As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança da infraestrutura em AWS Database Migration Service
Como serviço gerenciado, AWS Database Migration Service é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.
Você usa chamadas de API AWS publicadas para acessar AWS DMS pela rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
Você pode chamar essas operações de API de qualquer local da rede. AWS DMS também oferece suporte a políticas de acesso baseadas em recursos, que podem especificar restrições sobre ações e recursos, por exemplo, com base no endereço IP de origem. Além disso, você pode usar AWS DMS políticas para controlar o acesso de endpoints específicos da Amazon VPC ou de nuvens privadas virtuais específicas (). VPCs Efetivamente, isso isola o acesso à rede a um determinado AWS DMS recurso somente da VPC específica dentro da AWS rede. Para obter mais informações sobre o uso de políticas de acesso baseadas em recursos com AWS DMS, incluindo exemplos, consulte. [Controle de acesso minucioso com o uso de nomes de recursos e tags](CHAP_Security.FineGrainedAccess.md)
Para limitar suas comunicações com AWS DMS uma única VPC, você pode criar um endpoint de interface VPC que permita a conexão por meio de. AWS DMS AWS PrivateLink AWS PrivateLink ajuda a garantir que qualquer chamada AWS DMS e seus resultados associados permaneçam confinados à VPC específica para a qual seu endpoint de interface foi criado. Em seguida, você pode especificar a URL desse endpoint de interface como uma opção com cada AWS DMS comando executado usando o AWS CLI ou um SDK. Isso ajuda a garantir que todas as suas comunicações AWS DMS permaneçam confinadas à VPC e, de outra forma, sejam invisíveis para a Internet pública.
**Como criar um endpoint de interface para acessar o DMS em uma única VPC**
1. Faça login no Console de gerenciamento da AWS e abra o console da Amazon VPC em. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. No painel de navegação, escolha **Endpoints**. Isso abre a página **Criar endpoints**, na qual você pode criar o endpoint da interface de uma VPC para. AWS DMS
1. Escolha **AWS serviços** e, em seguida, pesquise e escolha um valor para **Nome do serviço**, nesse caso, AWS DMS no formulário a seguir.
```
com.amazonaws.region.dms
```
Aqui, *`region`* especifica a AWS região onde AWS DMS é executado, por exemplo`com.amazonaws.us-west-2.dms`.
1. Em **VPC**, escolha a VPC na qual criar o endpoint de interface, por exemplo, `vpc-12abcd34`.
1. Escolha um valor para a **Zona de disponibilidade** e para o **ID de sub-rede**. Esses valores devem indicar um local em que o endpoint do AWS DMS escolhido pode ser executado, por exemplo, `us-west-2a (usw2-az1)` e `subnet-ab123cd4`.
1. Escolha **Habilitar nome DNS** para criar o endpoint com um nome DNS. Esse nome DNS consiste no ID do endpoint (`vpce-12abcd34efg567hij`) hifenizado com uma string aleatória (`ab12dc34`). Eles são separados do nome do serviço por um ponto na ordem inversa, separados por pontos, com `vpce` adicionado (`dms.us-west-2.vpce.amazonaws.com`).
Um exemplo é `vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com`.
1. Em **Grupo de segurança**, escolha um grupo a ser utilizado para o endpoint.
Ao configurar o grupo de segurança, permita chamadas HTTPS de saída neles. Para obter mais informações, consulte [Criar grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups) no *Guia do usuário da Amazon VPC*.
1. Escolha **Acesso total** ou um valor personalizado para **Política**. Por exemplo, é possível escolher uma política personalizada semelhante à seguinte que restringe o acesso do endpoint a determinadas ações e recursos.
```
{
"Statement": [
{
"Action": "dms:*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": [
"dms:ModifyReplicationInstance",
"dms:DeleteReplicationInstance"
],
"Effect": "Deny",
"Resource": "arn:aws:dms:us-west-2::rep:",
"Principal": "*"
}
]
}
```
Aqui, o exemplo de política permite qualquer chamada de AWS DMS API, exceto para excluir ou modificar uma instância de replicação específica.
Agora é possível especificar um URL formado utilizando o nome DNS criado na etapa 6 como uma opção. Você especifica isso para cada comando de AWS DMS CLI ou operação de API para acessar a instância de serviço usando o endpoint de interface criado. Por exemplo, é possível executar o comando `DescribeEndpoints` da CLI do DMS nessa VPC, conforme mostrado a seguir.
```
$ aws dms describe-endpoints --endpoint-url https://vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com
```
Se você ativar a opção de DNS privado, não será necessário especificar o URL do endpoint na solicitação.
*Para obter mais informações sobre como criar e usar endpoints de interface VPC (incluindo a ativação da opção de DNS privado), consulte Interface [VPC endpoints ()AWS PrivateLink no Guia do usuário da Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html).*