本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 中的数据保护 AWS Database Migration Service
## 数据加密
您可以为支持的 AWS DMS 目标端点的数据资源启用加密。 AWS DMS 还会对与其所有源端点 AWS DMS 和目标端点之间的连接进行加密。 AWS DMS 此外,您还可以管理用于启用此加密的密钥 AWS DMS 及其支持的目标端点。
**Topics**
+ [静态加密](#CHAP_Security.DataProtection.DataEncryption.EncryptionAtRest)
+ [传输中加密](#CHAP_Security.DataProtection.DataEncryption.EncryptionInTransit)
+ [密钥管理](#CHAP_Security.DataProtection.DataEncryption.KeyManagement)
### 静态加密
AWS DMS 支持静态加密,允许您指定在复制的数据复制到支持的 AWS DMS 目标终端节点之前将其推送到 Amazon S3 时要使用的服务器端加密模式。您可以通过设置终端节点的 `encryptionMode` 额外连接属性来指定此加密模式。如果此`encryptionMode`设置指定 KMS 密钥加密模式,则还可以创建专门用于加密以下目标终端节点的 AWS DMS 目标数据的自定义 AWS KMS 密钥:
+ Amazon Redshift – 有关设置 `encryptionMode` 更多信息,请参阅 [使用 Amazon Redshift 作为目标时的终端节点设置 AWS DMS](CHAP_Target.Redshift.md#CHAP_Target.Redshift.ConnectionAttrib)。有关创建自定义 AWS KMS 加密密钥的更多信息,请参阅[创建和使用 AWS KMS 密钥对亚马逊 Redshift 目标数据进行加密](CHAP_Target.Redshift.md#CHAP_Target.Redshift.KMSKeys)。
+ Amazon S3 – 有关设置 `encryptionMode` 更多信息,请参阅 [使用 Amazon S3 作为目标时的终端节点设置 AWS DMS](CHAP_Target.S3.md#CHAP_Target.S3.Configuring)。有关创建自定义 AWS KMS 加密密钥的更多信息,请参阅[创建用于加密 Amazon S3 目标对象的 AWS KMS 密钥](CHAP_Target.S3.md#CHAP_Target.S3.KMSKeys)。
### 传输中加密
AWS DMS 通过确保其复制的数据从源端点安全地移动到目标端点,支持传输中的加密。这包括对复制实例上的 S3 存储桶进行加密,在复制管道中传输数据时,复制任务将 S3 存储桶用作中间存储。要对源端点和目标端点的任务连接进行加密,请 AWS DMS 使用安全套接字层 (SSL) 或传输层安全 (TLS)。通过对两个端点的连接进行加密, AWS DMS 可以确保您的数据在从源终端节点移动到复制任务以及从任务移动到目标终端节点时是安全的。有关 SSL/TLS 与一起使用的更多信息 AWS DMS,请参阅 [将 SSL 与 AWS Database Migration Service](CHAP_Security.SSL.md)
AWS DMS 支持默认密钥和自定义密钥,用于加密中间复制存储和连接信息。您可以使用 AWS KMS来管理这些密钥。有关更多信息,请参阅 [设置加密密钥并指定 AWS KMS 权限](CHAP_Security.md#CHAP_Security.EncryptionKey)。
### 密钥管理
AWS DMS 支持默认密钥或自定义密钥来加密某些目标端点的复制存储、连接信息和目标数据存储。您可以通过使用来管理这些密钥 AWS KMS。有关更多信息,请参阅 [设置加密密钥并指定 AWS KMS 权限](CHAP_Security.md#CHAP_Security.EncryptionKey)。
## 互联网络流量隐私
无论是在本地运行还是作为云端 AWS 服务的一部分运行,同一 AWS 区域的源端点和目标端点之间的 AWS DMS 连接都受到保护。(至少一个端点(源端点或目标端点)必须作为云端 AWS 服务的一部分运行。) 无论这些组件共享同一个虚拟私有云 (VPC) 还是分开存在(如果它们都位于同一个 AWS 区域) VPCs,则此保护 VPCs 都适用。有关支持的网络配置的更多信息 AWS DMS,请参阅[为复制实例设置网络](CHAP_ReplicationInstance.VPC.md)。有关使用这些网络配置时的安全注意事项的更多信息,请参阅 [网络安全 AWS Database Migration Service](CHAP_Security.md#CHAP_Security.Network)。
## DMS Fleet Advisor 中的数据保护
DMS Fleet Advisor 收集并分析您的数据库元数据,以确定迁移目标的正确大小。DMS Fleet Advisor 不会访问您的表中的数据,也不会传输这些数据。此外,DMS Fleet Advisor 不会跟踪数据库功能的使用情况,也不会访问您的使用情况统计信息。
在您创建数据库用户以便让 DMS Fleet Advisor 用来处理数据库时,您可以控制对数据库的访问权限。您可以向这些用户授予所需的权限。要使用 DMS Fleet Advisor,您需要向数据库用户授予读取权限。DMS Fleet Advisor 不会修改您的数据库,也不需要写入权限。有关更多信息,请参阅 [为 AWS DMS Fleet Advisor 创建数据库用户](fa-database-users.md)。
您可以在数据库中使用数据加密。 AWS DMS 还会加密 DMS Fleet Advisor 内部及其数据收集器内部的连接。
DMS 数据收集器使用数据保护应用程序编程接口(DPAPI)来加密、保护和存储有关客户环境和数据库凭证的信息。在 DMS 数据收集器工作的服务器上,DMS Fleet Advisor 将这些加密数据存储在一个文件中。DMS Fleet Advisor 不会从这台服务器传输这些数据。有关 DPAPI 的更多信息,请参阅[如何:使用数据保护](https://learn.microsoft.com/en-us/dotnet/standard/security/how-to-use-data-protection)。
安装 DMS 数据收集器后,您可以查看此应用程序为收集指标而运行的所有查询。您可以在离线模式下运行 DMS 数据收集器,然后在您的服务器上查看收集的数据。此外,您还可以在您的 Amazon S3 存储桶中查看这些收集的数据。有关更多信息,请参阅 [DMS 数据收集器的工作方式](fa-collecting.md#fa-data-collectors-how-it-works)。
# 选择不使用您的数据来改善服务 AWS Database Migration Service
通过使用 Organizations 的选择退出政策,您可以选择不使用您的数据进行开发和改进 AWS DMS 。 AWS 即使 AWS DMS 目前未收集任何此类数据,您也可以选择退出。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[人工智能服务退出政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html)。
目前, AWS Database Migration Service (AWS DMS) 不收集它代表您处理的任何数据。为了开发和改进 DMS 以及其他 AWS 服务的功能,DMS 将来可能会收集此类数据。当 DMS 配置为收集任何数据时,我们将更新此文档页面。您有机会随时选择退出。
**注意**
要使用选择退出政策,您的 AWS 账户必须由 Organizations 集中管理。 AWS 如果您尚未为自己的 AWS 账户创建组织,请参阅《[组织用户指南》中的 “使用 AWS 组织管理AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html)*组织*”。
选择退出会带来以下影响:
+ AWS DMS 在您选择退出(如果有)之前,删除其为改善服务而收集和存储的数据。
+ 在您选择退出后, AWS DMS 不再出于服务改进目的收集或存储这些数据。
# 中的跨区域推理 AWS Database Migration Service
某些 AWS Database Migration Service 功能使用跨区域 AI 推理来自动选择您所在地理区域 AWS 区域 内的最佳功能来处理推理请求。这种方法最大限度地提高了可用计算资源和模型可用性,旨在提供高质量的客户体验。通过跨区域推理,您可以:
+ 访问最先进的 AI 功能和特性
+ 在高需求时期提高吞吐量和弹性
跨区域 AI 推理请求保存在与您的主 AWS 区域 区域相同的地理区域内。 AWS 区域例如,美国初选学生 AWS 区域 提出的请求保存在美国境内。 AWS 区域 您的数据仅存储在主服务器中 AWS 区域。所有数据均通过亚马逊的安全网络进行加密传输。
**注意**
Amazon CloudWatch 和 AWS CloudTrail 日志没有指定 AI 推断发生 AWS 区域 在哪里。
## DMS 架构转换中的跨区域推理
当你在 DMS 架构转换中使用生成式 AI 功能时,匿名的代码片段和相关的架构元数据可能会发送给同一地理位置的其他 AWS 区域 人进行 AI 处理。您的生产数据仍保留在主数据中 AWS 区域 ,永远不会被访问或传输。
**重要**
在 DMS 架构转换中使用生成式 AI 功能时,跨区域推理始终处于启用状态。要将架构转换处理保留在主服务器中 AWS 区域,请在禁用生成式 AI 功能的情况下使用架构转换。
DMS 架构转换中的生成式 AI 功能目前仅在有限数量的地区可用。下表描述了 AWS 区域 您的请求可能被路由到的目标,具体取决于您的主 AWS 区域请求。
| 主要 AWS 区域 | 推断 AWS 区域 |
| --- | --- |
| 亚太地区(东京)(ap-northeast-1) | 亚太地区(东京)(ap-northeast-1) 亚太地区(大阪)(ap-northeast-3) |
| 亚太地区(大阪)(ap-northeast-3) | 亚太地区(东京)(ap-northeast-1) 亚太地区(大阪)(ap-northeast-3) |
| 亚太地区(悉尼)(ap-southeast-2) | 亚太地区(悉尼)(ap-southeast-2) 亚太地区(墨尔本)(ap-southeast-4) |
| 加拿大(中部)(ca-central-1) | 加拿大(中部)(ca-central-1) 美国东部(弗吉尼亚州北部)(us-east-1) 美国东部(俄亥俄州)(us-east-2) 美国西部(俄勒冈州)(us-west-2) |
| 欧洲地区(法兰克福)(eu-central-1) | 欧洲地区(法兰克福)(eu-central-1) 欧洲(斯德哥尔摩)(eu-north-1) 欧洲地区(米兰)(eu-south-1) 欧洲(西班牙)(eu-south-2) 欧洲地区(爱尔兰)(eu-west-1) 欧洲地区(巴黎)(eu-west-3) |
| 欧洲地区(斯德哥尔摩)(eu-north-1) | 欧洲地区(法兰克福)(eu-central-1) 欧洲(斯德哥尔摩)(eu-north-1) 欧洲地区(米兰)(eu-south-1) 欧洲(西班牙)(eu-south-2) 欧洲地区(爱尔兰)(eu-west-1) 欧洲地区(巴黎)(eu-west-3) |
| 欧洲地区(爱尔兰)(eu-west-1) | 欧洲地区(法兰克福)(eu-central-1) 欧洲(斯德哥尔摩)(eu-north-1) 欧洲地区(米兰)(eu-south-1) 欧洲(西班牙)(eu-south-2) 欧洲地区(爱尔兰)(eu-west-1) 欧洲地区(巴黎)(eu-west-3) |
| 欧洲地区(伦敦)(eu-west-2) | 欧洲地区(法兰克福)(eu-central-1) 欧洲(斯德哥尔摩)(eu-north-1) 欧洲地区(米兰)(eu-south-1) 欧洲(西班牙)(eu-south-2) 欧洲地区(爱尔兰)(eu-west-1) 欧洲地区(伦敦)(eu-west-2) 欧洲地区(巴黎)(eu-west-3) |
| 欧洲地区(巴黎)(eu-west-3) | 欧洲地区(法兰克福)(eu-central-1) 欧洲(斯德哥尔摩)(eu-north-1) 欧洲地区(米兰)(eu-south-1) 欧洲(西班牙)(eu-south-2) 欧洲地区(爱尔兰)(eu-west-1) 欧洲地区(巴黎)(eu-west-3) |
| 美国东部(弗吉尼亚州北部)(us-east-1) | 美国东部(弗吉尼亚州北部)(us-east-1) 美国东部(俄亥俄州)(us-east-2) 美国西部(俄勒冈州)(us-west-2) |
| 美国东部(俄亥俄州)(us-east-2) | 美国东部(弗吉尼亚北部)(us-east-1) 美国东部(俄亥俄州)(us-east-2) 美国西部(俄勒冈州)(us-west-2) |
| 美国西部(俄勒冈州)(us-west-2) | 美国东部(弗吉尼亚州北部)(us-east-1) 美国东部(俄亥俄州)(us-east-2) 美国西部(俄勒冈州)(us-west-2) |