책임은 사용하는 AWS 서비스에 따라 결정됩니다. 또한 데이터의 민감도, 조직의 요구 사항, 관련 법률 및 규정을 비롯한 기타 요소에 대해서도 책임이 있습니다.
이 설명서는를 사용할 때 공동 책임 모델을 적용하는 방법을 이해하는 데 도움이 됩니다 AWS DMS. 다음 주제에서는 보안 및 규정 준수 목표를 충족 AWS DMS 하도록를 구성하는 방법을 보여줍니다. 또한 AWS DMS 리소스를 모니터링하고 보호하는 데 도움이 되는 다른 AWS 서비스를 사용하는 방법도 알아봅니다.
AWS DMS 리소스 및 데이터베이스(DBs)에 대한 액세스를 관리할 수 있습니다. 액세스를 관리하는 데 사용하는 방법은 수행해야 하는 복제 작업에 따라 다릅니다 AWS DMS.
-
AWS Identity and Access Management (IAM) 정책을 사용하여 AWS DMS 리소스를 관리할 수 있는 사용자를 결정하는 권한을 할당합니다.는 IAM 사용자로 로그인하는 경우 적절한 권한이 있어야 AWS DMS 합니다. 예를 들면, IAM을 사용하여 DB 인스턴스 및 클러스터를 생성, 설명, 수정, 삭제하거나 리소스에 태그를 지정하거나 보안 그룹을 수정할 수 있는 사용자를 결정할 수 있습니다. IAM 및와 함께 사용에 대한 자세한 내용은 섹션을 AWS DMS참조하세요에 대한 자격 증명 및 액세스 관리 AWS Database Migration Service.
-
AWS DMS 는 전송 계층 보안(SSL)과의 엔드포인트 연결에 보안 소켓 계층()을 사용합니다TLS. SSL/TLS를와 함께 사용하는 방법에 대한 자세한 내용은 섹션을 AWS DMS참조하세요SSL와 함께 사용 AWS Database Migration Service.
-
AWS DMS 는 AWS Key Management Service (AWS KMS) 암호화 키를 사용하여 복제 인스턴스 및 해당 엔드포인트 연결 정보에 사용되는 스토리지를 암호화합니다. AWS DMS 또한는 AWS KMS 암호화 키를 사용하여 Amazon S3 및 Amazon Redshift 대상 엔드포인트에 대한 저장 데이터를 보호합니다. 자세한 내용은 암호화 키 설정 및 AWS KMS 권한 지정 단원을 참조하십시오.
-
AWS DMS 는 항상 가능한 최대 네트워크 액세스 제어를 위해 Amazon VPC 서비스를 기반으로 가상 프라이빗 클라우드(VPC)에 복제 인스턴스를 생성합니다. DB 인스턴스 및 인스턴스 클러스터의 경우 복제 인스턴스VPC와 같거나이 수준의 액세스 제어와 일치하도록 추가 VPCs를 사용합니다. VPC 사용하는 각 Amazon은 모든 포트의 모든 트래픽이를 떠나도록(나가도록) 허용하는 규칙이 있는 보안 그룹과 연결되어야 합니다VPC. 해당 엔드포인트에서 올바른 수신이 활성화되어 있는 한 이 접근 방식을 통해 통신을 복제 인스턴스에서 원본과 대상 데이터베이스 엔드포인트로 전달할 수 있습니다.
에 사용 가능한 네트워크 구성에 대한 자세한 내용은 섹션을 AWS DMS참조하세요복제 인스턴스용으로 네트워크 설정. 에서 DB 인스턴스 또는 인스턴스 클러스터를 생성하는 방법에 대한 자세한 내용은 설명서에서 Amazon 데이터베이스의 보안 및 클러스터 관리 AWS 설명서를 VPC참조하세요. AWS DMS 를 지원하는 네트워크 구성에 대한 자세한 내용은 복제 인스턴스용으로 네트워크 설정 섹션을 참조하세요.
-
데이터베이스 마이그레이션 로그를 보려면 사용 중인 IAM 역할에 대한 적절한 Amazon CloudWatch Logs 권한이 필요합니다. AWS DMS로깅에 대한 자세한 내용은 Amazon을 사용하여 복제 작업 모니터링 CloudWatch 섹션을 참조하세요.
주제
- 의 데이터 보호 AWS Database Migration Service
- 에 대한 자격 증명 및 액세스 관리 AWS Database Migration Service
- AWS Database Migration Service의 규정 준수 확인
- AWS Database Migration Service의 복원성
- AWS Database Migration Service에서 인프라 보안
- 리소스 이름 및 태그를 사용하여 세분화된 액세스 제어
- 암호화 키 설정 및 AWS KMS 권한 지정
- 에 대한 네트워크 보안 AWS Database Migration Service
- SSL와 함께 사용 AWS Database Migration Service
- 데이터베이스 암호 변경
- 에서 Kerberos 인증 사용 AWS Database Migration Service
암호화 키 설정 및 AWS KMS 권한 지정
AWS DMS 는 복제 인스턴스에서 사용하는 스토리지와 엔드포인트 연결 정보를 암호화합니다. 복제 인스턴스에서 사용하는 스토리지를 암호화하려면 AWS 계정에 고유한 AWS Key Management Service (AWS KMS) 키를 AWS DMS 사용합니다. 를 사용하여이 키를 보고 관리할 수 있습니다 AWS KMS. 계정 기본 KMS 키(aws/dms
)를 사용하거나 사용자 지정 KMS 키를 생성할 수 있습니다. 기존 KMS 키가 있는 경우, 암호화에 이 키를 사용할 수도 있습니다.
참고
암호화 AWS KMS 키로 사용하는 사용자 지정 키 또는 기존 키는 대칭 키여야 합니다. AWS DMS 는 비대칭 암호화 키 사용을 지원하지 않습니다. 대칭 및 비대칭 암호화 KMS 키에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html 섹션을 참조하세요.
복제 인스턴스 생성 페이지의 고급 섹션에서 사용자 지정 KMS 키를 선택하지 않은 경우 복제 인스턴스를 처음 시작할 때 기본 KMS 키(aws/dms
)가 생성됩니다. 기본 KMS 키를 사용하는 경우 마이그레이션에 사용 중인 IAM 사용자 계정에 부여해야 하는 유일한 권한은 kms:ListAliases
및 입니다kms:DescribeKey
. 기본 KMS 키 사용에 대한 자세한 내용은 IAM를 사용하는 데 필요한 권한 AWS DMS 단원을 참조하십시오.
사용자 지정 KMS 키를 사용하려면 다음 옵션 중 하나를 사용하여 사용자 지정 KMS 키에 대한 권한을 할당해야 합니다.
-
마이그레이션에 사용되는 IAM 사용자 계정을 사용자 AWS KMS 지정 키의 키 관리자 또는 키 사용자로 추가합니다. 이렇게 하면 IAM 사용자 계정에 필요한 AWS KMS 권한이 부여됩니다. 이 작업은 사용할 IAM 사용자 계정에 부여하는 IAM 권한에 추가됩니다 AWS DMS. 키 사용자에게 권한을 부여하는 방법에 대한 자세한 내용은 개발자 안내서의 키 사용자가 KMS 키를 사용하도록 허용을 참조하세요. AWS Key Management Service
-
IAM 사용자 계정을 사용자 지정 KMS 키의 키 관리자 또는 키 사용자로 추가하지 않으려면 사용할 IAM 사용자 계정에 부여해야 하는 권한에 다음과 같은 추가 IAM 권한을 추가합니다 AWS DMS.
{ "Effect": "Allow", "Action": [ "kms:ListAliases", "kms:DescribeKey", "kms:CreateGrant", "kms:Encrypt", "kms:ReEncrypt*" ], "Resource": "*" },
AWS DMS 는 KMS 키 별칭에서도 작동합니다. 자체 AWS KMS 키를 생성하고 사용자에게 키에 대한 액세스 권한을 부여하는 방법에 대한 자세한 내용은 AWS KMS 개발자 안내서를 KMS 참조하세요.
KMS 키 식별자를 지정하지 않으면는 기본 암호화 키를 AWS DMS 사용합니다.는 AWS 계정의에 AWS DMS 대한 기본 암호화 키를 AWS KMS 생성합니다. 계정에 AWS 는 각 AWS 리전마다 다른 기본 암호화 키가 있습니다.
AWS DMS 리소스를 암호화하는 데 사용되는 AWS KMS 키를 관리하려면를 사용합니다 AWS Key Management Service.는 안전하고 가용성이 높은 하드웨어와 소프트웨어를 AWS KMS 결합하여 클라우드에 맞게 조정된 키 관리 시스템을 제공합니다. 를 사용하면 암호화 키를 생성하고 이러한 키를 사용할 AWS KMS수 있는 방법을 제어하는 정책을 정의할 수 있습니다.
AWS KMS 에서 찾을 수 있습니다. AWS Management Console
-
에 로그인 AWS Management Console 하고 /kms에서 AWS Key Management Service (AWS KMS) 콘솔을 엽니다. https://console.aws.amazon.com
-
를 변경하려면 페이지 오른쪽 상단에 있는 리전 선택기를 AWS 리전사용합니다.
-
다음 옵션 중 하나를 선택하여 AWS KMS 키로 작업합니다.
-
가 자동으로 AWS 생성하고 관리하는 계정의 키를 보려면 탐색 창에서 AWS 관리형 키를 선택합니다.
-
해당 계정에서 직접 생성하고 관리하는 키를 보려면 탐색 창에서 고객 관리형 키를 선택합니다.
-
AWS KMS 는 키 사용을 감사하여 키가 적절하게 사용되고 있는지 확인할 수 AWS CloudTrail있도록 지원합니다. AWS KMS 키를 AWS DMS Amazon RDS, Amazon S3, Amazon Redshift 및 Amazon와 같은 지원되는 AWS 서비스와 함께 사용할 수 있습니다EBS.
또한 다음 AWS DMS 엔드포인트에 대한 대상 데이터를 암호화하기 위한 사용자 지정 AWS KMS 키를 생성할 수 있습니다.
-
Amazon Redshift – 자세한 내용은 AWS KMS 키를 사용하여 Amazon Redshift 대상 데이터 암호화 섹션을 참조하세요.
-
Amazon S3 – 자세한 내용은 Amazon S3 대상 객체를 암호화하는 AWS KMS 키 생성 섹션을 참조하세요.
KMS 키를 사용하여 AWS DMS 리소스를 생성한 후에는 해당 리소스의 암호화 키를 변경할 수 없습니다. AWS DMS 리소스를 생성하기 전에 암호화 키 요구 사항을 확인해야 합니다.
에 대한 네트워크 보안 AWS Database Migration Service
를 사용할 때 생성하는 네트워크의 보안 요구 사항은 네트워크를 구성하는 방법에 AWS Database Migration Service 따라 다릅니다. 의 네트워크 보안에 대한 일반 규칙 AWS DMS 은 다음과 같습니다.
-
복제 인스턴스에는 리소스 및 대상 엔드포인트에 대한 액세스 권한이 있어야 합니다. 복제 인스턴스의 보안 그룹에는 데이터베이스 포트의 인스턴스에서 데이터베이스 엔드포인트로 송신할 수 있는 네트워크 ACLs 또는 규칙이 있어야 합니다.
-
데이터베이스 엔드포인트에는 복제 인스턴스에서 들어오는 액세스를 허용하는 네트워크 ACLs 및 보안 그룹 규칙이 포함되어야 합니다. 구성에 따라 복제 인스턴스의 보안 그룹, 프라이빗 IP 주소, 퍼블릭 IP 주소 또는 NAT 게이트웨이의 퍼블릭 주소를 사용하여이 작업을 수행할 수 있습니다.
-
네트워크에서 VPN 터널을 사용하는 경우 NAT 게이트웨이 역할을 하는 Amazon 인스턴스는 복제 EC2 인스턴스가 터널을 통해 트래픽을 전송하도록 허용하는 규칙이 있는 보안 그룹을 사용해야 합니다.
기본적으로 AWS DMS 복제 인스턴스에서 사용하는 VPC 보안 그룹에는 모든 포트에서 0.0.0.0/0으로 송신을 허용하는 규칙이 있습니다. 이 보안 그룹을 수정하거나 자체 보안 그룹을 사용하는 경우, 각 데이터베이스 포트에서 최소한 발신이 원본과 대상 엔드포인트에 허용되어야 합니다.
각 데이터베이스 마이그레이션에서 사용할 수 있는 네트워크를 구성할 때에는 다음 구체적인 보안 사항을 고려해야 합니다.
-
하나의 VPC에 모든 데이터베이스 마이그레이션 구성 요소가 있는 구성 - 엔드포인트에서 사용되는 보안 그룹은 복제 인스턴스의 데이터베이스 포트에서 수신을 허용해야 합니다. 복제 인스턴스에서 사용하는 보안 그룹이 엔드포인트에 대한 수신이 있는지 확인하고, 그렇지 않으면 복제 인스턴스 액세스의 프라이빗 IP 주소를 허용하고 엔드포인트가 사용하는 보안 그룹에 규칙을 생성할 수 있습니다.
-
여러 VPC를 사용한 구성 - 복제 인스턴스에서 사용하는 보안 그룹에는 데이터베이스의 DB 포트와 VPC 범위에 대한 규칙이 있어야 합니다.
-
AWS Direct Connect 또는 VPN을 사용하여 VPC에 대한 네트워크 구성 -에서 온프레미스 VPC 로 트래픽을 터널링할 수 있는 VPN 터널입니다VPN. 이 구성에서 에는 특정 IP 주소 또는 범위로 향하는 트래픽을에서 온프레미스 로 트래픽을 브리지할 수 있는 호스트VPC로 전송하는 라우팅 규칙이 VPC 포함되어 있습니다VPN. 이 경우 NAT 호스트에는 복제 인스턴스의 프라이빗 IP 주소 또는 보안 그룹에서 NAT 인스턴스로의 트래픽을 허용해야 하는 자체 보안 그룹 설정이 포함됩니다.
-
인터넷을 사용한 네트워크와 VPC 연결 구성 - VPC 보안 그룹에는에 대해 대상이 아닌 트래픽을 인터넷 게이트웨이VPC로 보내는 라우팅 규칙이 포함되어야 합니다. 이 구성에서 엔드포인트와의 연결이 복제 인스턴스의 퍼블릭 IP 주소에서 오는 것으로 나타납니다.
-
ClassicLink를 사용하여 VPC에 없는 RDS DB 인스턴스를 VPC에 있는 DB 인스턴스와 연결하여 구성 - 소스 또는 대상 Amazon RDS DB 인스턴스가에 없고 복제 인스턴스가 VPC 위치한와 보안 그룹을 공유하지 VPC 않는 경우 프록시 서버를 설정하고를 사용하여 소스 및 대상 데이터베이스를 ClassicLink 연결할 수 있습니다.
-
소스 엔드포인트가 복제 인스턴스에서 VPC 사용하는 외부에 있으며 NAT 게이트웨이를 사용합니다. - 단일 탄력적 네트워크 인터페이스에 바인딩된 단일 탄력적 IP 주소를 사용하여 네트워크 주소 변환(NAT) 게이트웨이를 구성할 수 있습니다. 그런 다음이 탄력적 네트워크 인터페이스는 NAT 식별자(nat-#####)를 수신합니다. 에 인터넷 NAT 게이트웨이 대신 해당 게이트웨이에 대한 기본 경로가 VPC 포함된 경우 복제 인스턴스는 대신 인터넷 게이트웨이의 퍼블릭 IP 주소를 사용하여 데이터베이스 엔드포인트에 연결하는 것으로 보입니다. 이 경우 외부에서 데이터베이스 엔드포인트로 수신하려면 복제 인스턴스의 퍼블릭 IP NAT 주소 대신 주소에서 수신을 허용VPC해야 합니다.
-
VPC 엔진이 아닌의 엔드포인트 -RDBMS AWS DMS RDBMS는 엔진이 아닌의 VPC 엔드포인트를 지원하지 않습니다.
데이터베이스 암호 변경
대다수의 경우에 소스 또는 대상 엔드포인트에서 데이터베이스 암호를 쉽게 변경할 수 있습니다. 마이그레이션이나 복제 작업에 현재 사용하고 있는 엔드포인트의 데이터베이스 암호를 변경해야 하는 경우, 이 과정에는 추가 단계가 필요합니다. 다음 절차에서는 이 작업을 수행하는 방법을 보여 줍니다.
마이그레이션이나 복제 작업에 현재 사용하고 있는 엔드포인트의 데이터베이스 암호를 변경하려면
-
에 로그인 AWS Management Console 하고 https://console.aws.amazon.com/dms/v2/
에서 AWS DMS 콘솔을 엽니다. IAM 사용자로 로그인한 경우에 액세스할 수 있는 적절한 권한이 있는지 확인합니다 AWS DMS. 필요한 권한에 관한 자세한 내용은 IAM를 사용하는 데 필요한 권한 AWS DMS 단원을 참조하십시오.
-
탐색 창에서 데이터베이스 마이그레이션 작업을 선택합니다.
-
변경하려는 엔드포인트를 사용하는 작업을 선택하여 데이터베이스 암호를 변경한 후 [중지]를 선택합니다.
-
작업을 중지한 동안 데이터베이스에서 사용하는 기본 도구를 사용하여 엔드포인트의 데이터베이스 암호를 변경할 수 있습니다.
-
DMS 관리 콘솔로 돌아가 탐색 창에서 엔드포인트를 선택합니다.
-
암호를 변경할 데이터베이스의 엔드포인트를 선택하고 나서 [수정]을 선택합니다.
-
암호 상자에 새 암호를 입력하고 저장을 선택합니다.
-
탐색 창에서 데이터베이스 마이그레이션 작업을 선택합니다.
-
이전에 중지한 작업을 선택하고 시작/재개를 선택합니다.
-
작업을 계속할 방법에 따라 다시 시작 또는 재개를 선택하고 작업 시작을 선택합니다.