Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Seguridad de la infraestructura en AWS Database Migration Service
Como servicio gestionado, AWS Database Migration Service está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte Seguridad AWS en la nube
Utiliza las llamadas a la API AWS publicadas para acceder a AWS DMS través de la red. Los clientes deben admitir lo siguiente:
-
Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
-
Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad principal de IAM. También puedes utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.
Puede llamar a estas operaciones de API desde cualquier ubicación de la red. AWS DMS también admite políticas de acceso basadas en recursos, que pueden especificar restricciones de acciones y recursos, por ejemplo, en función de la dirección IP de origen. Además, puede utilizar AWS DMS políticas para controlar el acceso desde puntos de enlace de Amazon VPC específicos o nubes privadas virtuales específicas (). VPCs En efecto, esto aísla el acceso a la red a un AWS DMS recurso determinado únicamente de la VPC específica de la red. AWS Para obtener más información sobre el uso de políticas de acceso basadas en recursos AWS DMS, incluidos ejemplos, consulte. Control de acceso detallado mediante nombres de recursos y etiquetas
Para limitar sus comunicaciones a una sola VPC, puede crear un punto final de interfaz de VPC que le permita conectarse a través de ella. AWS DMS AWS DMS AWS PrivateLink AWS PrivateLink ayuda a garantizar que cualquier llamada AWS DMS y los resultados asociados permanezcan confinados a la VPC específica para la que se creó el punto final de la interfaz. A continuación, puede especificar la URL de este punto final de la interfaz como opción con cada AWS DMS comando que ejecute mediante el SDK AWS CLI o un SDK. Esto ayuda a garantizar que todas sus comunicaciones AWS DMS permanezcan confinadas a la VPC y, de lo contrario, sean invisibles para la Internet pública.
Creación de un punto de conexión de interfaz para acceder al DMS en una sola VPC
Inicie sesión en la consola de Amazon VPC AWS Management Console y ábrala en. https://console.aws.amazon.com/vpc/
-
En el panel de navegación, elija Puntos de conexión. Esto abre la página Crear puntos de enlace, donde puede crear el punto final de la interfaz desde una AWS DMS VPC a.
-
Elija AWS los servicios y, a continuación, busque y elija un valor para el nombre del servicio, en este caso AWS DMS del siguiente formulario.
com.amazonaws.region.dmsAquí,
regioncom.amazonaws.us-west-2.dms. -
Para VPC, elija la VPC para la que crear el punto de conexión de la interfaz, por ejemplo
vpc-12abcd34. -
Elija un valor para Zona de disponibilidad y para ID de subred. Estos valores deben indicar una ubicación en la que se pueda ejecutar el punto de conexión de AWS DMS elegido, por ejemplo,
us-west-2a (usw2-az1)ysubnet-ab123cd4. -
Elija Habilitar nombre de DNS para crear el punto de conexión con un nombre de DNS. Este nombre de DNS consta del ID del punto de conexión (
vpce-12abcd34efg567hij) separado por guiones y una cadena aleatoria (ab12dc34). Se separan del nombre del servicio por un punto en el orden inverso de separación por puntos, convpceagregado (dms.us-west-2.vpce.amazonaws.com).Un ejemplo es
vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com. -
Para Grupo de seguridad, elija un grupo de seguridad que usar para el punto de conexión.
Cuando configure el grupo de seguridad, asegúrese de permitir las llamadas HTTPS salientes desde su interior. Para obtener más información, consulte Creación de grupos de seguridad en la Guía del usuario de Amazon VPC.
-
Elija Acceso total o un valor personalizado para la política. Por ejemplo, puede elegir una política personalizada similar a la siguiente que restrinja el acceso del punto de conexión a determinadas acciones y recursos.
{ "Statement": [ { "Action": "dms:*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": [ "dms:ModifyReplicationInstance", "dms:DeleteReplicationInstance" ], "Effect": "Deny", "Resource": "arn:aws:dms:us-west-2:<account-id>:rep:<replication-instance-id>", "Principal": "*" } ] }En este caso, la política de ejemplo permite cualquier llamada a la AWS DMS API, excepto eliminar o modificar una instancia de replicación específica.
Ahora puede especificar una URL formada con el nombre de DNS creado en el paso 6 como opción. Debe especificarlo para cada comando de AWS DMS CLI u operación de API para acceder a la instancia de servicio mediante el punto final de la interfaz creado. Por ejemplo, es posible que ejecute el comando DescribeEndpoints de la CLI de DMS en esta VPC como se muestra a continuación.
$ aws dms describe-endpoints --endpoint-url https://vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com
Si ha habilitado la opción de DNS privado, no es necesario que especifique la URL del punto de conexión en la solicitud.
Para obtener más información sobre la creación y el uso de puntos de enlace de la interfaz de VPC (incluida la activación de la opción de DNS privado), consulte los puntos de enlace de interfaz de VPC () en AWS PrivateLink la Guía del usuario de Amazon VPC.
