AWS Database Migration Service에서 인프라 보안

관리형 서비스로서 AWS 글로벌 네트워크 보안으로 AWS Database Migration Service 보호됩니다. AWS 보안 서비스 및 인프라 AWS 보호 방법에 대한 자세한 내용은 AWS 클라우드 보안을 참조하십시오. 인프라 보안 모범 사례를 사용하여 AWS 환경을 설계하려면 Security Pillar AWS Well‐Architected Framework의 인프라 보호를 참조하십시오.

AWS 게시된 API 호출을 사용하여 네트워크를 통해 AWS DMS 액세스합니다. 고객은 다음을 지원해야 합니다.

전송 계층 보안 (TLS). TLS1.2가 필요하고 TLS 1.3을 권장합니다.
(임시 디피-헬만) 또는 (타원 곡선 임시 디피-헬만PFS) 와 같이 완벽한 순방향 기밀성 DHE () 을 갖춘 암호 제품군. ECDHE Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다.

또한 액세스 키 ID와 보안 주체와 연결된 비밀 액세스 키를 사용하여 요청에 서명해야 합니다. IAM 또는 AWS Security Token Service(AWS STS)를 사용하여 임시 보안 인증을 생성하여 요청에 서명할 수 있습니다.

모든 네트워크 위치에서 이러한 API 작업을 호출할 수 있습니다. AWS DMS 또한 리소스 기반 액세스 정책을 지원하므로 예를 들어 소스 IP 주소를 기반으로 작업 및 리소스에 대한 제한을 지정할 수 있습니다. 또한 AWS DMS 정책을 사용하여 특정 Amazon VPC 엔드포인트 또는 특정 가상 사설 클라우드 (VPCs) 에서의 액세스를 제어할 수 있습니다. 이를 통해 특정 리소스에 대한 네트워크 액세스를 네트워크 VPC 내의 특정 AWS DMS 리소스로부터 효과적으로 분리할 수 있습니다. AWS 예를 포함하여 리소스 기반 액세스 정책을 사용하는 방법에 대한 자세한 내용은 을 AWS DMS참조하십시오. 리소스 이름 및 태그를 사용하여 세분화된 액세스 제어

통신을 단일 AWS DMS VPC 내로만 제한하려면 다음을 통해 연결할 수 있는 VPC 인터페이스 엔드포인트를 만들 수 있습니다. AWS DMS AWS PrivateLink AWS PrivateLink 모든 호출 AWS DMS 및 관련 결과가 인터페이스 엔드포인트가 생성된 특정 VPC 항목에만 국한되도록 하는 데 도움이 됩니다. 그런 다음 AWS CLI 또는 an을 URL 사용하여 실행하는 모든 AWS DMS 명령에 이 인터페이스 엔드포인트를 옵션으로 지정할 수 있습니다. SDK 이렇게 하면 전체 통신이 공용 인터넷에만 국한되고 그 외에는 공용 VPC 인터넷에서는 보이지 않게 할 수 있습니다. AWS DMS

한 번에 액세스할 DMS 수 있는 인터페이스 엔드포인트를 만들려면 VPC

에서 Amazon VPC 콘솔에 AWS Management Console 로그인하고 엽니다 https://console.aws.amazon.com/vpc/.
탐색 창에서 엔드포인트를 선택합니다. 그러면 엔드포인트 생성 페이지가 열리고, 여기서 ~로 인터페이스 엔드포인트를 생성할 수 있습니다. VPC AWS DMS
AWS 서비스를 선택한 다음 서비스 이름 값을 검색하여 선택합니다 (이 AWS DMS 경우 다음 형식).
```
com.amazonaws.region.dms
```
여기서는 region 예를 들어, AWS DMS 실행할 AWS 지역을 지정합니다com.amazonaws.us-west-2.dms.
예를 들어 인터페이스 엔드포인트를 생성할 때 사용할 VPC 를 선택합니다vpc-12abcd34. VPC
가용 영역 및 서브넷 ID에서 값을 하나씩 선택합니다. 이 값은 선택한 AWS DMS 엔드포인트가 실행될 수 있는 위치를 나타내야 합니다(예: us-west-2a (usw2-az1) 및 subnet-ab123cd4).
이름을 사용하여 엔드포인트를 생성하려면 Enable DNS name (DNS이름 활성화) 을 선택합니다. 이 DNS 이름은 엔드포인트 ID (vpce-12abcd34efg567hij) 에 임의의 문자열 (ab12dc34) 로 하이픈을 넣은 것으로 구성됩니다. 이는 점을 통해 역순으로 서비스 이름과 구분되며 vpce(dms.us-west-2.vpce.amazonaws.com)가 추가된 것이 특징입니다.

예를 들면, vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com입니다.
보안 그룹의 경우, 엔드포인트에 사용할 그룹을 선택합니다.

보안 그룹을 설정할 때는 해당 그룹 내에서 아웃바운드 HTTPS 통화를 허용해야 합니다. 자세한 내용은 Amazon VPC 사용 설명서의 보안 그룹 생성을 참조하십시오.

정책에서 전체 액세스 또는 사용자 지정 값을 선택합니다. 예를 들어, 다음과 비슷한 사용자 지정 정책을 선택하여 특정 작업 및 리소스에 대한 엔드포인트의 액세스를 제한할 수 있습니다.


{
  "Statement": [
    {
      "Action": "dms:*",
      "Effect": "Allow",
      "Resource": "*",
      "Principal": "*"
    },
    {
      "Action": [
        "dms:ModifyReplicationInstance",
        "dms:DeleteReplicationInstance"
      ],
      "Effect": "Deny",
      "Resource": "arn:aws:dms:us-west-2:<account-id>:rep:<replication-instance-id>",
      "Principal": "*"
    }
  ]
}

이 샘플 정책은 특정 복제 인스턴스의 삭제 또는 수정을 제외한 모든 AWS DMS API 호출을 허용합니다.

이제 6단계에서 만든 DNS 이름을 옵션으로 사용하여 URL 폼을 지정할 수 있습니다. 생성된 인터페이스 엔드포인트를 사용하여 서비스 인스턴스에 액세스하기 위한 모든 AWS DMS CLI 명령 또는 API 작업에 대해 이를 지정합니다. 예를 들어, 다음과 VPC 같이 여기에서 DMS CLI 명령을 DescribeEndpoints 실행할 수 있습니다.


$ aws dms describe-endpoints --endpoint-url https://vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com

private DNS 옵션을 활성화하면 URL 요청에서 엔드포인트를 지정하지 않아도 됩니다.

VPC인터페이스 엔드포인트 생성 및 사용 (프라이빗 DNS 옵션 활성화 포함) 에 대한 자세한 내용은 Amazon VPC User Guide의 인터페이스 VPC 엔드포인트 (AWS PrivateLink) 를 참조하십시오.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

복원성

세분화된 액세스 제어