Protección de los datos en AWS Database Migration Service - AWS Database Migration Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de los datos en AWS Database Migration Service

Cifrado de datos

Puede habilitar el cifrado para los recursos de datos de los puntos de enlace de destino de AWS DMS admitidos. AWS DMS también cifra las conexiones a AWS DMS y entre AWS DMS y todos sus puntos de enlace de origen y destino. Además, puede administrar las claves que utilizan AWS DMS y sus puntos de enlace de destino compatibles para habilitar este cifrado.

Cifrado en reposo

AWS DMS admite el cifrado en reposo al permitirle especificar el modo de cifrado del lado del servidor que desea utilizar para insertar los datos replicados en Amazon S3 antes de copiarlos en los puntos de conexión de destino de AWS DMS compatibles. Puede especificar este modo de cifrado estableciendo el atributo de conexión encryptionMode adicional para el punto de enlace. Si esta configuración de encryptionMode especifica el modo de cifrado de clave KMS, también puede crear claves AWS KMS personalizadas específicamente para cifrar los datos de destino para los siguientes puntos de conexión de destino de AWS DMS:

Cifrado en tránsito

AWS DMS admite el cifrado en tránsito asegurándose de que los datos que replica se mueven de forma segura desde el punto de enlace de origen al punto de enlace de destino. Esto incluye el cifrado de un bucket S3 en la instancia de replicación que la tarea de replicación utiliza para el almacenamiento intermedio a medida que los datos se mueven a través de la canalización de replicación. Para cifrar las conexiones de tareas a los puntos de conexión de origen y destino, AWS DMS utiliza la capa de conexión segura (SSL) o la seguridad de la capa de transporte (TLS). Al cifrar las conexiones a ambos puntos de enlace, AWS DMS garantiza que los datos sean seguros a medida que se mueven del punto de enlace de origen a la tarea de replicación y de la tarea al punto de enlace de destino. Para obtener más información sobre el uso de SAML con AWS DMS, consulte Uso de SSL con AWS Database Migration Service.

AWS DMS admite claves predeterminadas y personalizadas para cifrar tanto el almacenamiento de replicación intermedia como la información de conexión. Estas claves se administran mediante AWS KMS. Para obtener más información, consulte Configuración de una clave de cifrado y especificación de permisos de AWS KMS.

Administración de claves

AWS DMS admite claves predeterminadas o personalizadas para cifrar el almacenamiento de replicación, la información de conexión y el almacenamiento de datos de destino para determinados puntos de enlace de destino. Estas claves se administran mediante AWS KMS. Para obtener más información, consulte Configuración de una clave de cifrado y especificación de permisos de AWS KMS.

Privacidad del tráfico entre redes

Las conexiones se proporcionan con protección entre los puntos de enlace de origen y destino de AWS DMS en la misma región de AWS, ya sea que se ejecuten en instalaciones o como parte de un servicio en la nube de AWS. (Debe ejecutarse al menos un punto de enlace, origen o destino, como parte de un servicio en la nube de AWS). Esta protección se aplica tanto si estos componentes comparten la misma nube privada virtual (VPC) como si existen en VPC independientes, si todas las VPC están en la misma región de AWS. Para obtener más información acerca de las configuraciones de red compatibles para AWS DMS, consulte Configuración de una red para una instancia de replicación. Para obtener más información acerca de las consideraciones de seguridad al utilizar estas configuraciones de red, consulte Seguridad de la red para AWS Database Migration Service.

Protección de los datos en DMS Fleet Advisor

DMS Fleet Advisor recopila y analiza los metadatos de la base de datos para determinar el tamaño correcto del destino de migración. DMS Fleet Advisor no accede a los datos de las tablas ni los transfiere. Además, DMS Fleet Advisor no realiza un seguimiento del uso de las características de la base de datos ni accede a las estadísticas de uso.

Se controla el acceso a las bases de datos al crear los usuarios de la base de datos que DMS Fleet Advisor utiliza para trabajar con las bases de datos. Se conceden los privilegios necesarios a estos usuarios. Para utilizar DMS Fleet Advisor, debe conceder permisos de lectura a los usuarios de la base de datos. DMS Fleet Advisor no modifica las bases de datos ni requiere permisos de escritura. Para obtener más información, consulte Creación de usuarios de bases de datos para AWS DMS Fleet Advisor.

Puede utilizar el cifrado de datos en las bases de datos. AWS DMS también cifra las conexiones dentro de DMS Fleet Advisor y dentro de los recopiladores de datos.

El recopilador de datos de DMS utiliza la interfaz de programación de aplicaciones de protección de datos (DPAPI) para cifrar, proteger y almacenar información sobre el entorno del cliente y las credenciales de la base de datos. DMS Fleet Advisor almacena estos datos cifrados en un archivo en el servidor en el que funciona el recopilador de datos de DMS. DMS Fleet Advisor no transfiere estos datos desde este servidor. Para obtener más información sobre DPAPI, consulte Cómo: Uso de la protección de datos.

Tras instalar el recopilador de datos de DMS, puede ver todas las consultas que ejecuta esta aplicación para recopilar métricas. Puede ejecutar el recopilador de datos de DMS en modo fuera de línea y, a continuación, revisar los datos recopilados en el servidor. Además, puede revisar los datos recopilados en el bucket de Amazon S3. Para obtener más información, consulte ¿Cómo funciona el recopilador de datos del DMS?.