本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

AWS Database Migration Service 控件

这些控制措施与 AWS DMS 资源有关。

这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 按地区划分的控件可用性。

[DMS.1] Database Migration Service 复制实例不应公开

相关要求：PCI DSS v3.2.1/1.2.1,PCI DSS v3.2.1/1.3.1,PCI DSS v3.2.1/1.3.4,PCI DSS v3.2.1/1.3.2,PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

类别：保护 > 安全网络配置

严重性：严重

资源类型：AWS::DMS::ReplicationInstance

AWS Config 规则：dms-replication-not-public

计划类型：定期

参数：无

此控件检查 AWS DMS 复制实例是否为公共实例。为此，它会检查 PubliclyAccessible 字段的值。

私有复制实例具有私有 IP 地址，您无法在复制网络外部访问该地址。当源数据库和目标数据库位于同一网络时，复制实例应具有私有 IP 地址。还必须使用 VPN 或 VPC 对等连接将网络连接到复制实例的 VPC。 AWS Direct Connect要了解有关公有和私有复制实例的更多信息，请参阅 AWS Database Migration Service 用户指南中的公有和私有复制实例。

您还应确保只有经过授权的用户才能访问您的 AWS DMS 实例配置。为此，请限制用户修改 AWS DMS 设置和资源的 IAM 权限。

修复

创建 DMS 复制实例后，您无法变更其公共访问设置。要变更公共访问设置，请删除您当前的实例，然后重新创建实例。不要选择公开访问选项。

[DMS.2] 应标记 DMS 证书

类别：识别 > 清单 > 标记

严重性：低

资源类型：AWS::DMS::Certificate

AWS Config 规则：tagged-dms-certificate（自定义 Security Hub 规则）

计划类型：已触发变更

参数：

此控件检查 AWS DMS 证书是否具有参数中定义的特定密钥的标签requiredTagKeys。如果证书没有任何标签密钥或者没有参数中指定的所有密钥，则控制失败requiredTagKeys。如果requiredTagKeys未提供该参数，则该控件仅检查标签密钥是否存在，如果证书未使用任何密钥进行标记，则该控件将失败。系统标签会自动应用并以其开头aws:，但会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时，可以实现基于属性的访问控制 (ABAC) 作为一种授权策略，该策略根据标签定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为您的 IAM 委托人创建单个 ABAC 策略或一组单独的策略。您可以将这些 ABAC 策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息，请参阅 ABAC 有什么用 AWS？ 在 IAM 用户指南中。

修复

要向 DMS 证书添加标签，请参阅《AWS Database Migration Service 用户指南》 AWS Database Migration Service中的为资源添加标签。

[DMS.3] 应标记 DMS 活动订阅

类别：识别 > 清单 > 标记

严重性：低

资源类型：AWS::DMS::EventSubscription

AWS Config 规则：tagged-dms-eventsubscription（自定义 Security Hub 规则）

计划类型：已触发变更

参数：

此控件检查 AWS DMS 事件订阅是否具有参数中定义的特定密钥的标签requiredTagKeys。如果事件订阅没有任何标签密钥或者没有参数中指定的所有密钥，则控件将失败requiredTagKeys。如果requiredTagKeys未提供该参数，则该控件仅检查标签密钥是否存在，如果事件订阅未使用任何密钥进行标记，则该控件将失败。系统标签会自动应用并以其开头aws:，但会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时，可以实现基于属性的访问控制 (ABAC) 作为一种授权策略，该策略根据标签定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为您的 IAM 委托人创建单个 ABAC 策略或一组单独的策略。您可以将这些 ABAC 策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息，请参阅 ABAC 有什么用 AWS？ 在 IAM 用户指南中。

修复

要向 DMS 事件订阅添加标签，请参阅AWS Database Migration Service 用户指南 AWS Database Migration Service中的标记资源。

[DMS.4] 应标记 DMS 复制实例

类别：识别 > 清单 > 标记

严重性：低

资源类型：AWS::DMS::ReplicationInstance

AWS Config 规则：tagged-dms-replicationinstance（自定义 Security Hub 规则）

计划类型：已触发变更

参数：

此控件检查 AWS DMS 复制实例是否具有参数中定义的特定密钥的标签requiredTagKeys。如果复制实例没有任何标签密钥或者没有参数中指定的所有密钥，则控制失败requiredTagKeys。如果requiredTagKeys未提供该参数，则该控件仅检查标签密钥是否存在，如果复制实例未使用任何密钥进行标记，则该控件将失败。系统标签会自动应用并以其开头aws:，但会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时，可以实现基于属性的访问控制 (ABAC) 作为一种授权策略，该策略根据标签定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为您的 IAM 委托人创建单个 ABAC 策略或一组单独的策略。您可以将这些 ABAC 策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息，请参阅 ABAC 有什么用 AWS？ 在 IAM 用户指南中。

修复

要向 DMS 复制实例添加标签，请参阅AWS Database Migration Service 用户指南AWS Database Migration Service中的标记资源。

[DMS.5] 应标记 DMS 复制子网组

类别：识别 > 清单 > 标记

严重性：低

资源类型：AWS::DMS::ReplicationSubnetGroup

AWS Config 规则：tagged-dms-replicationsubnetgroup（自定义 Security Hub 规则）

计划类型：已触发变更

参数：

此控件检查 AWS DMS 复制子网组是否具有参数中定义的特定密钥的标签requiredTagKeys。如果复制子网组没有任何标签密钥或者没有参数中指定的所有密钥，则控制失败requiredTagKeys。如果requiredTagKeys未提供该参数，则该控件仅检查标签密钥是否存在，如果复制子网组未使用任何密钥进行标记，则该控件将失败。系统标签会自动应用并以其开头aws:，但会被忽略。

标签是您分配给 AWS 资源的标签，它由密钥和可选值组成。您可以创建标签，按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时，可以实现基于属性的访问控制 (ABAC) 作为一种授权策略，该策略根据标签定义权限。您可以向 IAM 实体（用户或角色）和 AWS 资源附加标签。您可以为您的 IAM 委托人创建单个 ABAC 策略或一组单独的策略。您可以将这些 ABAC 策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息，请参阅 ABAC 有什么用 AWS？ 在 IAM 用户指南中。

修复

要向 DMS 复制子网组添加标签，请参阅AWS Database Migration Service 用户指南 AWS Database Migration Service中的标记资源。

[DMS.6] DMS 复制实例应启用自动次要版本升级

相关要求：NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)。

类别：识别 > 漏洞、补丁和版本管理

严重性：中

资源类型：AWS::DMS::ReplicationInstance

AWS Config 规则：dms-auto-minor-version-upgrade-check

计划类型：已触发变更

参数：无

此控件检查是否为 AWS DMS 复制实例启用了自动次要版本升级。如果未为 DMS 复制实例启用自动次要版本升级，则控制失败。

DMS 为每个支持的复制引擎提供自动次要版本升级，以便您可以保留复制实例 up-to-date。次要版本可以引入新的软件功能、错误修复、安全补丁和性能改进。通过在 DMS 复制实例上启用自动次要版本升级，可以在维护时段内自动应用次要升级，或者如果选择了“立即应用变更”选项，则会立即应用次要升级。

修复

要在 DMS 复制实例上启用自动次要版本升级，请参阅 AWS Database Migration Service 用户指南中的修改复制实例。

[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录

相关要求：NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)。

类别：识别 > 日志记录

严重性：中

资源类型：AWS::DMS::ReplicationTask

AWS Config 规则：dms-replication-task-targetdb-logging

计划类型：已触发变更

参数：无

此控件检查是否启用了日志记录，并且 DMS 复制任务 TARGET_APPLY 和 TARGET_LOAD 的最低严重级别为 LOGGER_SEVERITY_DEFAULT。如果未为这些任务启用日志记录，或者最低严重性级别低于 LOGGER_SEVERITY_DEFAULT，则控制失败。

在迁移过程中，DMS 使用 Amazon CloudWatch 来记录信息。使用日志记录任务设置，您可以指定记录哪些组件活动以及记录多少信息。您应该为以下任务指定日志记录：

日志记录通过启用监控、故障排除、审核、性能分析、错误检测和恢复以及历史分析和报告，在 DMS 复制任务中发挥着关键作用。日志记录有助于确保数据库之间数据的成功复制，同时保持数据完整性并符合法规要求。在故障排除期间，这些组件很少需要除了 DEFAULT 以外的其他日志级别。除非特别要求由 AWS Support变更这些组件的日志级别，否则我们建议保留这些组件的日志级别 DEFAULT。最低日志级别为 DEFAULT 可确保将信息性消息、警告和错误消息写入日志。此控件检查上述复制任务的日志记录级别是否至少为以下级别之一：LOGGER_SEVERITY_DEFAULT、LOGGER_SEVERITY_DEBUG 或 LOGGER_SEVERITY_DETAILED_DEBUG。

修复

要启用目标数据库 DMS 复制任务的日志记录，请参阅《AWS Database Migration Service 用户指南》中的查看和管理 AWS DMS 任务日志。

[DMS.8] 源数据库的 DMS 复制任务应启用日志记录

相关要求：NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)。

类别：识别 > 日志记录

严重性：中

资源类型：AWS::DMS::ReplicationTask

AWS Config 规则：dms-replication-task-sourcedb-logging

计划类型：已触发变更

参数：无

此控件检查是否启用了日志记录，并且 DMS 复制任务 SOURCE_CAPTURE 和 SOURCE_UNLOAD 的最低严重级别为 LOGGER_SEVERITY_DEFAULT。如果未为这些任务启用日志记录，或者最低严重性级别低于 LOGGER_SEVERITY_DEFAULT，则控制失败。

在迁移过程中，DMS 使用 Amazon CloudWatch 来记录信息。使用日志记录任务设置，您可以指定记录哪些组件活动以及记录多少信息。您应该为以下任务指定日志记录：

日志记录通过启用监控、故障排除、审核、性能分析、错误检测和恢复以及历史分析和报告，在 DMS 复制任务中发挥着关键作用。日志记录有助于确保数据库之间数据的成功复制，同时保持数据完整性并符合法规要求。在故障排除期间，这些组件很少需要除了 DEFAULT 以外的其他日志级别。除非特别要求由 AWS Support变更这些组件的日志级别，否则我们建议保留这些组件的日志级别 DEFAULT。最低日志级别为 DEFAULT 可确保将信息性消息、警告和错误消息写入日志。此控件检查上述复制任务的日志记录级别是否至少为以下级别之一：LOGGER_SEVERITY_DEFAULT、LOGGER_SEVERITY_DEBUG 或 LOGGER_SEVERITY_DETAILED_DEBUG。

修复

要启用源数据库 DMS 复制任务的日志记录，请参阅《AWS Database Migration Service 用户指南》中的查看和管理 AWS DMS 任务日志。

[DMS.9] DMS 端点应使用 SSL

相关要求：NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)。

类别：保护 > 数据保护 > 加密 data-in-transit

严重性：中

资源类型：AWS::DMS::Endpoint

AWS Config 规则：dms-endpoint-ssl-configured

计划类型：已触发变更

参数：无

此控件检查 AWS DMS 端点是否使用 SSL 连接。如果端点不使用 SSL，则控制失败。

SSL/TLS 连接通过加密 DMS 复制实例与数据库之间的连接来提供一层安全性。使用证书通过验证是否与预期数据库建立连接来提供额外的安全保护。它通过检查自动安装在您预置的所有数据库实例上的服务器证书来实现这一点。通过在 DMS 端点上启用 SSL 连接，您可以在迁移过程中保护数据的机密性。

修复

要向新的或现有的 DMS 端点添加 SSL 连接，请参阅 AWS Database Migration Service 用户指南中的将 SSL 与 AWS Database Migration Service配合使用。

[DMS.10] Neptune 数据库的 DMS 终端节点应启用 IAM 授权

相关要求：nist.800-53.r5 AC-2、nist.800-53.r5 AC-3、nist.800-53.r5 AC-6、nist.800-53.r5 AC-17、nist.800-53.r5 IA-2、nist.800-53.r5 IA-5

类别：保护 > 安全访问管理 > 无密码身份验证

严重性：中

资源类型：AWS::DMS::Endpoint

AWS Config 规则：dms-neptune-iam-authorization-enabled

计划类型：已触发变更

参数：无

此控件检查 Amazon Neptune 数据库的 AWS DMS 终端节点是否配置了 IAM 授权。如果 DMS 终端节点未启用 IAM 授权，则控制失败。

AWS Identity and Access Management (IAM) 在各个方面提供精细的访问控制。 AWS通过 IAM，您可以指定谁可以在哪些条件下访问哪些服务和资源。借助 IAM 策略，您可以管理员工和系统的权限，以确保权限最低。通过在 Neptune 数据库的 AWS DMS 终端节点上启用 IAM 授权，您可以使用参数指定的服务角色向 IAM 用户授予授权权限。ServiceAccessRoleARN

修复

要在海王星数据库的 DMS 终端节点上启用 IAM 授权，请参阅用户指南中的使用亚马逊 Neptune 作为目标 AWS Database Migration Service。AWS Database Migration Service

[DMS.11] MongoDB 的 DMS 端点应启用身份验证机制

相关要求：nist.800-53.r5 AC-3、nist.800-53.r5 AC-6、nist.800-53.r5 IA-2、nist.800-53.r5 IA-2、nist.800-53.r5 IA-5

类别：保护 > 安全访问管理 > 无密码身份验证

严重性：中

资源类型：AWS::DMS::Endpoint

AWS Config 规则：dms-mongo-db-authentication-enabled

计划类型：已触发变更

参数：无

此控件检查 MongoDB 的 AWS DMS 端点是否配置了身份验证机制。如果未为端点设置身份验证类型，则控制失败。

AWS Database Migration Service 支持 MongoDB 的两种身份验证方法：MongoDB 版本 2.x 的 MONGODB-CR 和 MongoDB 版本 3.x 或更高版本的 SCRAM-SHA-1。如果用户想使用密码访问数据库，则使用这些身份验证方法对MongoDB密码进行身份验证和加密。 AWS DMS 端点身份验证可确保只有经过授权的用户才能访问和修改数据库之间迁移的数据。如果没有适当的身份验证，未经授权的用户可能能够在迁移过程中访问敏感数据。这可能导致数据泄露、数据丢失或其他安全事件。

修复

要在 DMS 端点上为 MongoDB 启用身份验证机制，请参阅《用户指南》中的 “使用 MongoDB 作为来源”。 AWS DMSAWS Database Migration Service

[DMS.12] 适用于 Redis 的 DMS 终端节点应启用 TLS

相关要求：nist.800-53.r5 SC-8、nist.800-53.r5 SC-13

类别：保护 > 数据保护 > 加密 data-in-transit

严重性：中

资源类型：AWS::DMS::Endpoint

AWS Config 规则：dms-redis-tls-enabled

计划类型：已触发变更

参数：无

此控件检查 Redis 的 AWS DMS 终端节点是否配置了 TLS 连接。如果端点未启用 TLS，则控制失败。

当数据通过互联网在应用程序或数据库之间发送时，TLS 可提供 end-to-end 安全性。当您为 DMS 终端节点配置 SSL 加密时，它会在迁移过程中启用源数据库和目标数据库之间的加密通信。这有助于防止恶意行为者窃听和拦截敏感数据。如果没有 SSL 加密，可能会访问敏感数据，从而导致数据泄露、数据丢失或其他安全事件。

修复

要在 Redis 的 DMS 终端节点上启用 TLS 连接，请参阅用户指南 AWS Database Migration Service中的使用 Redis 作为目标。AWS Database Migration Service