Verwenden von SSL mit AWS Database Migration Service - AWS Database Migration Service
Einschränkungen bei der Verwendung von SSL mit AWS DMSVerwalten von ZertifikatenAktivieren von SSL für einen MySQL-kompatiblen, PostgreSQL- oder SQL Server-Endpunkt

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von SSL mit AWS Database Migration Service

Sie können Verbindungen für Quell- und Zielendpunkte mithilfe von SSL (Secure Sockets Layer) verschlüsseln. Um dies zu tun, können Sie mithilfe der AWS DMS-Managementkonsole oder der AWS DMS-API ein Zertifikat einem Endpunkt zuweisen. Sie können mithilfe der AWS DMS-Konsole auch Ihre Zertifikate verwalten.

Nicht alle Datenbanken verwenden SSL auf die gleiche Weise. Amazon Aurora MySQL-Compatible Edition verwendet den Servernamen, den Endpunkt der primären Instance im Cluster, als Endpunkt für SSL. Ein Amazon Redshift-Endpunkt verwendet bereits eine SSL-Verbindung und erfordert nicht die Einrichtung einer SSL-Verbindung durch AWS DMS. Ein Oracle-Endpunkt erfordert zusätzliche Schritte. Weitere Informationen finden Sie unter SSL-Unterstützung für einen Oracle-Endpunkt.

Um ein Zertifikat einem Endpunkt zuzuweisen, geben Sie das Stammzertifikat oder die Kette der Zertifikate von Zwischenzertifizierungsstellen an, die zu dem Stammzertifikat führen (als Zertifikat-Paket), mit dem das Server-SSL-Zertifikat signiert wurde, das auf dem Endpunkt bereitgestellt ist. Zertifikate werden nur als PEM-formatierte X.509-Dateien akzeptiert. Wenn Sie ein Zertifikat importieren, erhalten Sie einen ARN (Amazon Resource Name), mit dem Sie dieses Zertifikat für einen Endpunkt angeben können. Wenn Sie Amazon RDS verwenden, können Sie die Stammzertifizierungsstelle und das Zertifikatbündel herunterladen, die in der von Amazon RDS gehosteten rds-combined-ca-bundle.pem-Datei bereitgestellt werden. Weitere Informationen zum Herunterladen dieser Datei finden Sie unter Verwenden von SSL/TLS für die Verschlüsselung einer Verbindung zu einer DB-Instance im Amazon-RDS-Benutzerhandbuch.

Sie können verschiedene SSL-Modi für die Überprüfung des SSL-Zertifikats auswählen.

  • none – Die Verbindung ist nicht verschlüsselt. Diese Option ist nicht sicher, erfordert jedoch weniger Aufwand.

  • require – Die Verbindung ist mit SSL (TLS) verschlüsselt, es wird aber keine CA-Verifizierung durchgeführt. Diese Option ist sicherer und erfordert mehr Aufwand.

  • verify-ca – Die Verbindung ist verschlüsselt. Diese Option ist sicherer und erfordert mehr Aufwand. Diese Option überprüft das Serverzertifikat.

  • verify-full – Die Verbindung ist verschlüsselt. Diese Option ist sicherer und erfordert mehr Aufwand. Diese Option überprüft das Serverzertifikat und prüft, ob der Server-Hostname dem Hostnamen-Attribut für das Zertifikat entspricht.

Nicht alle SSL-Modi funktionieren mit allen Datenbankendpunkten. Die folgende Tabelle zeigt, welche SSL-Modi für jede Datenbank-Engine unterstützt werden.

DB-Engine

Keine

require

verify-ca

verify-full

MySQL/MariaDB/Amazon Aurora MySQL

 Standard Nicht unterstützt Unterstützt Unterstützt

Microsoft SQL Server

 Standard Unterstützt Nicht unterstützt Unterstützt

PostgreSQL

 Standard Unterstützt Unterstützt Unterstützt

Amazon Redshift

 Standard SSL nicht aktiviert SSL nicht aktiviert SSL nicht aktiviert

Oracle

 Standard Nicht unterstützt Unterstützt Nicht unterstützt

SAP ASE

 Standard SSL nicht aktiviert SSL nicht aktiviert Unterstützt

MongoDB

 Standard Unterstützt Nicht unterstützt Unterstützt

Db2 LUW

 Standard Nicht unterstützt Unterstützt Nicht unterstützt

Db2 für z/OS

 Standard Nicht unterstützt Unterstützt Nicht unterstützt
Anmerkung

Die Option SSL-Modus auf der DMS-Konsole oder API gilt nicht für einige Daten-Streaming- und NoSQL-Dienste wie Kinesis und DynamoDB. Sie sind standardmäßig sicher, daher zeigt DMS an, dass die Einstellung für den SSL-Modus auf „Keine“ gesetzt ist (VSSL-Modus=Keine). Sie müssen keine zusätzliche Konfiguration für Ihren Endpunkt angeben, um SSL verwenden zu können. Wenn Sie beispielsweise Kinesis als Zielendpunkt verwenden, ist dies standardmäßig sicher. Alle API-Aufrufe an Kinesis verwenden SSL, so dass keine zusätzliche SSL-Option am DMS-Endpunkt erforderlich ist. Mithilfe des HTTPS-Protokolls, das DMS standardmäßig verwendet, wenn eine Verbindung zu einem Kinesis-Datenstrom hergestellt wird, können Sie Daten sicher über SSL-Endpunkte speichern und abrufen.

Einschränkungen bei der Verwendung von SSL mit AWS DMS

Im Folgenden werden Einschränkungen bei der Verwendung von SSL mit AWS DMS aufgeführt:

  • SSL-Verbindungen zu Amazon-Redshift-Zielendpunkten werden nicht unterstützt. AWS DMS verwendet einen Amazon-S3-Bucket zum Übertragen von Daten zur Amazon-Redshift-Datenbank. Diese Übertragung wird von Amazon Redshift standardmäßig verschlüsselt.

  • SQL-Timeouts können auftreten, wenn CDC Aufgaben (Change Data Capture) mit SSL-fähigen Oracle-Endpunkten durchgeführt werden. Wenn dieses Problem auftritt, wobei CDC-Zähler nicht die erwarteten Zahlen anzeigen, legen Sie den Parameter MinimumTransactionSize aus dem Abschnitt ChangeProcessingTuning der Aufgabeneinstellungen auf einen niedrigeren Wert fest. Sie können mit einem Wert von 100 beginnen. Weitere Informationen zum Parameter MinimumTransactionSize erhalten Sie unter Einstellungen für die Optimierung der Verarbeitung von Änderungen.

  • Sie können Zertifikate nur in den Formaten .pem und .sso (Oracle Wallet) importieren.

  • In einigen Fällen wird Ihr Server-SSL-Zertifikat möglicherweise von einer Zwischenzertifizierungsstelle signiert. Wenn dies der Fall ist, stellen Sie sicher, dass die gesamte Zertifikatkette, die von der Zwischenzertifizierungsstelle bis zur Stammzertifizierungsstelle führt, als einzelne .pem-Datei importiert wird.

  • Wenn Sie selbstsignierte Zertifikate auf Ihrem Server verwenden, wählen Sie require als SSL-Modus aus. Der SSL-Modus require (erforderlich) vertraut dem SSL-Zertifikat des Servers implizit und prüft nicht, ob das Zertifikat von einer Zertifizierungsstelle signiert wurde.

Verwalten von Zertifikaten

Sie können mithilfe der DMS-Konsole Ihre SSL-Zertifikate anzeigen und verwalten. Sie können auch Ihre Zertifikate mithilfe der DMS-Konsole importieren.

AWS Database Migration Service-SSL-Zertifikatverwaltung

Aktivieren von SSL für einen MySQL-kompatiblen, PostgreSQL- oder SQL Server-Endpunkt

Sie können eine SSL-Verbindung zu einem neu erstellten Endpunkt oder zu einem vorhandenen Endpunkt hinzufügen.

So erstellen Sie einen AWS DMS-Endpunkt mit SSL

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS DMS-Konsole unter https://console.aws.amazon.com/dms/v2/.

    Wenn Sie als AWS Identity and Access Management (IAM)-Benutzer angemeldet sind, müssen Sie über die entsprechenden Berechtigungen für den Zugriff auf AWS DMS verfügen. Weitere Informationen zu den erforderlichen Berechtigungen für die Datenbankmigration finden Sie unter Erforderliche IAM-Berechtigungen zur Verwendung von AWS DMS.

  2. Wählen Sie im Navigationsbereich Certificates aus.

  3. Wählen Sie Import Certificate aus.

  4. Laden Sie das Zertifikat hoch, das Sie zur Verschlüsselung der Verbindung zu einem Endpunkt verwenden möchten.

    Anmerkung

    Sie können auch ein Zertifikat mithilfe der AWS DMS-Konsole hochladen, wenn Sie einen Endpunkt erstellen oder ändern, indem Sie Add new CA certificate (Neues CA-Zertifikat hinzufügen) auf der Seite Create database endpoint (Datenbank-Endpunkt erstellen) auswählen.

    Für Aurora Serverless als Ziel holen Sie sich das Zertifikat, das unter Verwendung von TLS/SSL mit Aurora Serverless beschrieben ist.

  5. Erstellen Sie einen Endpunkt wie beschrieben unter Schritt 2: Angeben von Quell- und Zielendpunkten

So ändern Sie einen vorhandenen AWS DMS-Endpunkt für die Verwendung von SSL:

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS DMS-Konsole unter https://console.aws.amazon.com/dms/v2/.

    Wenn Sie als IAM-Benutzer angemeldet sind, müssen Sie über die entsprechenden Berechtigungen für den Zugriff auf AWS DMS verfügen. Weitere Informationen zu den erforderlichen Berechtigungen für die Datenbankmigration finden Sie unter Erforderliche IAM-Berechtigungen zur Verwendung von AWS DMS.

  2. Wählen Sie im Navigationsbereich Certificates aus.

  3. Wählen Sie Import Certificate aus.

  4. Laden Sie das Zertifikat hoch, das Sie zur Verschlüsselung der Verbindung zu einem Endpunkt verwenden möchten.

    Anmerkung

    Sie können auch ein Zertifikat mithilfe der AWS DMS-Konsole hochladen, wenn Sie einen Endpunkt erstellen oder ändern, indem Sie Add new CA certificate (Neues CA-Zertifikat hinzufügen) auf der Seite Create database endpoint (Datenbank-Endpunkt erstellen) auswählen.

  5. Wählen Sie im Navigationsbereich die Option Endpoints aus. Wählen Sie dann den Endpunkt aus, den Sie ändern möchten, und klicken Sie auf Modify.

  6. Wählen Sie einen Wert für den SSL-Modus.

    Wenn Sie den Modus verify-ca oder verify-full auswählen, geben Sie das Zertifikat an, das Sie für das CA-Zertifikat verwenden möchten (siehe unten).

    AWS Database Migration Service-SSL-Zertifikatverwaltung

  7. Wählen Sie Ändern aus.

  8. Wenn der Endpunkt geändert wurde, wählen Sie den Endpunkt aus, und klicken Sie auf Test connection (Verbindung prüfen), um festzustellen, ob die SSL-Verbindung funktioniert.

Nachdem Sie die Quell- und Zielendpunkte erstellt haben, erstellen Sie eine Aufgabe, die diese Endpunkte verwendet. Weitere Informationen zum Erstellen einer Aufgabe finden Sie unter Schritt 3: Erstellen einer Aufgabe und Migrieren der Daten.