Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration avancée des terminaux
Vous pouvez configurer les paramètres avancés de vos points de terminaison dans AWS Database Migration Service (AWS DMS) afin de contrôler le comportement des points de terminaison source et cible pendant le processus de migration. Dans le cadre de la configuration avancée, vous pouvez configurer le peering AWS DMS VPC pour permettre une communication sécurisée entre les groupes de sécurité DMS pour contrôler le trafic entrant et sortant VPCs, les listes de contrôle d'accès au réseau (NACLs) comme couche de sécurité supplémentaire et les points de terminaison VPC pour Secrets Manager. AWS
Vous pouvez définir ces configurations lors de la création du point de terminaison ou les modifier ultérieurement via la AWS DMS console ou l'API, afin d'affiner les processus de migration en fonction des exigences spécifiques du moteur de base de données et des besoins de performance.
Vous trouverez ci-dessous plus de détails sur la configuration avancée des terminaux.
**Topics**
+ [Configuration de peering VPC pour. AWS DMS](CHAP_Advanced.Endpoints.vpc.peering.md)
+ [Configuration du groupe de sécurité pour AWS DMS](CHAP_Advanced.Endpoints.securitygroup.md)
+ [Configuration de la liste de contrôle d'accès réseau (NACL) pour AWS DMS](CHAP_Advanced.Ednpoints.NACL.md)
+ [Configuration du point de AWS DMS terminaison VPC du gestionnaire de secrets](CHAP_Advanced.Endpoints.secretsmanager.md)
+ [Considérations supplémentaires](#CHAP_secretsmanager.additionalconsiderations)
# Configuration de peering VPC pour. AWS DMS
L'appairage VPC permet la connectivité entre deux réseaux privés VPCs, ce qui permet aux instances de AWS DMS réplication et aux points de terminaison de base de données de communiquer entre différents réseaux VPCs comme s'ils se trouvaient sur le même réseau. Cela est crucial lorsque votre instance de réplication DMS réside dans un VPC alors que les bases de données source et cible existent VPCs séparément, ce qui permet une migration de données directe et sécurisée sans passer par l'Internet public.
Lorsque vous utilisez Amazon RDS, vous devez configurer le peering VPC entre DMS et RDS si vos instances sont situées dans des lieux différents. VPCs
Vous devez suivre les étapes suivantes :
**Création d'une connexion d'appairage de VPC**
1. Accédez à la [console Amazon VPC.](https://console.aws.amazon.com/vpc/)
1. Dans le volet de navigation, sélectionnez **Peering Connections** sous **Virtual Private Cloud**.
1. Cliquez sur **Créer une connexion d'appairage.**
1. Configurez les connexions d'appairage :
+ Tag (facultatif) : entrez le nom de la connexion d'appairage (exemple :`DMS-RDS-Peering`).
**Demandeur VPC : sélectionnez** le VPC qui contient votre instance DMS.
+ Accepteur **VPC :** sélectionnez le VPC qui contient votre instance RDS.
**Note**
Si le VPC accepteur est associé à un autre AWS compte, vous devez disposer de l'ID de compte et de l'ID VPC de ce compte.
1. Cliquez sur **Créer la connexion d'appairage**.
**Acceptation de la connexion d'appairage VPC**
1. Dans la liste des **connexions d'appairage**, recherchez la nouvelle connexion d'appairage dont le statut est **En attente d'acceptation**.
1. Sélectionnez la connexion d'appairage appropriée, cliquez sur **Actions** et sélectionnez **Accepter la demande**.
L'état de la connexion d'appairage passe à **Actif**.
**Mise à jour des tables de routage**
Pour activer le trafic entre les VPCs, vous devez mettre à jour la table de routage dans les deux VPCs. Pour mettre à jour les tables de routage dans le VPC DMS :
1. Identifiez le bloc CIDR du VPC RDS :
1. Accédez à votre VPC RDS VPCs et sélectionnez-le.
1. Copiez la valeur IPv4 CIDR dans **CIDRs**l'onglet.
1. Identifiez les tables de routage DMS pertinentes à l'aide de la carte des ressources :
1. Accédez à votre VPC DMS VPCs et sélectionnez-le.
1. Cliquez sur l'onglet **Carte des ressources** et notez les tables de routage associées aux sous-réseaux où se trouve votre instance DMS.
1. Mettez à jour toutes les tables de routage dans le VPC DMS :
1. Accédez aux tables de routage dans la console [Amazon VPC.](https://console.aws.amazon.com/vpc/)
1. Sélectionnez les identifiants des tables de routage pour le VPC DMS. Vous pouvez les ouvrir depuis l'onglet **Carte des ressources** du VPC.
1. Cliquez sur **Modifier les itinéraires**.
1. Cliquez sur Ajouter un itinéraire et entrez les informations suivantes :
+ **Destination** : entrez le bloc IPv4 CIDR du VPC RDS (exemple :). `10.1.0.0/16`
+ **Cible** : sélectionnez l'ID de configuration d'appairage (exemple :`pcx-1234567890abcdef`).
1. Cliquez sur **Enregistrer les itinéraires**.
Vos routes VPC sont enregistrées pour le VPC DMS. Procédez de la même manière pour votre VPC RDS.
**Mise à jour des groupes de sécurité**
1. Vérifiez le groupe de sécurité de l'instance DMS :
1. Vous devez vous assurer que les règles de sortie autorisent le trafic vers l'instance RDS :
+ **Type** : TCP personnalisé ou port de base de données spécifique (exemple : 3306 pour MySQL).
+ **Destination** : le bloc CIDR du VPC RDS ou le groupe de sécurité de l'instance RDS.
1. Vérifiez le groupe de sécurité de l'instance RDS :
1. Vous devez vous assurer que les règles entrantes autorisent le trafic provenant de l'instance DMS :
+ **Type** : port de base de données spécifique.
+ Source : Le bloc CIDR du VPC DMS ou le groupe de sécurité de l'instance RDS.
**Note**
Vous devez également vous assurer que :
**Connexion d'appairage active : assurez-vous que la connexion** d'appairage VPC est à **l'état actif avant de continuer**.
**Carte des ressources** : utilisez l'onglet **Carte des ressources** de la [console Amazon VPC](https://console.aws.amazon.com/vpc/) pour identifier les tables de routage qui doivent être mises à jour.
**Aucun chevauchement de blocs d'adresse CIDR : les blocs** d'adresse CIDR ne VPCs doivent pas se chevaucher.
**Meilleures pratiques en matière de sécurité** : limitez les règles du groupe de sécurité aux ports et aux sources nécessaires.
Pour plus d'informations, consultez la section [Connexions de peering VPC](https://docs.aws.amazon.com/vpc/latest/peering/working-with-vpc-peering.html) dans le guide de l'utilisateur *d'Amazon Virtual Private Cloud*.
# Configuration du groupe de sécurité pour AWS DMS
Le groupe de sécurité entrant AWS DMS doit autoriser les connexions entrantes et sortantes pour vos instances de réplication sur le port de base de données approprié. Si vous utilisez Amazon RDS, vous devez configurer le groupe de sécurité entre DMS et RDS pour vos instances.
Vous devez suivre les étapes suivantes :
**Configuration du groupe de sécurité de l'instance RDS**
1. Accédez à la [console Amazon VPC.](https://console.aws.amazon.com/vpc/)
1. Dans le volet de navigation de gauche, sous **Sécurité**, sélectionnez **Groupes de sécurité**.
1. Sélectionnez le groupe de sécurité RDS associé à votre instance RDS.
1. Modifiez les règles de trafic entrant :
1. Cliquez sur **Actions** et sélectionnez **Modifier les règles entrantes**.
1. Cliquez sur **Ajouter une règle** pour créer une nouvelle règle.
1. Configurez la règle comme suit :
+ **Type** : Sélectionnez votre type de base de données (exemple : MySQL/Aurora pour le port 3306, PostgreSQL pour le port 5432).
+ **Protocole** : Ce protocole est automatiquement renseigné en fonction de votre type de base de données.
+ **Plage de ports** : cette plage est automatiquement renseignée en fonction de votre type de base de données.
+ **Source** : choisissez **Personnalisé** et collez l'ID du groupe de sécurité associé à votre instance DMS. Cela autorise le trafic provenant de n'importe quelle ressource au sein de ce groupe de sécurité. Vous pouvez également spécifier la plage d'adresses IP (bloc CIDR) de votre instance DMS.
1. Cliquez sur **Enregistrer les règles**.
**Configuration du groupe de sécurité de l'instance de réplication DMS**
1. Accédez à la [console Amazon VPC.](https://console.aws.amazon.com/vpc/)
1. Dans le volet de navigation de gauche, sous **Sécurité**, sélectionnez **Groupes de sécurité**.
1. Dans la liste des **groupes de sécurité**, recherchez et sélectionnez le groupe de sécurité associé à votre instance de réplication DMS.
1. Modifiez les règles de sortie :
1. Cliquez sur **Actions** et sélectionnez **Modifier les règles sortantes**.
1. Cliquez sur **Ajouter une règle** pour créer une nouvelle règle.
1. Configurez la règle comme suit :
+ Type : Sélectionnez votre type de base de données (exemple : MySQL/Aurora, PostgreSQL).
+ Protocole : Ce protocole est automatiquement renseigné en fonction de votre type de base de données.
+ Plage de ports : cette plage est automatiquement renseignée en fonction de votre type de base de données.
+ Source : choisissez **Personnalisé** et collez l'ID du groupe de sécurité associé à votre instance RDS. Cela autorise le trafic provenant de n'importe quelle ressource au sein de ce groupe de sécurité. Vous pouvez également spécifier la plage d'adresses IP (bloc CIDR) de votre instance RDS.
1. Cliquez sur **Enregistrer les règles**.
## Considérations supplémentaires
Vous devez prendre en compte les informations de configuration supplémentaires suivantes :
+ **Utiliser les références aux groupes** de sécurité : Le référencement des groupes de sécurité dans les instances source ou de destination permet une gestion dynamique et est plus sûr que l'utilisation d'adresses IP, car il inclut automatiquement toutes les ressources du groupe.
+ **Ports de base** de données : assurez-vous d'utiliser le port approprié pour votre base de données.
+ **Meilleures pratiques en matière de sécurité** : n'ouvrez que les ports nécessaires pour minimiser les risques de sécurité. Vous devez également revoir régulièrement les règles de votre groupe de sécurité pour vous assurer qu'elles répondent à vos normes et exigences de sécurité.
# Configuration de la liste de contrôle d'accès réseau (NACL) pour AWS DMS
Lorsque vous utilisez Amazon RDS comme source de réplication, vous devez mettre à jour les listes de contrôle d'accès réseau (NACLs) pour votre instance DMS et RDS. Assurez-vous qu' NACLs ils sont associés aux sous-réseaux où résident ces instances. Cela autorise le trafic entrant et sortant sur le port de base de données spécifique.
Pour mettre à jour les listes de contrôle d'accès réseau, vous devez effectuer les étapes suivantes :
**Note**
Si vos instances DMS et RDS se trouvent dans le même sous-réseau, il vous suffit de mettre à jour le NACL de ce sous-réseau.
**Identifiez les éléments pertinents NACLs**
1. Accédez à la [console Amazon VPC.](https://console.aws.amazon.com/vpc/)
1. Dans le volet de navigation de gauche, sous **Sécurité**, sélectionnez **Réseau ACLs**.
1. Sélectionnez le sous-réseau pertinent NACLs associé aux sous-réseaux dans lesquels résident vos instances DMS et RDS.
**Mettez à jour NACLs le sous-réseau de l'instance DMS**
1. Identifiez le NACL associé au sous-réseau de votre instance DMS. Pour ce faire, vous pouvez parcourir les sous-réseaux de la console [Amazon VPC](https://console.aws.amazon.com/vpc/), rechercher le sous-réseau DMS et noter l'ID NACL associé.
1. Modifiez les règles de trafic entrant :
1. Cliquez sur l'onglet **Règles d'entrée** pour le NACL sélectionné.
1. Sélectionnez **Modifier les règles entrantes**.
1. Ajoutez une nouvelle règle :
+ **Règle numéro** 1 : Choisissez un numéro unique (exemple : 100).
+ **Type** : Sélectionnez une **règle TCP personnalisée**.
+ **Protocole** : TCP
+ **Plage de ports** : entrez le port de votre base de données (exemple : 3306 pour MySQL).
+ **Source** : Entrez le bloc CIDR du sous-réseau RDS (exemple : 10.1.0.0/16).
+ **Autoriser/Refuser** **: sélectionnez Autoriser.**
1. Modifiez les règles de sortie :
1. Cliquez sur l'onglet **Règles sortantes** pour le NACL sélectionné.
1. Cliquez sur **Modifier les règles de trafic sortant**.
1. Ajoutez une nouvelle règle :
+ **Règle no** : utilisez le même numéro que celui utilisé dans les règles de trafic entrant.
+ **Type** : Tout le trafic.
+ **Destination** : 0.0.0.0/0
+ **Autoriser/Refuser** **: sélectionnez Autoriser.**
1. Cliquez sur **Save changes** (Enregistrer les modifications).
1. Procédez de la même manière pour mettre à jour le sous-réseau NACLs associé à l'instance RDS.
## Vérifiez les règles de la NACL
Vous devez vous assurer que les critères suivants sont respectés pour respecter les règles de la NACL. :
+ **Ordre des règles** : NACLs traite les règles dans l'ordre croissant en fonction du numéro de règle. Assurez-vous que le numéro de toutes les règles définies comme « **Autoriser** » est inférieur à celui de toutes les règles définies comme « **Refuser** », car cela pourrait bloquer le trafic.
+ **Nature apatride** : NACLs êtes apatride. Vous devez autoriser explicitement le trafic entrant et sortant.
+ **Blocs d'adresse CIDR** : vous devez vous assurer que les blocs d'adresse CIDR que vous utilisez représentent correctement les sous-réseaux de vos instances DMS et RDS.
# Configuration du point de AWS DMS terminaison VPC du gestionnaire de secrets
Vous devez créer un point de terminaison VPC pour accéder au AWS Secrets Manager à partir d'une instance de réplication dans un sous-réseau privé. Cela permet à l'instance de réplication d'accéder au Secrets Manager directement via le réseau privé sans envoyer de trafic sur l'Internet public.
Pour configurer, vous devez suivre les étapes suivantes :
**Créez un groupe de sécurité pour le point de terminaison VPC.**
1. Accédez à la [console Amazon VPC.](https://console.aws.amazon.com/vpc/)
1. Dans le volet de navigation de gauche, sélectionnez **Groupes de sécurité**, puis choisissez **Créer un groupe de sécurité**.
1. Configurez les détails du groupe de sécurité :
+ **Nom du groupe de sécurité** : Exemple : `SecretsManagerEndpointSG`
+ **Description** : Entrez une description appropriée. (Exemple : groupe de sécurité pour le point de terminaison VPC du gestionnaire de secrets).
+ **VPC : sélectionnez le VPC** où résident votre instance de réplication et vos points de terminaison.
1. Cliquez sur **Ajouter une règle** pour définir les règles entrantes et configurer les éléments suivants :
+ Type : HTTPS (car le gestionnaire de secrets utilise le protocole HTTPS sur le port 443).
+ Source : choisissez **Personnalisé** et entrez l'ID du groupe de sécurité de votre instance de réplication. Cela garantit que toute instance associée à ce groupe de sécurité peut accéder au point de terminaison VPC.
1. Passez en revue les modifications et cliquez sur **Créer un groupe de sécurité**.
**Création d'un point de terminaison VPC pour le gestionnaire de secrets**
**Note**
Créez un point de terminaison VPC d'interface comme indiqué dans la rubrique de [documentation Creating an Interface Endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) du guide de l'*utilisateur d'Amazon Virtual Private Cloud*. Lorsque vous suivez cette procédure, assurez-vous de ce qui suit :
Pour la **catégorie de service**, vous devez sélectionner **AWS les services.**
Pour le **nom du service**, recherchez `seretsmanager` et sélectionnez le service Secretes Manager.
1. Sélectionnez le **VPC et les sous-réseaux**, puis configurez les éléments suivants :
+ **VPC** : assurez-vous qu'il s'agit du même VPC que votre instance de réplication.
+ **Sous-réseaux** : sélectionnez les sous-réseaux dans lesquels réside votre instance de réplication.
1. Dans **Paramètres supplémentaires**, assurez-vous que le **nom Enable DNS** est activé par défaut pour les points de terminaison de l'interface
1. Sous **Groupe de sécurité**, sélectionnez le nom du groupe de sécurité approprié. Exemple : `SecretsManagerEndpointSG` tel que créé précédemment).
1. Vérifiez tous les paramètres et cliquez sur **Créer un point de terminaison**.
**Récupérez le nom DNS du point de terminaison VPC**
1. Accédez aux détails du point de terminaison VPC :
1. **Accédez à la [console Amazon VPC](https://console.aws.amazon.com/vpc/) et choisissez Endpoints.**
1. Sélectionnez le point de terminaison approprié que vous avez créé.
1. Copiez le nom DNS :
1. Sous l'onglet **Détails**, accédez à la section **Noms DNS**.
1. Copiez le premier nom DNS répertorié. (Exemple : `vpce-0abc123def456789g-secretsmanager.us-east-1.vpce.amazonaws.com`). Il s'agit du nom DNS régional.
**Mettez à jour votre point de terminaison DMS**
1. Accédez à la console [AWS DMS](https://console.aws.amazon.com/dms/v2).
1. Modifiez le point de terminaison DMS :
1. Dans le volet de navigation de gauche, sélectionnez **Endpoints**.
1. Choisissez le point de terminaison approprié que vous souhaitez configurer.
1. Cliquez sur **Actions**, puis sélectionnez **Modifier**.
1. Configurer les paramètres du point de terminaison :
1. Accédez aux **paramètres du point de terminaison** et cochez la case **Utiliser les attributs de connexion du point de terminaison**.
1. Dans le champ **Attributs de connexion**, ajoutez :`secretsManagerEndpointOverride=`.
**Note**
Si vous avez plusieurs attributs de connexion, vous pouvez les séparer par un point-virgule « ; ». Par exemple : `datePartitionEnabled=false;secretsManagerEndpointOverride=vpce-0abc123def456789g-secretsmanager.us-east-1.vpce.amazonaws.com`
1. Cliquez sur **Modifier le point de terminaison** pour enregistrer vos modifications.
## Considérations supplémentaires
Vous devez prendre en compte les informations de configuration supplémentaires suivantes :
**Groupe de sécurité de l'instance de réplication :**
+ Assurez-vous que le groupe de sécurité associé à votre instance de réplication autorise le trafic sortant vers le point de terminaison VPC sur le port 443 (HTTPS).
**Paramètres DNS VPC :**
+ Vérifiez que la **résolution DNS** et les **noms d'accès DNS** sont activés dans votre VPC. Cela permet à vos instances de résoudre les noms DNS des points de terminaison VPC. **Vous pouvez le confirmer en accédant à la console [Amazon VPC et VPCs en sélectionnant votre VPC](https://console.aws.amazon.com/vpc/) pour vérifier **que la résolution DNS et les noms d'accès DNS** sont **définis** sur « Oui ».**
**Tester la connectivité :**
+ À partir de votre instance de réplication, vous pouvez effectuer une recherche DNS pour vous assurer qu'elle résout le point de terminaison VPC :. `nslookup secretsmanager.amazonaws.com` Il doit renvoyer l'adresse IP associée à votre point de terminaison VPC