本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 中的基礎設施安全 AWS Database Migration Service
作為受管服務, AWS Database Migration Service 受到 AWS 全球網路安全的保護。如需 AWS 安全服務以及如何 AWS 保護基礎設施的資訊,請參閱[AWS 雲端安全](https://aws.amazon.com/security/)。若要使用基礎設施安全的最佳實務來設計您的 AWS 環境,請參閱*安全支柱 AWS Well-Architected Framework* 中的[基礎設施保護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。
您可以使用 AWS 發佈的 API 呼叫, AWS DMS 透過網路存取 。使用者端必須支援下列專案:
+ Transport Layer Security (TLS)。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 具備完美轉送私密(PFS)的密碼套件,例如 DHE (Ephemeral Diffie-Hellman)或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。
您可以從任何網路位置呼叫這些 API 操作。 AWS DMS 也支援以資源為基礎的存取政策,可以指定動作和資源的限制,例如,根據來源 IP 地址。此外,您可以使用 AWS DMS 政策來控制來自特定 Amazon VPC 端點或特定虛擬私有雲端 (VPCs) 的存取。實際上,這只會隔離網路內特定 VPC 對指定 AWS DMS 資源 AWS 的網路存取。如需搭配 使用資源型存取政策的詳細資訊 AWS DMS,包括範例,請參閱 [使用資源名稱和標籤更精細的存取控制](CHAP_Security.FineGrainedAccess.md)。
若要將與 的通訊限制在單一 VPC AWS DMS 內,您可以建立 VPC 介面端點,讓您能夠 AWS DMS 透過 連線到 AWS PrivateLink。 AWS PrivateLink 有助於確保對 的任何呼叫 AWS DMS 及其相關結果,仍僅限於介面端點建立所在的特定 VPC。然後,您可以使用 AWS CLI 或 SDK 執行的每個 AWS DMS 命令,將此界面端點的 URL 指定為 選項。這樣做有助於確保您與 的整個通訊 AWS DMS 都僅限於 VPC,而且公有網際網路無法看見。
**若要建立介面端點以存取單一 VPC 中的 DMS**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/):// 開啟 Amazon VPC 主控台。
1. 從導覽窗格中選擇**端點**。這會開啟**建立端點**頁面,您可以在其中從 VPC 建立介面端點 AWS DMS。
1. 選擇**AWS 服務**,然後搜尋並選擇**服務名稱**的值,在此情況下 AWS DMS 為下列格式。
```
com.amazonaws.region.dms
```
在這裡,*`region`*指定 AWS DMS 執行 AWS 的區域,例如 `com.amazonaws.us-west-2.dms`。
1. 針對 **VPC**,選擇要建立介面端點的目標 VPC,例如 `vpc-12abcd34`。
1. 選擇**可用區域**和**子網路 ID** 的值。這些值應指出所選 AWS DMS 端點可執行的位置,例如 `us-west-2a (usw2-az1)` 和 `subnet-ab123cd4`。
1. 選擇**啟用 DNS 名稱**以建立具有 DNS 名稱的端點。此 DNS 名稱由端點 ID (`vpce-12abcd34efg567hij`) 與隨機字串 (`ab12dc34`) 連字號所組成。這些名稱會以反向點分隔順序的點與服務名稱分隔開來,並加上 `vpce` (`dms.us-west-2.vpce.amazonaws.com`)。
例如,`vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com`。
1. 在**安全群組**中,選擇要用於端點的群組。
設定安全群組時,請務必允許來自其中的輸出 HTTPS 呼叫。如需詳細資訊,請參閱《*Amazon VPC 使用者指南*》的[建立安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups)。
1. 選擇**完整存取**或**政策**的自訂值。例如,您可以選擇類似以下內容的自訂政策,以限制端點對某些動作和資源的存取權。
```
{
"Statement": [
{
"Action": "dms:*",
"Effect": "Allow",
"Resource": "*",
"Principal": "*"
},
{
"Action": [
"dms:ModifyReplicationInstance",
"dms:DeleteReplicationInstance"
],
"Effect": "Deny",
"Resource": "arn:aws:dms:us-west-2::rep:",
"Principal": "*"
}
]
}
```
在這裡,範例政策允許任何 AWS DMS API 呼叫,但刪除或修改特定複寫執行個體除外。
您現在可以指定使用步驟 6 中建立的 DNS 名稱作為選項所形成的 URL。您可以為每個 AWS DMS CLI 命令或 API 操作指定此項目,以使用建立的介面端點存取服務執行個體。例如,您可以在此 VPC 中執行 DMS CLI 命令 `DescribeEndpoints`,如下所示。
```
$ aws dms describe-endpoints --endpoint-url https://vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com
```
如果您啟用私有 DNS 選項,則不需要在請求中指定端點 URL。
如需建立和使用虛擬私人雲端介面端點的詳細資訊 (包括啟用私有 DNS 選項),請參閱《*Amazon VPC 使用者指南*》中的「[介面 VPC 端點 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)」。