本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 中的資料保護 AWS Database Migration Service
## 資料加密
您可以為受支援 AWS DMS 目標端點的資料資源啟用加密。 AWS DMS 也會加密 AWS DMS 與 及其 AWS DMS 所有來源和目標端點之間的連線。此外,您可以管理 AWS DMS 及其支援的目標端點用來啟用此加密的金鑰。
**Topics**
+ [靜態加密](#CHAP_Security.DataProtection.DataEncryption.EncryptionAtRest)
+ [傳輸中加密](#CHAP_Security.DataProtection.DataEncryption.EncryptionInTransit)
+ [金鑰管理](#CHAP_Security.DataProtection.DataEncryption.KeyManagement)
### 靜態加密
AWS DMS 支援靜態加密,可讓您指定要在複製到支援 AWS DMS 的目標端點之前,用來將複寫資料推送至 Amazon S3 的伺服器端加密模式。您可以設定端點的 `encryptionMode` 額外連線屬性,以指定此加密模式。如果此`encryptionMode`設定指定 KMS 金鑰加密模式,您也可以特別建立自訂 AWS KMS 金鑰,以加密下列目標端點 AWS DMS 的目標資料:
+ Amazon Redshift — 如需設定 `encryptionMode` 的相關資訊,請參閱[使用 Amazon Redshift 做為 目標時的端點設定 AWS DMS](CHAP_Target.Redshift.md#CHAP_Target.Redshift.ConnectionAttrib)。如需建立自訂 AWS KMS 加密金鑰的詳細資訊,請參閱 [建立和使用 AWS KMS 金鑰來加密 Amazon Redshift 目標資料](CHAP_Target.Redshift.md#CHAP_Target.Redshift.KMSKeys)。
+ Amazon S3 – 如需設定 `encryptionMode` 的詳細資訊,請參閱[使用 Amazon S3 做為 目標時的端點設定 AWS DMS](CHAP_Target.S3.md#CHAP_Target.S3.Configuring)。如需建立自訂 AWS KMS 加密金鑰的詳細資訊,請參閱 [建立 AWS KMS 金鑰來加密 Amazon S3 目標物件](CHAP_Target.S3.md#CHAP_Target.S3.KMSKeys)。
### 傳輸中加密
AWS DMS 透過確保其複寫的資料從來源端點安全地移至目標端點,來支援傳輸中加密。這包括加密複寫執行個體上的 S3 儲存貯體,當資料透過複寫管線移動時,複寫任務會用於中繼儲存體。若要加密與來源和目標端點的任務連線, AWS DMS 請使用 Secure Socket Layer (SSL) 或 Transport Layer Security (TLS)。透過加密兩個端點的連線, AWS DMS 可確保您的資料在從來源端點移動到複寫任務,以及從任務移動到目標端點時是安全的。如需搭配 使用 SSL/TLS 的詳細資訊 AWS DMS,請參閱 [搭配 使用 SSL AWS Database Migration Service](CHAP_Security.SSL.md)
AWS DMS 同時支援預設和自訂金鑰,以加密中繼複寫儲存和連線資訊。您可以使用 AWS KMS來管理這些金鑰。如需詳細資訊,請參閱[設定加密金鑰並指定 AWS KMS 許可](CHAP_Security.md#CHAP_Security.EncryptionKey)。
### 金鑰管理
AWS DMS 支援預設或自訂金鑰,以加密特定目標端點的複寫儲存、連線資訊和目標資料儲存。您可以使用 來管理這些金鑰 AWS KMS。如需詳細資訊,請參閱[設定加密金鑰並指定 AWS KMS 許可](CHAP_Security.md#CHAP_Security.EncryptionKey)。
## 網際網路流量隱私權
無論是在內部部署執行,還是做為雲端 AWS 服務的一部分,連線都會在相同 AWS 區域中的 AWS DMS 和來源和目標端點之間提供保護。(至少一個端點、來源或目標,必須做為雲端 AWS 服務的一部分執行。) 如果 VPCs 都位於相同 AWS 區域,則無論這些元件共用相同的虛擬私有雲端 (VPC) 或存在於不同的 VPCs中,都會套用此保護。如需 支援之網路組態的詳細資訊 AWS DMS,請參閱 [設定複寫執行個體的網路](CHAP_ReplicationInstance.VPC.md)。如需使用這些網路組態時安全性考量的詳細資訊,請參閱 [的網路安全 AWS Database Migration Service](CHAP_Security.md#CHAP_Security.Network)。
## DMS Fleet Advisor 中的資料保護
DMS Fleet Advisor 會收集並分析資料庫中繼資料,以判斷遷移目標的正確大小。DMS Fleet Advisor 不會存取資料表中的資料,也不會傳輸該資料。此外,DMS Fleet Advisor 不會追蹤資料庫功能的使用情況,也不會存取使用情況的統計資料。
當您建立 DMS Fleet Advisor 用來處理資料庫的資料庫使用者時,您可以控制對資料庫的存取。您可以將必要的權限授予這些使用者。若要使用 DMS Fleet Advisor,您可以授予資料庫使用者讀取許可。DMS Fleet Advisor 不會修改資料庫,也不需要寫入許可。如需詳細資訊,請參閱[建立 AWS DMS Fleet Advisor 的資料庫使用者](fa-database-users.md)。
您可以在資料庫中使用資料加密。 AWS DMS 也會加密 DMS Fleet Advisor 及其資料收集器內的連線。
DMS 資料收集器使用資料保護應用程式設計介面 (DPAPI),來加密、保護和儲存客戶環境和資料庫憑證的相關資訊。DMS Fleet Advisor 將此加密資料儲存在 DMS 資料收集器運作所在的伺服器檔案中。DMS Fleet Advisor 不會從此伺服器傳輸此資料。如需 DPAPI 的相關資訊,請參閱[如何:使用資料保護](https://learn.microsoft.com/en-us/dotnet/standard/security/how-to-use-data-protection)。
安裝 DMS 資料收集器之後,您就可以檢視此應用程式執行以收集指標的所有查詢。您可以在離線模式中執行 DMS 資料收集器,然後在伺服器上檢閱收集的資料。此外,您可以檢閱 Amazon S3 儲存貯體中收集的資料。如需詳細資訊,請參閱[DMS 資料收集器的運作方式為何?](fa-collecting.md#fa-data-collectors-how-it-works)。
# 選擇不使用您的資料來改善 中的服務 AWS Database Migration Service
您可以選擇不使用您的資料來開發和改進, AWS DMS 方法是使用 AWS Organizations 選擇不使用政策。即使 目前 AWS DMS 未收集任何此類資料,您也可以選擇不接收。如需詳細資訊,請參閱 *AWS Organizations 使用者指南*中的 [AI 服務選擇退出政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html)。
目前, AWS Database Migration Service (AWS DMS) 不會代您收集其處理的任何資料。為了開發和改善 DMS 和其他 AWS 服務的功能,DMS 可能會在未來收集此類資料。當 DMS 設定為收集任何資料時,我們將更新此文件頁面。您可以隨時選擇退出。
**注意**
若要使用選擇退出政策, AWS 您的帳戶必須由 AWS Organizations 集中管理。如果您尚未為 AWS 帳戶建立組織,請參閱[《 Organizations 使用者指南》中的使用 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) 管理組織。 *AWS *
選擇退出具有以下影響:
+ AWS DMS 在您選擇退出 (如果有的話) 之前, 會刪除為了改善服務而收集和存放的資料。
+ 在您選擇退出之後,就 AWS DMS 不會再收集或儲存這些資料,以用於改善服務。
# 中的跨區域推論 AWS Database Migration Service
某些 AWS Database Migration Service 功能會使用跨區域 AI 推論,在您的地理位置 AWS 區域 內自動選取最佳選項,以處理推論請求。這種方法最大限度地提高可用的運算資源和模型可用性,旨在提供高品質的客戶體驗。利用跨區域推論可實現以下目標:
+ 存取最先進的 AI 功能
+ 在高需求期間提高輸送量和彈性
跨區域 AI 推論請求會保留在 AWS 區域 與主要 屬於相同地理位置的 內 AWS 區域。例如,從美國主要 AWS 區域 提出的請求會保留在美國 AWS 區域 的 內。您的資料只會儲存在您的主要 中 AWS 區域。所有資料都會透過 Amazon 的安全網路進行加密傳輸。
**注意**
Amazon CloudWatch 和 AWS CloudTrail 日誌不會指定發生 AI 推論 AWS 區域 的 。
## DMS 結構描述轉換中的跨區域推論
當您在 DMS 結構描述轉換中使用生成式 AI 功能時,匿名程式碼片段和相關結構描述中繼資料可能會傳送至相同地理位置 AWS 區域 中的其他 以進行 AI 處理。您的生產資料會保留在您的主要 AWS 區域 資料中,絕不會存取或傳輸。
**重要**
當您在 DMS 結構描述轉換中使用生成式 AI 功能時,一律會啟用跨區域推論。若要讓結構描述轉換處理常駐在您的主要 中 AWS 區域,請使用結構描述轉換搭配已停用的生成式 AI 功能。
DMS 結構描述轉換中的生成式 AI 功能目前可在有限數量的區域中使用。下表說明根據您的主要伺服器, AWS 區域 您的請求可能路由到什麼 AWS 區域。
| 主要 AWS 區域 | 推論 AWS 區域 |
| --- | --- |
| 亞太地區 (東京) (ap-northeast-1) | 亞太地區 (東京) (ap-northeast-1) 亞太地區 (大阪) (ap-northeast-3) |
| 亞太地區 (大阪) (ap-northeast-3) | 亞太地區 (東京) (ap-northeast-1) 亞太地區 (大阪) (ap-northeast-3) |
| 亞太地區 (雪梨) (ap-southeast-2) | 亞太地區 (雪梨) (ap-southeast-2) 亞太區域 (墨爾本) (ap-southeast-4) |
| 加拿大 (中部) (ca-central-1) | 加拿大 (中部) (ca-central-1) 美國東部 (維吉尼亞北部) (us-east-1) 美國東部 (俄亥俄) (us-east-2) 美國西部 (奧勒岡) (us-west-2) |
| 歐洲 (法蘭克福) (eu-central-1) | 歐洲 (法蘭克福) (eu-central-1) 歐洲 (斯德哥爾摩) (eu-north-1) 歐洲 (米蘭) (eu-south-1) 歐洲 (西班牙) (eu-south-2) 歐洲 (愛爾蘭) (eu-west-1) 歐洲 (巴黎) (eu-west-3) |
| 歐洲 (斯德哥爾摩) (eu-north-1) | 歐洲 (法蘭克福) (eu-central-1) 歐洲 (斯德哥爾摩) (eu-north-1) 歐洲 (米蘭) (eu-south-1) 歐洲 (西班牙) (eu-south-2) 歐洲 (愛爾蘭) (eu-west-1) 歐洲 (巴黎) (eu-west-3) |
| 歐洲 (愛爾蘭) (eu-west-1) | 歐洲 (法蘭克福) (eu-central-1) 歐洲 (斯德哥爾摩) (eu-north-1) 歐洲 (米蘭) (eu-south-1) 歐洲 (西班牙) (eu-south-2) 歐洲 (愛爾蘭) (eu-west-1) 歐洲 (巴黎) (eu-west-3) |
| 歐洲 (倫敦) (eu-west-2) | 歐洲 (法蘭克福) (eu-central-1) 歐洲 (斯德哥爾摩) (eu-north-1) 歐洲 (米蘭) (eu-south-1) 歐洲 (西班牙) (eu-south-2) 歐洲 (愛爾蘭) (eu-west-1) 歐洲 (倫敦) (eu-west-2) 歐洲 (巴黎) (eu-west-3) |
| 歐洲 (巴黎) (eu-west-3) | 歐洲 (法蘭克福) (eu-central-1) 歐洲 (斯德哥爾摩) (eu-north-1) 歐洲 (米蘭) (eu-south-1) 歐洲 (西班牙) (eu-south-2) 歐洲 (愛爾蘭) (eu-west-1) 歐洲 (巴黎) (eu-west-3) |
| 美國東部 (維吉尼亞北部) (us-east-1) | 美國東部 (維吉尼亞北部) (us-east-1) 美國東部 (俄亥俄) (us-east-2) 美國西部 (奧勒岡) (us-west-2) |
| 美國東部 (俄亥俄) (us-east-2) | 美國東部 (維吉尼亞北部) (us-east-1) 美國東部 (俄亥俄) (us-east-2) 美國西部 (奧勒岡) (us-west-2) |
| 美國西部 (奧勒岡) (us-west-2) | 美國東部 (維吉尼亞北部) (us-east-1) 美國東部 (俄亥俄) (us-east-2) 美國西部 (奧勒岡) (us-west-2) |