AWS Database Migration Service 内のインフラストラクチャセキュリティ - AWSデータベース移行サービス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Database Migration Service 内のインフラストラクチャセキュリティ

マネージドサービスである AWS Database Migration Serviceは、 AWSグローバルネットワークセキュリティで保護されています。AWSセキュリティサービスと がインフラストラクチャAWSを保護する方法については、AWS「 クラウドセキュリティ」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して環境をAWS設計するには、「Security Pillar AWSWell‐Architected Framework」の「Infrastructure Protection」を参照してください。

AWSが発行した API コールを使用して、ネットワークAWS DMS経由で にアクセスします。クライアントは以下をサポートする必要があります。

  • Transport Layer Security (TLS)。TLS 1.2 が必須で、TLS 1.3 をお勧めします。

  • DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードは Java 7 以降など、ほとんどの最新システムでサポートされています。

これらの API オペレーションは、任意のネットワークの場所から呼び出すことができます。 は、リソースベースのアクセスポリシーAWS DMSもサポートしています。これにより、ソース IP アドレスなどに基づいてアクションとリソースの制限を指定できます。さらに、AWS DMSポリシーを使用して、特定の Amazon VPC エンドポイントまたは特定の仮想プライベートクラウド (VPCs) からのアクセスを制御できます。これにより、実質的にネットワーク内の特定の VPC からのみ、特定のAWS DMSリソースへのAWSネットワークアクセスが分離されます。でのリソースベースのアクセスポリシーの使用の詳細についてはAWS DMS、「」を参照してくださいリソース名とタグを使用したファイングレインアクセスコントロール

1 つの VPC AWS DMS内で との通信を制限するには、 AWS DMSを介して に接続できる VPC インターフェイスエンドポイントを作成できますAWS PrivateLink。 AWS PrivateLinkは、 への呼び出しAWS DMSとそれに関連する結果が、インターフェイスエンドポイントが作成される特定の VPC に制限されたままになるようにします。その後、 AWS CLIまたは SDK を使用して実行するすべてのAWS DMSコマンドで、このインターフェイスエンドポイントの URL をオプションとして指定できます。これにより、 との通信全体が VPC に限定AWS DMSされ、それ以外の場合はパブリックインターネットに表示されなくなります。

単一の VPC 内の DMS にアクセスするためのインターフェイスエンドポイントを作成するには

  1. にサインインAWS マネジメントコンソールし、https://console.aws.amazon.com/vpc/ で Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで、[Endpoints] (エンドポイント) を選択します。これにより、エンドポイントの作成ページが開き、VPC からインターフェイスエンドポイントを作成できますAWS DMS。

  3. AWSサービスを選択し、サービスの値を検索して選択します。この場合は、次の形式AWS DMSになります。

    com.amazonaws.region.dms

    ここで、 は がAWS DMS実行するAWSリージョンregionを指定します。たとえば、 ですcom.amazonaws.us-west-2.dms

  4. [VPC] では、例えば vpc-12abcd34 のように VPC から作成するインターフェイス エンドポイントを選択します。

  5. [Availability Zone] (アベイラビリティーゾーン) と [Subnet ID] (サブネット ID) の値を選択します。これらの値は選択した AWS DMS エンドポイントが実行可能な場所 (例えば us-west-2a (usw2-az1)subnet-ab123cd4) を示す必要があります。

  6. [Enable DNS name] (DNS 名を有効化) を選択して、DNS 名でエンドポイントを作成します。この DNS 名は、ランダムな文字列 (ab12dc34) とハイフンでつながれたエンドポイント ID (vpce-12abcd34efg567hij) からなります。これらは、ドットで区切られた逆の順序でドットによって、追加された vpce (dms.us-west-2.vpce.amazonaws.com) とサービス名から区切られます。

    例: vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com

  7. [Security group] (セキュリティグループ) では、エンドポイントに使用するグループを選択します。

    セキュリティグループを設定する際、そのグループ内からのアウトバウンド HTTPS コールを許可するようにしてください。詳細については、Amazon VPC ユーザーガイドの「セキュリティグループ作成」をご参照ください。

  8. [Full Access] (完全アクセス) またはカスタム値を [Policy] (ポリシー) で選択します。例えば、エンドポイントの特定のアクションとリソースへのアクセスを制限する、次のようなカスタムポリシーを選択できます。

    {
  "Statement": [
    {
      "Action": "dms:*",
      "Effect": "Allow",
      "Resource": "*",
      "Principal": "*"
    },
    {
      "Action": [
        "dms:ModifyReplicationInstance",
        "dms:DeleteReplicationInstance"
      ],
      "Effect": "Deny",
      "Resource": "arn:aws:dms:us-west-2:<account-id>:rep:<replication-instance-id>",
      "Principal": "*"
    }
  ]
}

    ここでは、サンプルポリシーにより、特定のレプリケーションインスタンスの削除または変更を除き、すべての AWS DMSAPI コールが許可されます。

ステップ 6 でオプションとして作成した DNS 名を使用して形成された URL を指定できるようになりました。作成したインターフェイスエンドポイントを使用してサービスインスタンスにアクセスするには、CLI コマンドまたは API AWS DMSオペレーションごとにこれを指定します。例えば、以下に示すように、この VPC で DMS CLI コマンド DescribeEndpoints を実行することが可能です。

$ aws dms describe-endpoints --endpoint-url https://vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com

プライベート DNS オプションを有効にすると、エンドポイント URL をリクエストに指定する必要はありません。

VPC インターフェイス エンドポイントの作成と使用 (プライベート DNS オプションの有効化を含む) の詳細については、Amazon VPC ユーザーガイドの「インターフェイス VPC エンドポイント (AWS PrivateLink)」をご参照ください。