As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de um data center e de uma arquitetura de rede criados para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O modelo de responsabilidade compartilhada
-
Segurança da nuvem — AWS é responsável por proteger a infraestrutura que executa AWS os serviços na AWS nuvem. AWS também fornece serviços que você pode usar com segurança. Auditores de terceiros testam e verificam regularmente a eficácia da nossa segurança como parte dos programas de conformidade da AWS
. Para saber mais sobre os programas de conformidade que se aplicam AWS DMS, consulte AWS serviços no escopo por programa de conformidade . -
Segurança na nuvem — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, inclusive a confidencialidade dos dados, os requisitos da organização, as leis e as regulamentações vigentes.
Esta documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar AWS DMS. Os tópicos a seguir mostram como configurar para atender AWS DMS aos seus objetivos de segurança e conformidade. Você também aprenderá a usar outros AWS serviços que ajudam a monitorar e proteger seus AWS DMS recursos.
Você pode gerenciar o acesso aos seus AWS DMS recursos e bancos de dados (DBs). O método usado para gerenciar o acesso depende da tarefa de replicação que você precisa executar com AWS DMS:
-
Use as políticas AWS Identity and Access Management (IAM) para atribuir permissões que determinam quem tem permissão para gerenciar AWS DMS recursos. AWS DMS exige que você tenha as permissões apropriadas se fizer login como IAM usuário. Por exemplo, é possível usar o IAM para determinar quem tem permissão para criar, descrever, modificar e excluir instâncias de banco de dados e clusters, marcar recursos ou modificar grupos de segurança. Para obter mais informações sobre IAM como usá-lo e usá-lo com AWS DMS, consulteGerenciamento de identidade e acesso para AWS Database Migration Service.
-
AWS DMS usa Secure Sockets Layer (SSL) para suas conexões de endpoint com Transport Layer Security ()TLS. Para obter mais informações sobre como usarSSL/TLScom AWS DMS, consulteUsando SSL com AWS Database Migration Service.
-
AWS DMS usa chaves de criptografia AWS Key Management Service (AWS KMS) para criptografar o armazenamento usado pela sua instância de replicação e suas informações de conexão de endpoint. AWS DMS também usa chaves de AWS KMS criptografia para proteger seus dados de destino em repouso para endpoints de destino do Amazon S3 e do Amazon Redshift. Para obter mais informações, consulte Configurando uma chave de criptografia e especificando permissões AWS KMS.
-
AWS DMS sempre cria sua instância de replicação em uma nuvem privada virtual (VPC) baseada no VPC serviço da Amazon para o maior controle de acesso à rede possível. Para suas instâncias de banco de dados e clusters de instâncias, use o VPC mesmo que sua instância de replicação ou mais VPCs para corresponder a esse nível de controle de acesso. Cada Amazon VPC que você usa deve estar associada a um grupo de segurança que tenha regras que permitam que todo o tráfego em todas as portas saia (saia) doVPC. Essa abordagem permite a comunicação da instância de replicação com os endpoints dos bancos de dados de origem e de destino, desde que a entrada correta esteja ativada nesses endpoints.
Para obter mais informações sobre as configurações de rede disponíveis para AWS DMS, consulteConfigurar uma rede para uma instância de replicação. Para obter mais informações sobre como criar uma instância de banco de dados ou um cluster de instâncias em umVPC, consulte a documentação de segurança e gerenciamento de clusters para seus bancos de dados da Amazon na AWS documentação. Para obter mais informações sobre configurações de rede compatíveis com o AWS DMS , consulte Configurar uma rede para uma instância de replicação.
-
Para visualizar os registros de migração do banco de dados, você precisa das permissões apropriadas do Amazon CloudWatch Logs para a IAM função que está usando. Para obter mais informações sobre registro em log do AWS DMS, consulte Monitoramento de tarefas de replicação usando a Amazon CloudWatch.
Tópicos
- Proteção de dados em AWS Database Migration Service
- Gerenciamento de identidade e acesso para AWS Database Migration Service
- Validação de conformidade do AWS Database Migration Service
- Resiliência no AWS Database Migration Service
- Segurança da infraestrutura no AWS Database Migration Service
- Controle de acesso minucioso com o uso de nomes de recursos e tags
- Configurando uma chave de criptografia e especificando permissões AWS KMS
- Segurança de rede para AWS Database Migration Service
- Usando SSL com AWS Database Migration Service
- Alterar a senha do banco de dados
- Usando a autenticação Kerberos com AWS Database Migration Service
Configurando uma chave de criptografia e especificando permissões AWS KMS
AWS DMS criptografa o armazenamento usado por uma instância de replicação e as informações de conexão do endpoint. Para criptografar o armazenamento usado por uma instância de replicação, AWS DMS use uma chave AWS Key Management Service (AWS KMS) exclusiva da sua AWS conta. Você pode visualizar e gerenciar essa chave com AWS KMS. É possível usar a chave padrão do KMS na sua conta (aws/dms
) ou criar uma chave personalizada do KMS. Se você tiver uma chave de criptografia existente do KMS, também será possível usá-la para criptografar.
nota
Qualquer AWS KMS chave personalizada ou existente que você usa como chave de criptografia deve ser uma chave simétrica. AWS DMS não suporta o uso de chaves de criptografia assimétricas. Para obter mais informações sobre as chaves de criptografia simétricas e assimétricas, consulte https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html no Guia do desenvolvedor do AWS Key Management Service .
A KMS chave padrão (aws/dms
) é criada quando você inicia uma instância de replicação pela primeira vez, caso você não tenha selecionado uma KMS chave personalizada na seção Avançado da página Criar instância de replicação. Se você usar a KMS chave padrão, as únicas permissões que você precisa conceder à conta de IAM usuário que você está usando para a migração são kms:ListAliases
kms:DescribeKey
e. Para obter mais informações sobre o uso da chave padrão do KMS, consulte IAMpermissões necessárias para usar AWS DMS.
Para usar uma KMS chave personalizada, atribua permissões para a KMS chave personalizada usando uma das seguintes opções:
-
Adicione a conta de IAM usuário usada para a migração como administrador da chave ou usuário da chave AWS KMS personalizada. Isso garante que AWS KMS as permissões necessárias sejam concedidas à conta do IAM usuário. Essa ação é um acréscimo às IAM permissões que você concede à conta de IAM usuário para uso AWS DMS. Para obter mais informações sobre como conceder permissões a um usuário chave, consulte Permite que os principais usuários usem a KMS chave no Guia do AWS Key Management Service desenvolvedor.
-
Se você não quiser adicionar a conta de IAM usuário como administrador de chaves ou usuário-chave para sua KMS chave personalizada, adicione as seguintes permissões adicionais às IAM permissões que você deve conceder à conta de IAM usuário para usar AWS DMS.
{ "Effect": "Allow", "Action": [ "kms:ListAliases", "kms:DescribeKey", "kms:CreateGrant", "kms:Encrypt", "kms:ReEncrypt*" ], "Resource": "*" },
AWS DMS também funciona com aliases de KMS chave. Para obter mais informações sobre como criar suas próprias AWS KMS chaves e dar aos usuários acesso a uma KMS chave, consulte o Guia do AWS KMS desenvolvedor.
Se você não especificar um identificador de KMS chave, AWS DMS usará sua chave de criptografia padrão. AWS KMS cria a chave de criptografia padrão AWS DMS para sua AWS conta. Sua AWS conta tem uma chave de criptografia padrão diferente para cada AWS região.
Para gerenciar as AWS KMS chaves usadas para criptografar seus AWS DMS recursos, use o. AWS Key Management Service AWS KMS combina hardware e software seguros e de alta disponibilidade para fornecer um sistema de gerenciamento de chaves dimensionado para a nuvem. Usando AWS KMS, você pode criar chaves de criptografia e definir as políticas que controlam como essas chaves podem ser usadas.
Você pode encontrar AWS KMS no AWS Management Console
-
Faça login no console AWS Management Console e abra o AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms
. -
Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
-
Escolha uma das seguintes opções para trabalhar com AWS KMS teclas:
-
Para ver as chaves em sua conta que AWS cria e gerencia para você, no painel de navegação, escolha chaves AWS gerenciadas.
-
Para exibir as chaves em sua conta que você cria e gerencia, no painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente).
-
AWS KMS suporta AWS CloudTrail, para que você possa auditar o uso das chaves para verificar se as chaves estão sendo usadas adequadamente. Suas AWS KMS chaves podem ser usadas em combinação com AWS DMS AWS serviços compatíveis, como AmazonRDS, Amazon S3, Amazon Redshift e Amazon. EBS
Você também pode criar AWS KMS chaves personalizadas especificamente para criptografar dados de destino para os seguintes AWS DMS endpoints:
-
Amazon Redshift: para obter mais informações, consulte Criação e uso de AWS KMS chaves para criptografar dados de destino do Amazon Redshift.
-
Amazon S3: para obter mais informações, consulte Criação de AWS KMS chaves para criptografar objetos de destino do Amazon S3.
Depois de criar seus AWS DMS recursos com uma KMS chave, você não poderá alterar a chave de criptografia desses recursos. Certifique-se de determinar seus requisitos de chave de criptografia antes de criar seus AWS DMS recursos.
Segurança de rede para AWS Database Migration Service
Os requisitos de segurança para a rede que você cria ao usar AWS Database Migration Service dependem de como você configura a rede. As regras gerais de segurança de rede para AWS DMS são as seguintes:
-
A instância de replicação deve ter acesso aos endpoints de origem e de destino. O grupo de segurança da instância de replicação deve ter uma rede ACLs ou regras que permitam a saída da instância pela porta do banco de dados para os endpoints do banco de dados.
-
Os endpoints do banco de dados devem incluir regras de rede ACLs e grupo de segurança que permitam o acesso de entrada da instância de replicação. Você pode fazer isso usando o grupo de segurança da instância de replicação, o endereço IP privado, o endereço IP público ou o endereço público do NAT gateway, dependendo da sua configuração.
-
Se sua rede usa um VPN túnel, a EC2 instância da Amazon que atua como NAT gateway deve usar um grupo de segurança que tenha regras que permitam que a instância de replicação envie tráfego por ela.
Por padrão, o grupo VPC de segurança usado pela instância de AWS DMS replicação tem regras que permitem a saída para 0.0.0.0/0 em todas as portas. Se você modificá-lo ou usar o seu próprio, a saída deverá, no mínimo, ser permitida para os endpoints de origem e de destino nas respectivas portas de banco de dados.
As configurações de rede que podem ser usadas para migrar bancos de dados exigem considerações específicas de segurança:
-
Configuração com todos os componentes de migração de banco de dados em uma VPC: o grupo de segurança utilizado pelos endpoints deve permitir a entrada na porta do banco de dados da instância de replicação. Confirme se o security group usado pela instância de replicação tem entrada para os endpoints ou crie uma regra no security group usado pelos endpoints que permita ao endereço IP privado acessar a instância de replicação.
-
Configuração com vários VPCs— O grupo de segurança usado pela instância de replicação deve ter uma regra para o VPC intervalo e a porta do banco de dados no banco de dados.
-
Configuração de uma rede para uma VPC usando AWS Direct Connect ou uma VPN— um VPN túnel que permite que o tráfego passe de um VPC túnel para um localVPN. Nessa configuração, VPC inclui uma regra de roteamento que envia tráfego destinado a um endereço IP ou intervalo específico para um host que pode conectar o tráfego do local VPC para o local. VPN Nesse caso, o NAT host inclui suas próprias configurações de grupo de segurança que devem permitir o tráfego do endereço IP privado ou do grupo de segurança da instância de replicação para a NAT instância.
-
Configuração de uma rede para uma VPC utilizando a internet— O grupo VPC de segurança deve incluir regras de roteamento que enviem tráfego não destinado VPC ao gateway da Internet. Nessa configuração, a conexão ao endpoint parecerá vir do endereço IP público na instância de replicação.
-
Configuração com uma instância de banco de dados RDS fora de uma VPC para uma instância de banco de dados em uma VPC usando ClassicLink— Quando a RDS instância de banco de dados Amazon de origem ou de destino não está em um VPC e não compartilha um grupo de segurança com o VPC local onde a instância de replicação está localizada, você pode configurar um servidor proxy e usá-lo ClassicLink para conectar os bancos de dados de origem e de destino.
-
O endpoint de origem está fora do VPC usado pela instância de replicação e usa um NAT gateway — Você pode configurar um gateway de conversão de endereço de rede (NAT) usando um único endereço IP elástico vinculado a uma única interface de rede elástica. Essa interface de rede elástica então recebe um NAT identificador (nat-#####). Se VPC incluir uma rota padrão para esse NAT gateway em vez do gateway da Internet, a instância de replicação parece entrar em contato com o endpoint do banco de dados usando o endereço IP público do gateway da Internet. Nesse caso, a entrada no endpoint do banco de dados fora do VPC precisa permitir a entrada do NAT endereço em vez do endereço IP público da instância de replicação.
-
VPCendpoints para RDBMS não-motores — AWS DMS não suporta VPC endpoints para RDBMS não-motores.
Alterar a senha do banco de dados
Na maioria das situações, alterar a senha do banco de dados do endpoint de origem ou de destino é simples. Se for necessário alterar a senha do banco de dados de um endpoint usado atualmente em uma tarefa de migração ou de replicação, o processo precisará de algumas etapas adicionais. O procedimento a seguir mostra como fazer isso.
Como alterar a senha do banco de dados de um endpoint em uma tarefa de migração ou de replicação
-
Faça login no AWS Management Console e abra o AWS DMS console em https://console.aws.amazon.com/dms/v2/
. Se você estiver conectado como IAM usuário, verifique se você tem as permissões apropriadas para acessar AWS DMS. Para obter mais informações sobre as permissões necessárias, consulte IAMpermissões necessárias para usar AWS DMS.
-
No painel de navegação, escolha Tarefas de migração de banco de dados.
-
Escolha a tarefa que utiliza o endpoint cuja senha do banco de dados você deseja alterar e selecione Stop.
-
Enquanto a tarefa está interrompida, é possível alterar a senha do banco de dados do endpoint utilizando as ferramentas nativas usadas para trabalhar com o banco de dados.
-
Retorne ao console DMS de gerenciamento e escolha Endpoints no painel de navegação.
-
Escolha o endpoint do banco de dados cuja senha você modificou e selecione Modify.
-
Digite a nova senha na caixa Senha e selecione Modificar.
-
Escolha Tarefas de migração de banco de dados no painel de navegação.
-
Escolha a tarefa interrompida anteriormente e selecione Iniciar/retomar.
-
Selecione Reiniciar ou Retomar, dependendo de como você deseja continuar a tarefa, e escolha Iniciar tarefa.