AWS Database Migration Service 中的基礎設施安全 - AWS資料庫遷移服務

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Database Migration Service 中的基礎設施安全

作為受管服務, AWS Database Migration Service受到 AWS全球網路安全的保護。如需AWS安全服務以及 如何AWS保護基礎設施的相關資訊,請參閱AWS雲端安全。若要使用基礎設施安全的最佳實務設計您的AWS環境,請參閱安全支柱 AWSWell-Architected Framework 中的基礎設施保護

您可以使用AWS發佈的 API 呼叫,AWS DMS透過網路存取 。使用者端必須支援下列專案:

  • Transport Layer Security (TLS)。我們需要 TLS 1.2 並建議使用 TLS 1.3。

  • 具備完美轉送私密(PFS)的密碼套件,例如 DHE (Ephemeral Diffie-Hellman)或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。

您可以從任何網路位置呼叫這些 API 操作。 AWS DMS也支援以資源為基礎的存取政策,可以指定動作和資源的限制,例如,根據來源 IP 地址。此外,您可以使用 AWS DMS政策來控制來自特定 Amazon VPC 端點或特定虛擬私有雲端 (VPCs) 的存取。實際上,這只會隔離網路內特定 VPC 對指定AWS DMS資源AWS的網路存取。如需搭配 使用資源型存取政策的詳細資訊AWS DMS,包括範例,請參閱 使用資源名稱和標籤更精細的存取控制

若要將與 的通訊限制在單一 VPC AWS DMS內,您可以建立 VPC 介面端點,讓您AWS DMS透過 連線到 AWS PrivateLink。 AWS PrivateLink有助於確保對 的任何呼叫AWS DMS及其相關結果,仍僅限於建立介面端點的特定 VPC。然後,您可以使用 AWS CLI或 SDK 執行的每個AWS DMS命令,將此界面端點的 URL 指定為 選項。這樣做有助於確保您與 的整個通訊AWS DMS都僅限於 VPC,而且公有網際網路無法看見。

若要建立介面端點以存取單一 VPC 中的 DMS

  1. 登入 AWS 管理主控台並開啟位於 https://https://console.aws.amazon.com/vpc/ 的 Amazon VPC 主控台。

  2. 從導覽窗格中選擇端點。這會開啟建立端點頁面,您可以在其中從 VPC 建立介面端點AWS DMS。

  3. 選擇AWS服務,然後搜尋並選擇服務名稱的值,在此情況下AWS DMS為下列格式。

    com.amazonaws.region.dms

    在這裡,region指定AWS DMS執行 AWS的區域,例如 com.amazonaws.us-west-2.dms

  4. 針對 VPC,選擇要建立介面端點的目標 VPC,例如 vpc-12abcd34

  5. 選擇可用區域子網路 ID 的值。這些值應指出所選 AWS DMS 端點可執行的位置,例如 us-west-2a (usw2-az1)subnet-ab123cd4

  6. 選擇啟用 DNS 名稱以建立具有 DNS 名稱的端點。此 DNS 名稱由端點 ID (vpce-12abcd34efg567hij) 與隨機字串 (ab12dc34) 連字號所組成。這些名稱會以反向點分隔順序的點與服務名稱分隔開來,並加上 vpce (dms.us-west-2.vpce.amazonaws.com)。

    例如,vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com

  7. 安全群組中,選擇要用於端點的群組。

    設定安全群組時,請務必允許來自其中的輸出 HTTPS 呼叫。如需詳細資訊,請參閱《Amazon VPC 使用者指南》的建立安全群組

  8. 選擇完整存取政策的自訂值。例如,您可以選擇類似以下內容的自訂政策,以限制端點對某些動作和資源的存取權。

    {
  "Statement": [
    {
      "Action": "dms:*",
      "Effect": "Allow",
      "Resource": "*",
      "Principal": "*"
    },
    {
      "Action": [
        "dms:ModifyReplicationInstance",
        "dms:DeleteReplicationInstance"
      ],
      "Effect": "Deny",
      "Resource": "arn:aws:dms:us-west-2:<account-id>:rep:<replication-instance-id>",
      "Principal": "*"
    }
  ]
}

    在這裡,範例政策允許任何 AWS DMSAPI 呼叫,但刪除或修改特定複寫執行個體除外。

您現在可以指定使用步驟 6 中建立的 DNS 名稱作為選項所形成的 URL。您可以為每個 AWS DMSCLI 命令或 API 操作指定此值,以使用建立的介面端點存取服務執行個體。例如,您可以在此 VPC 中執行 DMS CLI 命令 DescribeEndpoints,如下所示。

$ aws dms describe-endpoints --endpoint-url https://vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com

如果您啟用私有 DNS 選項,則不需要在請求中指定端點 URL。

如需建立和使用虛擬私人雲端介面端點的詳細資訊 (包括啟用私有 DNS 選項),請參閱《Amazon VPC 使用者指南》中的「介面 VPC 端點 (AWSPrivateLink)」。