Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de SSL con AWS Database Migration Service
Puede cifrar las conexiones para los puntos de enlace de origen y de destino utilizando la capa de conexión segura (SSL). Para hacerlo, puede utilizar la consola de administración de AWS DMS o la API de AWS DMS para asignar un certificado a un punto de enlace. También puede utilizar la consola de AWS DMS para administrar los certificados.
No todas las bases de datos utilizan SSL de la misma manera. La edición compatible con Amazon Aurora MySQL usa el nombre del servidor, el punto final de la instancia principal del clúster, como punto final de SSL. Un punto de enlace de Amazon Redshift ya utiliza una conexión SSL y no requiere una conexión SSL configurada por AWS DMS. Un punto de enlace de Oracle requiere pasos adicionales. Para obtener más información, consulte Compatibilidad con SSL para un punto de enlace de Oracle.
Temas
Para asignar un certificado a un punto de enlace, proporcione el certificado raíz o la cadena de certificados CA intermedios que llevan hacia la raíz (como un paquete de certificados) y que se utilizó para firmar el certificado SSL del servidor desplegado en su punto de enlace. Los certificados se aceptan solo como archivos X509 en formato PEM. Al importar un certificado, recibe un nombre de recurso de Amazon (ARN) que puede utilizar para especificar dicho certificado para un punto de enlace. Si utiliza Amazon RDS, puede descargar la CA raíz y el paquete de certificados que se proporcionan enrds-combined-ca-bundle.pemarchivo alojado en Amazon RDS. Para obtener más información sobre la descarga de este archivo, consulteUso de SSL/TLS para cifrar una conexión a una instancia de base de datosen elGuía del usuario de Amazon RDS.
Puede elegir entre varios modos de SSL para verificar su certificado SSL.
-
ninguna— La conexión no está cifrada. Esta opción no es segura, pero es menos costosa.
-
requerir— La conexión se cifra mediante SSL (TLS), pero no se realiza ninguna verificación de CA. Esta opción es más segura y más costosa.
-
verifíque-ca— La conexión está cifrada. Esta opción es más segura y más costosa. Esta opción verifica el certificado de servidor.
-
verificar-completo— La conexión está cifrada. Esta opción es más segura y más costosa. Esta opción verifica el certificado de servidor y que el nombre de host del servidor coincida con el atributo del nombre de host para el certificado.
No todos los modos SSL funcionan con todos los puntos de enlace de la base de datos. En la siguiente tabla se indica qué modos de SSL son compatibles con qué motor de base de datos.
|
Motor de base de datos |
ninguno |
require |
verify-ca |
verify-full |
|---|---|---|---|---|
|
MySQL/MariaDB/Amazon Aurora MySQL |
Valor predeterminado | No admitido | Soportado | Compatible |
|
Microsoft SQL Server |
Valor predeterminado | Compatible | No es compatible | Compatible |
|
PostgreSQL |
Valor predeterminado | Compatible | Soportado | Compatible |
|
Amazon Redshift |
Valor predeterminado | SSL no activado | SSL no activado | SSL no activado |
|
Oracle |
Valor predeterminado | No admitido | Compatible | No es compatible |
|
SAP ASE |
Valor predeterminado | SSL no activado | SSL no activado | Compatible |
|
MongoDB |
Valor predeterminado | Compatible | No es compatible | Compatible |
|
Db2 LUW |
Valor predeterminado | No es compatible | Compatible | No es compatible |
|
Db2 para z/OS |
Valor predeterminado | No es compatible | Compatible | No es compatible |
nota
La opción Modo SSL de la consola o API de DMS no se aplica a algunos servicios de transmisión de datos y NoSQL, como Kinesis y DynamoDB. Son seguras de forma predeterminada, por lo que el DMS muestra que la configuración del modo SSL es igual a ninguna (Modo SSL = Ninguno). No necesita proporcionar ninguna configuración adicional para que su terminal utilice SSL. Por ejemplo, cuando se usa Kinesis como punto final de destino, es seguro de forma predeterminada. Todas las llamadas a la API a Kinesis utilizan SSL, por lo que no es necesaria una opción SSL adicional en el extremo del DMS. Puede transferir datos y recuperarlos de forma segura a través de puntos finales SSL mediante el protocolo HTTPS, que DMS usa de forma predeterminada cuando se conecta a una transmisión de datos de Kinesis.
Límites al uso de SSL con AWS DMS
A continuación se presentan limitaciones en el uso de SSL con AWS DMS:
-
No se admiten las conexiones SSL a los puntos de enlace de destino de Amazon Redshift.AWS DMSutiliza un bucket de Amazon S3 para transferir datos a la base de datos de Amazon Redshift. Amazon Redshift cifra esta transmisión de forma predeterminada.
-
Al realizar tareas de captura de datos de cambios (CDC) con puntos de enlace de Oracle compatibles con SSL se pueden producir tiempos de espera en SQL. Si tiene un problema en que los contadores CDC no reflejan los números previstos, defina el parámetro
MinimumTransactionSizedesde la secciónChangeProcessingTuningde la configuración de tareas con un valor inferior. Puede comenzar con un valor tan bajo como 100. Para obtener más información sobre el parámetroMinimumTransactionSize, consulte Configuración de ajuste del procesamiento de cambios. -
Solo puede importar certificados en los formatos .pem y .sso (wallet de Oracle).
-
En algunos casos, el certificado SSL del servidor puede estar firmado por una entidad emisora de certificados (CA) intermedia. Si es así, asegúrese de que toda la cadena de certificados que va desde la CA intermedia hasta la CA raíz se importa como un solo archivo .pem.
-
Si utiliza certificados autofirmados en su servidor, elija require como el modo SSL. El modo SSL require confía de forma implícita en el certificado SSL del servidor y no intenta comprobar que el certificado lo ha firmado un CA.
Administración de certificados
Puede utilizar la consola de DMS para ver y gestionar sus certificados SSL. También puede importar sus certificados utilizando la consola de DMS.
Habilitación de SSL para un punto de enlace PostgreSQL, SQL Server o compatible con MySQL
Puede añadir una conexión SSL a un punto de enlace recién creado o a un punto de enlace existente.
Para crear un punto de enlace de AWS DMS con SSL
-
Inicia sesión en elAWS Management Consoley abre elAWS DMSconsola enhttps://console.aws.amazon.com/dms/v2/
. Si has iniciado sesión comoAWS Identity and Access Managementusuario (IAM), asegúrese de tener los permisos adecuados para accederAWS DMS. Para obtener más información sobre los permisos necesarios para migrar bases de datos, consulte Permisos de IAM necesarios para utilizar AWS DMS.
-
En el panel de navegación, elija Certificates.
-
Elija Import Certificate.
-
Cargue el certificado que desea usar para cifrar la conexión a un punto de enlace.
nota
También puede cargar un certificado con la consola de AWS DMS al crear o modificar un punto de enlace seleccionando Add new CA certificate (Añadir nuevo certificado CA) en la página Create database endpoint (Crear punto de enlace de base de datos).
Para Aurora Serverless como destino, obtenga el certificado mencionado enUso de TLS/SSL con Aurora Serverless.
-
Cree un punto de enlace tal y como se describe en Paso 2: especificar los puntos de enlace de origen y destino
Para modificar un punto de enlace de AWS DMS existente para utilizar SSL
-
Inicia sesión en elAWS Management Consoley abre elAWS DMSconsola enhttps://console.aws.amazon.com/dms/v2/
. Si ha iniciado sesión como usuario de IAM, asegúrese de tener los permisos adecuados para accederAWS DMS. Para obtener más información sobre los permisos necesarios para migrar bases de datos, consulte Permisos de IAM necesarios para utilizar AWS DMS.
-
En el panel de navegación, elija Certificates.
-
Elija Import Certificate.
-
Cargue el certificado que desea usar para cifrar la conexión a un punto de enlace.
nota
También puede cargar un certificado con la consola de AWS DMS al crear o modificar un punto de enlace seleccionando Add new CA certificate (Añadir nuevo certificado CA) en la página Create database endpoint (Crear punto de enlace de base de datos).
-
En el panel de navegación, elija Endpoints, seleccione el punto de enlace que desea modificar y elija Modify.
-
Elija un valor para el modo SSL.
Si elige el modo verify-ca o verify-full especifique el certificado que desea utilizar para el certificado de entidad de certificación, como se muestra a continuación.
-
Elija Modificar.
-
Una vez modificado el punto de enlace, selecciónelo y elija Test connection (Probar conexión) para determinar si la conexión SSL funciona.
Después de crear los puntos de enlace de origen y de destino, cree una tarea que utilice estos puntos de enlace. Para obtener más información acerca de cómo crear una tarea, consulte Paso 3: crear una tarea y migrar datos.
