Seguridad de la infraestructura en AWS Database Migration Service

Como servicio gestionado, AWS Database Migration Service está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte Seguridad AWS en la nube. Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte Protección de infraestructuras en un marco de buena AWS arquitectura basado en el pilar de la seguridad.

Utiliza las API llamadas AWS publicadas para acceder a AWS DMS través de la red. Los clientes deben admitir lo siguiente:

• Seguridad de la capa de transporte (TLS). Necesitamos TLS 1.2 y recomendamos TLS 1.3.

• Cifre suites con perfecto secreto (PFS), como (Ephemeral Diffie-Hellman) o DHE ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.

Además, las solicitudes deben firmarse con un identificador de clave de acceso y una clave de acceso secreta asociada a un director. IAM También puede utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

Puede llamar a estas API operaciones desde cualquier ubicación de la red. AWS DMS también admite políticas de acceso basadas en recursos, que pueden especificar restricciones de acciones y recursos, por ejemplo, en función de la dirección IP de origen. Además, puede utilizar AWS DMS políticas para controlar el acceso desde VPC puntos de enlace de Amazon específicos o nubes privadas virtuales específicas (VPCs). En efecto, esto aísla el acceso a la red a un AWS DMS recurso determinado únicamente de los recursos específicos VPC de la AWS red. Para obtener más información sobre el uso de políticas de acceso basadas en recursos AWS DMS, incluidos ejemplos, consulte. Control de acceso detallado mediante nombres de recursos y etiquetas

Para limitar sus comunicaciones a un solo AWS DMS lugarVPC, puede crear un punto final de VPC interfaz que le permita conectarse a través de él. AWS DMS AWS PrivateLink AWS PrivateLink ayuda a garantizar que cualquier llamada AWS DMS y los resultados asociados se limiten al punto específico VPC para el que se creó el punto final de la interfaz. A continuación, puede especificar URL el punto final de esta interfaz como una opción con cada AWS DMS comando que ejecute mediante el AWS CLI o unSDK. Esto ayuda a garantizar que todas sus comunicaciones AWS DMS permanezcan confinadas a la Internet pública VPC y, de lo contrario, sean invisibles para ella.

Para crear un punto final de interfaz al que acceder DMS en un solo lugar VPC

1. Inicia sesión en la VPC consola de Amazon AWS Management Console y ábrela en https://console.aws.amazon.com/vpc/.

2. En el panel de navegación, elija Puntos de conexión. Se abrirá la página Crear puntos de enlace, en la que podrá crear el punto final de la interfaz de un VPC a AWS DMS otro.

3. Elija AWS los servicios y, a continuación, busque y elija un valor para el nombre del servicio, en este caso AWS DMS del siguiente formulario.

   com.amazonaws.region.dms

   Aquí, región especifica la AWS región en la que AWS DMS se ejecuta, por ejemplocom.amazonaws.us-west-2.dms.

4. Para VPC, por ejemplo, elija el VPC punto final de la interfaz desde el que se va a crearvpc-12abcd34.

5. Elija un valor para Zona de disponibilidad y para ID de subred. Estos valores deben indicar una ubicación en la que se pueda ejecutar el punto de conexión de AWS DMS elegido, por ejemplo, us-west-2a (usw2-az1) y subnet-ab123cd4.

6. Elija Habilitar DNS nombre para crear el punto final con un DNS nombre. Este DNS nombre consiste en el ID del punto final (vpce-12abcd34efg567hij) separado por guiones con una cadena aleatoria ()ab12dc34. Se separan del nombre del servicio por un punto en el orden inverso de separación por puntos, con vpce agregado (dms.us-west-2.vpce.amazonaws.com).

   Un ejemplo es vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com.

7. Para Grupo de seguridad, elija un grupo de seguridad que usar para el punto de conexión.

   Cuando configure su grupo de seguridad, asegúrese de permitir las HTTPS llamadas salientes desde dentro de él. Para obtener más información, consulte Creación de grupos de seguridad en la Guía del VPC usuario de Amazon.

8. Elija Acceso total o un valor personalizado para la política. Por ejemplo, puede elegir una política personalizada similar a la siguiente que restrinja el acceso del punto de conexión a determinadas acciones y recursos.

   {
     "Statement": [
       {
         "Action": "dms:*",
         "Effect": "Allow",
         "Resource": "*",
         "Principal": "*"
       },
       {
         "Action": [
           "dms:ModifyReplicationInstance",
           "dms:DeleteReplicationInstance"
         ],
         "Effect": "Deny",
         "Resource": "arn:aws:dms:us-west-2:<account-id>:rep:<replication-instance-id>",
         "Principal": "*"
       }
     ]
   }

   Aquí, el ejemplo de política permite cualquier AWS DMS API llamada, excepto eliminar o modificar una instancia de replicación específica.

Ahora puede especificar un formulario URL utilizando como opción el DNS nombre creado en el paso 6. Debe especificarlo para cada AWS DMS CLI comando u API operación para acceder a la instancia de servicio mediante el punto final de la interfaz creado. Por ejemplo, puede ejecutar el DMS CLI comando que DescribeEndpoints VPC se muestra a continuación.

$ aws dms describe-endpoints --endpoint-url https://vpce-12abcd34efg567hij-ab12dc34.dms.us-west-2.vpce.amazonaws.com

Si habilitas la DNS opción privada, no tienes que especificar el punto final URL en la solicitud.

Para obtener más información sobre la creación y el uso de los puntos de enlace de la VPC interfaz (incluida la activación de la DNS opción privada), consulte los VPCpuntos de enlace de la interfaz (AWS PrivateLink) en la Guía VPCdel usuario de Amazon.