AWS Database Migration Service中的基礎設施安全 - AWS Database Migration Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Database Migration Service中的基礎設施安全

作為託管服務, AWS Database Migration Service 受到 AWS 全球網絡安全的保護。有關 AWS 安全服務以及如何 AWS 保護基礎結構的詳細資訊,請參閱AWS 雲端安全 若要使用基礎架構安全性的最佳做法來設計您的 AWS 環境,請參閱安全性支柱架構良 AWS 好的架構中的基礎結構保

您可以使用 AWS 已發佈的API呼叫透 AWS DMS 過網路存取。使用者端必須支援下列專案:

  • 傳輸層安全性 (TLS)。我們需要 TLS 1.2 並推薦 TLS 1.3。

  • 具有完美前向保密()的密碼套件,例如(短暫的迪菲-赫爾曼PFS)或DHE(橢圓曲線短暫迪菲-赫爾曼)。ECDHE現代系統(如 Java 7 和更新版本)大多會支援這些模式。

此外,請求必須使用存取金鑰 ID 和與IAM主體相關聯的秘密存取金鑰來簽署。或者,您可以透過 AWS Security Token Service (AWS STS) 來產生暫時安全憑證來簽署請求。

您可以從任何網路位置呼叫這些API作業。 AWS DMS 也支援以資源為基礎的存取原則,這些原則可以指定動作和資源的限制,例如,根據來源 IP 位址。此外,您可以使用 AWS DMS 政策來控制來自特定 Amazon VPC 端點或特定虛擬私有雲 (VPCs) 的存取。實際上,這會將對特定 AWS DMS 資源的網路存取與網 AWS 路VPC內的特定資源隔離。如需將資源型存取原則搭配 AWS DMS使用的詳細資訊 (包括範例),請參閱使用資源名稱和標籤更精細的存取控制

若要將您的通訊限制在單一 AWS DMS 內VPC,您可以建立VPC介面端點,讓您 AWS DMS 透過 AWS PrivateLink連線到。 AWS PrivateLink 有助於確保任何呼叫 AWS DMS 及其相關聯的結果仍僅限於VPC為其建立介面端點的特定項目。然後,您可以URL針對此介面端點指定為選項,並搭配您使用 AWS CLI 或執行的每個 AWS DMS 命令SDK。這樣做有助於確保您的整個通信保 AWS DMS 持局限於公共互聯網VPC,否則對公共互聯網不可見。

若要建立要在單一存取DMS的介面端點 VPC

  1. 登錄 AWS Management Console 並在打開 Amazon VPC 控制台https://console.aws.amazon.com/vpc/

  2. 從導覽窗格中選擇端點。這會開啟 [建立端點] 頁面,您可以在此頁面建立介面端點 AWS DMS。VPC

  3. 選擇AWS 服務,然後搜尋並選擇「服務名稱」的值,在此情況 AWS DMS 下為下列格式。

    com.amazonaws.region.dms

    在這裡,region 指定 AWS DMS 執行的 AWS 區域,例如com.amazonaws.us-west-2.dms

  4. 例如 VPC,選擇VPC要從中建立介面端點vpc-12abcd34

  5. 選擇可用區域子網路 ID 的值。這些值應指出所選 AWS DMS 端點可執行的位置,例如 us-west-2a (usw2-az1)subnet-ab123cd4

  6. 選擇「啟用DNS名稱」以建立具有DNS名稱的端點。此DNS名稱由端點 ID (vpce-12abcd34efg567hij) 與隨機字串 (ab12dc34) 連字所組成。這些名稱會以反向點分隔順序的點與服務名稱分隔開來,並加上 vpce (dms.us-west-2.vpce.amazonaws.com)。

    例如,vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com

  7. 安全群組中,選擇要用於端點的群組。

    設定安全性群組時,請務必允許來自安全性群組的HTTPS撥出電話。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的建立安全群組

  8. 選擇完整存取政策的自訂值。例如,您可以選擇類似以下內容的自訂政策,以限制端點對某些動作和資源的存取權。

    {
  "Statement": [
    {
      "Action": "dms:*",
      "Effect": "Allow",
      "Resource": "*",
      "Principal": "*"
    },
    {
      "Action": [
        "dms:ModifyReplicationInstance",
        "dms:DeleteReplicationInstance"
      ],
      "Effect": "Deny",
      "Resource": "arn:aws:dms:us-west-2:<account-id>:rep:<replication-instance-id>",
      "Principal": "*"
    }
  ]
}

    此處範例原則允許任何 AWS DMS API呼叫,但刪除或修改特定複寫執行個體除外。

現在,您可以使用在步驟 6 中創建的DNS名稱作為選項來指定URL形成的。您可以為每個 AWS DMS CLI命令或API操作指定此命令或操作,以使用創建的接口端點訪問服務實例。例如,您可以DescribeEndpoints在此執行DMSCLI命令,VPC如下所示。

$ aws dms describe-endpoints --endpoint-url https://vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com

如果啟用私有DNS選項,則不必在請求URL中指定端點。

如需有關建立和使用VPC介面端點 (包括啟用私有DNS選項) 的詳細資訊,請參閱 Amazon 使用VPC者指南中的介面VPC端點 (AWS PrivateLink)