翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# でのデータ保護 AWS Database Migration Service
## データ暗号化
サポートされている AWS DMS ターゲットエンドポイントのデータリソースの暗号化を有効にできます。 は、 AWS DMS AWS DMS とそのすべてのソースエンドポイントとターゲットエンドポイントとの間の接続 AWS DMS も暗号化します。さらに、この暗号化を有効にするために AWS DMS とそのサポートされているターゲットエンドポイントが使用するキーを管理できます。
**Topics**
+ [保管中の暗号化](#CHAP_Security.DataProtection.DataEncryption.EncryptionAtRest)
+ [転送中の暗号化](#CHAP_Security.DataProtection.DataEncryption.EncryptionInTransit)
+ [キー管理](#CHAP_Security.DataProtection.DataEncryption.KeyManagement)
### 保管中の暗号化
AWS DMS は、サポートされている AWS DMS ターゲットエンドポイントにコピーされる前にレプリケートされたデータを Amazon S3 にプッシュするために使用するサーバー側の暗号化モードを指定できるようにすることで、保管時の暗号化をサポートします。この暗号化モードは、エンドポイントの追加の接続属性 `encryptionMode` を設定することで指定できます。`encryptionMode` この設定で KMS キー暗号化モードが指定されている場合は、次のターゲットエンドポイントの AWS DMS ターゲットデータを暗号化するためにカスタム AWS KMS キーを作成することもできます。
+ Amazon Redshift - `encryptionMode` の設定詳細については、「[のターゲットとして Amazon Redshift を使用する場合のエンドポイント設定 AWS DMS](CHAP_Target.Redshift.md#CHAP_Target.Redshift.ConnectionAttrib)」をご参照ください。カスタム AWS KMS 暗号化キーの作成の詳細については、「」を参照してください[AWS KMS キーを作成して Amazon Redshift ターゲットデータを暗号化する](CHAP_Target.Redshift.md#CHAP_Target.Redshift.KMSKeys)。
+ Amazon S3 - `encryptionMode` の設定詳細については、「[のターゲットとして Amazon S3 を使用する場合のエンドポイント設定 AWS DMS](CHAP_Target.S3.md#CHAP_Target.S3.Configuring)」をご参照ください。カスタム AWS KMS 暗号化キーの作成の詳細については、「」を参照してください[Amazon S3 ターゲットオブジェクトを暗号化するための AWS KMS キーの作成](CHAP_Target.S3.md#CHAP_Target.S3.KMSKeys)。
### 転送中の暗号化
AWS DMS は、レプリケートするデータがソースエンドポイントからターゲットエンドポイントに安全に移動するようにすることで、転送中の暗号化をサポートします。この措置には、レプリケーションパイプラインを経由してデータが移動するときに、レプリケーションタスクが中間ストレージ用に使用するレプリケーション インスタンスの S3 バケットの暗号化も含まれます。ソースエンドポイントとターゲットエンドポイントへのタスク接続を暗号化するには、Secure Socket Layer (SSL) または Transport Layer Security (TLS) AWS DMS を使用します。は、両方のエンドポイントへの接続を暗号化することで、ソースエンドポイントからレプリケーションタスク、およびタスクからターゲットエンドポイントの両方に移動する際に、データの安全性 AWS DMS を確保します。での SSL/TLS の使用の詳細については AWS DMS、「」を参照してください。 [での SSL の使用 AWS Database Migration Service](CHAP_Security.SSL.md)
AWS DMS は、中間レプリケーションストレージと接続情報の両方を暗号化するためのデフォルトキーとカスタムキーの両方をサポートします。これらのキーは、 AWS KMSを使用して管理します。詳細については、「[暗号化キーの設定と AWS KMS アクセス許可の指定](CHAP_Security.md#CHAP_Security.EncryptionKey)」を参照してください。
### キー管理
AWS DMS は、特定のターゲットエンドポイントのレプリケーションストレージ、接続情報、ターゲットデータストレージを暗号化するためのデフォルトキーまたはカスタムキーをサポートします。これらのキーは、 を使用して管理します AWS KMS。詳細については、「[暗号化キーの設定と AWS KMS アクセス許可の指定](CHAP_Security.md#CHAP_Security.EncryptionKey)」を参照してください。
## ネットワーク間のトラフィックのプライバシー
接続には、オンプレミスで実行されているか、クラウド内の AWS サービスの一部として実行されているかにかかわらず、同じ AWS リージョン内の AWS DMS とソースエンドポイントとターゲットエンドポイント間の保護が提供されます。(少なくとも 1 つのエンドポイント、ソースまたはターゲットは、クラウド内の AWS サービスの一部として実行する必要があります)。この保護は、VPC がすべて同じ AWS リージョンにある場合、これらのコンポーネントが同じ仮想プライベートクラウド (VPC) を共有しているか VPCs 、別々の VPCs に存在するかにかかわらず適用されます。でサポートされているネットワーク設定の詳細については AWS DMS、「」を参照してください[レプリケーション インスタンスのためのネットワークのセットアップ](CHAP_ReplicationInstance.VPC.md)。これらのネットワーク設定を使用する場合のセキュリティに関する考慮事項については、「[のネットワークセキュリティ AWS Database Migration Service](CHAP_Security.md#CHAP_Security.Network)」をご参照ください。
## DMS Fleet Advisor でのデータ保護
DMS Fleet Advisor は、データベースのメタデータを収集して分析し、移行ターゲットの適切なサイズを決定します。DMS Fleet Advisor はテーブル内のデータにアクセスしたり、データを転送したりすることはありません。また、DMS Fleet Advisor はデータベース機能の使用状況は追跡せず、使用統計にもアクセスしません。
DMS Fleet Advisor がデータベースを利用するために使用するデータベースユーザーを作成する際に、データベースへのアクセスを制御します。このようなユーザーに必要なアクセス許可を付与します。DMS Fleet Advisor を使用するには、データベースユーザーに読み取り権限を付与します。DMS Fleet Advisor はデータベースを変更しないため、書き込み権限は必要ありません。詳細については、「[AWS DMS Fleet Advisor のデータベースユーザーの作成](fa-database-users.md)」を参照してください。
データベースでデータ暗号化を使用できます。 は、DMS Fleet Advisor 内およびそのデータコレクター内の接続 AWS DMS も暗号化します。
DMS データコレクターは、データ保護アプリケーションプログラミングインターフェイス (DPAPI) を使用して、お客様の環境とデータベースの認証情報を暗号化、保護、保存します。DMS Fleet Advisor は、このような暗号化されたデータを、DMS データコレクターが動作するサーバー上のファイルに保存します。DMS Fleet Advisor は、このようなサーバーからデータを転送することはありません。DPAPI の詳細については、「[方法: データ保護の使用](https://learn.microsoft.com/en-us/dotnet/standard/security/how-to-use-data-protection)」を参照してください。
DMS データコレクターをインストールすると、このアプリケーションがメトリクスを収集するために実行するすべてのクエリを確認できます。DMS データコレクターをオフラインモードで実行して、収集したデータをサーバー上で確認できます。収集したデータを Amazon S3 バケットで確認することもできます。詳細については、「[DMS データコレクターの仕組み](fa-collecting.md#fa-data-collectors-how-it-works)」を参照してください。
# でのサービス改善のためのデータの使用をオプトアウトする AWS Database Migration Service
AWS Organizations オプトアウトポリシー AWS DMS を使用して、データの開発と改善に使用されるデータをオプトアウトできます。 AWS DMS が現在そのようなデータを収集していない場合でも、オプトアウトすることができます。詳細については、「*AWS Organizations ユーザーガイド*」の「[AI サービスのオプトアウトポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html)」を参照してください。
現在、 AWS Database Migration Service (AWS DMS) はユーザーに代わって処理するデータを収集しません。DMS および他の AWS サービスの機能を開発および改善するために、DMS は将来そのようなデータを収集することがあります。DMS がデータを収集するように設定される場合、このドキュメントページは更新されます。ただし、いつでもオプトアウトすることができます。
**注記**
オプトアウトポリシーを使用するには、 AWS アカウントが AWS Organizations によって一元管理されている必要があります。 AWS アカウントの組織を作成していない場合は、[AWS 「 Organizations ユーザーガイド」の「Organizations を使用した組織の管理](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)*AWS *」を参照してください。
オプトアウトには次のような効果があります。
+ AWS DMS は、オプトアウト前にサービス改善の目的で収集および保存したデータ (存在する場合) を削除します。
+ オプトアウトすると、 はサービス改善の目的でこのデータを収集または保存 AWS DMS しなくなります。
# でのクロスリージョン推論 AWS Database Migration Service
特定の AWS Database Migration Service 機能では、クロスリージョン AI 推論を使用して、推論リクエストを処理する最適な を地域 AWS リージョン 内で自動的に選択します。このアプローチは、利用可能なコンピューティングリソースとモデルの可用性を最大化し、高品質のカスタマーエクスペリエンスを提供するように設計されています。クロスリージョン推論を使用すると、以下が可能になります。
+ 最新の AI 機能へのアクセス
+ 高需要期間中のスループットと耐障害性の向上
クロスリージョン AI 推論リクエストは、プライマリ と同じ地域の一部 AWS リージョン である 内に保持されます AWS リージョン。たとえば、 AWS リージョン 米国のプライマリから行われたリクエストは、米国の AWS リージョン 内に保持されます。データはプライマリにのみ保存されます AWS リージョン。すべてのデータは Amazon の安全なネットワーク経由で暗号化されて送信されます。
**注記**
Amazon CloudWatch ログと AWS CloudTrail ログは、AI 推論が発生する AWS リージョン を指定しません。
## DMS Schema Conversion でのクロスリージョン推論
DMS Schema Conversion で生成 AI 機能を使用すると、匿名化されたコードフラグメントと関連するスキーマメタデータが、AI 処理のために同じ地域 AWS リージョン 内の他の に送信される場合があります。本稼働データはプライマリ AWS リージョン に残り、アクセスまたは送信されることはありません。
**重要**
DMS Schema Conversion で生成 AI 機能を使用すると、クロスリージョン推論は常に有効になります。スキーマ変換処理をプライマリに常駐させるには AWS リージョン、無効な生成 AI 機能でスキーマ変換を使用します。
DMS Schema Conversion の生成 AI 機能は、現在、限られた数のリージョンで利用できます。次の表 AWS リージョン は、プライマリに応じてリクエストがルーティングされる先の表です AWS リージョン。
| プライマリ AWS リージョン | 推論 AWS リージョン |
| --- | --- |
| アジアパシフィック (東京) (ap-northeast-1) | アジアパシフィック (東京) (ap-northeast-1) アジアパシフィック (大阪) (ap-northeast-3) |
| アジアパシフィック (大阪) (ap-northeast-3) | アジアパシフィック (東京) (ap-northeast-1) アジアパシフィック (大阪) (ap-northeast-3) |
| アジアパシフィック (シドニー) (ap-southeast-2) | アジアパシフィック (シドニー) (ap-southeast-2) アジアパシフィック (メルボルン) (ap-southeast-4) |
| カナダ (中部) (ca-central-1) | カナダ (中部) (ca-central-1) 米国東部 (バージニア北部) (us-east-1) 米国東部 (オハイオ) (us-east-2) 米国西部 (オレゴン) (us-west-2) |
| ヨーロッパ (フランクフルト) (eu-central-1) | ヨーロッパ (フランクフルト) (eu-central-1) 欧州 (ストックホルム) (eu-north-1) 欧州 (ミラノ) (eu-south-1) 欧州 (スペイン) (eu-south-2) 欧州 (アイルランド) (eu-west-1) 欧州 (パリ) (eu-west-3) |
| 欧州 (ストックホルム) (eu-north-1) | ヨーロッパ (フランクフルト) (eu-central-1) 欧州 (ストックホルム) (eu-north-1) 欧州 (ミラノ) (eu-south-1) 欧州 (スペイン) (eu-south-2) 欧州 (アイルランド) (eu-west-1) 欧州 (パリ) (eu-west-3) |
| 欧州 (アイルランド) (eu-west-1) | ヨーロッパ (フランクフルト) (eu-central-1) 欧州 (ストックホルム) (eu-north-1) 欧州 (ミラノ) (eu-south-1) 欧州 (スペイン) (eu-south-2) 欧州 (アイルランド) (eu-west-1) 欧州 (パリ) (eu-west-3) |
| ヨーロッパ (ロンドン) (eu-west-2) | ヨーロッパ (フランクフルト) (eu-central-1) 欧州 (ストックホルム) (eu-north-1) 欧州 (ミラノ) (eu-south-1) 欧州 (スペイン) (eu-south-2) 欧州 (アイルランド) (eu-west-1) ヨーロッパ (ロンドン) (eu-west-2) 欧州 (パリ) (eu-west-3) |
| 欧州 (パリ) (eu-west-3) | ヨーロッパ (フランクフルト) (eu-central-1) 欧州 (ストックホルム) (eu-north-1) 欧州 (ミラノ) (eu-south-1) 欧州 (スペイン) (eu-south-2) 欧州 (アイルランド) (eu-west-1) 欧州 (パリ) (eu-west-3) |
| 米国東部 (バージニア北部) (us-east-1) | 米国東部 (バージニア北部) (us-east-1) 米国東部 (オハイオ) (us-east-2) 米国西部 (オレゴン) (us-west-2) |
| 米国東部 (オハイオ) (us-east-2) | 米国東部 (バージニア北部) (us-east-1) 米国東部 (オハイオ) (us-east-2) 米国西部 (オレゴン) (us-west-2) |
| 米国西部 (オレゴン) (us-west-2) | 米国東部 (バージニア北部) (us-east-1) 米国東部 (オハイオ) (us-east-2) 米国西部 (オレゴン) (us-west-2) |