Segurança da infraestrutura no AWS Database Migration Service

Por ser um serviço gerenciado, o AWS Database Migration Service é protegido pela segurança da rede global da AWS. Para obter informações sobre serviços de segurança da AWS e como a AWS protege a infraestrutura, consulte Segurança na Nuvem AWS. Para projetar o ambiente da AWS utilizando as práticas recomendadas de segurança de infraestrutura, consulte Proteção de infraestrutura em Pilar segurança: AWS Well‐Architected Framework.

Você usa chamadas de API publicadas pela AWS para acessar o AWS DMS por meio da rede. Os clientes devem oferecer suporte para:

Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.

Além disso, as solicitações devem ser assinadas utilizando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou é possível utilizar o AWS Security Token Service (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.

É possível chamar essas operações de API de qualquer local da rede. O AWS DMS também é compatível com as políticas de acesso baseadas em recursos, que podem especificar restrições sobre ações e recursos, por exemplo, com base no endereço IP de origem. Além disso, é possível utilizar políticas do AWS DMS para controlar o acesso de endpoints específicos da Amazon VPC ou específicos de nuvens privadas virtuais (VPCs). Efetivamente, isso isola o acesso à rede para um determinado recurso do AWS DMS somente da VPC específica dentro da rede da AWS. Para obter mais informações sobre como utilizar políticas de acesso baseadas em recursos com o AWS DMS, incluindo exemplos, consulte Controle de acesso minucioso com o uso de nomes de recursos e tags.

Para confinar a comunicação com o AWS DMS em uma única VPC, é possível criar um endpoint de interface da VPC que permita a conexão com o AWS DMS por meio do AWS PrivateLink. O AWS PrivateLink ajuda a garantir que qualquer chamada para o AWS DMS e os resultados associados permaneçam confinados à VPC específica para a qual o endpoint de interface foi criado. É possível especificar o URL desse endpoint de interface como uma opção em que cada comando do AWS DMS executado utiliza a AWS CLI ou um SDK. Isso ajuda a garantir que toda a comunicação com o AWS DMS permaneça confinada à VPC e, de outra forma, seja invisível para a internet pública.

Como criar um endpoint de interface para acessar o DMS em uma única VPC

Faça login no AWS Management Console e abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.
No painel de navegação, escolha Endpoints. Isso abre a página Criar endpoints, na qual é possível criar o endpoint da interface de uma VPC para o AWS DMS.
Escolha Serviços daAWS e pesquise e escolha um valor para Nome do serviço, nesse caso, AWS DMS, no formulário a seguir.
```
com.amazonaws.region.dms
```
Aqui, region especifica a região da AWS em que o AWS DMS é executado, por exemplo, com.amazonaws.us-west-2.dms.
Em VPC, escolha a VPC na qual criar o endpoint de interface, por exemplo, vpc-12abcd34.
Escolha um valor para a Zona de disponibilidade e para o ID de sub-rede. Esses valores devem indicar um local em que o endpoint do AWS DMS escolhido pode ser executado, por exemplo, us-west-2a (usw2-az1) e subnet-ab123cd4.
Escolha Habilitar nome DNS para criar o endpoint com um nome DNS. Esse nome DNS consiste no ID do endpoint (vpce-12abcd34efg567hij) hifenizado com uma string aleatória (ab12dc34). Eles são separados do nome do serviço por um ponto na ordem inversa, separados por pontos, com vpce adicionado (dms.us-west-2.vpce.amazonaws.com).

Um exemplo é vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com.
Em Grupo de segurança, escolha um grupo a ser utilizado para o endpoint.

Ao configurar o grupo de segurança, permita chamadas HTTPS de saída neles. Para obter mais informações, consulte Criar grupos de segurança no Guia do usuário da Amazon VPC.

Escolha Acesso total ou um valor personalizado para Política. Por exemplo, é possível escolher uma política personalizada semelhante à seguinte que restringe o acesso do endpoint a determinadas ações e recursos.


{
  "Statement": [
    {
      "Action": "dms:*",
      "Effect": "Allow",
      "Resource": "*",
      "Principal": "*"
    },
    {
      "Action": [
        "dms:ModifyReplicationInstance",
        "dms:DeleteReplicationInstance"
      ],
      "Effect": "Deny",
      "Resource": "arn:aws:dms:us-west-2:<account-id>:rep:<replication-instance-id>",
      "Principal": "*"
    }
  ]
}

Aqui, o exemplo de política permite qualquer chamada da API do AWS DMS, exceto para excluir ou modificar uma instância de replicação específica.

Agora é possível especificar um URL formado utilizando o nome DNS criado na etapa 6 como uma opção. Especifique isso para cada comando da CLI do AWS DMS ou operação da API para acessar a instância de serviço utilizando o endpoint de interface criado. Por exemplo, é possível executar o comando DescribeEndpoints da CLI do DMS nessa VPC, conforme mostrado a seguir.


$ aws dms describe-endpoints --endpoint-url https://vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com

Se você ativar a opção de DNS privado, não será necessário especificar o URL do endpoint na solicitação.

Para obter mais informações sobre como criar e utilizar endpoints de interface da VPC (incluindo ativar a opção DNS privado), consulte Endpoints de interface da VPC (PrivateLink da AWS) no Guia do usuário da Amazon VPC.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Resiliência

Controle de acesso refinado