Verwenden mit SSL AWS Database Migration Service - AWS Database Migration Service
Einschränkungen bei der Verwendung mit SSL AWS DMSVerwalten von ZertifikatenAktivierung SSL für einen My SQL -kompatiblen, Postgre- oder SQL Server-Endpunkt SQL

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden mit SSL AWS Database Migration Service

Sie können Verbindungen für Quell- und Zielendpunkte mithilfe von Secure Sockets Layer () SSL verschlüsseln. Dazu können Sie die AWS DMS Management Console verwenden oder einem AWS DMS API Endpunkt ein Zertifikat zuweisen. Sie können die AWS DMS Konsole auch verwenden, um Ihre Zertifikate zu verwalten.

Nicht alle Datenbanken verwenden sie SSL auf die gleiche Weise. Amazon Aurora My SQL -Compatible Edition verwendet den Servernamen, den Endpunkt der primären Instance im Cluster, als Endpunkt fürSSL. Ein Amazon Redshift Redshift-Endpunkt verwendet bereits eine SSL Verbindung und erfordert keine SSL Verbindung, die von eingerichtet wurde AWS DMS. Ein Oracle-Endpunkt erfordert zusätzliche Schritte. Weitere Informationen finden Sie unter SSL-Unterstützung für einen Oracle-Endpunkt.

Um einem Endpunkt ein Zertifikat zuzuweisen, geben Sie das Stammzertifikat oder die Kette von CA-Zwischenzertifikaten an, die zum Stamm führen (als Zertifikatspaket), das zum Signieren des SSL Serverzertifikats verwendet wurde, das auf Ihrem Endpunkt bereitgestellt wird. Zertifikate werden nur als PEM formatierte X509-Dateien akzeptiert. Wenn Sie ein Zertifikat importieren, erhalten Sie einen Amazon-Ressourcennamen (ARN), mit dem Sie dieses Zertifikat für einen Endpunkt angeben können. Wenn Sie Amazon verwendenRDS, können Sie die Root-CA und das Zertifikatspaket herunterladen, die in der von Amazon gehosteten rds-combined-ca-bundle.pem Datei bereitgestellt werdenRDS. Weitere Informationen zum Herunterladen dieser Datei finden Sie unter Verwendung vonSSL/TLSzur Verschlüsselung einer Verbindung zu einer DB-Instance im RDSAmazon-Benutzerhandbuch.

Sie können aus mehreren SSL Modi wählen, die Sie für Ihre SSL Zertifikatsverifizierung verwenden möchten.

  • none – Die Verbindung ist nicht verschlüsselt. Diese Option ist nicht sicher, erfordert jedoch weniger Aufwand.

  • erforderlich — Die Verbindung wird mit SSL (TLS) verschlüsselt, es wird jedoch keine CA-Überprüfung durchgeführt. Diese Option ist sicherer und erfordert mehr Aufwand.

  • verify-ca – Die Verbindung ist verschlüsselt. Diese Option ist sicherer und erfordert mehr Aufwand. Diese Option überprüft das Serverzertifikat.

  • verify-full – Die Verbindung ist verschlüsselt. Diese Option ist sicherer und erfordert mehr Aufwand. Diese Option überprüft das Serverzertifikat und prüft, ob der Server-Hostname dem Hostnamen-Attribut für das Zertifikat entspricht.

Nicht alle SSL Modi funktionieren mit allen Datenbank-Endpunkten. Die folgende Tabelle zeigt, welche SSL Modi für jede Datenbank-Engine unterstützt werden.

DB-Engine

Keine

require

verify-ca

verify-full

MySQL/MariaDB/AmazonAurora My SQL

 Standard Nicht unterstützt Unterstützt Unterstützt

SQLMicrosoft-Server

 Standard Unterstützt Nicht unterstützt Unterstützt

Postgret SQL

 Standard Unterstützt Unterstützt Unterstützt

Amazon-Redshift

 Standard SSLnicht aktiviert SSLnicht aktiviert SSLnicht aktiviert

Oracle

 Standard Nicht unterstützt Unterstützt Nicht unterstützt

SAP ASE

 Standard SSLnicht aktiviert SSLnicht aktiviert Unterstützt

MongoDB

 Standard Unterstützt Nicht unterstützt Unterstützt

Db2 LUW

 Standard Nicht unterstützt Unterstützt Nicht unterstützt

Db2 für z/OS

 Standard Nicht unterstützt Unterstützt Nicht unterstützt
Anmerkung

Die Option SSL Modus auf der DMS Konsole oder gilt API nicht für einige Datenstreaming-Dienste und keine SQL Dienste wie Kinesis und DynamoDB. Sie sind standardmäßig sicher, sodass DMS angezeigt wird, dass die SSL Moduseinstellung auf „Keine“ gesetzt ist (Mode=Keine)SSL. Sie müssen keine zusätzliche Konfiguration angeben, die Ihr Endgerät verwenden kann. SSL Wenn Sie beispielsweise Kinesis als Zielendpunkt verwenden, ist dies standardmäßig sicher. Alle API Aufrufe an Kinesis werden verwendetSSL, sodass keine zusätzliche SSL Option am DMS Endpunkt erforderlich ist. Mithilfe des HTTPS Protokolls, das standardmäßig für die Verbindung mit einem Kinesis Data Stream DMS verwendet wird, können Sie Daten sicher über SSL Endgeräte speichern und abrufen.

Einschränkungen bei der Verwendung mit SSL AWS DMS

Im Folgenden finden Sie Einschränkungen bei der Verwendung SSL mit AWS DMS:

  • SSLVerbindungen zu Amazon Redshift Redshift-Zielendpunkten werden nicht unterstützt. AWS DMS verwendet einen Amazon S3 S3-Bucket, um Daten in die Amazon Redshift Redshift-Datenbank zu übertragen. Diese Übertragung wird von Amazon Redshift standardmäßig verschlüsselt.

  • SQLBei der Ausführung von Change Data Capture (CDC) -Aufgaben mit SSL -fähigen Oracle-Endpunkten können Timeouts auftreten. Wenn Sie ein Problem haben, bei dem die CDC Zähler nicht den erwarteten Zahlen entsprechen, setzen Sie den MinimumTransactionSize Parameter aus dem ChangeProcessingTuning Abschnitt der Task-Einstellungen auf einen niedrigeren Wert. Sie können mit einem Wert von 100 beginnen. Weitere Informationen zum Parameter MinimumTransactionSize erhalten Sie unter Einstellungen für die Optimierung der Verarbeitung von Änderungen.

  • Sie können Zertifikate nur in den Formaten .pem und .sso (Oracle Wallet) importieren.

  • In einigen Fällen ist Ihr SSL Serverzertifikat möglicherweise von einer zwischengeschalteten Zertifizierungsstelle (CA) signiert. Wenn dies der Fall ist, stellen Sie sicher, dass die gesamte Zertifikatkette, die von der Zwischenzertifizierungsstelle bis zur Stammzertifizierungsstelle führt, als einzelne .pem-Datei importiert wird.

  • Wenn Sie auf Ihrem Server selbstsignierte Zertifikate verwenden, wählen Sie „Erforderlich“ als SSL Modus. Der SSL Modus „Erforderlich“ vertraut implizit dem SSL Zertifikat des Servers und versucht nicht zu überprüfen, ob das Zertifikat von einer Zertifizierungsstelle signiert wurde.

Verwalten von Zertifikaten

Sie können die DMS Konsole verwenden, um Ihre SSL Zertifikate anzuzeigen und zu verwalten. Sie können Ihre Zertifikate auch über die DMS Konsole importieren.

AWS Database Migration Service SSLVerwaltung von Zertifikaten

Aktivierung SSL für einen My SQL -kompatiblen, Postgre- oder SQL Server-Endpunkt SQL

Sie können eine SSL Verbindung zu einem neu erstellten Endpunkt oder zu einem vorhandenen Endpunkt hinzufügen.

Um einen AWS DMS Endpunkt zu erstellen mit SSL

  1. Melden Sie sich bei https://console.aws.amazon.com/dms/v2/ an AWS Management Console und öffnen Sie die AWS DMS Konsole.

    Wenn Sie als Benutzer AWS Identity and Access Management (IAM) angemeldet sind, stellen Sie sicher, dass Sie über die entsprechenden Zugriffsberechtigungen verfügen. AWS DMS Weitere Informationen zu den erforderlichen Berechtigungen für die Datenbankmigration finden Sie unter IAMFür die Verwendung sind die erforderlichen Berechtigungen erforderlich AWS DMS.

  2. Wählen Sie im Navigationsbereich Certificates aus.

  3. Wählen Sie Import Certificate aus.

  4. Laden Sie das Zertifikat hoch, das Sie zur Verschlüsselung der Verbindung zu einem Endpunkt verwenden möchten.

    Anmerkung

    Sie können ein Zertifikat auch über die AWS DMS Konsole hochladen, wenn Sie einen Endpunkt erstellen oder ändern, indem Sie auf der Seite Datenbank-Endpunkt erstellen die Option Neues CA-Zertifikat hinzufügen auswählen.

    Für Aurora Serverless als Ziel rufen Sie das unter UsingTLS/SSLwith Aurora Serverless erwähnte Zertifikat ab.

  5. Erstellen Sie einen Endpunkt wie beschrieben unter Schritt 2: Angeben von Quell- und Zielendpunkten

Um einen vorhandenen AWS DMS Endpunkt zu ändern, der verwendet werden soll SSL

  1. Melden Sie sich bei https://console.aws.amazon.com/dms/v2/ an AWS Management Console und öffnen Sie die AWS DMS Konsole.

    Wenn Sie als IAM Benutzer angemeldet sind, stellen Sie sicher, dass Sie über die entsprechenden Zugriffsberechtigungen verfügen. AWS DMS Weitere Informationen zu den erforderlichen Berechtigungen für die Datenbankmigration finden Sie unter IAMFür die Verwendung sind die erforderlichen Berechtigungen erforderlich AWS DMS.

  2. Wählen Sie im Navigationsbereich Certificates aus.

  3. Wählen Sie Import Certificate aus.

  4. Laden Sie das Zertifikat hoch, das Sie zur Verschlüsselung der Verbindung zu einem Endpunkt verwenden möchten.

    Anmerkung

    Sie können ein Zertifikat auch über die AWS DMS Konsole hochladen, wenn Sie einen Endpunkt erstellen oder ändern, indem Sie auf der Seite Datenbank-Endpunkt erstellen die Option Neues CA-Zertifikat hinzufügen auswählen.

  5. Wählen Sie im Navigationsbereich die Option Endpoints aus. Wählen Sie dann den Endpunkt aus, den Sie ändern möchten, und klicken Sie auf Modify.

  6. Wählen Sie einen Wert für SSLden Modus.

    Wenn Sie den Modus verify-ca oder verify-full auswählen, geben Sie das Zertifikat an, das Sie für das CA-Zertifikat verwenden möchten (siehe unten).

    AWS Database Migration Service SSLVerwaltung von Zertifikaten

  7. Wählen Sie Ändern aus.

  8. Wenn der Endpunkt geändert wurde, wählen Sie den Endpunkt aus und klicken Sie auf Verbindung testen, um festzustellen, ob die SSL Verbindung funktioniert.

Nachdem Sie die Quell- und Zielendpunkte erstellt haben, erstellen Sie eine Aufgabe, die diese Endpunkte verwendet. Weitere Informationen zum Erstellen einer Aufgabe finden Sie unter Schritt 3: Erstellen einer Aufgabe und Migrieren der Daten.